El organismo de control biométrico del Reino Unido cuestiona los despliegues de la nube policial

Los organismos policiales y de justicia del Reino Unido deben poder demostrar que su uso cada vez mayor de la infraestructura de la nube pública cumple con las normas de protección de datos específicas de las fuerzas del orden, dice el comisionado de biometría.

Como comisionado para la retención y el uso de datos biométricos, Fraser Sampson es responsable de supervisar el uso policial del ADN y las huellas dactilares en Inglaterra, Gales e Irlanda del Norte. También es responsable de monitorear el uso de cámaras de vigilancia en espacios públicos bajo su rol de comisionado de cámaras de vigilancia.

Durante una comparecencia ante el Comité Conjunto de Derechos Humanos del Parlamento en febrero de 2023, Sampson señaló que había una “cultura de no eliminación” en la policía del Reino Unido en lo que respecta a la retención de información biométrica.

Gran parte de esta información biométrica ahora se retiene o se traslada a una infraestructura de nube pública de hiperescala, lo que expone a los interesados ​​a una serie de riesgos.

Hablando con Computer Weekly sobre el uso de proveedores de nube pública hiperescala para almacenar y procesar datos biométricos confidenciales, Sampson dijo que “la carga de la prueba recae en la policía como [data] controladores, no solo para proporcionar la información y garantías, sino también para demostrar que su procesamiento cumple con todos los requisitos pertinentes [data protection] requisitos”.

Agregó que la carga de la prueba no era solo una cuestión de ley, sino de gobernanza, rendición de cuentas y fomento de la confianza pública en la forma en que la policía utiliza las nuevas tecnologías.

El paso a la nube

En abril de 2023, Computer Weekly informó que el servicio Digital Evidence Sharing Capability (DESC) del gobierno escocés, contratado con el proveedor de video corporal Axon para su entrega y alojado en Microsoft Azure, se está probando actualmente a pesar de las principales preocupaciones de protección de datos planteadas por los organismos de control sobre cómo el uso de Azure “no sería legal”.

De acuerdo con una Evaluación de impacto de protección de datos (DPIA) realizada por la Autoridad de Policía de Suecia (SPA), que señala que el sistema procesará información genética y biométrica, los riesgos para los derechos de los interesados ​​incluyen el acceso del gobierno de EE. el acceso del gobierno de EE. UU. a cualquier dato, almacenado en cualquier lugar, por parte de corporaciones estadounidenses en la nube; el uso de Microsoft de contratos genéricos en lugar de específicos; y la incapacidad de Axon para cumplir con las cláusulas contractuales sobre la soberanía de los datos.

También existe la preocupación de que la transferencia de datos personales, incluidos datos biométricos, a los EE. UU., una jurisdicción con estándares de protección de datos demostrablemente más bajos, podría a su vez afectar negativamente los derechos de rectificación y eliminación de datos de las personas y no estar sujetos a la toma de decisiones automatizada.

Si bien SPA DPIA señaló que el riesgo de acceso del gobierno de EE. UU. a través de la Ley de la Nube era “poco probable… las consecuencias serían cataclísmicas”.

La publicación de la SPA DPIA también cuestiona la legalidad de las implementaciones en la nube por parte de los organismos policiales y de justicia penal en Inglaterra y Gales, ya que una variedad de otras DPIA vistas por Computer Weekly no evalúan los riesgos descritos por la SPA en torno a los proveedores de la nube de EE. UU. a pesar de regirse por las mismas normas de protección de datos.

En diciembre de 2020, por ejemplo, una investigación de Computer Weekly reveló que las fuerzas policiales del Reino Unido estaban procesando ilegalmente los datos personales de más de un millón de personas, incluida la biometría, en el servicio de nube pública a hiperescala Microsoft 365, después de no cumplir con los requisitos contractuales y de procesamiento clave dentro de Parte tres de la Ley de protección de datos de 2018, como las restricciones impuestas a las transferencias internacionales.

En particular, las DPIA divulgadas a Computer Weekly a través de solicitudes de libertad de información mostraron que los riesgos de enviar datos personales confidenciales a una empresa con sede en EE. UU., que está sujeta al régimen de vigilancia intrusiva del gobierno de EE. UU., no se consideraron adecuadamente.

