La Guardia Civil devuelve un ordenador incautado con documentación confidencial

En 2001, con motivo de la denominada operación “Mediterráneo”, se detuvo a D. X.X.X., a quien se le incautaron 2 ordenadores y una cámara fotográfica por parte de la Guardia Civil para su estudio.

D. X.X.X. fue condenado a un año de prisión como cómplice de un delito contra la salud pública. Saldada su deuda con la justicia, consiguió que en 2005 se ordenase la devolución de su material incautado.
Con los ordenadores y la cámara en su poder, intentó recuperar sus antiguos documentos utilizando alguna aplicación de recuperación de ficheros, y lo cierto es que la aplicación debió funcionar bien porque recuperó cientos de documentos confidenciales de investigaciones de la Guardia Civil en relación a seguimientos de sospechosos y escuchas telefónicas entre otras cosas. Además, en la tarjeta de memoria de la cámara encontró decenas de fotografías de investigados y sospechosos.

Resulta evidente que el material informático fue utilizado por la Guardia Civil durante el tiempo que permaneció incautado, y que una vez devuelto no tuvieron las diligencias oportunas para evitar el recuperado de información, y que por otra parte no cumplía con las medidas de seguridad exigidas por ley porque, según manifestaciones de la Guardia Civil, esos ordenadores no fueron conectados a la red corporativa y por tanto no era necesario instalar medidas de seguridad.

En abril de 2008, la Agencia Española de Protección de Datos se ha pronunciado al respecto, declarando que la Guardia Civil ha incurrido en una infracción muy grave de la Ley Orgánica de Protección de Datos.

Para conocer los detalles de los hechos, click en

El 28 de noviembre de 2005 apareció esta noticia en El Mundo. La Agencia Española de Protección de Datos inició entonces la fase de actuaciones previas de investigación con la intención de aclarar los hechos, sin embargo, el propio afectado, D. X.X.X. formuló denuncia por estos mismos hechos apenas 3 semanas después, por lo que la obtención de pruebas y testimonios se aceleró.

El denunciante, que no olvidemos fue condenado por un delito contra la salud pública, aportó junto a la denuncia un CD con 425 ficheros de tipo diverso, conteniendo fotografías de investigaciones, imágenes digitalizadas mediante scanner de documentos de identidad (pasaportes y documentos nacionales de identidad), transcripciones de conversaciones, e informes de operaciones. Las subcarpetas contienen, una de ellas, ficheros protegidos con contraseña y, la otra, ficheros con extractos de conversaciones intervenidas.

La Inspección de Datos le cuestionó a la Guardia Civil sobre estos hechos y sus respuestas las podemos resumir en lo siguiente:

  • : que no se solicitó autorización judicial para hacer uso del material informático, ya que, según indican, al tratarse de hardware no oficial no se permite la instalación de programas oficiales.
  • 2º: que antes de entregarse a su propietario se realizó un formateo lógico de todo el disco duro.
  • 3º: los ordenadores no fueron utilizados dentro de la red corporativa de la Guardia Civil, circunstancia por la cual no le fueron instaladas medidas de seguridad en el tratamiento de la información.
  • 4º: los ficheros que se adjuntan en el CD de la denuncia, pertenecen a investigaciones judiciales realizadas por el equipo E.D.O.A., información que ha sido incorporada a los diferentes procedimientos judiciales a que ha dado lugar habiendo recaído sentencia pública en muchas de las investigaciones citadas.
  • : que cuando salió la noticia en El Mundo, se iniciaron los procedimientos judiciales para instar al señor X.X.X. la devolución del material informático correspondiente, con la intención de enviarlos a un laboratorio para determinar el contenido y funcionamiento del mismo.

En conclusión, parece que las prácticas habituales de la Guardia Civil es utilizar el material informático incautado, y además, una vez que debe ser devuelto a su propietario, simplemente formatean los discos duros con algún procedimiento estándar.

Como bien indica la AEPD en su resolución sancionadora:

“El formateado lógico del disco duro de un ordenador no borra físicamente la información del mismo, sino que realiza una reasignación de sus sectores, ( o más concretamente de una determinada partición del disco, si éste tuviera varias), del tal forma que, si bien se pierde la vieja asignación que permitía acceder a los archivos, estos no son eliminarlos del disco, siendo posible, por tanto, mediante la utilización de herramientas informáticas de recuperación de archivos sencillas, volver a acceder a los mismos y proceder a su restauración. Indicar también, que al eliminar un archivo mediante el sistema operativo, la operación de borrado no asegura la destrucción de información contenida en el archivo, siendo posible la recuperación de la misma con las citadas utilidades informáticas.”

