Sentencia Penal Nº 144/20...il de 2018

Última revisión
17/09/2017

Sentencia Penal Nº 144/2018, Audiencia Provincial de Lleida, Sección 1, Rec 233/2017 de 03 de Abril de 2018

nuevo

GPT Iberley IA

Copiloto jurídico

Relacionados:

Tiempo de lectura: 36 min

Orden: Penal

Fecha: 03 de Abril de 2018

Tribunal: AP - Lleida

Ponente: GARCIA NAVASCUES, VICTOR MANUEL

Nº de sentencia: 144/2018

Núm. Cendoj: 25120370012018100142

Núm. Ecli: ES:APL:2018:383

Núm. Roj: SAP L 383/2018


Encabezamiento


AUDIENCIA PROVINCIAL DE LLEIDA.
SECCIÓN PRIMERA
ROLLO DE SALA NUM. Apelación penal 233/2017
PROCEDIMIENTO ABREVIADO.233/2017
JUZGADO PENAL 3 LLEIDA
S E N T E N C I A NUM. 144/2018
Ilmos Srs:
Magistrados:
Merce Juan Agustín
Victor Manuel García Navascues
María Lucía Jiménez Márquez
En la ciudad de Lleida, a tres de abril de dos mil dieciocho.
La Sección Primera de esta Audiencia Provincial, integrada por los señores indicados al margen, ha
visto el presente recurso de apelación contra la sentencia de 06/07/17, dictada en Procedimiento abreviado
número 139/2016, seguido ante el Juzgado Penal 3 Lleida.
Procuradora Dª. BLANCA CARDONA CALZADO y dirigida por el Letrado D. Jordi Bartomeu, así como
Agustín

Antecedentes


PRIMERO.- Por el Juzgado Penal 3 Lleida se dictó sentencia en el presente procedimiento en fecha 06/07/17 , cuya parte dispositiva es del tenor literal siguiente: 'FALLO: Que debo CONDENAR y CONDENO a D. Agustín , como autor criminalmente responsable de un delito de descubrimiento y revelación de secretos previsto y penado en el art 197.2 y 5 del CP a la pena de con la concurrencia de atenuante simple de dilaciones indebidas del art 21.6 del CP a la pena de 2 años de prisión, inhabilitación especial para el ejercicio del derecho de sufragio pasivo durante el tiempo de la condena y multa de 18 meses con una cuota diaria de 6 euros y la responsabilidad personal subsidiaria en caso de impago del art 53 del CP así como a abonar las costas causadas en este procedimiento, incluidas las de la acusación particular.

Asimismo, el Sr Agustín deberá indemnizar a SMART MEDICAL SOLUTIONS SL en la cantidad que se determine en fase de ejecución de sentencia por los desperfectos causados en el servidor o en la restauración del mismo como consecuencia del hecho delictivo o daños materiales causados por el acusado'.

Son apelantes, así como apelados, SMART MEDICAL SOLUTIONS, S.L. , representada por la , representado por el Procurador D. MARIA JOSE ALTISENT CAMARASA y dirigido por el Letrado D. Pau Simarro Dorado. Es apelado el MINISTERIO FISCAL . Es Ponente de esta resolución el Magistrado Ilmo. Sr. D. Victor Manuel García Navascues.



SEGUNDO.- Contra la referida sentencia se interpuso recurso de apelación, mediante escrito debidamente motivado, del que se dio traslado a los apelados para adhesión o impugnación, evacuando dicho trámite en el sentido de impugnarlo, solicitando la íntegra confirmación de la sentencia de instancia.



TERCERO.- Remitidos los autos a la Audiencia, esta acordó formar rollo, y se desingó Magistrado Ponente al que se entregaron las actuaciones para que propusiera a la Sala la resolución oportuna.

HECHOS PROBADOS ÚNICO.- Se aceptan los hechos declarados probados en la resolución objeto del presente recurso de apelación, a excepción de la referencia a que consiguió acceder a historiales médicos, que se elimina.

