La Oficina del Comisionado de Información (ICO) ha sembrado confusión sobre la legalidad de que las fuerzas policiales utilicen proveedores de nube con sede en EE. UU. para procesar datos confidenciales de las fuerzas del orden. Computer Weekly reveló en 2020 que decenas de fuerzas policiales están procesando ilegalmente los datos de más de un millón de personas utilizando el software Microsoft 365 basado en la nube. Tras el posterior descubrimiento de Computer Weekly de que un importante sistema informático de la Policía de Escocia está utilizando de manera similar la nube Azure de Microsoft a pesar de importantes problemas de protección de datos no resueltos, el comisionado biométrico escocés (SBC) buscó asesoramiento de ICO sobre la legalidad del sistema. Como resultado de una reunión en persona con el comisionado de información John Edwards a principios de diciembre de 2023, SBC Brian Plastow publicó una carta que decía que era probable que la ICO diera luz verde a las controvertidas implementaciones en la nube, porque creía que un acuerdo de intercambio de información firmado por el Reino Unido y los gobiernos de EE. UU. reemplazan las leyes de protección de datos del Reino Unido. “A partir de nuestras discusiones, es poco probable que la ICO del Reino Unido opine que la carga de datos biométricos a… [US-based cloud infrastructure] por Police Scotland entra en conflicto con la ley de protección de datos del Reino Unido”, escribió a Police Scotland en una carta fechada el 14 de diciembre de 2023. “Esto se debe a que el artículo 3 del acuerdo entre los gobiernos de EE. UU. y el Reino Unido sobre el acceso a datos electrónicos en virtud de la Ley de Nube de EE. UU. requiere cada parte en el acuerdo garantizará que sus leyes internas no frustren ni perjudiquen el funcionamiento del acuerdo”. Sin embargo, la carta ha sido eliminada del sitio web de la SBC. Si bien la ICO se negó a comentar sobre el contenido o la eliminación de la carta, la SBC informó a Computer Weekly que fue retirada de común acuerdo con la ICO, a la espera del asesoramiento definitivo sobre la ley de protección de datos por parte del regulador. Desde entonces, la ICO ha aclarado a Computer Weekly que la policía del Reino Unido puede utilizar legalmente servicios en la nube que envían datos confidenciales de las fuerzas del orden al extranjero con “protecciones apropiadas”, pero se negó a especificar cuáles son estas protecciones. Si se adoptan, los expertos dicen que las posiciones de la ICO podrían representar una amenaza para el acuerdo de adecuación de datos del Reino Unido con la Unión Europea (en última instancia, poniendo fin al libre flujo de datos entre los dos), ya que se basa en parte en que se garantice a las personas el mismo nivel de protección para sus datos cuando se mueven internacionalmente. También dicen que la posición de la ICO en la carta refleja la dirección que está tomando el gobierno bajo su próximo Proyecto de Ley de Protección de Datos e Información Digital (DPDI), que apunta a remodelar cuántos aspectos de la ley de protección de datos se aplican. Preocupaciones constantes por la nube policial Desde que Computer Weekly reveló en diciembre de 2020 que docenas de policías del Reino Unido estaban procesando ilegalmente los datos de más de un millón de personas en Microsoft 365, los expertos en protección de datos y los reguladores de tecnología policial han cuestionado varios aspectos de cómo el Reino Unido ha implementado la infraestructura de nube pública a hiperescala. policía, argumentando que actualmente no pueden cumplir con las estrictas reglas específicas de aplicación de la ley establecidas en la Parte Tres de la Ley de Protección de Datos (DPA) de 2018. A principios de abril de 2023, Computer Weekly reveló la Capacidad de Intercambio de Evidencia Digital (DESC) del gobierno escocés. ) (contratado al proveedor de vídeos corporales Axon para su entrega y alojado en Microsoft Azure) estaba siendo puesto a prueba por Police Scotland a pesar de que un organismo de control policial expresó su preocupación sobre cómo el uso de Azure “no sería legal”. Específicamente, el organismo de control de la policía dijo que había una serie de otros altos riesgos no resueltos para los interesados, como el acceso del gobierno de EE. UU. a través de la Ley de Nube, que efectivamente le da al gobierno de EE. UU. acceso a cualquier dato, almacenado en cualquier lugar, por corporaciones estadounidenses en la nube; el uso por parte de Microsoft de contratos genéricos en lugar de específicos; y la incapacidad de Axon para cumplir con las cláusulas contractuales sobre la