Lo cierto es que los hechos descritos bien podrían suponer responsabilidad criminal por parte de los responsables correspondientes en la Guardia Civil, pero en nuestro caso vamos a ver la posible responsabilidad administrativa por vulneración de la Ley Orgánica de Protección de Datos.

El artículo 10 LOPD dispone:

“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

Por tanto, el deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento.

Este deber de secreto comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo“. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30/11, y por lo que ahora interesa, comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.

En el caso que nos ocupa, ha quedado acreditado que la Guardia Civil, entregó al denunciante dos ordenadores que le fueron incautados en marzo de 2001, con motivo de las Diligencias Previas seguidas por delito de tráfico de drogas, y que dichos ordenadores contenían, en el momento de su entrega al denunciante, archivos de diversos tipos en los que figuraban datos de carácter personal relativos a investigaciones policiales, realizadas por la propia Guardia Civil durante el período en el que tales ordenadores permanecieron en depósito en las dependencias de la Comandancia correspondiente.

En consecuencia, queda probado que los ordenadores en cuestión fueron utilizados por la Guardia Civil después de ser incautados al denunciante y que no se adoptaron las medidas pertinentes para que la información recogida en los mismos fuera eliminada de los respectivos soportes informáticos, antes de su devolución al mismo. La Guardia Civil, según sus propias manifestaciones, se limitó a realizar un formateado lógico del contenido de los discos duros de aquellos ordenadores, que no borra físicamente la información de los mismos y que permite su recuperación y restauración mediante herramientas informáticas de recuperación de archivos sencillas.

Se trata de una información que no puede ser facilitada a terceros. Por tanto, queda acreditado que por parte de la Guardia Civil, responsable de la custodia de los datos en cuestión, se vulnera el deber de secreto garantizado en el artículo 10 de la LOPD, al haber posibilitado que un tercero tuviese acceso a datos personales sin el consentimiento de los afectados y sin que existe habilitación legal para ello.

Todo esto concluye en declarar que la Dirección General de la Policía y de la Guardia Civil ha infringido lo dispuesto en el artículo 10 de la LOPD, infracción tipificada como muy grave en el artículo 44.4.g) de de la citada Ley Orgánica.

Y ya está, la consecuencia jurídica de que una Administración Pública vulnere la Ley Orgánica de Protección de Datos es simplemente esa: declarar que se ha cometido una infracción, pero no hay, en absoluto, multas pecuniarias ni nada parecido. Si esta misma infracción se le hubiera imputado a una entidad privada o a un particular responsable del fichero, seguramente la sanción habría sido una multa de 300.000 euros, pero como digo, en el caso de tratarse de Administraciones Públicas, es simplemente un papel que pone “Declarar que la Dirección General de la Policía y de la Guardia Civil ha infringido lo dispuesto en el artículo 10 de la LOPD, tipificada como muy grave en el artículo 44.4.g) de de la citada Ley Orgánica“.

Finalmente, es por estos motivos por los que defiendo (creo que en solitario) que las medidas de seguridad que exige el Real Decreto 1720/2007 en relación al sistema de identificación y autenticación se deben aplicar, no al sistema operativo (que también) sino a la información o al contenedor de la información. Por ejemplo, si nuestro sistema de información está compuesto por un servidor con los datos, al que se conectan unos terminales, es evidente que el sistema de identificación y autenticación se implementará para el acceso a la base de datos; pero si la información está compuesta por un número de ficheros informáticos, como en el caso de la Guardia Civil, documentos Word y demás, es insuficiente que para iniciar sesión en el sistema operativo se exija usuario y contraseña para evitar el acceso no autorizado ya que, como ha quedado demostrado en este caso, es posible acceder a la información sin identificarse ni autenticarse; por tanto, el mecanismo debería aplicarse al fichero material, en este caso, a los ficheros Word: se puede optar por poner una contraseña a cada fichero o bien crear una partición cifrada y poner allí todos los documentos (lo recomendable), cualquiera de estas dos opciones habría evitado que D. X.X.X. hubiera podido acceder a la documentación confidencial, y por tanto, no habría existido vulneración de la LOPD.

De hecho creo que este es el propio espíritu de la Ley Orgánica y es en lo que estaba pensando el legislador cuando definió “sistema de información” como “conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal.”

2 comentarios en “La Guardia Civil devuelve un ordenador incautado con documentación confidencial”

  1. La pregunta siguiente es: ¿puede la GC hacer uso y disfrute de equipos incautados a su libre albedrío, cuando su única tarea debería limitarse a su custodia y almacenamiento como prueba?.

    ¿Les ha pasado el implicado una factura de alquiler de los mismos por el tiempo que la GC los estuvo utilizando? 🙂

    Responder

Deja un comentario