Fundamentos


PRIMERO .- El recurrente ha sido condenado como autor de un delito contra la intimidad, concretamente por haber accedido sin autorización a datos reservados de carácter personal incluidos en la página web lleidasalut.net y haberlos modificado, basándose su impugnación inicialmente en la concurrencia de un error en la valoración de la prueba, con la consiguiente infracción de la presunción de inocencia y del principio 'in dubio pro reo'; sostiene en síntesis el apelante que la prueba desplegada en el acto del juicio oral no permite alcanzar las siguientes conclusiones en las que se sustenta la condena: a) no tenía intención de vulnerar la intimidad de los usuarios de la página web que albergaba los datos sino que únicamente pretendía probar cómo funcionaba después de recibir la invitación de uno de los administradores, al que conocía, b) no accedió a la página web con los privilegios propios de un rango de administrador, ya que ni pudo comprobarse la existencia de rangos ni los denunciantes aportaron el código fuente para comprobar dicho extremo, c) no accedió a datos sensibles sino que únicamente utilizando un navegador convencional pudo entrar en la página principal del perfil de algunos usuarios, en la que figura su nombre y apellidos, no constando siquiera al no haberse aportado la base de datos si la página web albergaba dicho tipo de datos, d) no causó ningún tipo de perjuicio ni a los administradores ni a los usuarios del sistema y, e) no fue respetada la cadena de custodia de los datos que analizaron los agentes de los Mossos d'Esquadra, que se limitaron a examinar la documentación aportada por los denunciantes sin verificar su autenticidad; en segundo lugar y como consecuencia de lo anterior estima que no concurren los elementos del tipo por el que ha recaído condena, es decir, ni perjuicio del titular de los datos o de terceros ni la intención de vulnerar la intimidad de los afectados; por todo ello solicita su absolución, con todos los pronunciamientos favorables, a lo que se oponen tanto el Ministerio Fiscal como la Acusación Particular.

Interpone recurso de apelación también la Acusación Particular alegando que no procede la aplicación de la circunstancia atenuante de la responsabilidad criminal de dilaciones indebidas, que el marco punitivo del delito por el que ha recaído condena exige la imposición de una pena mínima superior a la impuesta en la sentencia y finalmente que procede una indemnización por el daño moral padecido por los denunciantes; por todo ello interesa la imposición de la pena interesada en sus conclusiones definitivas, subsidiariamente la imposición de una pena entre 2 años y 6 meses y 4 años de prisión, sin concurrencia de la atenuante de dilaciones indebidas y finalmente la condena del acusado al abonar la cantidad de 10.000 euros o la que la Sala estime adecuada por el daño moral causado, a todo lo que se oponen el Ministerio Fiscal y la Defensa.



SEGUNDO .- En cuanto a la alegada vulneración de la presunción de inocencia, dice la STS núm.

268/2014, de 2 de abril , que 'la garantía constitucional de presunción de inocencia nos emplaza en la casación al examen de la decisión recurrida que permita establecer si su justificación de la condena parte de la existencia una prueba y de su validez, por haber sido lícitamente obtenida y practicada en juicio oral conforme a los principios de inmediación, contradicción y publicidad y de contenido incriminatorio, respecto de la participación del sujeto en un hecho delictivo.

Debe constatarse así la inexistencia de vacío probatorio; constatada la existencia de ésta, el juicio de su valoración por la instancia ha de venir revestida de razonabilidad, en el establecimiento de los hechos que externamente la justifican, y de coherencia, conforme a lógica y experiencia de las inferencias expresadas a partir de aquéllos, en particular cuando la imputación se funda en hechos indiciarios.

A lo que ha de añadirse que la inferencia sea concluyente, en cuanto excluye alternativas fundadas en razones objetivas razonables.

En cuanto al control de la razonabilidad de la motivación, con la que se pretende justificar, más que demostrar, la conclusión probatoria, hemos resaltado que, más que a la convicción subjetiva del juzgador, importa que aquellas conclusiones puedan aceptarse por la generalidad, y, en consecuencia, la certeza con que se asumen pueda tenerse por objetiva. Lo que exige que partan de proposiciones tenidas por una generalidad indiscutidamente por premisas correctas desde la que las razones expuestas se adecuen al canon de coherencia lógica y a la enseñanza de la experiencia, entendida como 'una comprensión razonable de la realidad normalmente vivida y apreciada conforme a los criterios colectivos vigentes'.

(...) Si bien la objetividad no implica exigencia de que las conclusiones sean absolutamente incuestionables, sí que se estimará que no concurre cuando existen alternativas razonables a la hipótesis que justificó la condena. Y éstas concurren cuando, aún no acreditando sin más la falsedad de la imputación, las objeciones a ésta se fundan en motivos que para la generalidad susciten dudas razonables sobre la veracidad de la acusación, más allá de la inevitable mera posibilidad de dudar, nunca excluible.' Aplicando la anterior doctrina jurisprudencial y tras un análisis pormenorizado de la prueba desplegada en el acto del juicio oral, comparte la Sala la conclusión de que el acusado accedió sin estar autorizado a datos reservados de carácter personal de la página web lleidasalut.net, así como que modificó algunos de tales datos, y todo ello en evidente perjuicio de los titulares de los datos y de terceros, estimando por contra que no puede afirmarse con la certeza que requiere un pronunciamiento penal que hubieran resultado afectados datos de carácter personal que revelaran la salud de los usuarios de la citada página web.

