L'Agència Espanyola de Protecció de Dades ha sancionat la Direcció General de la Guàrdia Civil pel desplegament de pistoles elèctriques incapacitants amb càmeres de vídeo integrades sense complir, de manera prèvia, diverses obligacions en matèria de protecció de dades. La resolució, signada el 8 de juliol de 2025, aprecia dues infraccions de la Llei Orgànica 7/2021 en relació amb l'avaluació d'impacte i amb el registre d'activitats de tractament.
L'expedient es va obrir després de la denúncia presentada al setembre de 2023 per l'Associació Unificada de Guàrdies Civils, que després va ser ampliada en quatre ocasions amb documentació, fets concrets i argumentació jurídica. Al maig de 2024 es va incorporar a més un incident de gravació involuntària en una dependència oficial, acompanyat de documentació acreditativa.
"La DGGC ha infringit la Llei Orgànica 7/2021, de protecció de dades per a finalitats policials i penals, en dos preceptes diferents" - Presidència de l'AEPD
L'Agència veu obligatòria l'avaluació d'impacte
La primera infracció declarada afecta a l'Avaluació d'Impacte en Protecció de Dades, regulada en l'article 35 de la Llei Orgànica 7/2021. L'AEPD sosté que el tractament vinculat a les PEI reunia diversos criteris que feien obligatòria aquesta avaluació abans del seu desplegament.
Entre aquests elements hi figuren l'ús d'una tecnologia nova en l'àmbit policial, el tractament de dades vinculables a infraccions penals, la possible captació de dades de salut, la implantació a escala nacional amb afectació a unitats de totes les províncies i el risc de gravar persones en situació de vulnerabilitat, com menors, persones amb discapacitat o víctimes de violència de gènere.
La resolució conclou que la DGGC no va realitzar l'avaluació d'impacte ni abans del desplegament ni durant els dos anys que va durar la investigació. La Guàrdia Civil va al·legar que aquest tràmit no era necessari per derivar d'una obligació legal, un argument que l'Agència va rebutjar en recordar que la llista de tractaments exempts exigeix com a condició que ja existeixi una avaluació d'impacte completa.
El registre no reflectia els terminis reals de conservació
La segona infracció assenyalada per l'AEPD es refereix al Registre d'Activitats de Tractament, en el marc de l'article 32 de la mateixa llei. Aquest precepte es vincula a infraccions greus conforme a l'article 59.
En la resolució es recull que el registre publicat pel Ministeri de l'Interior per al tractament de les PEI fixava un únic termini de conservació d'un mes. No obstant això, l'Agència descriu que els enregistraments vinculats a investigacions policials o a procediments judicials o administratius oberts es conserven durant períodes superiors. Aquesta diferència entre el declarat i la pràctica real forma part dels retrets inclosos en l'expedient.
El cas posa el focus en un desplegament que, segons la denúncia, es va perllongar durant més de dos anys sense avaluació d'impacte i amb un registre de transparència que informava de terminis de conservació diferents dels aplicats a la pràctica.
La ordre de corregir la situació ja hauria vençut
La resolució sancionadora va ordenar a la DGGC realitzar l'Avaluació d'Impacte en Protecció de Dades en un termini màxim de sis mesos des de l'executivitat de la resolució. En tractar-se d'una decisió de juliol de 2025, aquest termini màxim hauria expirat.
L'AUGC reclama ara que s'aclareixi públicament si la Direcció General de la Guàrdia Civil ha complert amb aquesta obligació, en quina data es va realitzar l'avaluació, qui la va elaborar i si va ser comunicada a l'AEPD en els termes exigits. La pròpia informació de l'expedient recorda que l'incompliment d'una ordre de mesures imposada en una resolució sancionadora pot constituir una nova infracció administrativa.
Les explicacions donades durant la investigació
Durant la tramitació, la DGGC va mantenir que l'avaluació no era necessària i va arribar a justificar aquesta posició pel caràcter "costós" del procés i per un suposat "principi d'economia de mitjans". L'AEPD no va acceptar aquesta tesi. Quan la discussió normativa es va estrènyer, la Direcció General va oferir realitzar l'avaluació en el futur si l'Agència així ho indicava.
La denúncia va ser impulsada per l'AUGC i el treball tècnic que va permetre detectar les suposades irregularitats en el desplegament de les PEI i articular l'actuació davant l'Agència s'atribueix a Javier Cancelas, membre de l'associació i referent en protecció de dades. A dia d'avui, la qüestió segueix centrada en si la Guàrdia Civil ha executat ja la mesura correctora ordenada per l'autoritat estatal de protecció de dades.