Se está probando un sistema de intercambio de evidencia digital basado en la nube para la policía en Escocia, a pesar de las importantes preocupaciones de protección de datos planteadas por los organismos de control sobre cómo el uso de Microsoft Azure podría poner en riesgo los datos personales confidenciales de las personas.
El servicio Digital Evidence Sharing Capability (DESC) del gobierno escocés tiene como objetivo transformar digitalmente la forma en que el sistema de justicia penal gestiona las pruebas mediante la creación de un sistema unificado para que los fiscales, el personal judicial, los agentes de policía y los abogados defensores accedan a las pruebas digitales y las manejen de forma segura.
El proveedor de tecnología de video corporal Axon ha sido contratado por el gobierno escocés para entregar el sistema de evidencia digital, que a su vez está alojado en Microsoft Azure.
Sin embargo, en una evaluación de impacto de protección de datos (DPIA) y a través de intercambios de correo electrónico con la Oficina del Comisionado de Información (ICO) que se remonta al verano de 2022, la Autoridad de Policía de Escocia (SPA), un organismo de supervisión creado para examinar la policía en Escocia, identificó que el sistema no podía cumplir plenamente con los requisitos específicos de protección de datos para los organismos encargados de hacer cumplir la ley del Reino Unido.
Los correos electrónicos de los equipos legales de Axon y Microsoft, que se compartieron con Computer Weekly, también revelan que las empresas mismas conocían y entendían los problemas que ahora señala el SPA durante al menos dos años, tiempo durante el cual no se tomó ninguna medida para subsanar las inquietudes planteadas.
Se preguntó a ambas empresas sobre los correos electrónicos y qué medidas han tomado desde entonces para resolver los problemas planteados. Axon dijo que trabaja “en estrecha colaboración con los clientes para garantizar que se implementen medidas de seguridad sólidas y efectivas”, mientras que Microsoft no respondió. La respuesta completa de Axon se detalla a continuación.
Como detalló la SPA, el sistema DESC “brindará la capacidad de recopilar y compartir de forma segura evidencia digital entre socios de la justicia penal”, y los tipos de evidencia digital que se almacenan y procesan incluyen “CCTV en espacios públicos y privados, video corporal, llamadas probatorias a salas de control policial, entrevistas policiales, fotografías y videos de víctimas, acusados, escenas del crimen, documentos y huellas dactilares”.
Esto, a su vez, podría dejar a los testigos y las víctimas de delitos, además de los sospechosos y las personas procesadas, expuestos a una serie de riesgos, incluida la posibilidad de que sus datos se transfieran a una jurisdicción con estándares de protección de datos demostrablemente más bajos. También podría afectar negativamente a sus derechos de rectificación, supresión y no ser objeto de decisiones automatizadas.
En una evaluación de impacto de la protección de datos, y a través de intercambios de correo electrónico con la ICO, la autoridad policial escocesa identificó que el sistema de capacidad de intercambio de evidencia digital no podía cumplir completamente con los requisitos específicos de protección de datos para los organismos encargados de hacer cumplir la ley del Reino Unido.
El nivel de procesamiento de datos que se lleva a cabo no es “novedoso”, agregó la SPA, pero es nuevo para la policía en Escocia y, por lo tanto, presenta “riesgos adicionales” que no existen en los procesos actuales, lo que requiere que se complete una DPIA.
El SPA señaló específicamente que “las transferencias a proveedores de nube en el extranjero, Axon USA o subprocesadores fuera del Reino Unido [such as Microsoft] no sería legal”, y que había una serie de otros riesgos elevados no resueltos para los interesados, como el acceso del gobierno de EE. UU., el uso de Microsoft de contratos genéricos en lugar de específicos y la incapacidad de Axon para cumplir con las cláusulas contractuales sobre la soberanía de los datos.
La DPIA se publicó a través de una solicitud de libertad de información (FOI) de Owen Sayers, un consultor de seguridad independiente y arquitecto empresarial con más de 20 años de experiencia en la entrega de sistemas policiales nacionales, junto con la correspondencia de la SPA con la ICO. Todo este material ha sido visto por Computer Weekly.
Sayers dijo que los problemas sacados a la luz por la FOI han sido bien entendidos y conocidos durante varios años. “Gracias a la honestidad de estas revelaciones de la FOI escocesa, por doloroso que haya sido para las partes hacerlas, ese secreto está fuera y, con suerte, se discutirá y abordará de manera positiva”.
