El proveedor de vídeos corporales Axon todavía posee las claves de cifrado para un importante proyecto de TI en la nube de la Policía de Escocia, a pesar de las repetidas advertencias de los organismos policiales y reguladores sobre los riesgos de protección de datos.
En enero de 2023, Police Scotland lanzó una prueba piloto de su Capacidad para compartir evidencia digital (DESC), contratada por Axon y alojada en la infraestructura de nube pública de hiperescala de Microsoft, a pesar de los importantes problemas de protección de datos no resueltos identificados por su organismo de supervisión, la Autoridad de Policía de Escocia (SPA). .
Según la evaluación de impacto de la protección de datos (DPIA) del organismo de control policial, también finalizada en enero de 2023, destacó específicamente las preocupaciones en torno a las transferencias de datos a los EE. UU. (incluso a través de la legislación invasiva del gobierno de los EE. UU.) y las cuestiones contractuales en torno a los términos y condiciones de Microsoft que significaron que era incapaz de cumplir con las normas de protección de datos específicas de las fuerzas del orden.
Si bien las DPIA de otros organismos policiales involucrados en DESC afirmaron que los datos estaban protegidos mientras se transferían debido al uso de cifrado en reposo y en tránsito, la DPIA de SPA identificó claramente que las claves de cifrado estaban en manos de Axon, lo que significa que “serían capaz de descifrar y proporcionar los datos, potencialmente sin nuestro conocimiento o consentimiento, cuando las autoridades estadounidenses lo obliguen a hacerlo”.
En una solicitud de seguimiento de libertad de información (FOI) enviada por Computer Weekly a la SPA, el organismo de control confirmó que, en el momento de su respuesta el 12 de noviembre de 2024, Axon todavía estaba en posesión de las claves de cifrado, más de tres meses después. El sistema se implementó a nivel nacional a principios de agosto de 2024.
La posesión continua de las claves de cifrado por parte de Axon fue confirmada en una respuesta FOI separada de la Policía de Escocia, que también reveló copias de dos Evaluaciones de Riesgo de Transferencia (TRA) que, según la Oficina del Comisionado de Información (ICO), son necesarias para llevar a cabo transferencias restringidas de cumplimiento de la ley según la Parte Tres.
Ambas TRA (una para la transferencia de datos de “contenido” y otra para la transferencia de datos “sin contenido”) contienen secciones sobre el “nivel de riesgo de información personal” asociado con las transferencias, que los controladores de datos (es decir, la Policía de Escocia) deben completo como parte de su debida diligencia.
Si bien señaló que los datos se cifran tanto en tránsito como en reposo, una de las columnas de la tabla proporcionada requiere que marquen “sí” o “no” para determinar si “antes de transferir la información se cifra, se seudonimiza o se hace algo similar, y el importador no lo hace”. no tengo la llave”. En ambos casos, la Policía de Escocia marcó estas columnas con un “no”.
Grupo de derechos abiertos
Según Mariano delli Santi, responsable jurídico y de políticas de Open Rights Group (ORG), si bien es factible que medidas técnicas como el cifrado puedan proporcionar cierto nivel de seguridad para los datos de las fuerzas del orden en entornos de nube, este no es el caso cuando una empresa de TI El proveedor de servicios posee las claves de cifrado.
“Si la clave es manejada por una entidad que está bajo la jurisdicción de Estados Unidos, entonces las autoridades estadounidenses pueden obligar a esta entidad a revelarles la clave de cifrado”, dijo.
“El cifrado sólo es útil en la medida en que terceros, como un gobierno extranjero, no puedan obtener la clave de descifrado, y la gestión de la clave de cifrado se ha convertido en una consideración clave para la seguridad de las transferencias internacionales de datos desde la sentencia Schrems II en 2020”.
Si bien la gestión de claves de cifrado no es un tema nuevo, añadió, “realmente no veo muchos indicios de que nuestro gobierno esté realmente lidiando con el problema”.
Computer Weekly se puso en contacto con Police Scotland, SPA y Axon sobre la posesión continua de las claves de cifrado DESC.
“Hemos trabajado estrechamente con socios de justicia penal para garantizar que todos los controles de seguridad, protección y gobernanza de los datos necesarios estén implementados y cumplan con la ley antes del lanzamiento nacional del sistema de Capacidad de Intercambio de Evidencia Digital”, dijo un portavoz de la Policía de Escocia.
“Reconocemos el interés público en los controles de seguridad de datos de DESC y continuamos colaborando con el Comisionado Escocés de Biometría y la Oficina del Comisionado de Información según sea necesario”.
