La policía de Escocia optó por no consultar al regulador de datos antes de implementar su sistema de intercambio de evidencia digital basado en la nube, a pesar de identificar una serie de “altos riesgos” con el procesamiento de datos, según han revelado las divulgaciones de libertad de información (FOI).
Las revelaciones también muestran que, aunque la Oficina del Comisionado de Información (ICO) había sido previamente informada de los riesgos y los había reconocido, estaba pidiendo aclaraciones sobre su gravedad y por qué no se solicitó una consulta formal casi tres meses después del despliegue piloto del sistema con personas en vivo. información personal.
A principios de abril de 2023, Computer Weekly reveló que el servicio Digital Evidence Sharing Capability (DESC) del gobierno escocés, contratado para su entrega con el proveedor de vídeos corporales Axon y alojado en Microsoft Azure, estaba siendo puesto a prueba por Police Scotland a pesar de que un organismo de control policial expresó su preocupación. sobre cómo el uso de Azure “no sería legal”.
Específicamente, el organismo de control de la policía dijo que había varios otros riesgos elevados no resueltos para los interesados, como el acceso del gobierno de EE. UU. a través de la Ley de Nube, que efectivamente le da al gobierno de EE. UU. acceso a cualquier dato, almacenado en cualquier lugar, por corporaciones estadounidenses en la nube; el uso por parte de Microsoft de contratos genéricos en lugar de específicos; y la incapacidad de Axon para cumplir con las cláusulas contractuales sobre la soberanía de los datos.
Sin embargo, la correspondencia divulgada bajo las reglas de la FOI entre la Policía de Escocia y la ICO ahora revela que la fuerza creía que no era necesario consultar formalmente con el regulador sobre DESC porque existían “mitigaciones” y había un “compromiso continuo y detallado” con el regulador. .
La correspondencia también revela que la Policía de Escocia creía que el acceso del gobierno estadounidense a través de la Ley de la Nube sería “improbable” porque los datos que posee en Microsoft no se ajustan a los criterios de esa legislación. Sin embargo, la Policía de Escocia añadió: “Hasta la fecha no se conoce ninguna jurisprudencia que ilustre esta posición”.
La correspondencia también revela que, a pesar de estar a la vista de los altos riesgos a través de reuniones anteriores con otros socios de DESC, la ICO estaba haciendo un seguimiento con la Policía de Escocia para aclarar los riesgos y por qué no hubo una consulta formal iniciada por la fuerza en abril de 2023. casi tres meses después de que el sistema ya hubiera sido implementado.
Hemos trabajado estrechamente con socios de justicia penal para garantizar que todos los controles de seguridad, protección y gobernanza de datos necesarios estén implementados y cumplan legalmente antes de cualquier implementación nacional del sistema de Capacidad de Intercambio de Evidencia Digital.
Portavoz de la policía de Escocia
Computer Weekly se puso en contacto con Police Scotland sobre todos los aspectos de la historia y cada afirmación hecha por los expertos en protección de datos.
“Hemos trabajado estrechamente con socios de justicia penal para garantizar que todos los controles de seguridad, protección y gobernanza de datos necesarios estén implementados y cumplan con la ley antes de cualquier implementación nacional del sistema de Capacidad de Intercambio de Evidencia Digital”, dijo un portavoz. “Reconocemos el interés público en los controles de seguridad de datos de DESC y continuamos colaborando con el Comisionado Escocés de Biometría y la Oficina del Comisionado de Información según sea necesario”.
Computer Weekly también se puso en contacto con la ICO para explicar por qué sólo buscó aclaraciones tres meses después del lanzamiento de DESC, especialmente teniendo en cuenta que ya se le había informado de los altos riesgos a través de otras vías, pero no recibió respuesta sobre este punto.
“Este es un tema complejo con varios factores a considerar, por lo que nos hemos tomado el tiempo necesario para revisar y brindar a nuestras partes interesadas orientación relevante. Consideramos que los organismos encargados de hacer cumplir la ley pueden utilizar servicios en la nube que procesan datos fuera del Reino Unido, donde existen las protecciones adecuadas”, dijo un portavoz de ICO.
Preocupaciones constantes por la nube policial
Desde que Computer Weekly reveló en diciembre de 2020 que docenas de fuerzas policiales del Reino Unido estaban procesando los datos de más de un millón de personas ilegalmente en Microsoft 365, los expertos en protección de datos y los reguladores de tecnología policial han cuestionado varios aspectos de cómo la policía del Reino Unido ha implementado la infraestructura de nube pública a hiperescala. , argumentando que actualmente no pueden cumplir con las estrictas reglas específicas de aplicación de la ley establecidas en la Parte 3 de la Ley de Protección de Datos (DPA) de 2018.
