Especialmente referida a la posible difusión datos protegidos de interés policial
Este es el texto íntegro de la carta que ha sido enviada a esta redacción
La Sección Sindical del Sindicato CSI-F, representada en este acto por su Delegado Don Miguel Ángel Guillamón Naches, con domicilio a efectos del presente en la calle xxxxxxxxx y provisto del N.I.F.xxxxxx, ante las personas y órganos municipales identificados en el encabezamiento comparece y dice:
Como hemos dicho y ahora reiteramos, esta Sección Sindical ha intentado desde hace tiempo, no solamente la reivindicación y defensa de los intereses laborales del empleado público, sino también la mejora en la prestación del servicio de seguridad, realizando para ello todo tipo de propuestas y sugerencias, que ni siquiera han sido objeto de contestación por parte de este Ayuntamiento, o en algunos casos contestación por parte de algún empleado público de manera notoriamente no ajustada a Derecho.
A fecha de hoy y referido al tema del presente escrito, tenemos los siguientes datos, algunos sin confirmar:
El lunes 29 de Marzo se producen cortes alternativos en los accesos a ordenadores, cámaras de seguridad, base de datos etc en la Policía Local de Castellón, que de una manera limitada, se corrigen temporalmente.
El martes 30 de Marzo, se produce el corte global de todo acceso informático incluyendo teléfonos, bases de datos, alarmas, ordenadores etc.
En primeras comparecencias públicas, autoridades municipales y acompañadas de empleados públicos con conocimiento (real o teórico del tema), indican que se trata de un ataque informático que ha encriptado todos los archivos municipales, con exigencia de un rescate, pero que no han podido acceder a ningún dato protegido. Se ha interpuesto denuncia ante el CNP.
Posteriormente se indica como una heroicidad prácticamente, que no va a cederse al chantaje (cosa además que no podría hacer, pues una Administración Pública no puede dedicar fondos presupuestarios para este tipo de actividad ilícita) y que los técnicos municipales junto a otras empresas estatales y dos empresas privadas especializadas, están trabajando arduamente en el tema.
Se tiene noticias de ampliaciones de denuncias ante el CNP, y veladas amenazas respecto al ilícito que comete quien filtre datos protegidos o secretos ¿no se había dicho que no se produce filtración alguna? Se conoce que al menos 119 gigas se han filtrado en internet, ignoramos si en total o como primera filtración.
En prensa digital, incluido capturas de pantallas, se denuncia la publicación en la deep web de numerosa información confidencial relativa a funcionarios y ciudadanos, como “datos personales de agentes de la Policía Local, datos completos de víctimas y denunciantes de violencia de género, atestados policiales, datos de ciudadanos sometidos a controles de drogas, datos de menores con absentismo escolar, contraseñas de servidores del ayuntamiento y cámaras de seguridad, nóminas del ayuntamiento, historial de intervenciones de asistencia sanitaria, correos internos del consistorio o fotografías de ciudadanos heridos o fallecidos en accidentes de circulación.
En las informaciones se asegura que, según expertos en ciberseguridad, el material filtrado y volcado en la deep web con toda la información robada, podría ser utilizado para la comisión de delitos de gran gravedad, desde chantajes a la apertura de cuentas bancarias.
Al parecer, y siempre según esas noticias periodísticas los datos filtrados de casi 120 gigas han estado en Deep Web durante cinco días, y ha habido unos 2.500 accesos.
Por su interés reiteramos lo dicho en una recientísima sentencia de nuestro TS siendo ponente el Excmo. Sr. Don Miguel Colmenero Menéndez de Luarca, que con toda seguridad es conocida por los responsables policiales:
1. El artículo 197.2 CP sancionaba con la pena de 1 a 4 años y multa de 12 a 24 meses a quien, sin estar autorizado, acceda por cualquier medio a datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado, y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.