Según los términos de la Ley de Protección de Datos (DPA) de 2018, los cuerpos policiales están obligados a realizar DPIA obligatorias antes del inicio de cualquier nuevo procesamiento de datos personales cuando es probable que un tipo de procesamiento resulte en un alto riesgo para los derechos y libertades de las personas. . Esto incluye cuando el sistema aún no está activo, pero todavía se utilizan datos personales reales.
La publicación de la correspondencia de la DPIA y la ICO también cuestiona la legalidad de las implementaciones en la nube por parte de los organismos policiales y de justicia penal en Inglaterra y Gales, ya que una variedad de otras DPIA vistas por Computer Weekly no evalúan los riesgos descritos por la SPA en torno a la nube de EE. UU. proveedores, a pesar de regirse por las mismas normas de protección de datos.
Computer Weekly se puso en contacto con la ICO sobre el contenido de los DPIA y el uso de proveedores de la nube de EE. UU. por parte de las fuerzas del orden del Reino Unido, incluido si la ICO ha buscado asesoramiento legal formal desde que ofreció una “visión inicial” al SPA, y si estaba al tanto de la DESC. piloto había lanzado con dos riesgos elevados no mitigados.
“La Policía de Escocia y la Autoridad de Policía de Escocia se acercaron a la ICO para obtener asesoramiento sobre el servicio de capacidad de intercambio de evidencia digital, incluido el uso de alojamiento en la nube. El compromiso continúa a medida que consideramos los problemas y los próximos pasos”, dijo un portavoz de ICO.
“Es importante mantener altos estándares de cumplimiento de la protección de datos cuando se procesan datos de aplicación de la ley, para garantizar la confianza del público y la protección contra daños. El propósito de una DPIA es identificar los riesgos y luego buscar mitigarlos: ese último paso no se puede omitir”.
Computer Weekly también preguntó al ICO sobre la prevalencia de los proveedores de la nube de EE. UU. en todo el sector de la justicia penal del Reino Unido y si su uso es compatible con las normas de protección de datos del Reino Unido. El ICO dijo que había remitido las preguntas de Computer Weekly al equipo de FOI para obtener más respuestas.
Problemas no resueltos de alto riesgo
Según la DPIA de la SPA, “existe la preocupación de que el procesamiento pueda infringir los estrictos controles que se aplican a las transferencias internacionales, tal como se define en el artículo 73 de la DPA. [Data Protection Act 2018]. Esas preocupaciones se relacionan con el proveedor, una empresa de propiedad total de los EE. UU. y su subprocesador, Microsoft Azure”, y agregó que ambos están sujetos a una legislación invasiva que permite al gobierno de los EE. UU. acceder a sus datos.
Específicamente, esto incluye la sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA), que permite que el fiscal general y el director de los servicios de inteligencia de los EE. UU. autoricen conjuntamente la vigilancia dirigida de personas fuera de los EE. UU., siempre que no sean ciudadanos estadounidenses; y la Ley de la Nube, que efectivamente le da al gobierno de los EE. UU. acceso a cualquier información, almacenada en cualquier lugar, por las corporaciones de los EE. UU. en la nube.
Si bien la DPIA señaló que el riesgo de acceso del gobierno de EE. UU. a través de la Ley de la Nube era “poco probable… las consecuencias serían cataclísmicas”.
Alex Lawrence-Archer, abogado del bufete de abogados especializado en protección de datos AWO, dijo a Computer Weekly: “Parece haber una tensión entre lo que exige la Ley de Protección de Datos de 2018 y la legislación estadounidense”.
Agregó que incluso si todo se procesara desde el Reino Unido sin transferencias de datos de rutina a Microsoft con fines de soporte, el gobierno de los EE. o procesados pueden ser accedidos por Microsoft US, que está al alcance de las autoridades estadounidenses. Y en la medida en que se acceda, incluso la policía no necesariamente sabrá que sucedió”.
La DPIA señaló una serie de otros problemas de “alto riesgo” con los términos y condiciones de Microsoft que cuestionan aún más su idoneidad para procesar datos policiales del Reino Unido.
Esto incluye el hecho de que el apéndice de procesamiento de datos estándar de Microsoft está redactado principalmente para aplicarse al procesamiento relacionado con el Reglamento general de protección de datos (GDPR) en lugar del procesamiento de la Parte 3 (los requisitos específicos de aplicación de la ley); que el contrato entre Axon y Microsoft no contiene el “nivel granular de detalle” requerido para cumplir con el RGPD o la Parte 3; y que el uso de términos y condiciones genéricos por parte de Microsoft significa que no se puede cumplir con el requisito de la sección 59 de la DPA para un contrato específico que detalle la naturaleza del procesamiento.
