La Agencia Española de Protección de Datos (AEPD) ha sancionado a la Dirección General de la Guardia Civil tras una denuncia presentada en Canarias que dio origen a un procedimiento por el uso de la aplicación interna de mensajería IMBOX DEFENSE, que la Benemérita había fomentado en sustitución de WhatsApp y otras aplicaciones de mensajería. La denuncia, registrada en 2023 por el representante del sindicato AUGC en Las Palmas, motivó una investigación sobre el tratamiento de datos personales en ese sistema.
La resolución concluye que la Guardia Civil “ha infringido lo dispuesto en el artículo 37 de la LO 7/2021”, relativo a la seguridad del tratamiento de datos personales. La AEPD considera acreditado que la aplicación se utilizaba para compartir información de carácter sensible sin que se hubieran adoptado las medidas necesarias para garantizar su protección.
Referencias a víctimas de violencia de género
El expediente recoge documentación interna y ejemplos de uso de la herramienta que incluyen comunicaciones operativas con datos personales. Según la propia resolución, a la que ha tenido acceso Atlántico Hoy, “las comunicaciones que son transmitidas utilizando dicha aplicación son de muy variada tipología, incluyendo información que afecta al ámbito funcional de la parte reclamada”.
Entre los mensajes analizados figuran referencias a víctimas de violencia de género o incidencias del servicio. Parte de esa documentación, incorporada como prueba, procede de unidades de Canarias.
En los móviles de los agentes
Uno de los aspectos centrales del caso es el uso de la aplicación en dispositivos personales. La AEPD señala que “el uso de la aplicación por personal de la Guardia Civil no está restringido a teléfonos oficiales o corporativos”, y añade que, aunque se desaconsejaba su uso en terminales privados, “no existe ninguna instrucción directa de carácter obligatorio o limitación técnica para su descarga y uso en teléfonos particulares”. Esto implica que la información podía quedar almacenada fuera del control de la organización.
La resolución también subraya que todos los usuarios tenían los mismos permisos dentro de la aplicación. En concreto, “existe un único rol para todos los usuarios de la aplicación, por lo que todos los usuarios comparten los mismos permisos”. Esta falta de diferenciación impedía limitar el acceso a la información en función de las funciones de cada agente.
Sin análisis de riesgos
Otro de los puntos señalados es la ausencia de un análisis de riesgos adecuado antes de implantar la herramienta. La AEPD indica que “no se ha realizado un análisis adecuado en función del tipo de datos que iban a ser objeto de tratamiento”, pese a que la aplicación se utilizaba para transmitir información sensible.
Además, el organismo insiste en que no basta con recomendaciones internas para garantizar la seguridad de los datos. La resolución se afirma que “corresponde al responsable del tratamiento adoptar todas las medidas necesarias para garantizar la seguridad de los datos que son tratados”, y que no es suficiente “unas recomendaciones que, en definitiva, no garantizan la seguridad”.
Infracción grave
Como consecuencia, la AEPD ha declarado la existencia de una infracción grave, aunque sin multa económica al tratarse de una administración pública. La resolución ordena a la Guardia Civil adoptar medidas en un plazo máximo de seis meses, entre ellas la elaboración de una instrucción técnica sobre el uso de la aplicación, la formación de los usuarios y el análisis de la posible definición de roles diferenciados.
También se exige que se informe sobre el uso de la aplicación en dispositivos corporativos frente a los personales y que se acredite el cumplimiento de estas medidas ante la Agencia.