Um membro da Câmara dos Lordes levantou preocupações de que dados do governo do Reino Unido, incluindo registros de pacientes do NHS, estão sendo armazenados em jurisdições estrangeiras sem proteções adequadas de cibersegurança, chamando a prática de "inaceitável" conforme o governo avança com planos para um sistema de identidade digital voluntária.
A Baronesa Manzila Uddin, que co-preside o Grupo Parlamentar de Todos os Partidos sobre Identidade Digital Descentralizada, afirmou em entrevista à Yellow.com que dados governamentais críticos estão sendo terceirizados para os Estados Unidos e Romênia sem garantias de que permanecerão sujeitos aos padrões de proteção de dados do Reino Unido.
"Muitos dos dados de pacientes de Clínicas Gerais vão até a América. E acho isso inaceitável," disse a Baronesa Uddin. "Sei que Arábia Saudita, EAU, Cingapura e alguns outros países na África garantiram que os dados e todas as informações permaneçam locais em sua própria nuvem, nuvem nacional. Gostaria de alguma garantia sobre isso e acho que, no momento, não podemos garantir isso."
A Baronesa citou especificamente a infraestrutura do Gov.UK como sendo terceirizada sem supervisão suficiente.
"Se a fonte principal de coleta de dados do governo, Gov.UK, está sendo utilizada em outro lugar, digamos, terceirizada para outro lugar, e não temos qualquer verificação e obrigações para resiliência cibernética, proteção de dados como teríamos aqui, acho que isso é preocupante," disse ela.
Ela mencionou a Romênia como um local onde dados do governo do Reino Unido estão sendo armazenados, questionando se as considerações de custo estão sobrepondo as prioridades de segurança.
"Se todos os cidadãos são os clientes do governo, gov.uk, então por que está na Romênia? É porque simplesmente eles deram o menor lance para executar o contrato? E essas são as questões que devemos perguntar."
Os comentários surgem à medida que o governo do Reino Unido avança com propostas para um sistema de identificação digital voluntária, que enfrentou ceticismo público desde uma tentativa anterior do governo trabalhista em 2008 ter sido rejeitada.
A Baronesa Uddin observou que a oposição pública a sistemas de identificação obrigatórios permanece forte no Reino Unido.
"Como sabe, acho que foi em 2008, o governo trabalhista tentou implementar uma identidade digital e o contexto era muito claro de que nosso público não apoiava isso," disse ela.
Ela expressou preocupação de que a proposta atual esteja sendo implantada gradualmente ao invés de ser discutida abertamente com o público.
"Sei que está sendo feito quase pela porta dos fundos. Por exemplo, a proposta é de que todas as nossas carteiras de motorista terão um rastro digital. Talvez, em seguida, venha uma proposta para que os próximos passaportes sejam assim."
A Baronesa enfatizou que pessoalmente não tem objeção a sistemas de identidade digital, mas requer transparência sobre o manuseio de dados.
"Como alguém que co-preside o grupo parlamentar de identidade digital, não tenho problemas em ter um ID. Temos IDs para tantos aspectos das nossas vidas agora. Acho que minha preocupação, e acredito que há muitas preocupações no nível público, é: para onde estão indo esses dados?"
A Baronesa Uddin citou uma experiência pessoal recente que ilustrou as vulnerabilidades de cibersegurança mais amplas nos serviços financeiros.
"Assim que um membro da minha família desligou a ligação com a Amex, por exemplo, houve uma ligação imediata de alguém dizendo que era da Amex e tinha todas as informações e isso deveria ser um ambiente seguro onde você discute a interação financeira," disse ela, sugerindo que grandes corporações não têm salvaguardas suficientes contra violações de dados e fraudes.
Ela argumentou que nem as grandes corporações nem as entidades governamentais locais têm recursos adequados para se proteger contra atores maliciosos sofisticados.
