La DGGC de sigue sin cumplir con la orden de la AEPD
La Asociación Unificada de Guardias Civiles denuncia públicamente que la Dirección General de la Guardia Civil continúa ignorando las obligaciones impuestas por la Agencia Española de Protección de Datos en el expediente sancionador EXP202314076, relativo al uso de la aplicación de mensajería IMBOX DEFENSE entre el personal del Cuerpo. Una situación que no se limita a una infracción administrativa en materia de protección de datos, sino que arrastra consigo la vulneración sistemática del derecho a la desconexión digital de los agentes, la imposición encubierta del uso de medios personales para fines oficiales y un gravísimo riesgo para la seguridad de la información operativa del Cuerpo, incluyendo datos de especial sensibilidad cuya exposición puede poner en peligro vidas humanas.
Una decisión tomada al margen de toda garantía legal
El origen de esta situación se remonta a 2022, cuando el Gabinete Técnico de la Dirección General promovió activamente el uso de IMBOX DEFENSE como sustituto de WhatsApp para las comunicaciones de servicio, reconociendo al mismo tiempo la existencia de 70.000 licencias de la aplicación y la inexistencia de un número equivalente de dispositivos móviles corporativos. Ello implicaba, de facto, que se estaba impulsando la instalación de una aplicación de servicio oficial en los teléfonos personales de los agentes, sin Evaluación de Impacto previa, sin el asesoramiento del Delegado de Protección de Datos, sin contrato formalizado con el proveedor en los términos exigidos por el artículo 28.3 del RGPD, y con una política de privacidad que incumplía los artículos 13 y 14 del mismo Reglamento, publicada únicamente en inglés y con el enlace de información adicional llevando a una página de error 404.
Teléfonos personales al servicio de la institución: una imposición inaceptable
La Dirección General de la Guardia Civil ha convertido en práctica normalizada lo que el ordenamiento jurídico prohíbe con claridad. Exigir a un agente que instale en su dispositivo personal una aplicación para el desempeño de funciones oficiales no es una recomendación, es una carga que recae sobre el patrimonio privado del trabajador. El agente asume el coste del dispositivo, el desgaste del terminal, el consumo de datos y, lo que es más grave, la mezcla en un único teléfono de su vida privada con información de servicio de naturaleza sensible u operativa. Esta práctica, amparada en la ambigüedad deliberada de las instrucciones institucionales, vulnera los principios de proporcionalidad y minimización establecidos en el artículo 5 del RGPD y contraviene el espíritu del artículo 88 de la Ley Orgánica 3/2018, que obliga al responsable del tratamiento a establecer una política interna que regule el uso de dispositivos digitales en el ámbito laboral.
La desconexión digital: un derecho que la Guardia Civil niega a sus agentes
La instalación de IMBOX DEFENSE en el teléfono personal de un guardia civil no es un acto inocuo. Es la puerta de entrada a una disponibilidad permanente que borra la frontera entre el tiempo de trabajo y el tiempo de descanso. Cuando el nombramiento del servicio, los mensajes de mandos, las instrucciones de unidad y las comunicaciones operativas llegan al mismo dispositivo con el que el agente habla con su familia, el derecho a la desconexión digital reconocido en el artículo 88 de la Ley Orgánica 3/2018 se convierte en papel mojado. La Dirección General no ha elaborado protocolo alguno que regule esta materia, no ha establecido franjas horarias de comunicación, no ha determinado qué tipo de mensajes pueden cursarse fuera de la jornada de servicio y no ha garantizado que la instalación voluntaria de la aplicación no derive en una presión real e implícita sobre quienes decidan no instalarla. El argumento de que la app puede silenciarse o cerrarse no resiste el menor análisis en un cuerpo con estructura jerárquica y disciplinaria como la Guardia Civil, donde la disponibilidad no escrita es una expectativa institucional de facto.
Datos de víctimas de violencia de género y de detenidos en teléfonos particulares: una negligencia de consecuencias potencialmente gravísimas
Lo que comenzó como un problema de gestión de aplicaciones de mensajería ha derivado en algo de una gravedad cualitativa radicalmente distinta. A través de IMBOX DEFENSE, instalada en dispositivos personales sin las garantías técnicas y organizativas exigidas por el ENS, se están compartiendo en la práctica diaria datos de víctimas de violencia de género y datos de personas detenidas. Estamos hablando de dos categorías de información cuya exposición inadecuada no es una cuestión burocrática, es una cuestión de seguridad física de las personas afectadas.
Los datos sensibles de víctimas de violencia de género están sometidos a un régimen de protección reforzada precisamente porque su divulgación puede costarles la vida. La identidad de una víctima, su domicilio, su situación procesal, el nivel de protección asignado o las medidas cautelares en vigor son datos cuya filtración puede anular en cuestión de horas cualquier medida de protección adoptada por el sistema judicial y policial. Que esta información circule por grupos de IMBOX instalados en teléfonos personales, sin control corporativo sobre el dispositivo, sin posibilidad de borrado remoto institucional, sin segregación del entorno personal del agente y potencialmente sincronizada con copias de seguridad en la nube de carácter privado, constituye una vulneración flagrante del artículo 9 del RGPD y un riesgo real e inmediato para la integridad física de las víctimas más vulnerables que la Guardia Civil tiene la obligación de proteger.
