Uma membro da Câmara dos Lordes levantou preocupações de que dados do governo do Reino Unido, incluindo registros de pacientes do NHS, estão sendo armazenados em jurisdições estrangeiras sem proteções adequadas de cibersegurança, chamando a prática de "inaceitável" à medida que o governo avança com planos para um sistema de identidade digital voluntário.
A Baronesa Manzila Uddin, que co-preside o Grupo Parlamentar Interpartidário sobre Identidade Digital Descentralizada, declarou em uma entrevista ao Yellow.com que dados governamentais críticos estão sendo terceirizados para os Estados Unidos e Romênia sem garantias de que permanecerão sujeitos aos padrões de proteção de dados do Reino Unido.
"Muitos dos dados de pacientes de GP vão até a América. E acho isso inaceitável," disse a Baronesa Uddin. "Sei que sauditas, EAU, Cingapura e alguns outros países na África garantiram que os dados e todas as informações permaneçam locais em sua própria nuvem, nuvem nacional. Eu gostaria de alguma garantia sobre isso e acho que no momento não somos capazes de garantir isso."
A Baronesa citou especificamente a infraestrutura do Gov.UK como sendo terceirizada sem supervisão suficiente.
"Se a fonte primária de coleta de dados do governo, Gov.UK, está sendo aproveitada em outro lugar, digamos, terceirizada, e não temos verificações e equilíbrios e obrigação de resiliência de cibersegurança, proteção de dados como teríamos aqui, acho que é uma preocupação," ela disse.
Ela mencionou a Romênia como um local onde os dados do governo do Reino Unido estão sendo armazenados, questionando se considerações de custo estão superando as prioridades de segurança.
"Se todos os cidadãos são os clientes do governo, gov.uk, então por que está na Romênia? É porque simplesmente eles ofereceram o menor valor para executar o contrato? E essas são as perguntas que precisamos fazer."
Os comentários surgem enquanto o governo do Reino Unido avança com propostas para um sistema de identidade digital voluntário, que enfrentou ceticismo público desde que uma tentativa anterior pelo governo trabalhista em 2008 foi rejeitada.
A Baronesa Uddin observou que a oposição pública a sistemas de identificação obrigatória permanece forte no Reino Unido.
"Como você sabe, acredito que foi em 2008, o governo trabalhista tentou implementar uma identidade digital e o contexto era muito claro que nosso público não a apoiava," ela disse.
Ela expressou preocupação de que a proposta atual está sendo implementada gradualmente em vez de através de uma consulta pública transparente.
"Sei que está sendo feito quase pela porta dos fundos. Então, por exemplo, a proposta é que todas as nossas licenças de direção sejam uma pegada digital. Talvez após isso haja uma proposta para o próximo conjunto de passaportes ser assim."
A Baronesa enfatizou que ela pessoalmente não se opõe a sistemas de identidade digital, mas requer transparência sobre o manejo dos dados.
"Como alguém que co-preside o grupo parlamentar de identidade digital, não tenho problemas em ter um ID. Temos IDs para tantos aspectos de nossas vidas agora. Acho que minha preocupação, e acredito que há muitas preocupações a nível público, é para onde estão indo esses dados?"
A Baronesa Uddin citou uma experiência pessoal recente que ilustrou vulnerabilidades mais amplas de cibersegurança em serviços financeiros.
"Assim que meu membro da família desligou a ligação com a Amex, por exemplo, houve uma ligação imediata de outra pessoa dizendo ser a Amex e eles tinham todas as informações e supostamente esse é um ambiente seguro onde você fala sobre a interação financeira," ela disse, sugerindo que grandes corporações não têm salvaguardas suficientes contra violações de dados e fraudes.
Ela argumentou que nem grandes corporações nem entidades governamentais locais têm recursos adequados para se proteger contra atores mal-intencionados sofisticados.
"Seja uma conta de energia ou governo local, simplesmente não há incentivo financeiro suficiente ou recursos para salvaguardar contra alguns desses atores muito, muito maus que estão fraudando," ela disse.
Uma parte significativa das preocupações da Baronesa Uddin se concentrou na exclusão digital e na educação pública inadequada sobre direitos de dados.
Ela observou que aproximadamente um milhão de lares no Reino Unido não têm acesso à internet e smartphones, tornando-os vulneráveis à exclusão de serviços digitais.
"Quando a exclusão acontece, estamos apenas falando sobre exclusão para que possamos argumentar que temos que ter um maior alcance para incluir pessoas neste emaranhado de coleta voluntária de dados," ela disse, sugerindo que abordar a exclusão digital está sendo usado como justificação para expandir a coleta de dados em vez de proteger populações vulneráveis.
Ela enfatizou a necessidade de uma educação abrangente sobre alfabetização digital começando na infância.
"Em muitos países como Japão e outros, as crianças aprendem muito cedo a se proteger na internet. E acho que isso é algo muito crítico, não apenas a educação de nossos membros do parlamento, mas membros que não estão nesse espaço, porque todos essas empreendedores e empresas estão ganhando dinheiro às custas de todas as nossas práticas mal-informadas,” ela disse.
A Baronesa citou experiência recente com o Grupo Parlamentar Interpartidário sobre Crianças, onde jovens demonstraram compreensão sofisticada dos riscos digitais.
"Tivemos crianças vindo aqui atuando em seu papel como parlamentares, fazendo perguntas especializadas. E são perguntas muito perspicazes, elas estão muito mais conscientes do que nossa geração ou talvez até de sua geração. Então o desejo de aprender está lá."
A Baronesa Uddin argumentou que os atuais marcos regulatórios não conseguem acompanhar o avanço tecnológico.
