La Oficina del Comisionado de Información (ICO, por sus siglas en inglés) emitió reprimendas a la Policía de Surrey y la Policía de Sussex después de descubrir que los oficiales habían usado ilegalmente una aplicación de teléfono móvil para grabar de forma encubierta más de 200,000 llamadas telefónicas.
Las fuerzas policiales evitaron multas potenciales de 1 millón de libras esterlinas luego de un cambio en la política del ICO el año pasado, cuyo objetivo es proteger a los organismos públicos de tener que hacer grandes pagos por violaciones de protección de datos cuando las multas podrían interrumpir los servicios públicos.
Más de 1015 miembros del personal descargaron una aplicación gratuita de Google Play Store, que se utilizó para grabar ilegalmente conversaciones con víctimas, testigos y perpetradores de presuntos delitos, descubrió el comisionado de información.
La práctica, que se prolongó durante más de tres años, planteó dudas sobre la capacidad de los agentes de policía para identificar y divulgar grabaciones que legalmente deben compartirse con los acusados en virtud de la Ley de investigaciones y procedimientos penales de 1966 (CPIA).
El organismo de control de protección de datos descubrió que las fuerzas policiales habían violado la Ley de Protección de Datos de 2018 y habían perdido varias oportunidades para alinear sus prácticas con la ley de protección de datos. Las fuerzas policiales autoinformaron la violación en marzo de 2020.
El comisionado adjunto de ICO, Stephen Bonner, dijo que el organismo de control de protección de datos había descartado multar a las fuerzas policiales, ya que hacerlo dañaría su capacidad para combatir el crimen.
“La amonestación refleja el uso de los poderes más amplios del ICO hacia el sector público, ya que las multas elevadas podrían conducir a la reducción de los presupuestos para la prestación de servicios vitales. Este caso destaca por qué la ICO está siguiendo un enfoque diferente, ya que multar a la Policía de Surrey y a la Policía de Sussex corre el riesgo de impactar a las víctimas del crimen en el área una vez más”, dijo.
Computer Weekly reveló en enero que las fuerzas policiales de Surrey y Sussex autorizaron la aplicación de grabación, llamada Another Call Recorder (ACR), para los negociadores de rehenes cuando se trata de secuestradores y negociaciones de crisis en 2017.
La aplicación registró y almacenó todas las llamadas entrantes y salientes realizadas en teléfonos móviles y terminales de datos móviles emitidos por la policía.
“Las personas tienen derecho a esperar que cuando hablen con un oficial de policía, la información que divulguen se maneje con responsabilidad. Solo podemos estimar la gran cantidad de datos personales recopilados durante estas conversaciones”.
Stephen Bonner, OIC
El ICO descubrió que, aunque técnicamente era posible que la policía de Surrey asignara la aplicación a un número limitado de oficiales especialistas, no había optado por hacerlo y, en la práctica, estaba disponible para que el personal de toda la fuerza la descargara.
Bonner dijo que las fuerzas policiales de Surrey y Sussex no utilizaron los datos personales de las personas de manera legal al grabar cientos de miles de llamadas telefónicas sin su conocimiento.
“Las personas tienen derecho a esperar que cuando hablen con un oficial de policía, la información que divulguen se maneje con responsabilidad. Solo podemos estimar la gran cantidad de datos personales recopilados durante estas conversaciones, incluida información altamente confidencial relacionada con presuntos delitos”, dijo.
Riesgo de no revelar pruebas
La reprimenda del ICO plantea dudas sobre si los agentes de policía podrían cumplir con su deber legal de revelar conversaciones telefónicas relevantes para casos penales.
Según el ICO, la evidencia proporcionada por las fuerzas sugería que muchos de los policías que habían descargado la aplicación no sabían que se estaban grabando todas las llamadas.
Las fuerzas no tenían ningún mecanismo para hacer una copia de seguridad automática de las grabaciones de las llamadas telefónicas o para retener las grabaciones si los teléfonos se perdían o se dañaban.
“Esto pone en duda si toda la información personal procesada durante el período en que la aplicación estuvo en uso se ha divulgado adecuadamente como material probatorio”, escribió la ICO en la amonestación.
El ICO dijo que no se presentó evidencia que sugiera que la información contenida en llamadas telefónicas grabadas habría alterado el veredicto en casos penales.
Uso generalizado de la aplicación de teléfono
Computer Weekly informó anteriormente que los oficiales de ambas fuerzas tenían acceso a Google Play Store, donde podían descargar la aplicación.