Tal conclusión deriva sin género de dudas fundamentalmente del informe técnico policial elaborado y debidamente ratificado en el acto del juicio oral por el agente de los Mossos d'Esquadra con TIP NUM000 , perteneciente a la Comissaria General d'Investigació Criminal, y de la prueba documental consistente en el correo electrónico que el acusado remitió a uno de los denunciantes en fecha 12 de julio de 2014, todo ello complementado por la declaración de los denunciantes y la del propio acusado.

En primer lugar, el acusado reconoció haberse dado de alta como usuario en la página web lleidasalut.net, siéndole asignada la credencial 373, así como que lo hizo proporcionando una dirección de correo electrónico falso; tal extremo fue expresamente corroborado por los agentes policiales que realizaron la investigación, quienes añadieron que el resto de datos personales que proporcionó el acusado para el alta como usuario tampoco obedecían a la realidad; todo ello evidencia al menos desde un punto de vista inicial que la intención del acusado no era lícita y que su actuación no iba a limitarse al contenido accesible desde su perfil de usuario básico, como efectivamente después pudo comprobarse, habiendo quedado ampliamente descartado que hubiera recibido un encargo profesional de uno de los administradores para realizar un informe sobre la seguridad de la página sino que únicamente fue invitado a probarla, constando igualmente que no fue hasta que la investigación permitió conocer la identidad del autor de los hechos prácticamente un año después cuando el acusado se puso en contacto con uno de los administradores, al que conocía, intentando arreglar extrajudicialmente la situación; reconoció igualmente el acusado que realizó diversas consultas entre los días 31 de julio y 2 de agosto de 2013 e incluso que accedió a la página principal del perfil de otros usuarios cambiando el último número en la barra de direcciones del navegador y pudiendo ver los nombres y apellidos, lo que ya supone un acceso inconsentido a datos de carácter reservado, no porque el nombre y apellidos lo sean sino porque así tomaba conocimiento de qué personas utilizaban el servicio proporcionado por la página web; por último reconoció el acusado que envió desde la página web dos mensajes de prueba que fueron precisamente los que alertaron a los administradores de la página sobre la intrusión realizada.

En segundo lugar, conviene destacar que el agente policial con TIP NUM000 fue quien elaboró directamente el informe pericial informático que obra en los folios 28 y siguientes de las actuaciones, y así consta al pie de la última página, limitándose los otros dos agentes, con TIP NUM001 y NUM002 , tal como deriva de las actuaciones y respecto a los extremos que ahora nos ocupan, a realizar peticiones de mandamientos al Juzgado de Instrucción utilizando datos extraídos de dicho informe pericial, como lo demuestra que en la exposición de hechos de sus respectivos oficios hacen constante referencia a las páginas concretas de dicho informe en las que aparecen los datos fácticos que justificaban la petición; es decir, fue el citado agente con TIP NUM000 quien analizó los datos informáticos y emitió las conclusiones que después fueron utilizadas por sus compañeros para interesar al Juez de Instrucción la práctica de diligencias, de modo que debemos atender de forma preponderante a la declaración de dicho agente policial y al contenido de su informe.

Este informe técnico policial recoge que a través de la conexión IP NUM003 , que fue realizada desde la empresa de la que el acusado era administrador, se realizaron peticiones de consultas relacionadas con múltiples usuarios que no guardaban ninguna relación con el usuario 373, es decir, el acusado, incluyendo los usuarios con números 1, 2 y 3 que se correspondían con los administradores de la página web e incluso una petición del historial PIN del usuario 2; figura también en dicho informe que el acusado ordenó editar el historial de dos usuarios, números 16 y 17, si bien no se había encontrado ningún registro de que realmente se produjera el cambio; concluye dicho informe en relación a la conexión del acusado a través de dicha IP que tuvo un comportamiento errático y anormal, realizando más de 9.000 acciones entre peticiones de información y órdenes de edición que estaban fuera del ámbito circunscrito al usuario NUM004 , si bien pese a constar la ejecución de órdenes Post relacionadas con diferentes usuarios no era posible afirmar qué datos habían sido modificados y si la edición había sido realizada con éxito, como tampoco se había podido acreditar la escalada de privilegios del identificador correspondiente al acusado que posibilitara el acceso a datos ajenos a su propio perfil ni que el envío de los mensajes requiriera un rango de administrador.

Conviene en este punto hacer un inciso para desechar la alegación de que los datos proporcionados por los denunciantes, concretamente, el extracto de registros de actividad (Logs), en cuyo análisis se basó el informe técnico policial, hubiera podido estar manipulado, pues además de que no existe ninguna evidencia de ello, expuso el agente de los Mossos d'Esquadra con TIP NUM001 que se personaron en las instalaciones de los denunciantes y comprobaron la autenticidad de la documentación aportada por éstos.

De tal informe técnico policial puede extraerse sin género de dudas que el acusado accedió a datos personales que figuraban en dicha página web y que no eran accesibles al público en general, es decir, que eran reservados, así como que ejecutó órdenes de modificación de datos de otros usuarios aún si poder determinar si efectivamente se produjo con éxito la variación.

