Lo que hicimos

En septiembre de 2023, la AUGC presentó denuncia ante la Agencia Española de Protección de Datos (AEPD) al detectar que la Dirección General de la Guardia Civil (DGGC) estaba desplegando pistolas eléctricas incapacitantes (PEI o táser) dotadas de videocámaras integradas sin haber cumplido las obligaciones que la normativa de protección de datos exige para un tratamiento de esta naturaleza y envergadura. No fue una denuncia única. Fue un seguimiento sistemático: cuatro escritos sucesivos de ampliación, con documentación, con hechos concretos y con argumentación jurídica. En mayo de 2024 se narró un incidente de grabación involuntaria en una dependencia oficial y se aportó la documentación que lo acreditaba.

Esa perseverancia tuvo resultado. El 8 de julio de 2025, la Presidencia de la AEPD emitió resolución sancionadora (EXP202314314) declarando que la DGGC ha infringido la Ley Orgánica 7/2021, de protección de datos para fines policiales y penales, en dos preceptos distintos.

Qué ha declarado la AEPD, explicado con claridad

Para quien no esté familiarizado con la materia, conviene explicar qué significa esto. Cuando una institución pública va a utilizar una nueva tecnología que implica tratar datos personales (imágenes, voces, identidades) de los ciudadanos de forma masiva, la ley no le permite simplemente empezar a usarla. Le exige que, antes de hacerlo, realice un análisis riguroso de los riesgos que ese tratamiento supone para los derechos de las personas afectadas. Ese análisis se llama Evaluación de Impacto en Protección de Datos (EIPD) y está regulado en el artículo 35 de la LO 7/2021. No es un trámite burocrático menor: es la garantía de que quien trata datos de la ciudadanía ha pensado en las consecuencias, las ha ponderado y ha adoptado medidas para mitigarlas antes de comenzar.

¿Cuándo es obligatoria? Cuando el tratamiento probablemente entrañe un alto riesgo para los derechos y libertades de las personas. La AEPD ha concluido, con análisis detallado, que el Tratamiento PEI de la DGGC cumple no uno, sino varios criterios que hacen esa evaluación obligatoria: utilización de una tecnología nueva en el ámbito policial, tratamiento de datos vinculables a infracciones penales, posible captación de datos de salud, escala nacional con afectación a unidades en todas las provincias del territorio y potencial grabación de personas en situación de vulnerabilidad (menores, personas con discapacidad, víctimas de violencia de género).

La DGGC no realizó esa evaluación. No la realizó antes de desplegar las armas. No la realizó durante los dos años que duró la investigación de la AEPD. Alegó que no era necesaria porque el tratamiento derivaba del cumplimiento de una obligación legal. La AEPD rechazó ese argumento con precisión: la lista de tratamientos eximidos de EIPD exige, como condición sine qua non, que ya se haya realizado una EIPD completa. Lo que no existe no puede eximir de nada.

La segunda infracción declarada afecta al Registro de Actividades de Tratamiento (RAT), el documento de transparencia que la ley obliga a publicar y que informa a los ciudadanos de, entre otras cosas, cuánto tiempo se conservarán sus datos. El RAT publicado por el Ministerio del Interior para el Tratamiento PEI recogía un único plazo: un mes. La realidad era muy distinta: las grabaciones vinculadas a investigaciones policiales o procedimientos judiciales o administrativos abiertos se conservan durante períodos muy superiores. Los ciudadanos que consultaban ese RAT creyendo que sus imágenes serían destruidas al mes ignoraban que en muchos casos eso era falso, perdiendo así el control sobre sus propios datos. Infracción del artículo 32 de la LO 7/2021. Ambas son infracciones graves conforme al artículo 59 de la citada norma.

La misma institución que abre expediente por consultar una matrícula

Y aquí es donde la asimetría resulta ya inaceptable. La Dirección General de la Guardia Civil ha convertido en los últimos tiempos las auditorías sobre el sistema SIGO en un instrumento de presión disciplinaria. La propia AUGC ha denunciado que se abrieron más expedientes disciplinarios por presuntas consultas indebidas en bases de datos durante el cuarto trimestre de 2024 y el primero de 2025 que en años enteros combinados: 48 expedientes en el último trimestre de 2024 y 36 en el primero de 2025. El tipo disciplinario utilizado es la falta muy grave del artículo 7.7 de la LORDGC, que puede acarrear desde la pérdida de puestos en el escalafón hasta la suspensión de empleo de hasta seis años.

