O regulador de dados do Reino Unido deve investigar as implantações de nuvem da polícia

Photo of author

By Sohaib


O comissário escocês de biometria, Brian Plastow, está pedindo que o regulador de dados do Reino Unido investigue formalmente se o Digital Evidence Sharing Capability (DESC) baseado em nuvem da Polícia da Escócia está em conformidade com as leis de proteção de dados, após a Microsoft revelar que não pode garantir a soberania dos dados policiais do Reino Unido hospedados na nuvem pública do Azure.

Plastow disse à Computer Weekly que a divulgação da Microsoft, juntamente com as críticas recentes à tão esperada orientação sobre a nuvem policial do Information Commissioner's Office (ICO), gerou incerteza contínua em torno das implantações de nuvem policial e se beneficiaria de uma investigação formal.

“Eu acolheria com satisfação uma investigação pelo ICO sobre se os acordos específicos de processamento de aplicação da lei para DESC pela Polícia da Escócia e parceiros do DESC na Escócia, que incluem dados biométricos, estão em total conformidade com a lei de proteção de dados do Reino Unido”, disse ele.

Os comentários de Plastow seguem mais de um ano de revelações, desde abril de 2023, quando a Computer Weekly relatou pela primeira vez que o serviço DESC do governo escocês — contratado pelo provedor de vídeo corporal Axon para entrega e hospedado no Microsoft Azure — estava sendo pilotado pela Polícia da Escócia, apesar de um órgão de fiscalização da polícia ter levantado preocupações sobre como o uso do Azure “não seria legal”.

Especificamente, o órgão de fiscalização da polícia disse que havia uma série de outros riscos elevados não resolvidos para os titulares dos dados, como o acesso do governo dos EUA por meio do Cloud Act, que efetivamente dá ao governo dos EUA acesso a quaisquer dados, armazenados em qualquer lugar, por corporações dos EUA na nuvem; o uso de contratos genéricos em vez de específicos pela Microsoft; e a incapacidade da Axon de cumprir cláusulas contratuais sobre soberania de dados.

A Computer Weekly também revelou que a Microsoft, a Axon e a ICO estavam cientes desses problemas antes do processamento no DESC começar. Os riscos identificados se estendem a todos os sistemas de nuvem usados ​​para fins de aplicação da lei no Reino Unido, pois são regidos pelas mesmas regras de proteção de dados.

Após essa denúncia, Plastow emitiu à Polícia da Escócia uma notificação formal de informação sobre o DESC em abril de 2023, mas observou em outubro de 2023 que a resposta da força “não amenizou” suas preocupações em relação ao upload de dados biométricos confidenciais para o DESC.

Em junho de 2024, a Computer Weekly revelou que a Microsoft havia admitido aos órgãos policiais escoceses que não pode garantir a soberania dos dados policiais do Reino Unido hospedados em sua infraestrutura de nuvem pública em hiperescala.

As admissões da Microsoft também representam um problema para todo o setor público, já que esquemas anteriores de classificação de informações governamentais proibiam especificamente a terceirização de certos dados, enquanto a nova estrutura G-Cloud 14 introduziu um requisito de hospedagem de dados somente no Reino Unido.

No mesmo mês, a Computer Weekly também revelou o conteúdo da tão esperada orientação sobre nuvem policial do ICO, que foi criticada por especialistas em proteção de dados por ser muito “genérica”; colocando todo o ônus de volta nas forças para essencialmente descobrir como suas implantações de nuvem podem ser legalmente compatíveis; e não levando em consideração a admissão da Microsoft de que não pode garantir a soberania dos dados policiais do Reino Unido.

Após a divulgação das admissões da Microsoft e do parecer da ICO — ambos contidos em correspondência divulgada sob as regras de liberdade de informação — Plastow expandiu um pouco mais os motivos pelos quais uma investigação formal é necessária.

“O Princípio 10 do Código de Práticas do Comissário Escocês de Biometria, aprovado pelo Parlamento Escocês em novembro de 2022, também exige que a Polícia da Escócia garanta que os dados biométricos sejam protegidos contra acesso não autorizado e divulgação não autorizada, de acordo com o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018”, disse Plastow.

