Apercibida la Policía Nacional por fotografiar el DNI con móviles particulares de agentes

La Dirección General de la Policía ha sido sancionada por la Agencia Española de Protección de Datos. El motivo de la reprensión es la práctica de algunos agentes de tomar fotografías del DNI de personas a las que identifican, pero hacerlo con la cámara de un móvil personal, y no de dotación.

Confidencial Digital ha consultado una resolución, firmada por la directora de esa agencia, que resuelve el procedimiento sancionador que se abrió por la denuncia de un ciudadano, y que ha terminado con sanción para la Policía.

Si bien Protección de Datos considera que la Dirección General de la Policía cometió una infracción grave, que podía ser castigada con una multa de hasta 10 millones de euros, en este caso la sanción se ha quedado sólo en un “apercibimiento”, por “la falta de seguridad en el tratamiento de los datos personales puesta de manifiesto a la hora de tomar una fotografía del DNI del reclamante con un teléfono móvil personal del agente de policía que realizó la identificación”.

Manifestación contra los ‘menas’

La investigación comenzó con la denuncia de un particular, que en junio de 2021 relató en un escrito ante la Agencia Española de Protección de Datos lo que le había sucedido en una manifestación en Madrid.

Se trataba de una concentración de ‘Madrid Seguro’, una plataforma que nació para protestar contra los centros de menores extranjeros no acompañados (conocidos como ‘menas’) ubicados en barrios de Madrid, a los que acusan de ser un foco de delincuencia e inseguridad.

En esta plataforma participan asociaciones de vecinos, y también colectivos y dirigentes de grupos de carácter ultraderechista y neonazi, como Juventudes Canillejas. Fue la convocante de una marcha por la Gran Vía de Madrid que acabó en la Plaza de Chueca entre saludos fascistas y gritos contra los homosexuales.

Foto con el móvil personal

Según la denuncia ante Protección de Datos, el reclamante estaba abandonando una concentración entre los distritos madrileños de Ciudad Lineal y San Blas-Canillejas cuando “varios indicativos del CNP [Cuerpo Nacional de Policía] procedieron a identificarnos y pasar nuestros datos por la emisora a los efectos de realizar las oportunas comprobaciones”.

Declaró que “una vez finalizado el proceso de identificación y tras comprobar los agentes que todo estaba correcto, el agente procedió a tomar fotografías de nuestros DNI con su teléfono personal, todo ello, a pesar de ser advertido por los presentes de que no otorgábamos nuestro consentimiento para esa toma de fotografías del DNI. La propia agente nos manifestó que las fotografías se estaban tomando desde su teléfono personal, ya que, ellos no tienen teléfono de dotación”.

Distancia de seguridad

La Agencia Española de Protección de Datos trasladó esta denuncia a la Dirección General de la Policía, la parte reclamada, para que diera su explicación y versión sobre estos hechos denunciados.

La Dirección General de la Policía contestó con un escrito en el que explicaba que “en un contexto como el actual marcado por la situación de pandemia internacional provocada por el coronavirus Covid-19, la práctica de las diligencias de identificación lleva implícito un incremento de riesgo personal para los actuantes”.

Por este motivo “y de acuerdo con los consejos difundidos por las autoridades sanitarias, los agentes policiales extreman las medidas de autoprotección de los agentes, también en el ámbito de la salud y la higiene, evitando el contacto directo con el identificado y sus pertenencias, buscando condiciones ambientales de asepsia y manteniendo distancias de seguridad”.

Según la Policía Nacional, “el único objeto de tomar una imagen del documento de identidad y con ella practicar las comprobaciones oportunas”, como se hizo en esa manifestación en Madrid, “fue evitar la manipulación de este [el DNI] y mantener la distancia de seguridad”.

Defendió que “la toma de la fotografía es un modo de proceder excepcional en un momento marcado por circunstancias sanitarias y sociales de grave riesgo para la salud”.

Instrucción a los agentes

Más allá de esa actuación genérica en el cuerpo, la Dirección General consultó con la Jefatura Superior de Policía de Madrid, “a fin de conocer las circunstancias concretas” de lo sucedido en esa manifestación.

La Jefatura Superior de Madrid elevó un informe que concluía que, en el caso concreto de ese manifestante, “se ha constatado que la funcionaria tomó una sola imagen del Documento Nacional de Identidad de la persona identificada, actuando al amparo del artículo 16 de la LO 4/2015, y con los mismos efectos y finalidad que si hubieren sido tomados los datos de manera manual”.

La agente de Policía indicó en su minuta-informe de esa actuación que procedió a borrar la imagen del documento una vez cumplida la finalidad para la cual se tomó.

