Um membro da Câmara dos Lordes levantou preocupações de que dados do governo do Reino Unido, incluindo registros de pacientes do NHS, estão sendo armazenados em jurisdições estrangeiras sem proteções adequadas de cibersegurança, chamando a prática de "inaceitável" à medida que o governo avança com planos para um sistema de identidade digital voluntário.
A Baronesa Manzila Uddin, que co-preside o Grupo Parlamentar Todos os Partidos sobre Identidade Digital Descentralizada, declarou em uma entrevista ao Yellow.com que dados críticos do governo estão sendo terceirizados para os Estados Unidos e Romênia sem garantias de que continuarão sujeitos aos padrões de proteção de dados do Reino Unido.
"Muitos dos dados para pacientes de GP vão até a América. E eu acho isso inaceitável", disse a Baronesa Uddin. "Eu sei que os sauditas, os Emirados Árabes Unidos, Cingapura e alguns outros países na África garantiram que os dados e todas as informações permaneçam locais em sua própria nuvem, nuvem nacional. Eu gostaria de alguma garantia sobre isso e acho que no momento não somos capazes de garantir isso."
A Baronesa citou especificamente a infraestrutura do Gov.UK como sendo terceirizada sem supervisão suficiente.
"Se a principal fonte de coleta de dados do governo, Gov.UK, está sendo utilizada em outro lugar, digamos, terceirizada para algum lugar, e não temos verificações e saldos e obrigação de resiliência de cibersegurança, proteção de dados como teríamos aqui, acho que isso é preocupante", ela disse.
Ela referiu a Romênia como um lugar onde os dados do governo britânico estão sendo armazenados, questionando se considerações de custo estão prevalecendo sobre prioridades de segurança.
"Se todos os cidadãos são clientes do governo, gov.uk, então por que está na Romênia? É porque simplesmente eles fizeram a menor oferta pelo contrato? E essas são as perguntas que precisamos fazer."
Os comentários vêm quando o governo do Reino Unido avança com propostas para um sistema de identidade digital voluntário, que tem enfrentado ceticismo público desde que uma tentativa anterior pelo governo trabalhista em 2008 foi rejeitada.
A Baronesa Uddin observou que a oposição pública aos sistemas de identificação obrigatórios permanece forte no Reino Unido.
"Como você sabe, acho que foi em 2008, o governo trabalhista tentou implementar um ID digital e o contexto era muito claro que nosso público não o apoiava", ela disse.
Ela expressou preocupação de que a proposta atual está sendo implementada de forma incremental, em vez de através de consulta pública transparente.
"Eu sei que está fazendo isso quase pela porta dos fundos. Então, por exemplo, a proposta é que todas as nossas carteiras de habilitação terão uma pegada digital. Talvez depois disso haverá uma proposta para o próximo conjunto de passaportes serem assim."
A Baronesa enfatizou que pessoalmente não tem objeção a sistemas de identidade digital, mas requer transparência sobre o manuseio de dados.
"Como alguém que co-preside o grupo parlamentar de identidade digital, não tenho problema em ter um ID. Temos IDs para tantos aspectos de nossas vidas agora. Acho que minha preocupação, e acho que há muitas preocupações a nível público, é onde esses dados estão indo?"
A Baronesa Uddin citou uma experiência pessoal recente que ilustrou vulnerabilidades mais amplas de cibersegurança em serviços financeiros.
"Assim que meu membro da família desligou a ligação com a Amex, por exemplo, houve uma ligação imediata de alguém dizendo que era da Amex e tinha todas as informações e isso supostamente deveria ser um ambiente seguro onde você fala sobre a interação financeira", ela disse, sugerindo que grandes corporações não têm salvaguardas suficientes contra violações de dados e fraude.
Ela argumentou que nem grandes corporações nem entidades de governo local têm recursos adequados para proteger contra atores mal-intencionados sofisticados.
