La Agencia Española de Protección de Datos inició un procedimiento sancionador contra la Comisaría Provincial de Málaga por una posible infracción del artículo 32 del RGPD, que regula la seguridad en el tratamiento de datos personales, al recibir una reclamación por haber usado los agentes sus teléfonos móviles particulares, no corporativos, para tomar fotografías de la documentación personal del reclamante durante una investigación sobre funcionarios policiales presuntamente implicados en actividades de seguridad privada incompatibles con sus cargos.
La Comisaría presentó alegaciones solicitando el archivo del procedimiento, pero se constató que, en el momento de los hechos, la Comisaría tuviera dispuestas medidas técnicas u organizativas con la finalidad de evitar el uso profesional de terminales particulares de los funcionarios de policía.
En este caso, se confirma que hubo un tratamiento de datos personales —como nombre, apellidos y número de identificación— por parte de la Comisaría Provincial de Málaga, que actuó como responsable del tratamiento al decidir los fines y medios de dicha actividad.
La Comisaría Provincial de Málaga presentó alegaciones al inicio del procedimiento sancionador, argumentando que la Ley Orgánica 4/2015 de Seguridad ciudadana permite a los agentes realizar identificaciones en la vía pública y que el uso de teléfonos personales no está expresamente prohibido por la normativa de protección de datos. Reconocen que estos dispositivos implican mayor riesgo, pero sostienen que no supone una infracción si se adoptan medidas adecuadas. También informan que se han difundido instrucciones para evitar el uso profesional de móviles personales.
Como respuesta, la AEPD alega que el uso de móviles personales para tomar fotografías no está justificado ni minimiza riesgos. Además, no se detallan medidas concretas adoptadas para gestionar ese riesgo, aunque valora la intención de corregir la práctica, pero, a pesar de que las imágenes fueran eliminadas después, el almacenamiento inicial sin garantías ya supone una infracción. Esto supone un riesgo para la confidencialidad, la integridad y la disponibilidad de los datos, quedando fuera del control del responsable del tratamiento y expone los datos a posibles accesos no autorizados, pérdida o alteración.
La Comisaría también presentó alegaciones a la propuesta de resolución del procedimiento sancionador, respecto a la legitimidad del tratamiento de datos ―alegaron haberse realizado en el marco de una investigación disciplinaria amparada en la obligación legal y el interés público recogido en el art. 6 del RGPD―, el uso de dispositivos móviles personales ―lo justifican ante la falta de medios corporativos y que las imágenes fueron incorporadas a las diligencias y destruidas después sin transmisión a terceros―, la inexistencia de un tratamiento indebido o no autorizado recogido en el art. 32.2 del RGPD, el principio de proporcionalidad y ausencia de responsabilidad, y el archivo de actuaciones sin declaración de infracción.
En contestación a las mismas, la AEPD rechazó las relativas a la inexistencia de tratamiento indebido, las de proporcionalidad de la sanción y la posibilidad de archivar el procedimiento sin declara infracción, y concluyó que al menos hubo negligencia grave, más aún al tratarse de un cuerpo policial. La simple negligencia, según la jurisprudencia, basta para considerar incumplido el deber legal de cuidado. De este modo, se declaró la infracción, que fue comunicada al Defensor del Pueblo sin imponer medidas adicionales gracias a la corrección posterior de la práctica.
En definitiva, la infracción está tipificada como grave según los artículos 83.4 del RGPD, y 71 y 73 de la LOPDGDD; la normativa exige que, en casos como este, se declare formalmente la infracción, especialmente cuando el responsable es una autoridad pública como las Fuerzas y Cuerpos de Seguridad del Estado, que debe tener mayor conciencia sobre la protección de datos.
Fuente: https://www.aepd.es/documento/ps-00252-2024.pdf
░ Imagen de Rodolfo Gaion en Pexels
