La policía de Escocia recibe un aviso formal sobre el sistema en la nube

El comisionado de biometría escocés ha enviado a la Policía de Escocia un aviso de información, requiriendo que la fuerza demuestre que su implementación de un sistema de evidencia digital basado en la nube cumple con las reglas de protección de datos específicas de las fuerzas del orden del Reino Unido.

A principios de abril de 2023, Computer Weekly reveló que el servicio Digital Evidence Sharing Capability (DESC) del gobierno escocés, contratado con el proveedor de video corporal Axon para su entrega y alojado en Microsoft Azure, se está probando actualmente a pesar de las principales preocupaciones de protección de datos planteadas por perros guardianes sobre cómo el uso de Azure “no sería legal”.

De acuerdo con una Evaluación de impacto de protección de datos (DPIA) realizada por la Autoridad de Policía de Suecia (SPA), que señala que el sistema procesará información genética y biométrica, los riesgos para los derechos de los interesados ​​incluyen el acceso del gobierno de EE. el acceso del gobierno de EE. UU. a cualquier dato, almacenado en cualquier lugar, por parte de corporaciones estadounidenses en la nube; el uso de Microsoft de contratos genéricos, en lugar de específicos; y la incapacidad de Axon para cumplir con las cláusulas contractuales sobre la soberanía de los datos.

También existe la preocupación de que la transferencia de datos personales a los EE. UU., una jurisdicción con estándares de protección de datos demostrablemente más bajos, podría a su vez afectar negativamente los derechos de rectificación, eliminación de datos de las personas y no estar sujetos a la toma de decisiones automatizada.

Si bien SPA DPIA señaló que el riesgo de acceso del gobierno de EE. UU. a través de la Ley de la Nube era “poco probable… las consecuencias serían cataclísmicas”.

A raíz de los informes de Computer Weekly sobre el servicio DESC, el comisionado de biometría escocés, Brian Plastow, envió a la Policía de Escocia (el principal controlador de datos del sistema) un aviso informativo el 22 de abril de 2023, que otorga la fuerza hasta mediados de junio para proporcionar información sobre su cumplimiento de la protección de datos.

El aviso de información en sí hace referencia directa a la cobertura DESC de Computer Weekly. “Ahora estoy lo suficientemente preocupado por las posibles implicaciones de DESC que, de acuerdo con las disposiciones de la sección 16 de la Ley del Comisionado de Biometría de Escocia de 2020, ahora debo solicitar a la Policía de Escocia que me brinde información para poder determinar si la Policía de Escocia está cumpliendo. con los elementos de protección de datos de mi Código de práctica legal”, escribió en el aviso formal.

Plastow también describió la información específica que le gustaría recibir, incluso si se han realizado transferencias de datos biométricos; qué tipos se han transferido; en qué volúmenes; y en qué país se alojan los datos.

“Si se han intercambiado datos biométricos como parte de DESC, confirme si la Policía de Escocia cumple plenamente con la Parte 3 de la Ley de Protección de Datos del Reino Unido de 2018 relevante para el procesamiento de las fuerzas del orden, y con el Principio 10 del Código de Práctica del Comisionado de Biometría de Escocia”. dijo, refiriéndose a un código legal que entró en vigencia en Escocia el 16 de noviembre de 2022 luego de la aprobación del gobierno escocés.

El Principio 10 del código se relaciona específicamente con la promoción de tecnologías que mejoran la privacidad y señala que la forma en que se adquieren, retienen, usan y destruyen los datos biométricos debe garantizar que los datos estén protegidos contra el acceso o la divulgación no autorizados.

“Para garantizar el cumplimiento del Código de prácticas, la policía de Escocia debe demostrar que cualquier uso de la infraestructura de nube a hiperescala que involucre datos biométricos cumple con las reglas de protección de datos específicas de las fuerzas del orden”, dijo Plastow. “La mejor manera de lograr esto sería tener una plataforma de alojamiento que esté completamente ubicada en el Reino Unido y que cumpla con todos los requisitos de la Parte 3 de la Ley de Protección de Datos de 2018 sobre el procesamiento con fines de aplicación de la ley.

“Si este no es el caso con DESC, entonces para garantizar que se mantenga la confianza del público, la Policía de Escocia debe explicar a los ciudadanos qué significa el uso de la nube para sus datos personales. Esto significa ser abierto con los ciudadanos sobre en qué país se almacenarán sus datos y, si la respuesta a esa pregunta no es el Reino Unido, explicar los riesgos obvios de que se acceda a esos datos extremadamente sensibles de forma judicial o maliciosa”.

En respuesta al aviso, un portavoz de la Policía de Escocia dijo: “La Policía de Escocia se toma muy en serio la gestión y la seguridad de los datos, y está trabajando junto con los socios de la justicia penal para garantizar que se implementen procesos sólidos, efectivos y seguros para respaldar el desarrollo del sistema DESC.

“Toda la evidencia digital en el sistema DESC en Dundee se mantiene de forma segura y solo es accesible para el personal aprobado, como los oficiales de policía, [Crown Office and Procurator Fiscal Service] COPFS y agentes de defensa. El acceso a esta información está completamente auditado y monitoreado, y existen procesos para garantizar que cualquier riesgo de datos se identifique, evalúe y mitigue rápidamente. Continuaremos interactuando con el Comisionado de Biometría para brindar la garantía requerida con respecto a la protección y seguridad de datos a medida que avanza el piloto en Dundee”.

Falta de aprobación regulatoria

Según el aviso, Plastow también está buscando información sobre qué discusión tuvo lugar con la Oficina del Comisionado de Información (ICO) sobre cuestiones de transferencias internacionales y soberanía digital, y para que la Policía de Escocia confirme si todos los problemas se resolvieron a satisfacción del ICO.

