APUNTES JURISPRUDENCIALES SOBRE EL "HABEAS DATA"

El art. 197 del C. Penal sanciona el "descubrimiento y revelación de secretos", con una redacción que hace que constituya uno de los delitos informáticos por antonomasia: el hacking.

Con el mismo, que contiene hasta siete apartados, fruto de las diversas reformas legislativas que ha experimentado desde 1995, se tutela el derecho a la intimidad informática, sancionando penalmente a quienes acceden de modo indebido a datos propios de una persona y que se encuentran alojados en archivos informáticos- sin consentimiento de su titular.

En concreto, en el art.197.2  se castiga con penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses, a quien "sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero".
Como señalaba la Sala Segunda del Tribunal Supremo, en su Sentencia de fecha 03/02/2016, que el delito del art.197.2 del Código penal, el delito contra la libertad informática o "habeas data" es un delito que atenta a la intimidad de las personas mediante una conducta típica que va referida a la realización de un uso ilegítimo de los datos personales insertos en programas informáticos, electrónicos o telemáticos. 

Se trata de datos reservados que pertenecen al titular pero que no se encuentran en su ámbito de protección directo, directamente custodiados por el titular, sino inmersos en bases de datos, en archivos cuya custodia aparece especialmente protegida en orden a la autorización de su inclusión, supresión, fijación de plazos, cesión de información, etc, de acuerdo a la legislación de protección de datos, delimitando claramente la titularidad y manejo y cesión de la información contenida en los mismos (Vid. STS 1084/2010, de 9 de diciembre ).

Es decir, esta figura típica viene referida al tratamiento de datos propios de la intimidad de una persona guardadas en bases de datos no controladas por el titular del derecho, y, por consiguiente, sujeta a especiales normas de protección y de acceso que el autor quiebra para acceder. El carácter sensible de los datos a los que se accede incorpora el perjuicio típico.

En principio, todos los datos personales serían "sensibles" pues, como explicaba la Sentencia del Tribunal Supremo Núm. 532/2015, de 23 de septiembre, la Ley no distingue a la hora de darles protección y el tipo penal prevé una agravación (véase el art. 197.6 del C. Penal) para los supuestos en los que el objeto sea especialmente sensible, afectando a ideología, religión, creencias, origen racial o vida sexual.

Las distintas modalidades de acción implican una agresión a la custodia de los datos que aparece expresada con el término "sin estar autorizado" lo que entraña no sólo una un acceso no permitido a la información reservada, como el que pudiera realizar una persona ajena a la base de datos o al archivo que incluye lo datos especialmente protegidos, también un acceso realizado por un autorizado fuera del ámbito de la autorización y de ahí que, como indicaba la Sentencia del Tribunal Supremo Núm. 1328/2009, de 30 de diciembre, los verbos nucleares del tipo penal han de ser interpretados en el sentido amplio comprendiendo los supuestos en los que se copian datos dejando intactos los originales, bastando con captar, aprehender, el contenido de la información, sin ser precisa un apoderamiento material del dato.

Desde la perspectiva expuesta, la Audiencia Provincial de Pontevedra afirmaba, en Sentencia de fecha 15/03/2019 la modalidad de conducta consistente en el acceso inconsentido, requiere un perjuicio, porque así lo exige el tipo penal, "Iguales penas se impondrán a quien sin estar autorizado acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero". 

El término "en perjuicio" informa la conducta de quien accede y de quien altera o utiliza, los datos protegidos; además, y como argumentaba la Sala Segunda en Sentencia Núm. 234/1999, de 18 de febrero, sería ilógico incluir la exigencia de un perjuicio en las modalidades típicas que implican el previo acceso al dato.

La expresión del "perjuicio" no supone que el delito incorpore una finalidad económica. 

Se trata de un delito que supone el conocimiento y voluntad en la acción realizada actuando a sabiendas, en tanto que el "perjuicio"se refiere al peligro de que los datos albergados en las bases de datos protegidas puedan llegar a ser conocidos por personas no autorizadas.

El "perjuicio" se realiza cuando se apodera, utiliza, modifica o accede a un dato protegido con la intención de que su contenido salga del ámbito de privacidad en el que se incluyó en una base de datos, archivo, etc, especialmente protegido, ya que no es custodiado por su titular sino por titulares de las bases con especiales exigencias de conductas de protección. 