Sea como fuere, figura en las actuaciones el correo electrónico que el acusado remitió a uno de los denunciantes después de que la investigación hubiera permitido identificarlo como el autor de la intrusión en la página web e incluso después de que declarara como investigado, mensaje cuyo contenido fue asumido por el propio acusado y que revela múltiples extremos importantes que conjugados con el resto de las pruebas desplegadas en el acto del juicio oral permiten afirmar sin género de dudas que accedió de forma no autorizada a datos reservados de carácter personal e incluso que modificó dichos datos; concretamente deriva de dicha prueba documental en primer lugar que el acusado accedió a la página principal del perfil de otros usuarios cambiando el último número de la dirección en la barra de URL, pudiendo visualizar los nombres y apellidos de otros usuarios y 'poca cosa más', extremo que él mismo reconoció en el juicio; pero añade en el apartado titulado 'modificar camps de formularis per camviar dades d'usuaris que no están logged' que todos los datos que contiene el formulario son editables, incluida la contraseña, que no está encriptada, y que, si se modifica y envía el formulario, el valor cambia, concretando seguidamente cómo pueden cambiarse los datos de otros usuarios, lo que evidencia que fue algo que él hizo y pudo comprobar, es decir, que accedió y modificó la contraseña de otros usuarios, al menos de aquéllos que conocía el email, lo que corrobora que hiciera tantísimas peticiones de información para ver si encontraba a un usuario que conociera y por tanto dispusiera de su dirección de correo electrónico, tal como explicaba seguidamente en el mismo documento; por si fuera poco en el mismo correo electrónico el acusado exponía los pasos para conseguir un acceso 'root', es decir, de jefe o administrador, partiendo de que normalmente eran los usuarios 1, 2 y 3, dándose la circunstancia en este caso de que él conocía al menos a uno de ellos y por tanto disponía de su dirección de correo electrónico, lo que sin duda le permitió acceder como administrador y cambiar su contraseña, explicando a continuación en dicho documento lo que podía hacerse tras gozar de tal rango, concretamente, acceder a funcionalidades extra como es el listado de usuarios registrados y alguna información relativa a nombre, apellidos, fecha de nacimiento, email, password, datos de movilidad, de localización GPS y de teléfonos, así como el tratamiento de contactos.

Es decir, si bien el informe técnico policial no pudo concluir si el acusado accedió efectivamente como administrador a la página web y si modificó datos, únicamente que realizó múltiples acciones fuera del ámbito del perfil de usuario como petición de información de otros usuarios y órdenes de edición de datos, tal documento elaborado por el propio acusado no deja lugar a dudas sobre tales extremos, máxime si se valoran conjuntamente ambas pruebas, y teniendo en cuenta también las manifestaciones de los denunciantes al respecto; es decir, las mencionadas pruebas evidencian que el acusado accedió de forma no autorizada a datos reservados de cáracter personal que estaban en las bases de datos de la página web y que no eran accesibles al resto de usuarios, y que modificó algunos de dichos datos, concretamente la contraseña del usuario 2 y otros que no han podido determinarse.

No obstante, como ya hemos adelantado, la prueba desplegada en el acto del juicio oral no permite afirmar con total certeza y sin género de dudas que el acusado accediera a datos personales que revelaran la salud de otros usuarios, pues contamos exclusivamente con la declaración de los denunciantes en el sentido de que accedió a historiales médicos y los descargó y cambió datos como el sexo, y que dichos extremos fueron reconocidos verbalmente por el acusado a uno de ellos, extremos que el acusado negó en todo momento, reconociendo además en un documento en qué había consistido su acceso no consentido, y que no pudieron ser comprobados de forma fehaciente por el informe técnico-policial, sin que pueda extraerse dicha conclusión únicamente de que la página web alberga datos sobre la salud de los usuarios y que el acusado emitió órdenes Get y Post en las que figuraba la palabra 'historial', pues podría referirse a otros extremos que nada tuvieran que ver con el historial médico como puede ser el historial de datos consultados o de contraseñas.

Ello implica la necesidad de eliminar del apartado de hechos probados de la sentencia la referencia a que el acusado accedió a historiales médicos, considerando acreditado no obstante que sí accedió a datos personales de carácter reservado utilizando un rango de administrador y que modificó alguno de ellos como la contraseña, lo que supone estimar parcialmente el motivo de impugnación basado en la concurrencia de un error en la valoración de la prueba.



TERCERO.- Seguidamente considera el apelante que no concurren los elementos típicos del delito por el que ha sido condenado, concretamente, el perjuicio del titular de los datos o de terceros, ya que considera que no se trata de datos sensibles, ni el ánimo de vulnerar la intimidad de otros.

