La Guardia Civil de Toledo sancionada por cometer tres infracciones graves en el tratamiento de datos personales de víctimas y sus agentes

ASESGC denunció en febrero de 2023  que la Jefatura de Operaciones de la Comandancia de la Guardia Civil de Toledo había creado una base de tratamiento de información de personas denominada “TOLETUM”. En ella se grababan, entre otros, los datos de todos los hechos de VIOGEN que generaba la Guardia Civil de Toledo. Para ello, desde la Jefatura de Operaciones se había ordenado a los agentes volcar diariamente los datos desde el fichero oficial automatizado, conocido como SIGO (Sistema Integrado de Gestión Operativa), a TOLETUM, una base de tratamiento de datos no declarada, generando así un tratamiento de la información personal al margen del control de la Agencia Española de Protección de Datos, la autoridad pública independiente encargada de velar por la privacidad y la protección de datos de la ciudadanía.

Tras la denuncia de ASESGC la Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, entre ellas, una inspección a la Comandancia de la Guardia Civil de Toledo.

La comandancia de Toledo no confiaba en los medios oficiales para proteger a las vÍctimas de violencia de género

En esta inspección los responsables de la Jefatura de la Comandancia de la Guardia Civil realizaron ciertas manifestaciones en respuesta a las cuestiones planteadas por los inspectores. Por ejemplo, resaltaron la importancia por existir vidas en juego. De hecho, expusieron que desafortunadamente habían sucedido dos muertes por violencia de género en la provincia de Toledo en los últimos meses, de dos mujeres clasificadas de víctimas.

Indicaron igualmente que el objetivo final era dar una solución efectiva a la coordinación de la aplicación de las medidas de seguridad exigidas para las víctimas de violencia de género, asegurando que con la bases de datos TOLETUM se automatizaron los procesos y se mejoró de manera efectiva la coordinación, la colaboración y alineación de esfuerzos.

Señalaron también que, vista la utilidad de la herramienta creada, por parte de la Dirección General de la Guardia Civil, se iba a estudiar la posibilidad de desarrollar una aplicación oficial.

El 13 de marzo de 2023, dos semanas después de la denuncia de ASESGC, se impartieron instrucciones para que se dejasen de utilizar temporalmente las nuevas herramientas de gestión.

Posteriormente, con fecha 27 de febrero de 2024, la directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador contra la Comandancia de la Guardia Civil de Toledo que finalizo con una sanción a la Guardia Civil por infracción de tres preceptos de carácter grave.

Tratamiento de datos ilícito

En la resolución sancionadora, la Agencia Española de Protección de Datos indica que la base de datos TOLETUM fue Íntegramente desarrollada por personal propio de la Comandancia de Toledo por iniciativa teniente coronel Jefe de Operaciones y con el visto bueno del coronel Jefe de la Comandancia, sin informar a la Dirección General de la Guardia Civil y sin solicitar informe al Delegado de Protección de Datos de la Guardia Civil.

Esta primera infracción se consuma porque solo corresponde al responsable del tratamiento  implementar los procedimientos organizativos y los medios tecnológicos o no que deban utilizarse en cualquiera de los tratamientos a que sean sometidos los datos personales. Por ello se considera que los hechos son constitutivos de una infracción, imputable a la Guardia Civil de la comandancia Toledo, por vulneración del artículo 11 de la Ley Orgánica 7/2021(licitud del tratamiento).

Principio de exactitud

La segunda infracción viene determinada por el diseño de la base de datos TOLETUM ya que no garantizaba el respeto del principio de exactitud (artículo 6.1 d) de la LO 7/2021) de forma efectiva pues no existía una política de supresión de datos en la base de datos personales, los datos persistían en TOLETUM a pesar de ser cancelados en las bases desde las que se alimentaba.

La seguridad del tratamiento

La tercera de las infracciones graves cometidas por la Guardia Civil de Toledo hace referencia a que no se realizó un análisis previo de los riesgos para los derechos y libertades de las personas físicas, a fin de aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado. Tampoco se solicitó informe al Delegado de Protección de Datos en ningún momento.

En el control de la introducción se debe garantizar que pueda verificarse y constatarse, a posteriori, qué datos personales se han introducido en los sistemas de tratamiento automatizado, en qué momento y quién los ha introducido. Sin embargo, en TOLETUM no era posible efectuar un control de este tipo. Esta circunstancia incumple la obligación del artículo 37 de la Ley Orgánica 7/2021.

La resolución sancionadora de la AEPD no impone ninguna sanción económica al tratarse de una administración pública, aunque con claros responsables. La Agencia da cuenta al Defensor del Pueblo de su resolución a los efectos que correspondan.

En definitiva, una resolución ejemplar que por primera vez sanciona con dureza a una administración pública y que supone un varapalo tremendo para la Guardia Civil que debe ser un ejemplo y garante cualificado en la protección de las víctimas y también de sus agentes.