La policía de Escocia ha “cargado volúmenes significativos de imágenes” en su sistema de intercambio de evidencia digital basado en la nube a pesar de las principales preocupaciones en curso sobre la protección de datos, encuentra un aviso de información formal del comisionado de biometría escocés.
A principios de abril de 2023, Computer Weekly reveló que el servicio de capacidad de intercambio de evidencia digital (DESC) del gobierno escocés, contratado con el proveedor de video corporal Axon para su entrega y alojado en Microsoft Azure, estaba siendo probado a pesar de que el organismo de control de la policía expresó su preocupación sobre cómo el el uso de Azure “no sería legal”.
Según una Evaluación de impacto de protección de datos (DPIA) realizada por la Autoridad de policía escocesa (SPA), que señala que el sistema procesará información genética y biométrica, el sistema presenta varios riesgos para los derechos de los interesados.
Esto incluye el potencial para el acceso del gobierno de los EE. UU. a través de la Ley de la Nube, que efectivamente le da acceso al gobierno de los EE. UU. a cualquier dato, almacenado en cualquier lugar, por las corporaciones de los EE. UU. en la nube; el uso de Microsoft de contratos genéricos, en lugar de específicos; y la incapacidad de Axon para cumplir con las cláusulas contractuales sobre la soberanía de los datos.
A raíz de la cobertura de Computer Weekly, el comisionado de biometría escocés, Brian Plastow, entregó a la Policía de Escocia (el principal controlador de datos del sistema) un aviso de información formal el 22 de abril de 2023, requiriendo que la fuerza demuestre que su uso del sistema cumple con la Parte Tres de la Ley de Protección de Datos de 2018 (DPA 18), que contiene las normas de protección de datos específicas de las fuerzas del orden del Reino Unido.
Plastow preguntó específicamente si se han realizado transferencias de datos biométricos, qué tipos se han transferido, en qué volúmenes y en qué país se alojan los datos.
Respuesta de la policía de Escocia
Si bien la respuesta de la Policía de Escocia a Plastow no se ha revelado públicamente, confirmó en correspondencia con Computer Weekly que la fuerza “cargó volúmenes de imágenes significativos a DESC durante este piloto”, que incluían específicamente imágenes fijas e imágenes de CCTV.
También confirmó con los Servicios Forenses de la Autoridad de Policía de Escocia que no se han cargado perfiles de ADN ni huellas dactilares, en espera de que el Comisionado de Información del Reino Unido aclare si está satisfecho de que hacerlo no entraría en conflicto con la ley de protección de datos del Reino Unido.
En su respuesta oficial a la Policía de Escocia, Plastow señala que se le aseguró que “la solución DESC cifra los datos antes de alojarlos en un centro de datos de Microsoft Azure en el Reino Unido”.
Plastow también destacó que, a pesar de estas garantías: “La Ley de la Nube de EE. UU. permite el acceso a datos electrónicos almacenados en el extranjero por parte de proveedores de servicios de comunicación electrónica con ‘sede en EE. UU.’ y ‘proveedores de servicios informáticos remotos'”.
Destacó además el hecho de que los proveedores de servicios con sede en los EE. UU. “deberán asegurarse de que las autoridades de los EE. UU. no accedan a los datos del Reino Unido escocés, o a los datos de la UE transferidos en adelante, sin una autorización válida y la implementación de” las reglas de protección de datos del Reino Unido.
Sin embargo, debe tenerse en cuenta que el cifrado no se considera una salvaguardia relevante o efectiva en la Parte Tres (ya que no permite ‘medidas complementarias’ que permitirían enviar datos a jurisdicciones con estándares de protección de datos demostrablemente más bajos, como UU.), y solo se considera como tal en relación con las actividades de procesamiento de datos no relacionadas con la aplicación de la ley cubiertas por la implementación del Reglamento General de Protección de Datos (RGPD) en el Reino Unido.
En cualquier caso, la SPA también señala explícitamente en su DPIA que las claves de cifrado están en poder de Axon, lo que significa que “podrían descifrar y proporcionar los datos, potencialmente sin nuestro conocimiento o consentimiento, cuando las autoridades de EE. UU. los obliguen a hacerlo”. .
Tras la confirmación de la Policía de Escocia de que cargó volúmenes significativos de información biométrica durante el programa piloto DESC, Plastow confirmó que su oficina evaluará formalmente el cumplimiento de la fuerza con el Código de práctica legal de Escocia sobre el uso de datos biométricos en el invierno de 2023. Un informe que detalla sus hallazgos se presentará ante el Parlamento escocés en la primavera de 2024.
