El gobierno del Reino Unido dice que las reformas a las reglas de protección de datos policiales ayudarán a simplificar el procesamiento de datos de la aplicación de la ley, pero los críticos argumentan que los cambios reducirán la protección hasta el punto en que el Reino Unido corre el riesgo de perder su adecuación de datos europeos.
Actualmente pasando por la etapa del comité del escrutinio parlamentario, el proyecto de ley de uso de datos y acceso (DUAB) modificará la implementación del Reino Unido de la Directiva de aplicación de la ley (LED) de la Unión Europea (UE), que se transpone a la ley del Reino Unido a través de la Ley de Protección de Datos (DPA) 2018 y representa en la tercera parte de la Ley específicamente.
En combinación con las prácticas actuales de manejo de datos de los organismos de aplicación de la ley del Reino Unido, las enmiendas propuestas por el proyecto de ley a la tercera parte podrían presentar un desafío para la adecuación de datos del Reino Unido.
El DUAB cambia la ley para permitir la transferencia de rutina de datos a proveedores de nubes en alta mar, elimina la necesidad de que la policía registre las justificaciones al acceder a los datos y permitir que la policía y los servicios de inteligencia compartan datos fuera de las reglas LED.
En junio de 2021, la Comisión Europea otorgó la “adecuación de datos” al Reino Unido después de su salida de la UE, permitiendo que el libre flujo de datos personales hacia y desde el bloque continúe, pero advirtió que la decisión aún puede revocarse si las leyes futuras de protección de datos divergen significativamente de los de Europa.
Si bien el gobierno argumenta que sus reformas simplificarán el procesamiento de datos de la policía, los críticos dicen que las propuestas representan suficiente divergencia de la ley de la UE que probablemente socavará la adecuación LED del Reino Unido.
Agregan que muchos de los cambios del gobierno a las reglas de protección de datos de la policía son una respuesta a una falta generalizada de cumplimiento de las disposiciones clave en el DPA 2018, como la necesidad de registrar justificaciones al acceder a datos o implementar controles que limitan la deslocalización de los datos confidenciales de aplicación de la ley a los organismos de aplicación de la ley, incluidos los proveedores de la nube.
Computer Weekly contactó al Ministerio del Interior sobre cada preocupación planteada, y la amenaza para la adecuación LED del Reino Unido creada por los cambios propuestos por el gobierno al régimen de protección de datos de la aplicación de la ley.
“Hemos introducido algunas enmiendas específicas en el proyecto de ley de uso y acceso de datos para mejorar la confianza pública y para aumentar la eficiencia de la aplicación de la ley simplificando la legislación. Estamos comprometidos con la adecuación de los datos y teníamos en mente las decisiones de adecuación del Reino Unido al producir este proyecto de ley”, dijo un portavoz.
“Cualquier cambio en nuestro régimen de protección de datos no debe venir a expensas de la seguridad, y se continuarán aplicando altos estándares de protección”.
El proceso de adecuación
Al salir de la UE, el Reino Unido se convirtió en un “tercer país” bajo las reglas del bloque, lo que significa que la Comisión Europea (CE) tendrá que evaluar periódicamente si el marco y las prácticas de protección de datos del país proporcionan un nivel de protección esencialmente equivalente para los datos de los ciudadanos de la UE.
Por lo tanto, la CE tendrá que hacer dos determinaciones de adecuación separadas tanto en el Reglamento General de Protección de Datos (GDPR) como a fines de junio de 2025.
Los expertos en protección de datos previamente afirmaron a la computadora semanalmente en febrero de 2021 que cualquier decisión de adecuación tomada bajo el LED sería principalmente de naturaleza política si no abordan directamente cómo las prácticas de datos del sector de justicia penal del Reino Unido y los servicios de inteligencia socavarían los datos y los derechos fundamentales de los ciudadanos de la UE. Si esto no se aborda, dijeron que una decisión positiva de adecuación podría estar abierta a desafíos legales en los tribunales europeos.
En octubre de 2024, el Comité de Asuntos Europeos del Parlamento del Reino Unido (EAC), en una advertencia sobre los riesgos de que el Reino Unido pierda la adecuación de sus datos, destacó muchos de los mismos problemas con los que la computadora de los expertos habló semanalmente, señalando que serían de “interés y potencial preocupación” tanto para la EC como para el Tribunal de Justicia europea (CJEU), ya que consideran los estatus de anuncio del Reino Unido.