“Portanto, a conformidade com os requisitos do ICO é uma característica de conformidade essencial do Scottish Code of Practice. No entanto, apenas o ICO tem autoridade estatutária para determinar a conformidade (ou não) com a lei de proteção de dados do Reino Unido, e parece que o nível contínuo de incerteza em torno do DESC é tal que ele se beneficiaria de uma investigação específica pelo ICO.”

Parte da incerteza surge de novas divulgações de FOI que mostraram que a Polícia da Escócia optou por não consultar formalmente o regulador, apesar de ele e outros órgãos policiais identificarem uma série de “altos riscos” com o processamento de dados, enquanto o próprio ICO não fez o acompanhamento para esclarecimentos sobre os riscos ou a falta de consulta por quase três meses após a implantação piloto inicial com dados pessoais ativos.

Isso ocorreu apesar de o ICO ter sido informado dos problemas por meio de reuniões anteriores com outros parceiros do DESC.

Em janeiro de 2024, em resposta a perguntas da Computer Weekly sobre se ela também usa serviços de nuvem pública em hiperescala baseados nos EUA para suas próprias funções de processamento de aplicação da lei, o ICO enviou um pacote de documentos detalhando uma série de sistemas em uso pelo ICO.

De acordo com esses documentos, o ICO é explícito ao dizer que usa uma gama de serviços que ficam na infraestrutura de nuvem do Microsoft Azure para fins de processamento de aplicação da lei. No entanto, ele se recusou a fornecer qualquer comentário sobre sua base legal para conduzir tal processamento ou como resolveu a Parte 3 do Lei de Proteção de Dados (DPA) de 2018 questões para si mesmo em várias ocasiões.

Comentando sobre o pedido de Plastow para que o ICO investigasse formalmente a implantação do DESC, o consultor de segurança independente Owen Sayers disse que deveria ser um processo completamente independente, e que o regulador deveria ser recusado de qualquer envolvimento devido ao seu “conselho duvidoso e claro risco de interesse próprio”, alegando que “precisa de uma revisão judicial ou inquérito público, na minha opinião honesta”.

Em janeiro de 2024, Plastow concluiu uma revisão de garantia sobre o tratamento de dados biométricos pela Polícia da Escócia, que estimou que, embora a Polícia da Escócia certamente possua mais de três milhões de imagens, o número total de imagens mantidas é simplesmente desconhecido.

“Há preocupações em torno da necessidade e proporcionalidade das políticas de retenção de imagens”, escreveu ele.

“A Polícia da Escócia e a SPA [Scottish Police Authority] estabeleceram uma prática de eliminação e retenção de pessoas condenadas, que segue o CHS [Criminal History System] períodos de retenção de condenação. Isso significa que há um risco de que as imagens possam ser retidas por mais tempo do que o necessário.

“Todos os órgãos revisados ​​estão cientes deste problema. O trabalho da Polícia da Escócia sobre a exclusão de imagens não vinculadas a uma acusação ou condenação ao vivo está em andamento. O SPA FS [Forensic Services] introduziu uma solução alternativa manual para garantir que a remoção de ervas daninhas esteja em conformidade com a Lei de 1995 e o Código de Práticas do SBC.”

No DESC, a revisão observou que, no momento em que o trabalho de campo foi realizado, a Polícia da Escócia ainda estava aguardando aconselhamento jurídico do ICO sobre se sua implantação estava em conformidade com a lei de proteção de dados do Reino Unido.

O ICO investigou anteriormente a Polícia da Escócia sobre sua falta de diligência devida na extração de dados de telefones celulares, que foi introduzida pela força sem que ela tivesse concluído uma avaliação de impacto de proteção de dados (DPIA), conforme exigido por lei.

No caso de extração de telemóveis, o O ICO investigou e fez seis recomendações para melhoria da Polícia da Escócia.

Respondendo ao pedido de comentário da Computer Weekly sobre o chamado de Plastow para uma investigação, um porta-voz do ICO disse: “Consideramos cuidadosamente se as autoridades competentes podem usar plataformas baseadas em nuvem em conformidade com a lei de proteção de dados. Nossa visão é que elas podem, onde proteções apropriadas estão em vigor.

“Garantimos que os parceiros do DESC tenham recebido orientação sobre isso e tenham sido solicitados a implementar isso. Caso tenhamos alguma preocupação de que o DESC não foi implementado de forma compatível, como seria de se esperar, isso seria considerado e acionado de acordo com nossa política de ação regulatória.”

Leave a Comment