Identidade Digital Auto-Soberana

O Gerenciamento de Identidades e a Capacidade de Provar Quem Somos

Tatiana Revoredo
Nov 3 · 11 min read

Texto de minha palestra sobre Identidade Digital do World Legal Summit (WLS2019), ministrada no Brasil, em Belo Horizonte, em 1º de agosto de 2019. Agradeço imensamente o convite à Comissão de Direito para Startups da OAB-MG.

A capacidade de provar quem somos

Existem poucas coisas mais centrais para uma sociedade e economia que funcionem do que a identidade. Sem um meio de identificarmos uns aos outros e às nossas posses, dificilmente poderíamos construir grandes nações ou criar mercados globais[1].

À medida que mais pessoas, dispositivos e dados pessoais associados ficam on-line, há um foco crescente em um elemento fundamental desse novo ambiente digital — nossas identidades.

A capacidade de provar que somos quem dizemos é cada vez mais determinante para as nossas oportunidades de estabelecer confiança uns com os outros e realizar interações significativas em uma economia digital. Se abordado corretamente, representa oportunidades transformadoras, como o acesso a serviços básicos e experiências digitais mais personalizadas, melhor saúde e bem-estar, melhor rastreabilidade nas cadeias de fornecimento, segurança dos cidadãos e proteção global da biodiversidade.

No entanto, ainda estamos aprendendo o que significa “identidade em um mundo digital”.

Também ainda estamos desenvolvendo políticas e práticas sobre a melhor forma de coletar, processar ou usar dados relacionados à identidade de forma a capacitar indivíduos sem infringir suas liberdades ou causar danos a eles. Há espaço significativo para melhorar como os dados de identidade são manipulados on-line e quanto controle os indivíduos têm no processo.

Merece destaque, aqui, o fato de que:

Ao pensamos em identidade digital, precisamos vê-la não como uma única coisa. Identidade digital é a soma total de todos os atributos que existem sobre nós no mundo digital, uma coleção em constante crescimento e em evolução de pontos de dados.

Há problemas persistentes — e cada vez mais sérios — na maneira como a identidade digital funciona hoje.

Panorama Atual do Sistema de identidade no Brasil

Atualmente, o sistema de identidade no Brasil ainda é, em sua maioria, analógico e bastante fragmentado.

Para se ter uma ideia, as identificações civis biométricas não estão unificadas no país. Isto é, o Brasil não tem um cadastro integrado de impressões digitais.

Por causa disto, uma pessoa consegue tirar identidades (físicas) diferentes em qualquer lugar no Brasil. Isto significa que uma pessoa má intencionada pode ter múltiplas identidades (físicas) no Brasil (uma em cada Estado). Todas terão a mesma digital, mas com nome e dados diferentes, devido a falta de integração biométrica entre os Estados. Um potiguar, por exemplo, pode utilizar-se de dados de um paulista para fazer seu registro de identidade no Rio de Janeiro.

E tal ocorre porque o cadastro civil biométrico é uma atribuição estadual (e não federal), razão pela qual cada Estado possui a sua regulamentação e o seu nível de maturação. Isso sem falar que é um processo caro e trabalhoso.

Integrantes das forças armadas estão em um banco de identificação à parte, que os demais órgãos estatais não tem acesso. E quem for preso sem um documento de identidade, passa a ter como registro as informações dadas no momento da prisão.

Apesar disto, a identificação digital tem avançado no Brasil.

O Brasil é um dos poucos países do mundo onde o Estado criou uma Infraestrutura Brasileira de Chaves Públicas — ICP-Brasil (o PKI oficial no Brasil), legalmente criado pela Medida Provisória 2.200, emitida pela última vez em 24 de agosto de 2001.

Outro ponto positivo é que além da identidade digital, o método brasileiro permite também verificar a validade da assinatura e integridade dos documentos.

Ademais, desde 1997[2]o Brasil vem se preparando para lançar seu serviço nacional de identidade digital. E desde então o governo tem avançado em uma agenda de interoperabilidade de dados.

Em 2008, o TSE começou a recadastrar os eleitores, agora obtendo informações biométricas.