El bien jurídico protegido es la libertad o privacidad informática de los individuos proyectada sobre los datos personales. En este sentido, señalábamos en la sentencia núm. 586/2016, que el bien jurídico objeto de protección no es la intimidad, entendida en el sentido que proclama el artículo 18.1 de la Constitución Española, sino la autodeterminación informática a que se refiere el artículo 18.4 del texto constitucional, ( STS nº 221/2019, de 29 de abril). En el mismo sentido, se decía en la STS nº 532/2015, de 23 de setiembre, que » lo que se protege en este apartado segundo es la libertad informática entendida como derecho del ciudadano a controlar la información personal y familiar que se encuentra recogida en ficheros de datos, lo que constituye una dimensión positiva de la intimidad que constituye el bien jurídico protegido».
Por datos de carácter personal ha de entenderse toda información sobre una persona física identificada o identificable, tal como se desprende del artículo 4.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/ CE (Reglamento general de protección de datos (RGPD), de aplicación directa en toda la Unión Europea a partir del 25 de mayo de 2018.
El considerando primero de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril, reconoce que la protección de las personas físicas en relación con el tratamiento de los datos de carácter personal es un derecho fundamental, citando el artículo 8 de la Carta de Derechos Fundamentales de la UE y el artículo 16 del TFUE. Y en su artículo 2 dispone que los Estados miembros deberán proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
Por otro lado, datos de carácter reservado son aquellos que no son susceptibles de ser conocidos por cualquiera ( STS nº 1328/2009, de 30 de diciembre). Como hemos señalado en la STS nº 532/2015, de 23 de setiembre, reservados son «secretos» o «no públicos», parificándose de este modo el concepto con el art. 197.1 CP. Secreto será lo desconocido u oculto, refiriéndose a todo conocimiento reservado que el sujeto activo no conozca o no esté seguro de conocer y que el sujeto pasivo no desea que se conozca.
No es relevante el contenido concreto de los datos, pues la protección se extiende a todos los que se encuentren en los ficheros o archivos a los que se hace referencia, siempre que sean de carácter personal o familiar.
La cuestión relativa a si la modalidad de acceso requiere también que se realice «en perjuicio» del titular o de un tercero, al igual que ocurre con la alteración y la utilización, ha sido respondida afirmativamente por esta Sala. En la STS nº 221/2019, antes citada, se recordaba en este sentido que » conforme a la jurisprudencia mayoritaria de esta Sala, es necesario hacer una interpretación sistemática del precepto entendiendo que el acceso debe realizarse en perjuicio del titular de los datos. De esta forma, en la sentencia núm. 1328/2009, de 30 de diciembre, señalábamos con relación a las conductas tipificadas en el art. 197.2 del Código Penal que «es necesario realizar una interpretación integradora en el sentido de que como en el inciso primero, se castigan idénticos comportamientos objetivos que el inciso 2º (apodere, utilice, modifique) no tendría sentido de que en el mero acceso no se exija perjuicio alguno y en conductas que precisan ese previo acceso añadiendo otros comportamientos, se exija ese perjuicio, cuando tales conductas ya serian punibles -y con la misma pena- en el inciso segundo».
En esta sentencia que se acaba de citar se argumentaba también que cuando se trata de datos sensibles el perjuicio consiste en su mero conocimiento derivado del simple acceso. Se actúa así «en perjuicio» cuando se accede a los datos que merezcan esa calificación, sin que sea necesario un perjuicio añadido a ese mero conocimiento.
En este sentido, como datos sensibles pueden identificarse los que, en la redacción del precepto, justifican una especial protección y dan lugar a la agravación prevista en el apartado 6, actualmente 5, del artículo 197, es decir, los relativos a ideología, religión, creencias, salud, origen racial o vida sexual. En el artículo 9 de la actual LOPDP, Ley Orgánica 3/2018, de 5 de diciembre, se consideran una categoría espacial de datos los relativos a ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. Datos a los que ya se hacía referencia, junto con algunos otros, en el artículo 7 de la anterior Ley Orgánica de Protección de Datos, LO 15/1999.
