Microsoft ha admitido ante los organismos policiales escoceses que no puede garantizar la soberanía de los datos policiales del Reino Unido alojados en su infraestructura de nube pública a hiperescala, a pesar de que sus sistemas están desplegados en todo el sector de la justicia penal.
Según la correspondencia publicada por la Autoridad de Policía de Escocia (SPA) bajo las reglas de libertad de información (FOI), Microsoft no puede garantizar que los datos cargados en un sistema informático clave de la Policía de Escocia, la Capacidad para compartir evidencia digital (DESC), permanezcan en el Reino Unido según lo exige la ley.
Si bien la correspondencia no se ha publicado en su totalidad, la divulgación revela que los datos alojados en la infraestructura de nube pública de hiperescala de Microsoft se transfieren y procesan regularmente en el extranjero; que el acuerdo de procesamiento de datos vigente para el DESC no cubría los requisitos de protección de datos específicos del Reino Unido; y que si bien la empresa tiene la capacidad de realizar cambios técnicos para garantizar el cumplimiento de la protección de datos, sólo realiza estos cambios para los socios de DESC y no para otros organismos policiales porque “nadie más lo había pedido”.
La correspondencia también contiene reconocimientos de Microsoft de que las transferencias internacionales de datos son inherentes a su arquitectura de nube pública. Como resultado, los problemas identificados con la Policía Escocesa se aplicarán por igual a todos los usuarios del gobierno del Reino Unido, muchos de los cuales enfrentan limitaciones regulatorias similares en cuanto a la deslocalización de datos.
El destinatario de las divulgaciones de la FOI, Owen Sayers –un consultor de seguridad independiente y arquitecto empresarial con más de 20 años de experiencia en la creación de sistemas policiales nacionales– concluyó que ahora está claro que los datos policiales del Reino Unido han estado viajando al extranjero y “las declaraciones de Microsoft dejan claro que no pueden cumplir al 100% con la ley de protección de datos del Reino Unido”.
“Han confirmado por primera vez que una garantía de soberanía para los datos en reposo (que es lo que dan) no se extiende a los datos en proceso (que es lo que todos eligieron asumir) y no cubre el soporte (que todos ignoraron). )”, dijo, refiriéndose al reconocimiento de Microsoft de que ejecuta un modelo ‘seguir el sol’, que a su vez se refiere a cómo se brinda soporte técnico y de TI sin tener en cuenta la ubicación.
Owen Sayers, consultor de seguridad independiente y arquitecto empresarial
“Las medidas de soberanía a las que se comprometió Microsoft NO se extienden al soporte de ningún servicio; esto siempre dará lugar a transferencias internacionales”.
Sayers agregó que desde el momento en que esta información recién recibida ingresa al dominio público, ningún organismo policial del Reino Unido puede afirmar justificadamente que Microsoft esté procesando los datos legalmente. “Se ha trazado una línea debajo del período de ‘no lo sabíamos’ y cualquiera que utilice esta tecnología ahora está violando conscientemente la ley del Reino Unido”, afirmó.
Nicky Stewart, exjefe de TIC en la Oficina del Gabinete del gobierno del Reino Unido, dijo que la mayoría de las personas con conocimiento de cómo funciona la nube pública a hiperescala conocen estos problemas de soberanía de datos desde hace años.
“Claramente será una preocupación para cualquier fuerza policial que utilice Microsoft, pero es más amplia que eso”, dijo, y agregó que si bien la Parte 3 de la Ley de Protección de Datos (DPA) de 2018 estipula claramente que los datos de las fuerzas del orden deben conservarse En el Reino Unido, otros tipos de datos del sector público también deben mantenerse soberanos según el nuevo marco G-Cloud 14, que ha introducido un requisito de alojamiento de datos exclusivo del Reino Unido.
Stewart añadió además que la divulgación de la FOI “crea una oportunidad real para resolver algunos de estos problemas, dado que gran parte de los datos más sensibles del Reino Unido se encuentran ahora en estos sistemas de hiperescala”.
Computer Weekly se puso en contacto con Microsoft sobre cada aspecto de la historia y cada afirmación realizada.
“Microsoft tiene fuertes compromisos de protección y residencia de datos para Azure, que alberga la capacidad de intercambio de evidencia digital de Axon”, dijo un portavoz de Microsoft. “No hemos asumido ningún compromiso contractual que cambie la forma en que ya se ejecutan los servicios de Azure. Hemos trabajado con Police Scotland para aclarar cómo opera Azure y ayudarlos a determinar que pueden usar DESC en Azure de conformidad con las obligaciones para las fuerzas del orden establecidas en la Parte 3 de la Ley de Protección de Datos de 2018”.
Preocupaciones constantes por la nube policial
Desde que Computer Weekly reveló en diciembre de 2020 que docenas de fuerzas policiales del Reino Unido estaban procesando ilegalmente más de un millón de datos de personas en Microsoft 365, los expertos en protección de datos y los reguladores de tecnología policial han cuestionado varios aspectos de cómo la policía del Reino Unido ha implementado la infraestructura de nube pública a hiperescala, argumentando Actualmente no pueden cumplir con las estrictas normas específicas de aplicación de la ley establecidas en la Parte 3 de la DPA.
A principios de abril de 2023, Computer Weekly reveló que Police Scotland estaba poniendo a prueba el servicio DESC del gobierno escocés, contratado para su entrega con el proveedor de vídeos corporales Axon y alojado en Microsoft Azure, a pesar de que un organismo de control policial expresó su preocupación sobre cómo funciona el uso de Azure. “no sería legal”.
Específicamente, el organismo de control de la policía dijo que había una serie de otros altos riesgos no resueltos para los interesados, como el acceso del gobierno de EE. UU. a través de la Ley de Nube, que efectivamente le da al gobierno de EE. UU. acceso a cualquier dato, almacenado en cualquier lugar, por corporaciones estadounidenses en la nube; el uso por parte de Microsoft de contratos genéricos en lugar de específicos; y la incapacidad de Axon para cumplir con las cláusulas contractuales sobre la soberanía de los datos.
Computer Weekly también reveló que Microsoft, Axon y la Oficina del Comisionado de Información (ICO) estaban al tanto de estos problemas antes de que comenzara el procesamiento en el DESC. Los riesgos identificados se extienden a todos los sistemas en la nube utilizados con fines policiales en el Reino Unido, ya que se rigen por las mismas normas de protección de datos.
El procesamiento de datos internacional de Microsoft
La correspondencia publicada bajo FOI revela detalles de una reunión celebrada entre los socios de DESC y el equipo legal de Microsoft el 25 de abril de 2023.
Según el responsable de protección de datos (DPO) de la SPA, los abogados de Microsoft dijeron que consideran que el Reglamento General de Protección de Datos (GDPR), que no cubre el procesamiento policial, es el estándar de oro, pero que dependía del cliente determinar si que sea adecuado en función de los datos que están tratando. Esto refleja la posición que Microsoft expuso en comunicaciones a Sayers en abril de 2019 cuando se acercó por primera vez sobre las implicaciones de la Parte 3.
“También hubo una admisión tácita de que los datos pueden salir del Reino Unido. Informaron que esta es la naturaleza misma de la computación en la nube y que su apoyo es un ‘modelo de seguir el sol’”, dijo la SPA a la ICO en una actualización por correo electrónico sobre la reunión, lo que significa que el soporte técnico se brinda desde lugares de todo el mundo. .
“También afirmaron que había muchos otros organismos públicos que procesaban datos de la Parte 3 en Azure sin problemas. Nuestro representante de TI en la reunión informó que consideramos que ellos están equivocados y nosotros tenemos razón. De hecho, varias fuerzas policiales se han puesto en contacto con el proyecto DESC debido a los problemas que hemos descubierto en un producto que muchos de ellos utilizan para vídeos corporales”.
El DPO también dijo a Microsoft que las fuerzas policiales de Inglaterra y Gales no podían ignorar la debida diligencia del organismo de control, dada la cobertura de los medios y un aviso de información formal entregado por el Comisionado Escocés de Biometría en relación con el sistema: “Avisamos que estábamos tratando de resolver el asunto para todas las organizaciones sujetas a la Parte 3.”
En correspondencia posterior entre la SPA y la Policía de Escocia de diciembre de 2023, el director de tecnología de la fuerza explicó al DPO del organismo de control policial cuáles de sus servicios “pueden almacenar y procesar datos fuera de la geografía especificada”, incluidos los servicios en la nube de Azure; Explorador de datos de Azure; comprensión del lenguaje; Aprendizaje automático de Azure; Ladrillos de datos de Azure; Consola serie Azure; vista previa, beta y otros servicios de prelanzamiento.
La correspondencia publicada indicó que los servicios específicos no redactados enumerados no están siendo utilizados por la Policía de Escocia en este momento, pero se sabe que varios de ellos son utilizados por las fuerzas de Inglaterra y Gales.
Computer Weekly se puso en contacto con Microsoft sobre cómo impide que los datos se almacenen y procesen fuera de la geografía para estos elementos de Azure, pero no recibió respuesta.
Preocupaciones sobre la transferencia de datos
En seguimientos con Axon desde enero de 2024, el DPO de SPA presionó a la empresa para que confirmara que DESC no utiliza ninguna de estas funciones donde no se puede garantizar la soberanía de los datos, o que no estarían presentes datos policiales de la Parte 3 en ninguno de esos elementos. .
Si bien no se reveló la respuesta a esto, una actualización del DPO al ICO informó al regulador que, a mediados de enero de 2024, Microsoft había acordado realizar una serie de cambios en el Anexo de procesamiento de datos (DPAdd) que se utiliza para el DESC. , después de que la empresa aceptara que “no incluye los requisitos del RGPD del Reino Unido ni de la Parte 3”.
Computer Weekly preguntó tanto a Microsoft como a Police Scotland qué cambios se habían realizado para garantizar el cumplimiento del DESC con la Parte 3, pero no recibió ninguna respuesta específica sobre este punto de ninguna de las organizaciones.
En una respuesta separada de la FOI a Sayers en mayo de 2024, la SPA confirmó nuevamente que “Microsoft ha informado que no pueden garantizar la soberanía de los datos para M365” y que, en relación con Azure, la empresa “no puede aceptar un consentimiento específico”. [to transfer data internationally] caso por caso, ya que sería imposible ponerlo en práctica”.
Sin embargo, aclaró que, dadas las preocupaciones sobre la transferencia de datos, Microsoft había acordado asumir un compromiso adicional para almacenar y procesar los datos dentro de la región seleccionada: “Esto amplía el compromiso de ‘almacenamiento en reposo’ de los términos del producto para almacenar los datos del cliente en reposo a incluir la ubicación tanto del almacenamiento como del procesamiento”.
A pesar de los cambios realizados, persisten cuestiones sobre hasta qué punto los órganos policiales escoceses tendrán supervisión y control de los datos que se transfieren al extranjero, como lo exige la Parte 3 de la DPA.
“El verdadero problema que tenemos ahora es que dicen que no realizarían transferencias internacionales sin nuestro consentimiento”, dijo la DPO de SPA. “Pero al firmar para aceptar el DPAdd, lo toman como consentimiento. Hemos expresado nuestra posición de que esto no cumple con S59, S73 o S77. [of Part 3].”
Según la Parte 3, no puede haber una aprobación general para tales transferencias, ya que el procesador no debe enviar datos al extranjero a menos que se le indique específicamente que lo haga caso por caso. Cada transferencia también deberá ser comunicada directamente al ICO.
Estos comentarios se hicieron en un correo electrónico del DPO al ICO a mediados de diciembre de 2023, pero la divulgación en sí no deja claro si los cambios técnicos que está implementando Microsoft incluirán medidas para garantizar permisos caso por caso para transferencias internacionales. .
Sin embargo, incluso si se hicieran estos cambios, el compromiso de Microsoft de no acceder a los datos de los clientes sin permiso se complica aún más por los términos de servicio, que hacen que esa promesa sea estrictamente condicional al darle a la empresa la capacidad de acceder a los datos sin permiso si tienen que cumplir una carga legal, como responder a solicitudes gubernamentales de datos o mantener el servicio.
En cuanto a que los organismos policiales tendrían que dar su consentimiento a Microsoft para cada transferencia internacional, Sayers señaló que se trata de un requisito explícito de la Parte 3, ya que es “un requisito de permiso caso por caso”.
Añadió que, dadas las divulgaciones de Microsoft a la SPA, “ahora debe ser obvio que los servicios M365 y Azure Cloud no cumplen con los dos requisitos clave” para ser un procesador o subprocesador legal de datos policiales según la DPA 18.
“Estos son: uno, realizar todas las actividades de procesamiento y soporte 100% desde dentro del Reino Unido; y dos, solo realizar una transferencia internacional si el controlador les indica específicamente que realicen la transferencia en particular”, dijo.
“Microsoft ha confirmado que no se compromete ni puede comprometerse con el requisito uno para sus servicios M365, o incluso para la mayoría de los servicios que operan y admiten en Azure. También han dicho que no pueden “hacer operativos” solicitudes individuales como se les exige en virtud del artículo 59(7) de la ley, por lo que no cumplen con el requisito dos.
“No puede haber evidencia más clara que las propias aclaraciones de Microsoft de que no pueden cumplir con los requisitos legales para un procesador o subprocesador de datos policiales”.
Stewart dijo: “Si no es posible…