La Agencia Española de Protección de Datos (AEPD) ha reprendido al Ayuntamiento de Torrox (Málaga, municipio de 19.000 habitantes) por unas fotos que hicieron sus agentes de Policía Local a un DNI. La Agencia ha recordado al Ayuntamiento de Torrox que con ello infringió dos artículos del Reglamento General de Protección de Datos. Por un lado, el 5.1.c), que establece que los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, y, por otro lado, el artículo 32, que habla sobre la seguridad del tratamiento.
Todo comenzó cuando una mujer decidió presentar una reclamación ante la AEPD por un incidente ocurrido con la Policía Local. Según explicó, los agentes suelen fotografiar con sus móviles el DNI, algo que también hicieron con el suyo. Ella les pidió que no lo hicieran y le contestaron que iban a tapar la foto. «Lo peor es que yo fui quien los llamé por un problema y ellos lo que hicieron fue tratarme como si hubiera sido la denunciada», comentó la afectada en la reclamación.
Así las cosas, la AEPD pidió explicaciones el ayuntamiento. Un mes después remitieron un informe del jefe de la Policía Local en el que decía que las Fuerzas y Cuerpos de Seguridad estaban autorizadas para solicitar o tomar los datos de las personas con motivo de sus intervenciones. La Policía Local también informó que no disponían de un protocolo de actuación relativo al uso de documentos personales en las identificaciones, las fotografías se hacían con consentimiento del titular. Y, si no lo tenían, tapaban la foto. Asimismo, explicaron que se fotografió el documento por «una cuestión de ahorro de tiempo en la intervención y precisión en la toma de datos».
Pero tal y como explicó la AEPD al Ayuntamiento de Torrox, las Fuerzas y Cuerpos de Seguridad pueden tomar datos de ciudadanos, pero deben hacerlo siempre con respeto a lo establecido en el Reglamento General de Protección de Datos. Y, en este caso, esa recogida de datos podría haberse alcanzado por otros medios menos invasivos. Por ejemplo, con la mera exhibición al agente del DNI y la toma de los datos por parte de aquel.
De otra parte, sigue diciendo la AEPD: el ahorro de tiempo que alegó el ayuntamiento «no justifica el tratamiento adicional de los datos, más aún cuando ni siquiera las fotografías fueron eliminadas de los archivos una vez cumplido el objetivo». Se mantuvieron 3 meses en la base de datos sin haber explicado el motivo por el cual la habían conservado.
Además, AEPD señaló que las fotografías se tomaban tanto con teléfonos corporativos como personales. Y la toma de datos debe hacerse siempre con métodos que garanticen la seguridad y la confidencialidad de los ciudadanos. Los teléfonos móviles particulares de los agentes quedan fuera del control del responsable del tratamiento, que no puede tomar decisiones relacionadas con la seguridad del dispositivo, entre ellas, la instalación de programas y aplicaciones y sus actualizaciones. Además, la AEPD recordó que pueden perderse, comenta la resolución que se dio a conocer a través de Caty Pou, asesora jurídica de la Universidad de las Islas Baleares.
La AEPD ha dado un plazo de 6 meses al Ayuntamiento para suprimir las fotografías del DNI de la reclamante y establecer las medidas adecuadas para cumplir con el RGPD, para que no vuelva a darse esta situación.