Esto incluye la posible divergencia en los estándares de protección de datos que dificultarían que las personas ejerceran sus derechos de datos; la posibilidad de que el gobierno del Reino Unido socave el cifrado de extremo a extremo; la independencia y efectividad de la Oficina del Comisionado de Información (ICO); Aspectos del régimen de seguridad nacional del Reino Unido en virtud de la Ley de poderes de investigación de 2016, incluida la recopilación y retención de datos, poderes y prácticas de vigilancia, y el papel del Tribunal de poderes de investigación; y cualquier caso legal que proporcione motivos de preocupación por los estándares de protección de datos del Reino Unido.
La EAC también destacó los riesgos potenciales planteados por las transferencias posteriores de los datos del Reino Unido a otros terceros países, incluso bajo el acuerdo de la nube del Reino Unido-US.
Sin embargo, los hallazgos de la EAC se publicaron un día antes de que se anunciara el DUAB, y dos días antes de que el texto se publicara en línea, lo que significa que su investigación se centró en el proyecto de ley de protección de datos e información digital (DPDI) del gobierno anterior, que se eliminó de la agenda legislativa durante el período de “Elección” de las elecciones pregenerales del Reino Unido.
Si bien la decisión de adecuación de la CE se basará en el contenido exacto de DUAB, para el cual todavía no existe un horario oficial de queso, buscará evaluar si el marco proporciona un nivel esencialmente equivalente de protección de datos para los datos de los ciudadanos de la UE.
Si bien algunas de las medidas más controvertidas contenidas en el proyecto de ley DPDI anterior, incluida la eliminación de la necesidad de evaluaciones de impacto de protección de datos y aboliendo el doble comisionado de biometría y cámaras de vigilancia, se han reducido en el DUAB, se han llevado a cabo muchos aspectos.
También hay una serie de nuevas medidas que pueden crear nuevos problemas relacionados con la adecuación, particularmente cambios en el régimen de transferencia de datos internacional para la policía.
Mientras que la enmienda al DUAB fue presentada por el Lord Lord Clement-Jones de pares liberal que habría requerido que el Secretario de Estado llevara a cabo una evaluación formal de impacto del proyecto de ley sobre la adecuación de datos del Reino Unido, los ministros del gobierno argumentaron en su contra durante la etapa del Comité del Primer Partido de los Señores el 16 de diciembre de 2024.
Respondiendo a Clement-Jones durante ese debate, la baronesa Jones, el subsecretario parlamentario del estado en el Departamento de Ciencia, Innovación y Tecnología (DSIT), dijo que mantener la adecuación era una prioridad para el gobierno, señalando que el libre flujo de datos personales con la UE es vital para la investigación, innovación y seguridad.
“Por esa razón, el gobierno está haciendo todo lo posible para apoyar su renovación rápida. Aseguro a los nobles señores que el proyecto de ley ha sido diseñado teniendo en cuenta la adecuación de la UE”, dijo.
“El Gobierno ha incorporado salvaguardas sólidas y propuestas cambiadas que no sirvieron a nuestras prioridades y fueron preocupantes para la UE. Sin embargo, es, sin embargo, para la UE emprender su revisión del Reino Unido, que estamos entrando ahora. Sobre esa base, sugiero a los señores nobles que debemos respetar ese proceso y proporcionar discreto y no interferir mientras está en camino”.
El comisionado de información John Edwards ha adoptado una posición similar, quien en respuesta al DUAB dijo: “Aunque finalmente una decisión para otros, en mi opinión, los cambios propuestos en el proyecto de ley hacen un equilibrio positivo y no deberían presentar un riesgo para el estado de adecuación del Reino Unido”.
Sin embargo, la posición del gobierno del Reino Unido e ICO difiere significativamente de las opiniones de varios especialistas familiarizados con el LED de la UE y el DPA del Reino Unido. Computer Weekly contactó a la oficina en casa sobre qué salvaguardas robustas se han implementado, y qué propuestas de DUAB se han cambiado que fueron preocupantes para la UE, pero no recibieron respuesta sobre este punto.
¿Seguridad nacional o aplicación de la ley?
Chris Pounder, director de la firma de capacitación de protección de datos, Amberhawk, escribió en una publicación de blog que el DUAB permitiría al Secretario de Estado designar que ciertos conjuntos de datos de la policía pueden estar sujetos a las reglas de seguridad nacional de la Parte, en lugar de las reglas de aplicación de la ley, sobre las cuales el ICO tiene poderes de aplicación limitados.
“La propuesta tiene el efecto de sacar grandes volúmenes de datos personales del régimen de protección de datos del Reino Unido”, escribió.
El procesamiento de la cuarta parte también está completamente separado del LED o GDPR y no tiene equivalente en la ley de la UE, levantando efectivamente los datos policiales del alcance de la ley de la UE en los casos en que el Secretario de Estado decide que la policía y los organismos de inteligencia pueden compartir los datos.