Idéntica consideración merece la difusión de datos de personas detenidas. La identidad de un detenido, los cargos que se le imputan, su situación procesal, las circunstancias de su detención o cualquier información relacionada con una investigación en curso son datos especialmente protegidos cuyo tratamiento está sujeto a normas estrictas de seguridad. Su circulación por canales no controlados institucionalmente puede comprometer investigaciones activas, vulnerar la presunción de inocencia, generar responsabilidades penales para los agentes implicados y exponer a la institución a reclamaciones de responsabilidad patrimonial de consecuencias incalculables.
La Dirección General de la Guardia Civil nunca estableció un protocolo claro que delimitara qué información puede y qué información no puede tratarse a través de IMBOX DEFENSE. Las indicaciones institucionales se limitaron a avalar la aplicación con las palabras "certificación" y "ENS", creando en los mandos intermedios la errónea convicción de que cualquier uso era legítimo y seguro. El resultado es que información de la máxima sensibilidad, cuya protección es una obligación legal y una responsabilidad moral de primer orden, ha estado y sigue estando expuesta en dispositivos personales sobre los que la institución no tiene control alguno.
Un canal de comunicación que pone en riesgo la propia información operativa
La paradoja más grave de toda esta situación es que la Dirección General ha promovido IMBOX DEFENSE como alternativa segura frente a WhatsApp, pero ha ignorado que el riesgo no reside únicamente en la aplicación en sí, sino en el entorno en el que opera. Un teléfono personal no está sujeto a las medidas de seguridad del Esquema Nacional de Seguridad. No tiene cifrado de disco gestionado institucionalmente, no puede ser borrado remotamente por la DGGC en caso de pérdida o robo, no está protegido por las políticas de gestión de dispositivos corporativos y puede compartir almacenamiento, copias de seguridad en la nube y accesos con aplicaciones completamente ajenas al entorno institucional. Que a través de ese dispositivo circule información sobre nombramientos de servicio, personal en activo, ubicaciones de unidades, grupos de trabajo operativos, datos de víctimas especialmente protegidas o información relativa a detenidos e investigaciones en curso, constituye un riesgo de seguridad real que la propia certificación ENS de IMBOX no neutraliza, porque la certificación ampara la aplicación, no el dispositivo que la aloja. La DGGC ha trasladado a los agentes una falsa sensación de seguridad amparada en siglas técnicas sin haber evaluado ni comunicado los riesgos reales del entorno en el que esa aplicación funciona en la práctica.
La AEPD ordenó actuar. La DGGC no lo ha hecho.
Fue el representante de AUGC en Las Palmas quien documentó y denunció esta situación ante el Delegado de Protección de Datos de la Guardia Civil, ante la Directora General, ante el Defensor del Pueblo y, finalmente, ante la Agencia Española de Protección de Datos. La AEPD no solo admitió la denuncia, sino que resolvió declarando que la Dirección General de la Guardia Civil había infringido el artículo 37 de la Ley Orgánica 7/2021, en la modalidad tipificada en el artículo 59.f), ordenando a la institución que en el plazo máximo de seis meses acreditara haber adoptado las medidas correctoras necesarias.
Han transcurrido esos seis meses y después muchos más. La AUGC constata que ningún representante de la asociación en ninguna unidad del territorio nacional tiene conocimiento de que se haya distribuido la Instrucción Técnica sobre el uso de IMBOX DEFENSE que la propia Dirección General anunció ante la AEPD como medida de cumplimiento. No se han realizado jornadas de formación ni de sensibilización en las que se indique de forma clara e inequívoca que la instalación de la aplicación en teléfonos particulares no puede ser impuesta. Tampoco se ha informado al personal sobre qué categorías de datos pueden o no tratarse a través de la plataforma, con todo lo que ello implica cuando por esa plataforma circulan datos de víctimas de violencia de género y de personas detenidas.
AUGC actúa y advierte
Ante esta situación de incumplimiento manifiesto, el representante de AUGC en Las Palmas ha presentado ante el Delegado de Protección de Datos de la Guardia Civil un escrito formal comunicando los hechos e instándole a ejercer las funciones que el RGPD le atribuye, asesorando a la Dirección General para que cumpla los requerimientos de la autoridad de control. Simultáneamente, se ha formulado una solicitud de acceso a información pública con siete preguntas concretas: cuántas actividades formativas se han realizado desglosadas por Comandancia, si se han cumplido los requerimientos de la AEPD, cuántos usuarios tiene la aplicación en cada Comandancia, cuántas licencias están instaladas en dispositivos oficiales y cuántas en teléfonos particulares de agentes, y si se ha distribuido o no la prometida Instrucción Técnica.
Desde AUGC advertimos con total claridad: si la Dirección General de la Guardia Civil no acredita de forma efectiva el cumplimiento de lo ordenado por la AEPD, esta asociación pondrá de nuevo los hechos en conocimiento de la autoridad de control para que, una vez más, haga público que la Dirección General de la Guardia Civil actúa al margen de las obligaciones que el ordenamiento jurídico europeo impone en materia de protección de los datos personales de sus propios agentes y de los ciudadanos a los que sirve.
Los guardias civiles no son ciudadanos de segunda categoría. Sus datos merecen la misma protección que los de cualquier trabajador público. Su derecho al descanso es tan legítimo como el de cualquier empleado público. Su teléfono personal no es, ni debe ser, una prolongación gratuita de la infraestructura de comunicaciones de la institución. Y las víctimas de violencia de género y las personas detenidas merecen que sus datos más sensibles no viajen por dispositivos personales sin control institucional alguno.
La Guardia Civil que vela por los derechos de los ciudadanos no puede seguir siendo la primera en pisotear los de sus trabajadores.
