Protección de Datos se echa a un lado con Pegasus: el CNI está 'blindado' por ley

La Agencia Española de Protección de Datos (AEPD) no tiene potestad para investigar el posible espionaje por parte del CNI a líderes del procés, como Carles Puigdemont u Oriol Junqueras, a través del software Pegasus.

Este programa israelí instala en el móvil de la persona a espiar una aplicación mediante un enlace que el usuario del teléfono recibe vía SMS y que abre pensando que es confiable. Desde ese momento Pegasus puede acceder al contenido del equipo, así como activar o desactivar componentes del dispositivo como la cámara o el micrófono. Pegasus también puede acceder al teléfono a través de fallos de seguridad presentes en aplicaciones previamente instaladas o por fallos del propio dispositivo.

La Agencia Española de Protección de Datos es el organismo encargado de velar por el buen tratamiento de los datos de los españoles a través del cumplimiento del Reglamento General de Protección de Datos, la Directiva europea que establece la forma en que debe tratarse la información personalen el viejo continente.

De esta forma, la AEPD es quien entra a investigar sucesos que han podido comprometer el correcto tratamiento de datos personales. Lo hace básicamente de dos maneras. De oficio, por decisión propia, o tras recibir una denuncia o reclamación de un tercero. En este último caso, la AEPD tiene la potestad de decidir si inicia o no un proceso de investigación en base a los supuestos y pruebas presentadas por el reclamante. Sin embargo, esta vez, y pese a que el espionaje a los líderes del procés vulneraría la ley según fuentes especializadas consultadas por este diario, Protección de Datos no investigará.

Vozpópuli ha preguntado a este organismo acerca de este extremo, desde donde aseguran que "la Ley Orgánica de Protección de Datos y garantía de los derechos digitales, en su artículo 2, excluye de su aplicación a los tratamientos sometidos a la normativa sobre protección de materias clasificadas, una exclusión recogida porque así lo contempla el Reglamento en el margen que deja a los Estados en sus respectivas legislaciones nacionales".

El EDPS (European Data Protection Supervisor), el supervisor europeo de Protección de Datos, se pronunció hace unos días al respecto del software espía Pegasus como el que habría usado el CNI. Esto pone a Protección de Datos entre la espada y la pared

Determinar si el CNI actuó con amparo legal

"Es un caso muy político y resulta raro pensar que la Agencia Española de Protección de Datos vaya a entrar a investigar algo que afecta al CNI, al Gobierno, cuando hablamos de un órgano, la AEPD, dependiente en gran medida del Ejecutivo a través del Ministerio de Justicia. En el caso de que alguno de los líderes del procés presente una denuncia, Protección de Datos podría escudarse en que se trata de un suceso que ha prescrito al haber pasado ya más de tres años [si se confirma este extremo] de los hechos", explican fuentes cercanas a la Agencia Española de Protección de Datos a este diario.

Otras fuentes del sector de la abogacía explican que "técnicamente la ley no se aplica a tratamientos sometidos a normativa sobre protección de materias clasificadas, pero no queda claro que este tratamiento lo sea. Por poder, la AEPD puede investigar ya que hay que determinar si el CNI actuó con amparo legal o no".

Según las últimas informaciones publicadas, el CNI habría pagado más de seis millones de euros por el software espía Pegasus. Se sirve en dos modalidades: en propiedad o en servicio. En el primer caso el usuario de Pegasus es quien tiene acceso directo a la información de los equipos infectados. En el segundo formato de contratación, es la empresa israelí quien recoge la información de los dispositivos y la envía al cliente.

La 'AEPD' europea se pronuncia sobre Pegasus

El EDPS (European Data Protection Supervisor), el supervisor europeo de Protección de Datos -equivalente a la AEPD en España-, se pronunció hace unos días respecto al uso del software espía Pegasus.

"El uso de Pegasus supone un nivel de intrusismo sin precedentes, que amenaza la esencia del derecho a la privacidad, en tanto en cuanto el software espía puede interferir con los aspectos más íntimos de nuestras vidas diarias". Se trata de un análisis que coloca a la Agencia Española de Protección de Datos entre la espada y la pared dado que es el organismo de referencia para todos los países de la UE. La situación para la AEPD es complicada porque, como se ha explicado anteriormente, se trata de un organismo público y con marcado carácter político.

La AEPD atraviesa además un momento delicado en lo que a su presidencia se refiere. PSOE y PP pactaron un nuevo presidente y adjunto a la presidencia pero el procedimiento por el que se rigieron para nombrarlos ha sido tumbado por el Congreso por no ajustarse a lo que marca la ley. Un nombramiento que se demora desde aproximadamente un año y medio.