El [DUAB] La propuesta tiene el efecto de sacar grandes volúmenes de datos personales del régimen de protección de datos del Reino Unido
Chris Pounder, Amberhawk
Computer Weekly contactó a la oficina en casa sobre la eliminación de los datos policiales del régimen de protección de datos, pero no recibió una respuesta en el registro en este punto.
Pounder señaló además que si bien el ICO está siendo abolido a favor de la “Comisión de Información”, el problema sigue en el DUAB de que el Secretario de Estado podrá nombrar a los miembros más importantes de la Comisión, que tiene el potencial de darles influencia indebida sobre los procesos de toma de decisiones del nuevo cuerpo.
“La Comisión aún tiene que tener en cuenta: la conveniencia de promover la innovación y la competencia; la importancia de la prevención, la investigación, la detección y el enjuiciamiento de delitos penales; y la necesidad de salvaguardar la seguridad nacional”, escribió. “En otras palabras, estos ‘saludos’ podrían ajustar las decisiones para proteger la privacidad de los sujetos de datos”.
Pounder agregó que DUAB también permitirá que el Secretario de Estado aplique una “prueba de protección de datos” al considerar si un país, parte de un país o un controlador ubicado en un país ofrece un nivel adecuado de protección.
Dijo que las disposiciones aumentarán el riesgo de divergencia de los estándares de transferencia de la UE si la CE y el gobierno del Reino Unido tienen opiniones diferentes sobre lo que significa “adecuado” aquí. “Tampoco entiendo cómo un país no se considera adecuado, sino un controlador, procesador o destinatario ubicado en ese país”, agregó Pounder.
Si bien el Reino Unido ya ha tomado medidas para otorgar su propia adecuación de la aplicación de la ley a los países no reconocidos por la UE, incluida la Isla de Man, Jersey y Guernsey, la UE aún no ha reaccionado a estos cambios.
Thomas Barrett, socio de Cyxcel, que dirige la práctica de protección de datos y privacidad de la organización, y previamente ha informado al Ministerio del Interior y al Ministerio de Justicia sobre el cumplimiento del DPA 2018, dijo que hay ciertos escenarios en los que las unidades policiales especializadas dentro de las fuerzas pueden tener que colaborar con los servicios de inteligencia para operaciones particulares, por ejemplo, por ejemplo, en los casos de inteligencia en los que los servicios de inteligencia tienen información pero no hay poder de arresto, ya que la policía, “, está agregando a los servicios de inteligencia … Muchos de estos están hechos ”.
Agregó que en los casos en que se usa esta potencia, tiene el potencial de ser “más dirigido, más proporcional y más seguro”, porque solo un conjunto de requisitos de protección de datos se aplicaría a este procesamiento, en lugar de potencialmente tres actualmente.
Como resultado, Barrett dijo que los cambios que se realizan a la ley del Reino Unido a través del DUAB es muy poco probable que afecten materialmente la adecuación LED del país.
“Sería contraproducente eliminar la adecuación sobre cambios tan pequeños … hay mucho [law enforcement] cooperación. … Mirando los detalles, me cuesta ver cómo realmente haces heno de mucho “.
Dijo que el riesgo real de liderar la adecuación, por lo tanto, se encuentra en “el nivel político”, que se decidirá entre la CE y el gobierno del Reino Unido.
Transferencias de aplicación de la ley
El consultor de privacidad independiente, Owen Sayers, un comentarista a largo plazo sobre los problemas de cumplimiento de la tercera parte de DPA con más de 25 años de experiencia en la entrega de soluciones seguras a la vigilancia policial y el sector de justicia penal más amplia, que para la primera legislación del Reino Unido se ubicaría en procesadores de datos individuales, como los proveedores de la nube, como las mismas configuraciones amplias que las organizaciones de la ley de la ley, los exentes de la lista de la lista de la lista de transferencias superiores a las condiciones de las clases.
Esto incluye que las transferencias sean estrictamente necesarias, que ningún derecho del sujeto de datos anule el interés público de la transferencia, que la transferencia a otro organismo policial, o “autoridad competente” en el lenguaje LED, sería ineficaz, y que el controlador proporciona instrucciones específicas sobre cómo procesar los datos en ese caso particular.
Según las reglas actuales de protección de datos específicas de la aplicación de la ley del Reino Unido, los controladores de datos policiales están sujetos a los estrictos requisitos de transferencia del DPA 2018, que reflejan completamente la ley de la UE.
Esto significa que, tal como está, cada controlador de datos de aplicación de la ley individual debe asegurarse de que un contrato en …