Por ello, la Jefatura Superior de Madrid defendió que “la actuación policial de prevención delictual y mantenimiento del orden público, objeto del presente informe se acomodó específicamente a los principios básicos de actuación establecidos en el artículo 5 de la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad, así como a la legislación vigente en materia de protección de datos”, desde directivas europeas hasta leyes orgánicas sobre protección de datos personales.

A todo ello, la Dirección General de la Policía añadió un párrafo: “Se participa que, desde la Dirección Adjunta Operativa, se procederá a impartir instrucciones sobre el uso de dispositivos electrónicos por parte de funcionarios policiales en actuaciones operativas, de manera que se asegure la conformidad de dichas actuaciones a la normativa en materia de Protección de Datos”.

Es decir, que se iba a aclarar a los agentes de la Policía Nacional cómo deben actuar en esos casos en los que usan dispositivos electrónicos para tomar datos.

No era un dispositivo oficial

Una vez analizada la denuncia y la respuesta de la Dirección General de la Policía, la directora de la Agencia Española de Protección de Datos dictó un acuerdo de admisión de trámite de la reclamación presentada, al apreciar posible indicios racionales de una vulneración de las normas en el ámbito de las competencias de la agencia.

En enero de 2022, la directora inició un procedimiento sancionador a la Dirección General de la Policía, “por vulneración del RGPD, al apreciar posibles indicios de infracción del 32.1 del RGPD”.

El Reglamento General de Protección de Datos establece en ese artículo que “teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”.

Eso incluye: a) La seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Ya en marzo de este año, Protección de Datos trasladó a la Dirección General de la Policía su propuesta de resolución: proponía dirigir a la Policía un “apercibimiento”, “por la infracción del artículo 32.1 del RGPD, al realizar un tratamiento de los datos personales del reclamante, mediante la toma de una fotografía de su DNI con un teléfono móvil personal del agente de policía, sin las garantías de seguridad exigibles para este tipo de actos”.

El problema, precisamente, fue que en este caso “el agente realizó una fotografía del DNI del reclamante con su teléfono móvil de uso personal”, lo que según Protección de Datos “no garantiza un nivel de seguridad adecuado a las exigencias requeridas” en el artículo citado de la ley.

Ese problema no se habría dado “si dicha fotografía hubiera sido realizada con un dispositivo oficial”, apuntó la agencia.

“Circunstancias excepcionales”

La Dirección General de la Policía se revolvió contra la posibilidad de ser sancionada. Presentó un extenso escrito de alegaciones, en el que defendió que la actuación policial denunciada “se desarrolló con absoluto respeto a los principios contenidos en el artículo 16.1 LOPSC [Ley Orgánica de Protección de la Seguridad Ciudadana] (proporcionalidad, igualdad de trato y no discriminación), siendo de reseñar que no consta que estos extremos hayan sido cuestionados por el reclamante, centrándose la reclamación únicamente en el medio usado para la práctica de la identificación”.

Alegó también que la agente “utilizó los medios disponibles a su alcance, atendiendo a las circunstancias excepcionales del contexto de pandemia internacional motivado por el coronavirus SARS-CoV-2, al objeto de practicar la identificación con un medio que facilitó la intervención reduciendo al máximo el contacto interpersonal, ello como se ha dicho anteriormente, siguiendo las indicaciones de las autoridades sanitarias al respecto”.

Además, “una vez hechas las comprobaciones necesarias, las imágenes fueron borradas sin que de las mismas quedara rastro alguno en ningún fichero policial”.

Entre otros argumentos, la Dirección General de la Policía señaló que “los eventos que aglutinan grandes concentraciones de personas, como el que es objeto de análisis, suelen ser aprovechados por individuos o grupos que, amparados en la multitud protagonizan hechos delictivos que deben ser prevenidos” por las Fuerzas de Seguridad “para garantizar la seguridad ciudadana y el libre desarrollo de los derechos fundamentales y libertades públicas del resto de ciudadanos”.

Por ello, la Policía discrepó de la sanción: destacó que “dadas las circunstancias en las que se realizó la identificación, dado que la exposición del documento por parte de su titular al agente y la consiguiente copia de los datos por este último, requería necesariamente un espacio temporal de contacto estrecho más amplio que el tiempo que precisa la realización de la fotografía al documento”.

“Minimización de los riesgos”

La agente optó por hacer una foto al DNI “dadas las circunstancias sanitarias existentes en el momento de la actuación”, y además realizó un “borrado instantáneo de los datos del terminal por el que fueron capturados”, lo que según la Policía “garantiza la minimización de los riesgos en el tratamiento”.