soberanía de los datos. Computer Weekly también reveló que Microsoft, Axon y el ICO estaban al tanto de estos problemas antes de que comenzara el procesamiento en DESC. Los riesgos identificados se extienden a todos los sistemas en la nube utilizados con fines policiales en el Reino Unido, ya que se rigen por las mismas normas de protección de datos. Esto llevó a la SBC a entregar a la Policía de Escocia un aviso de información formal a finales de ese mes, pero en octubre escribió que la respuesta de la fuerza «no mejoró mis preocupaciones específicas» sobre la carga de datos biométricos confidenciales a DESC. Luego se reunió dos meses después con el comisionado de información en diciembre de 2023, donde le informaron de la posición del ICO. Hablando con Computer Weekly sobre el contenido de la carta de la SBC, un experto en protección de datos describió la situación como «completamente extraña», señalando que si bien la correspondencia gira en torno a un despliegue de la nube por parte de la Policía de Escocia, las implicaciones son potencialmente enormes porque sugiere que ningún país Las leyes pueden interferir con el acuerdo para compartir datos con Estados Unidos. «Edwards en realidad no puede decir que Police Scotland no contraviene la Parte Tres de la DPA del Reino Unido; claramente lo hacen», dijo Owen Sayers, consultor de seguridad independiente y arquitecto empresarial con más de 20 años de experiencia en la implementación de sistemas policiales nacionales. . “Lo que Edwards en realidad está diciendo es que el acuerdo sobre la nube entre Estados Unidos y el Reino Unido significa que la ley del Reino Unido debe dejarse de lado e ignorarse, aunque sea manifiestamente infringida, porque ninguna ley nacional del Reino Unido puede interferir con el acuerdo entre Estados Unidos y el Reino Unido”. Sayers también sostiene que el acuerdo de intercambio de datos entre Estados Unidos y el Reino Unido es “contextualmente inaplicable” a las transferencias de datos generales de aplicación de la ley en la forma en que la ICO ha intentado usarlo, porque ese acuerdo sólo se relaciona con tipos muy específicos de transferencias de datos, e incluso entonces solo a la investigación de “delitos graves”, no simplemente de cualquier información almacenada en una infraestructura de nube pública a hiperescala. Computer Weekly se puso en contacto con la ICO sobre estas afirmaciones, pero no recibió respuesta sobre estos puntos. En respuesta a si también utiliza servicios de nube pública de hiperescala con sede en EE. UU. para sus propias funciones de procesamiento de cumplimiento de la ley, la ICO proporcionó a Computer Weekly un paquete de DPIA de 495 páginas, que detallan una serie de sistemas que utiliza la ICO. Según estos documentos, la ICO es explícita en que utiliza una gama de servicios que se encuentran en la infraestructura de la nube de Microsoft Azure para fines de procesamiento de cumplimiento de la ley. Computer Weekly preguntó a la ICO sobre su base legal para realizar dicho procesamiento y en qué medida su propio uso de estos servicios en la nube le ha impedido alcanzar una posición formal sobre si el uso de estos servicios entra en conflicto con las normas de protección de datos del Reino Unido, pero la El regulador se negó a hacer más comentarios. «Dada la revelación a Computer Weekly de que las ICO han estado utilizando Azure para el procesamiento de cumplimiento de la ley, me sorprende que todavía no hayan compartido su experiencia en forma de orientación clara a los socios de DESC», dijo Sayers. ‘Nivel fundamental de protección’ Al comentar sobre la posición de la ICO en la carta, Mariano delli Santi, funcionario legal y de políticas del Open Rights Group (ORG), dijo que según las leyes de protección de datos del Reino Unido, las transferencias internacionales de datos sólo pueden tener lugar si se puede garantizar que la transferencia no socavará el nivel de protección garantizado por el RGPD del Reino Unido y la DPA 18. Agregó que, por lo tanto, la ICO no puede concluir que las transferencias de datos siempre serán legales debido a la existencia de un tratado internacional entre el Reino Unido y los EE. UU. , y en su lugar debe evaluar si el Acuerdo de la Ley de la Nube contiene salvaguardias procesales y sustantivas que podrían garantizar a los interesados ​​del Reino Unido el mismo nivel de protección de los datos personales que disfrutan según la legislación del Reino Unido. Según la propia evaluación de la ICO sobre la decisión del gobierno del Reino Unido de dar luz verde al ‘puente de datos del Reino Unido’ -en el que el Secretario de Estado