Em 2017, o projeto DNI foi aprovado por lei — a Lei Federal nº 13.444/2017[3]criou a ICN (Identificação Civil Nacional) — e os testes foram realizados em 2018, com a equipe do TSE testando a identificação digital, e membros do parlamento e funcionários públicos do governo federal que se recadastrando em maio de 2018.

Usando a base de dados biométricos da Justiça Eleitoral como base, cerca de 100 milhões de brasileiros — de uma população total de mais de 210 milhões de pessoas — tiveram seus dados biométricos capturados pelo TSE até o momento. E além de informações sobre cartões de votação, o repositório brasileiro de ID digital está sendo lançado com dados de seguridade social. Segundo o TSE, os dados do programa do ICN poderiam ser usados pelo Instituto Nacional de Seguridade Social (INSS) para reduzir fraudes nos benefícios.

De acordo com o órgão responsável pelo programa de Identificação Civil Nacional (ICN)[4], o Tribunal Superior Eleitoral (TSE), estados brasileiros estão atualmente sendo avaliados e preparados para a implementação da identificação digital nacional, prevista para novembro deste ano.

O projeto prevê a inclusão de outros documentos, como carteiras de motorista, certidões de nascimento e casamento, bem como dados de registro de saúde pública e, eventualmente, carteiras de identidade — que todo cidadão brasileiro já detém.

Espera-se que a identificação digital no Brasil seja totalmente implementada em 2020.

O Cenário Internacional

Os Estados Unidos [5]

De acordo com o relatório [6] publicado pela The Better Identity Coalition– uma organização focada no desenvolvimento de melhores soluções para verificação e autenticação de identidade, US $ 16,8 bilhões foram perdidos nos Estados Unidos devido a fraude de identidade em 2017 e no mesmo ano houve um aumento de 44,7% no número de violações de dados.

Quase 179 milhões de registros contendo informações pessoais foram expostos, ilustrando a inadequação dos atuais sistemas de identidade.

O Relatório apresenta um conjunto de recomendações de políticas consensuais, intersetoriais e agnósticas de tecnologia (“Plano de Política”) para abordar as inadequações existentes e melhorar a identidade digital nos Estados Unidos.

Estônia

A Estônia possui um dos sistemas de identificação digital mais avançados do mundo.

Muito mais do que um documento de identidade com foto legal, o cartão nacional obrigatório também oferece acesso digital a todos os serviços eletrônicos seguros da Estônia. 98% dos estonianos possuem identidade digital “cumulativa”, 67% usam ID-card regularmente, 88% usam a internet regularmente[9].

O chip do cartão carrega arquivos incorporados e, usando criptografia de chave pública de 2048 bits, pode ser usado como prova definitiva de identificação em um ambiente eletrônico.

Aqui estão alguns exemplos de como é usado regularmente na Estônia[10]:

  • identificação legal de viagem para cidadãos estonianos que viajam dentro da EU
  • cartão nacional de seguro de saúde
  • prova de identificação ao fazer login em contas bancárias
  • para assinaturas digitais
  • para i-votação
  • para verificar registros médicos,
  • apresentar declarações fiscais, etc.

A Estônia vê o próximo passo natural na evolução do estado eletrônico como a transferência de serviços básicos para um modo totalmente digital.

World Economic Forum

O Forum Economico Mundial possui uma iniciativa chamada Shaping the Future of Digital Economy and Society[12] (Moldando o futuro da economia digital e da sociedade), consistente em uma plataforma global de cooperação para construir uma economia digital sustentável, inclusiva e confiável.

Esta plataforma global de cooperação possui o objetivo de alcançar seis resultados em nível global:

  1. acesso e adoção — todas as pessoas — sem diferenças geográficas, de gênero ou renda — podem acessar e usar a Internet;
  2. transformação digital responsável(negócios, governos e líderes da sociedade civil devem agir com responsabilidade e competência para promover uma transformação digital sustentável),
  3. Adequado ao propósito, governança informada(Políticas globais, regionais, nacionais são informadas por evidências e bem equipadas para lidar com a natureza transnacional da conectividade digital),
  4. Pessoas, processos e práticas seguras e resilientes (todos os indivíduos, instituições e infra-estrutura são resilientes a vulnerabilidades criadas pelo aumento da conectividade digital),

5. identidades digitais centradas no usuário e interoperáveis

(pessoas podem acessar e usar regimes de identidade digital inclusos que melhoram seu bem-estar social e econômico),

6. Inovação de dados confiável (instituições e instituições podem compartilhar dados de criar valor social e econômico, respeitando a privacidade dos cidadãos digitais).

