Nueve fuerzas policiales están tratando de reemplazar su sistema común de gestión de registros (RMS) con una alternativa basada en la nube, pero a pesar de los próximos cambios en las leyes de datos del Reino Unido, los expertos dicen que la gran probabilidad de que un hiperescalador con sede en EE. UU. gane el contrato presenta riesgos continuos.
Bajo el régimen de datos actual del Reino Unido, trasladar registros policiales confidenciales a uno de los gigantes de la nube de EE. UU. introduce importantes problemas de protección de datos. Sin embargo, las reformas de datos propuestas recientemente por el gobierno –que muy probablemente eliminarían muchos de estos riesgos al permitir transferencias rutinarias a hiperescaladores– podrían poner en peligro la capacidad del Reino Unido de mantener la adecuación de sus datos policiales ante la UE, mientras que los problemas relacionados con la soberanía de los datos aún persistirían.
Conocido como Connect, el RMS actual lo proporciona el proveedor de software NEC a las nueve fuerzas (incluidas la policía de Kent, Essex, Bedfordshire, Cambridgeshire, Hertfordshire, Norfolk, Suffolk, Warwickshire y West Mercia) a través del programa Athena, que permite a las fuerzas involucradas recopile, coteje, interrogue y comparta inteligencia mediante el despliegue de una instancia común del RMS.
Aunque la adquisición, señalada a Computer Weekly por el observador del mercado de TI del sector público Tussell, se encuentra solo en la etapa de planificación, ya se ha fijado un aviso de adjudicación de contrato futuro para el 7 de abril de 2025 (con fecha de inicio en noviembre de 2025), y tendrá una duración estimada. valor total de £ 100 millones. La licitación prevista tendrá como objetivo respaldar funciones policiales básicas como la gestión de casos, la custodia, la inteligencia y la investigación.
Sin embargo, los expertos dicen que existe una “gran posibilidad” de que el nuevo RMS esté alojado en una infraestructura de nube pública de hiperescala, lo que abriría los datos a una serie de riesgos según las normas actuales de protección de datos, incluida la posibilidad de acceso remoto a esos datos. su posterior transferencia a una jurisdicción no adecuada (es decir, los EE. UU., donde tienen su sede la gran mayoría de los hiperescaladores) y su sujeción a las leyes de vigilancia de los EE. UU.
Agregaron que los riesgos eran particularmente graves dado el pobre historial de las fuerzas y reguladores en lo que respecta a la debida diligencia en materia de protección de datos para los sistemas de aplicación de la ley.
Para evitar caer en la misma situación con el nuevo RMS basado en la nube, los expertos hicieron una serie de sugerencias sobre los pasos que deberían dar las fuerzas ahora como responsables del tratamiento de datos, antes de que avance la adquisición.
Si bien el nuevo Proyecto de Ley de Acceso y Uso de Datos (DUAB, por sus siglas en inglés) del gobierno está destinado a cambiar las reglas legales sobre el procesamiento policial de una manera que permitiría inequívocamente transferencias de datos de rutina a hiperescaladores, los expertos dicen que hacerlo aún podría poner en riesgo la capacidad del Reino Unido para retener su adecuación de la aplicación de la ley con la Unión Europea (UE) cuando se renueve en junio de 2025.
Dicen que la medida representaría una divergencia con respecto a la forma en que los organismos encargados de hacer cumplir la ley dentro del bloque pueden procesar datos, y resaltaron otros problemas relacionados con la soberanía de los datos que surgen del uso de hiperescaladores que aún persistirían incluso si las reformas de datos propuestas por el gobierno se convirtieran en ley.
Computer Weekly se puso en contacto con las fuerzas involucradas sobre las preocupaciones sobre la protección de datos planteadas en torno al uso de hiperescaladores en la aplicación de la ley.
“El compromiso previo a la comercialización está diseñado para informar a las fuerzas sobre los tipos de soluciones técnicas e innovación en el mercado para informar nuestra especificación y enfoque de adquisiciones en 2025”, dijo un portavoz de la policía de Bedfordshire. “Las cuestiones de protección de datos planteadas serán primordiales en nuestra consideración y nuestra especificación final incluirá los requisitos de protección de datos necesarios para garantizar el cumplimiento legal y la protección de datos confidenciales”.
Computer Weekly también se puso en contacto con el Ministerio del Interior sobre todos los aspectos de la historia. Un portavoz del gobierno respondió: “El procesamiento de datos policiales debe priorizar la seguridad. Incluso cuando se utilizan proveedores de nube de propiedad internacional, se han implementado medidas para mitigar posibles amenazas y riesgos”.
Preocupaciones constantes por la nube policial
Según un documento redactado por dos de las nueve fuerzas de Athena, que fue enviado a la Autoridad de Mercados y Competencia (CMA) en noviembre de 2022 mientras investigaba la fusión de diferentes proveedores de RMS, existe una necesidad apremiante de mejorar los flujos de información entre diferentes fuerzas policiales.
