Samuel Parra

La Dirección General de la Policía ha sido declarada responsable por la filtración a la prensa de las fotografías de Francisco Correa, uno de los principales imputados en el caso Gurtel. La fotografía, que fue tomada a Correa para el expediente policial, apareció días después publicada en diversos medios de comunicación. El afectado presentó denuncia ante la Agencia Española de Protección de Datos y ésta ha concluido en declarar vulnerado el deber de secreto por parte de la Dirección General de la Policía.

La Ley Orgánica de Protección de Datos (LOPD) establece un deber de secreto específico en relación al tratamiento de los datos de carácter personal. Así, el artículo 10 indica:

«El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal esten obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.»

Este deber de secreto está lógicamente relacionado con el secreto profesional, tiene la misma fundamentación jurídica, pero el deber de secreto de la LOPD se refiere al ámbito estricto del tratamiento de los datos personales, en el que el responsable del fichero y, cualquier persona que intervenga en el tratamiento, está obligado a mantener la confidencialidad de los datos personales y no pueda revelar ni dar a conocer su contenido.

En el caso que nos ocupa, nos encontramos con la publicación, el 12 de marzo de 2009, en varios medios de comunicación de la fotografía tomada en dependencias policiales a Francisco Correa por motivos de su implicación en el conocido como caso «Gürtel».

Como se puede ver, la fotografía es la propia de la ficha policial.

Francisco Correa procedió a denunciar estos hechos ante la Agencia Española de Protección de Datos por entender que dicha fotografía no debería haber salido nunca de la aplicación informática utilizada por la policía, y que el hecho de que aparezca en los medios de comunicación supone una infracción del deber de secreto porque como es evidente, algún miembro del Cuerpo la habrá obtenido para posteriormente facilitarla a los medios.

Lo cierto es que si bien el día 12 aparece publicada esa fotografía, al día siguiente la Unidad de Documentación de Españoles y Archivo de la Dirección General de Policía ya tenía emitido un informe donde se recogían las conclusiones de una investigación encaminada a determinar cómo pudo suceder esa filtración.

Este informe determina que el fichero concreto donde se encontraba la fotografía tuvo un total de 7 accesos (por parte de 3 personas distintas) antes de la fecha de publicación de la fotografía. Cabe indicar aquí que la Policía dispone de un escrupuloso sistema de «logeo» de conexiones a estas fichas policiales (el conocido como sistema CAUPOL – Control de Accesos de Usuarios, donde se almacena quién consulta y qué, cuándo y desde dónde). Pues bien, de esos 7 accesos se concluyó que 2 no tenían justificación suficiente; es decir, que una persona con acceso autorizado a la aplicación accedió indebidamente a esta ficha (algo por otra parte habitual en la Administración de Justicia. Contra dicha persona (funcionario del Cuerpo) se tramitó el correspondiente atestado dando cuenta a la autoridad judicial.

Además de este control de accesos, la propia Agencia Española de Protección de Datos valoró en el acta de inspección si el sistema informático respetaba las medidas de seguridad exigibles legalmente; en concreto, al tratarse de datos con fines policiales es exigible el nivel de seguridad alto según el Real Decreto 1720/2007, y determinó que en efecto todo el protocolo de seguridad establecido era respetuoso con la normativa correspondiente.

Este último punto es importante destacarlo porque no es lo mismo que se produzca una fuga de datos motivada en un fallo de seguridad del sistema o en una actuación indebida por parte de uno de sus usuarios autorizados. Esto es precisamente lo que alegó la Dirección General de la Policía, entendía que:

«la responsabilidad que se deriva del artículo 10 de la LOPD sólo puede ser una responsabilidad personal que obliga a título personal, a aquellos a los que va dirigido sin que su incumplimiento pueda achacarse al órgano gestor del fichero. El deber de secreto profesional afecta a aquel al que va dirigido y sólo él es el responsable de su incumplimiento.»

La Agencia no acepta estas alegaciones por entender que la infracción del deber de secreto es una infracción de resultado, de forma que lo relevante es que se produzca el resultado, que se vulnere la confidencialidad de los datos cuya custodia corresponde al responsable del fichero (La Dirección General de la Policía).

Así las cosas, se termina declarando que la Dirección General de la Policía y de la Guardia Civil cometió una infracción muy grave por la vulneración del deber de secreto.

No obstante, como se puede comprobar, la fotografía sigue siendo accesible por los mismos medios que la publicaron en su día. ¿Pueden los medios de comunicación publicar información, amparándose en su derecho a informar, obtenida de forma ilícita como es el caso?

¿Se podría exigir responsabilidad patrimonial a la Administración por los daños ocasionados a Francisco Correa? No parece claro, pero la Agencia Española de Protección de Datos ya ha indicado que «por parte de este organismo no se deduce una vinculación directa e inmediata entre la vulneración del deber de secreto y la divulgación en prensa de las fotografías del denunciante«.

Descargar Resolución de la Agencia Española de Protección de Datos.