El gobierno del Reino Unido ha introducido su proyecto de ley de uso y acceso de datos (DUAB) al Parlamento, pero las reformas propuestas a las reglas de protección de datos policiales podrían socavar la adecuación de datos de la aplicación de la ley con la Unión Europea (UE).
Actualmente pasando por la etapa del comité del escrutinio parlamentario, el DUAB modificará la implementación del Reino Unido de la Directiva de aplicación de la ley de la UE (LED), que se transpone a la ley del Reino Unido a través de la Ley de Protección de Datos actual (DPA) 2018 y se representa en la tercera parte del DPA, específicamente.
En combinación con las prácticas actuales de manejo de datos de los organismos de aplicación de la ley del Reino Unido, las enmiendas propuestas por el proyecto de ley a la tercera parte, que incluyen permitir la transferencia de rutina de datos a proveedores de nubes en alta mar, eliminar la necesidad de la policía para registrar las justificaciones al acceder a los datos y permitir a la policía y los servicios de inteligencia para compartir datos fuera de las reglas dirigidas, podría presentar un desafío para el anuncio de datos del Reino Unido.
En junio de 2021, la Comisión Europea otorgó la “adecuación de datos” al Reino Unido después de su salida de la UE, permitiendo que el libre flujo de datos personales hacia y desde el bloque continúe, pero advirtió que la decisión aún puede revocarse si las leyes futuras de protección de datos divergen significativamente de los de Europa.
Si bien los informes anteriores de Computer Weekly sobre el uso de la nube de hiperescala policial han identificado problemas importantes con la capacidad de estos servicios para cumplir con la tercera parte, los cambios de DUAB del gobierno buscan resolver el problema simplemente eliminando los requisitos que no se están cumpliendo.
Por ejemplo, mientras que el DPA 2018 permite transferencias extranjeras a “receptores de no aplicación de la ley”, es decir, proveedores de nubes, esto solo está permitido Si el controlador de datos puede mostrar que es estrictamente necesario hacerlo. Esto significa que la información solo se puede enviar caso por caso para fines específicos y limitados cuando no hay otros medios menos intrusivos para lograr el mismo objetivo.
Sin embargo, en junio de 2024, Computer Weekly confirmó que los datos policiales del Reino Unido cargados en Microsoft Services se envían rutinariamente en alta mar para algunas formas de procesamiento, mientras que el soporte de TI se proporciona en un modelo global de “seguimiento de la entrega”.
Para eludir la falta de cumplimiento de estos requisitos de transferencia, el gobierno simplemente los ha retirado del DUAB, lo que significa que los organismos policiales ya no serán requeridos para evaluar la idoneidad de la transferencia o informarlo al regulador de datos.
Al comentar sobre el tema de la transferencia durante un debate de DUAB en la Cámara de los Lores, los demócratas liberales de Tim Clement-Jones destacaron cómo, según está, los proveedores de servicios en la nube procesan rutinariamente los datos fuera del Reino Unido, y no pueden proporcionar garantías contractuales necesarias a los cuerpos policiales como lo requieren la Parte Tres: “Como resultado, su uso para el procesamiento de datos de la ley de la ley es, en la cara, no legal”. “”. “”.
Agregó: “Los intentos del gobierno de cambiar la ley resaltan el problema y sugieren que el procesamiento pasado en los proveedores de servicios en la nube no ha estado en conformidad con el GDPR del Reino Unido [General Data Protection Regulation] y el DPA “.
A través del DUAB, el Gobierno también ha ampliado la lista de destinatarios legales para incluir ahora “un procesador cuyo procesamiento … se rige o autorizado de acuerdo con un contrato con el controlador que cumple con la Sección 59”, que describe los elementos clave que deben estar contenidos en cualquier contrato entre un controlador y procesador de aplicación de la ley.
Esto incluye detalles específicos de los tipos exactos de datos, las categorías de sujetos de datos y el propósito específico del procesamiento, así como las garantías explícitas del procesador sobre cómo cumplirá con todos los requisitos de la tercera parte.