Igualmente, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, diferencia entre datos personales y datos sensibles. Se refiere a estos últimos en los considerandos (51) y siguientes a los que atribuye especial protección debido a que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. En armonía con ello, en el artículo 9.1 indica que los datos sensibles merecen una protección especial, bien por su naturaleza o bien por su relación con los derechos y libertades fundamentales de las personas. De esta manera prohíbe su tratamiento con determinadas excepciones. Se trata de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física. ( STS nº 221/2019, de 29 de abril).
En los demás casos, el perjuicio pretendido debe justificarse suficientemente. En definitiva, » el mero acceso no integraría delito, salvo que se acreditara perjuicio para el titular de los datos o que este fuera ínsito, por la naturaleza de los descubiertos, como es el caso de los datos sensibles», ( STS nº 532/2015, antes citada).
El término «en perjuicio», según se refiere en la STS 40/2016, de 3 de febrero, informa la conducta de quien accede y de quien altera o utiliza, los datos protegidos. Pero, cuando no se trata de datos sensibles, debe estar integrado por una consecuencia negativa que suponga algo más que el efecto propio del mero acceso, o de cualquiera de las otras acciones típicas. Aunque en alguna sentencia se ha dicho ( STS nº 312/2019, de 17 de junio) que » el perjuicio se refiere al peligro de que los datos albergados en las bases de datos protegidas puedan llegar a ser conocidos por personas no autorizadas», esa posibilidad se produce en todo caso desde que se ha producido el acceso no autorizado y los datos afectados ya no permanecen solamente en el fichero donde se encontraban. Será necesario, pues, identificar alguna otra consecuencia negativa para el titular o para un tercero del hecho de que el autor haya accedido a aquellos, los haya alterado o los utilice.
En este sentido decíamos en la STS nº 234/1999, de 18 de febrero y en la STS nº 803/2017, de 11 de diciembre, que » Parece razonable que no todos los datos reservados de carácter personal o familiar puedan ser objeto del delito contra la libertad informática. Precisamente porque el delito se consuma tan pronto el sujeto activo «accede» a los datos, esto es, tan pronto los conoce y tiene a su disposición (pues sólo con eso se ha quebrantado la reserva que los cubre), es por lo que debe entenderse que la norma requiere la existencia de un perjuicio añadido para que la violación de la reserva integre el tipo».
Por otro lado, en la STS nº 319/2018, de 28 de junio, se señalaba que » Las sentencias de esta Sala generalmente no interpretan la expresión «en perjuicio» como un elemento subjetivo del injusto. Así lo acredita la sentencia 234/1999, de 17 de junio, en la que se argumenta que esta Sala no puede compartir que la expresión «en perjuicio de» supone la exigencia de un ánimo o especial intención de perjudicar al titular de los datos o a un tercero, aunque no deja de reconocer que la preposición «en» ha sido interpretada frecuentemente en dicho sentido. En el tipo que analizamos, sin embargo, situado inmediatamente después de otro – el del art. 197.1- en que el ánimo específico aparece indicado con la inequívoca preposición «para», el perjuicio producido por la acción tiene que estar naturalmente abarcado por el dolo, pero no tiene que ser el único ni el prioritario móvil de la acción. A esta conclusión debe conducir no sólo el argumento sistemático a que se acaba de aludir, sino la propia relevancia constitucional del bien jurídico lesionado por el delito, cuya protección penal no puede estar condicionada, so pena de verse convertida prácticamente en ilusoria, por la improbable hipótesis de que se acredite, en quien atente contra él, el deliberado y especial propósito de lesionarlo. Estamos pues -dice la sentencia 234/1999 – ante un delito doloso, pero no ante un delito de tendencia».
