La Agencia Española de Protección de Datos ha impuesto a la Dirección General de la Policía por infringir los artículos 5.1.f y 32 del RGPD dos sanciones de apercibimiento. Los hechos fueron denunciados ante la Agencia por un particular al percatarse que en unas dependencias de la Policía Nacional se estaban utilizando para anotar “folios grapados a modo de libreta, en los que, en el reverso, aparecen datos personales de ciudadanos que acuden a las instalaciones de la POLICÍA NACIONAL de dicho enclave, así como de Policías que allí trabajan, dejando expuestos, por tanto, datos de terceros”, aportando fotografías de dichas “libretas” en las que se pueden leer datos personales y, en algunas fotografías, al parecer, se apreciaba hasta el escudo del Ministerio del Interior.
La AEPD dio traslado a la Dirección General de la Policía (en adelante, DGP) para que analizara su situación y remitiese a la Agencia “en el plazo de un mes” las medidas adoptadas para “adecuarse a los requisitos previstos en la normativa de protección de datos”.
El Delegado de Protección de Datos de la DGP contestó al requerimiento y en el que se afirmaba que tras entrevistar a los funcionarios de la Comisaría Provincial del lugar dónde se habían tomado las fotografías, se manifestó que “para aprovechar el papel reciclado ya que se trata de hojas que solo están impresas por una cara” lo “utilizaba para hacer anotaciones, pero no recuerda que los papeles hayan estado a la vista del público”.
El Inspector Jefe de Sección Técnica de la Comisaría, que también fue entrevistado, a lo anterior, añadió que “las hojas se confeccionan en origen para establecer los turnos de trabajo de los distintos funcionarios de la Unidad”.
A modo de conclusión, el Delegado de Protección de Datos de la DGP considera que se trata de un hecho aislado que ya ha sido subsanado y respecto al cual ya se han adoptado las medidas oportunas: “se han impartido instrucciones directas a los responsables de los distintos servicios para que no se vuelvan a repetir y se ha confeccionado una circular para recordar a todos los funcionarios procedimiento de eliminación de los documentos que obran en las dependencias policiales”.
La AEPD requirió:
Se constató que no existía contrato con ninguna empresa para la destrucción de documentos, que en la Comisaría poseen máquinas trituradoras de papel y una para soportes de papel, plástico, CD’s y pasaportes proporcionada por el Ayuntamiento, en cuyas dependencias se encuentra físicamente situada la Unidad. Asimismo, se impartieron instrucciones verbales en la reunión con los jefes de las unidades de las comisarías, y por escrito, a todos los funcionarios de la Comisaría Provincial.
A juicio de la Agencia se ha producido una brecha de seguridad de datos personales categorizada como brecha de confidencialidad, en virtud del art. 4.12 RGPD que las define como “todas aquellas violaciones de seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
Como en otras ocasiones ya ha señalado la AEPD, identificar una brecha “no implica la imposición de una sanción de forma directa por esta Agencia, ya que es necesario analizar la diligencia de responsables y encargados y las medidas de seguridad aplicadas”. Una vez analizadas las particularidades del presente caso, la Agencia considera que “no se puede afirmar que la Dirección General de Policía contara con las medidas adecuadas”. Tampoco han sido convincentes las alegaciones del DPD sobre “la confidencialidad y la correcta destrucción de los documentos policiales (especialmente, aquellos que contienen datos de carácter personal) son objetivos prioritarios para la DGP y que su compromiso puede apreciarse en la elaboración de normativa, su distribución y la reiteración en la necesidad de su conocimiento, la formación de los funcionarios y la depuración de las responsabilidades disciplinarias y penales en aquellos casos de mayor gravedad a través de los procedimientos establecidos al efecto”. Si bien, los hechos demuestran ciertos documentos con datos personales quedaron visibles y no fueron destruidos, todo lo contrario, fueron reutilizados.
En definitiva, la intención de reutilizar el papel para reciclar es muy respetable, pero el personal de las Administraciones Públicas deberá seleccionar con sumo cuidado los documentos a los que se les puede dar una segunda utilidad. Por todo ello, tal y como hemos adelantado, la AEPD ha impuesto a la Dirección General de la Policía dos sanciones de apercibimiento, aprovechando la resolución para recordar que este tipo de infracciones pueden llegar a sancionarse, en virtud del art 83.4 RGPD, con “multas administrativas de multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”, asimismo, el art. 77 de la LOPDGDD dispone que el régimen establecido para la “Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local” se dictara resolución sancionando con apercibimiento.
Realice su consulta de forma totalmente gratuita. Nos pondremos en contacto con usted