Três agências governamentais que fizeram parceria em um projeto de US $ 68 milhões para renovar o sistema de asilo do Canadá falharam em concluir os testes obrigatórios de proteção à privacidade por anos enquanto o projeto estava sendo implementado, aprendeu a CBC Information.
A falta de proteções de privacidade levanta “Bandeiras vermelhas”, dizem os advogados e podem ter colocado em risco os dados e aplicativos dos requerentes de refugiados.
Imigração, refugiados e cidadania Canadá (IRCC), a Agência de Serviços de Fronteiras do Canadá (CBSA) e o Conselho de Imigração e Refugiados (IRB) trabalharam juntos no “Projeto de Interoperabilidade de Asilo”, que transformaria o sistema de asilo em um digital mais eficiente e abordam o backlog em constante crescente pendente, que atualmente fica em mais de 290.000.
No início deste ano, a CBC informou que o projeto, lançado em 2019, foi encerrado prematuramente em 2024 No que a CBSA chamou de um movimento “inesperado”.
Agora, os documentos obtidos através da legislação de acesso a informações mostram que houve avaliações de impacto de privacidade “pendentes” (PIA) para o projeto, que foi descartado silenciosamente quando estava apenas 64 %.
De acordo com um Manual de Privacidade Digital do Governouma PIA é um “processo político para identificar, avaliar e mitigar possíveis riscos de privacidade antes que eles aconteçam”.
“Todas essas etapas precisam ser concluídas antes do lançamento da iniciativa”, diz esse guia.
Embora o projeto de interoperabilidade tenha sido descartado, ele implementou alterações em como os dados são coletados digitalmente e usados - o que significa que a conclusão de Pias continua sendo uma parte essencial desse processo de identificação de risco, disse Andrew Koltun, um advogado de imigração e refugiado que também pratica a lei de privacidade.
Os departamentos disseram à CBC por e -mail, no entanto, que as avaliações de privacidade ainda estão incompletas. O IRCC disse que está atualmente redigindo sua parte da PIA e espera que seja feito até o ultimate de 2025.
O fato de eles ainda não terminarem, disse Koltun, levanta “muitas bandeiras vermelhas”.
“Infelizmente, se você não tiver uma avaliação de impacto da privacidade, o risco é ampliado sobre como esses dados podem ser vazados e obtidos por atores adversos”, disse ele.
O Conselho do Tesouro do Secretariado do Canadá diretivo Exige que este exame de saúde da privacidade seja feito “antes de” lançar ou atualizar projetos, nos casos em que uma instituição planeja “modificar substancialmente” a maneira como as informações estão sendo coletadas e usadas por razões administrativas.
O projeto de interoperabilidade de asilo criou um processo de aplicação de refugiados on -line, uma mudança significativa das aplicações em papel.
O projeto ajudou a incorporar alguma automação e permitir mais troca de informações em tempo actual entre os departamentos, de acordo com os documentos. Também construiu a capacidade do governo de cancelar automaticamente licenças de trabalho ou estudo válidas quando uma ordem de remoção é emitida, entre outras melhorias.
‘Batata quente’ com responsabilidades
O Escritório do Comissário de Privacidade do Canadá chama as avaliações de privacidade de um “sistema de alerta precoce” que pode ajudar a construir a confiança do público, garantindo que as agências governamentais sejam legalmente compatíveis e protegendo a privacidade das pessoas.
O cão de vigilância da privacidade recusou uma entrevista, dizendo que realiza consultas de privacidade em confiança, mas reiterou em um e mail que o Comissário havia recomendado anteriormente que as obrigações da PIA fossem integradas à lei.
De acordo com um briefing da CBSA, observe que a CBC obteve, parecia haver confusão interna sobre quem period responsável pelo PIAS.
Os documentos revelam que havia uma expectativa inicial para uma grande avaliação de privacidade liderada pelo IRCC.
Mas três anos depois, no ultimate de 2022, o IRCC notificou a CBSA e o IRB de que eles não estavam mais fazendo uma PIA “para todo o projeto e que cada parceiro seria responsável por seus”.
