El caso Villarejo se cobra una víctima más, en este caso la Dirección General de la Policía, que ha sido sancionada por la Agencia Española de Protección de Datos por no disponer de unas medidas de seguridad adecuadas en las bases de datos que fueron consultadas por dos agentes que ayudaban a Villarejo a conseguir información policial interna.
Durante la inspección de la AEPD, se pudo constatar que, aunque el acceso a las distintas bases de datos requerían la introducción de un nombre de usuario y una contraseña (forzando el sistema además a cambiarla periódicamente) y que se registraba cada acceso y cada recurso accedido, no se realizaban auditorías en los logs del sistema para detectar irregularidades en esos accesos.
Normativa Infringida
Este hecho, según constata la AEPD en su resolución, incumple el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (RDLOPD), concretamente el artículo 103.5, que establece que «el responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados».
Los inspectores de la AEPD advirtieron que no se estaban realizando este tipo de revisiones de los logs y es lo que motivó la apertura y finalmente la resolución de declaración de infracción de Administraciones Públicas por vulnerar el artículo 9 de la LOPD (seguridad de los datos) en relación con lo dispuesto en el artículo 103.5 del RDLOPD.
La Dirección General de Policía deberá remitir a la AEPD dos informes al mes (el doble de lo que estipula la norma) en los que dé cuenta de sus evaluaciones de seguridad en los logs de acceso a las bases de datos policiales y del Ministerio del Interior. Dichos informes, además, deberán estar firmados por el responsable del sistema y fechados.