En este sentido, el Tribunal Supremo, en Sentencia de fecha 11/07/2001, refería que el "perjuicio" exigido viene referido a la invasión de la intimidad y no a la producción de un quebranto económico patrimonial concreto. 

En su Sentencia de fecha 30/12/2009, el Alto Tribunal destacaba que las conductas tienen que producirse sin estar autorizado para acceder, manipular o modificar el banco de datos y realizarse en perjuicio de tercero, tercero que puede ser distinto al titular de los datos produciéndose una triple implicación de sujetos (sujeto activo, titular de los datos y eventual perjudicado) que responde a la idea de que el titular de los datos no puede ser sujeto activo del delito pues él es el sujeto pasivo, toda vez que lo tutelado es su intimidad.

Recordaba el Tribunal Supremo en Sentencia de fecha 28/06/2018 que el citado art. 197.2 se encuentra ubicado en el Capítulo Primero, "Del descubrimiento y revelación de secretos", del Título X del Libro II del Código Penal, que se rotula como "Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio".

Téngase en cuenta que los derechos a la intimidad personal y a la propia imagen garantizados por el art. 18.1 Constitución Española forman parte de los bienes de la personalidad que pertenecen al ámbito de la vida privada. 

Salvaguardan estos derechos un espacio de intimidad personal y familiar que queda sustraído a intromisiones extrañas, destacando la necesaria protección frente al creciente desarrollo de los medios y procedimiento de captación, divulgación y difusión de la misma y de datos y circunstancias que pertenecen a la intimidad.

Por "intimidad" se pueden entender diversos conceptos, pero que vienen a coincidir en la existencia de una esfera de privacidad que cabe considerar secreto en el sentido de ser facultad de la persona su exclusión del conocimiento de terceros. 

El C. Penal hacía especial referencia a la llamada "libertad informática", ante la necesidad de conceder a la persona facultades de control sobre sus datos en una sociedad informatizada, siguiendo las pautas de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, relacionada con el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28/01/1981, y la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos.

.

Conviene significar que la referida Ley Orgánica 5/1992 fue derogada por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que, a su vez, fue derogada, con efectos de 07/12/2018, por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Esta segunda dimensión de la "intimidad" conocida como libertad informática o "habeas data", encuentra su apoyo en el art. 18.4 de la Constitución Española, en donde taxativamente se dispone que "la Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos". 

De este mandato constitucional se deriva el poder de acción del titular para exigir que determinados datos personales no sean conocidos, lo que supone reconocer un derecho a la autodeterminación informativa, entendido como libertad de decidir qué datos personales pueden ser obtenidos y tratados por otros. 

La llamada libertad informática significa, por tanto, el derecho a controlar el uso de los datos de carácter personal y familiar que pueden recogerse y tratarse informáticamente ("habeas data"); en particular, entre otros aspectos, la capacidad del ciudadano para oponerse a que determinados datos personales sean utilizados para fines distintos de aquél legítimo que justificó su obtención (véanse, entre otras, las Sentencias del Tribunal Constitucional Núms. 11/1998, de 13 de enero, y 45/1999, de 22 de marzo)

Esta evolución del concepto de "intimidad" puede apreciarse en la jurisprudencia del Tribunal Constitucional así, en un primer momento, la "intimidad" se configuraba como el derecho del titular a exigir la no injerencia de terceros en la esfera privada, concibiéndola, por tanto, como un derecho de corte garantista o de defensa. 

En un segundo momento a partir de la Sentencia del Tribunal Constitucional Núm. 134/1999, de 15 de julio, la "intimidad" pasó a ser concebida como un bien jurídico que se relaciona con la libertad de acción del sujeto, con las facultades positivas de actuación para controlar la información relativa a su persona y su familia en el ámbito público.

En palabras de las Sentencias del Tribunal Constitucional Núms. 134/1999, de 15 de julio, y 144/1999, de 22 de julio: "el derecho a la intimidad garantiza al individuo un poder jurídico sobre la información relativa a una persona o a su familia, pudiendo imponer a terceros (sean estos simples particulares o poderes públicos, su voluntad de no dar a conocer dicha información, prohibiendo su difusión no consentida".