"Seja uma conta de energia ou um governo local, simplesmente não há incentivo financeiro ou recursos suficientes para se proteger contra alguns desses atores muito, muito ruins que estão fraudando," disse ela.
Uma parte significativa das preocupações da Baronesa Uddin centrava-se na exclusão digital e na educação pública inadequada sobre direitos de dados.
Ela observou que aproximadamente um milhão de lares no Reino Unido não possuem acesso à internet e smartphones, tornando-os vulneráveis à exclusão dos serviços digitais.
"Quando a exclusão acontece, estamos apenas falando sobre exclusão para que possamos argumentar que precisamos ter um alcance maior para incluir pessoas nesse lamaçal de coleta de dados voluntária," disse ela, sugerindo que abordar a exclusão digital está sendo usado como justificativa para expandir a coleta de dados ao invés de proteger populações vulneráveis.
Ela enfatizou a necessidade de uma educação abrangente em alfabetização digital desde a infância.
"Em muitos países, como o Japão, as crianças são ensinadas muito cedo a se protegerem na internet. E acho que isso é algo muito crítico, não apenas a educação dos nossos membros no parlamento, mas os membros que não estão neste espaço, porque todos esses empreendedores e empresas estão ganhando dinheiro com base nas nossas práticas mal informadas”, disse ela.
A Baronesa citou uma experiência recente com o Grupo Parlamentar de Todos os Partidos sobre Crianças, onde jovens demonstraram um entendimento sofisticado dos riscos digitais.
"Tivemos crianças vindo aqui atuando em seu papel como parlamentares, fazendo perguntas especializadas. E eram perguntas muito perspicazes, eles estão muito mais conscientes do que a nossa geração, ou talvez até a sua geração. Então, a vontade de aprender está lá."
A Baronesa Uddin argumentou que os quadros regulatórios atuais não conseguem acompanhar o avanço tecnológico.
"Assim que você protege um quadro, outro aparecerá e estará além do nosso controle. Tem que ser muito fluido, toda a nossa legislação precisa ser muito fluida para atender às demandas da tecnologia avançada."
Ela observou que as regulamentações existentes, incluindo o GDPR, não impediram a coleta excessiva de dados ou vendas não autorizadas de dados.
"No momento, muitas instituições, inclusive instituições governamentais, organizações do setor privado estão pedindo dados excessivos. E não é necessário. Meu medo é quando estamos coletando esse nível de detalhes, quem está hospedando? Onde está sendo mantido? Quem está monitorando?
Quem está rastreando? E isso vai para a dark web e um dia ser usado contra nós como cidadãos individuais?" ela perguntou.
A Baronesa afirmou que organizações atualmente podem comprar dados de cidadãos de governos locais sem restrições suficientes.
"As pessoas podem comprar do governo local uma série de nossos dados, podem comprar. Porque no momento não há restrição. Então, o GDPR obviamente tem alguns limites, mas as pessoas ainda estão coletando e minerando nossos dados para seu próprio benefício,” disse ela.
Quando questionada sobre sistemas de identidade descentralizados baseados em tecnologia blockchain, a Baronesa Uddin manifestou apoio a abordagens que dão aos cidadãos controle sobre seus próprios dados.
"A promessa da nova tecnologia digital, incluindo Web3 e IA e tudo isso, é que teremos um sistema democrático de troca de informações, para que se tornem nossas próprias fontes privadas de informação e nós, como indivíduos, decidimos se queremos ou não ceder o acesso,” disse ela.
No entanto, ela ressaltou que qualquer sistema deve priorizar a soberania dos dados dos cidadãos.
"Se continuarmos com esta tendência, onde estão os meus dados? Quem os possui? Por que eles não são responsáveis? Por que estão doando para pessoas que podem comprá-los?"
Ela argumentou que soluções de blockchain poderiam fornecer uma alternativa aos modelos atuais de armazenamento de dados terceirizados.