Sobre qué medidas existen para impedir que Axon descifre datos sin el conocimiento o consentimiento de los controladores de datos, un portavoz de SPA dijo que si bien el organismo de control no puede hablar en nombre de otros socios de DESC ya que cada uno es un controlador de datos por derecho propio, “Existe una pista de auditoría completa en DESC que estará sujeta a escrutinio por parte de los socios” y que “no es inusual” que los proveedores administren las claves de cifrado.
“Muchas organizaciones que utilizan servicios en la nube dependerán de su proveedor o del proveedor de la nube para gestionar el cifrado, dada la naturaleza especializada de esta función”, dijeron. “Existe un riesgo cuando un tercero gestiona las claves de cifrado de una organización; sin embargo, la gestión de claves es un área especializada y el riesgo de ‘equivocarse internamente’ puede considerarse un riesgo mayor”.
Axon no respondió al momento de la publicación. No hay ninguna sugerencia o evidencia de que Axon haya utilizado, o haya permitido que se utilicen, las claves de cifrado sin que la Policía de Escocia lo sepa.
Preocupaciones actuales
Los problemas asociados con la posesión de las claves de cifrado DESC por parte de Axon se conocen desde hace algún tiempo y han sido reiterados por otros reguladores policiales desde que la SPA completó su DPIA.
En octubre de 2023, por ejemplo, el comisionado escocés de biometría, Brian Plastow, señaló en una carta a la policía de Escocia que el hecho de que Axon estuviera en posesión de las claves de cifrado expondría los datos a la Ley de Nube de EE. UU., que efectivamente otorga al gobierno de EE. UU. acceso a cualquier dato almacenado. en cualquier lugar, por corporaciones estadounidenses en la nube.
“Una de las principales preocupaciones es que el gobierno escocés opte por un proveedor de soluciones ‘con sede en EE. UU.’ (en lugar de un proveedor de nube del Reino Unido o de la UE, o una solución que no sea de nube) para alojar datos biométricos confidenciales (y otros datos policiales), y al sancionar la posesión de las claves de cifrado de datos para esos datos por parte de Axon (en lugar de la Policía de Escocia), dichos datos quedan completamente expuestos a las disposiciones de la Ley de Aclaración del Uso Legal de Datos en el Extranjero de 2018 (Ley de Nube de EE. UU.) y las normas relacionadas. A NOSOTROS y acuerdo de acceso a datos del Reino Unido”, escribió.
En una comparecencia ante el Comité de Justicia Penal del Parlamento escocés el 13 de noviembre de 2024, Plastow explicó a los parlamentarios que, si bien la Policía de Escocia y la SPA han intentado mitigar los riesgos de seguridad y soberanía de los datos en DESC, estos riesgos no se pueden eliminar por completo.
“En cuanto a la cuestión de la soberanía de los datos, la Autoridad de la Policía Escocesa y la Policía de Escocia han hecho todo lo que está a su alcance, incluida la inserción de cláusulas en los contratos, etc., para mitigar esos riesgos en la medida de lo posible, pero es una verdad ineludible que el Gobierno Federal La Oficina de Investigaciones podría acceder a esos datos si quisiera”, dijo. “¿Eso debería preocuparnos? Probablemente no.
“La segunda pregunta es, para mí, más importante. Se trata de la cuestión de la seguridad, e incluí ejemplos específicos en la carta que escribí… para mostrar que, incluso a nivel gubernamental, como hemos visto en los Estados Unidos en los últimos años, varias agencias han sido pirateadas e importantes los datos han sido robados. Estamos donde estamos con eso”.
Plastow agregó que la ICO ha afirmado desde su carta que es legal alojar datos policiales en una infraestructura de hiperescala con las protecciones adecuadas. “Estoy en una posición más cómoda ahora que cuando escribí la carta, pero mi punto fundamental es que no podemos eliminar todos los riesgos”, dijo.
A pesar de las advertencias de Plastow, no puede tomar ninguna medida ya que la regulación y el cumplimiento de la protección de datos es responsabilidad exclusiva de la ICO.
Sin embargo, una FOI de aclaración separada enviada a la ICO reveló que el regulador se dio cuenta de que Axon estaba en posesión del cifrado ya el 26 de agosto de 2022, mucho más de un año antes de que Plastow escribiera a la Policía de Escocia exponiendo sus preocupaciones y meses antes de que el piloto DESC se fuera. vivir con datos personales reales el 24 de enero de 2024.
Si bien la ICO luego emitió consejos a los socios de DESC sobre cómo legalizar el procesamiento en la nube (publicado bajo FOI), no mencionó nada sobre la necesidad de que las organizaciones controlen sus propias claves de cifrado; o el hecho de que el cifrado no se considera una salvaguardia relevante o efectiva según la Parte Tres (ya que no permite “medidas complementarias” que permitirían enviar datos a jurisdicciones con estándares de protección de datos demostrablemente más bajos, como los EE. UU.) .
