Decorative
Glosario
Tabla de contenido
Enlace de encabezado de texto

Ley de Poderes de Investigación

La Ley de Facultades de Investigación de 2016 (IPA) es una legislación del Reino Unido que regula el uso de la vigilancia y las facultades de investigación por parte de las autoridades públicas, incluidas las agencias de inteligencia, las fuerzas del orden y varios departamentos gubernamentales.

La Ley detalla cómo estos organismos pueden recopilar datos de comunicaciones, interferir con equipos e interceptar comunicaciones con el propósito expreso de vigilancia.

Apodada la "Carta de los fisgones" por sus críticos, la IPA es una ley polémica, y muchos afirman que vulnera los derechos individuales y las libertades civiles. Por otro lado, sus defensores sostienen que es una herramienta crucial para mantener la seguridad nacional y combatir el terrorismo.

Las empresas que manejan datos sensibles o de clientes deben comprender la IPA para fines de cumplimiento. El cumplimiento no solo es una necesidad legal, sino que también genera confianza con los clientes al demostrar un compromiso con la protección de datos.

Cyera desempeña un papel clave al ayudar a las empresas a evaluar el riesgo de datos y mantener la preparación para el cumplimiento en entornos regulatorios complejos, incluido el IPA.

¿Por qué se introdujo la Ley de Facultades de Investigación?

La IPA se introdujo para modernizar las leyes de vigilancia del Reino Unido, que habían quedado obsoletas debido a los rápidos avances en la tecnología de comunicación durante las últimas un par de décadas.

Los teléfonos móviles, los mensajes SMS, las apps de mensajería cifrada, el almacenamiento en la nube y la navegación por internet no estaban respaldados por los marcos de seguridad obsoletos que existían en ese momento.

Las autoridades necesitaban una legislación más clara y completa para abordar las formas modernas en que las personas se comunican y almacenan datos.

Antes de la introducción de la IPA, las actividades de vigilancia estaban regidas por la Ley de Regulación de los Poderes de Investigación de 2000 (RIPA) y diversas disposiciones de la Ley de Telecomunicaciones de 1984.

Estas leyes carecían de claridad y del alcance necesario para abarcar las nuevas tecnologías digitales. Por lo tanto, se creó la IPA para consolidar y ampliar esas leyes anteriores en un marco unificado.

En esencia, los objetivos del IPA son:

  • Dotar a las fuerzas del orden y a las agencias de inteligencia de las herramientas adecuadas para prevenir y responder a las amenazas a la seguridad nacional.
  • Crear mecanismos formales de autorización y supervisión, incluido el papel del Comisionado de Poderes de Investigación, para aumentar la rendición de cuentas y mantener el uso legal de las facultades de vigilancia.
  • Abordar las brechas en la interceptación de datos digitales y en los registros de conexión a internet. Esto se centra en la interceptación de comunicaciones en línea y la retención de registros de conexión a internet y metadatos.

Disposiciones y facultades fundamentales bajo la IPA

Debe entenderse que las facultades del IPA son amplias y de gran alcance, y se extienden a las empresas y los hogares del Reino Unido, e incluso a entidades fuera del Reino Unido.

Las disposiciones principales conforme a la IPA son:

  • Intercepción dirigida de comunicaciones (con la aprobación del Secretario de Estado y judicial), como llamadas telefónicas, correos electrónicos y otros métodos.
  • Recolección masiva de metadatos y conjuntos de datos personales, incluidos registros de personas que no están bajo sospecha directa.
  • Retención obligatoria de Registros de Conexión a Internet (ICR) por parte de Proveedores de Servicios de Comunicación (CSP), para rastrear los sitios web y servicios a los que acceden los usuarios.
  • Interferencia de equipos (también conocida como hacking legal), incluyendo el acceso remoto a computadoras, teléfonos y redes.

Los CSP están legalmente obligados a apoyar las investigaciones, incluso mediante Notificaciones de Capacidad Técnica, lo que puede implicar descifrar datos o habilitar la interceptación en tiempo real para ayudar a las autoridades.

Supervisión y salvaguardas: ¿Cómo se controla la IPA?

Dadas las amplias facultades de la IPA, se han establecido varias capas de supervisión para mantener la rendición de cuentas y el uso legal de sus disposiciones.

Los métodos de vigilancia más intrusivos están sujetos a un proceso de aprobación con doble control, en el que un Secretario de Estado y un Comisionado Judicial deben revisar y aprobar la decisión de forma independiente antes de que entre en vigor.