Sin embargo, dada la naturaleza internacional del intercambio de datos que tiene lugar en la arquitectura hiperscala de productos básicos, los proveedores de la nube no pueden o no pueden estar dispuestos a hacer garantías contractuales que satisfagan todos los aspectos de la tercera parte.
Como Microsoft le dijo a la Autoridad de Policía de Escocia (SPA), en relación con su capacidad de intercambio de evidencia digital alojada en Azure, la compañía “no puede aceptar un consentimiento específico [to transfer data internationally] caso por caso, ya que esto sería imposible de operacionalizar ”.
Todo esto significa efectivamente que, bajo el DUAB, los datos se pueden excluir de manera rutinaria a las jurisdicciones con estándares más bajos de protección de datos, sin cumplir con las condiciones LED en torno a una necesidad estricta.
Del mismo modo, si bien el LED proporcionó un período de gracia de cinco años para garantizar que todos los sistemas policiales heredados puedan registrar registros de justificación de por qué se ha accedido a una información particular, con los sistemas adquiridos después de mayo de 2016 debían tener esta capacidad desde el principio, la mayoría de los sistemas policiales en el Reino Unido aún no tienen esta capacidad.
En cambio, el gobierno del Reino Unido simplemente ha eliminado el requisito de registrar estas justificaciones, argumentando que el cambio ahorrará tiempo a la policía y que los datos tienen poco valor probatorio porque es poco probable que las personas registren una justificación honesta de todos modos.
Según Owen Sayers, un comentarista a largo plazo sobre los problemas de cumplimiento de la tercera parte de DPA con más de 25 años de experiencia en la entrega de soluciones seguras a la vigilancia y el sector de justicia penal más amplio, cambiar la ley de esta manera divergirá permanentemente la ley del Reino Unido de los requisitos LED.
Agregó que si bien la policía del Reino Unido ha estado violando la ley en la práctica desde que entró en vigencia el DPA en mayo de 2018, la ley que estaban rompiendo al menos se alineó con los de la Unión Europea.
“Aunque en términos prácticos, el Reino Unido en realidad no ha estado protegiendo los datos personales como se requiere bajo el LED, su ley al menos recurrirá a un sujeto de datos para tomar medidas sobre este procesamiento (incluso si nadie realmente lo hizo)”, dijo.
“Sin embargo, una vez que DUAB entra en vigor, el paisaje ha cambiado totalmente. No solo los organismos de aplicación de la ley del Reino Unido enviarán cantidades masivas de datos personales (incluidos muchos datos sobre los ciudadanos de la UE) en alta mar a una variedad de países que la UE la UE no lo considera adecuado, sino que la ley del Reino Unido tendrá un cambio para que lo hagan.
“Al realizar estos cambios bajo DUAB, el gobierno ha dado un gran alivio de que los organismos de aplicación de la ley están violando la ley hoy: literalmente lo han confirmado modificando la ley para darle a Microsoft y AWS este estado especial”.
Computer Weekly contactó al Ministerio del Interior sobre la amenaza para la adecuación LED del Reino Unido creada por los cambios propuestos por el gobierno en el régimen de protección de datos de la aplicación de la ley.
“Hemos introducido algunas enmiendas específicas en el proyecto de ley de uso y acceso de datos para mejorar la confianza pública y para aumentar la eficiencia de la aplicación de la ley simplificando la legislación. Estamos comprometidos con la adecuación de los datos y teníamos en mente las decisiones de adecuación del Reino Unido al producir este proyecto de ley”, dijo un portavoz. “Cualquier cambio en nuestro régimen de protección de datos no debe venir a expensas de la seguridad, y se continuarán aplicando altos estándares de protección”.
Una fuente del Ministerio del Interior dijo a Computer Weekly que el uso de proveedores de nubes en particular ha causado cierta confusión, y que las medidas contenidas dentro del proyecto de ley están destinadas a dar a la policía la confianza para usar procesadores de nubes. Sin embargo, dijeron que el uso de los servicios en la nube no debe venir a expensas de la seguridad y los altos estándares de protección continuarán aplicándose.