El ‘caso Villarejo’ destapa la vulnerabilidad de las bases de datos de la Policía

Los informes policiales sobre las actividades del comisario José Manuel Villarejo revelan que tuvo acceso a información sensible de las bases de datos de Interior incluso tras jubilarse en junio de 2016. En el llamado Proyecto Pintor —en el que Villarejo recabó información de un empresario y un abogado con el supuesto fin de extorsionarlos—, los investigadores han descubierto 121 consultas a la base Sidenpol (que recoge las denuncias en comisarías) y a la aplicación Argos (que engloba varias bases) para recabar datos de ambos.

La Operación Tándem ha revelado que dos policías —un subinspector destinado en la lucha antiterrorista y un agente de Seguridad Ciudadana de Granada— ayudaron presuntamente a Villarejo a conseguir información sin ser descubiertos hasta que Asuntos Internos analizó la documentación intervenida al comisario jubilado. Los dos agentes han sido imputados y declararán mañana en la Audiencia Nacional. Otro policía imputado, el comisario Enrique García Castaño, ya admitió ante el juez que facilitó información sensible sin control judicial a su compañero durante años, aunque se escudó en que sus superiores le dieron instrucciones para hacerlo.

Interior tiene decenas de bases de datos, la mayor parte de carácter administrativo. Un puñado de ellas requieren medidas de control “alto”, según la clasificación de la Agencia de Protección Datos, que distingue tres grados de seguridad en función de la información que recojan. Ese nivel alto exige, por ejemplo, guardar la identidad del usuario, la fecha y hora en que realizó la consulta y el fichero visitado durante un mínimo de dos años.

Fuentes de la Dirección General de la Policía insisten en que en el caso de los ficheros policiales más sensibles —como Sidenpol o la aplicación Argos, los supuestamente empleados por la trama de Villarejo— se respeta escrupulosamente ese protocolo de seguridad. Cada funcionario debe introducir en el ordenador desde el que hace la consulta su carné profesional con chip identificativo y una contraseña. Todas las búsquedas quedan registradas.

“En función de su destino y de la categoría, el agente tendrá acceso a más o menos información”, señala un portavoz oficial, que ejemplifica que “no es lo mismo un policía que trabaja en un coche patrulla que los responsables de la lucha antiterrorista”. La Policía destaca que cuenta con una aplicación llamada Caupol que le permite auditar el uso que se hace de esas consultas, aunque admite que estas pesquisas se realizan siempre tras recibir una queja o una denuncia, nunca con carácter prospectivo.

A todos los agentes que entran en una de estas bases les aparece en la pantalla del ordenador el mismo mensaje: “El acceso a la información contenida en los ficheros de datos de carácter personal solo se justifica para la realización de actividades profesionales”. Sin embargo, no faltan los casos de uso claramente ilegal. Recientemente, un policía destinado en Alcalá de Henares (Madrid) fue condenado a tres años de prisión por usar las bases de datos policiales para espiar a su expareja. En 2012, fueron investigados varios agentes por su implicación en una red que traficaba con datos para facilitárselos a detectives y abogados. Esta trama fue desmantelada en la Operación Pitiusa. En 2014, Instituciones Penitenciarias tuvo que retirar del llamado Sistema de Identificación Automatizado las fotos de sus reclusos más mediáticos después de que se filtrara a la prensa la de Luis Bárcenas.

Millones de consultas

“El sistema es bueno, pero no perfecto”, reconoce Ramón Cosío, portavoz del Sindicato Unificado de Policía (SUP), el más representativo del cuerpo. Para Cosío, resulta “imposible” auditar todas las consultas que se hacen para descubrir las irregularidades. “Son miles de agentes haciendo millones de consultas todos los años”, precisa. Y recalca que intentar poner más filtros “puede ralentizar las investigaciones y eso sería más perjudicial”.

En el mismo sentido habla Adolfo Medina, del Sindicato Profesional de Policía (SPP), de la escala de mando: “No se puede limitar más el acceso a las bases de datos sin que se vea afectada la operatividad de la policía”. Para Medina, “el 99,9% de las consultas están justificadas”, pero admite que siempre hay quienes “abusan”. Este policía recuerda que cuando fue detenida la cantante Isabel Pantoja y se publicaron en prensa las fotos de su ficha policial, Interior abrió una investigación para comprobar quién la había consultado. Fueron identificados más de 100 agentes que lo habían hecho sin justificación.

Samuel Parra, jurista experto en protección de datos, reclama “controles preventivos y disuasorios, no a posteriori, cuando ya se ha cometido la intromisión”. Parra pide auditorias periódicas para comprobar “en qué comisarías se hace un número de consultas superior a la media. La tecnología permite que el sistema lance alertas cuando esto se produzca”. Este jurista asegura que cuando se actuó de este modo con el llamado Punto Neutro Judicial (una base de datos que permite a los órganos judiciales acceder a información detallada de los ciudadanos) se constató un elevado porcentaje de consultas no justificadas. Justicia difundió en 2009 una circular interna para recordar la confidencialidad de los datos allí contenidos.

Artemi Rallo, exdirector de la Agencia de Protección de Datos y hoy diputado del PSOE, considera que los actuales sistemas de control de acceso cumplen “todas las medidas de seguridad exigibles”. En su opinión, la solución es “ir un paso más allá” y “hacer auditorías y muestreos periódicos. Es imposible verificar y controlar todas las consultas”. No obstante, Ralló considera necesario “sacar conclusiones del caso Villarejo para reforzar los mecanismos de control en estas bases con información sensible”.