El comisionado escocés de biometría, Brian Plastow, está pidiendo que el regulador de datos del Reino Unido investigue formalmente si la capacidad de intercambio de evidencia digital (DESC) basada en la nube de Police Scotland cumple con las leyes de protección de datos, después de que Microsoft revelara que no puede garantizar la soberanía de los datos policiales del Reino Unido alojados en el Nube pública de Azure.
Plastow dijo a Computer Weekly que la divulgación de Microsoft, junto con las recientes críticas a la tan esperada guía de la nube policial de la Oficina del Comisionado de Información (ICO), había generado una incertidumbre continua en torno a los despliegues de la nube policial y se beneficiaría de una investigación formal.
“Daría la bienvenida a una investigación por parte de la ICO sobre si los acuerdos específicos de procesamiento policial para DESC por parte de la Policía de Escocia y los socios de DESC en Escocia, que incluyen datos biométricos, cumplen plenamente con la ley de protección de datos del Reino Unido”, dijo.
Los comentarios de Plastow siguen a más de un año de revelaciones, que se remontan a abril de 2023, cuando Computer Weekly informó por primera vez que el servicio DESC del gobierno escocés, contratado para su entrega con el proveedor de vídeos corporales Axon y alojado en Microsoft Azure, estaba siendo puesto a prueba por la policía. Escocia a pesar de que un organismo de control policial expresó su preocupación sobre cómo el uso de Azure “no sería legal”.
Específicamente, el organismo de control de la policía dijo que había una serie de otros altos riesgos no resueltos para los interesados, como el acceso del gobierno de EE. UU. a través de la Ley de Nube, que efectivamente le da al gobierno de EE. UU. acceso a cualquier dato, almacenado en cualquier lugar, por corporaciones estadounidenses en la nube; el uso por parte de Microsoft de contratos genéricos en lugar de específicos; y la incapacidad de Axon para cumplir con las cláusulas contractuales sobre la soberanía de los datos.
Computer Weekly también reveló que Microsoft, Axon y el ICO estaban al tanto de estos problemas antes de que comenzara el procesamiento en el DESC. Los riesgos identificados se extienden a todos los sistemas en la nube utilizados con fines policiales en el Reino Unido, ya que se rigen por las mismas normas de protección de datos.
A raíz de ese informe, Plastow emitió a la Policía de Escocia un aviso de información formal sobre DESC en abril de 2023, pero señaló en octubre de 2023 que la respuesta de la fuerza “no mejoró” sus preocupaciones sobre la carga de datos biométricos confidenciales a DESC.
En junio de 2024, Computer Weekly reveló que Microsoft había admitido ante los organismos policiales escoceses que no puede garantizar la soberanía de los datos policiales del Reino Unido alojados en su infraestructura de nube pública a hiperescala.
Las confesiones de Microsoft también representan un problema para todo el sector público, ya que los esquemas gubernamentales anteriores de clasificación de información prohibían específicamente la deslocalización de ciertos datos, mientras que el nuevo marco G-Cloud 14 ha introducido un requisito de alojamiento de datos exclusivo del Reino Unido.
El mismo mes, Computer Weekly también reveló el contenido de la tan esperada guía policial sobre la nube de la ICO, que fue criticada por expertos en protección de datos por ser demasiado “genérica”; devolver toda la responsabilidad a las fuerzas para que esencialmente descubran cómo sus implementaciones en la nube pueden cumplir con la ley; y sin tener en cuenta la admisión de Microsoft de que no puede garantizar la soberanía de los datos policiales del Reino Unido.
Tras la divulgación de las confesiones de Microsoft y el asesoramiento de la ICO – ambos contenidos en correspondencia publicada bajo las normas de libertad de información – Plastow amplió un poco más las razones por las que se necesita una investigación formal.
“El Principio 10 del Código de Prácticas del Comisionado Escocés de Biometría aprobado por el Parlamento escocés en noviembre de 2022 también exige que la Policía de Escocia garantice que los datos biométricos estén protegidos contra el acceso y la divulgación no autorizados de acuerdo con el RGPD del Reino Unido y la Ley de Protección de Datos de 2018”, dijo Plastow.