Afirmaba la Sala Segunda, en Sentencia Núm. 358/2007, de 30 de abril, que el art. 197 contiene varias conductas en una compleja redacción y sanciona, en primer lugar, al que se apodere de los papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales de otra persona, a quien interceptare las comunicaciones de otro y al que utilizare artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o la imagen o de cualquier otra señal de comunicación, en todos los casos sin su consentimiento y con la finalidad de descubrir sus secretos o vulnerar su intimidad. 

Se trata de conductas distintas que no precisan que el autor llegue a alcanzar la finalidad perseguida. 

En los dos primeros casos requiere sin embargo un acto de apoderamiento o de interceptación efectivos, mientras que en el supuesto de utilización de artificios basta con la creación del peligro que supone su empleo con las finalidades expresadas para la consumación de la infracción penal.

También sanciona a quien, sin estar autorizado, se apodere, en perjuicio de tercero, de datos reservados de carácter personal o familiar de otro, que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado; así como a quien simplemente acceda a ellos por cualquier medio sin estar autorizado y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

El bien jurídico protegido es la "intimidad individual". Aunque la idea de "secreto" puede ser más amplia, como conocimientos solo al alcance de unos pocos, en realidad deben estar vinculados precisamente a la "intimidad" pues esa es la finalidad protectora del tipo. 

Como indicaba la Sentencia del Tribunal Supremo Núm. 666/2006, de 19 de junio, "la idea de secreto en el art. 197, 1º del CP resulta conceptualmente indisociable de la de intimidad: ese "ámbito propio y reservado frente a la acción y el conocimiento de los demás" ( SSTC 73/1982 y 57/1994 entre muchas)". 

Así se desprende de la ubicación del precepto en el Título dedicado a los delitos contra la intimidad, y es coherente con su propia redacción, ya que en el primer apartado relaciona los papeles, cartas o mensajes de correo electrónico con otros documentos o efectos personales. Y en el segundo apartado se refiere a datos reservados de carácter personal o familiar.

El tipo objetivo requiere solamente un acto de apoderamiento, sin necesidad de que el autor llegue a descubrir los secretos o vulnerar la intimidad en el primer caso, y en el mero acceso de los datos protegidos en el segundo. 

El tipo subjetivo exige, sin embargo, aquella finalidad, junto con el dolo en el acto de apoderamiento o de acceso.

Los delitos recogidos en el segundo apartado del referenciado art. 197 tienen un sentido claramente distinto a los recogidos en el apartado primero: pues las conductas afectan a datos que no están en la esfera de custodia del titular, sino en bancos de datos y pueden causar perjuicios a terceros distintos del propio sujeto al que se refiere la información concernida.

El Tribunal Supremo, en la ya citada Sentencia de fecha 28/06/2018, destacaba que un sector doctrinal considera que en el art. 197.2 se protegen, en realidad, dos bienes jurídicos:

• la intimidad del sujeto pasivo, en relación con las conductas de apoderarse, acceder y utilizar los datos; 
• la integridad de los datos, en relación con los comportamientos de modificar o alterar. 

Distinción, no obstante, relativa por el hecho de quien pretende modificar o alterar, primero debe acceder, con lo que se habría lesionado también la intimidad en estas modalidades de conducta.

En consecuencia, lo que se protege en este apartado segundo es la libertad informática entendida como derecho del ciudadano a controlar la información personal y familiar que se encuentra recogida en ficheros de datos, lo que constituye una dimensión positiva de la intimidad que constituye el bien jurídico protegido.

Con arreglo a lo  previsto en el art. 3.a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal,  dato de carácter personal es "cualquier información concerniente a personas físicas identificadas o identificables". 

No se define, sin embargo, qué datos son reservados, ni siquiera se utiliza la denominación de datos de carácter familiar.

A los efectos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), se consideran :

• datos personales: "toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
• datos genéticos: "datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona";
• datos biométricos: "datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos";
• datos relativos a la salud: "datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud";

Advierte la doctrina que el calificativo de "reservado" carece en absoluto de sentido, debiendo descartarse la tesis de que la protección penal haya de limitarse a solo cierto tipo de datos personales de mayor relevancia, con exclusión de otros, cuya protección quedaría reservada al ámbito administrativo. 

Prueba de que ello no es así lo proporciona el apartado quinto del art. 197 que agrava la pena que corresponde a las conductas realizadas sobre esos datos de especial relieve, lo que evidencia que los demás están incluidos dentro del apartado 2. 