El ICO descubrió que las fuerzas habían perdido la oportunidad de revisar el uso de la aplicación de grabación por parte de los agentes de policía cuando se introdujo una nueva plataforma tecnológica en noviembre de 2017.
Las fuerzas tampoco revisaron el uso de la aplicación y su procesamiento de datos personales cuando entró en vigor la Ley de Protección de Datos de 2018. “Esto es motivo de especial preocupación dados los derechos mejorados otorgados a los interesados en virtud de la nueva legislación”, dijo el ICO.
Las fuerzas policiales no informaron al personal cómo funcionaba la aplicación ni se aseguraron de que los oficiales supieran que el uso de la aplicación equivalía a procesar datos personales según la legislación de protección de datos, dijo.
La policía también violó la política de dispositivos electrónicos de las fuerzas al usar la aplicación para “grabar notas u otros detalles de la investigación”.
El ICO encontró que las personas no fueron informadas de que sus llamadas telefónicas con los oficiales de policía estaban siendo grabadas, lo que las privó de su derecho a oponerse a la grabación oa obtener transcripciones o copias.
El ICO concluyó que era “altamente probable” que la aplicación capturara una variedad de datos, incluidos datos personales confidenciales en una amplia gama de temas, en violación de la Ley de Protección de Datos de 2018.
La policía transfirió manualmente las grabaciones de los teléfonos móviles de la policía protegidos por encriptación a medios extraíbles, lo que generó preocupaciones sobre si los datos personales y de categoría especial se almacenaron de forma segura, en violación de la ley de protección de datos.
Forza la infracción autoinformada
En un comunicado conjunto, la policía de Surrey y la policía de Sussex dijeron que tomaron medidas inmediatas cuando se dieron cuenta del error en marzo de 2020 al eliminar la aplicación, obtener pruebas y remitir la infracción a la Oficina del Comisionado de Poderes de Investigación (IPCO) y al comisionado de información.
Una auditoría interna encontró que 1024 oficiales y personal habían descargado la aplicación y que la aplicación se había utilizado en 432 teléfonos que contenían archivos de audio. Cuatro usuarios de la aplicación identificaron grabaciones que contenían pruebas de un delito.
Según el comunicado, solo una de las grabaciones podría haber tenido un impacto potencial si el caso llegara a juicio.
Las fuerzas dijeron que habían puesto en marcha nuevos procesos para garantizar que todas las nuevas aplicaciones cumplan con la legislación antes de ser emitidas y que el personal tenga acceso a consejos de protección de datos.
La asistente del jefe de policía temporal Fiona McPherson dijo: “El caso expuso una falta de gobernanza en torno al uso de esta aplicación digital, y esto es lamentable. Tan pronto como se informó el error, tomamos medidas urgentes para asegurarnos de que esto no volviera a suceder”.
Katie Wheatley, jefa del equipo de regulación y fraude criminal del bufete de abogados Bindmans, dijo que era sorprendente que la policía de Sussex y Surrey aparentemente no hubiera considerado los requisitos legales para retener y divulgar material para investigaciones criminales.
“Todavía me parece sorprendente que estas grabaciones se hayan realizado durante años sin que las fuerzas involucradas o los usuarios individuales hayan considerado el requisito legal de retención y divulgación de material relevante para las investigaciones”, dijo a Computer Weekly.
“Sugiere que estos requisitos no estaban en lo más alto de sus mentes como deberían. Esto es preocupante, ya que la divulgación es la piedra angular del sistema de justicia penal y ayuda a prevenir los errores judiciales”, agregó Wheatley.
Dai Davis, un abogado de protección de datos, dijo a Computer Weekly que emitir una reprimenda en lugar de una multa a las organizaciones del sector público tendría sentido si condujera a un mejor cumplimiento de la legislación de protección de datos.
“El comisionado de información tiene derecho a hacer lo que ha hecho. El ICO tiene un presupuesto limitado, no tiene suficiente personal, está mal pagado. Tiene que poner recursos donde sea creíble”, dijo.
Davis dijo que era difícil entender por qué, de 1.000 usuarios de la policía, solo se encontraron cuatro grabaciones relacionadas con delitos penales.
El ICO ha pedido a la Policía de Surrey y a la Policía de Sussex que proporcionen detalles, dentro de los tres meses, de las acciones que han tomado para implementar las medidas recomendadas por el ICO para garantizar que cumplen con la ley de protección de datos.
