Abogados y expertos en protección de datos han criticado a la Oficina del Comisionado de Información (ICO) por limitar su acción coercitiva contra la Policía del Valle del Támesis (TVP) y el Ministerio de Justicia (MoJ), a pesar de las graves fallas en la protección de datos que pusieron en riesgo la vida de testigos y presos. .
Si bien TVP fue reprendido por revelar información que condujo a que “presuntos delincuentes supieran la dirección de un testigo”, el Ministerio de Justicia fue reprendido después de que se dejaran “14 bolsas de documentos confidenciales” en un área de detención no segura de una prisión no revelada.
En el caso de TVP, el ICO dijo que los datos sobre el testigo terminaron en manos de presuntos delincuentes cuando un oficial respondió a una solicitud de una autoridad de vivienda no identificada sin redactar adecuadamente la información o seguir las políticas establecidas para compartir información.
Esto dio lugar a que el testigo se viera obligado a mudarse de casa, aunque no queda claro en la reprimenda cómo se transmitió la información de la autoridad de vivienda a los presuntos delincuentes. Desde entonces, el ICO ha confirmado a Computer Weekly que la autoridad de vivienda no será investigada.
El ICO señaló además que incluso después de mudarse de casa, “el impacto y el riesgo para el sujeto de los datos sigue siendo alto”.
Sin embargo, dada la gravedad de las infracciones y la gama de poderes de ejecución disponibles para el ICO, los abogados y expertos en protección de datos han cuestionado si emitir reprimendas era el mejor curso de acción en estos casos.
Detalles de la reprimenda
En el caso del Ministerio de Justicia, el ICO dijo que la información confidencial, que incluía datos médicos y detalles de investigación de seguridad tanto de los prisioneros como del personal, respectivamente, permaneció sin seguridad durante un total de 18 días.
Durante este tiempo, la información fue “potencialmente vista” por 44 personas, incluido un número no revelado de prisioneros que fueron observados “leyendo abiertamente los documentos” por el personal.
“Como resultado, los riesgos para las personas en la prisión serían significativos e incluirían una posible identificación dentro de la prisión o fuera de la comunidad en general”, dijo. “También habría un riesgo significativo de intimidación por parte de otros presos. Fuera de las personas privadas de libertad, también existe el riesgo de atención injustificada de los familiares en caso de ser identificados”.
En ambos casos, el ICO señaló que había una falta de conciencia entre el personal sobre cómo se debe manejar la información confidencial, y agregó que si bien cada organización cuenta con capacitación, políticas y procesos para garantizar la seguridad de los datos, no hay nada que sugiera que estos fueron siendo seguido.
“La información personal confidencial relacionada con delitos debe manejarse con mucho cuidado. Este caso muestra el impacto en las personas vulnerables si no se hace eso”, dijo la jefa de investigaciones del ICO, Natasha Longson, en relación a la amonestación de TVP.
“Nuestra acción de cumplimiento en este caso debería actuar como una advertencia a otras organizaciones de que deben tomar medidas sensatas para proteger los datos personales de las personas”.
Steve Eckersley, director de investigaciones de la ICO, dijo que en el contexto de la violación del Ministerio de Justicia, la exposición de la información personal podría tener graves consecuencias: “Ya sea que los documentos se desechen o no, deben manejarse de manera segura y responsable, y esperamos que ambos la prisión y el Ministerio de Justicia continúen tomando medidas para mejorar las prácticas para garantizar que las personas estén protegidas”.
Para garantizar el cumplimiento de las leyes de protección de datos, el ICO ha recomendado que TVP brinde capacitación a todo el personal responsable de las redacciones y divulgaciones, comparta actualizaciones de políticas o procesos tan pronto como estén disponibles y revise continuamente las políticas y la orientación sobre el manejo de datos personales. .
Para el MoJ, el ICO recomendó una revisión exhaustiva de todas las políticas, procedimientos y orientación de protección de datos para garantizar que sean adecuados y estén actualizados con la legislación, y la creación de una política de informes de violación de datos por separado para el personal.
‘Una palmada en la muñeca’
James Kelliher, asociado del equipo de violación de datos del bufete de abogados Keller Postman, dijo que las ramificaciones de estas violaciones en particular son “enormes”, ya que el contexto en ambos casos significa que existe una amenaza real de violencia: “Obviamente, el testigo ha tenido que mudarse”. casa, si realmente cambiaron de trabajo o cambiaron a una escuela diferente, en realidad no lo dice, pero aún corren un alto riesgo”.