"Assim que você salvaguarda um quadro, outro aparecerá e estará além do nosso controle. Então tem que ser muito fluido, toda a nossa legislação tem que ser muito fluida para atender às demandas da tecnologia avançada."
Ela observou que regulamentos existentes, incluindo o GDPR, não impediram a coleta excessiva de dados ou vendas de dados não autorizadas.
"No momento, muitas instituições, incluindo instituições governamentais, organizações do setor privado estão pedindo dados em excesso. E não é necessário. Meu medo é que ao coletarmos esse nível de detalhes, quem está hospedando? Onde está sendo mantido? Quem está monitorando? Quem está rastreando? E vai para a dark web e algum dia ser usado contra nós como cidadãos individuais?" ela perguntou.
A Baronesa afirmou que as organizações atualmente podem comprar dados de cidadãos de governos locais sem restrições suficientes.
"As pessoas podem comprar do governo local um monte de nossos dados, eles podem comprar. Porque no momento não há restrição. Então, o GDPR obviamente tem algumas fronteiras, mas as pessoas ainda estão coletando e minando nossos dados para seu próprio benefício,” ela disse.
Quando questionada sobre sistemas de identidade descentralizada baseados em tecnologia blockchain, a Baronesa Uddin expressou apoio a abordagens que dão aos cidadãos controle sobre seus próprios dados.
"A promessa de nova tecnologia digital, incluindo Web3 e IA e tudo isso, é que teremos um sistema democrático de troca de informações para que se tornem nossas próprias fontes privadas de informação e nós, como indivíduos, decidimos se queremos dar acesso ou não," ela disse.
No entanto, ela enfatizou que qualquer sistema deve priorizar a soberania dos dados dos cidadãos.
"Se continuarmos com essa tendência, onde estão meus dados? Quem os possui? Por que não são responsáveis? Por que estão os dando a quem pode comprar?"
Ela argumentou que soluções baseadas em blockchain poderiam fornecer uma alternativa aos modelos atuais de armazenamento de dados terceirizados.
"A promessa de nova tecnologia emergente é a democratização da informação para que você tenha muito mais dizer em como as informações sobre você são mantidas, enviadas, dadas, o que for. Isso tem que ser o principal, um dos principais compromissos do governo,” ela disse.
A Baronesa Uddin expressou preferência por alinhar os padrões de dados do Reino Unido com a União Europeia em vez dos Estados Unidos.
"Sei que há discussões sobre com quem devemos nos alinhar e eu teria preferido que nos alinhássemos com a UE porque são nossos vizinhos, são nossas fronteiras," ela disse.
Ela expressou preocupação com a crescente dependência de empresas de tecnologia dos EUA para infraestrutura crítica.
"Suponho que precisamos garantir que não vamos aos EUA para tudo. Apenas porque eles são nosso relacionamento especial e temos obrigação de fazer ABC, o que for. Recentemente houve conversas sobre uma grande organização corporativa assumindo nossa segurança. Estou muito preocupada com isso," ela acrescentou.
A Baronesa argumentou que manter a soberania dos dados dentro do Reino Unido é essencial para preservar a reputação do país como um centro financeiro seguro.
"Quero que a fuga de cérebros retorne aqui e garantir que o que quer que acabemos fazendo em termos de identidade digital seja soberano, digitalmente soberano no Reino Unido, isso para mim é realmente crítico. Se for digitalmente soberano no Reino Unido, então será digitalmente soberano para o indivíduo porque respeitamos os direitos individuais,” ela disse.
Quando questionada sobre alegações de que sistemas de identidade digital acelerariam o crescimento econômico, a Baronesa Uddin expressou ceticismo.
"Não acho que provamos o caso," ela disse. "Sei que alguns dos interessados têm experiência. A Suécia foi citada como boa prática, Utah, Wyoming. Mas acho que não temos nada até agora no Reino Unido para demonstrar tanto o crescimento econômico quanto o uso como um ganho positivo para os cidadãos comuns. Acho que grandes corporações continuam a se beneficiar."
A Baronesa Uddin questionou se o governo pode implementar sistemas de identidade digital dados os níveis atuais de desconfiança pública.
"No atual quadro de desconfiança pública no governo, como você sabe, o governo tem enfrentado uma enorme quantidade de críticas com várias políticas. Então não sei se podemos realmente conquistar a confiança do público. Portanto, à luz disso, não sei como eles vão gerir." Content: Não há uma indicação clara de como eles pretendem ganhar a confiança e o apoio do público para um ID digital."
Ela alertou contra a implementação de sistemas por meio de medidas de emergência, como ocorreu durante a COVID-19. "Eu acho que o público sente que é forçado a fornecer o máximo de informações possível porque as pessoas pensam: se eu não tenho nada a esconder, nada a perder. Mas esse não é o caso porque a informação que você está dando se torna o ativo de outra pessoa."
A Baronesa concluiu enfatizando a necessidade de estruturas regulatórias baseadas na confiança. "Tudo o que estamos fazendo sobre qualquer estrutura regulatória proposta tem que ser baseado na confiança e na segurança. Isso é óbvio, e acho que aí está o problema."
Ela pediu o estabelecimento de padrões que protejam os direitos individuais enquanto permitem a inovação tecnológica. "Se vamos ter um ID digital, precisamos ter um legado de confiança e assegurar que a estrutura seja flexível o suficiente para as pessoas se unirem a nós."
A Baronesa Uddin afirmou que a reputação regulatória do Reino Unido pode estabelecer padrões globais se a soberania de dados for priorizada.
"Acho que podemos estabelecer um ótimo padrão para que outros sigam, incluindo os EUA. Acho que temos uma quantidade suficiente de credibilidade e tantas instituições surgiram da Grã-Bretanha que agora estão operando em Dubai, Singapura e nos EUA", disse ela.