Tomando essas seis diretrizes como base para um mundo digital sustentável, inclusivo e confiável, uma economia digital, na Reunião Anual do Fórum Econômico Mundial de 2018, em Davos, um grupo diversificado de partes interessadas, públicas e privadas, comprometeu-se a cooperar de forma compartilhada para promover boas identidades digitais centradas no usuário.

Daí surgiu a Plataforma para uma Boa Identidade Digital, que visa avançar o progresso global em direção a identidades digitais que satisfaçam pelo menos cinco critérios.

Critérios às Plataformas para uma boa identidade digital

Segundo o World Economic Forum, uma boa identidade digital deve ser adequada ao propósito, inclusivas, útel, segura e oferecer opções para os indivíduos.

Tal será feito através do avanço da colaboração em seis áreas principais[13]:

1. — Movendo a ênfase além da identidade para todos, para identidades que fornecem valor ao usuário

2. Criando métricas e responsabilidade por uma boa identidade

3. Criação de novos modelos de governança para ecossistemas de identidade digital

4. Promover a mordomia da boa identidade

5. Incentivar as parcerias em torno das melhores práticas e da interoperabilidade, quando apropriado

6. Inovar com tecnologias e modelos e construir uma biblioteca de pilotos de sucesso

Apontando caminhos

1. construir novas estruturas de identidade baseadas no conceito de identidades descentralizadas

Graças a uma combinação de avanços tecnológicos, incluindo a crescente sofisticação dos smartphones, avanços na criptografia e o advento do blockchain, agora é possívelum subconjunto interessante de identidade descentralizada.

2. Buscar um sistema de identidade digital descentralizada autossoberana

Onde o usuário controla não apenas a identidade, mas também os dados associados a ela, o que é conhecido como identidades autossoberana (SSI). Em uma abordagem de SSI, o usuário tem um meio de gerar e controlar identificadores exclusivos, bem como alguma facilidade para armazenar dados de identidade. Os usuários ficam livres para usar os dados de identidade de que gostam. Estas podem ser credenciais verificáveis, mas também podem ser dados de uma conta de mídia social, um histórico de transações em um site de comércio eletrônico ou atestados de amigos ou colegas. Realmente não há limite.

3. Conscientização de que identidade digital é a soma total de todos os atributos que existem sobre nós no mundo digital, uma coleção de dados em constante crescimento e pontos em evolução.

4. Estabelecer uma coordenação internacional e a harmonização dos padrões de identidade

5. Educar consumidores e empresas sobre melhores soluções de identidade digital

6. os governos devem buscar parcerias com a indústria para educar consumidores e empresas sobre abordagens modernas e melhores práticas em proteção e verificação de identidade.

Um exemplo de um parceiro potencial que deve ser considerado, é a National Cyber Security Alliance (NCSA) — Aliança Nacional de Segurança Cibernética americana –, eis que a NCSA já possui um forte histórico na condução de parcerias público-privadas para educar o público sobre segurança cibernética.

Blockchain — solução poderosa para diferentes aspectos da estrutura de identificação descentralizada

No tocante a perspectivas e insights sobre identidade digital, há problemas persistentes — e cada vez mais sérios — na maneira como a identidade digital funciona hoje.

A maioria dos problemas relacionados à identidade digital não está, contudo, relacionada à tecnologia, mas sim aos processos.

Estamos migrando de uma internet centralizada (Web 1.0 e 2.0) para uma internet descentralizda (Web 3.0) já começou. Não é a toa que muitos países já adotando um paradigma de identidade descentralizada, principalmente na Europa — cujo objetivo é colocar o usuário no centro da estrutura e assim remover a necessidade de terceiros emitirem e administrarem identidade.

No mundo da identidade descentralizada, os usuários criam suas próprias identidades digitais. Isso geralmente começa com um usuário criando seu próprio identificador ou identificadores exclusivos e, em seguida, anexando informações a esse identificador de forma a possibilitar a comprovação de que é genuíno. Feito isso, o usuário pode coletar credenciais de autoridades confiáveis e produzi-las quando necessário.