Kelliher agregó que si bien las reprimendas de la ICO siempre establecen una serie de acciones correctivas que deben tomar las organizaciones, “nunca se realiza un seguimiento” para garantizar que todos los pasos se hayan implementado adecuadamente.
Para Kelliher, esto significa que las reprimendas equivalen a poco más que un “tirón de orejas” y brindan incentivos limitados para que las organizaciones realicen los cambios necesarios.
“Lo hemos dicho durante muchos años y lo seguiremos diciendo: una vez que se ha realizado una reprimenda, deben informar al ICO dentro de un período de seis meses para asesorar sobre lo que han hecho. para cumplir con esas acciones”, dijo, y agregó que el ICO debe ir más allá para garantizar la confianza en cómo esas instituciones públicas manejan los datos de las personas. “A menos que se haga un seguimiento y sean responsables de ello, nadie sabe realmente lo que se está implementando”.
Alex Lawrence-Archer, abogado del bufete de abogados especializado en protección de datos AWO, dijo que si bien “la ICO tiene poderes muy amplios en relación con la aplicación”, incluida la emisión de avisos y multas legalmente exigibles, las reprimendas están “en el extremo inferior de la aplicación”. espectro” ya que no crean ninguna obligación exigible, lo que significa que el ICO tendría que iniciar una nueva acción de cumplimiento si decidiera revisar estos casos.
Sin embargo, en junio de 2022, el ICO estableció su “enfoque revisado” para la aplicación del sector público, con el objetivo de proteger a los organismos públicos de tener que realizar grandes pagos por infracciones de protección de datos cuando las multas podrían interrumpir los servicios públicos.
“En la práctica, esto significará un mayor uso de los poderes más amplios de la ICO, incluidas advertencias, amonestaciones y avisos de ejecución, con multas emitidas solo en los casos más graves”, dijo.
Lawrence-Archer dijo que si bien las dos reprimendas son “muy coherentes con lo que ha dicho la ICO sobre cómo va a hacer su trabajo”, la gravedad de las fallas del Ministerio de Justicia y TVP es sorprendente.
“La persona sigue enfrentando un ‘alto riesgo’ de bandas criminales contra las que iban a declarar, y el ICO también encontró que los oficiales responsables no tenían conocimiento de política alguna que impidiera que esto sucediera. Es bastante llamativo lo mal que fueron las cosas y las consecuencias”, dijo.
“Creo que lo que mucha gente se ha estado preguntando, y lo que muchos comentaristas se han estado preguntando desde que vieron estas reprimendas, ¿significa esto que el ICO efectivamente nunca multaría a un organismo público?
“Es difícil ver o imaginar las circunstancias en las que considerarían adecuada una multa de un organismo público, si no es en estos casos”.
Lawrence-Archer agregó que si bien no existe una forma objetiva clara en que la ICO deba regular en términos de cuándo emitir multas o qué tan grandes deben ser, “donde aparentemente se está desarrollando una política de que efectivamente nunca ha estado dispuesto a emitir multas contra organismos públicos, que plantea algunas preocupaciones legítimas”.
Dijo, por ejemplo, que sería perfectamente legítimo que una persona corriente opinara que “simplemente emitir una advertencia por escrito no es realmente una respuesta [with a] la seriedad está en proporción a las cosas que han ido mal.”
“Creo que hay buenos argumentos para decir que estos casos muestran que el ICO está adoptando un enfoque bastante ligero en la regulación de los organismos públicos. La eficacia de eso sólo podrá ser juzgada en la plenitud de los tiempos”.
Dada la gravedad de las infracciones de TVP y MoJ, Kelliher consideró que no se debe permitir que continúe esta práctica: “Entiendo que es el dinero público de donde saldrán los daños y perjuicios, lo entendemos, pero en última instancia, si se está causando un impacto que es tan significativo como en estos dos casos, ¿por qué un cliente no debería recibir daños y perjuicios como resultado de ello?
Owen Sayers, consultor de seguridad independiente y arquitecto empresarial con más de 20 años de experiencia en la implementación de sistemas policiales nacionales, compartió sentimientos similares.
