La supervisión de los datos biométricos en Escocia debería ampliarse para cubrir todo el panorama de la justicia penal y no sólo la actuación policial, afirma el comisionado escocés de biometría en su informe anual.
A pesar del uso extensivo de datos biométricos en todo el sistema de justicia penal escocés –incluidos, por ejemplo, los procesos penales, las prisiones y la gestión de delincuentes violentos y sexuales por parte de varias agencias–, el comisionado Brian Plastow dijo que los acuerdos actuales de supervisión biométrica son “fragmentados”, ya que solo se aplican a los organismos policiales y no a todo el ecosistema de aplicación de la ley.
“Mi preocupación es que todas estas áreas no se benefician de una supervisión independiente ni de la protección que brinda nuestro Código de Práctica”, dijo, refiriéndose a un código legal que entró en vigor en Escocia el 16 de noviembre de 2022 tras la aprobación del gobierno escocés.
El código en sí contiene 12 principios –entre ellos la responsabilidad, la privacidad, la necesidad y la proporcionalidad– para garantizar que la policía escocesa utilice los datos biométricos de manera legal y ética.
“La biometría se comparte entre los socios de la justicia penal, entre las prisiones y el trabajo social de la justicia penal, por nombrar algunos. Estas agencias y la policía trabajan en estrecha colaboración y forman parte de la misma cartera ministerial, por lo que en mi opinión el objetivo debería ser que todas ellas sean objeto de supervisión independiente”, dijo Plastow.
«Animo a los ministros escoceses a que consideren más seriamente las oportunidades de ampliar la supervisión independiente de mi cargo y las salvaguardias del Código de prácticas legal en Escocia a todo ese ecosistema».
Si se realizan tales cambios, Plastow dijo que los datos biométricos dentro de iniciativas de intercambio de múltiples agencias, como la Capacidad de Intercambio de Evidencia Digital (DESC) del gobierno escocés, quedarían sujetos a una supervisión independiente.
Añadió que si bien no ha habido controversias públicas importantes relacionadas con el manejo de información biométrica por parte de los órganos de justicia penal en Escocia durante el último año cubierto por su informe, el sistema DESC en particular ha suscitado preocupaciones y cobertura mediática desde una perspectiva de protección de datos.
A principios de abril de 2023, Computer Weekly reveló por primera vez que el servicio DESC, contratado para su entrega con el proveedor de videos corporales Axon y alojado en Microsoft Azure, se está probando actualmente a pesar de las importantes preocupaciones en materia de protección de datos planteadas por los organismos de control sobre cómo se utiliza Azure. No sería legal”.
Esto llevó a Plastow a emitir un aviso de información formal a Police Scotland como controlador principal de datos del sistema, que requería que la fuerza demostrara que su uso del sistema cumple con la Parte Tres de la Ley de Protección de Datos de 2018 (DPA 18), que contiene las normas de protección de datos específicas para las fuerzas del orden del Reino Unido.
Si bien la respuesta de la Policía de Escocia aún no se ha hecho pública, Plastow confirmó en correspondencia con Computer Weekly que la fuerza «subió volúmenes significativos de imágenes a DESC durante este piloto», que incluían específicamente fotografías e imágenes de CCTV.
En su informe anual, Plastow dijo: “La pregunta central para las organizaciones que ejecutan este proyecto es si el uso de la infraestructura de nube a hiperescala proporcionada por empresas estadounidenses –que puede involucrar datos biométricos o genéticos– cumple con la ley de protección de datos del Reino Unido.
“Si bien la cuestión clave es la protección de datos y, por lo tanto, es un asunto de la ICO, de acuerdo con la ley y las cuestiones reservadas, actualmente estamos colaborando con Police Scotland, SPA e ICO, particularmente en aspectos relacionados con el cumplimiento de nuestro Código de prácticas: que requiere que los datos biométricos estén protegidos del acceso no autorizado”.
En los próximos meses, la oficina de Plastow llevará a cabo una revisión de imágenes y fotografías contenidas en varias bases de datos, incluida DESC, que se presentará al Parlamento escocés en marzo de 2024.
Plastow añadió que también hay argumentos «convincentes» para ampliar el mandato de su oficina para cubrir también la adquisición, posesión, uso y destrucción de datos biométricos de Escocia por parte de la policía en organismos de Inglaterra y Gales, como la Oficina Nacional del Crimen. Agencia, Policía de Transporte Británica y Policía del Ministerio de Defensa.
“Al aportar datos biométricos o forenses a los sistemas policiales del Reino Unido, la Policía de Escocia y el [Scottish Police Authority] SPA debe asegurarse de tener la funcionalidad para administrar y mantener los datos escoceses de conformidad con la legislación escocesa y cualquier código de práctica en términos de su uso”, escribió en sus recomendaciones.
Añadió que la proliferación masiva de capacidades biométricas, que facilitan la recopilación y comparación de cantidades cada vez mayores de datos biométricos, significa que existe una mayor necesidad de responsabilidad democrática sobre esos datos para infundir confianza en el público.
“Mirando hacia el futuro de la ley y las políticas, existe una oportunidad para que los ministros escoceses garanticen que un ecosistema de justicia penal interconectado, donde los datos biométricos sean utilizados por una variedad de otros actores, incluidas las prisiones y DESC, tenga un marco legislativo adecuado y una supervisión democrática. ,» él dijo.
«También existen oportunidades para proporcionar supervisión independiente de las cámaras de vigilancia CCTV del espacio público y otras tecnologías de captura biométrica del espacio público que operan independientemente de la policía en Escocia».
Teniendo en cuenta el contexto social más amplio en el que la gran mayoría de la capacidad biométrica es de propiedad privada y el acceso se realiza mediante acuerdos contractuales entre organismos del sector público y privado, Plastow agregó además que las asociaciones actuales no reconocen los valores éticos ni garantizan que la tecnología sea completamente funcional. , responsable y respaldado por la ciencia desde el principio.
Como resultado, dijo que las asociaciones público-privadas son un área que necesita seguimiento, ya que son «críticas para el uso legal, proporcionado y responsable de la biometría» en Escocia.
Sin embargo, también dijo que hay “motivos para confiar en la seguridad de los datos biométricos utilizados con fines policiales en Escocia”, ya que hasta la fecha no se han presentado quejas en virtud del Código de prácticas.
Y añadió: «Una encuesta de actitudes públicas que llevamos a cabo para evaluar las opiniones de la gente sobre la biometría e informar el trabajo futuro de la organización sugirió altos niveles de confianza pública en la forma en que se utiliza».
En Inglaterra y Gales, el Parlamento y la sociedad civil han pedido repetidamente nuevos marcos legales para regir el uso de la biometría por parte de las fuerzas del orden, incluida una investigación de la Cámara de los Lores sobre el uso policial de tecnologías algorítmicas avanzadas; el excomisario de biometría de Inglaterra y Gales, Paul Wiles; una revisión legal independiente realizada por Matthew Ryder QC; la Comisión de Igualdad y Derechos Humanos del Reino Unido; y el Comité de Ciencia y Tecnología de la Cámara de los Comunes, que pidió una moratoria sobre el reconocimiento facial en vivo desde julio de 2019.
El actual comisionado de biometría para Inglaterra y Gales, Fraser Sampson, también dijo en febrero de 2023 que se necesitan marcos claros, integrales y coherentes para regular el uso policial de la inteligencia artificial (IA) y la biometría en el Reino Unido.
Sin embargo, el gobierno del Reino Unido sostiene que “ya existe un marco integral”.
Continuar leyendo: El organismo de control escocés insta a una supervisión biométrica más amplia