Conquanto Blockchain não seja necessário para a identidade descentralizada, pode ser uma solução poderosa para diferentes aspectos da estrutura de identificação descentralizada (como o suporte à criação e registro de DIDs, credenciamento de notoriedade, fornecimento de uma infraestrutura descentralizada para controle de acesso e consentimento de uso de dados e potencial vinculação de credenciais a contratos inteligentes para, por exemplo, acionar pagamentos automatizados).

Embora desenvolvimentos técnicos e padrões sejam obviamente importantes para a implementação de uma nova estrutura de identidade digital, como em tantos outros aspectos da tecnologia, as questões legais e regulatórias também são extremamente importantes. Ainda mais se considerarmos que nossa identidade toca em tantos aspectos-chave de nossas vidas pessoais e econômicas.

Takeaway

Por fim, para promover o cenário de identidade digital ideal, os formuladores de políticas públicas poderiam…

1. Clarear as questões regulatórias “cinzentas”, em particular em torno da posição de assinaturas baseadas em novas tecnologias como blockchain e timestamps sob eIDAS.

2. Criar a estrutura de identidade digital descentralizada, ao mesmo tempo em que educa as agências governamentais e as incentiva a se envolver na construção, por exemplo, como emissores de credenciais verificáveis.

3. O governo pode e deve desempenhar um papel importante como emissor de credenciais verificáveis.

4. Legisladores devem modernizar o arcabouço legislativo referentes às plataformas de autenticação digital e reduzir as barreiras à adoção de sistemas de segurança inovadores.

5. Esclarecer questões abertas em torno da identidade descentralizada.

6. As novas legislações sobre privacidade, proteção de dadose segurança não devem ser escritas de forma tão ampla que possam impedir o uso de tecnologias promissoras para autenticação baseada em riscos.

7. Governos precisam dar especial atenção à cibersegurança e mitigação de risco cibernético, criando sistemas de detecção e proteção contra invasões, praticando cooperação com instituições públicas e privadas, contribuíndo significativamente para a conscientização dos usuários e está participando de intensa cooperação internacional.

— — —

Este texto foi escrito em razão de minha participação no painel Identidade Digital do World Legal Summit (WLS2019), realizado no Brasil, em Belo Horizonte, em 1º de agosto de 2019. Agradeço imensamente o convite à Comissão de Direito para Startups da OAB-MG.

— — —

Referências

[1]Blockchain and Digital Identity — European observatory

[2] quando determinou-se a fusão dos sistemas de registro em nível estadual em um futuro registro unificado de IDs.

[3]https://www2.camara.leg.br/legin/fed/lei/2017/lei-13444-11-maio-2017-784695-publicacaooriginal-152527-pl.html

[4]https://www.zdnet.com/article/brazil-attempts-to-advance-unified-id-project/

[5]Globo News, Edição das 18h — Terça-feira, 30/7/2019

[6]Better Identity in America: A Blueprint for Policymakers” (the “Report”): https://static1.squarespace.com/static/5a7b7a8490bade8a77c07789/t/5b4fe83b1ae6cfa99e58a05d/1531963453495/Better_Identity_Coalition+Blueprint+-+July+2018.pdf

[7]https://www.mccarthy.ca/en/insights/blogs/cyberlex/canadian-developments-digital-identity

[8]https://www.lexology.com/library/detail.aspx?g=3d51d401-0d30-4a58-ad62-2839145fd495

[9]https://e-estonia.com/solutions/e-identity/id-card/

[10]https://e-estonia.com/solutions/e-identity/id-card/

[11]https://ccdcoe.org/

[12]https://www.weforum.org/system-initiatives/shaping-the-future-of-digital-economy-and-society

[13]https://www.weforum.org/projects/digital-identity

The Global Strategy

Leveraging business with new technologies!

Tatiana Revoredo

Written by

CSO @theglobalstg.com | Liaison @ European Law Observatory on New Technologies | Blockchain | Cyber Risk Mitigation | Speaker | Book Author|

The Global Strategy

Leveraging business with new technologies!

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade