La Oficina del Comisionado de Información (ICO) ha brindado asesoramiento a la Policía de Escocia sobre cómo hacer que sus implementaciones en la nube cumplan con las leyes de protección de datos específicas de la policía, pero señala que la guía “no constituye una aprobación para el despliegue o garantía de cumplimiento”.
Publicado por la Autoridad de Policía de Escocia (SPA) bajo libertad de información (FOI), el aviso enviado a la Policía de Escocia, que llega más de un año después de que Computer Weekly revelara que su programa piloto de Capacidad para compartir evidencia digital (DESC) se implementó con importantes preocupaciones sobre la protección de datos. en enero de 2024: proporciona más detalles sobre la postura de la ICO de que la policía del Reino Unido puede utilizar legalmente la infraestructura de nube pública a hiperescala.
Si bien el regulador confirmó previamente a Computer Weekly en enero de 2024 que creía que la policía del Reino Unido puede utilizar legalmente servicios en la nube que envían datos confidenciales de las fuerzas del orden al extranjero con “protecciones adecuadas”, se negó a especificar cuáles son estas protecciones.
El consejo publicado bajo FOI ahora aclara que la ICO cree que el cumplimiento se puede lograr mediante el uso de acuerdos internacionales interrelacionados, a saber, los Acuerdos de Transferencia Internacional de Datos (IDTA) del Reino Unido o el Anexo a las Cláusulas Contractuales Estándar (SCC) de la Unión Europea.
El asesoramiento de la ICO, firmado por la comisionada adjunta Emily Keaney, explica con más detalle los tipos de diligencia debida en materia de protección de datos que cree que requieren las fuerzas policiales para garantizar que los flujos de datos estén mapeados y autorizados adecuadamente, y también aclara las vías a través de las cuales el gobierno de EE. UU. puede acceder. los datos policiales a través de la Ley de la Nube; que permite a las autoridades estadounidenses acceder a datos de proveedores de comunicaciones que operan en su jurisdicción bajo ciertas circunstancias.
Sin embargo, los expertos en protección de datos han cuestionado la viabilidad de estas rutas, alegando que no está claro cómo la ICO ha llegado a la conclusión de que estos controles, que se basan en las normas del Reglamento General de Protección de Datos (GDPR) del Reino Unido, también pueden aplicarse a una estricta aplicación de la ley. -reglas específicas establecidas en la Parte Tres de la Ley de Protección de Datos (DPA) de 2018, y si estos mecanismos pueden de hecho impedir el acceso del gobierno de EE. UU.
A pesar de que las fuerzas recurrieron a la ICO en busca de orientación sobre el asunto, el regulador también fue claro en que corresponde a los propios controladores de datos (es decir, los organismos policiales involucrados en DESC) descubrir y decidir por sí mismos si estas protecciones de hecho harían que el el almacenamiento y procesamiento de datos se lleva a cabo legalmente. “La ICO en realidad dijo que si usted confía en el consejo y resulta ser incorrecto, o se descubre que ha violado la Ley, pueden y deben procesarlo de todos modos”, dijo el consultor de seguridad independiente Owen Sayers, a quien se reveló la guía. bajo FOI. “Por tanto, es tan útil como el techo corredizo de un submarino”.
Responsabilidades legales
Al comentar sobre el asesoramiento de ICO, el oficial legal y de políticas de Open Rights Group, Mariano delli Santi, dijo que si bien los organismos policiales tienen responsabilidades legales como controladores para llevar a cabo toda su propia diligencia debida (y se debe esperar que lo hagan), el regulador también tiene un deber. supervisar cómo las autoridades públicas utilizan estos sistemas. “Realmente no parece que la ICO esté examinando las cuestiones de transferencia internacional de datos en esta área”, dijo, añadiendo que la ICO debe tener un interés activo en presionar a los organismos policiales para que apliquen la ley. “¿Cómo están supervisando? ¿Qué auditorías han realizado a las autoridades públicas que confían en estos sistemas?
Basado en el mismo conjunto de divulgaciones de FOI, Computer Weekly informó anteriormente detalles de las discusiones entre Microsoft y la Autoridad de Policía de Escocia (SPA), en las que el gigante tecnológico admitió que no puede garantizar la soberanía de los datos policiales del Reino Unido alojados en su infraestructura de nube pública de hiperescala.
Específicamente, demostró que los datos alojados en la infraestructura de Microsoft se transfieren y procesan rutinariamente en el extranjero; que el acuerdo de procesamiento de datos vigente para DESC no cubría los requisitos de protección de datos específicos del Reino Unido; y que si bien la empresa tiene la capacidad de realizar cambios técnicos para garantizar el cumplimiento de la protección de datos, sólo está preparada para realizar estos cambios para los socios de DESC y no para otros organismos policiales porque “nadie más lo había pedido”.
Los documentos también contienen reconocimientos de Microsoft de que las transferencias internacionales de datos son inherentes a su arquitectura de nube pública, y que limitar las transferencias basándose en aprobaciones individuales por parte de una fuerza policial, como lo exige la Parte 3 de la DPA, “no se puede poner en práctica”.
Computer Weekly se puso en contacto con la ICO sobre todos los aspectos de las divulgaciones de la libertad de información (incluido si las confesiones de Microsoft sobre la soberanía de los datos cambiarían su consejo), pero se negó a responder preguntas específicas basándose en que el “período preelectoral” le impide hacerlo. de sensibilidad”.
Sin embargo, un portavoz de la ICO dijo: “Este es un tema complejo con varios factores a considerar, por lo que nos hemos tomado el tiempo necesario para revisar y brindar a nuestras partes interesadas orientación relevante. Consideramos que los organismos encargados de hacer cumplir la ley pueden utilizar servicios en la nube que procesen datos fuera del Reino Unido cuando existan las protecciones adecuadas.
“La legislación de protección de datos es un marco basado en riesgos que exige que todas las organizaciones sean responsables de la información personal que procesan”, dijeron. “Esperamos que todas las organizaciones, incluidas las fuerzas del orden, evalúen y gestionen adecuadamente cualquier riesgo asociado con su propio procesamiento de información personal. Hemos considerado cuidadosamente el cumplimiento en esta área y continuamos brindando asesoramiento a las agencias policiales de todo el Reino Unido sobre el uso de tecnologías de manera que cumplan con la ley de protección de datos”.
Preocupaciones constantes por la nube policial
Desde que Computer Weekly reveló en diciembre de 2020 que docenas de fuerzas policiales del Reino Unido estaban procesando ilegalmente más de un millón de datos de personas en Microsoft 365, los expertos en protección de datos y los reguladores de tecnología policial han cuestionado varios aspectos de cómo la policía del Reino Unido ha implementado la infraestructura de nube pública a hiperescala, argumentando Actualmente no pueden cumplir con las estrictas normas específicas de aplicación de la ley establecidas en la DPA.
A principios de abril de 2023, Computer Weekly reveló que el servicio Digital Evidence Sharing Capability (DESC) del gobierno escocés, contratado para su entrega con el proveedor de vídeos corporales Axon y alojado en Microsoft Azure, estaba siendo puesto a prueba por la Police Scotland a pesar de que un organismo de control policial había planteado preocupaciones sobre cómo el uso de Azure “no sería legal”.
Específicamente, el organismo de control de la policía dijo que había una serie de otros altos riesgos no resueltos para los interesados, como el acceso del gobierno de EE. UU. a través de la Ley de Nube, que efectivamente le da al gobierno de EE. UU. acceso a cualquier dato, almacenado en cualquier lugar, por corporaciones estadounidenses en la nube; el uso por parte de Microsoft de contratos genéricos, en lugar de específicos; y la incapacidad de Axon para cumplir con las cláusulas contractuales sobre la soberanía de los datos.
Computer Weekly también reveló que Microsoft, Axon y el ICO estaban al tanto de estos problemas antes de que comenzara el procesamiento en DESC. Los riesgos identificados se extienden a todos los sistemas de nube pública utilizados con fines policiales en el Reino Unido, ya que se rigen por las mismas normas de protección de datos.
En enero de 2024, en respuesta a preguntas de Computer Weekly sobre si también utiliza servicios de nube pública de hiperescala con sede en EE. UU. para sus propias funciones de procesamiento de cumplimiento de la ley, la ICO envió un paquete de DPIA de 495 páginas de documentos que detallan una serie de sistemas en uso. por el ICO.
Según estos documentos, la ICO es explícita en que utiliza una gama de servicios que se encuentran en la infraestructura de la nube de Microsoft Azure para fines de procesamiento de cumplimiento de la ley. Sin embargo, se negó a hacer ningún comentario sobre su base legal o la realización de dicho procesamiento, y en qué medida su propio uso de estos servicios en la nube le ha impedido alcanzar una posición formal sobre si el uso de estos servicios entra en conflicto con las normas de protección de datos del Reino Unido. .
El consejo de la ICO
La opinión del regulador de que el uso de servicios de nube pública a hiperescala por parte de los organismos encargados de hacer cumplir la ley del Reino Unido puede ser legal si existen “protecciones adecuadas” se describe en los correos electrónicos enviados a la SPA el 2 de abril de 2024.
En la correspondencia, el regulador de datos detalla dos vías principales que, en su opinión, permitirían a DESC cumplir con los estrictos requisitos de transferencia de la Parte Tres.