"A promessa da nova tecnologia emergente é a democratização da informação, para que você tenha muito mais controle sobre como as informações sobre você são mantidas, enviadas, dadas, seja o que for. Isso tem que ser o compromisso de princípio primário do governo,” disse ela.
A Baronesa Uddin expressou preferência por alinhar os padrões de dados do Reino Unido com a União Europeia ao invés dos Estados Unidos.
"Sei que há discussões sobre com quem nos alinhamos e eu teria preferido muito mais que nos alinhássemos com a UE, porque são nossos vizinhos, estão nas nossas fronteiras,” disse ela.
Ela expressou preocupação com a crescente dependência de empresas de tecnologia dos EUA para infraestrutura crítica.
"Suponho que precisamos garantir que não estamos indo para os EUA para tudo. Só porque eles são nosso relacionamento especial e temos uma obrigação de fazer ABC, seja o que for. Recentemente, houve conversas de uma determinada grande organização corporativa assumindo nossa segurança. Estou muito preocupada com isso,” acrescentou ela.
A Baronesa argumentou que manter a soberania dos dados dentro do Reino Unido é essencial para preservar a reputação do país como um centro financeiro seguro.
"Quero que a fuga de cérebros retorne aqui e garantir que o que quer que acabemos fazendo em termos de identidade digital seja soberano, digitalmente soberano para o Reino Unido, isso para mim é realmente crítico. Se for digitalmente soberano no Reino Unido, então será digitalmente soberano para o indivíduo porque respeitamos os direitos individuais,” disse ela.
Quando questionada sobre alegações de que os sistemas de identidade digital acelerariam o crescimento econômico, a Baronesa Uddin expressou ceticismo.
"Acho que não provamos o caso," disse ela. "Sei que alguns dos interessados têm experiência. A Suécia foi citada como boa prática, Utah, Wyoming. Mas não acho que tenhamos nada até agora no Reino Unido que demonstre, ou o crescimento econômico ou o caso de uso como um ganho positivo para cidadãos comuns. Acho que grandes corporações continuam a se beneficiar."
A Baronesa Uddin questionou se o governo pode implementar sistemas de identidade digital dadas as atuais níveis de desconfiança pública.
"No quadro atual de desconfiança pública no governo, como sabe, o governo tem enfrentado uma enorme quantidade de críticas com várias políticas. Então, não sei se podemos realmente reivindicar a confiança do público. Portanto, com isso em mente, não sei como eles vão gerir." Content: There is not clear indication of how they intend to win over public confidence and trust for a digital ID."
Ela alertou contra a implementação de sistemas por meio de medidas de emergência, como ocorreu durante a COVID-19. "Eu acho que o público sente que é forçado a fornecer o máximo de informações possível porque as pessoas pensam que, se não tenho nada a esconder, não tenho nada a perder. Mas esse não é o caso, porque as informações que você está fornecendo se tornam um ativo de outra pessoa."
A Baronesa concluiu enfatizando a necessidade de estruturas regulatórias baseadas na confiança. "Tudo o que estamos fazendo em relação a qualquer estrutura regulatória proposta tem que ser baseado na confiança e na segurança. Isso é indiscutível, e acho que aí é onde reside o problema."
Ela pediu o estabelecimento de padrões que protejam os direitos individuais enquanto permitem a inovação tecnológica. "Se vamos ter uma identidade digital, temos que ter um legado de confiança e segurança e, em seguida, garantir que a estrutura seja suficientemente flexível para que as pessoas venham trabalhar conosco."
A Baronesa Uddin afirmou que a reputação regulatória do Reino Unido poderia estabelecer pontos de referência globais se a soberania dos dados for priorizada.
"Eu acho que podemos estabelecer um grande ponto de referência para outros seguirem, incluindo os EUA. Acho que temos uma quantidade suficiente de credibilidade e tantas instituições surgiram da Grã-Bretanha que agora estão operando em Dubai, Singapura e os EUA", disse ela.