“Por lo tanto, el cumplimiento de los requisitos de la ICO es una característica clave del Código de Prácticas de Escocia. Sin embargo, sólo la ICO tiene la autoridad legal para determinar el cumplimiento (o no) de la ley de protección de datos del Reino Unido, y parecería que el nivel actual de incertidumbre en torno a DESC es tal que se beneficiaría de una investigación específica por parte de la ICO”.
Parte de la incertidumbre surge de nuevas divulgaciones de la FOI que mostraron que la Policía de Escocia decidió no consultar formalmente con el regulador, a pesar de que él y otros organismos policiales identificaron una serie de “altos riesgos” con el procesamiento de datos, mientras que la propia ICO no hizo un seguimiento de aclaración sobre los riesgos o la falta de consulta durante casi tres meses después del despliegue piloto inicial con datos personales en vivo.
Esto a pesar de que la ICO ha sido consciente de estos problemas a través de reuniones previas con otros socios de DESC.
En enero de 2024, en respuesta a preguntas de Computer Weekly sobre si también utiliza servicios de nube pública de hiperescala con sede en EE. UU. para sus propias funciones de procesamiento de cumplimiento de la ley, la ICO envió un paquete de documentos que detallan una serie de sistemas que utiliza la ICO.
Según estos documentos, la ICO es explícita en que utiliza una gama de servicios que se encuentran en la infraestructura de la nube de Microsoft Azure para fines de procesamiento de cumplimiento de la ley. Sin embargo, se ha negado a proporcionar ningún comentario sobre su base legal para realizar dicho procesamiento o cómo ha resuelto los problemas de la Parte 3 de la Ley de Protección de Datos (DPA) de 2018 en múltiples ocasiones.
Al comentar sobre el llamado de Plastow para que la ICO investigue formalmente el despliegue de DESC, el consultor de seguridad independiente Owen Sayers dijo que debería ser un proceso completamente independiente, y que el regulador debería ser recusado de cualquier participación dado su “consejo poco fiable y su claro riesgo de interés propio”. , afirmando que “en mi sincera opinión, necesita una revisión judicial o una investigación pública”.
En enero de 2024, Plastow completó una revisión de control sobre el manejo de datos biométricos por parte de Police Scotland, que estimó que, si bien Police Scotland ciertamente posee más de tres millones de imágenes, simplemente se desconoce el número total de imágenes conservadas.
“Existen preocupaciones sobre la necesidad y proporcionalidad de las políticas de retención de imágenes”, escribió.
“La policía de Escocia y la SPA [Scottish Police Authority] han establecido una práctica de eliminación y retención para personas condenadas, que sigue a CHS [Criminal History System] Períodos de retención de la condena. Esto significa que existe el riesgo de que las imágenes se conserven más tiempo del necesario.
“Todos los organismos examinados son conscientes de esta cuestión. El trabajo de la Policía de Escocia para eliminar imágenes que no estén vinculadas a un procesamiento o condena en vivo está en curso. El SPA FS [Forensic Services] ha introducido una solución manual para garantizar que el deshierbe cumpla con la Ley de 1995 y el Código de prácticas de la SBC”.
En DESC, la revisión señaló que en el momento en que se realizó el trabajo de campo, la Policía de Escocia todavía estaba esperando asesoramiento legal de la ICO sobre si su despliegue cumplía con la ley de protección de datos del Reino Unido.
La ICO investigó previamente a la Policía de Escocia por su falta de diligencia debida en la extracción de datos de teléfonos móviles, que fue introducida por la fuerza sin haber completado una evaluación de impacto de protección de datos (DPIA) como exige la ley.
En el caso de la extracción de teléfonos móviles, la ICO investigó y formuló seis recomendaciones de mejora a la Policía de Escocia.
En respuesta a la solicitud de comentarios de Computer Weekly sobre el llamado de Plastow para una investigación, un portavoz de la ICO dijo: “Hemos considerado cuidadosamente si las autoridades competentes pueden usar plataformas basadas en nube de conformidad con la ley de protección de datos. Nuestra opinión es que pueden hacerlo cuando existan las protecciones adecuadas.
“Nos hemos asegurado de que los socios de DESC hayan recibido orientación sobre esto y se les haya pedido que lo implementen. Si nos preocupa que DESC no se haya implementado de manera compatible, como es de esperar, esto se considerará y se tomará acción de acuerdo con nuestra política de acción regulatoria”.