Computer Weekly luego reveló en abril de 2023 que la Policía de Escocia estaba poniendo a prueba el servicio DESC del gobierno escocés a pesar de las claras preocupaciones sobre la protección de datos; y que Microsoft, Axon y el ICO estaban al tanto de estos problemas antes de que comenzara el procesamiento en DESC. Los riesgos identificados se extienden a todos los sistemas en la nube utilizados con fines policiales en el Reino Unido, ya que se rigen por las mismas normas de protección de datos.
En enero de 2024, en respuesta a preguntas de Computer Weekly sobre si también utiliza servicios de nube pública de hiperescala con sede en EE. UU. para sus propias funciones de procesamiento de cumplimiento de la ley, la ICO envió un paquete de Evaluaciones de Impacto de Protección de Datos (DPIA): 495 páginas de ellas. – detallando una serie de sistemas utilizados por la OIC.
Según estos documentos, la ICO es explícita en que utiliza una gama de servicios que se encuentran en la infraestructura de la nube de Microsoft Azure para fines de procesamiento de cumplimiento de la ley. Sin embargo, se negó a hacer ningún comentario sobre su base legal o la realización de dicho procesamiento, y en qué medida su propio uso de estos servicios en la nube le ha impedido alcanzar una posición formal sobre si el uso de estos servicios entra en conflicto con las normas de protección de datos del Reino Unido. .
Otras revelaciones recientes de la FOI revelaron que tras el despliegue piloto DESC de Police Scotland en enero de 2023, Microsoft admitió ante la Autoridad de la Policía Escocesa (SPA) que no puede garantizar la soberanía de los datos policiales del Reino Unido alojados en su infraestructura de nube pública de hiperescala.
Específicamente, demostró que los datos alojados en la infraestructura de Microsoft se transfieren y procesan regularmente en el extranjero; que el acuerdo de procesamiento de datos vigente para DESC no cubría los requisitos de protección de datos específicos del Reino Unido; y que si bien la empresa tiene la capacidad de realizar cambios técnicos para garantizar el cumplimiento de la protección de datos, sólo realiza estos cambios para los socios de DESC y no para otros organismos policiales porque “nadie más lo había pedido”.
Los documentos también contienen reconocimientos de Microsoft de que las transferencias internacionales de datos son inherentes a su arquitectura de nube pública.
Si bien la ICO envió a Police Scotland el tan esperado asesoramiento oficial en abril de 2024, que detalla la debida diligencia en materia de protección de datos requerida y cómo cree que la implementación de la nube policial puede cumplir con la ley, el regulador dejó claro que su orientación “no constituye aprobación para la implementación o garantía del cumplimiento de la ley de protección de datos”.
Mitigaciones de la policía de Escocia
De acuerdo con los problemas identificados por la SPA, la DPIA de la Policía de Escocia para DESC, que se completó y aprobó el 19 de enero de 2023, pocos días antes de su implementación el 24 de enero, mostró que persistían dos riesgos elevados no mitigados.
Estos riesgos eran que los subprocesadores de Axon no están sujetos a los términos y condiciones y que los proveedores están sujetos a la Ley de Nube de EE. UU.
Al acercarse a la fuerza para obtener aclaraciones después de su despliegue piloto, la ICO dijo: “Observamos que en la EIPD parece haber dos riesgos elevados que no se han reducido pero que han sido ‘aceptados’ y queríamos buscar claridad al respecto.
“En nuestra reunión del 19 de enero de 2023, entendimos que no había riesgos elevados e inmitigables pendientes y, por lo tanto, el procesamiento podría continuar y la EIPD no se nos presentaría según la Sección 65 de la DPA de 2018, sino que se proporcionaría a nosotros informalmente”.
Destacando los dos riesgos, la ICO agregó: “Como sabrá, si ha realizado una EIPD que identifica un alto riesgo y no puede tomar ninguna medida para reducir este riesgo, debe consultarnos formalmente según la Sección 65 DPA 2018. . No puede continuar con el procesamiento hasta que lo haya hecho”.
En respuesta a la solicitud de aclaración de la ICO sobre los altos riesgos de protección de datos presentes con DESC en abril de 2023, el oficial de protección de datos (DPO) de la Policía de Escocia señaló que “para cumplir con la Parte 3, PSoS tiene claro que los datos policiales (datos de contenido) deben ser almacenado y procesado en el Reino Unido en todo momento”.
Luego, el DPO describió los mandatos del contrato DESC para el almacenamiento y procesamiento de datos en el Reino Unido, lo que Axon confirmó por escrito: “Para cumplir con este requisito, Axon se ha asociado con Microsoft para brindar la infraestructura y el almacenamiento en la nube de la solución DESC. Los centros de datos de Microsoft están ubicados en el Reino Unido y están garantizados según los estándares policiales nacionales establecidos por el Ministerio del Interior”.
