Tanto por la información que quedó en el aire, como por lo especialmente delicado del caso, la Operación Carioca que se desarrolla en Lugo alrededor de un entramado de burdeles y presunta corrupción, la desaparición en noviembre de 2009 de varios archivos informáticos con las diligencias previas encendió todas las alarmas. El juzgado de Instrucción número 1 de la ciudad, encargado de las investigaciones, sospechó de la intencionalidad, de que alguien había borrado el expediente a propósito, y puso el asunto en manos de la Agencia Española de Protección de Datos (AEPD). La resolución que acaba de emitir el organismo no puede ser más crítica, con una sanción grave contra la Xunta, como responsable del sistema y de su vigilancia, ante "la escasa seguridad" acreditada en el tratamiento de la información con "este grave incidente".
Como un buen thriller, todo ocurrió a las doce de la noche del 6 de noviembre de hace dos años durante, precisamente, una de las declaraciones de la operación. Fue imposible entrar en el documento ni a ningún otro procedimiento penal de diligencias previas, a los que sí se pudo acceder dos días después. Con la excepción del expediente concreto de la Operación Carioca, que se recuperó más adelante gracias a una copia de seguridad. Los efectivos de la Secretaría Xeral de Modernización e Innovación Tecnolóxica de la Consellería de Presidencia achacaron en un primer momento el problema a "una inconsistencia en la información almacenada" por la coincidencia a esas horas con un "barrido" en el sistema, el Minerva, de uso en todos los juzgados españoles. El registro de accesos no estaba operativo en aquel momento, con lo que era imposible identificar los últimos usuarios en conectarse al procedimiento.
Ésa fue una de las carencias detectadas por los inspectores de la agencia, junto con la existencia de más códigos de usuarios "de los necesarios", la inexistencia de una auditoría interna y externa, la operatividad de los dispositivos de entrada y salida de los equipos informáticos o la falta de procedimientos para la destrucción de soportes y documentación que contenga datos de carácter personal. "La Xunta de Galicia no ha proporcionado al juzgado ninguna norma en el sentido de que a una determinada hora no puedan trabajar en el sistema de información Minerva para poder realizar procesos de administración del sistema o del aplicativo como copias de seguridad o liberación de recursos y usuarios", critica el organismo.
"A pesar de la normativa y acuerdos tomados, de los hechos probados en este procedimiento, se deduce que la Xunta, en su calidad de responsable del tratamiento –continúa la resolución de la AEPD–, debió adoptar las medidas necesarias para impedir, de forma efectiva, los fallos acreditados de medidas de seguridad que se pusieron de manifiesto a raíz de la incidencia producida en el Juzgado de Instrucción número 1 de Lugo". La agencia recuerda la "necesidad de especial diligencia en la custodia de la documentación" en virtud de una sentencia de la Audiencia Nacional ante una situación parecida, que destaca la obligación de dar "una explicación adecuada y razonable de cómo los datos han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros" y que considera "insuficiente" la adopción de medidas, "pues es también responsable de que las mismas se cumplan y se ejecuten con rigor".
Así que la AEPD sostiene que, además de "otras posibles graves infracciones" en las medidas de seguridad, la Xunta incurrió en "una infracción grave" del artículo 44 de la Ley Orgánica de Protección de Datos. Concretamente, del punto tres, que obliga a "mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen". Al tratarse de una administración pública, la sanción no es económica, pero sí pública, con un requerimiento a Presidencia para que arregle el problema y la comunicación al Defensor del Pueblo.