Argumentó la Policía que la Ley de Seguridad Ciudadana “sí que contempla el uso de cualquier medio al alcance de los agentes que favorezca el acto de la identificación”: “Cuando no fuera posible la identificación por cualquier medio, incluida la vía telemática o telefónica, o si la persona se negase a identificarse, los agentes, para impedir la comisión de un delito o al objeto de sancionar una infracción, podrán requerir a quienes no pudieran ser identificados a que los acompañen a las dependencias policiales más próximas”.

En base a ese artículo, “que refiere el uso de cualquier medio, sin ceñirse estrictamente a medios oficiales o de dotación”, señaló la Dirección General en su defensa, “la funcionaria que practicó esta diligencia, utilizó los medios disponibles a su alcance, en este caso un dispositivo móvil particular, por no disponer en ese momento de otro dispositivo oficial a su disposición”.

Admitió la Dirección General que “sí era posible una recogida de los datos menos invasiva, pero esta posibilidad redundaría en perjuicio de la seguridad de los agentes y particulares, al ampliar el tiempo de contacto interpersonal, y en el caso de los agentes, este incremento del riesgo se eleva exponencialmente en actos multitudinarios como el que ocasionó la identificación que ahora se evalúa, sin perjuicio de que en contra de su voluntad y en cumplimiento de sus obligaciones, puedan asimismo actuar como vectores de contagio”.

Así que consideró acreditada “la necesidad e idoneidad del medio empleado en esta específica actuación a los efectos de reducir los tiempos de contacto interpersonales, y mantener la distancia social que las autoridades sanitarias venían exigiendo”, por lo que “la identificación policial, no vulneraría el principio de minimización de datos”.

“A criterio de los funcionarios”

Cabe apuntar que la Dirección General de la Policía se tomó muy en serio este procedimiento sancionador de la Agencia Española de Protección de Datos, porque sus respuestas fueron largas, exhaustivas y muy insistentes.

Por ejemplo, quiso responder al reproche de que no hubiera proporcionado medios a los agentes de la Policía Nacional para hacer ese tipo de identificaciones. Alegó que la crisis del coronavirus “apareció de forma tan inopinada y sobrevenida, que no posibilitó la adopción por parte de las Administraciones Públicas, de medios técnicos suficientes para garantizar que todos los funcionarios dispusieran de las herramientas oficiales aptas para garantizar que estas funciones de protección y prevención de la seguridad ciudadana en entornos multitudinarios se desarrollaran con los medios que en materia de tratamiento de datos serían deseables”.

Como no había móviles ni cámaras de dotación suficientes, “quedó a criterio de los funcionarios la adopción de las medidas que en su caso consideraron oportunas para proteger su seguridad y la de los particulares, siempre actuando bajo los principios de legalidad y responsabilidad” exigidos por la ley “y con respeto a los derechos de los particulares relativos al tratamiento de sus datos personales”.

Sin conexión a internet

También destacó que el móvil que la agente usó para fotografiar el DNI de ese manifestante disponía de medidas de seguridad: cifrado de todos los datos personales, protegido por tecnología “protección de datos” por la que se protegen los archivos y el llavero de este, contraseña con clave...

Además, durante la toma de la foto y el traslado de los datos a otro soporte, el móvil se encontraba sin conexión a internet. No había conectividad ninguna entre la galería de fotos y las aplicaciones de almacenamiento en la nube ni ninguna otra aplicación de terceros.

Con la cámara no se fotografió la foto del titular del DNI, por lo que sólo quedaron reflejados “datos idénticos a los que se hubieran hecho en formato escrito”.

La alternativa, también insegura

Además, subrayó que la foto se borró del móvil apenas escasos minutos después de haberla tomado, “tiempo que tardó en llevarse a cabo la efectiva identificación del particular, transcurrida la cual, fueron suprimidos del dispositivo sin que quedara ningún rastro de almacenamiento del mismo o en ningún otro fichero”.

La foto no salió en ningún momento del dispositivo particular de la agente, lo que según la Policía Nacional “unido al resto de medidas de seguridad de que contaba el dispositivo utilizado asegura notablemente la seguridad del tratamiento”.

La Dirección General de la Policía llegó a señalar que “la toma de datos en formato papel muestra más carencias de seguridad que la toma con medios tecnológicos, como puede ser la imposibilidad de su eliminación inmediata al tener que contar con contenedores especiales para su destrucción, así como seguridad en caso de extravío”.

De no haber hecho una foto, la alternativa había sido “la copia manuscrita de los datos del particular para a continuación comunicarlos a través de la emisora y realizar las comprobaciones oportunas”.

Eso habría aumentado “el tiempo de contacto interpersonal superior al de la realización de la fotografía (dado que se pretendía evitar en la medida de lo posible la manipulación por los funcionarios de cientos de documentos de identidad), y por tanto mayor riesgo de contagio”.