“En primer lugar, cuando se aplican las normas de adecuación del RGPD del Reino Unido, en la mayoría de los casos, podrá confiar en la Sección 75(1)(b) en que ha evaluado todas las circunstancias y ha decidido que existen salvaguardas adecuadas para proteger los datos; o segundo, confiando en un ‘instrumento legal que contiene salvaguardias apropiadas para la protección de datos personales’ de la Sección 75(1)(a) que vincula al destinatario de los datos”, dijo el comisionado adjunto de política regulatoria de la ICO.
“Consideramos que el IDTA o la Adenda a las SCC de la UE (la ‘Adenda’) son capaces de cumplir con este requisito. Sin embargo, usted es responsable de llevar a cabo la debida diligencia para garantizar que, en las circunstancias específicas de su transferencia, y en particular la naturaleza a menudo confidencial de los datos de la Parte 3, el IDTA o el Anexo proporcionen el nivel adecuado de protección”.
Si bien el IDTA es un contrato legal publicado por la ICO para salvaguardar los datos personales que se envían fuera del Reino Unido a ciertos terceros países, los SCC son contratos elaborados por la Comisión Europea para proteger los flujos de datos desde la UE.
En vigor desde marzo de 2022, las organizaciones del Reino Unido pueden utilizar el IDTA como documento independiente o utilizar el “Apéndice del Reino Unido” a las SCC de la UE para que las “transferencias restringidas” cumplan con la ley de protección de datos del Reino Unido. Sin embargo, Sayers dijo que este mecanismo puede ayudar con el cumplimiento del RGPD del Reino Unido y no se extiende a la tercera parte del procesamiento policial.
“Es sorprendente que la ICO se haya referido a la adecuación del RGPD del Reino Unido en sus directrices, y no a la aplicación de la ley. [LED] adecuación”, afirmó. “Si bien muchos países disfrutan de la adecuación del GDPR en el Reino Unido y Europa, muy pocos tienen la adecuación del LED, y es este último el que sería necesario para fines policiales. No está claro cómo el regulador ha cometido un error tan simple”.
Transferencias internacionales
La ICO agregó que, ya sea que se realice o no una transferencia internacional al proveedor de servicios en la nube como procesador, la naturaleza de los servicios en la nube significa que es “muy probable” que haya más transferencias internacionales por parte del proveedor de servicios en la nube a sus subprocesadores. , cuya cartografía corresponde a los órganos policiales como controladores.
“Su responsabilidad (según la Sección 59) es garantizar que el proveedor de servicios en la nube solo contrate subprocesadores extranjeros con su autorización y le brinde garantías suficientes de que cuenta con medidas técnicas y organizativas apropiadas que sean suficientes para garantizar que el procesamiento se llevará a cabo. (a) cumplir con los requisitos de [Part 3] y (b) garantizar la protección de los derechos del interesado”, dijo.
“Como parte de su diligencia debida, para aquellos subprocesadores que no se encuentran en un país con el beneficio de una regulación de adecuación del RGPD del Reino Unido, deberán estar satisfechos de que los contratos del proveedor de servicios en la nube con sus subprocesadores contengan una Sección 75 apropiada. salvaguardia. De la misma manera que puede realizar transferencias restringidas según la Parte 3, un proveedor de servicios en la nube podrá confiar en el IDTA o el Anexo, siempre que realice una TRA. [Transfer Risk Assessment].”
Computer Weekly se puso en contacto con la ICO, la Policía de Escocia y Microsoft para confirmar si se había llevado a cabo alguna evaluación del riesgo de transferencia, pero no recibió respuesta al respecto.
Más información
El asesoramiento también proporciona más información sobre cómo se pueden aplicar las responsabilidades de diligencia debida de los órganos policiales al celebrar un contrato con proveedores de servicios en la nube.
Dice, por ejemplo, que las fuerzas policiales deberían tener en cuenta si los compromisos contractuales contienen un IDTA o un Addendum; si la TRA realizada confirma que proporciona un nivel adecuado de protección; y si el procesador está obligado a informar al controlador sobre los cambios en su lista de subprocesadores.
“Somos conscientes de que se han presentado enmiendas aclaratorias a la Parte 3 de la DPA en el marco del Proyecto de Ley de Protección de Datos e Información Digital, destinadas a proporcionar una mayor seguridad jurídica en relación con las transferencias internacionales de datos para los controladores y procesadores que transfieren datos personales con fines de aplicación de la ley”, agregó. .
Sin embargo, según Nicky Stewart, exjefe de TIC de la Oficina del Gabinete del gobierno del Reino Unido, si los controladores de datos policiales, como la Policía de Escocia, dependen de las SCC para proporcionar equivalente…