Sin embargo, el comisionado ya había establecido su intención de realizar revisiones de aseguramiento en su plan publicado en diciembre de 2021, lo que significa que esto habría seguido adelante independientemente de si se habían planteado o no problemas con el sistema DESC.
Computer Weekly se puso en contacto con la policía de Escocia sobre varios aspectos de la historia, incluido por qué los datos de ADN y huellas dactilares se consideraron demasiado confidenciales para el sistema, pero otra información biométrica no lo fue; por qué considera que el cifrado es una salvaguardia eficaz en este caso; y por qué decidió seguir adelante con el piloto DESC a pesar de que tanto SPA como ICO destacaron las principales preocupaciones sobre la protección de datos.
“Police Scotland continúa trabajando en estrecha colaboración con todos los socios relevantes para identificar, evaluar y mitigar cualquier riesgo relacionado con la soberanía de datos, cuando sea necesario. Las evaluaciones y la mitigación de riesgos adicionales se mantendrán bajo escrutinio continuo”, dijo un portavoz de la Policía de Escocia.
“Toda la evidencia digital en el sistema DESC se mantiene de forma segura. El acceso a la información está completamente auditado y monitoreado, y solo es accesible para el personal aprobado. Existen procesos para garantizar que cualquier riesgo de datos se identifique, evalúe y mitigue rápidamente.
“Nos tomamos muy en serio la gestión y la seguridad de los datos. Estamos trabajando con nuestros socios de justicia penal para garantizar que se implementen procesos sólidos, efectivos y seguros para respaldar el desarrollo del sistema y continuaremos interactuando con el comisionado de biometría, la Oficina del Comisionado de Información y los socios relevantes”.
El enfoque ‘conversacional’ del ICO
Plastow también señaló que, si bien la Policía de Escocia ha estado consultando con la ICO sobre sus actividades de procesamiento y almacenamiento en el sistema DESC, que debe tener lugar antes de que comience cualquier procesamiento de alto riesgo, todavía no hay una guía formal de la ICO sobre la implementación de la ley. datos de aplicación en la infraestructura de la nube.
Desde entonces, el ICO ha confirmado a Computer Weekly que nunca ha otorgado una aprobación reglamentaria formal para el uso de dichos sistemas por parte de los organismos encargados de hacer cumplir la ley del Reino Unido, a pesar de estar al tanto de los problemas debido a sus conversaciones en curso con los controladores de datos involucrados.
En la correspondencia de la SPA con la ICO publicada bajo la Ley de Libertad de Información (FOI), por ejemplo, el regulador estuvo de acuerdo en gran medida con sus evaluaciones de los riesgos. Con respecto a los requisitos de transferencia internacional, por ejemplo, señaló que el soporte técnico proporcionado desde los EE. UU. por Axon o Microsoft constituiría una transferencia internacional de datos, al igual que una solicitud de datos del gobierno de los EE. UU. realizada a través de la Ley de la Nube.
“Es poco probable que estas transferencias cumplan con las condiciones para una transferencia compatible”, dijo el ICO. “Para evitar una posible infracción de la ley de protección de datos, recomendamos encarecidamente asegurarse de que los datos personales permanezcan en el Reino Unido buscando soporte técnico en el Reino Unido”.
En un correo electrónico que resume sus reuniones con Police Scotland, el ICO señaló además que el piloto DESC comenzaría el 24 de enero de 2023 e involucraría datos personales en vivo que “habrá transferencias internacionales involucradas en la provisión de servicios técnicos”, y que Police Scotland es ” asegurado como controlador” de que está cumpliendo con todas las obligaciones de protección de datos de aplicación de la ley.
Sin embargo, agregó: “Si tiene un alto riesgo residual restante en su DPIA que no se puede mitigar, se requiere una consulta previa con el ICO en virtud de la sección 65 DPA 2018. No puede continuar con el procesamiento hasta que nos haya consultado”.
A pesar de esta advertencia, los cuerpos policiales escoceses involucrados en el sistema DESC optaron por seguir adelante con el piloto sin una consulta formal con el ICO.
En junio de 2022, el ICO estableció su “enfoque revisado” para la aplicación del sector público, con el objetivo de proteger a los organismos públicos de tener que realizar grandes pagos por violaciones de la protección de datos cuando las multas podrían interrumpir los servicios públicos.
“En la práctica, esto significará un mayor uso de los poderes más amplios de la ICO, incluidas advertencias, amonestaciones y avisos de ejecución, con multas emitidas solo en los casos más graves”, dijo.