Como señala la STS núm. 638/2017, de 27 de septiembre , en relación al delito tipificado en el artículo 197.2 y no en el apartado 1 al que hace referencia la jurisprudencia citada en la sentencia recurrida, 'castiga, según la redacción vigente al tiempo de los hechos, a quien, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado, así como a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

La jurisprudencia (entre otras la STS núm. 557/2017, de 13 de julio ), entiende que el bien jurídico protegido es la libertad informática entendida como derecho del ciudadano a controlar la información personal y familiar que se encuentra recogida en ficheros de datos, lo que constituye una dimensión positiva de la intimidad. En realidad, ha de entenderse que ese derecho, en su autonomía, es distinto de la intimidad del artículo 18.1 CE . Así lo ha entendido esta Sala en la STS nº 586/2016, de 4 de julio , en al que se señala que el bien jurídico protegido, 'no es la intimidad, entendida en el sentido que proclama el art. 18.1 de la CE , sino la autodeterminación informativa a que se refiere el art. 18.4 del texto constitucional. Se trata de una mutación histórica de innegable trascendencia conceptual, de un derecho de nueva generación que otorgaría a cada ciudadano el control sobre la información que nos concierne personalmente, sea íntima o no, para preservar, de este modo y en último extremo, la propia identidad, nuestra dignidad y libertad.

En palabras del Tribunal Constitucional, el derecho a la protección de los datos de carácter personal deriva del art. 18.4 CE y consagra «en sí mismo un derecho o libertad fundamental» ( SSTC 254/1993, de 20 de julio, FJ 6 y 254/2000, de 30 de noviembre , FJ 5, entre otras), que «excede el ámbito propio del derecho fundamental a la intimidad ( art. 18.1 CE ), y que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada libertad informática es así el derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención» ( STC 292/2000, de 30 de noviembre , FJ 5).

En todo caso, se trata de un delito contra la intimidad, al incluirlo el legislador en el artículo 197.2, dentro del Título dedicado a esa clase de delitos. Ésta, aun en su sentido más amplio, es un bien eminentemente personal, de la misma forma que lo es el derecho a la autodeterminación informativa, (...).

Y en referencia a la concurrencia de un perjuicio del titular de los datos o de terceros en relación a la naturaleza sensible de los mismos, indica la STS núm. 803/2017, de 11 de diciembre , que 'el perjuicio producido por la acción tiene que estar naturalmente abarcado por el dolo pero no tiene que ser el único ni el prioritario móvil de la acción. A esta conclusión debe conducir no sólo el argumento sistemático a que se acaba de aludir, sino la propia relevancia constitucional del bien jurídico lesionado por el delito, cuya protección penal no puede estar condicionada, so pena de verse convertida prácticamente en ilusoria, por la improbable hipótesis de que se acredite, en quien atente contra él, el deliberado y especial propósito de lesionarlo.

Estamos pues -dice la sentencia 234/1999 - ante un delito doloso pero no ante un delito de tendencia.' Y por su parte, dice la STS núm. 40/2016, de 3 de febrero , que 'la expresión del perjuicio no supone que el delito incorpore una finalidad económica. Se trata de un delito que supone el conocimiento y voluntad en la acción realizada actuando a sabiendas, en tanto que el perjuicio se refiere al peligro de que los datos albergados en las bases de datos protegidas puedan llegar a ser conocidos por personas no autorizadas.' (...) El perjuicio se realiza cuando se apodera, utiliza, modifica o accede a un dato protegido con la intención de que su contenido salga del ámbito de privacidad en el que se incluyó en una base de datos, archivo, etc, especialmente protegido, porque no es custodiado por su titular sino por titulares de las bases con especiales exigencias de conductas de protección. Así lo expusimos en la STS de 11 de julio de 2001 , al reseñar que el perjuicio exigido va referida a la invasión de la intimidad y no a la producción de un quebranto económico patrimonial concreto. En la STS 532/2015, de 23 de septiembre , se refiere ese perjuicio en un supuesto similar al presente porque perjudica a su titular al tratarse de datos sensibles por su naturaleza cuyo acceso ya perjudica a su titular.' Y finalmente, la STS núm. 1084/2010, de 9 de diciembre , recoge que 'el tipo penal del art. 197.2 exige que la conducta se lleve a cabo en perjuicio de tercero, aunque no haya un ánimo específico de perjudicar, pues basta con que la acción se realice con la finalidad dicha, sin que resulte necesario para la consumación la producción del resultado lesivo. Se trata por tanto de un delito de peligro que no requiere la ulterior producción de un resultado de lesión.' En el caso que ahora nos ocupa se encuentran presentes todos los elementos exigidos por el tipo del artículo 197.2 del Código Penal pues el acusado, sin estar autorizado, accedió a datos reservados de carácter personal registrados en la base de datos de la página web lleidasalut.net, y lo hizo en perjuicio del titular de los datos y de terceros.