2. En el caso, se declara probado que el recurrente accedió a un fichero donde constan antecedentes policiales. La conducta no es irrelevante, no solo desde la perspectiva del respeto a las normas que regulan el acceso a esta clase de ficheros, en cuanto rechazan el acceso no autorizado, sino también en consideración a la necesaria protección de la intimidad, pues se trata de ficheros donde se almacenan y se tratan informáticamente numerosos datos que, generalmente, se refieren a aspectos de la privacidad de los ciudadanos que deben ser debidamente protegidos.
Pero lo que aquí se cuestiona es si los hechos son típicos desde la descripción contenida en el artículo 197.2 CP, en el que, como ya hemos dicho, se sanciona al que, sin estar autorizado, acceda por cualquier medio a datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado, y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.
Un sindicato actual no sólo debe hacer ver los inconvenientes, debe también proponer soluciones para que sean estudiadas por los responsables que correspondan, por todo ello en la representación que ostento, SOLICITO:
1º) Que se informe cual ha sido el fallo de seguridad (de existir) que ha propiciado el ataque informativo que ya lleva desde hace tres semanas.
2º) Que se indique que datos (en general por su carácter público) se han filtrado, si se trata de datos reservados, o de interés policial, o incluso personales.
3º) Que se indique desde que fecha este Ayuntamiento tiene conocimiento de la posible filtración producida, y cuantos gigas de información supone. Si los 120 gigas es toda la información sustraída o existe alguna más.
4º) Que se produzca un contacto personal con cuantos interesados, victimas etc hayan podido filtrarse datos (viogen, fotografías, detenciones, atestados, menores, cuentas corrientes, contraseñas, DNI, teléfonos, embargos…) comunicándoles los hechos a fin de que puedan adoptar cuantas medidas consideren oportunas.
5º) Que respecto a los servicios de emergencia se adopten las medidas provisionales que hemos dicho en anteriores escritos (otro acceso 112, ordenador con acceso a bases de interés policial, requisitorias etc) y varios ordenadores autónomos con acceso a internet e impresora para la labor diaria policial.
Creemos que la prioridad debe tenerla emergencias, policía local, bomberos… Es decir, todos sabemos que tener acceso a la web municipal para leer el saludo de la señora alcaldesa, o que la 26ª edición del Festival de Magia de Castelló llenará el Teatre del Raval, es importante, pero poder acceder a datos de requisitorias vivas, órdenes de alejamiento u órdenes de protección de victimas también debe serlo.
6º) Que se aproveche esta lamentable situación para, además de sacar enseñanzas futuras, no repetir errores pasados. Esta central sindical ha dicho una y otra vez que datos y servidores de interés policial no pueden estar de manera conjunta con la red municipal, que es necesario servidores independientes y autónomos, que la relación de vados o el padrón de rústica, no es lo mismo que la relación de víctimas de violencia de género, detenidos o menores que cometen ilícitos penales. Esperemos que ahora nos escuchen.
Como reiteramos y para todo lo que sea bueno para mejorar la Policía de Castellón, con hechos no con palabras, esta Sección Sindical está dispuesta a una colaboración completa y desinteresada.
La situación es grave, y no puede solucionarse indicando que se no se ha pagado el soborno, o que se trabaja mucho en arreglarlo (faltaría más…) hay que conocer que datos protegidos son públicos o pueden serlo, desde cuando se conoce por responsables políticos pues entristece tener que saberlo por un periódico digital, comunicar personalmente por quienes confiando con el ayuntamiento y la policía local se encuentran ahora con la desagradable noticia que datos personalísimos suyos, y que incluso pueden afectar a su seguridad pública han estado al acceso público, y así puedan adoptar las medidas que a su interés procedan, habilitar accesos autónomos para emergencias, y sacar conclusiones y enseñanzas futuras, iniciándose por servidores autónomos e independientes para la Policía Local, como por otro lado este sindicato está reclamando hace años.
En Castellón de la Plana a 18 de Abril de 2.021.
Fdo. POR LA SECCION SINDICAL CSI-F.