Computer Weekly preguntó previamente al ICO sobre la prevalencia de los proveedores de la nube de EE. UU. en todo el sector de la justicia penal del Reino Unido y si su uso es compatible con las normas de protección de datos del Reino Unido, como parte de su cobertura del sistema DESC. La oficina de prensa de ICO no pudo responder y remitió las preguntas de Computer Weekly al equipo de FOI para obtener más respuestas.

El 24 de abril, el equipo de ICO FOI respondió que, si bien obtuvo asesoramiento legal sobre el tema, el asunto está en curso y aún no ha llegado a una posición formal al respecto. Sin embargo, el consejo en sí mismo fue retenido, ya que está sujeto al secreto profesional legal.

El ICO también confirmó que “nunca ha otorgado una aprobación regulatoria formal para el uso de estos sistemas en un contexto de aplicación de la ley”.

Sin embargo, la correspondencia de la SPA con la ICO, también divulgada bajo FOI, reveló que el regulador estuvo en gran medida de acuerdo con sus evaluaciones de los riesgos, y señaló que el apoyo técnico de los EE. UU. o el acceso del gobierno de los EE. UU. a través de la Ley de la Nube constituiría una transferencia internacional de datos.

“Es poco probable que estas transferencias cumplan con las condiciones para una transferencia compatible”, dijo. “Para evitar una posible infracción de la ley de protección de datos, recomendamos encarecidamente asegurarse de que los datos personales permanezcan en el Reino Unido buscando soporte técnico en el Reino Unido”.

Consulta previa

En correspondencia separada con Police Scotland (nuevamente divulgada bajo FOI), el ICO señaló: “Si tiene un alto riesgo residual restante en su DPIA que no se puede mitigar, se requiere una consulta previa con el ICO según la sección 65 DPA 2018. No puede ir adelante con el procesamiento hasta que nos haya consultado.”

Si bien Plastow dio la bienvenida a los objetivos estratégicos de DESC para transformar digitalmente la forma en que el sistema de justicia escocés maneja las pruebas, confirmó que su oficina nunca fue contratada ni por el gobierno escocés ni por la Policía de Escocia hasta una reunión celebrada el 29 de noviembre de 2022.

En esta reunión, que el propio Plastow solicitó después de darse cuenta de que los datos biométricos podrían compartirse a través del sistema, el grupo asesor profesional del comisionado buscó garantías sobre cuestiones de seguridad y soberanía de datos de la Policía de Escocia.

Después de una presentación de la fuerza, los miembros del grupo asesor solicitaron que las diapositivas sobre DESC se distribuyeran posteriormente. Sin embargo, el superintendente que hizo la presentación indicó que tendría que considerar esta solicitud, ya que algunas de las diapositivas pueden contener información comercialmente confidencial: “El paquete de diapositivas nunca se recibió”.

Un problema en todo el Reino Unido

La publicación de la SPA DPIA también cuestiona la legalidad de las implementaciones en la nube por parte de los organismos policiales y de justicia penal en Inglaterra y Gales, ya que una variedad de otras DPIA vistas por Computer Weekly no evalúan los riesgos descritos por la SPA en torno a los proveedores de la nube de EE. UU. a pesar de regirse por las mismas normas de protección de datos.

En diciembre de 2020, por ejemplo, una investigación de Computer Weekly reveló que las fuerzas policiales del Reino Unido estaban procesando ilegalmente los datos personales de más de un millón de personas, incluida la biometría, en el servicio de nube pública a hiperescala Microsoft 365, después de no cumplir con los requisitos contractuales y de procesamiento clave dentro de Parte tres de la Ley de protección de datos de 2018, como las restricciones impuestas a las transferencias internacionales.

En particular, las DPIA divulgadas a Computer Weekly a través de solicitudes de libertad de información mostraron que los riesgos de enviar datos personales confidenciales a una empresa con sede en EE. UU., que está sujeta al régimen de vigilancia intrusiva del gobierno de EE. UU., no se consideraron adecuadamente.

Otros usos de los proveedores de la nube de EE. UU. en todo el sector de la justicia penal del Reino Unido incluyen la integración de la base de datos de huellas dactilares Ident1 con Amazon Web Services (AWS) bajo la plataforma en la nube Xchange de Police Digital Services (PDS); y la plataforma de video en la nube de HM Courts and Tribunals, que está parcialmente alojada en Azure y procesa información biométrica en forma de grabaciones de audio y video de los procedimientos judiciales.

A mediados de abril de 2023, el comisionado de biometría de Inglaterra y Gales, Fraser Sampson, dijo a Computer Weekly que los organismos policiales y judiciales del Reino Unido deben poder demostrar que su uso cada vez mayor de la infraestructura de nube pública cumple con las normas de protección de datos específicas de las fuerzas del orden.

Hablando específicamente sobre el uso de proveedores de nube pública hiperescala para almacenar y procesar datos biométricos confidenciales, Sampson dijo que “la carga de la prueba recae en la policía como [data] controladores, no solo para proporcionar la información y garantías, sino también para demostrar que su procesamiento cumple con todos los requisitos pertinentes [data protection] requisitos”. Agregó que la carga de la prueba no era solo una cuestión de ley, sino de gobernanza, rendición de cuentas y fomento de la confianza pública en la forma en que la policía utiliza las nuevas tecnologías.

Durante una comparecencia ante el Comité Conjunto de Derechos Humanos del Parlamento en febrero de 2023, Sampson señaló que había una “cultura de no eliminación” en la policía del Reino Unido en lo que respecta a la retención de información biométrica.

Exit mobile version