El Comisionado de Poderes de Investigación realiza auditorías periódicas sobre el uso que las autoridades públicas hacen de los poderes de la IPA y presenta un informe anual al Parlamento sobre cuestiones de cumplimiento o uso indebido para mantener la transparencia.  

Se aplican protecciones adicionales al vigilar profesiones sensibles, como periodistas, abogados o miembros del Parlamento, para proteger derechos fundamentales como la libertad de expresión y el privilegio legal.

Es importante señalar que, en 2024, se actualizó la IPA para dar a los órganos de supervisión mayor flexibilidad al revisar las decisiones de vigilancia, manteniéndose al día con los avances tecnológicos y las cambiantes circunstancias globales.

¿Quién puede acceder a los datos bajo la IPA?

Quienes pueden acceder a los datos bajo la IPA están principalmente involucrados en la seguridad nacional, las investigaciones criminales y la aplicación de la ley.

Por ejemplo, las agencias de inteligencia del Reino Unido tienen poderes de investigación, que incluyen:

  • MI5: servicio de seguridad del Reino Unido
  • MI6: inteligencia secreta del Reino Unido
  • GCHQ: comunicaciones del gobierno del Reino Unido

Todas las divisiones policiales del Reino Unido pueden solicitar datos para ayudar en investigaciones penales, al igual que la Agencia Nacional contra el Crimen, un organismo central para combatir el crimen organizado y el ciberdelito.

HM Revenue & Customs puede solicitar datos para ayudar en investigaciones relacionadas con la evasión fiscal y el fraude aduanero. El Home Office puede usar las facultades de la IPA para la aplicación de las leyes de inmigración y fines de seguridad fronteriza. El Department for Work and Pensions puede acceder a datos para investigar el fraude a los beneficios y delitos relacionados, y el Ministry of Defence requiere facultades de vigilancia para la seguridad militar, la contrainteligencia y la protección de los activos de defensa.

Otras organizaciones con distintos niveles de acceso incluyen la Autoridad de Conducta Financiera, la Oficina contra el Fraude Grave, autoridades locales para fines específicos y varios organismos reguladores que investigan delitos graves dentro de su jurisdicción.

Estas entidades no necesitan una orden judicial para acceder a los ICR. La solicitud solo requiere la aprobación de un "funcionario superior designado" dentro de la organización, y el propósito del acceso debe estar relacionado con:

  • Detección o prevención de delitos graves
  • Proteger la seguridad nacional
  • Localización de personas desaparecidas

Controversias y debate público

Si bien el gobierno del Reino Unido considera que la IPA es esencial para la seguridad pública, grupos de libertades civiles han expresado serias preocupaciones sobre la vigilancia masiva de personas inocentes y el exceso de autoridad.

La principal preocupación de los críticos es la erosión de los derechos fundamentales, incluido el derecho a la privacidad y la libertad de expresión.

En 2018, el Tribunal Superior del Reino Unido dictaminó que partes de la Ley violaban el derecho de la UE, especialmente en lo relativo al acceso a los datos de comunicaciones conservados sin aprobación.

Como resultado, la Ley fue enmendada para cumplir con las normas legales. Desde que el Reino Unido salió de la UE en 2020, estas enmiendas se han revertido en cierta medida, lo que ha generado mayor preocupación.

La amplia reacción pública en contra de la Ley ha dado lugar a peticiones de reforma o derogación, investigaciones periodísticas y campañas de grupos de la sociedad civil que abogan por mayor transparencia y supervisión.

Por otro lado, los partidarios de la Ley sostienen que la IPA mejora la transparencia y la supervisión de las prácticas que ocurren bajo las leyes vigentes, argumentando que dota a las autoridades de herramientas para proteger a la sociedad en una era digital donde las amenazas son cada vez más complejas.

Enmiendas recientes: ¿Qué cambió en 2024?

En 2024, el AFI pasó por otra reforma e introdujo varias actualizaciones importantes. Estas incluyeron:

  • Nuevos requisitos de notificación para empresas tecnológicas, como proveedores de red y servicios de comunicación. Ahora deberán notificar al gobierno del Reino Unido antes de introducir ciertos cambios en sus servicios, especialmente si afectan su capacidad para cumplir con solicitudes bajo la IPA.
  • Los proveedores de comunicaciones deben notificar al IPC cualquier violación de datos personales.
  • Las agencias de inteligencia ahora tienen poderes ampliados que incluyen un acceso más amplio a conjuntos de datos masivos, especialmente cuando las personas tienen una expectativa de privacidad baja o nula. Por ejemplo, datos que ya son públicos o fácilmente disponibles.
  • Los poderes ampliados también incluyen un acceso más amplio a los ICR.

