El MI5 retuvo información crítica al secretario del Interior cuando solicitó órdenes para recopilar datos telefónicos e Internet, según ha escuchado el tribunal más secreto de Gran Bretaña.
El servicio de seguridad está acusado de no informar detalles de serias preocupaciones de cumplimiento legal sobre el almacenamiento y eliminación de datos de vigilancia almacenados en sus sistemas de TI.
Los abogados que representan a los grupos de campaña Privacy International y Liberty argumentaron que el MI5 había “fallado en su deber de divulgación completa y franca” al Ministerio del Interior.
Afirmaron que la entonces secretaria del Interior, Amber Rudd, también falló en su deber de investigar las fallas de cumplimiento del MI5 cuando la agencia la alertó tardíamente en 2016.
Eso hizo que las órdenes de vigilancia emitidas por el Ministerio del Interior fueran ilegales, según escuchó el Tribunal de Poderes de Investigación durante una audiencia de gestión de casos de dos días la semana pasada.
El MI5 reveló por primera vez fallas de cumplimiento en «espacios no gobernados» durante una acción legal iniciada por Privacy International en 2015 para cuestionar la legalidad de la vigilancia masiva por parte de las agencias de seguridad e inteligencia.
Los documentos revelados posteriormente por el MI5 durante un caso presentado por Liberty mostraron que el MI5 había buscado y obtenido órdenes de interceptación en masa sobre la base de declaraciones engañosas.
Fallo sistemático
Hablando después de la audiencia, Ilia Siatitsa, directora de programas y oficial legal de Privacy International, dijo: “Parece haber un incumplimiento sistemático por parte del MI5 de las normas de derechos humanos.
«Durante más de una década, el MI5 ha estado recopilando grandes cantidades de nuestra información personal, mientras que los documentos de hoy revelan que sabían que existían graves riesgos de cumplimiento».
Debido a las restricciones de Covid, abogados, periodistas y observadores se unieron al caso a través de una línea telefónica de conferencia, pero tuvieron dificultades para escuchar el proceso completo.
El MI5 tuvo problemas de cumplimiento desde al menos 2014
Los documentos revelados en el tribunal mostraron que el consejo de administración del MI5 estaba al tanto de los riesgos de cumplimiento en lo que llamó el «entorno técnico (TE)» desde al menos 2014.
Las actas resumidas de una reunión de la junta directiva de ese año mostraron que la política de registro, retención y eliminación (RRD) del MI5 no se había aplicado a gran parte de los datos del MI5 y que la agencia conservaba una «gran cantidad de datos» que no eran necesarios.
Un año después, un informe interno advirtió que el MI5 estaba reteniendo datos de manera ilegal y que “indudablemente” había retenido material que “debería haber eliminado del [IT] inmuebles».
El MI5 había puesto en marcha un plan para remediar los riesgos de gestión de la información «inherentes al sistema», tras una importante falla de cumplimiento en el entorno técnico de la agencia en octubre de 2016, según un informe previamente secreto.
El plan condujo a mitigaciones parciales de algunas áreas clave de riesgo una vez finalizado, pero el informe advirtió que no se había hecho lo suficiente para garantizar que este “riesgo heredado no aumente” en el futuro.
“En el contexto de la gestión de la información, nuestra comprensión limitada de lo que hay en el sistema significa que no podemos aplicar técnicas efectivas de revisión, eliminación y descubrimiento”, dijo.
Thomas de la Mare QC dijo al tribunal que, aunque se requirió que el MI5 hiciera una «divulgación completa y franca» al secretario de estado cuando solicitaba órdenes de vigilancia, no lo había hecho hasta febrero de 2019 como mínimo.
“El MI5 cometió dos errores al decir que todo estaba en orden y que no había hechos que el secretario de Estado debiera conocer”, dijo.
El servicio de seguridad tampoco informó completamente sus problemas de cumplimiento a su regulador, dijo de la Mare al tribunal el Comisionado de Poderes de Investigación (IPC).
“A pesar del conocimiento al más alto nivel en el MI5, el MI5 no informó el problema, y cuando informó el problema al IPC, no fue completo y franco”, dijo.
