El Comisario Villarejo accedió a las bases de datos del Ministerio del Interior y la AEPD considera que pudo acceder porque esos datos no estaban suficientemente protegidos.

Por ello impone una multa a la Dirección General de la Policía al considerar que se ha infringido la normativa de Protección de datos.

Inspección de la AEPD del acceso a ficheros policiales

Villarejo accedió a datos personales del Ministerio del Interior al contar con la ayuda de dos agentes que le facilitaron el trabajo. Pero también porque los registros de acceso a esos ficheros no estaban protegidos adecuadamente.

En noviembre de 2018 la AEPD decidió auditar las medidas de seguridad aplicadas por la Policía a los ficheros que contenían datos personales. Esto se produjo a raíz de la filtración por parte de Villarejo de datos policiales. Se descubrió que el ex comisario disponía de la ayuda de dos policías que le facilitaron el acceso a distintas bases de datos del Ministerio del Interior (Argos, Sidenpol, Control de Hospedería y Entradas y Salidas de España).

La AEPD realizó entonces una inspección en el Centro de Proceso de Datos de la Dirección General de la Policía.

Falta de revisión de los logs de acceso

La AEPD, en la inspección realizada, comprobó que para acceder a esas bases de datos era necesario introducir el nombre de usuario y una contraseña que era necesario cambiar cada cierto tiempo. Además observó que los registros que almacenan el historial de acceso a esos datos y de movimientos (logs de acceso) nunca se habían auditado ni revisado.

Los funcionarios de la policía confirmaron a los inspectores que únicamente se realizaban revisiones preventivas de esos logs cuando ocurría algún incidente. Incluso en la inspección se detectó que la policía ni siquiera dispone de los medios necesarios para averiguar qué agentes fueron los que consultaron los datos de las personas a las que investigaba Villarejo.

Además, se comprobó que los agentes que accedieron no tenían permisos para poder hacerlo y el sistema no les impidió ese acceso.

Por ello, la AEPD considera que la Dirección General de la Policía incumple el RGPD y la LOPDGDD ya que estas normas exigen al responsable de seguridad de la empresa la revisión de la información de control registrada por lo menos una vez al mes. Y debe elaborar un informe en el que incluya todas las revisiones que se han efectuado y los problemas detectados.

La Policía nunca hizo esas revisiones por lo que la AEPD entiende que existe una infracción grave. Al tratarse de una Administración pública, la AEPD le obliga a adoptar cuanto antes las medidas de seguridad necesarias para evitar que vuelvan a ocurrir esos accesos no autorizados a sus bases de datos.

Se obliga a la Policía a que envíe a la AEPD dos informes mensuales donde especifique las auditorías de seguridad realizadas en los logs de acceso a sus bases de datos. En los informes debe constar la fecha y la firma del responsable de seguridad.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.