La Agencia Española de Protección de Datos ha sancionado a la Dirección General de la Guardia Civil por el despliegue de pistolas eléctricas incapacitantes con videocámaras integradas sin cumplir, de forma previa, varias obligaciones en materia de protección de datos. La resolución, firmada el 8 de julio de 2025, aprecia dos infracciones de la Ley Orgánica 7/2021 en relación con la evaluación de impacto y con el registro de actividades de tratamiento.
El expediente se abrió tras la denuncia presentada en septiembre de 2023 por la Asociación Unificada de Guardias Civiles, que después fue ampliada en cuatro ocasiones con documentación, hechos concretos y argumentación jurídica. En mayo de 2024 se incorporó además un incidente de grabación involuntaria en una dependencia oficial, acompañado de documentación acreditativa.
"La DGGC ha infringido la Ley Orgánica 7/2021, de protección de datos para fines policiales y penales, en dos preceptos distintos" - Presidencia de la AEPD
La Agencia ve obligatoria la evaluación de impacto
La primera infracción declarada afecta a la Evaluación de Impacto en Protección de Datos, regulada en el artículo 35 de la Ley Orgánica 7/2021. La AEPD sostiene que el tratamiento vinculado a las PEI reunía varios criterios que hacían obligatoria esa evaluación antes de su despliegue.
Entre esos elementos figuran el uso de una tecnología nueva en el ámbito policial, el tratamiento de datos vinculables a infracciones penales, la posible captación de datos de salud, la implantación a escala nacional con afectación a unidades de todas las provincias y el riesgo de grabar a personas en situación de vulnerabilidad, como menores, personas con discapacidad o víctimas de violencia de género.
La resolución concluye que la DGGC no realizó la evaluación de impacto ni antes del despliegue ni durante los dos años que duró la investigación. La Guardia Civil alegó que ese trámite no era necesario por derivar de una obligación legal, un argumento que la Agencia rechazó al recordar que la lista de tratamientos eximidos exige como condición que exista ya una evaluación de impacto completa.
El registro no reflejaba los plazos reales de conservación
La segunda infracción señalada por la AEPD se refiere al Registro de Actividades de Tratamiento, en el marco del artículo 32 de la misma ley. Ese precepto se vincula a infracciones graves conforme al artículo 59.
En la resolución se recoge que el registro publicado por el Ministerio del Interior para el tratamiento de las PEI fijaba un único plazo de conservación de un mes. Sin embargo, la Agencia describe que las grabaciones vinculadas a investigaciones policiales o a procedimientos judiciales o administrativos abiertos se conservan durante periodos superiores. Esa diferencia entre lo declarado y la práctica real forma parte de los reproches incluidos en el expediente.
El caso pone el foco en un despliegue que, según la denuncia, se prolongó durante más de dos años sin evaluación de impacto y con un registro de transparencia que informaba de plazos de conservación distintos de los aplicados en la práctica.
La orden de corregir la situación ya habría vencido
La resolución sancionadora ordenó a la DGGC realizar la Evaluación de Impacto en Protección de Datos en un plazo máximo de seis meses desde la ejecutividad de la resolución. Al tratarse de una decisión de julio de 2025, ese plazo máximo habría expirado.
La AUGC reclama ahora que se aclare públicamente si la Dirección General de la Guardia Civil ha cumplido con esa obligación, en qué fecha se realizó la evaluación, quién la elaboró y si fue comunicada a la AEPD en los términos exigidos. La propia información del expediente recuerda que el incumplimiento de una orden de medidas impuesta en una resolución sancionadora puede constituir una nueva infracción administrativa.
Las explicaciones dadas durante la investigación
Durante la tramitación, la DGGC mantuvo que la evaluación no era necesaria y llegó a justificar esa posición por el carácter "costoso" del proceso y por un supuesto "principio de economía de medios". La AEPD no aceptó esa tesis. Cuando la discusión normativa se estrechó, la Dirección General ofreció realizar la evaluación en el futuro si la Agencia así lo indicaba.
La denuncia fue impulsada por la AUGC y el trabajo técnico que permitió detectar las supuestas irregularidades en el despliegue de las PEI y articular la actuación ante la Agencia se atribuye a Javier Cancelas, miembro de la asociación y referente en protección de datos. A día de hoy, la cuestión sigue centrada en si la Guardia Civil ha ejecutado ya la medida correctora ordenada por la autoridad estatal de protección de datos.