En primer lugar, como se desprende de la doctrina jurisprudencial expuesta y a diferencia con lo que ocurre con el delito tipificado en el apartado 1 del artículo 197, no sería necesario para integrar el delito que nos ocupa un ánimo específico de vulnerar la intimidad de otros, pues se trata de un delito que protege de forma específica la libertad informática y no tanto la intimidad, aunque ésta quedaría necesariamente afectada.

Pero es que, además, y aunque el acusado tuviera como intención inicial la de detectar posibles errores de seguridad de la página web, debía necesariamente ser consciente de que el acceso inconsentido a esos datos, no accesibles al público en general, y su modificación, afectaba a la intimidad de los usuarios de la página y singularmente a la del administrador, concretamente pudo conocer la identidad de las personas que se habían dado de alta en dicha página web, contenido al que nadie excepto el interesado podía acceder, y diversos datos personales tales como nombre, apellidos, fecha de nacimiento, email, password, datos de movilidad, de localización GPS y de teléfonos, así como el tratamiento de contactos, todo lo que incorpora evidentemente datos de carácter reservado.

Y todo ello refleja asimismo que actuó en perjuicio del titular de los datos y de terceros, no siendo necesario un ánimo específico de perjudicar, llegando incluso a acceder a la contraseña de acceso de algún usuario y a cambiarla, no siendo el perjuicio requerido por el tipo de contenido económico, tal como parece desprenderse del recurso, sino al peligro de que los datos a los que accedió de forma no autorizada pudieran salir de la base de datos a la que fueron incorporados y ser conocidos por terceras personas, es decir, que el perjuicio va referido a la invasión de la intimidad, que en este caso es evidente que concurre, sin necesidad de que ello se haya materializado en un quebranto económico.

Y a ello debe añadirse que los datos a los que accedió, tal como han quedado expuestos, son de carácter reservado, y con esa calidad se incluyeron en la base de datos no accesible a terceros distintos del usuario, y sensible, pues incluían contraseñas de acceso, datos de movilidad y de localización GPS.

Al respecto, la STS núm. 553/2015, de 6 de octubre , indica en referencia al artículo 197.2 del Código Penal : 'advierte la doctrina que el calificativo de reservado carece en absoluto de sentido, debiendo descartarse -como después se analizará más extensamente- la tesis de que la protección penal haya de limitarse a solo cierto tipo de datos personales de mayor relevancia, con exclusión de otros, cuya protección quedaría reservada al ámbito administrativo. Prueba de que ello no es así lo proporciona el apartado 5º que agrava la pena que corresponde a las conductas realizadas sobre esos datos de especial relieve, lo que evidencia que los demás están incluidos dentro del apartado 2. Por ello en el sentido del tipo el entendimiento más adecuado del carácter reservado de los datos es considerar que son tales los que no son susceptibles de ser conocidos por cualquiera. El precepto insiste en ello al aclarar por partida doble que el delito lo comete el que accede a los datos o los utiliza 'sin estar autorizado', evidencia de que no son datos al alcance de cualquiera.' La misma sentencia, citando la STS 1461/2001, de 11 de julio , señala que 'en principio, todos los datos personales automatizados, son 'sensibles' porque la Ley Orgánica de Regulación del Tratamiento de Datos Personales (LORTAD) 5/92 de 29.10, no distingue a la hora de ofrecerles protección (veáse art. 2.1 º y 3º de dicha Ley ). Datos en principio, inocuos al informatizarlos, pueden ser objeto de manipulación, permitiendo la obtención de información.

No existen, por consiguiente, datos personales automatizados reservados y no reservados, por lo que debe interpretarse que todos los datos personales automatizados quedan protegidos por la comunicación punitiva del art. 197.2 CP .

(...) No es posible, a su vez, interpretar que 'los datos reservados' son únicamente lo más sensibles, comprendidos en el 'núcleo duro de la privacidad', (v.g. ideología, creencias, etc.) para quedar los no reservados en el grupo de los sancionables administrativamente, por cuanto dicho enfoque hermenéutico chocaría con una interpretación sistemática del art. 197 CP , ya que si en él se prevé un tipo agravado para esta clase de datos (numero 5) 'a sensu contrario' los datos tutelados en el tipo básico, serian los no especialmente protegidos (o 'no reservados') en la terminología de la Ley.

Ahora bien, sigue diciendo dicha sentencia que es necesario que los datos afecten a la intimidad personal, lo que en este caso es indudable pues el acusado no sólo consiguió tomar conocimiento de quiénes se habían dado de alta en una página web con contenido relativo a la salud sino que también vio su contraseña que permitía acceder a toda su información personal, e incluso consiguió cambiar la del administrador, accediendo como tal.