Es importante señalar que se ha aclarado que las empresas extranjeras que atienden a usuarios del Reino Unido se consideran "operadores de telecomunicaciones" y ahora están sujetas a los requisitos de cumplimiento de la IPA sin importar dónde tengan su sede.

Otras enmiendas han generado una preocupación generalizada, particularmente por lo siguiente:

  • La eliminación de la salvaguarda de doble autorización en ciertos casos.
  • Supervisión judicial reducida de ciertas órdenes o avisos emitidos por el gobierno.
  • Se otorga una alta concentración de poder al Secretario de Estado, lo que podría reducir la rendición de cuentas.

¿Por qué deberían preocuparse las empresas y los equipos de seguridad?

La IPA afecta directamente a cualquier empresa que maneje datos y comunicaciones digitales. Dado que el cumplimiento es obligatorio, todas las organizaciones deben estar preparadas en caso de que se les solicite entregar acceso a la información bajo la IPA.

Es posible que las empresas deban:

  • Ayudar o entregar datos sensibles. Esto incluye interceptar comunicaciones, divulgar datos almacenados e instalar tecnologías de vigilancia.
  • Equilibra las exigencias de IPA con las obligaciones de cumplimiento de seguridad de datos bajo el RGPD y otras leyes globales, lo que crea complejidad para mantener el cumplimiento.
  • Gestiona los riesgos reputacionales y operativos si los clientes se enteran de cualquier práctica de vigilancia, especialmente en proveedores de tecnología y servicios en la nube.
  • Mantén una visibilidad clara de los flujos de datos y los riesgos de terceros mediante controles y auditorías automatizados.

Mejores prácticas para organizaciones que navegan los requisitos de IPA

Para operar en cumplimiento con la IPA, las organizaciones deben gestionar proactivamente el riesgo de datos y los requisitos legales de la Ley.

Confiar en medidas reactivas no es suficiente. En su lugar, las empresas deben implementar procesos consistentes respaldados por herramientas que impulsen el gobierno de datos y la preparación para auditorías. 

Estos procesos incluyen:

  • Realizar evaluaciones periódicas de riesgos de datos para mapear la información sensible.
  • Mantener una gobernanza clara sobre el cifrado, los controles de acceso y las solicitudes de acceso legal.
  • Mantener un registro de auditoría de las actividades de cumplimiento.
  • Capacitar al personal sobre las obligaciones de manejo de datos y los procedimientos de escalamiento.
  • Monitoreo continuo y adaptación a los cambios en las regulaciones del Reino Unido, la UE y a nivel global.

Usar una plataforma de seguridad de datos como Cyera simplifica el cumplimiento al automatizar la clasificación de datos, monitorear los puntos de acceso y rastrear la actividad de los usuarios en tiempo real.

Los paneles centralizados de cumplimiento señalan el riesgo y la preparación para auditorías, mientras que la aplicación de políticas alineadas con las obligaciones del IPA está integrada en el sistema.

Cómo Cyera apoya a las organizaciones que enfrentan desafíos de IPA

Con el sistema adecuado, cumplir con los requisitos de IPA es mucho más fácil.

Cyera se creó para:

  • Clasifica, gobierna y protege los datos sensibles en entornos de nube e híbridos.
  • Brinda visibilidad sobre las solicitudes de acceso y los movimientos de datos de terceros.
  • Automatiza el monitoreo de cumplimiento y las alertas ante posibles infracciones.
  • Equipa a los equipos con herramientas para construir marcos de cumplimiento adaptables y resilientes.

Con Cyera, las organizaciones obtienen la capacidad y el control necesarios para responder con confianza a los requisitos de la IPA sin comprometer la seguridad de los datos ni los estándares operativos.

Convierte la privacidad y el cumplimiento en una ventaja competitiva

No basta con simplemente estar al tanto del IPA y de otros marcos regulatorios y de cumplimiento.

Las organizaciones deben adoptar una postura proactiva e implementar sistemas que cumplan las normas actuales mientras se adaptan a los cambios regulatorios.

Te invitamos a experimentar de primera mano las soluciones de Cyera para privacidad, seguridad y cumplimiento.

Programa una demostración hoy y realiza una evaluación gratuita de riesgos de datos para ver cómo tu organización puede beneficiarse de un enfoque proactivo hacia el cumplimiento.

Analiza este artículo con IA:
chatgpt Summarize in ChatGPT
Summarize in Claude
Ask Perplexity
grok--v2 Summarize in Grok

Términos relacionados

No se encontraron artículos.