Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

¿Destruir o conservar datos? La Fiscalía no tiene protocolos

Como abogado, confieso que me gusta seguir los juicios mediáticos. Muchos superan en dramatismo a cualquier película de Hollywood. Un ejemplo destacado es el juicio contra el fiscal general del Estado. Un caso con giros inesperados, declaraciones sorprendentes y un trasfondo político que complica aún más la trama.

Entre las declaraciones realizadas en el acto de juicio, destaca la del delegado de protección de datos de la Fiscalía:

El Sr. Hidalgo declaró que el fiscal general tenía la «facultad» de destruir los dispositivos electrónicos en desuso por motivos de seguridad. Una «facultad» implica discrecionalidad, dado que se trata de un poder ejercido a voluntad del usuario, y no una imposición protocolaria obligatoria, en cuyo caso emplearía el término «deber».

El Sr. Hidalgo planteó que el borrado completo de la información contenida en los dispositivos que están en desuso «previene brechas de seguridad» y se alinea con el principio de minimización de datos personales, pero lo enmarcó en la responsabilidad individual de cada fiscal como custodio de la información, ya que no existe un mandato expreso (protocolo) que ordene destruir esa información.

La defensa del fiscal general sostuvo que el borrado completo de la información del dispositivo móvil —el 16 de octubre de 2024, el mismo día en que el Tribunal Supremo acordó abrir la causa contra él por revelación de secretos— no fue un intento deliberado de destruir pruebas, sino una rutina de seguridad, avalada por el delegado de protección de datos.

Pronunciamiento del Tribunal Supremo

Desde el punto de vista de la seguridad de la información, el Tribunal Supremo en la sentencia que condena a García Ortíz por un delito de revelación de datos reservados, tipificado en el artículo 417.1 del Código Penal, advierte: «La Sala no puede aceptar como argumento explicativo de la destrucción de los mensajes enviados y recibidos por el Sr. García Ortiz que ese borrado obedeciera a una exigencia legal. No existe disposición alguna que obligue al Fiscal General del Estado a dejar en blanco, de cuando en cuando, toda, absolutamente toda, la información almacenada con ocasión del ejercicio de su cargo».

Dada la fuga de datos personales, en forma de filtración a los medios de prensa, el tribunal destaca como un hecho «significativo que, desde cualquiera de las unidades orgánicas que forman parte de la estructura de la Fiscalía General del Estado –Inspección, Unidad de Apoyo y Delegado de Protección de Datos– no se activara expediente alguno con el fin de conocer el origen de la divulgación pública de dos correos electrónicos que formaban parte de un expediente oficial y que están en el origen de la presente causa». Para el tribunal, «habría bastado con acreditar que D. Agustín Hidalgo, delegado de protección de datos, activó algún tipo de expediente o elemental indagación para determinar y, a partir de entonces corregir, esa fuga de datos personales que estaba sirviendo de apoyo a noticias que condicionaron el debate político en aquellos días».

También advierte que «no resulta coherente que una persona celosa de la observancia de la seguridad de sus datos y de evitar fugas de información, inste de sus subordinados la remisión de sus correos a su cuenta personal en Gmail en lugar de a la corporativa institucional de Outlook. La única explicación que ofreció al respecto es la de su mayor comodidad y facilidad de manejo, y es evidente que ambas cuentas pueden utilizarse sin dificultad en los dispositivos móviles».

Un hecho llamativo son los cinco cambios de teléfono móvil, en poco más de tres años de mandato, por parte de García Ortiz, supuestamente para salvaguardar la información que manejaba, aunque existen medidas de seguridad que permiten prolongar la vida útil de los dispositivos electrónicos sin poner en riesgo la información que contienen, por ejemplo:

  • Cifrado completo del dispositivo utilizando herramientas como BitLocker, FileVault, LUKS o los estándares certificados FIPS 140-2/3.
  • Gestión centralizada mediante MDM (Mobile Device Management) con capacidades de borrado remoto verificado.
  • Políticas de contenedorización que separan los datos personales de los oficiales, y los datos confidenciales de los no confidenciales.
  • Uso de autenticación multifactorial (MFA) que combina contraseñas, biometría y códigos adicionales para acceso seguro.
  • Instalación y mantenimiento de software antivirus y antispyware específico para dispositivos móviles.
  • Gestión remota eficiente para bloqueo o borrado en caso de pérdida o robo.
  • Actualizaciones automáticas y parches de seguridad forzosos.

Es inaceptable que la Fiscalía del Estado carezca de un protocolo o procedimiento normalizado, auditado y trazable para la gestión, borrado y destrucción de soportes que hayan contenido información reservada o clasificada. Que cada fiscal decida por su cuenta y riesgo si borra o destruye la información contenida en sus dispositivos genera inseguridad jurídica y riesgo sistémico. 

Conclusión

Este caso ha puesto en evidencia las carencias que tiene la Fiscalía del Estado en materia de protección de datos personales. Esperemos que tomen buena nota y lo corrijan pronto. 

No se pierda nuestro podcast sobre el artículo

 

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es