BENEMÉRITA DESPROTECCIÓN DE DATOS

Por Alberto Llana

Que la Guardia Civil no se toma muy en serio eso de la protección de datos, al menos en lo referente a sus miembros, ya no extraña a nadie. He publicado varios comentarios referidos a sanciones impuestas a la Benemérita por la Agencia de Protección de Datos (AEPD, en adelante) que no parecen tener un efecto positivo en la materia. La última de ellas impuesta hace escasas fechas tras el envío en abierto y sin cifrar de los datos personales de un componente del Cuerpo inmerso en un expediente disciplinario (y no fue el único ya que pocos días después la AUGC denunció otro caso parecido).-

En resumen, el procedimiento sancionador de la AEPD (expediente EXP202409872), fue incoado por la presunta cesión y difusión de información personal sin consentimiento del titular en correos electrónicos, con vulneración de varias circulares internas de la Guardia Civil, y proporcionando como prueba de ello varios e-mails. Por su parte, el Instituto repuso que la difusión de datos fue necesaria para la gestión administrativa del procedimiento disciplinario, justificando la difusión de los datos solamente entre personal autorizado que está sujeto a un deber de reserva profesional. Por su parte, la declaración de hechos probados de la resolución de la AEPD destaca que el artículo 32 del Reglamento General de Protección de Datos (RGPD) establece que las medidas de seguridad deben ser apropiadas al nivel de riesgo que implique el tratamiento, añadiendo que «Restringir el control de acceso a los correos electrónicos oficiales que se remitan con motivo de la incoación de un procedimiento disciplinario es una medida esencial para garantizar que sólo las personas autorizadas puedan acceder a los datos personales contenidos en dichos correos reduciendo el riesgo de accesos indebidos o filtraciones de datos que puedan comprometer la seguridad de la información.

Sin embargo, restringir el control de acceso por sí solo no previene fugas de datos por empleados o terceros que ya tienen acceso a los correos como se evidencia en el presente caso. En el contexto de un procedimiento disciplinario los datos tratados pueden incluir información sensible lo que requiere medidas de seguridad adicionales como las indicadas por el DPD (Delegado de Protección de Datos) de la Dirección General de la Guardia Civil en sus Circulares Nº 1 AÑO 2020 y Nº 3 AÑO 2022. Así por ejemplo, el cifrado de datos de los correos y documentos relacionados, al que se hace mención expresa en ambas circulares, está previsto en el artículo 32 del RGPD para minimizar los riesgos inherentes al tratamiento como el riesgo de filtración.

Tales restricciones están alineadas con los principios de integridad y confidencialidad del artículo 5.1.f) del RGPD, con la seguridad del tratamiento en los términos previstos en el artículo 32 del RGPD y con el principio de responsabilidad proactiva (artículos 24.1 y 5.2 del RGPD) que obliga a los responsables del tratamiento a demostrar que han implementado medidas efectivas para proteger los datos personales.

En definitiva, el uso de cifrado o de técnicas de cifrado o criptográficas es un elemento básico de seguridad en la política de información de una entidad y, en particular, es una de las garantías adicionales que se pueden emplear para reducir el riesgo en el tratamiento de datos de carácter personal».-

También precisa la resolución de la AEPD que, «aunque el personal que tuvo acceso a los correos electrónicos fuera estrictamente el necesario para la gestión de las cuentas de correo y contara con los permisos adecuados para la tramitación de los actos propios del procedimiento disciplinario, el hecho de que las comunicaciones electrónicas se enviaran en abierto sigue constituyendo un tratamiento de datos personales que requiere medidas de seguridad apropiadas. En virtud del artículo 32 del RGPD, dichas medidas incluyen, entre otras, la seudonimización y el cifrado de datos personales, a fin de garantizar su confidencialidad e integridad. Por consiguiente, la conformidad con el RGPD no se agota en la legitimidad del personal que accede a las comunicaciones, sino que requiere que los datos se transmitan de manera confidencial y minimizando riesgos de acceso indebido».-

En definitiva, la AEPD resuelve lo que sigue: «DECLARAR que la D.G. DE LA GUARDIA CIVIL (…), ha infringido lo dispuesto en el artículo 32 del RGPD, infracción tipificada en el artículo 83.4.a) del RGPD. SEGUNDO: ORDENAR a la D.G. DE LA GUARDIA CIVIL (…), que en virtud del artículo 58.2.d) del RGPD, en el plazo máximo de seis meses desde que la presente resolución sea firme y ejecutiva, acredite haber procedido al cumplimiento de la siguiente medida: Acreditar los mecanismos que se han puesto en marcha para la efectiva implantación de las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales incluidos en comunicaciones a realizar en el marco de procedimientos administrativos en los que figuren como interesados Guardias Civiles. TERCERO: NOTIFICAR la presente resolución a la D.G. DE LA GUARDIA CIVIL. CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD».-