Agregaron que la Policía de Escocia había actuado con la debida diligencia con respecto a las secciones 59, 64 y 69 de la Parte 3 de la DPA, y que Axon había proporcionado a la fuerza la información pertinente.
Esto incluye detalles de su contrato con Microsoft, que establece que los datos sólo se procesarán en los dos centros de datos acreditados por Police Assured Secure Facilities (PASF) en el Reino Unido; los acuerdos de subencargado pertinentes; y garantías de que todos los subprocesadores contratados están sujetos a los términos y condiciones del contrato.
Sin embargo, en correspondencia posterior entre la SPA y la Policía de Escocia, de diciembre de 2023, el director de tecnología de la fuerza explicó al DPO del organismo de control policial cuáles de sus servicios “pueden almacenar y procesar datos fuera de la geografía especificada”, incluidos los servicios en la nube de Azure; Explorador de datos de Azure (ADX); comprensión del lenguaje; Aprendizaje automático de Azure; Ladrillos de datos de Azure; Consola serie Azure; vista previa, beta y otros servicios de prelanzamiento.
En su correo electrónico de aclaración al ICO, el DPO de la Policía de Escocia reconoció que uno de los subprocesadores de Axon, Twilio SMS, se usó tres veces durante el piloto a pesar de las mitigaciones implementadas, que incluían el sistema de notificación que alertaba a la fuerza sobre su uso.
“Las mitigaciones consideradas para el piloto fueron que Microsoft procese datos sólo en los dos centros de datos garantizados por PASF en el Reino Unido y que los datos en tránsito estén cifrados. Ahora se están llevando a cabo más diligencias con respecto a la contratación específica del subprocesador para que esté en línea con todos los términos y condiciones según el contrato”, dijeron.
“PSoS reconoce los riesgos descritos pero considera que el uso de un proveedor global de nube es la única solución real y práctica. Esto se basa en la comprensión actual sobre el riesgo y la probabilidad de que nuestros datos queden expuestos de esa manera y la necesidad de operar un entorno moderno y seguro para la recopilación y gestión de contenido policial entre socios dispares”.
Al vincular el enfoque de Police Scotland con la admisión recientemente revelada por parte de Microsoft de que no puede garantizar la soberanía de los datos del Reino Unido, el consultor de seguridad independiente Owen Sayers dijo que si bien la compañía debería haber actuado de manera proactiva para abordar los problemas con los clientes cuando se les informó a principios de 2019, “el problema es en realidad, se debe a las fuerzas policiales y otros organismos encargados de hacer cumplir la ley que han intentado imponer requisitos de procesamiento especiales desde el punto de vista legal y operativo en una plataforma de nube hiperescaladora de productos básicos sin comprender ni preocuparse adecuadamente por sus limitaciones”.
Respecto a las afirmaciones de Police Scotland de que Microsoft procesó datos en el Reino Unido, Sayers dijo: “Sabíamos que se trataba de una posición falsa y ahora tenemos pruebas de que siempre ha sido una posición falsa. En el momento en que la Policía de Escocia descubrió que este era el caso, deberían haber dejado de procesar en DESC (de lo contrario, estarían infringiendo la ley) y deslocalizar los datos”.
Computer Weekly se puso en contacto con Police Scotland para aclarar cuándo exactamente se dio cuenta de que Microsoft no podía garantizar la soberanía de los datos del Reino Unido, así como qué acciones tomó tras este descubrimiento. No respondió sobre estos puntos.
Al comentar sobre la finalización de última hora de la EIPD por parte de la Policía de Escocia, apenas cinco días antes del despliegue piloto, Nicky Stewart, ex jefe de TI de la Oficina del Gabinete del Reino Unido, dijo: “No es el momento en absoluto. Ese es el tipo de cosas que deberían haberse hecho con meses de anticipación si estás en un despliegue complejo como ese”.
Y añadió: “Huele a: ‘Estamos tan metidos en esto que no tenemos el tiempo ni el dinero para echarnos atrás, efectivamente estamos atrapados, por lo tanto, simplemente vamos a seguir adelante’. . Plantea la pregunta de cuánto le está costando al contribuyente este ir y venir entre la ICO y la gente de aseguramiento de la información”.
La cuestión de la Ley de la Nube
En su correo electrónico de aclaración a la ICO, el DPO de Police Scotland agregó: “Cualquier uso de la Ley de Nube de EE. UU. para acceder a datos requiere que el proveedor descifre los datos, y el proveedor confirmó que dicha solicitud sería impugnada legalmente por…
