Estrutura de Identidade Digital do Reino Unido – Pedra Angular da Identificação Confiável

Na era tecnológica atual, a identidade digital está se tornando inevitável. Interações físicas podem não parecer uma opção segura, especialmente com a COVID-19 em pleno andamento. Indivíduos e empresas estão migrando para o espaço digital para acompanhar as práticas de distanciamento social e adotar maneiras inteligentes e eficientes de se comunicar. Verificação de IdentidadeRecentemente, houve muito debate em torno da Estrutura de Confiança de Identidade Digital do Reino Unido, e por ótimos motivos. A lei representa um importante avanço na forma como as identidades digitais são tratadas no Reino Unido.   

Um Quadro de Governança para o Cenário Digital

Em fevereiro deste ano, o governo do Reino Unido publicou um documento oficial intitulado “Estrutura de Confiança para Identidade Digital e Atributos do Reino Unidoque estabelece diretrizes para entidades que criam e utilizam identidades digitais de usuários finais. As empresas que seguem essas regras recebem um "selo de confiança" especial que garante sua reputação como provedoras de serviços confiáveis ​​perante o público. A estrutura é criada em colaboração com diferentes organizações públicas e privadas para desenvolver princípios eficazes para a identidade digital. 

Identidade digital 

De acordo com a legislação, a identidade digital é uma representação de um indivíduo no espaço digital que lhe permite comprovar sua identidade durante transações e interações online. Abaixo estão alguns tipos de identidades digitais que podem ser criadas sob a lei:

• Uma carteira digital que armazena informações confiáveis ​​— também chamadas de atributos — relacionadas ao usuário. O indivíduo decide a quem divulgar seus dados pessoais e em que momento. As carteiras digitais incluem detalhes como nome completo, data de nascimento e direito de trabalhar ou residir no país. 
• Uma identidade digital que permite a autenticação na forma de um produto ou serviço online. Um exemplo disso são as lojas de comércio eletrônico que solicitam aos compradores que verifiquem sua idade antes de comprar produtos com restrição de idade online. Nesse caso, os clientes só precisam fazer login com o serviço de verificação de identidade, que autoriza automaticamente sua idade de consentimento e informações de identidade, mantendo intactos os padrões de proteção de dados. 

Atributos    

O Trusted Framework define atributos como fragmentos de informação que fornecem detalhes sobre um determinado indivíduo ou entidade. Quando combinados, os atributos formam uma identidade digital completa que pode ser usada para autenticar transações digitais. Os atributos podem corresponder ao estado de saúde de alguém, ao crédito bancário ou até mesmo ao número de registro de uma empresa. Alguns exemplos de atributos podem ser a idade de um indivíduo, o endereço residencial ou o CEP, etc. 

Diretrizes para Entidades Participantes

Entidades que desenvolvem produtos ou oferecem serviços relacionados a identidade digital Estão autorizadas a participar da Estrutura de Confiança de Identidade Digital e Atributos. Organizações individuais, bem como aquelas que fazem parte de um esquema de verificação de identidade, devem desempenhar as seguintes funções, cada uma relacionada a um conjunto diferente de responsabilidades.  

Proteção e Minimização de Dados 

O Digital Identity Trust Framework incorpora padrões de proteção de dados que são um requisito obrigatório para provedores de serviços de identidade e atributos ao desenvolverem produtos e serviços. A implementação dessas medidas garante que os usuários tenham controle sobre quais informações pessoais são usadas para criar sua identidade digital. Além disso, eles podem gerenciar melhor seus atributos e decidir quais organizações têm acesso e direitos de compartilhamento de seus dados. 

De acordo com as políticas da estrutura, os usuários têm o direito de compartilhar apenas as informações necessárias e restringir o acesso às demais. Os padrões de minimização de dados são baseados no “direito de acesso aos dados pessoais” definido pelo GDPR. Um exemplo desse tipo de compartilhamento de dados ocorre quando um usuário visita uma plataforma com restrição de idade e precisa fornecer informações para... verificação de idadeUtilizando a identidade digital, os usuários podem comprovar que têm idade superior à permitida por lei sem precisar fornecer nenhuma informação prévia. 

Acompanhando os protocolos de privacidade

A estrutura de confiança exige que as entidades participantes sigam dois padrões de conformidade de privacidade, que são:

• A norma ISO/IEC 27701:2019 é uma extensão da ISO/IEC 27001 que aborda a privacidade e destaca os direitos de controle de acesso para controladores e processadores de Informações de Identificação Pessoal (IIP), visando reduzir os riscos à privacidade dos consumidores. Essa regulamentação é estabelecida pela Organização Internacional de Normalização. 
• A norma BS 10012:2017, da British Standards Organisation, é uma estrutura para que os prestadores de serviços desenvolvam sistemas de gestão de informações pessoais.  

Além disso, o Digital Identity Trust Framework orienta as entidades em conformidade a criarem sua própria infraestrutura de conformidade com a privacidade, nomearem um Encarregado de Proteção de Dados (DPO), desenvolverem uma política de proteção de dados e também formularem um processo de Avaliação de Impacto sobre a Proteção de Dados (AIPD).  

Consentimento e Acordo do Usuário

Ao acessar a identidade digital de um indivíduo, as empresas devem ter uma base legal para a forma como as informações serão utilizadas. O consentimento é obrigatório após os usuários serem informados sobre os termos e condições de compartilhamento e acesso aos dados. A legislação limita o uso de informações de identificação pessoal para fins de marketing por parte dos provedores de serviços. Titulares dos dados – pessoas físicas identificáveis ​​de acordo com GDPR – também têm o direito de atualizar ou excluir atributos correspondentes à sua identidade digital como parte do seu acordo com o provedor de serviços de identidade digital. 

Concessão de direitos de acesso

De acordo com as diretrizes, as organizações participantes devem desenvolver um mecanismo através do qual seus clientes possam saber quais informações pessoais são acessadas, compartilhadas e utilizadas para quais fins. Os dados devem estar atualizados e isentos de erros, não gerando qualquer ambiguidade na identidade digital do usuário final. 

Oficial de Proteção de Dados

A estrutura de confiança de identidade e atributos digitais exige que as organizações designem um Encarregado de Proteção de Dados (DPO) oficial. As responsabilidades do DPO incluem garantir o cumprimento dos requisitos listados na legislação do Reino Unido. Artigo 39 do RGPDAlém disso, a criação de um processo de proteção de dados também é necessária para garantir a conformidade regulamentar adequada com a norma ISO/IEC 29100.    

Principais lições

• O Quadro de Confiança da Identidade Digital (Digital Identity Trust Framework) no Reino Unido regula a forma como os prestadores de serviços de identidade processam os dados pessoais de indivíduos disponíveis digitalmente.  
• A estrutura define identidade digital como um conjunto de atributos – informações do usuário – que permite aos indivíduos interagir no espaço online.
• As entidades participantes no âmbito deste programa devem assegurar a conformidade com as normas de proteção de dados e privacidade, nomear um Encarregado da Proteção de Dados (DPO), obter o consentimento dos utilizadores e oferecer serviços inclusivos e acessíveis.