“En un mundo ideal, cada RMS (o instancia de un RMS) permitiría, a través de una API u otra interfaz o forma de interfuncionamiento, que la información fluya entre los servicios policiales”, escribió.
Sin embargo, a pesar de que las fuerzas de Athena destacan el “beneficio de que los servicios policiales hayan interconectado RMS en todo el Reino Unido a través de una verdadera provisión de nube y API”, existen problemas de larga data con el uso de infraestructura de nube a hiperescala por parte de los órganos policiales y de justicia penal del Reino Unido.
Desde que Computer Weekly reveló en diciembre de 2020 que docenas de fuerzas policiales del Reino Unido estaban procesando ilegalmente datos de más de un millón de personas en Microsoft 365, los expertos en protección de datos y los reguladores de tecnología policial han cuestionado abiertamente varios aspectos de cómo la policía del Reino Unido ha implementado la infraestructura de nube pública a hiperescala. , argumentando que actualmente no pueden cumplir con las estrictas reglas específicas de aplicación de la ley establecidas en la DPA.
A principios de abril de 2023, Computer Weekly reveló que el servicio Digital Evidence Sharing Capability (DESC) del gobierno escocés, contratado para su entrega con el proveedor de vídeos corporales Axon y alojado en Microsoft Azure, estaba siendo puesto a prueba por Police Scotland a pesar de que un organismo de control policial expresó su preocupación. sobre cómo el uso de Azure “no sería legal”.
Específicamente, el organismo de control de la policía dijo que había una serie de otros riesgos elevados no resueltos para los interesados, como el acceso del gobierno de EE. UU. a través de la Ley de Nube, que efectivamente le da al gobierno de EE. UU. acceso a cualquier dato, almacenado en cualquier lugar, por corporaciones estadounidenses en la nube. ; el uso por parte de Microsoft de contratos genéricos, en lugar de específicos; y la incapacidad de Axon para cumplir con las cláusulas contractuales sobre la soberanía de los datos.
Computer Weekly también reveló que Microsoft, Axon y el ICO estaban al tanto de estos problemas antes de que comenzara el procesamiento en DESC. Los riesgos identificados se extienden a todos los sistemas de nube pública utilizados con fines policiales en el Reino Unido, ya que todos se rigen por las mismas normas de protección de datos.
Los riesgos identificados [from DESC] extenderse a todos los sistemas de nube pública utilizados con fines policiales en el Reino Unido, ya que todos se rigen por las mismas normas de protección de datos.
En junio de 2024, Computer Weekly informó detalles de las conversaciones entre Microsoft y la Autoridad de Policía de Escocia (SPA), en las que el gigante tecnológico admitió que no puede garantizar la soberanía de los datos policiales del Reino Unido alojados en su infraestructura de nube pública de hiperescala.
Específicamente, demostró que los datos alojados en la infraestructura de Microsoft se transfieren y procesan rutinariamente en el extranjero; que el acuerdo de procesamiento de datos vigente para DESC no cubría los requisitos de protección de datos específicos del Reino Unido; y que si bien la empresa puede tener la capacidad de realizar cambios técnicos para garantizar el cumplimiento de la protección de datos, sólo está preparada para realizar estos cambios para los socios de DESC y no para otros organismos policiales porque “nadie más lo había pedido”.
Los documentos también contienen reconocimientos por parte de Microsoft de que las transferencias internacionales de datos son inherentes a su arquitectura de nube pública, y que limitar las transferencias basándose en aprobaciones individuales por parte de una fuerza policial –como exige legalmente la Parte 3 de la DPA– “no se puede poner en práctica”.
Aunque la ICO publicó su guía sobre la nube policial en el mismo conjunto de divulgaciones sobre libertad de información (FoI), que destaca algunos mecanismos potenciales de transferencia de datos que cree que pueden aclarar cuestiones legales en curso, los expertos en protección de datos cuestionaron la viabilidad de las rutas sugeridas sobre la base. los mecanismos se basan en el RGPD y no en las normas específicas de aplicación de la ley contenidas en la Parte 3, y no está claro si de hecho pueden impedir el acceso del gobierno de EE. UU.
El propio Connect también se ha topado con problemas de protección de datos. En agosto de 2024, por ejemplo, Computer Weekly informó que la Policía Metropolitana siguió adelante con el despliegue de Connect, que es independiente de cualquier despliegue realizado por las fuerzas de Athena, a pesar de que se plantearon múltiples “cuestiones preocupantes” sobre la protección de datos y las debilidades en su búsqueda. funcionalidad.