"Quer seja uma conta de energia ou é o governo local, simplesmente não há incentivo financeiro ou recursos suficientes para proteger contra alguns desses atores muito, muito maus que estão fraudando", ela disse.
Uma parte significativa das preocupações da Baronesa Uddin centrou-se na exclusão digital e na educação pública inadequada sobre direitos de dados.
Ela observou que aproximadamente um milhão de lares no Reino Unido não têm acesso à internet e smartphones, tornando-os vulneráveis à exclusão dos serviços digitais.
"Quando ocorre a exclusão, estamos apenas falando sobre exclusão para que possamos argumentar que devemos ter um maior alcance de inclusão das pessoas neste lugar de coleta voluntária de dados", ela disse, sugerindo que abordar a exclusão digital está sendo usado como justificativa para expandir a coleta de dados em vez de proteger populações vulneráveis.
Ela enfatizou a necessidade de uma educação abrangente em literacia digital desde a infância.
"Em muitos países como o Japão e em outros lugares, as crianças são ensinadas muito cedo a se protegerem na internet. E acho que isso é algo muito crítico, não apenas a educação dos nossos membros no parlamento, mas dos membros que não estão neste espaço, porque todos esses empreendedores e empresas estão ganhando dinheiro às custas de todas as nossas práticas mal informadas", ela disse.
A Baronesa citou uma experiência recente com o Grupo Parlamentar Todos os Partidos sobre Crianças, onde jovens demonstraram compreensão sofisticada dos riscos digitais.
"Tivemos crianças vindo aqui atuando em seu papel como parlamentares, fazendo perguntas de especialistas. E são perguntas muito perspicazes, elas estão muito mais cientes do que nossa geração ou talvez até a sua geração. Então a vontade de aprender está lá."
A Baronesa Uddin argumentou que as estruturas regulatórias atuais não conseguem acompanhar o avanço tecnológico.
"Assim que se protege uma estrutura, outra aparecerá e estará além do nosso controle. Então tem que ser muito fluido, toda nossa legislação tem que ser muito fluida para atender às demandas da tecnologia avançada."
Ela observou que as regulamentações existentes, incluindo o GDPR, não impediram a coleta excessiva de dados ou a venda não autorizada de dados.
"No momento, muitas instituições, incluindo instituições governamentais, organizações do setor privado estão pedindo dados excessivos. E não é necessário. Meu medo é que quando estamos coletando esse nível de detalhes, quem está hospedando? Onde está sendo mantido? Quem está monitorando?
Quem está rastreando? E isso vai para a dark web e algum dia será usado contra nós como cidadãos individuais?", ela perguntou.
A Baronesa afirmou que atualmente as organizações podem comprar dados de cidadãos de governos locais sem restrições suficientes.
"As pessoas podem comprar do governo local muitos dos nossos dados, elas podem comprá-los. Porque no momento não há restrição. Então o GDPR obviamente tem algumas fronteiras, mas as pessoas ainda estão coletando e minerando nossos dados para o seu bem-estar", ela disse.
Quando questionada sobre sistemas de identidade descentralizada baseados em tecnologia blockchain, a Baronesa Uddin expressou apoio a abordagens que dão aos cidadãos controle sobre seus próprios dados.
"A promessa de novas tecnologias digitais, incluindo Web3 e IA e tudo isso, é que teremos um sistema democrático de troca de informações para que se tornem nossas próprias fontes privadas de informação e nós, como indivíduos, decidimos se queremos dar acesso ou não", ela disse.
No entanto, ela enfatizou que qualquer sistema deve priorizar a soberania dos dados dos cidadãos.
"Se vamos continuar com esta tendência, onde estão meus dados? Quem os possui? Por que não são responsáveis? Por que estão dando para pessoas que podem comprá-los?"
Ela argumentou que soluções baseadas em blockchain poderiam oferecer uma alternativa aos modelos atuais de armazenamento de dados terceirizados.
