Sanción de la AEPD a la Policía por no securizar sus accesos a datos personales
La Dirección General de Policía incumplió la LOPD al no revisar posibles errores en los accesos a bases de datos del Ministerio del Interior
Villarejo cosiguió acceder a bases de datos del Ministerio del Interior cuyos registros de entrada no estaban siendo auditados. Ahora la Dirección General de Policía ha sido sancionada por ello
Si el excomisario Villarejo pudo acceder a datos de ficheros policiales del Ministerio del Interior no fue solo por tener supuestamente a dos agentes facilitándole el trabajo, sino también porque los registros de acceso a dichos ficheros no estaban debidamente custodiados. Así lo entiende la Agencia Española de Protección de Datos, que ha sancionado a la Dirección General de la Policía por no proteger dichos accesos.
Todo empezó en noviembre de 2018. Con el goteo de filtraciones y conocimientos del acceso de Villarejo a diversos datos policiales, el desarrollo de la Operación Tándem descubrió que Villarejo había contado supuestamente con la ayuda de dos policías –un subinspector de lucha antiterrorista y un agente de Seguridad Ciudadana de Granada– para acceder a bases de datos Argos, Sidenpol, Control de Hospedería y Entradas y Salidas de España. Fue entonces cuando la AEPD consideró que era necesario auditar la seguridad que el cuerpo estaba aplicando a esos datos y llevó a cabo una inspección en el Centro de Proceso de Datos de la Dirección General de la Policía.
Los logs de accceso, sin revisar
En dicha inspección, el organismo observó que para acceder a la bases de datos había que introducir un nombre de usuario y una contraseña que se cambiaba cada cierto tiempo. Sin embargo, también detectó que los logs de acceso (los registros que deben guardar el historial de movimientos y acceso a esos datos) no eran auditados ni revisados en ningún momento
Este hecho, según constata la AEPD en su resolución (Descargar la resolución de la AEPD en PDF), incumple el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (RDLOPD), concretamente el artículo 103.5, que establece que «el responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados».
Esto nunca se hizo, de modo que la AEPD sanciona a la Dirección General de la Policía por vulnerar el artículo 9 de la Ley Orgánica de Protección de Datos (LOPD), tipificada como grave. Se trata de una infracción de Administraciones Públicas, así que el organismo obliga a la institución policial a que «adopte las medidas de orden interno que impidan que se siga produciendo la infracción del artículo 9 de la LOPD»
Para ello, la Dirección General de Policía deberá remitir a la AEPD dos informes al mes (el doble de lo que estipula la norma) en los que dé cuenta de sus evaluaciones de seguridad en los logs de acceso a las bases de datos policiales y del Ministerio del Interior. Dichos informes, además, deberán estar firmados por el responsable del sistema y fechados.
FUENTE: El Confidencial