El comisionado de biometría escocés, Brian Plastow, está pidiendo al regulador de datos del Reino Unido que investigue formalmente si la Capacidad de Intercambio de Evidencias Digitales (DESC) basada en la nube de la Policía de Escocia cumple con las leyes de protección de datos, después de que Microsoft revelara que no puede garantizar la soberanía de los datos policiales del Reino Unido alojados en la nube pública de Azure. Plastow dijo a Computer Weekly que la revelación de Microsoft, junto con las críticas recientes a la tan esperada guía de la Oficina del Comisionado de Información (ICO) sobre la nube policial, había generado una incertidumbre continua en torno a las implementaciones de la nube policial y se beneficiaría de una investigación formal. «Agradecería una investigación por parte de la ICO sobre si los acuerdos específicos de procesamiento de las fuerzas del orden para DESC por parte de la Policía de Escocia y los socios de DESC en Escocia, que incluyen datos biométricos, cumplen plenamente con la ley de protección de datos del Reino Unido», dijo. Los comentarios de Plastow siguen a más de un año de revelaciones, que se remontan a abril de 2023, cuando Computer Weekly informó por primera vez que el servicio DESC del gobierno escocés, contratado al proveedor de videos corporales Axon para su entrega y alojado en Microsoft Azure, estaba siendo probado por la Policía de Escocia a pesar de que un organismo de control policial expresó su preocupación sobre cómo el uso de Azure «no sería legal». En concreto, el organismo de control policial dijo que había una serie de otros altos riesgos no resueltos para los titulares de los datos, como el acceso del gobierno de EE. UU. a través de la Ley de la Nube, que efectivamente da al gobierno de EE. UU. acceso a cualquier dato, almacenado en cualquier lugar, por corporaciones estadounidenses en la nube; el uso de Microsoft de contratos genéricos en lugar de específicos; y la incapacidad de Axon para cumplir con las cláusulas contractuales en torno a la soberanía de los datos. Computer Weekly también reveló que Microsoft, Axon y la ICO eran conscientes de estos problemas antes de que comenzara el procesamiento en el DESC. Los riesgos identificados se extienden a todos los sistemas de nube utilizados para fines de aplicación de la ley en el Reino Unido, ya que se rigen por las mismas normas de protección de datos. A raíz de ese informe, Plastow envió a la Policía de Escocia un aviso informativo formal sobre DESC en abril de 2023, pero señaló en octubre de 2023 que la respuesta de la fuerza «no mejoró» sus preocupaciones en torno a la carga de datos biométricos sensibles a DESC. En junio de 2024, Computer Weekly reveló que Microsoft había admitido ante los organismos policiales escoceses que no puede garantizar la soberanía de los datos policiales del Reino Unido alojados en su infraestructura de nube pública a gran escala. Las admisiones de Microsoft también representan un problema para todo el sector público, ya que los esquemas de clasificación de información del gobierno anteriores prohibían específicamente la deslocalización de ciertos datos, mientras que el nuevo marco G-Cloud 14 ha introducido un requisito de alojamiento de datos solo en el Reino Unido. El mismo mes, Computer Weekly también reveló el contenido de la tan esperada guía de la ICO sobre la nube policial, que fue criticada por los expertos en protección de datos por ser demasiado «genérica», lo que devuelve toda la responsabilidad a las fuerzas de seguridad para que, en esencia, averigüen cómo sus implementaciones en la nube pueden cumplir la ley; y sin tener en cuenta la admisión de Microsoft de que no puede garantizar la soberanía de los datos policiales del Reino Unido. Tras la divulgación de las admisiones de Microsoft y el asesoramiento de la ICO, ambos contenidos en la correspondencia publicada en virtud de las normas de libertad de información, Plastow amplió un poco más las razones por las que se necesita una investigación formal. «El Principio 10 del Código de Prácticas del Comisionado de Biometría de Escocia aprobado por el Parlamento escocés en noviembre de 2022 también requiere que la Policía de Escocia se asegure de que los datos biométricos estén protegidos contra el acceso no autorizado y la divulgación no autorizada de acuerdo con el RGPD del Reino Unido y la Ley de Protección de Datos de 2018», dijo Plastow. «Por lo tanto, el cumplimiento de los requisitos de la ICO es una característica clave de cumplimiento del Código de Prácticas de Escocia. Sin embargo, solo la ICO tiene la autoridad legal para