Por ello, se entiende que son "datos reservados" los que no son susceptibles de ser conocidos por cualquiera. 

El precepto insiste en ello al aclarar por partida doble que el delito lo comete el que accede a los datos o los utiliza "sin estar autorizado", evidencia de que no son datos al alcance de cualquiera.

Los "datos", además, ha de estar recogidos (registrados) en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. 

Con arreglo al art. 3.b de la Ley Orgánica 15/1999, "fichero" es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. 

Según el art. 4.6) del Reglamento (UE) 2016/679,."fichero" es todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

En el sentido del art. 197.2 debe exigirse, según se indica en la Sentencia de fecha 28/06/2018, que se trate de un conjunto organizado de información relativa a una generalidad de personas. 

Dado el carácter "reservado" de los datos, los ficheros o registros han de ser de acceso y utilización limitada a personas concretas y con finalidades específicas, siendo indiferente, su naturaleza: personal, académica o laboral, medica, económica, etc... 

Se trata, en realidad, de informaciones de carácter personal relacionadas más con la privacidad que con la intimidad. 

No tienen por qué ser informativos, porque se acoge también a cualquier otro tipo de archivo o registro público o privado.

Las conductas van dirigidas a datos que se hallen registrados, es decir a bancos de datos preexistentes, entendiéndose por la doctrina que no es típica la creación clandestina de bancos de datos, que queda en el ámbito administrativo sancionador.

"Se apodere" se ha interpretado por un sector doctrinal en sentido estricto como el apoderamiento que precisan los delitos contra el patrimonio. 

Otro sector se inclina por una interpretación más amplia, comprendiendo los supuestos en que se copian los datos, dejando intactos los originales o simplemente se capta, se aprehende, el contenido de la información, acepción en la que "apoderarse" resultaría equivalente a acceder al dato que se castiga también en el inciso final. 

"Utilizar" es usar sin apoderarse de ellos. 

"Modificar" es alterar los mismos, tanto si se trata de mejorar como de perjudicar la situación del sujeto al que afectan.

Las conductas tienen que producirse sin estar autorizado para acceder, manipular o modificar el banco de datos y realizarse en perjuicio de tercero, "tercero" que puede ser distinto al titular de los datos produciéndose una triple implicación de sujetos (sujeto activo, titular de los datos y eventual perjudicado) que responde, a la idea de que el titular de los datos no puede ser sujeto activo del delito yq que él es el sujeto pasivo, dado que lo tutelado es su intimidad.

No puede banalizarse ni tampoco ser considerado jurídicamente indiferente el acceso a los datos personales, pero también lo es que la jurisprudencia (véanse, entre otras, las Sentencias del Tribunal Supremo Núms. 586/2016, de 4 de julio, 803/2017, de 11 de diciembre), atienden al grado de menoscabo u ofensa para el bien jurídico que se aprecia en el caso concreto.

Sobre este extremo en referidas Sentencias se argumenta, que "la gravedad de las penas asociadas al art. 197.2 del CP son bien expresivas de la necesidad de una fundada y grave afectación del bien jurídico protegido, que no es la intimidad, entendida en el sentido que proclama el art. 18.1 de la CE sino la autodeterminación informativa a que se refiere el art. 18.4 del texto constitucional. Se trata de una mutación histórica de innegable trascendencia conceptual, de un derecho de nueva generación que otorgaría a cada ciudadano el control sobre la información que nos concierne personalmente, sea íntima o no, para preservar, de este modo y en último extremo, la propia identidad, nuestra dignidad y libertad".

En palabras del Tribunal Constitucional, el derecho a la protección de los datos de carácter personal deriva del art. 18.4 de la Constitución Española y consagra "en sí mismo un derecho o libertad fundamental" (véanse, entre otras, las Sentencias del Tribunal Constitucional Núms. 254/1993, de 20 de julio, y 254/2000, de 30 de noviembre), que "excede el ámbito propio del derecho fundamental a la intimidad (art. 18.1 de la Constitución Española) y que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada libertad informática es así el derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención" (véase la Sentencia del Tribunal Constitucional Núms. 292/2000, de 30 de noviembre ).