En definitiva, los hechos que han sido declarados probados, con la corrección apuntada, encajan perfectamente en el artículo 197.2 del Código Penal , pues sin perjuicio de que la página web adolecía de déficits de seguridad, tal como indicaron también los agentes encargados de la investigación, el acusado accedió sin estar autorizado a datos personales de carácter reservado y procedió incluso a su modificación, y todo ello en perjuicio de los titulares de los datos y de terceros.

No concurre sin embargo la agravación específica de haber accedido a datos personales que revelaran la salud de los usuarios de la página web, tal como ha quedado anteriormente expuesto.

Debe por tanto estimarse parcialmente el recurso en tal extremo.



CUARTO.- Lo que acaba de indicarse conlleva que la pena a imponer sea la del apartado 2, es decir, de 1 a 4 años de prisión y multa de 12 a 24 meses, debiendo abordar antes de su individualización si concurre la atenuante de dilaciones indebidas, pues este extremo es motivo de impugnación por la Acusación Particular.

De conformidad con la STS núm. 330/2012, 14 de mayo : 'El derecho fundamental a un proceso sin dilaciones indebidas, que no es identificable con el derecho procesal al cumplimiento de los plazos establecidos en las leyes, impone a los órganos jurisdiccionales la obligación de resolver las cuestiones que les sean sometidas, y también la de ejecutar lo resuelto en un tiempo razonable. La noción de tiempo razonable constituye un concepto indeterminado que requiere para su concreción el examen de las actuaciones procesales, a fin de comprobar en cada caso si efectivamente ha existido un retraso en la tramitación de la causa que no aparezca suficientemente justificado por su complejidad o por otras razones, y que sea imputable al órgano jurisdiccional y no a quien reclama. En particular debe valorarse la complejidad de la causa, el comportamiento del interesado y la actuación de las autoridades competentes ( STEDH de 28 de octubre de 2003, Caso González Doria Durán de Quiroga y STEDH de 28 de octubre de 2003, Caso López Solé y Martín de Vargas , y las que en ellas se citan).

La doctrina jurisprudencial sostiene que el fundamento de la atenuación consiste en que la pérdida de derechos, es decir el menoscabo del derecho fundamental a ser enjuiciado en un plazo razonable o sin dilaciones indebidas, equivale a una pena natural, que debe compensarse en la pena que vaya a ser judicialmente impuesta por el delito para mantener la proporcionalidad entre la gravedad de la pena (la pérdida de bienes o derechos derivada del proceso penal) y el mal causado por el autor ( SSTS 27 de diciembre de 2004 , 12 de mayo de 2005 , 10 de diciembre de 2008 , 25 de enero , 30 de marzo y 25 de mayo de 2010 ).

La compensación se realiza mediante la aplicación de la circunstancia atenuante, que exige cuatro requisitos: 1) que la dilación sea indebida, es decir procesalmente injustificada; 2) que sea extraordinaria; 3) que no sea atribuible al propio inculpado; y 4) que no guarde proporción con la complejidad de la causa.

(...) Existe acuerdo en que el concepto de dilación indebida es un concepto abierto o indeterminado, que requiere, en cada caso, una especifica valoración acerca de si ha existido efectivo retraso (elemento temporal) y junto a la injustificación del retraso y la no atribución a la conducta del imputado, debe determinarse que del mismo se han derivado consecuencias gravosas ya que el retraso no tiene que implicar éstas de forma inexorable y sin daño no cabe reparación ( SSTS. 654/2007, de 3 de julio , 890/2007 de 31 de octubre , entre otras), debiendo apreciarse un específico perjuicio más allá del inherente al propio retraso.' En el supuesto que ahora nos ocupa no es apreciable la atenuante de dilaciones indebidas debido a que si bien los hechos sucedieron entre el 31 de julio y el 2 de agosto de 2013 y se han enjuiciado en el mes de junio de 2017, lo cierto es que no ha existido una paralización injustificada y extraordinaria en relación a la complejidad de la causa que justifique una atenuación pues la identificación del acusado como el autor de los hechos requirió diversas diligencias de investigación que a su vez exigían la cumplimentación de mandamientos dirigidos a distintas expresas y organismos, siendo ya en fecha 27 de abril de 2015 cuando se recibió en el Juzgado el resultado de las gestiones policiales realizadas; y en relación al periodo de paralización al que hace referencia la sentencia recurrida para aplicar la citada atenuante, de septiembre de 2014 a abril de 2015, durante dicho periodo de apenas ocho meses estaba activa la investigación policial después de recibir el listado de trabajadores de la empresa desde la que se había realizado la conexión, tratando de confirmar o descartar la participación de otras personas, llegando incluso a realizar diversas peticiones a Interpol Dublín para averiguar el paradero de uno de los titulares de las conexiones IP relacionadas con el acceso ilícito que nos ocupa; a ello debe añadirse que el investigado prestó declaración en fecha 18 de junio de 2015, dictándose auto de continuación de las diligencias previas por los trámites del procedimiento abreviado en fecha 9 de noviembre de 2015 y el auto de apertura de juicio oral en fecha 1 de marzo de 2016, señalándose el juicio para noviembre de 2016 y después, tras su suspensión con motivo de no constar la citación de uno de los testigos, en el mes de junio de 2017.