“Se debe exigir al propio comisionado que dé cuenta públicamente de su cargo y justifique por qué se debe permitir que continúe su política de ‘no tocar’ para el sector público”, dijo.
“Esta vez alguien tuvo que mudarse de casa. La próxima vez alguien podría estar herido, o algo peor. Esos son los riesgos reales con los que viven día tras día víctimas y testigos vulnerables, y sus familias.
“Deberían tener una expectativa razonable de que cuando las cosas van mal, el regulador (que se supone que debe anteponer sus intereses a los de los controladores infractores) realmente regulará y utilizará toda la gama de poderes a su disposición. Esta ‘acción’ es lamentablemente inadecuada para el impacto en el sujeto”.
Defensa del comisionado de información
En respuesta a las preguntas de Computer Weekly sobre las decisiones de amonestación de su oficina, el comisionado de información John Edwards dijo: “Nuestro enfoque como regulador es donde el impacto en las personas es mayor. En estos casos recientes, hemos visto un impacto realmente serio en las personas de las organizaciones que tienen prácticas deficientes, por lo que hemos respondido para asegurarnos de que se realicen cambios para evitar esto en el futuro.
“Una reprimenda deja en claro que se cometieron errores y hace que una organización rinda cuentas, y es por eso que sentimos que era la respuesta más apropiada en estos casos recientes. Preferiría que las autoridades públicas aplicaran los recursos que de otro modo se desviarían con una multa a invertir en formación y resolver los problemas que dieron lugar a la infracción. Y lo hemos visto en la práctica con organizaciones que realizan cambios positivos en respuesta a nuestras reprimendas”.
Edwards agregó que si bien entiende que la gente querrá ver multas, y estas juegan un papel, hay evidencia limitada de que las multas por sí solas son una disuasión efectiva para los organismos del sector público.
“No afectan a los responsables del incumplimiento de la misma manera que multar a una empresa privada puede afectar a los accionistas o directores”, dijo.
“Quizás lo más importante es que el impacto de las multas emitidas al sector público a menudo recae sobre las propias víctimas de la infracción, en forma de presupuestos reducidos para servicios vitales. En efecto, las personas afectadas por una infracción son sancionadas dos veces.
“Nuestro enfoque es una prueba de dos años. Reconocemos que el Parlamento ha previsto expresamente multas contra organizaciones del sector público, y reservamos esa opción para los casos más atroces a juzgar por la escala y las posibles consecuencias de la infracción, y la naturaleza de la conducta que la condujo. Revisaremos el enfoque al final de la prueba para asegurarnos de que nuestro trabajo siga teniendo un impacto”.
Avanzando
En términos de responsabilidad legal, Kelliher dijo que si bien cualquier caso legal debería llevarse a cabo solo por sus méritos, recomendaría a los afectados por la violación de TVP que “procedieran de inmediato”.
En 2008, en un caso similar al incidente de TVP, el Servicio de Fiscalía de la Corona y la Policía Metropolitana pagaron más de £ 600,000 en daños a una familia después de que un niño testigo pasara inadvertidamente su información a los pandilleros, dando una indicación de la compensación que podría pagarse si los afectados emprenden acciones legales.
Lawrence-Archer dijo de manera similar que, si bien no querría dar consejos sobre los méritos de un desafío sin ver los detalles, es “muy posible” que puedan emprender acciones legales privadas.
“El ICO no es un defensor del pueblo. No está ahí para reivindicar los derechos de datos de las personas. Eso es lo que juzgan [are] porque… efectivamente, los tribunales administrativos están diciendo: ‘Si no te gusta lo que ha hecho el ICO, entonces tienes que ir y demandar a la persona que crees que ha violado tus derechos’”, dijo.
“Mirando estrictamente la ley, eso tiene sentido, eso es lo que dice la ley, pero si eso brinda a las personas una protección efectiva en la realidad es otro tema, porque no es poca cosa emprender acciones legales contra un controlador de datos”.
Lawrence-Archer expresó mayor preocupación por el futuro regulatorio del Reino Unido, y señaló que estas reprimendas se han dictado en un momento en que la regulación de la inteligencia artificial (IA) está ocupando un lugar central en los debates públicos.
“Estoy muy consciente de que en ese debate sobre la regulación de la IA, debemos darnos cuenta de que la protección de datos es la regulación de la IA; no es el final de la historia, pero es un importante…