Según un informe de escrutinio de la Oficina del Alcalde para la Policía y el Crimen (Mopac), de fecha 19 de julio de 2022, las capacidades de auditoría de Connect no “replican completamente la capacidad de auditoría de los sistemas heredados”, hasta el punto de que estaría operando en contravención de la Los requisitos de registro de la Ley de Protección de Datos del Reino Unido de 2018 relacionados, por ejemplo, con la recopilación y alteración de datos.
“Esto no es específico de MPS sino que es una cuestión nacional – la ICO [Information Commissioner’s Office] son conscientes de estos temas a nivel nacional y con [West Midlands]que se han puesto en marcha”, decía. “MPS ha sugerido, como parte de la consulta gubernamental sobre la ley de protección de datos, que se revise esta sección de la DPA 2018”.
Computer Weekly también reveló que Connect estaba por encima del presupuesto en alrededor de £64 millones en ese momento, mientras que los funcionarios y el personal habían planteado más de 25.000 solicitudes de soporte en sus primeros cuatro meses de funcionamiento.
Conexión con hiperescaladores
Según un experto en adquisición de tecnología del sector público, que desea permanecer en el anonimato debido a su participación continua en la adquisición de sistemas en la nube, el uso de proveedores de nube pública a hiperescala es la “posición predeterminada” del sector de justicia penal del Reino Unido, y agrega que es ” Casi un 99,9% de seguridad” el nuevo RMS se trasladará a una infraestructura de hiperescala.
Agregaron que esto es particularmente preocupante dadas las invasivas leyes de vigilancia estadounidenses que abren la posibilidad de que el gobierno estadounidense acceda a los datos.
“Se puede diseñar un sistema a un centímetro de su vida útil para hacer lo que sea, pero… si tienen su sede en los EE. UU., están sujetos a la ley estadounidense”, dijeron, destacando tanto la Ley de la Nube como la Orden Ejecutiva 12333. , que otorga poderes de acceso directo encubierto a las agencias de inteligencia estadounidenses, como ejemplos de estas prácticas de vigilancia.
La fuente anónima destacó además un trabajo de investigación realizado por un grupo de académicos de la Universidad Queen Mary de Londres, que analiza cómo las leyes estadounidenses podrían proporcionar acceso a los datos europeos en poder de hiperescaladores estadounidenses: “Esto demuestra que incluso si resolvieran los problemas de transferencia de datos y demás, esto La orden ejecutiva siempre será el elefante en la habitación, porque es la que permite a los Servicios Secretos de Estados Unidos entrar por puertas traseras en todos los sistemas”.
Si bien el documento en sí solo analiza el uso de la nube pública a hiperescala según el RGPD, y no la más estricta Directiva de Aplicación de la Ley (LED) o la DPA Parte 3 del Reino Unido aplicable a los datos de Athena, deja claro que incluso bajo el régimen de protección de datos menos restrictivo del Reino Unido GDPR, es extremadamente difícil hacer uso de estos sistemas de conformidad con las leyes pertinentes.
“En este artículo, analizamos si las organizaciones establecidas en la UE pueden utilizar proveedores de nube estadounidenses (incluidas sus filiales europeas) como procesadores según el RGPD. Las agencias de inteligencia y aplicación de la ley de EE. UU. pueden obligar a los proveedores de nube sujetos a la jurisdicción de EE. UU. a revelar datos de los clientes. Esta obligación de revelar según la ley estadounidense no tiene base en la legislación de la UE o de los Estados miembros”, dijo.
“Como resultado, la divulgación al gobierno de EE. UU. podría violar el RGPD, incluido: el requisito de que un procesador solo procese datos personales siguiendo las instrucciones del controlador; el requisito de una base legal; y el principio de limitación de finalidad. Además, en algunos casos, la divulgación podría implicar transferencias internacionales de datos ilegales. Por lo tanto, resulta complicado utilizar proveedores estadounidenses para el procesamiento de datos personales europeos de conformidad con el RGPD”.
A diferencia de la Ley de la Nube, que puede utilizarse para obligar a la divulgación de datos, el documento señala que las implicaciones legales de la EO 12333 son ligeramente diferentes, ya que se basa en la capacidad de los servicios de seguridad para acceder de manera adversa a los datos a través de medios técnicos clandestinos y, por lo tanto, no requiere la participación activa de los proveedores de la nube.
Sin embargo, según Owen Sayers, un consultor de seguridad independiente y asesor sobre el cumplimiento de la Parte Tres de DPA, con más de 25 años de experiencia en la entrega de soluciones seguras para la vigilancia policial, independientemente de si los proveedores de la nube son participantes activos o no, y si el gobierno de EE. UU. lo hace o no. utilizar la Ley de la Nube para obtener acceso a datos del Reino Unido, las transferencias serían ilegales de todos modos ya que la ley del Reino Unido establece una serie de pasos específicos que deben seguirse para todas y cada una de las transferencias de una pieza específica de…