Así centrada la tutela del bien jurídico protegido por el art. 197.2 del C. Penal, la Sentencia del Tribunal Supremo Núm. 586/2016, del 4 de julio, afirma que es entendible la ausencia de relieve penal de los hechos imputados al acusado. 

Y es que la nula afectación del bien jurídico -por más que la ya razonada ausencia de otros elementos del tipo objetivo sería suficiente para el desenlace absolutorio- es otra de las razones para concluir la falta de tipicidad de los hechos.

Recordaba la Sentencia de fecha 28/06/2018 que basta un examen detenido de los precedentes más destacados de la Sala Segunda, en los que el art. 197.2 del C. Penal fue aplicado y derivó en una condena, para constatar la intrínseca gravedad de los supuestos a los que se hacía frente; son los casos, por ejemplo:

• del médico del Servicio Público de Salud que, aprovechando su cargo y el acceso a las bases de datos de historiales médicos, realizó numerosas consultas sin autorización ni justificación, con consciente incumplimiento del compromiso de confidencialidad que le incumbía, llegando a acceder en más de 200 ocasiones y durante el plazo de 2 años a las historias de salud e información de atención primaria de una enfermera, con la que había roto una relación amorosa, y las de sus familiares (véase la Sentencia del Tribunal Supremo Núm. 40/2016, 3 de febrero);
• del policía autonómico que, valiéndose de su libre acceso a la base de datos policial, eludía las sanciones por sus multas de tráfico, identificando falsamente en los pliegos de descargo a terceras personas (véase la Sentencia del Tribunal Supremo Núm. 534/2015, 23 de septiembre); 
• del médico del INSALUD que, aprovechando tal condición, consultó el historial clínico de varios compañeros sin su consentimiento, obteniendo así información clínica especialmente protegida (véase la Sentencia del Tribunal Supremo Núm. 532/2015, 23 de septiembre); 
• del funcionario de la TGSS que, con la utilización de la clave asignada para otras funciones, facilitaba datos de trabajadores, empresas, vida laboral y certificados de situación de cotización a mutuas laborales y a terceras personas (véase la Sentencia del Tribunal Supremo Núm. 525/2014, de 17 de junio); 
• del agente de la Guardia Civil que al amparo de su cargo accede al registro informático del Cuerpo y facilita datos reservados sobre varias personas, datos que luego son utilizados para chantajear a terceras personas (véase la Sentencia del Tribunal Supremo Núm. 1189/2010, 30 de diciembre); 
• de los funcionarios del INEM que difunden a terceros datos de múltiples personas, extraídos de ficheros informáticos oficiales a los que accedían con su propio código o con el de otros compañeros y mediante los que facilitaban el embargo de sus bienes (véase la Sentencia del Tribunal Supremo Núm. 725/2004, 11 de junio); 
• del colaborador temporal de la Asociación de Parapléjicos y Grandes Minusválidos Físicos que se apodera de datos con indicaciones expresas de la minusvalía y estado de salud de algunos de los miembros, así como datos relativos a sus domicilios, teléfonos y cuentas bancarias, con el fin de utilizar dichos datos en su propio beneficio, para actividades de contactos, sexo, o trabajos fraudulentos que ofrecía (véase la Sentencia del Tribunal Supremo Núm. 1532/2000, 9 de octubre); 
• de la información periodística que permitió por vía referencial identificar a enfermos de SIDA internados en un establecimiento penitenciario (véase la Sentencia del Tribunal Supremo de fecha 18/02/1999).

Las Sentencias de la Sala Segunda generalmente no interpretaban la expresión "en perjuicio" como un elemento subjetivo del injusto. 

Así lo acreditaba la Sentencia Núm. 234/1999, de 17 de junio, en la que se razonaba que la Sala Segunda no podía compartir que la expresión "en perjuicio de" suponía la exigencia de un ánimo o especial intención de perjudicar al titular de los datos o a un tercero, aunque no dejaba de reconocer que la preposición "en" había sido interpretada frecuentemente en dicho sentido. 

Señala la Sentencia de fecha 28/06/2018 que, en el tipo del art. 197.2, el perjuicio producido por la acción tiene que estar naturalmente abarcado por el dolo, pero no tiene que ser el único ni el prioritario móvil de la acción. 