determinar el cumplimiento (o no) de la ley de protección de datos del Reino Unido, y parecería que el nivel actual de incertidumbre en torno a DESC es tal que se beneficiaría de una investigación específica por parte de la ICO». Parte de la incertidumbre surge de otras revelaciones de la Ley de Libertad de Información que mostraron que la Policía de Escocia decidió no consultar formalmente con el regulador, a pesar de que éste y otros organismos policiales identificaron una serie de «riesgos elevados» con el procesamiento de datos, mientras que la propia ICO no hizo un seguimiento para aclarar los riesgos o la falta de consulta durante casi tres meses después del despliegue piloto inicial con datos personales en vivo. Esto es a pesar de que la ICO había sido informada de los problemas a través de reuniones anteriores con otros socios de DESC. En enero de 2024, en respuesta a las preguntas de Computer Weekly sobre si también utiliza servicios de nube pública a gran escala con sede en EE. UU. para sus propias funciones de procesamiento de aplicación de la ley, la ICO envió un paquete de documentos que detallaban una serie de sistemas en uso por la ICO. Según estos documentos, la ICO es explícita en cuanto a que utiliza una gama de servicios que se encuentran en la infraestructura de nube de Microsoft Azure para fines de procesamiento de aplicación de la ley. Sin embargo, se ha negado a proporcionar cualquier comentario sobre su base legal para llevar a cabo dicho procesamiento o cómo ha resuelto los problemas de la Parte 3 de la Ley de Protección de Datos (DPA) de 2018 para sí misma en múltiples ocasiones. Al comentar sobre el llamado de Plastow para que la ICO investigue formalmente la implementación de DESC, el consultor de seguridad independiente Owen Sayers dijo que debería ser un proceso completamente independiente y que el regulador debería ser recusado de cualquier participación dado su «asesoramiento deshonesto y claro riesgo de interés propio», afirmando que «necesita una revisión judicial o una investigación pública en mi honesta opinión». En enero de 2024, Plastow completó una revisión de garantía sobre el manejo de datos biométricos por parte de la Policía de Escocia, que estimó que, si bien la Policía de Escocia ciertamente tiene más de tres millones de imágenes, el número total de imágenes almacenadas es simplemente desconocido. «Existen preocupaciones en torno a la necesidad y proporcionalidad de las políticas de retención de imágenes», escribió. «La Policía de Escocia y la SPA [Scottish Police Authority] han establecido una práctica de desescombro y retención para personas condenadas, que sigue el CHS [Criminal History System] períodos de retención de las condenas. Esto significa que existe el riesgo de que las imágenes se conserven más tiempo del necesario. “Todos los organismos examinados son conscientes de este problema. La labor de la Policía de Escocia sobre la eliminación de imágenes no vinculadas a un proceso o una condena en curso está en curso. El Servicio de Información de la Policía de Escocia [Forensic Services] ha introducido una solución manual para garantizar que la eliminación de datos cumpla con la Ley de 1995 y el Código de Prácticas de la SBC”. En cuanto a DESC, la revisión señaló que en el momento en que se realizó el trabajo de campo, la Policía de Escocia todavía estaba esperando el asesoramiento legal de la ICO sobre si su implementación cumplía con la ley de protección de datos del Reino Unido. La ICO investigó anteriormente a la Policía de Escocia por su falta de diligencia debida sobre la extracción de datos de teléfonos móviles, que fue introducida por la fuerza sin que hubiera completado una evaluación de impacto de protección de datos (DPIA) como lo exige la ley. En el caso de la extracción de teléfonos móviles, la ICO investigó e hizo seis recomendaciones de mejora a la Policía de Escocia. En respuesta a la solicitud de comentarios de Computer Weekly sobre el llamado de Plastow para una investigación, un portavoz de la ICO dijo: “Hemos considerado cuidadosamente si las autoridades competentes pueden usar plataformas basadas en la nube de conformidad con la ley de protección de datos. Nuestra opinión es que pueden hacerlo cuando existan las protecciones adecuadas. “Nos hemos asegurado de que los socios de DESC hayan recibido orientación sobre esto y se les ha pedido que lo implementen. Si tuviéramos alguna inquietud respecto a que DESC no se haya implementado de manera conforme, como es de esperar, esto se consideraría y se tomarían medidas de acuerdo con nuestra política de acción regulatoria”.