Então, a CBSA disse que o IRCC mudou a abordagem “e ampliou o escopo para uma avaliação no nível do programa”, mostram os documentos.
Quando o projeto foi encerrado inesperadamente no ano passado, a CBSA disse que os Pias eram “uma questão extraordinária” e o IRCC ainda esperava que os outros parceiros ainda concluíssem seus planos de privacidade.
“No entanto, dada a falta de financiamento, a falta de recursos … são necessárias mais discussões”, lê a nota da CBSA.
Koltun, que revisou os documentos internos, descreve os departamentos jogando “Sizzling Potato” com verificações de privacidade, quando deveria ter sido um “bloco básico de construção”.
“[This] é emblemático da incansável impulso do IRCC para buscar a modernização digital a uma velocidade vertiginosa sem necessariamente garantir que toda a mitigação de risco adequada seja feita de antemão “, disse ele.
“O espaço de refugiados é uma área ruim para adotar uma abordagem de teste beta de ‘trabalhar rápido e quebrar as coisas e depois consertá-la depois.'”
A privacidade viola clientes ‘traumatizantes’, diz o advogado
Greg Willoughby, advogado de refugiados em Londres, Ontário, diz que o IRCC envia e -mails “com mais frequência do que [he] pode contar “que divulgam documentos privados e informações altamente sensíveis para os candidatos que não são seus clientes.
“Parece ser uma falta sistêmica de preocupação com questões de privacidade e confidencialidade”, disse Willoughby.
Um dos piores exemplos, lembrou -se, foi quando o IRCC enviou um e -mail aos membros da família de seu cliente no Irã – membros da família que ela estava fugindo – alertando -os para sua reivindicação de proteção de refugiados.
“Pensei: ‘O que é isso? Esses são os agentes da perseguição'”, disse Willoughby. “Foi realmente traumatizante e prejudicial para ela. Foi horrível”.
Não está claro se há um vínculo entre as atualizações digitais no projeto de interoperabilidade de asilo e as experiências de Willoughby com violações de privacidade nos últimos anos.
Mas Willoughby adverte o foco do governo na eficiência e integração tecnológica sem salvaguardas de privacidade adequadas é “muito, muito perigoso” – especialmente se os dados correrem o risco de ser acessado indevidamente por maus atores.
“Os governos e os departamentos de imigração devem ser muito paranóicos. Isso deve ser o topo de espírito”.
Um grande projeto para garantir e renovar o sistema de asilo do Canadá foi fechado no ano passado – uma mudança “inesperada” para alguns do governo, aprendeu a CBC Information. Agora, alguns críticos temem que os resultados alcançados possam ser mais prejudiciais do que benéficos para pessoas que buscam proteção no Canadá.
Departamento, resposta do tribunal ‘inadequado’
Em um comunicado, o IRCC disse que o tipo de informação que está sendo coletado e compartilhado entre os parceiros não mudou, mas sim “o [project] Criou interfaces para garantir a transmissão segura dessas informações “.
O IRCC ainda afirma que está seguindo a diretiva da Secretaria do Conselho do Tesouro – embora que a Diretiva declara o PIAS deva ser completa antes da implementação de iniciativas, especialmente quando há “o uso de qualquer tecnologia da informação nova ou modificada”.
“Todos os acordos entre parceiros do governo incluem fortes salvaguardas”, escreveu o IRCC.
Enquanto isso, a CBSA disse que “não está mais buscando” uma avaliação de impacto da privacidade e apontou para o IRCC como líder nesse projeto.
“A CBSA reconhece a importância do processo da PIA”, escreveu um porta -voz.
O IRB disse que “analisou cuidadosamente as implicações de privacidade” quando o projeto foi lançado e as preocupações com a privacidade determinadas “ainda foram abordadas adequadamente” em uma PIA existente para seus próprios sistemas.
Koltun disse que as respostas do IRCC e do IRB são “inadequadas” porque “desconsidera os deveres legais” sob a diretiva federal.
“Quando um processo novo ou modificado da informação ou de TI é usado, o requisito mínimo nu é que uma PIA atualizada seja criada”, afirmou.