Agregó que si bien el apéndice de Microsoft establece que los datos se conservan en el Reino Unido, también establece que los datos pueden transferirse o procesarse en los EE. datos policiales fuera del Reino Unido “sin ninguna visibilidad o control sobre este procesamiento para los controladores”.
Para Axon, también existe un alto riesgo de que transfiera datos policiales del Reino Unido a los EE. UU. sin el conocimiento o consentimiento de los controladores de datos.
“Los términos del contrato eran claros con respecto a la soberanía de los datos, sin embargo, durante la diligencia debida quedó claro que es posible que Axon no haya estado completamente familiarizado/comprendido este término como servicios dentro de la solución que procesa datos en los EE. UU.”, dijo.
Todos estos problemas fueron marcados como de “alto riesgo” en la DPIA. En la siguiente sección sobre las medidas que podrían mitigar estos riesgos, la SPA señaló que aún estaba esperando las garantías de Microsoft o que no había mitigación posible.
“A principios de junio de 2022, la Autoridad de Policía de Escocia solicitó, a través del revendedor de Microsoft Phoenix, que Microsoft confirmara por escrito que MS Azure opera de conformidad con la Parte 3 de la Ley de Protección de Datos de 2018 y, en particular, cumple con la s73 [international transfer] requisitos”, dijo. “La respuesta fue que ‘Microsoft consultaría a su CELA [corporate, external, and legal affairs] y responder, sin embargo, puede llevar algún tiempo’. Esta respuesta no les da a los controladores el nivel de confianza que podrían haber esperado”.
La correspondencia de la SPA con el ICO también revela que el regulador estuvo de acuerdo en gran medida con sus evaluaciones de los riesgos. Con respecto a los requisitos de transferencia internacional, por ejemplo, señaló que el soporte técnico proporcionado desde los EE. UU. por Axon o Microsoft constituiría una transferencia internacional de datos, al igual que una solicitud de datos del gobierno de los EE. UU. realizada a través de la Ley de la Nube.
“Es poco probable que estas transferencias cumplan con las condiciones para una transferencia compatible”, dijo. “Para evitar una posible infracción de la ley de protección de datos, recomendamos encarecidamente asegurarse de que los datos personales permanezcan en el Reino Unido buscando soporte técnico en el Reino Unido”.
Al comentar sobre el uso de proveedores de la nube de EE. UU. por parte de las fuerzas del orden del Reino Unido en general, Lawrence-Archer dijo que la posición legal en torno al soporte técnico de un tercer país es clara, en el sentido de que cada instancia de acceso cuenta como una transferencia.
“Estoy seguro de que es correcto que no cada vez que dicho acceso se lleve a cabo desde los Estados Unidos se verán involucrados datos personales que entren dentro del alcance de la Parte 3, pero probablemente sea justo suponer que al menos para algunas de esas transferencias… hay, como mínimo, un riesgo muy real de que se realicen transferencias internacionales de una manera que no está realmente bajo el control del controlador”, dijo. “Es difícil ver cómo tales transferencias internacionales podrían ser legales”.
DPIA en conflicto
Otros cuerpos policiales involucrados en el sistema DESC como controladores conjuntos también recibieron FOI para las DPIA que habían realizado, incluido el Servicio de Fiscales del Procurador de la Oficina de la Corona (COPFS) y el Servicio de Policía de Escocia (PSoS).
El propio gobierno escocés también fue designado por la FOI como el organismo contratante a cargo de financiar el sistema, pero no actúa como controlador de datos y, por lo tanto, no está legalmente obligado a completar una DPIA.
En respuesta a una FOI, el gobierno escocés proporcionó un extracto del contrato entre Axon y los ministros escoceses, pero como se destaca en el SPA DPIA, el contrato se basa en los requisitos de GDPR, y esta vez no hace mención explícita de las reglas de la Parte 3 o el hecho de que se están procesando datos policiales.
Si bien el extracto menciona la necesidad de que los datos permanezcan en el Reino Unido en dos de las cláusulas, no hay indicios de que Axon y Microsoft puedan lograrlo, dadas las preocupaciones planteadas por el SPA.
Además, el gobierno escocés reveló que no tiene idea de qué subprocesadores están involucrados en el contrato, o a qué países podrían transferirse realmente los datos, lo que pone en duda qué diligencia aplicó durante el proceso.
Según la sección 59 de la DPA, los controladores (los órganos escoceses de justicia penal) deben…
