Las fuerzas policiales ‘deben’ realizar comprobaciones de diligencia debida de protección de datos antes de utilizar la nube de AWS respaldada por PDS

Se advierte a las fuerzas policiales de Inglaterra y Gales que recuerden que tienen la responsabilidad de garantizar que el uso de la plataforma en la nube impulsada por Amazon del Servicio Digital de Policía (PDS) cumpla con la Parte 3 de la Ley de Protección de Datos de 2018.

Esto se debe a las preocupaciones constantes sobre si las fuerzas policiales del Reino Unido están haciendo lo suficiente para garantizar el cumplimiento de las leyes de protección de datos requeridas antes de adoptar los servicios de nube pública.

PDS se hizo público a principios de este mes con la noticia de que la última versión de su plataforma en la nube impulsada por Amazon Web Services (AWS) ya está disponible para que la utilicen las 43 fuerzas policiales de Inglaterra y Gales.

La plataforma, conocida como Police Assured Landing Zone (PALZ), está diseñada para brindar a las fuerzas acceso a un conjunto de herramientas, que abarcan almacenamiento en línea, capacidad de cómputo y colaboración basada en la nube, que les permitirán incorporar tecnologías en la nube en sus TIC. sistemas

“El intercambio de datos rápido, seguro y proporcionado entre fuerzas y socios es vital para investigar delitos complejos y mantener a las personas a salvo de daños, y PDS está siguiendo el enfoque de ‘nube primero’ del gobierno, alineado con el Estrategia de seguridad cibernética del gobierno para lograr esto”, dijo un portavoz de PDS a Computer Weekly.

“La zona de aterrizaje asegurada por la policía brinda servicios policiales con un diseño preasegurado reutilizable creado en asociación con Amazon Web Services, y es uno de los proveedores de tecnología basada en la nube con los que está trabajando el PDS para ayudar a las fuerzas a cumplir con los requisitos. ambiciones establecidas en la Estrategia Digital Nacional de Policía”.

El PDS es responsable de supervisar la entrega de la Estrategia Digital de la Policía Nacional, y se entiende que la organización comenzó a trabajar con AWS en PALZ en 2020, lo que resultó en que la primera versión de la plataforma esté disponible en 2021.

“Esta colaboración [with AWS] apoya las ambiciones de la Estrategia Digital de Vigilancia Nacional de ‘habilitar a los oficiales y al personal’ y ‘empoderar al sector privado’”, dijo PDS en una publicación de blog que anuncia la última versión de PALZ el 2 de febrero de 2022.

“PDS está trabajando con proveedores como AWS para ofrecer ‘tecnología central modernizada’, a través de la adopción de un principio de ‘nube primero’ para el uso de aplicaciones y datos”.

El objetivo general de la Estrategia Digital de la Policía Nacional es garantizar que las fuerzas policiales dentro del ámbito de competencia del PDS tengan acceso a las capacidades digitales que necesitan para hacer un uso mejor y más eficiente de los datos que tienen a su disposición para resolver delitos y proteger la público.

Para cumplir con este objetivo, el documento de estrategia habla de la necesidad de una “transición a la nube coordinada a nivel nacional” con fuerzas alentadas a adoptar una mentalidad de “nube primero” para aplicaciones y datos donde tiene sentido económico hacerlo.

El consultor de privacidad independiente Owen Sayers, que tiene más de 20 años de experiencia en la entrega de sistemas policiales nacionales, dijo a Computer Weekly que las fuerzas policiales no deben pasar por alto sus obligaciones de cumplimiento de protección de datos en la prisa por cumplir con la estrategia digital de la Policía Nacional. primera” postura.

“Hay docenas de cosas que [forces] hay que analizar en profundidad para adoptar uno de estos [public] servicios en la nube, o algo sentado en uno de estos servicios en la nube”, dijo.

Una parte importante de estos controles es garantizar que las implementaciones en la nube propuestas se alineen con la Parte 3 de la Ley de Protección de Datos (DPA) de 2018, que también requiere que cada fuerza realice una evaluación de impacto de protección de datos (DPIA) antes de la implementación.