"A promessa de novas tecnologias emergentes é a democratização da informação para que você tenha muito mais a dizer em como as informações sobre você são mantidas, enviadas, dadas, o que for. Isso tem que ser o compromisso principal, um dos compromissos principais do governo", ela disse.
A Baronesa Uddin expressou preferência por alinhar os padrões de dados do Reino Unido com a União Europeia, ao invés dos Estados Unidos.
"Eu sei que existem discussões sobre com quem nos alinhamos e eu teria preferido muito mais que nos alinhássemos com a UE porque eles são nossos vizinhos, são nossas fronteiras", ela disse.
Ela manifestou preocupação com a crescente dependência de empresas de tecnologia dos EUA para infraestrutura crítica.
"Acho que precisamos garantir que não estamos indo para os EUA para tudo. Só porque eles são nosso relacionamento especial e temos uma obrigação de fazer ABC, o que for. Recentemente houve conversas sobre uma grande organização corporativa assumir nossa segurança. Estou muito preocupada com isso", acrescentou.
A Baronesa argumentou que manter a soberania dos dados dentro do Reino Unido é essencial para preservar a reputação do país como um centro financeiro seguro.
"Eu quero que a fuga de cérebros volte aqui e garantir que, seja o que for que acabemos fazendo em termos de ID digital ser soberano, digitalmente soberano para o Reino Unido, isso para mim é realmente crítico. Se for digitalmente soberano no Reino Unido, então será digitalmente soberano para o indivíduo porque respeitamos os direitos individuais", ela disse.
Quando questionada sobre alegações de que os sistemas de identidade digital acelerariam o crescimento econômico, a Baronesa Uddin expressou ceticismo.
"Não acho que provamos o caso", ela disse. "Eu sei que alguns dos stakeholders têm experiência. A Suécia foi citada como uma boa prática, Utah, Wyoming. Mas não acho que temos algo até agora no Reino Unido para demonstrar ou o crescimento econômico ou o caso de uso como um ganho positivo para os cidadãos comuns. Acho que grandes corporações continuam se beneficiando."
A Baronesa Uddin questionou se o governo pode implementar sistemas de identidade digital dado os níveis atuais de desconfiança pública.
"No quadro atual de desconfiança do público em relação ao governo, como você sabe, o governo tem enfrentado uma enorme quantidade de críticas com várias políticas. Então, não sei se podemos realmente reivindicar a confiança do público. Portanto, à luz disso, não sei como eles vão administrar."
Content: There is not clear indication of how they intend to win over public confidence and trust for a digital ID."
Ela alertou contra a implementação de sistemas através de medidas de emergência, como ocorreu durante a COVID-19. "Acho que o público sente que é forçado a fornecer o máximo de informações possível porque as pessoas pensam, se não tenho nada a esconder, nada a perder. Mas esse não é o caso, porque as informações que você está fornecendo se tornam ativos de outra pessoa."
A Baronesa concluiu enfatizando a necessidade de estruturas regulatórias baseadas na confiança. "Tudo o que estamos fazendo sobre qualquer proposta de estrutura regulatória deve ser baseado na confiança e na confiança pública. Isso é óbvio, e acho que aí reside o problema."
Ela pediu o estabelecimento de padrões que protejam os direitos individuais ao mesmo tempo em que permitam a inovação tecnológica. "Se formos ter uma ID digital, precisamos ter um legado de confiança e assegurar que a estrutura seja suficientemente flexível para que as pessoas venham e trabalhem conosco."
A Baronesa Uddin afirmou que a reputação regulatória do Reino Unido poderia estabelecer referências globais se a soberania de dados for priorizada.
"Acho que podemos estabelecer uma grande referência para outros seguirem, incluindo os EUA. Acho que temos uma quantidade suficiente de credibilidade e tantas instituições saíram da Grã-Bretanha que agora estão operando em Dubai e Cingapura e nos EUA", disse ela.