Un oficial de la Policía Metropolitana ha sido despedido después de acceder repetidamente a archivos confidenciales relacionados con la desaparición y el asesinato de Sarah Everard mientras estaba fuera de servicio, lo que generó preocupación de que los requisitos legales sobre el acceso a los datos policiales, que deben ser eliminados por las reformas de datos del gobierno, no se cumplan. siendo seguido.
Tras el asesinato de Sarah Everard en marzo de 2021 a manos del oficial de policía metropolitano Wayne Couzens, un grupo de trabajo dedicado de investigadores de la Dirección de Estándares Profesionales llevó a cabo una auditoría de quienes habían accedido a los archivos relacionados con su desaparición y la investigación posterior, analizando específicamente si quienes habían accedido a estos archivos lo hicieron con un propósito policial adecuado.
La Met dijo que un total de 104 oficiales y personal (68 oficiales y 36 miembros del personal) fueron inicialmente identificados como potencialmente accediendo a archivos relacionados con la investigación sin un propósito policial legítimo, lo que resultó en que siete oficiales recibieran avisos de mala conducta grave y aparecieran frente a una audiencia.
Si bien esto llevó a que un oficial, un miembro de la unidad de Carreteras y Transporte de la Met, que accedió a la información fuera de servicio fuera formalmente despedido, otros han recibido una combinación de advertencias por escrito y capacitación adicional. En total, dos tercios de los casos requirieron medidas adicionales.
Sin embargo, los activistas y expertos en privacidad dijeron que estas situaciones serían más probables si se aprueba el Proyecto de Ley de Acceso y Uso de Datos (DUAB) del gobierno, ya que eliminará el procedimiento de registro policial que requiere que las fuerzas mantengan registros que detallen cómo se accede y se utiliza la información.
Esto incluye registrar una justificación de por qué un funcionario individual ha accedido a una determinada información, aunque según las notas explicativas de la DUAB, los funcionarios y el personal seguirán legalmente obligados a registrar la hora, la fecha y, “en la medida de lo posible”, su identidad al acceder a la información.
“La Met investigó a más de 100 empleados por el acceso inapropiado a información en relación con Sarah Everard”, dijo Jim Killock, director ejecutivo de Open Rights Group. “Esto demuestra que la policía puede actuar, y de hecho actúa, para acceder a información de forma inapropiada. Probablemente esta sea la punta del iceberg. Puede haber casos menos destacados en los que la policía abuse de su poder al acceder a información sin preocuparse por las consecuencias.
“Frente a esto, el gobierno necesita explicar por qué quiere eliminar activamente las medidas de rendición de cuentas para el acceso a datos públicos y, al mismo tiempo, eliminar otras salvaguardas y protecciones.
“Necesitamos más, no menos, transparencia y rendición de cuentas sobre cómo, por qué y cuándo la policía accede, procesa y comparte datos sobre el público”, dijo. “Reducir las restricciones corre el riesgo de empeorar las tensiones existentes entre la policía y las comunidades a las que dicen servir”.
Owen Sayers, consultor de seguridad independiente y asesor sobre cumplimiento de la protección de datos policiales con más de 25 años de experiencia en la entrega de soluciones seguras a la policía, agregó que el incidente plantea la pregunta de quién más tiene acceso a sus datos por parte de agentes fuera de servicio.
“¿Cómo sabemos que el acceso está controlado sólo para aquellos que necesitan ver nuestros datos?” dijo. “¿O la gestión de datos policiales es literalmente el caos total que parece en este caso?”
Audiencias de mala conducta y acciones futuras
Si bien se descubrió que tres de los siete agentes habían accedido a la información con un propósito policial legítimo, otros tres no, lo que provocó el despido de uno de los agentes (que accedió a los datos fuera de servicio) y una advertencia final que duró tres años para otro. El tercero habría sido despedido si no hubiera dimitido ya.
El séptimo oficial en servicio se enfrentará a una audiencia separada por mala conducta grave en una fecha por determinar. La Met agregó que otro miembro del personal policial se enfrentó previamente a una audiencia privada por mala conducta grave y fue despedido.
“A nuestros agentes y personal se les recuerda periódicamente que sólo se debe acceder a los sistemas policiales y a archivos específicos cuando exista un propósito policial legítimo para hacerlo”, dijo el subcomisionado adjunto Stuart Cundy. “Esto incluye pantallas de recordatorio y páginas de advertencia al iniciar sesión en nuestros sistemas de software, así como capacitación obligatoria sobre gestión de la información que deben completar todos los miembros de la organización.