El caso más mediático fue el de un representante provincial de AUGC, sancionado con quince días de suspensión de empleo y sueldo por haber consultado en SIGO una matrícula de un vehículo implicado en una huida de un requisitoriado. En otro caso documentado, una auditoría realizada sobre las unidades de Ibiza reveló que un agente había efectuado dos consultas en junio y julio de 2022 que no se consideraron vinculadas al ejercicio de sus competencias, desencadenándose de inmediato el correspondiente expediente. Se han documentado asimismo situaciones en que el mismo tipo de acción (una consulta en SIGO) ha dado lugar, en paralelo, a una sanción por falta grave en un caso y a una mera reprensión en otro, así como casos en que un suboficial acumuló hasta cuatro expedientes por presuntas faltas que las propias autoridades disciplinarias acabaron degradando sistemáticamente al encontrar indicios de calificación desproporcionada.

Esos guardias civiles, muchos de ellos realizando su trabajo ordinario, se enfrentan a procedimientos que les exigen justificar consultas realizadas meses atrás en sistemas a los que tienen acceso legítimo por razón de su cargo, con el riesgo real de ver truncada su carrera. La DGGC dispone de auditorías, instructores, asesores jurídicos y todo el aparato disciplinario para perseguirlos con celeridad.

Mientras tanto, la misma Dirección General operó durante más de dos años desplegando un sistema de grabación masiva de ciudadanos en toda España sin haber realizado la evaluación de impacto que la ley exige, con un registro de transparencia que engañaba a quienes lo consultaban sobre los plazos reales de conservación de sus datos. Cuando la AEPD requirió explicaciones, la DGGC respondió que consideraba que no era necesaria la evaluación, que era un proceso "costoso" y que aplicaba un "principio de economía de medios". Cuando fue acorralada normativamente, ofreció realizarla en el futuro si la Agencia se lo indicaba. Resulta difícil no preguntarse si el principio de economía de medios aplica también cuando se despliegan decenas de instructores para auditar a guardias civiles que consultaron una matrícula.

Ninguna institución está por encima del ordenamiento que aplica a los demás

Ninguna institución pública, puede operar al margen del ordenamiento jurídico que está llamada precisamente a hacer cumplir. La paradoja es tan llamativa como insostenible: la Guardia Civil exige a sus propios miembros un cumplimiento milimétrico de las normas sobre acceso a datos, con expedientes que se abren en días y sanciones que se miden en meses de suspensión, mientras que la propia cúpula omite durante años obligaciones de protección de datos de primer orden sin consecuencia inmediata alguna.

La LO 7/2021 establece para las Administraciones Públicas un régimen específico: por ser la DGGC una institución pública, la sanción no adopta la forma de multa económica, sino de declaración de infracción con obligación de adoptar medidas correctivas. Eso es exactamente lo que ha hecho la AEPD. Pero esa limitación del sistema no convierte la infracción en menos grave; simplemente pone de relieve una asimetría estructural que no favorece la rendición de cuentas institucional y que exige una respuesta firme desde la representación del personal.

El plazo para la EIPD ya ha vencido

La resolución de la AEPD ordenó a la DGGC realizar la Evaluación de Impacto en Protección de Datos en el plazo máximo de seis meses a contar desde la ejecutividad de la resolución. La resolución es de julio de 2025. Ese plazo ha expirado. La AUGC exige conocer públicamente si la DGGC ha cumplido con esa obligación, en qué fecha se realizó la EIPD, quién la elaboró y si ha sido comunicada a la AEPD en los términos ordenados. La resolución es pública y su cumplimiento no es opcional. El incumplimiento de una orden de adopción de medidas impuesta por la AEPD en resolución sancionadora puede constituir, a su vez, una nueva infracción administrativa.

Esta resolución no habría sido posible sin el trabajo de Javier Cancelas, miembro de la AUGC y referente de la asociación en materia de protección de datos. Fue precisamente su conocimiento especializado el que permitió identificar las irregularidades en el despliegue de las PEI y articular una denuncia técnicamente sólida ante la AEPD. No es casualidad: Cancelas ya había alertado sobre estos riesgos hace dos años, en el marco de una conferencia de Europol sobre protección de datos en las fuerzas y cuerpos de seguridad, donde expuso con precisión las implicaciones jurídicas del uso de videocámaras asociadas a armamento policial. La AEPD le ha dado la razón ahora.


Lo que seguiremos haciendo

La AUGC continuará ejerciendo su labor de vigilancia y denuncia cuando la Dirección General de la Guardia Civil incumpla las normas que rigen el tratamiento de datos de ciudadanos y agentes. No porque sea una posición cómoda, sino porque es la única coherente: exigir que la institución respete a quienes sirve implica también exigirle que respete el marco legal que todos estamos obligados a cumplir, empezando por quienes tienen el poder de hacerlo cumplir a los demás.