Esta parte específica del DPA 2018 establece, por primera vez, reglas legales específicas para el procesamiento de datos personales por parte de las fuerzas del orden.

La DPA también estipula que las fuerzas deben solicitar permiso antes de transferir cualquier dato internacionalmente a un tercer país, lo que significa que, en el contexto de PALZ, las fuerzas deben buscar garantías sobre dónde se almacenarán los datos que alojan en la nube.

Dado que PALZ se basa en la infraestructura de la nube de AWS, las fuerzas pueden estipular en qué región desean almacenar sus datos, lo que debería, según entiende Computer Weekly, incluir una opción para alojarlo dentro de su región de centro de datos del Reino Unido.

Aun así, el incumplimiento de la Parte 3 de la DPA 2018 puede poner a las organizaciones en riesgo de sanciones monetarias considerables, que son supervisadas y aplicadas por la Oficina del Comisionado de Información (ICO).

En situaciones como esta, el organismo de control de protección de datos del Reino Unido consultará inicialmente con la organización para asesorarlos sobre cómo hacer que sus operaciones cumplan con las normas, al tiempo que se reserva el derecho de emitir dos niveles de sanciones monetarias. Estos incluyen una “sanción máxima estándar” de aproximadamente 9 millones de libras esterlinas o el 2 % de la facturación anual de la organización, o un “máximo más alto” de 18 millones de libras esterlinas o el 4 % de la facturación anual. En ambos casos, la organización infractora será sancionada con la multa que resulte mayor.

Es por eso que es esencial que las fuerzas hagan su debida diligencia antes de registrarse para usar PALZ, agregó Sayers.

“PDS puede enumerar y promover estos servicios, pero dado que no es una autoridad competente, el DPA 2018 no se aplica a ellos, lo que significa que no tienen ninguna responsabilidad aquí”, dijo. “Son las fuerzas que utilizan este servicio las que [risk] violando la ley y son ellos quienes deben hacer su debida diligencia de lo que el PDS está tratando de venderles”.

El PDS dijo que PALZ había sido “específicamente diseñado para alinearse con el Consejo del Jefe de la Policía Nacional”. [NPCC] Principios de Seguridad de la Información y vino equipado con documentación de “mapeo de control” que las fuerzas pueden usar para “mitigar los riesgos” identificados al llevar a cabo sus DPIA.

Computer Weekly se puso en contacto con PDS y AWS para aclarar si todos los datos alojados en PALZ se alojarían en el Reino Unido y si sus términos de servicio se alinearían con la Ley de Protección de Datos del Reino Unido de 2018, Parte 3.

En respuesta, un portavoz de PDS le dijo a Computer Weekly: “PDS está satisfecha, después de haber considerado todos los aspectos de la compleja legislación y orientación que afectan a esta área de negocios, que nuestro enfoque con los proveedores de tecnología basada en la nube sigue siendo legal y apropiado. PDS siempre ha actuado de manera legal, tomando asesoramiento legal experto y consultando con la Oficina del Comisionado de Información”.

Agregó: “PDS continúa trabajando con fuerzas para brindar asesoramiento y apoyo a los arreglos locales de DPIA y ayudarlos a responder a las circunstancias cambiantes y las prioridades operativas”.

Mientras tanto, AWS no abordó directamente la pregunta, pero un portavoz del gigante de la nube pública dijo que la organización y sus socios estaban “orgullosos de trabajar con el PDS y las fuerzas policiales en todo el Reino Unido”.

“La tecnología está transformando la forma en que se denuncian los delitos y se gestionan los datos, lo que facilita la colaboración con las agencias de todo el sector público del Reino Unido”, dijo el portavoz.

“Adoptar la nube es un paso esencial en el camino para acelerar la innovación y desarrollar las capacidades que la policía del Reino Unido necesita para responder con agilidad a los desafíos futuros”.

Exit mobile version