«Parece haber una decisión consciente o imprudente dentro del MI5 de no revelar la totalidad de los problemas de cumplimiento que tenían».
Según la Ley de Regulación de los Poderes de Investigación, ese incumplimiento significaba que todas las órdenes eran inválidas, dijo de la Mare.
“El MI5 tuvo un problema de cumplimiento, sabían que tenían un problema de cumplimiento, no le dijeron a nadie en absoluto, o a nadie adecuadamente, sobre el problema de cumplimiento y obtuvieron órdenes sin revelar un problema de cumplimiento”, dijo.
El MI5 no advirtió al secretario de Interior de los riesgos
Las ONG argumentaron que la entonces secretaria del Interior, Rudd, no cumplió con su deber de hacer las averiguaciones adecuadas después de que la agencia de espionaje le informara que existían serios riesgos de que no cumpliera con la legislación en 2016.
El MI5 escribió a Rudd en diciembre de ese año, advirtiendo que existía un riesgo «relativamente prolongado» de que el MI5 no cumpliera con la «legislación pertinente» sobre el manejo de información. Calificó el riesgo como «rojo», la categoría de riesgo más alta.
El entonces director general del MI5, Andrew Parker, se disculpó con Rudd por los errores tras una reunión con ella el 23 de enero de 2017, según documentos previamente clasificados.
Parker le dijo a Rudd que la agencia había iniciado un programa para fortalecer los procesos del MI5 y prepararse para la introducción de la Ley de poderes de investigación de 2016.
En marzo, el subdirector del MI5 escribió al secretario del Interior, informando de nuevo que existía un riesgo «muy alto» de que el MI5 no se quejara de sus obligaciones legales, en particular sobre el manejo de la información, y que existía el riesgo de una dañar».
En octubre, el Ministerio del Interior sabía que el calendario del MI5 para reducir el riesgo de rojo (muy alto) a naranja (alto) se había deslizado desde finales de 2017 hasta mediados de 2018.
En diciembre, el MI5 volvió a alertar al secretario del Interior sobre el riesgo «rojo» de que el MI5 no cumpliera con las obligaciones legales. Dijo que la calificación refleja el desafío a largo plazo de garantizar el cumplimiento de las obligaciones legales y de otro tipo.
De la Mare dijo al tribunal que el MI5 también había fallado en su «deber de franqueza» al no revelar información relevante sobre su cumplimiento al Tribunal de Poderes de Investigación (IPT) durante un litigio anterior entablado por Privacy International y Liberty.
Tribunal no es un ‘juicio estatal’
Privacy International y Liberty argumentaron que se les debería permitir enmendar sus alegatos legales luego de que el MI5 divulgara una cantidad significativa de documentos con poca antelación antes de la audiencia de la semana pasada.
El gobierno se opuso a la medida, que argumentó que el tribunal no estaba destinado a vigilar el sistema – ese trabajo pertenecía al IPC – y que el tribunal no debería participar en un «juicio estatal».
Sir James Eadie QC, del gobierno, argumentó que permitir que las ONG cambien sus peticiones para introducir la “divulgación total y franca” como argumento en toda regla retrasaría el procedimiento.
«Es una acusación bastante seria y debería responderse en consecuencia», dijo.
Eadie dijo que el secretario de Estado y los responsables de emitir las órdenes ya habían reconocido que habían emitido órdenes sin conocimiento de los hechos. “Eso es una admisión de ilegalidad”, dijo.
“Este no es un juicio estatal. Este no es un ejercicio en el que se invita al tribunal de manera abierta a investigar todas las fallas tecnológicas «.
Eadie dijo que el IPT no era el “policía del sistema”, ese trabajo le pertenecía al IPC.
Hablando después del caso, Siatitsa dijo que el MI5 le había dicho al IPT en 2015 que tenía procedimientos sólidos para proteger los datos recopilados sobre la población.
“El MI5 garantizó que existían medidas de seguridad sólidas para que esos datos estuvieran seguros y protegidos”, dijo. “Sin embargo, resulta que esas salvaguardas fueron en algunos casos ilusorias y el MI5 lo sabe desde hace mucho tiempo”.
Ahora se espera que el juicio se lleve a cabo en mayo o junio de 2021.
El caso continúa.