Protección de Datos sanciona a la Dirección General de la Policía por el caso Villarejo

El caso Villarejo se cobra una víctima más, en este caso la Dirección General de la Policía, que ha sido sancionada por la Agencia Española de Protección de Datos por no disponer de unas medidas de seguridad concretas en las bases de datos que fueron consultadas por dos policías (un subinspector destinado en la lucha antiterrorista y un agente de Seguridad Ciudadana de Granada) que ayudaban a Villarejo a conseguir información policial interna.

La Agencia Española de Protección de Datos (AEPD) inició actuaciones de investigación en relación con la información difundida en medios de comunicación sobre posibles accesos a datos de ficheros policiales del Ministerio del Interior, que denotaría un posible incumplimiento de medidas de seguridad sobre los citados ficheros. Diversos medios de comunicación publicaron información relativa al acceso a las bases de datos policiales ARGOS, SIDENPOL, Control de Hospedería y Entradas y Salidas de España por parte de dos policías que ayudaban a Villarejo a obtener información confidencial interna. Véase por ejemplo esta noticia publicada en El País el 21 de septiembre de 2018: «El caso Villarejo destapa la vulnerabilidad de las bases de datos de la Policía»

El 22 de noviembre de 2018 la AEPD realizó una visita de inspección al Centro de Proceso de Datos de la Dirección General de la Policía en El Escorial con la finalidad de conocer el funcionamiento interno de esas bases de datos y las concretas medidas de seguridad implementadas.

¿Qué medidas de seguridad deben tener las bases de datos de la Dirección General de la Policía?

Desde un punto de vista de la normativa de protección de datos, la disposición transitoria cuarta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD en lo sucesivo) determina lo siguiente:

«Los tratamientos sometidos a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, y en particular el artículo 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la citada directiva.»

Es decir, que mientras no se trasponga la citada Directiva 2016/680, los tratamientos de datos realizados, entre otros, por la Dirección General de la Policía, se siguen rigiendo por la LOPD de 1999 y sus disposiciones de desarrollo. Entre estas disposiciones de desarrollo la que nos interesa es el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD) ya que contiene las medidas de seguridad que deben establecerse, como mínimo, en el tratamiento de datos personales. Aunque debe tenerse en cuenta que estas medidas de seguridad son las exigibles en este caso concreto; actualmente es de aplicación el RGPD que ha desplazado esta cuestión de las medidas de seguridad exigibles, pero no entraremos en ello.

Durante la inspección de la AEPD, se pudo constatar que aunque el acceso a las distintas bases de datos requerían la introducción de un nombre de usuario y una contraseña (forzando el sistema además a cambiarla periódicamente) y que se registraba cada acceso y cada recurso accedido, no se realizaban auditorías en los logs del sistema para detectar irregularidades en esos accesos.

¿Es obligatorio auditar los logs de accesos?

Además de ser una práctica recomendable desde un punto de vista técnico de seguridad, el RDLOPD en su artículo 103.5 establece expresamente que el responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados. Esto es, la norma obliga a revisar los logs y realizar un informe en consecuencia.

Los inspectores de la AEPD advirtieron que no se estaban realizando este tipo de revisiones de los logs y es lo que motivó la apertura y finalmente la resolución de declaración de infracción de Administraciones Públicas por vulnerar el artículo 9 de la LOPD (seguridad de los datos) en relación con lo dispuesto en el artículo 103.5 del RDLOPD.

Pero la AEPD, además de declarar que la Dirección General de la Policía ha vulnerado lo dispuesto en el artículo 9 de la LOPD, le insta a remitirle dos veces al mes un informe donde se indique la evolución de la implantación de un sistema de monitorización y gestión de registros de seguridad, que esta vez sí cumplirá con lo dispuesto en la norma y que está previsto que esté completado para finales de 2021.

Descarga resolución: Aquí.

 

Comment
  • Unai Aberasturi Gorriño
    Posted 23 octubre 2019 11:07 0Likes

    Me parece interesantísimo que pongas el foco en esta resolución de la AEPD. Creo que uno de los campos menos analizados y cuestionados en materia de protección de datos es el de los ficheros policiales. Y no hay más que ver la jurisprudencia, sobre todo de la AN, para observar que su regulación deja mucho que desear, sobre todo en lo que se refiere a la investigación de infracciones administrativas.
    Abrazos.
    Unai

Leave A Comment

Your email address will not be published. Required fields are marked *