Cuando AUGC publicó su denuncia sobre el uso de IMBOX DEFENSE en dispositivos personales de los guardias civiles, una parte de las críticas recibidas siguió un argumento que merece ser respondido con datos y con rigor. El argumento era, en síntesis, el siguiente: que IMBOX facilita el trabajo policial, que el guardia civil que la usa lo hace voluntariamente, y que una asociación profesional no debería interferir en herramientas que mejoran la operatividad. Suena razonable en la superficie. Cuando se examina con atención, no lo es en absoluto.

El trabajo policial no justifica cualquier medio

Nadie en AUGC cuestiona que IMBOX DEFENSE sea, como aplicación, superior a WhatsApp en términos de cifrado y control de comunicaciones. Fue diseñada específicamente para entornos de seguridad y defensa, y eso la distingue del mensajería de consumo masivo. El problema no es la herramienta. El problema es el marco legal en el que la institución ha decidido implantarla.

En 2022, la Dirección General impulsó el uso de IMBOX como sustituto de WhatsApp para las comunicaciones de servicio. En ese momento ya era pública la existencia de 70.000 licencias adquiridas y la ausencia de un número equivalente de terminales corporativos. La consecuencia lógica era clara desde el primer día: si hay 70.000 licencias y no hay 70.000 teléfonos de empresa, la aplicación va a acabar en los teléfonos personales de los agentes. Y así ocurrió, sin evaluación de impacto en protección de datos previa, sin asesoramiento del Delegado de Protección de Datos del Cuerpo, y con una política de privacidad que, según la denuncia presentada ante la AEPD, incumplía los artículos 13 y 14 del RGPD y estaba publicada únicamente en inglés, con el enlace de información adicional apuntando a una página de error 404.

Quien critica a AUGC por "meterse" en esto debería formularse una pregunta: ¿facilitaría el trabajo policial instalar el acceso a SIGO en el móvil personal de cada guardia? Probablemente sí, en términos de inmediatez. Nadie lo defendería, porque hay límites que no pueden cruzarse aunque mejoren la operatividad. El acceso a información sensible requiere garantías que un dispositivo personal, por definición, no puede ofrecer.

Una imposición encubierta, no una elección libre

El segundo pilar del argumento crítico, el de la voluntariedad, tampoco resiste el análisis. Exigir a un agente que utilice su teléfono personal para funciones oficiales no es una invitación, es trasladar al trabajador una carga que corresponde a la institución: el coste del dispositivo, el desgaste del terminal, el consumo de datos y, sobre todo, la convivencia en un mismo aparato de la vida privada del agente con información operativa de la institución.

Pero hay un dato que convierte esta discusión sobre la "voluntariedad" en algo directamente absurdo: en un número creciente de unidades, los listines de servicio llegan a través de IMBOX Defense. No como opción. Como cauce ordinario de comunicación.

El guardia civil que decide no instalar la aplicación en su teléfono personal no está ejerciendo una elección libre: está quedando al margen del canal por el que su unidad le comunica cuándo y dónde tiene que trabajar. Que alguien explique cómo se llama eso, si no es una imposición.

En una estructura tan jerarquizada como la Guardia Civil, donde la disponibilidad permanente no escrita es una expectativa institucional real, el argumento de que la aplicación puede silenciarse o no instalarse no tiene ningún valor práctico. La presión implícita sobre quien decide no tenerla es suficientemente disuasoria sin necesidad de que nadie emita una orden formal.

Esta práctica vulnera el principio de proporcionalidad del RGPD y el espíritu del artículo 88 de la Ley Orgánica 3/2018, que obliga al responsable del tratamiento a regular el uso de dispositivos digitales en el ámbito laboral. La DGGC no ha elaborado protocolo alguno al respecto, no ha establecido franjas horarias de comunicación y no ha garantizado que la ausencia de la aplicación no derive en consecuencias reales para quien decida no instalarla.

La Agencia Española de Protección de Datos llegó a conclusiones similares. Tras la denuncia presentada por el representante de AUGC en Las Palmas, respaldado por el asesoramiento de Javier Cancelas, especialista en protección de datos y miembro de AUGC Pontevedra, la AEPD resolvió que la Dirección General había infringido el artículo 37 de la Ley Orgánica 7/2021 y le ordenó acreditar la adopción de medidas correctoras en un plazo de seis meses. La DGGC fue sancionada. Y continúa sin cumplir.

Datos de víctimas de violencia de género en tu teléfono personal

Más allá del debate sobre la voluntariedad, hay una dimensión de este asunto que no es administrativa sino directamente de seguridad física de las personas. A través de los grupos de IMBOX instalados en teléfonos personales circulan, en la práctica diaria de muchas unidades, datos de víctimas de violencia de género y de personas detenidas.

Los datos de víctimas de violencia de género están sometidos a un régimen de protección reforzada. Domicilios, medidas cautelares vigentes, nivel de protección asignado, situación procesal. Todo eso puede estar en un teléfono personal sin control corporativo, sin posibilidad de borrado remoto institucional, potencialmente sincronizado con copias de seguridad privadas en la nube. La vulneración del artículo 9 del RGPD es evidente. Las consecuencias para las víctimas pueden ser irreversibles.

Idéntica gravedad tiene la circulación de datos de personas detenidas: cargos imputados, situación procesal, circunstancias de la detención, investigaciones en curso. Información cuya exposición puede comprometer operaciones activas, vulnerar la presunción de inocencia y generar responsabilidades tanto para los agentes implicados como para la propia institución.