“Está claro que el panel ha considerado cuidadosamente las circunstancias de cada caso individual antes de llegar a la conclusión de que tres agentes no tenían ninguna razón aceptable para examinar esta información”.
Cundy agregó que la mayoría de los 104 oficiales y personal que habían accedido a información de manera inapropiada admitieron que lo habían hecho por curiosidad.
En cuanto a esos otros casos, 10 agentes y personal recibieron advertencias por escrito, 16 fueron remitidos para “práctica reflexiva” y cuatro recibieron “no más medidas” tras audiencias por mala conducta, mientras que otros 38 fueron remitidos para práctica reflexiva sin audiencia. No se tomaron más medidas contra los 28 funcionarios y el personal restantes, y no se les exigió que asistieran a una audiencia por mala conducta.
“Cuando se les habló, se arrepintieron, se disculparon, admitieron falta de criterio y estaban deseosos de participar en la capacitación”, dijo Cundy. “Todo esto se tuvo en cuenta a la hora de determinar el resultado más adecuado para cada individuo. Sabemos que se pueden cometer errores honestos y que los resultados más graves se relacionan con quienes fueron deliberadamente evasivos o intentaron evitar la rendición de cuentas. Esas acciones no son compatibles con los valores del Met”.
En respuesta a las preguntas de Computer Weekly sobre el incidente, incluido si los oficiales registraron las justificaciones y cuáles fueron estas justificaciones en caso afirmativo, un portavoz del Met dijo que los detalles de los resultados de la audiencia estarán disponibles en su sitio web una vez que hayan sido revisados.
Cuando se le preguntó si el incidente fue remitido a la Oficina del Comisionado de Información (ICO), el portavoz añadió: “Evaluamos los riesgos planteados y determinamos que el asunto no cumplía con los criterios para una remisión obligatoria. Sin embargo, les informamos de las circunstancias.
“En cuanto al acceso más amplio, el Met tiene la capacidad de restringir archivos, pero para brindar vigilancia operativa es un principio importante que los agentes de policía puedan acceder y utilizar adecuadamente la información policial como parte de sus funciones. Nuestra política es clara: si un empleado no tiene un propósito policial legítimo o genuino para ver datos, entonces no debería verlos”.
Computer Weekly también se comunicó con el Ministerio del Interior sobre la eliminación de los requisitos de registro bajo la DUAB, y si reconsideraría este enfoque dada la cantidad de funcionarios y personal que accedieron a los archivos, incluso cuando existen reglas vigentes.
“El proyecto de ley sobre acceso y uso de datos tiene como objetivo eliminar el requisito ineficaz de que los agentes de policía registren una justificación para acceder o revelar datos personales”, dijo un portavoz del Ministerio del Interior. “Los agentes que accedan a datos o los divulguen seguirán necesitando tener un motivo legítimo de cumplimiento de la ley para hacerlo”.
Las notas explicativas de la DUAB agregaron que se elimina el requisito de registrar una justificación porque “es poco probable que una persona que acceda a los registros de manera inapropiada registre una justificación honesta”.
Respondiendo a las preguntas sobre el incidente, un portavoz de la ICO dijo: “Nos complace que se mantenga el requisito de registro de la sección 62, ya que reconocemos el valor y la importancia de poder determinar la fecha, la hora y la identidad de quienes acceden a la información cuando monitorear posibles malas conductas o abusos.
“La decisión de eliminar el requisito de justificación sobre la base de que hay poca evidencia de su eficacia es, en última instancia, una cuestión de gobierno, y acogemos con satisfacción el escrutinio parlamentario de esta propuesta. Continuaremos trabajando con las organizaciones encargadas de hacer cumplir la ley para ayudarlas a comprender los cambios a la Ley de Protección de Datos de 2018 a través de las reformas”.
El par liberal demócrata Lord Clement-Jones dijo anteriormente a Computer Weekly que la eliminación de los requisitos de registro policial era “atroz” y representa una divergencia potencial con la Directiva sobre aplicación de la ley (LED) de la Unión Europea que podría impedir que el Reino Unido renueve su adecuación de datos LED. decisión.
La LED dijo: “Los registros de consulta y divulgación permitirán establecer la justificación, fecha y hora de tales operaciones y, en la medida de lo posible, la identificación de la persona que consultó o reveló datos personales, y la identidad del destinatarios de dichos datos personales”.