El desarrollo de un sistema nacional de huellas dactilares digitales basado en la nube para la policía del Reino Unido está previsto que finalice en diciembre de 2022 y facilitará el acceso y el intercambio de más de 8,4 millones de registros de datos de huellas dactilares a través de la nube.
Conocido como el programa Transforming Forensics (TF), la capacidad está alojada en el Servicio Digital de la Policía (PDS), que tiene como objetivo ofrecer la primera implementación completa en marzo de 2023.
El PDS dijo que a través del acceso a un conjunto digital de herramientas, alojado en la plataforma PDS Xchange, que funciona con Amazon Web Services (AWS), los equipos forenses de la policía podrían enviar imágenes de la escena del crimen y huellas dactilares en tiempo real, permitiéndoles para identificar sospechosos en cuestión de horas en lugar de días, así como mejorar los procesos de trabajo sacándolos del papel y en flujos de trabajo automatizados.
Agregó que también podrían evaluar, comparar e identificar huellas dactilares utilizando el Ident1 nacional, una base de datos de huellas dactilares existente creada por Home Office Biometrics (HOB), que se integró con éxito en PDS Xchange en abril de 2022.
“Lo que TF ha creado con esta capacidad y la plataforma Xchange mueve las huellas dactilares a la era digital mientras elimina el riesgo de obsolescencia”, dijo Andrew Price, director de servicios corporativos, forenses y técnicos en la Unidad de Operaciones Especiales de East Midlands.
“Este momento de cambio de juego ahora cambia el enfoque para priorizar la integración entre HOB y TF, un requisito crucial para entregar el ‘santo grial’ de la identificación de huellas dactilares y maximizar los resultados de la investigación”.
El director del programa TF, Richard Meffen, agregó: “Estamos encantados de haber entregado la plataforma Xchange y la capacidad de huellas dactilares. Hemos trabajado en estrecha colaboración con expertos técnicos y forenses en la materia de todo el país para garantizar que este producto sea verdaderamente transformador.
“Este es un gran ejemplo del valor que podemos crear al trabajar en estrecha colaboración con la policía, las agencias asociadas y el Ministerio del Interior para garantizar un resultado exitoso que tendrá un impacto significativo y positivo en cómo se entregan y ejecutan las huellas dactilares en la era digital.
El PDS también afirmó que los flujos de trabajo automatizados proporcionados ayudarían a la policía a “cumplir plenamente” con los estándares de seguridad y protección reconocidos internacionalmente, así como con las reglas de protección de datos sobre la retención y eliminación de información.
Agregó que las nuevas capacidades de huellas dactilares permitirían que la policía cumpla con las ambiciones establecidas en la Estrategia digital policial nacional, publicada en febrero de 2020, que establece cinco prioridades digitales para la próxima década.
Estas prioridades son la entrega de una experiencia ciudadana fluida, abordando el daño, capacitando a los oficiales y al personal, incorporando un enfoque de sistema público completo y empoderando al sector privado.
Preocupaciones en curso sobre la nube en la policía del Reino Unido
En febrero de 2022, se advirtió a las fuerzas policiales de Inglaterra y Gales sobre la necesidad de llevar a cabo una diligencia debida exhaustiva de protección de datos después de que PDS anunciara que las 43 fuerzas podrían utilizar su Zona de aterrizaje asegurada por la policía (PALZ), otra impulsada por AWS plataforma en la nube destinada a modernizar las capacidades de TI de la policía del Reino Unido.
La diligencia debida implica verificar que las implementaciones en la nube se alineen con la Parte 3 de la Ley de Protección de Datos (DPA) de 2018, que establece, por primera vez, reglas legales específicas para el procesamiento de datos personales por parte de las fuerzas del orden.
La diligencia debida requerida incluye, por ejemplo, verificar si cada fuerza ha realizado su propia evaluación de impacto de protección de datos (DPIA) antes de la implementación, y buscar garantías sobre dónde se almacenarán geográficamente los datos que alojan en la nube.
Una investigación de Computer Weekly reveló en diciembre de 2020 que las fuerzas policiales del Reino Unido estaban procesando ilegalmente más de un millón de datos personales de personas en el servicio de nube pública hiperescala Microsoft 365, luego de no cumplir con los requisitos contractuales y de procesamiento clave dentro de la Parte 3 de la DPA.
Computer Weekly también descubrió que las fuerzas policiales del Reino Unido no habían realizado las comprobaciones de protección de datos necesarias antes de continuar con sus implementaciones en la nube de Microsoft.
El incumplimiento de la Parte 3 de la DPA 2018 puede poner a las organizaciones en riesgo de sanciones monetarias considerables, que son supervisadas y aplicadas por la Oficina del Comisionado de Información (ICO).
Si bien el organismo de control de protección de datos del Reino Unido inicialmente consultará con la organización para asesorarlos sobre cómo hacer que sus operaciones cumplan con las normas, también se reserva el derecho de emitir dos niveles de sanciones monetarias. Estos incluyen una “sanción máxima estándar” de aproximadamente 9 millones de libras esterlinas o el 2 % de la facturación anual de la organización, o un “máximo más alto” de 18 millones de libras esterlinas o el 4 % de la facturación anual. En ambos casos, la organización infractora será sancionada con la multa que resulte mayor.
El consultor de privacidad independiente Owen Sayers, que tiene más de 20 años de experiencia en la entrega de sistemas policiales nacionales, incluido Ident1, dijo que hasta que una DPIA esté disponible públicamente para su análisis, es difícil afirmar categóricamente si el servicio está operando legalmente. O no.
