Es fácil criticar al gobierno por desperdiciar £ 175 millones en uno de sus muchos sistemas de identidad, pero el problema de establecer una identidad en línea es uno de los grandes desafíos técnicos de nuestro tiempo.
Desde la década de 1960, hemos utilizado información personal como nombres de usuario y contraseñas para vincular el tráfico entrante a una cuenta específica. Este enfoque tenía sentido en la década de 1960 para iniciar sesión en una computadora, pero hoy la persona promedio tiene más de 130 cuentas en línea.
Junto con los nombres de usuario y las contraseñas, con frecuencia se nos solicita nuestro nombre completo, información de contacto, detalles de pago, direcciones, fecha de nacimiento, extractos bancarios, facturas de servicios públicos y el apellido de soltera de la madre para establecer quiénes somos. Almacenada en los servidores de cientos de empresas, esta información se comercializa tanto legal como ilegalmente, ya que los anunciantes nos rastrean y perfilan y los delincuentes nos apuntan.
En su último intento por resolver el problema de la identidad, el Departamento de Cultura, Medios, Medios Digitales y Deporte (DCMS) publicó recientemente su borrador de reglas de camino para gobernar el uso futuro de las identidades digitales.
Marco de confianza
El marco de confianza El documento de política describe el compromiso del gobierno de asumir «un papel de liderazgo en el desarrollo del mercado de la identidad digital».
Al tratar la «identidad» como un producto o servicio que venderán los proveedores de identidad comercial, DCMS está pasando por alto el hecho de que la «identidad» puede expresarse en cambio como la respuesta a una pregunta específica, formulada por una organización y respondida por otra. Por ejemplo: «¿Tiene más de 18 años?»; «¿Tiene un ingreso mensual superior a £ 1200?»; “¿Tiene menos de tres puntos en su carnet de conducir?”; “¿Es usted residente del Reino Unido?”; “¿Puede la policía identificarle si infringe la ley?”.
Los datos necesarios para responder a estas preguntas están en manos de diferentes empresas y organismos gubernamentales y no deben ser centralizados por proveedores de identidad comercial.
La propuesta de Foundation 2, desarrollada por Demos, argumenta que estas preguntas pueden expresarse como solicitudes estandarizadas, desarrolladas y mantenidas por un nuevo organismo de estándares y enrutadas entre organizaciones existentes.
Cada solicitud realizaría una función específica utilizando la cantidad mínima de datos personales, por ejemplo, la respuesta a la pregunta: «¿Tiene un ingreso mensual superior a £ 1200?» sería sí o no.
El gobierno no debería desarrollar estos estándares, debería regularlos. Argumentamos que un nuevo organismo de estándares, financiado por la industria, debería desarrollar estos estándares y que el regulador, la Oficina del Comisionado de Información (ICO), debería entonces autorizar a las organizaciones a enviar o recibir estas solicitudes. Esto reduciría la carga financiera del estado y evitaría el riesgo de captura regulatoria que ocurre cuando los gobiernos intentan desarrollar y regular nuevos estándares.
Cuando una persona elige interactuar con una organización, estas solicitudes estandarizadas se enviarían al proveedor del sistema operativo (SO) de su dispositivo, como Apple, Google o Microsoft. El proveedor del sistema operativo relacionaría la organización que realiza las solicitudes con las organizaciones que podrían responder, verificaría que tuvieran licencia del regulador y presentaría al usuario la opción de dar su consentimiento. Esto mostraría el nombre de la organización que realiza la solicitud, el tipo de solicitudes y las organizaciones que podrían responder.
Si el usuario da su consentimiento, el proveedor del sistema operativo enrutará estas solicitudes a la organización correcta, se establecerá una conexión directa y se devolverá una respuesta. Sin utilizar ninguna información personal, este proceso conectaría a una organización que necesita algo con una organización que puede proporcionarlo, todo dentro de una arquitectura estandarizada, regulada y basada en el consentimiento.
El problema del descubrimiento
La idea del gobierno de un mercado de identidades digitales ignora el problema de descubrimiento inherente al que se enfrenta cualquier proveedor de identidad. Cuando un individuo elige interactuar con una organización, la organización no sabe dónde reside su identidad digital.
Este problema del huevo y la gallina afecta a empresas como Yoti que quieren ofrecer una identidad digital, pero nadie la usará porque en ninguna parte la acepta, y en ninguna parte la aceptará porque nadie la está usando.
En las interacciones en línea, las empresas necesitarían incluir cientos de botones para cada proveedor posible, parecido a los primeros días de Internet cuando los motores de búsqueda mostraban listas de temas en los que un usuario podía hacer clic. Google resolvió este problema enrutando a los usuarios al sitio web correcto, y ahora se necesita un proceso similar para la identidad digital.
La propuesta de Foundation 2 hace exactamente eso. Las empresas y los gobiernos realizarían solicitudes específicas, minimizando la cantidad de datos compartidos. El regulador otorgaría licencias a las organizaciones para enviar y recibir estas solicitudes, proporcionando seguridad y reduciendo el riesgo, al igual que la DVLA reduce el riesgo al otorgar licencias a las personas para conducir.
Un formulario de consentimiento estandarizado pondría a los usuarios en control y reduciría procesos complejos como comprar una casa a unos pocos clics. Todo esto se lograría sin esperar que nadie creara una nueva identidad digital con un proveedor de identidad comercial.
Si bien esta propuesta describe las aplicaciones existentes, como la identificación y los pagos, el organismo de estándares continuaría desarrollando estándares para nuevos casos de uso y el regulador continuaría otorgando licencias a las organizaciones para enviar o recibir estas solicitudes. Si una empresa desarrollara un programa que pudiera predecir con precisión el riesgo de enfermedad cardíaca en función de los datos de pago y de salud, se podría diseñar una solicitud que habilitara esta importante aplicación y el regulador podría entonces licenciar estas organizaciones.
Juntos, la estandarización de solicitudes, la concesión de licencias a las organizaciones y el consentimiento claro del usuario, crearían un ecosistema de interfaz de programación de aplicaciones (API) capaz de admitir cualquier número de aplicaciones útiles.
Al tratar de mejorar el manejo de las identidades digitales, DCMS no ha logrado abordar las diversas necesidades de los usuarios, las empresas y el gobierno, el problema de descubrimiento inherente y los riesgos de centralizar datos con proveedores de identidades comerciales.
El documento de política de Trust Framework identifica con éxito muchos de los desafíos y oportunidades que rodean la identidad digital, pero el DCMS debe centrarse en la función reguladora de las organizaciones de licencias para realizar solicitudes específicas y no en las organizaciones de certificación para proporcionar atributos o identidades digitales no especificados. El documento reconoce la necesidad de hacerlo bien, pero apoyar un mercado de identidades digitales que pronto se volverá redundante no es el enfoque correcto.
Jon Nash es miembro del grupo de expertos de varios partidos Demos.