Otros usos de los proveedores de la nube de EE. UU. en todo el sector de la justicia penal del Reino Unido incluyen la integración de la base de datos de huellas dactilares Ident1 con Amazon Web Services (AWS) bajo la plataforma en la nube Xchange de Police Digital Services (PDS); y la plataforma de video en la nube de HM Courts and Tribunals, que está parcialmente alojada en Azure y procesa información biométrica en forma de grabaciones de audio y video de los procedimientos judiciales.

“El desempeño pasado es un buen predictor del desempeño futuro, y los antecedentes penales de la policía sobre protección de datos y bases de datos no son excelentes”, dijo Sampson, señalando un fallo del Tribunal Superior de 2012 que determinó que la retención de imágenes de custodia por parte de la Policía Metropolitana era ilegal sobre la base de que la información sobre personas no condenadas estaba siendo tratada de la misma manera que la información sobre personas que finalmente fueron condenadas, y que el período de retención de seis años era desproporcionado.

“Todavía tenemos millones de fotografías, ni siquiera sabemos cuántos millones de fotografías, retenidas ilegalmente en una base de datos, con la excusa de que no se creó con la capacidad de eliminación masiva”.

Si bien estas imágenes de custodia, retenidas en la Base de datos nacional de la policía (PND), no se encuentran actualmente en la infraestructura de la nube, el Ministerio del Interior tiene planes de trasladar tanto el PND como la Computadora nacional de la policía (PNC) a una plataforma basada en la nube.

Los riesgos deben ser asegurados y mitigados

Sampson dijo que los organismos policiales y judiciales deben estar seguros de que los riesgos para los derechos de datos de las personas se han mitigado a un nivel apropiado para la base de datos o la información almacenada en ella, y que estos organismos deben aceptar la carga de la prueba que enfrentan.

“Si desea que el público confíe en su equipo y en lo que está haciendo, y en sus socios contratados, entonces debe poder demostrarlo”, dijo. “Esto no es solo una molestia. Si la gente le hace estas preguntas a la policía, eso no es simplemente una molestia, y no es alguien tratando de atraparlos: es una función elemental del liderazgo y la gobernanza en la policía que no solo respondemos a estas preguntas de desafío, sino que invitamos a ellos.”

“Si desea que el público confíe en su kit y en lo que está haciendo, y en sus socios contratados, entonces debe poder mostrar [that the risks have been mitigated]”

Fraser Sampson, comisionado de biometría y cámaras de vigilancia

Agregó que los cuerpos policiales, si han realizado la diligencia debida adecuada, deberían poder responder preguntas sobre sus implementaciones en la nube “de manera inmediata e inequívoca, y deberían presionar para aprovechar la oportunidad de hacerlo”.

Sampson agregó además que los oficiales superiores de policía deberían poder explicar a sus comunidades lo que significa el uso de la nube para sus datos personales.

“Cloud es un eufemismo brillantemente esponjoso que en realidad no dice nada sobre el sistema”, dijo. “Lo que quieres saber es, ‘¿En qué país se almacenan mis datos y qué significa eso?’. Es muy básico. ¿Y cuáles son los riesgos de que se acceda a eso de forma maliciosa o judicial?”.

Los organismos policiales y judiciales también deben ser conscientes de los riesgos que puede generar depender tanto de ciertos proveedores y sistemas. “Estamos creando más y más dependencias para la vigilancia operativa y la aplicación de la ley en estos sistemas, y cuando creas una dependencia, creas un riesgo”, dijo Sampson.

Agregó que era importante que los problemas se trataran antes durante el proceso de adquisición inicial, en lugar de después de que surgieran los problemas, ya que puede llevar a situaciones en las que los tomadores de decisiones perciban que el costo de salir de un servicio contratado es demasiado alto. incluso si hay problemas claros.

“Esas preguntas estratégicas deben ser preguntas para el Ministerio del Interior y el Servicio Digital de la Policía desde el principio”, dijo. “Esta es la primera conversación que he tenido sobre algo de esto. Nadie ha discutido esto con nuestra oficina”.

Para Sampson, parte del problema es que en toda la policía del Reino Unido, hay un bajo nivel de comprensión o supervisión sobre lo que los sistemas que están implementando son capaces de hacer y cómo se deben manejar los datos dentro de ellos.