La DGGC avaló todo este escenario con la certificación ENS de la aplicación, como si eso fuera suficiente. No lo es. Como señala expresamente la denuncia de AUGC:

"la certificación ampara la aplicación, no el dispositivo que la aloja."

Esa distinción lo cambia todo.

Lo que puede pasarle a cualquier guardia civil: los datos que nadie quiere ver

Aquí es donde el argumento de "no te metas en lo que facilita el trabajo" deja de ser una opinión discutible y se convierte en algo potencialmente peligroso para el guardia civil de base.

En los últimos años se ha producido un incremento sin precedentes de expedientes disciplinarios abiertos por consultas en bases de datos internas, especialmente en SIGO. Los datos que AUGC ha manejado y que medios han publicado son elocuentes: durante el cuarto trimestre de 2024 se abrieron 48 expedientes disciplinarios por este motivo, más que en años enteros anteriores. En el primer trimestre de 2025 se registraron 36 investigaciones disciplinarias adicionales por la misma causa. La comparación es devastadora: en 2024, solo en el cuarto trimestre, se superaron cifras que antes requerían dos ejercicios completos para alcanzarse.

Estas actuaciones se encuadran habitualmente como falta muy grave del artículo 7.7 de la Ley Orgánica 12/2007 del Régimen Disciplinario de la Guardia Civil, que tipifica el abuso grave de atribuciones que cause daño a los ciudadanos o a la Administración. Las faltas muy graves pueden acarrear desde la separación del servicio hasta la suspensión de empleo de hasta seis años. Muchas de estas instrucciones concluyen rebajando la calificación a falta grave, que conlleva igualmente suspensión de empleo de hasta tres meses, pérdida de haberes y pérdida de destino. El alivio es relativo.

Lo más inquietante es la arbitrariedad. Se han documentado casos en los que la misma conducta, consultar un dato en SIGO, ha sido sancionada como falta grave en un expediente y como falta leve en otro. Y lo que se esconde detrás de muchos de estos expedientes es una dificultad estructural: cuando el guardia recibe la información reservada, han pasado meses desde los hechos y no recuerda el motivo concreto de una consulta que en su momento era rutinaria y no generó ninguna alerta. Sin justificación documentada, el expediente avanza.

¿Qué tiene que ver todo esto con IMBOX? Mucho. El guardia que usa la aplicación en su teléfono personal siguiendo la práctica establecida por su unidad puede estar tratando datos protegidos en un entorno que la institución no controla. Si hay una brecha, una filtración, un robo del terminal o una auditoría interna, el expediente puede recaer sobre el agente que hacía lo que le habían dicho, no sobre quienes diseñaron el sistema sin las garantías exigidas por ley. La institución fija la práctica; el guardia asume el riesgo.

El Régimen Disciplinario contempla explícitamente el incumplimiento de normas sobre tratamiento de datos e información reservada. El artículo 8.33, por ejemplo, sanciona la negligencia grave en el cumplimiento de obligaciones profesionales, y ya se ha aplicado a conductas relacionadas con el uso de bases de datos. Quien opera en un entorno que su institución no ha delimitado correctamente, sin formación específica y sin instrucciones escritas precisas, queda expuesto a interpretaciones disciplinarias que no puede anticipar ni refutar con documentos que no existen porque nadie los elaboró.

El problema es la ausencia de norma, no la herramienta

AUGC no se opone a que la Guardia Civil use mensajería segura. Se opone a que lo haga sin evaluación de impacto, sin instrucción técnica distribuida a todos los efectivos, sin protocolos claros sobre qué categorías de datos pueden tratarse a través de qué canal, sin dotación de dispositivos corporativos que eliminen la necesidad de recurrir al teléfono personal, y sin respetar la resolución sancionadora de la AEPD.

La asociación ha verificado que ninguno de sus representantes en ninguna unidad del territorio nacional tiene conocimiento de que la Instrucción Técnica sobre IMBOX DEFENSE, que la propia DGGC anunció ante la AEPD como medida de cumplimiento, haya sido efectivamente distribuida. No ha habido formación. No ha habido sesiones informativas. No se ha comunicado con claridad qué puede y qué no puede circular por ese canal.

Una institución que normaliza el uso de medios personales para fines oficiales, que no delimita lo que puede hacerse con ellos, que sanciona a sus agentes cuando algo sale mal y que ignora las resoluciones de la autoridad de control no está gestionando su operatividad. Está descargando sobre el guardia civil de a pie una responsabilidad que es exclusivamente institucional.

AUGC denuncia eso. Y seguirá haciéndolo mientras la situación no se corrija.

Si tienes IMBOX instalada en tu teléfono personal, si tu unidad te pasa el listín por ese canal, y nadie te ha explicado por escrito qué puedes compartir y qué no, tienes un problema que no has creado tú pero que puede acabar en un expediente disciplinario. Contacta con nosotros.

...Y antes de terminar, una petición directa.

Sabemos que la situación que describes en este artículo no es igual en todas las unidades. En algunas el uso de IMBOX en móviles personales es total y los listines llegan exclusivamente por ese canal. En otras la implantación es parcial. En otras, casi testimonial. Pero necesitamos datos reales para defender a los guardias civiles con argumentos reales.

Por eso hemos publicado una encuesta anónima en nuestra web. Cuatro preguntas, un minuto de tu tiempo. No se recogen datos personales, no hay forma de identificar a quien responde. Solo queremos saber cómo es la situación en el terreno, unidad a unidad, para poder llevar cifras concretas ante la Dirección General y, si es necesario, ante la AEPD.

Tu respuesta cuenta: pulsa aquí.

AUGC, Asociación Unificada de Guardias Civiles. Defendiendo tus derechos con datos, con argumentos y con nombre propio.