Recientemente se ha conocido una sanción de la AEPD en relación con uno de los asuntos más polémicos de los últimos años en España: el conocido como «caso Villarejo». Villarejo, un comisario de la Policía Nacional en prisión por haber difundido archivos clasificados bajo su custodia, ha obtenido en los últimos días una pequeña victoria para su causa. Y es que la Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción a la Policía Nacional por incumplimiento de la normativa vigente en materia de protección de datos.
El caso Villarejo: una historia surrealista en medio del día a día de la Policía Nacional
Villarejo es un personaje particular. Fue acusado de cometer varios delitos, incluida la revelación de secretos, pertenecer a una organización criminal y registrar ilegalmente a policías y funcionarios del CNI para proteger al pequeño Nicolás.
También está implicado en el apuñalamiento de la Dra. Elisa Pinto, una dermatóloga que identificó a Villarejo como el asaltante en una formación policial en enero de 2014. La doctora había demandado previamente a Javier López Madrid, un alto ejecutivo, por acoso sexual y amenazas.
Asimismo, el comisario Villarejo fue acusado por el expresidente de la Comunidad de Madrid, Ignacio González, de chantajearlo en un caso que ha llevado a González a prisión por corrupción.
En una grabación secreta de 2015, González le había pedido a Villarejo y a otro oficial de policía que no revelaran la existencia de una compañía offshore con sede en los Estados Unidos que poseía nominalmente su sede social en Madrid.
Además de eso, Villarejo fue llamado a declarar como testigo ante un juez de Madrid para aclarar los orígenes de un misterioso dispositivo USB que contiene información sobre las finanzas del expresidente catalán Jordi Pujol y su familia.
En todos estos procesos, el excomisario Villarejo se habría valido presuntamente de su posición de dominio para obtener información privilegiada de los ficheros policiales. Esto, además de ser una acción constitutiva de delito, ha puesto de relevancia las fallas de seguridad en estos archivos de relevancia pública, como se verá a continuación.
La sanción de la AEPD en el caso Villarejo
Si Villarejo pudo tener acceso a datos de ficheros policiales del Ministerio del Interior no fue solo por, presuntamente, disponer de dos agentes infiltrados, haciéndole más fácil su labor, sino también porque los registros de acceso a estos ficheros no estaban encriptados de manera pertinente. Así ha quedado patente en la doctrina de la AEPD en una reciente resolución, donde se ha reconvenido a la Dirección General de la Policía por no custodiar de forma correcta estos ficheros.
Los hechos se remontan a noviembre de 2018. Con el goteo incesante de información, se descubrió que el excomisario accedió a una variedad datos policiales. El desarrollo de la Operación Tándem alertó de que Villarejo había sido presuntamente auxiliado por un par de policías para ingresar bases de datos como Sindepol o Argos, entre otras. Aquí fue donde la AEPD decidió inspeccionar la seguridad de los ficheros policiales.
En dicha inspección, el organismo constató que, para ingresar en las bases de datos se tendría que poner un nombre de usuario y una contraseña que se cambiaba de vez en cuando. Sin embargo, también advirtió de que los logs de acceso (los registros que tienen que guardar el historial de movimientos y acceso a esos datos) no eran nunca revisados.
Este hecho, según declara la AEPD en su resolución, incumple el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos, concretamente su artículo 103.5. Este establece que el responsable de seguridad se encargará de revisar, al menos una vez al mes, la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.
Esta previsión legal nunca se cumplió, de modo que la AEPD castiga a la Dirección General de la Policía por violar el artículo 9 de la Ley Orgánica de Protección de Datos, tipificada como grave. Se trata de una infracción administrativa, obligando la AEPD a la Dirección General de Policía a adoptar las medidas pertinentes para asegurar que los ficheros afectados cumplan con las previsiones legalmente establecidas.
Para ello, la Dirección General de Policía deberá enviar a la AEPD un informe cada quince días (el doble de lo que establece la legislación en materia de protección de datos) en los que dé cuenta de las mejoras realizadas en materia de seguridad en los logs de acceso a las bases de datos policiales y del Ministerio del Interior.
En conclusión, la protección de datos y la sanción de la AEPD en el caso Villarejo toman una doble vertiente. Por un lado, imponen un deber de respeto a los datos protegidos por el ordenamiento legal y, por otro, establecen unas obligaciones de seguridad que los responsables deben cumplir en garantía de los objetivos que esta legislación persigue.