Computer Weekly se puso en contacto con la ICO sobre la posesión continua de las claves de cifrado por parte de Axon, incluido el motivo por el que no tomó ninguna medida a pesar de estar al tanto del problema desde agosto de 2022, y si considera que el cifrado es una “protección adecuada” según la Parte Tres.
Un portavoz dijo que la ICO no tenía nada más que añadir y reiteró una respuesta dada a Computer Weekly en julio de 2024: “Hemos considerado cuidadosamente si las autoridades competentes pueden utilizar plataformas basadas en la nube de conformidad con la ley de protección de datos. Nuestra opinión es que pueden hacerlo cuando existan las protecciones adecuadas.
“Nos hemos asegurado de que los socios de DESC hayan recibido orientación sobre esto y se les haya pedido que lo implementen. Si nos preocupa que DESC no se haya implementado de manera compatible, como era de esperar, esto se consideraría y se tomaría acción de acuerdo con nuestra política de acción regulatoria”.
Opiniones de otros reguladores
Una DPIA sobre el uso de diversos servicios de Microsoft encargada por el Ministerio de Justicia holandés dijo que, aunque la empresa ha mitigado varios de los riesgos identificados en su evaluación, el hecho de que los datos puedan solicitarse a través de la Ley de la Nube significa que “hay un riesgo”. alto riesgo para el procesamiento de categorías de datos sensibles y especiales… siempre y cuando la organización no pueda controlar sus propias claves de cifrado”.
“Incluso si la probabilidad de que esto ocurra es extremadamente baja, el impacto sobre los interesados en caso de divulgación de sus categorías especiales y sensibles de datos personales a las fuerzas del orden o a los servicios de seguridad de Estados Unidos puede ser extremadamente alto”, dijo. “Esto se debe a la falta de notificación y a la falta de medios eficaces de reparación para los ciudadanos de la UE. Este riesgo se produce incluso cuando estos datos se procesan y almacenan exclusivamente en la UE”.
Si bien el presidente Biden firmó una orden ejecutiva en octubre de 2022 que comprometió a Estados Unidos a brindar reparación a los ciudadanos europeos cuando sus datos sean recopilados por las agencias de inteligencia de señales estadounidenses, el grupo de expertos CEPS ha identificado una serie de lagunas que ponen en duda si la reparación proporcionado es realmente significativo.
La Junta Europea de Protección de Datos (EDPB) llegó a una conclusión similar sobre el papel del cifrado en junio de 2021, desacreditando la idea de que la criptografía es una salvaguardia eficaz cuando los datos se descifran para su procesamiento en la nube o las claves se conservan de otro modo. un proveedor de servicios tecnológicos.
Por ejemplo, el CEPD señaló que cuando los proveedores de servicios en la nube requieren acceso a “datos en claro” para su procesamiento (es decir, sin cifrar, es decir, cada vez que necesitan procesar datos de texto porque actualmente no existen tecnologías que permitan el procesamiento en claro en estos tipo de información), “el cifrado de transporte y el cifrado de datos en reposo, incluso tomados en conjunto, no constituyen una medida complementaria que garantice un nivel de protección esencialmente equivalente si el importador de datos está en posesión de las claves criptográficas”.
Computer Weekly preguntó al ICO si estaba de acuerdo con la interpretación del CEPD, pero no recibió respuesta al respecto.
Detalles de la TRA
En junio de 2024, Computer Weekly informó que Microsoft había admitido previamente ante los organismos policiales escoceses que no podía garantizar la soberanía de los datos policiales del Reino Unido alojados en su infraestructura de nube pública a hiperescala.
La divulgación reveló específicamente que los datos alojados en la infraestructura de hiperescala de Microsoft se transfieren y procesan regularmente en el extranjero; que el acuerdo de procesamiento de datos vigente para el DESC no cubría los requisitos de protección de datos específicos del Reino Unido; y que si bien la empresa puede tener la capacidad de realizar cambios técnicos para garantizar el cumplimiento de la protección de datos, sólo está realizando estos cambios para los socios de DESC y no para otros organismos policiales porque “nadie más lo había pedido”.
Sin embargo, la naturaleza rutinaria de las transferencias en la infraestructura de Microsoft no se menciona en ninguno de los documentos de la TRA, que en cambio afirman que “los servicios se prestarán habitualmente en su totalidad en el Reino Unido y no estarán sujetos a transferencias internacionales”.
Añadió que los datos podrán ser transferidos “para la continuidad del negocio, en caso de…