Por Alberto Llana
El pasado 31 de octubre de 2022, la Agencia Española de Protección de Datos (AEPD) emitió una resolución mediante la cual imponía a la Guardia Civil una sanción de apercibimiento. Los motivos del castigo son los que siguen: En el mes de junio de 2021, la Directora de la AEPD resolvió un procedimiento sancionador seguido contra la Dirección General de la Guardia Civil. En aquella resolución, además de sancionar con un apercibimiento, se instaba la adopción de las siguientes medidas: «REQUERIR a la entidad DIRECCIÓN GENERAL DE LA GUARDIA CIVIL, para que, en el plazo de un mes, contado desde la notificación de la presente resolución, adecúe a la normativa de protección de datos personales las operaciones de tratamiento de datos personales que realiza (…). En el plazo indicado, la DIRECCIÓN GENERAL DE LA GUARDIA CIVIL deberá justificar ante esta Agencia Española de Protección de Datos la atención del presente requerimiento». Más en concreto, la AEPD advertía a la Benemérita que debía aprobar aquellas medidas que fueran necesarias al objeto de impedir «que las actuaciones administrativas que realice puedan ser accedidas por personas que no intervienen directamente en su formalización. En concreto, tratándose de notificaciones administrativas, se advertía que tales notificaciones se entreguen directamente al interesado, sin la intermediación de otras unidades ajenas a las que tengan encomendada la actuación de que se trate; o bien, de intentarse esa notificación con la colaboración de alguna otra unidad, evitando siempre que ésta pueda acceder al contenido del acto que se notifica». De igual forma se advertía expresamente que no podía admitirse «la entrega de documentación a través del “mando directo” del interesado o el envío de documentos “en abierto” para que sean firmados por el interesado y devueltos a la unidad remitente», y que deben evitarse prácticas inadecuadas tales como imprimir o guardar copia de la documentación remitida para su entrega al interesado.-
Frente a esa resolución de junio de 2021, el Delegado de Protección de Datos (DPD) de la Guardia Civil presentó un escrito que no daba respuesta a los requerimientos de la AEPD sino que se limitaba a manifestar que los usuarios que intervienen en el tratamiento de datos personales vienen obligados a guardar confidencialidad, que se había establecido un procedimiento interno para notificación de brechas y que el propio DPD se ocupaba de concienciar y formar a todo el personal participante en el tratamiento de datos personales, indicando igualmente que, no obstante, el factor humano podía producir filtraciones de datos, sobre todo teniendo en cuenta el número de personas que integran el Cuerpo. En mi opinión, ese DPD pensaba que la Agencia también tenía naturaleza militar, como la Guardia Civil, y que esas excusas baratas servían para cerrarles la boca, porque de otro modo no se entiende la respuesta ofrecida. El caso es que la AEPD, en el mes de noviembre de 2021, procedió a requerir nuevamente al Instituto armado para que en el plazo de un mes acreditara haber adoptado las medidas correctoras señaladas en su resolución sancionadora del mes de junio. En diciembre, el ya mentado DPD envía respuesta insistiendo en los mismos motivos que la vez primera, planteando descaradamente un pulso a la Agencia en plan: “a ver quién los tiene más gordos”. Llegados al mes de mayo de 2022, la AEPD insiste en solicitar de la Benemérita que acredite haber adoptado las medidas correctoras exigidas casi un año antes, sobre todo la modificación de «los procesos seguidos para la entrega de notificaciones de forma que su contenido no pueda ser accedido por terceros ajenos a las unidades encargadas de la tramitación del procedimiento de que se trate». La Guardia Civil se limita a argumentar que la normativa interna sobre protección de datos personales es suficiente y garantiza la confidencialidad de los datos personales de acuerdo con la legalidad vigente.-
Agotada la paciencia, en el mes de julio de 2022 la AEPD incoa un nuevo procedimiento sancionador contra la Guardia Civil. La resolución del mismo deja claro que la Guardia Civil no ha acreditado el cumplimiento de las medidas exigidas en la anterior resolución del mes de junio de 2021: «La parte reclamada no ha remitido respuesta a esta Agencia que acredite el cumplimiento de las medidas impuestas con anterioridad a que se dictase el acuerdo de inicio del presente procedimiento sancionador». Por tanto se estima que la Benemérita ha cometido una nueva infracción por vulneración del artículo 58.2.d) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), que establece lo siguiente: «2. Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación: (…) d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado», imponiendo una nueva sanción de apercibimiento.-