“Es posible que la policía del Reino Unido haya negociado términos especiales con AWS, y la plataforma en la nube subyacente puede haber sido rediseñada radicalmente para que sea legal para el uso policial”, dijo. “Pero esto parece poco probable. La última lista de AWS en G-Cloud 13 para investigaciones digitales y almacenamiento forense parece ser el servicio más utilizado por la policía en este caso.
“Habiendo analizado los términos de servicio para esa lista de G-Cloud, puedo afirmar absolutamente que los términos de servicio proporcionados están muy por debajo del mínimo legal necesario para cumplir con la Ley de Protección de Datos 2018 Parte 3”.
Sayers agregó que cualquier uso de AWS por parte de una fuerza policial en el Reino Unido para procesar huellas dactilares, datos biométricos o cualquier otra evidencia digital, utilizando el servicio Xchange TF y confiando en esos términos contractuales, violaría las leyes de protección de datos del Reino Unido.
Agregó además que si bien esto no necesariamente haría que los datos procesados en la plataforma quedaran inutilizables de inmediato, había serias implicaciones tanto para las fuerzas policiales que usaban el servicio como para AWS.
“Si bien parece poco probable que la ICO tome medidas contra ellos, y la política pública de la ICO ahora parece no hacerlo, existe un riesgo real de que cualquier persona a la que se procesen sus datos de esta manera y sufra daños o esté angustiada podría presentar un reclamo por la compensación a la que tienen derecho en virtud de la Sección 169 de la DPA 2018 contra (o ambos) el controlador (policía) y el procesador (AWS)”, dijo.
PDS responde
Computer Weekly se comunicó con PDS acerca del programa TF y el uso de AWS por parte de la plataforma Xchange para preguntar, por ejemplo, si los términos del servicio se alinean con la Parte 3 del DPA 2018; si los datos se almacenaron y procesaron en el Reino Unido; qué garantías ha recibido de Amazon con respecto a la ubicación de almacenamiento y procesamiento; cómo ha abordado los riesgos presentados por las transferencias de datos a los EE. UU., donde existe un estándar de protección de datos demostrablemente más bajo; y si se ha llevado a cabo una DPIA.
En respuesta, un portavoz dijo que el programa TF había trabajado en estrecha colaboración con “recursos de aseguramiento de la información a lo largo del desarrollo de la plataforma Xchange” para garantizar un enfoque seguro desde el diseño.
“Xchange es por diseño monitoreado y asegurado continuamente en línea con las mejores prácticas de la industria. La garantía de extremo a extremo de todas las plataformas se evalúa continuamente, incluidos los cambios a nivel de plataforma o aplicación, y las evaluaciones de impacto de protección de datos se revisan en consecuencia”, dijeron.
“El intercambio de datos rápido, seguro y proporcionado entre fuerzas y socios es vital para investigar delitos complejos y mantener a las personas a salvo de daños. Las formas actuales de trabajar, con su dependencia de los servidores locales, no son escalables y plantean barreras para el intercambio de información, lo que puede generar demoras en las investigaciones e impactar negativamente en los resultados para las víctimas de delitos.
“La vigilancia del Reino Unido está alineada con el enfoque de ‘la nube primero’ del gobierno, descrito en la Estrategia de Seguridad Cibernética del Gobierno. El Servicio Digital de la Policía continuará trabajando con todos los proveedores para desarrollar y mejorar todos los aspectos de la prestación de servicios digitales para ayudar a transformar el proceso operativo y respaldar servicios policiales eficientes y efectivos para los ciudadanos del Reino Unido”.
Computer Weekly contactó a AWS con las mismas preguntas, pero se negó a comentar.
Al comentar sobre la respuesta del PDS, Sayers dijo: “[The cloud-first policy referred to] no proporciona un mandato general para la selección de servicios en la nube inadecuados para procesar los datos personales de los ciudadanos; en cambio, requiere que el sector público del Reino Unido analice y confirme la idoneidad de un servicio en la nube antes de elegir usarlo.
“También debe recordarse que el Esquema de clasificación de seguridad del gobierno restringe específicamente el uso de la nube pública para datos personales confidenciales, un hecho que las organizaciones del sector público que buscan adoptar servicios en la nube a menudo ignoran convenientemente”.
Agregó: “PDS en sí mismos no tiene responsabilidad legal y esta puede ser la razón por la que obviamente no están preocupados a este respecto; pero la facilidad con la que se puede hacer un reclamo de compensación S169, la evidencia que indica que el servicio se opera fuera de DP’18 Parte 3, y la dificultad que las fuerzas y AWS tendrían para demostrar que opera legalmente deberían ser una preocupación real para ellos. ”
Al comentar sobre las posibles alternativas para la vigilancia del Reino Unido, Sayers agregó además que el uso de AWS y otros servicios públicos de hipernube no era “absolutamente esencial para estos servicios de datos” y, en cualquier caso, no proporciona ninguna capacidad nueva o novedosa.
“La policía del Reino Unido ha tenido los medios para compartir estos datos entre fuerzas, en todo el sector de la justicia penal y con la Unión Europea durante al menos 15 años, y utilizó redes privadas, seguras y legalmente compatibles para hacerlo”, dijo. “Es simplemente la prisa por controlar el uso de servicios públicos de hipernube lo que ha introducido este nuevo servicio, y realmente no hay forma de que esas plataformas (AWS, Azure y GCP) [Google Cloud Platform] – actualmente puede cumplir con los requisitos legales para hacerlo de manera legal o segura”.