A esta conclusión debe conducir no sólo el argumento sistemático a que se acaba de aludir, sino la propia relevancia constitucional del bien jurídico lesionado por el delito, cuya protección penal no puede estar condicionada, so pena de verse convertida prácticamente en ilusoria, por la improbable hipótesis de que se acredite, en quien atente contra él, el deliberado y especial propósito de lesionarlo. 

Se trata, como explicaba la Sentencia del T ribunal Supremo Núm. 34/1999, de 17 de junio, de un delito doloso, pero no de un delito de tendencia.

Y en lo que atañe al elemento objetivo, apuntaba la Sentencia de fecha 28/06/2018, que parece razonable que no todos los datos reservados de carácter personal o familiar puedan ser objeto del delito contra la libertad informática. 

Precisamente porque el delito se consuma tan pronto el sujeto activo "accede" a los datos, es decir, tan pronto los conoce y tiene a su disposición (ya que sólo con eso se ha quebrantado la reserva que los cubre), es por lo que debe entenderse que la norma requiere la existencia de un perjuicio añadido para que la violación de la reserva integre el tipo, un perjuicio que puede afectar, como hemos visto, al titular de los datos o a un tercero. 

No es fácil precisar, "a priori" y en abstracto, cuándo el desvelamiento de un dato personal o familiar produce ese perjuicio. 

Baste ahora con decir que lo produce siempre que se trata de un dato que el hombre medio de nuestra cultura considera "sensible" por ser inherente al ámbito de su intimidad más estricta; dicho de otro modo, un dato perteneciente al reducto de los que, normalmente, se pretende no transciendan fuera de la esfera en que se desenvuelve la privacidad de la persona y de su núcleo familiar.

En la misma línea de no interpretar la expresión "en perjuicio" como un elemento subjetivo del injusto sino en una clave más objetiva se muestran otras Sentencias de la Sala Segunda, como la Núm. 1084/2010, de 9 de diciembre , en la que se indicaba que el tipo penal del art. 197.2 exige que la conducta se lleve a cabo en perjuicio de tercero, aunque no haya un ánimo específico de perjudicar, ya que  basta con que la acción se realice con la finalidad dicha, sin que resulte necesario para la consumación la producción del resultado lesivo. 

Se trata por tanto de un delito de peligro que no requiere la ulterior producción de un resultado de lesión.

Asimismo, en la Sentencia Núm. 525/2014, de 17 de junio , el Alto Tribunal reiteraba que se requiere sólo el elemento del dolo, sin hacer referencia a un elemento subjetivo del injusto.

Respecto del elemento objetivo del "perjuicio" ocasionado por la acción delictiva, la Sentencia del Tribunal Supremo Núm. 532/2015, de 23 de septiembre, destacaba que sólo con relación al inciso primero (apoderamiento, utilización o modificación) y al último (alteración o utilización), menciona expresamente el legislador que la conducta se haga en "perjuicio de tercero", mientras que no exigiría tal "perjuicio" en el caso de la conducta de acceso; si bien, resulta necesario realizar una interpretación integradora del precepto, ya que no tendría sentido que en el mero acceso no se exija "perjuicio" alguno, y en conductas que precisan ese previo acceso añadiendo otros comportamientos, se exija ese "perjuicio", cuando tales conductas ya serían punibles -y con la misma pena- en el inciso segundo.

En su Sentencia Núm. 1328/2009, de 30 de diciembre, la Sala Segunda diferenciaba entre datos "sensibles" y los que no lo son, precisando que los primeros son por sí mismos capaces para producir el perjuicio típico, por lo que el acceso a los mismos, su apoderamiento o divulgación poniéndolos al descubierto comporta ya ese daño a su derecho a mantenerlos secretos u ocultos (intimidad) integrando el "perjuicio" exigido, mientras que en los datos "no sensibles", no es que no tengan virtualidad lesiva suficiente para provocar o producir el "perjuicio", sino que debería acreditarse su efectiva concurrencia.