En respuesta a una FOI de seguimiento de Computer Weekly, la ICO confirmó más tarde que, si bien obtuvo asesoramiento legal sobre el uso de la infraestructura en la nube para los datos de aplicación de la ley, el asunto está en curso y aún no ha llegado a una posición formal al respecto. . Sin embargo, el consejo en sí mismo fue retenido, ya que está sujeto al secreto profesional legal.
Los datos personales se han procesado en cientos de casos en probable incumplimiento de la ley, mientras que el ICO no ha hecho nada.
Owen Sayers, consultor de seguridad independiente
Aquí es cuando el ICO también confirmó que “nunca ha otorgado una aprobación regulatoria formal para el uso de estos sistemas” en un contexto de aplicación de la ley.
Owen Sayers, un consultor de seguridad independiente y arquitecto empresarial con más de 20 años de experiencia en la entrega de sistemas policiales nacionales, dijo: “Si bien la ICO parece seguir obstinadamente comprometida con su enfoque de tener ‘conversaciones’, en lugar de entrevistas y evaluaciones formales, la La efectividad de esto debe ser cuestionada dado que durante este tipo de compromiso informal, la Policía de Escocia eligió entrar en un piloto en vivo sin adherirse a la guía del ICO de que deberían remitir el proyecto para una consulta formal debido a la presencia de múltiples riesgos altos. .
“Como resultado, los datos personales se han procesado en cientos de casos en probable incumplimiento de la ley, mientras que la ICO no ha hecho nada. De hecho, les corresponde a otros comisionados iniciar sus propias investigaciones en lugar de que la ICO use sus propios poderes para proteger al público”.
Sayers agregó que si el ICO toma medidas contra un proveedor del gobierno, en lugar de un organismo del sector público, sería divulgable y, por lo tanto, podría impulsar una mejora real al afectar su capacidad para ofertar con éxito por otro trabajo.
Fraser Sampson, el comisionado de biometría de Inglaterra y Gales, señaló de manera similar que era “interesante” que su homólogo escocés fuera el que interviniera en el sistema DESC, ya que “presumiblemente la ICO podría haber intervenido de la misma manera que lo ha hecho el comisionado de biometría y exigió la misma disposición legal de información”.
Sampson cuestionó además “por qué un organismo regulador ha considerado necesario hacerlo y parece haberlo hecho con bastante eficacia”, mientras que el otro no lo ha hecho.
En abril de 2023, Sampson le dijo previamente a Computer Weekly que los problemas relacionados con el uso de la nube a hiperescala en un contexto policial solo aumentarán en importancia a medida que se ingresen más y más datos (en particular, datos capturados por ciudadanos) en los sistemas, y que el uso de tales tecnologías ahora es un problema policial en todo el Reino Unido que va mucho más allá de su estrecho ámbito de competencias biométricas.
Computer Weekly se puso en contacto con el ICO sobre varios aspectos de la historia y cada reclamo en su contra, incluido por qué permitió que el piloto siguiera adelante sin consulta previa, a pesar de estar a la vista de los riesgos.
“La ICO está considerando activamente estos problemas y colaborando con las autoridades pertinentes”, dijo un portavoz de la ICO. “Nuestro enfoque para tomar medidas regulatorias se establece en nuestra política de medidas regulatorias y nuestro compromiso con estos temas hasta la fecha se ha guiado por estos principios. Esperamos que todos los controladores gestionen los riesgos de manera adecuada y cumplan con la ley”.
Microsoft Azure ‘altos riesgos’
Si bien el ICO aún no ha llegado a una posición formal sobre la legalidad de las organizaciones policiales del Reino Unido que utilizan sistemas de nube pública a gran escala, el SPA DPIA ya ha identificado varios problemas de “alto riesgo” con Microsoft Azure que ponen en duda su idoneidad para procesar la vigilancia del Reino Unido. datos.
Esto incluye el hecho de que el apéndice de procesamiento de datos estándar de Microsoft está redactado principalmente para aplicarse al procesamiento relacionado con el Reglamento general de protección de datos (GDPR) en lugar del procesamiento de la Parte 3 (los requisitos específicos de aplicación de la ley); que el contrato entre Axon y Microsoft no contiene el “nivel granular de detalle” requerido para cumplir con el RGPD o la Parte 3; y que el uso de términos y condiciones genéricos por parte de Microsoft significa que no se puede cumplir con el requisito de la sección 59 de la DPA para un contrato específico que detalle la naturaleza del procesamiento.
También identificó que si bien el anexo de Microsoft establece que los datos se conservan en el Reino Unido, al mismo tiempo establece que los datos pueden transferirse o procesarse en los EE. datos policiales fuera del Reino Unido “sin ningún tipo de visibilidad o control…