concluyó, aparte del acuerdo entre EE.UU. y el Reino Unido mencionado anteriormente, que EE.UU. proporciona un nivel adecuado de protección de datos-, hay es “un riesgo de que las protecciones [for data transfers to the US] «puede no aplicarse en la práctica» con respecto a «datos biométricos, genéticos, de orientación sexual y de delitos penales». También señaló que “para los datos sobre delitos penales, puede haber algunos riesgos… [because] no existen protecciones equivalentes a las establecidas en la Ley de Rehabilitación de Infractores de 1974 del Reino Unido”, y que el puente de datos del Reino Unido carece de un “derecho sustancialmente similar al derecho al olvido del RGPD del Reino Unido” y carece de “el derecho a obtener una revisión de una decisión automatizada por parte de un humano”. Para Mariano delli Santi, el ICO ha «identificado riesgos evidentes que pueden surgir en relación con las transferencias de datos a los EE.UU. realizadas por el sistema DSEC de la Policía de Escocia». «El hecho de que los requisitos de protección de datos del Reino Unido sean ignorados debido a un acuerdo internacional socava efectivamente gran parte de las premisas sobre las cuales se adoptó la decisión de adecuación del Reino Unido», dijo, añadiendo que la interpretación de la ICO de que la ley de protección de datos puede ser anulada por tratados internacionales es un «gran error». línea roja que no deberían haber cruzado” debido al impacto potencial que esto tendría en la adecuación del Reino Unido. Y añadió: «Perder la decisión de adecuación sería fundamentalmente catastrófico para la economía digital del Reino Unido porque significa que ya no pueden transferir datos personales a la Unión Europea, que es uno de los mayores socios comerciales». Lo que vendrá Al comentar sobre el próximo proyecto de ley de protección de datos e información digital (DPDI) del gobierno, que ORG y otros grupos de la sociedad civil han descrito anteriormente como «una desregulación total del marco de protección de datos del Reino Unido», delli Santi dijo que la ICO está «comenzando tomar muchas interpretaciones que no están respaldadas en absoluto por el marco existente, pero que sí parecen estar respaldadas por las reformas que se están introduciendo”. Según el proyecto de ley DPDI, el secretario de Estado correspondiente tendrá el poder de decidir si existe o no un nivel adecuado de protección de datos en las transferencias posteriores, lo que en la práctica significa que el gobierno podrá autorizar transferencias de datos personales a terceros países en ausencia. de un escrutinio parlamentario significativo y sin garantías relativas a la conservación de derechos exigibles y recursos efectivos una vez que los datos han sido transferidos. «Los cambios al régimen de transferencias internacionales fundamentalmente dan discreción política al secretario de Estado para autorizar transferencias internacionales de datos, cuando el secretario de Estado está convencido de que esto es deseable», dijo Deli Santi, añadiendo que existe el riesgo de que dichas autorizaciones sean incluidos en acuerdos internacionales como el actualmente vigente entre el Reino Unido y Estados Unidos. «Esto se alinearía con la posición que está adoptando la ICO con respecto a la Ley de la Nube». Para delli Santi, el argumento de la ICO de que los despliegues policiales en la nube no entran en conflicto con las leyes de protección de datos del Reino Unido debido a un acuerdo internacional vigente entre el Reino Unido y un gobierno extranjero es un precursor de cómo “se desarrollarán las cosas en la práctica” si el proyecto de ley DPDI se convierte en ley. El comisario europeo, Didier Reynders, ha dicho anteriormente que la UE intervendría si el Reino Unido no mantuviera su compatibilidad con la legislación de protección de datos de la UE: “La Comisión seguirá de cerca cómo evoluciona el sistema del Reino Unido en el futuro y hemos reforzado nuestra decisiones que permitan esto y una intervención si es necesario. La UE tiene los estándares más altos en materia de protección de datos personales, y estos no deben verse comprometidos cuando los datos personales se transfieren al extranjero”. La decisión de adecuación de la comisión estuvo acompañada de una cláusula de extinción de cuatro años, lo que significa que ya existen mecanismos que podrían usarse para revocar la decisión. Computer Weekly se puso en contacto con la ICO sobre las implicaciones de su posición sobre el acuerdo internacional entre Estados Unidos y el Reino Unido para la adecuación de los datos, pero no recibió respuesta sobre este punto.

Source link