Pero es que además esos datos manuscritos “también quedan bajo la custodia particular de la funcionaria, responsable en su caso de su pérdida o extravío”, y “en el presente caso, se puede afirmar a la vista del resultado de los hechos que la funcionaria actuó en todo momento bajo el citado principio de responsabilidad, y prueba de ello, es que los datos personales del particular fueron tratados con el único objeto de la prevención de la seguridad ciudadana, y garantizando que el particular no sufriera ningún daño derivado del citado tratamiento”.

Equipos inseguros

Para analizar este caso, la Agencia Española de Protección de Datos revisó numerosas normas sobre protección de datos personales y sobre las actuaciones policiales para identificar a ciudadanos.

Una de las normas que tuvo en cuenta fue el Esquema Nacional de Seguridad, el texto que regula las medidas que deben cumplir las administraciones públicas para garantizar la seguridad en el ámbito digital.

En ese Esquema Nacional de Seguridad queda establecido que “se prestará especial atención a la información almacenada o en tránsito a través de entornos inseguros”, y como entornos inseguros cita “los equipos portátiles, asistentes personales (PDA), dispositivos periféricos, soportes de información y comunicaciones sobre redes abiertas o con cifrado débil”.

Analizando todos esos riesgos, la Agencia Española de Protección de Datos consideró que “el uso de cámaras o móviles personales, no oficiales o de dotación, de los agentes no garantiza la seguridad de los datos”.

El problema reside, entre otros aspectos, en que “los usos privados que cada persona pueda realizar con sus propios dispositivos no resultan compatibles con las medidas de seguridad que para el ejercicio de las funciones de policía deben adoptarse por los responsables del fichero policial del que formarán parte tales grabaciones”.

Concluyó también Protección de Datos que la Dirección General de la Policía, como órgano del Ministerio del Interior, actúa como responsable de los datos personales. Por ello “es su obligación aplicar a los tratamientos de datos personales realizado por sus funcionarios, las medidas de seguridad que correspondan, de las previstas en el Esquema Nacional de Seguridad”.

No está amparado por la legislación el dejar “a criterio de los funcionarios la adopción de las medidas que en su caso consideraron oportunas para proteger su seguridad y la de los particulares”, como alegó la Dirección General de la Policía que se había hecho por la pandemia.

Sin sanción económica

La conclusión sobre todo este caso fue que “realizar una fotografía del DNI con un teléfono móvil de uso personal de un agente de policía supone la comisión de la infracción del artículo 32.1 del Reglamento General de Protección de Datos, al realizar un tratamiento de datos personales sin tener las garantías necesaria de tener implementadas las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”.

La ley considera una falta grave el hecho de no adoptar aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento”.

Las infracciones graves pueden ser sancionadas con una multa de hasta 10 millones de euros, como máximo, y si se trata de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

Pero en este caso la parte denunciada era la Dirección General de la Policía, un órgano directivo perteneciente a la Administración General del Estado. En este caso, la normativa europea permite que cada estado establezca si se puede imponer multas administrativas a autoridades y organismos públicos establecidos en dicho estado miembro.

La ley española determina que cuando los sancionados sean responsables o encargados de administraciones públicas, “las autoridades de protección de datos que resulte competente dictarán resolución sancionando a las mismas con apercibimiento. La resolución establecerá así mismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiere cometido”.

Por ello, la Dirección General de la Policía se ha librado de pagar una multa económica, y sólo ha sido sancionada “con apercibimiento”, por la infracción del artículo 32.1 del RGPD, al considera que, la realización de la fotografía de del DNI del reclamante con un teléfono móvil personal de uno de los agentes de policía, es un acto que no garantiza un nivel de seguridad adecuado al riesgo.

Otras decisiones

Cabe apuntar que la Agencia Española de Protección de Datos ya había establecido la misma sanción al Ayuntamiento de Orense, por haber tomado, sus policías locales, fotos de DNI de ciudadanos con móviles particulares.

Según la resolución de la que informó El Diario.es, los agentes no pueden fotografiar con sus teléfonos personales la documentación oficial de una persona a la que estén identificando, a no ser que sea un dispositivo corporativo del cuerpo usado para fines estrictamente profesionales.

Ahora esta corrección ha llegado a la Policía Nacional. El Independiente contó en febrero de este año que la misma Agencia Española de Protección de Datos archivó una denuncia similar de tres manifestantes a los que les hicieron una foto de sus documentos de identidad. El motivo de que esa actuación sí fuera avalada es que en esa ocasión los policías utilizaron teléfonos móviles oficiales, corporativos, y no sus dispositivos de uso particular.