Por ejemplo, mientras que la Ley de Protección de Datos y el Reglamento General de Protección de Datos (GDPR) del Reino Unido entraron en vigor en mayo de 2018, la gran mayoría de las DPIA de vigilancia vistas por Computer Weekly no mencionan las reglas específicas de aplicación de la ley establecidas en la Parte 3. del primero

Sampson señaló, sin embargo, que en sus reuniones con las fuerzas policiales y los órganos judiciales, nunca escuchó mencionar la Parte 3 o la Directiva de aplicación de la ley de la Unión Europea en la que se basa.

“A menos que tenga esa comprensión y se haya asegurado con todas estas preguntas de desafío, ¿cómo puede asegurarle a las personas cuyo dinero usó para comprarlo y quiénes son los datos personales muy confidenciales que está usando? él dijo.

“Creo que deben asegurarse de haber identificado y cubierto los riesgos, y si no lo han hecho, entonces deben hablar con el Ministerio del Interior y el regulador de datos sobre cómo abordarlos”.

Soberanía digital

En el primer informe anual que cubre su doble función, que se entregó a la ministra del Interior Suella Braverman en noviembre de 2022 y se presentó ante el Parlamento el 9 de febrero de 2023, Sampson destacó la compra de tecnología de reconocimiento facial de la firma china Hikvision por parte de las autoridades públicas del Reino Unido, incluida la policía. como un riesgo de seguridad nacional, dada la cantidad de sitios sensibles en los que se estaba instalando el equipo.

Sampson señaló que si bien muchos citan las leyes de seguridad nacional de China como una preocupación, sobre la base de que cualquier empresa con sede allí podría verse obligada a entregar datos al gobierno chino, lo mismo ocurre con casi todos los gobiernos.

“No son sólo los chinos los que lo harán. Estoy seguro de que si tiene algo de importancia para la seguridad nacional en su timbre Ring, encontraremos una manera de obligarlo a vomitarlo”, dijo.

Al señalar el ejemplo de los drones de la policía del Reino Unido, Sampson agregó que cuando le preguntó al proveedor principal dónde se almacenaban todas las imágenes de video capturadas por las cámaras de los drones, se ofreció el uso de AWS como medida de seguridad.

“Cuanto más confiemos en los datos capturados por los ciudadanos, más importante será la cuestión del almacenamiento y el acceso”

Fraser Sampson, comisionado de biometría y cámaras de vigilancia

“Esto no está todo almacenado en China, está almacenado en AWS y, por lo tanto, no tiene nada de qué preocuparse. Esa es la tranquilidad que me dieron”, dijo. “Es interesante porque este no es un desafío de país de origen, es un desafío de seguridad en torno a los procesos. Realmente no importa, en algunos aspectos, dónde está alojado, es el grado en que tienes algo de soberanía”.

Agregó que este problema del acceso de gobiernos extranjeros solo aumentaría en importancia, ya que las entidades encargadas de hacer cumplir la ley del Reino Unido dependen cada vez más de los datos capturados por los ciudadanos en las investigaciones.

Como ejemplo, señaló que, si bien las pruebas de ADN estrictamente reguladas contribuyen a alrededor del 1 % de las investigaciones, las pruebas digitales (de teléfonos móviles, cámaras de seguridad domésticas, imágenes de las cámaras de los coches, etc.) probablemente contribuyen a alrededor del 70 %, pero no tienen ni de lejos el mismo nivel de supervisión en torno al almacenamiento y procesamiento.

“Cuanto más confiemos en los datos capturados por los ciudadanos, más importante será la cuestión del almacenamiento y el acceso”, dijo, y agregó que estos problemas en última instancia deberán ser resueltos por el Ministerio del Interior, dado que el uso de la nube de hiperescala ahora es un problema policial en todo el Reino Unido que va mucho más allá del estrecho ámbito biométrico de Sampson.

Computer Weekly preguntó a la Oficina del Comisionado de Información (ICO, por sus siglas en inglés) sobre la prevalencia de los proveedores de la nube de EE. UU. en todo el sector de la justicia penal del Reino Unido y si su uso es compatible con las normas de protección de datos del Reino Unido, como parte de su cobertura del sistema DESC. La oficina de prensa de ICO no pudo responder y remitió las preguntas de Computer Weekly al equipo de FOI para obtener más respuestas.

Computer Weekly también contactó al Ministerio del Interior, pero no recibió respuesta.

Exit mobile version