De ahí que la Sentencia de fecha 28/06/2018 concluyese que "el mero acceso no integraría delito, salvo que se acreditara perjuicio para el titular de los datos o que este fuera ínsito, por la naturaleza de los descubiertos, como es el caso de los datos sensibles. Interpretación integradora, que acota el ámbito delictivo, de otro modo desmesurado y con sanciones graves para conductas en ocasiones inocuas, pero a su vez, supera la crítica de quienes entendían que al limitar la punición del mero acceso a los datos que causan un perjuicio apreciable a los datos "sensibles", suponía una restricción excesiva, pues se produce el efecto de asimilar el perjuicio a la parte más básica de la intimidad ("núcleo duro de la privacidad"): salud, ideología, vida sexual, creencias, etc. que ya se castiga como subtipo agravado en el actual art. 197.6 (actual art. 197.5), lo que conllevaría la práctica inaplicación del art. 197.2 CP ; tal asimilación no la predicamos, pero cuando el acceso se refiere a datos no sensibles, el perjuicio debe ser acreditado ( SSTS 1328/2009, de 30 de diciembre ; 532/2015, de 23-9 ; y 553/2015, de 6-10 )".

En su Sentencia de fecha 16/01/2019, la Audiencia Provincial de Valladolid insistía, siguiendo a la citada Sentencia de fecha 28/06/2018, en que:

• el tipo básico contemplado en el artículo 197.2 del Código Penal sanciona como delito al que, sin estar autorizado, acceda por cualquier medio a los mismos (datos reservados de carácter personal que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos), en perjuicio del titular de los datos o de un tercero.
• el acceso a datos sensibles comporta ya en todo caso el "perjuicio" exigido por el precepto;
• la gravedad de las penas asociadas al citado art. 197.2 es bien expresiva de la necesidad de una fundada y grave afectación del bien jurídico protegido, que es la autodeterminación informativa, debiendo atenderse en cada caso al grado de menoscabo u ofensa para el citado bien jurídico, para así decidir si nos encontramos o no ante una conducta que merezca el reproche penal. La Sala Segunda refleja de manera ejemplificativa los supuestos en los que ha condenado por esta conducta delictiva para explicar los casos, por lo demás graves, en los que ha estimado procedente la condena.

Como explicaba, en su Auto Núm. 199/2018, de 18 de enero, la Sala Segunda del Tribunal Supremo, de 18 de enero:

"En aquellos historiales en los que el acusado, médico, no ha intervenido profesionalmente,..., su contenido es secreto y su descubrimiento rellena la tipicidad del art. 197 del Código Penal (en este sentido, STS 778/2013, de 22 de octubre ).

En línea con lo expuesto por la Audiencia, un profesional de la sanidad tiene conocimiento del carácter reservado y secreto de las historias clínicas y de las limitaciones de acceso que están establecidas".

En su Sentencia de fecha 03/10/2018, el Alto Tribunal explicaba que "los datos relativos a la situación económica de una persona entran dentro de la intimidad constitucionalmente protegida" (  STC 233/1999, de 16 de diciembre , FJ 7). En principio, sin embargo, no afectan al núcleo duro de la intimidad personal (  STS nº 523/2017, de 7 de julio  ). Por otro lado, al tratarse de datos de carácter personal relativos a personas físicas e incluidos en un fichero, son datos protegidos por la LOPD".

En cuanto a la legitimidad del acceso a los mismos y de su cesión a terceros, indicaba la citada Sentencia que 

"B... accede a los datos relativos a la utilización de las tarjetas de crédito emitidas a nombre de los recurrentes, para conocer y analizar la utilización que se ha hecho de dichas tarjetas y cómo y cuándo se han cargado los gastos efectuados por sus titulares. Es así como obtiene elementos indicativos de la realización de actividades que podrían ser ilícitas en la medida en que los cargos de esas tarjetas, que han sido emitidas fuera del circuito regular, se han realizado contra una cuenta de la entidad y no contra las cuentas personales de los titulares, y, además, no tienen apoyo en la ley o en los estatutos ni en los contratos suscritos con alguno de los titulares. Se trata, por lo tanto, de datos necesarios para el adecuado desarrollo, cumplimiento o control de la relación jurídica entre el titular de la tarjeta y la entidad bancaria, por lo que no era necesario el consentimiento del afectado para su tratamiento.

Con esos datos se elaboran unos informes internos, que se comunican al F..., que se limita a remitirlos al Ministerio Fiscal. Se adjunta a los mismos unos listados en los que constan los totales dispuestos por cada uno de los titulares, sin que en ellos figuren de forma individualizada los gastos efectuados por cada titular. Aunque uno de los listados hace referencia a los gastos agrupados por conceptos, estas cifras no se relacionan con cada uno de los titulares de forma individualizada, de forma que de esos listados no resulta ninguna información acerca del empleo particular que cada uno de los titulares ha hecho de la tarjeta emitida a su nombre. No se produce ninguna afectación del núcleo central de la intimidad.

Estos datos, relativos a los gastos concretos de cada titular, contienen la referencia a la actividad de cada comercio, aunque sin especificar el concepto concreto. Y los demás solo se unen a la causa con posterioridad, cuando el Ministerio Fiscal, que ha recibido esos informes de auditoría y esos listados con el total dispuesto por cada uno de los titulares de las tarjetas, lo solicita a B..., que se lo remite junto con los contratos,

Por lo tanto, B... que ha accedido a los datos personales de los titulares de las tarjetas relativos a los gastos concretos que cada uno ha efectuado, lo ha hecho dentro de los márgenes del contrato de emisión de las tarjetas de crédito que, lógicamente, le habilita para ello, como la vía para comprobar el uso concreto de las tarjetas y las cuentas donde se ha efectuado su cargo. Ha realizado, por lo tanto, un acceso legítimo, que se mantiene exclusivamente en el ámbito interno relacionado con el contrato de emisión de las tarjetas. Los datos de carácter personal relativos a cada uno de los gastos, que afectarían además a la intimidad de cada uno, solamente son conocidos fuera de ese ámbito cuando son cedidos al Ministerio Fiscal, que lo solicitó expresamente, estando pues amparada tal cesión por lo dispuesto en el  artículo 11 de la LOPD  en cuanto a la no necesidad del consentimiento del interesado.

 Por lo tanto, no se ha accedido ilícitamente a los datos de carácter personal relativos a los gastos concretos realizados por cada uno de los titulares de las tarjetas de crédito, por lo que no se ha vulnerado el derecho a la intimidad ni a la protección de datos de carácter personal".

En definitiva, el delito contra la libertad informática o "habeas data"se presenta como un delito de riesgo que castiga el mero acceso inconsentido a informaciones personales ubicadas en el sistema informático (datos, programas..), hoy denominados el habeas data, sin que sea necesario que concurra revelación, utilización o ánimo de lucro en dicha acción, y ello porque se tutela la "libertad informática" recogida en el art.18.4 de la Constitución Española (véanse, entre otras, las Sentencias del Tribunal Constitucional Núms. 202/1999 y 143/1994) que permite a su titular decidir sobre el control de dichos datos personales, a fin de que no sean conocidos ni empleados para fines distintos a los que justificó su legitima obtención (véanse, entre otras, las Sentencias del Tribunal Constitucional Núms. 94/1998 y 11/1998).

No se requiere, móvil o acción posterior alguna, castigándose el simple hecho de saltarse las barreras de seguridad informáticas.

Por lo tanto, la conducta punible es la interceptación (acceder, apoderarse...) aunque el tipo prevé también la utilización y alteración de dichos datos, sin que sea necesario la revelación de su contenido.

Si bien el tipo habla de que la conducta punible se haga "en perjuicio de terceros", lo cierto es, como se indicaba en la Sentencia del Tribunal Supremo Núm. 234/1999, de 18 de febrero, tal expresión no significa que debe existir un ánimo específico de perjudicar (elemento subjetivo del injusto), toda vez que de no entenderse así quedaría desprotegido el bien jurídico -ya expresado- que se trata de tutelar. Es decir, el delito es doloso, pero no "de tendencia".

No huelga significar que esta interpretación fue mantenida igualmente por otras resoluciones posteriores, como, entre otras, las Sentencias del Tribunal Supremo Núms.  1461/2001, de 11 de junio; 123/2009, de 3 de febero, y525/2014, de 17 de junio. 

En consecuencia, el "perjuicio" el que habla el tipo es el propio que deriva de apoderarse de tales datos informáticos, sin el consentimiento del titular, con el daño consiguiente a su derecho a mantenerlos ocultos, independientemente de que concurran o no, las agravaciones contenidas en otros apartados, así por su divulgación (art. 197.3), por razón del sujeto activo (art. 197.4), por el carácter especialmente sensible de los datos (art. 197.5) o por la existencia de un fin lucrativo (art. 197.6).

DERECHO DE IMAGEN

Ilustración obra de Konstantin Makovsky.

JOSE MANUEL ESTÉBANEZ IZQUIERDO
JUEZ SUSTITUTO