No concurre pues la atenuante de dilaciones indebidas, debiendo estimarse el recurso de la Acusación Particular en este punto, si bien, como a continuación veremos, la no apreciación de dicha atenuante no tiene efecto material, pues la pena que finalmente se va a imponer está dentro de la mitad inferior de la prevista legalmente.

Así pues, partiendo del arco punitivo previsto en el artículo 197.2 del Código Penal y atendiendo a la gravedad de los hechos y teniendo en cuenta específicamente las concretas circunstancias que concurrieron en el acceso no consentido a los datos reservados por parte del acusado, tal como han quedado expuestos, estima la Sala proporcionada la imposición de una pena ligeramente superior a la mínima, es decir, 1 año y 3 meses de prisión, con inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de la condena y multa de 14 meses, con la cuota diaria de 6 euros fijada en la sentencia.

Y finalmente, respecto a la solicitud de una indemnización por daños morales efectuada por la Acusación Particular, debe desestimarse el recurso en este punto.

Tal como decíamos en la resolución de esta misma Sala de 12 de septiembre de 2016, 'la responsabilidad civil derivada de los hechos constitutivos de delito comprende la indemnización por los perjuicios materiales y morales, de conformidad con lo dispuesto en los artículos 110.3 y 113 del Código Penal .

Los daños morales incluyen cualquier daño o sufrimiento en la integridad moral de una persona, que sea personalmente sentido y socialmente valorado como inaceptable y comprenden los susceptibles de valoración económica por su repercusión en el patrimonio de la víctima y los que no produciendo quebranto patrimonial (daños morales en sentido estricto) consisten en el simple dolor moral derivado del ilícito penal, refiriéndose en este sentido la jurisprudencia a la inquietud, la preocupación, la angustia, el terror, el deshonor, la tristeza y la melancolía, ( sentencias del Tribunal Supremo de 19 de junio y 10 de julio de 1987 , 22 de abril de 1989 y 17 de octubre de 1997 entre otras). Esta distinción tiene su consecuencia importante ya que, tratándose de daños morales con repercusión económica, es preciso para su resarcimiento la prueba de los perjuicios efectivamente producidos. En cambio dada la naturaleza de los daños morales en sentido estricto, es considerable la discrecionalidad del Juzgador para evaluarlos una vez, desde luego, que haya fijado los supuestos de hecho de los que se infiere necesariamente tanto su existencia como su entidad.

La situación básica para que pueda darse lugar a un daño moral indemnizable consiste en un sufrimiento o padecimiento psíquico ( sentencia del Tribunal Supremo de 22-5-1995 , 19-10-1996 y 27-9-1999 y otras más).

Así la jurisprudencia se ha referido, como ya hemos dicho, a diversas situaciones, entre las que cabe citar el impacto o sufrimiento psíquico o espiritual ( sentencia de 23-7-90 ) impotencia, zozobra, ansiedad, angustia ( sentencia de 6-7-90 ), la zozobra como sensación anímica de inquietud, pesadumbre, temor o presagio de incertidumbre; el trastorno de ansiedad, impacto emocional, incertidumbre consecuente ( sentencia de 27-1-1998 ), impacto, quebranto o sufrimiento psíquico ( sentencia de 12-7-1999 ).

En todo caso, el concepto analizado es un tanto abstracto y precisamente por ello la parte que los reclama debe acreditarlos para así poder el órgano jurisdiccional determinar si los mismos se han producido y poder en tal caso cuantificarlos.' En el caso que ahora nos ocupa convenimos con la Jueza 'a quo' que no procede estimar la concurrencia de un daño moral indemnizable, máxime atendiendo a los parámetros en base a los que es interesado por la Acusación Particular, no constando que el proyecto empresarial emprendido por los denunciantes con la puesta en marcha de la página web lleidasalut.net se viera frustrado ni que lo fuera precisamente por el acceso no consentido del acusado a determinados datos, teniendo en cuenta además que, aún no habiendo podido quedar determinados sin género de dudas, los agentes encargados de la investigación policial pusieron de manifiesto que la página web tenía déficits de seguridad que podían haber sido aprovechados para acceder ilícitamente a la información; a ello debe añadirse que tampoco ha quedado acreditado que el acusado accediera a datos especialmente sensibles que revelaran la salud de las personas, tal como expresa el recurso de apelación para justificar la indemnización interesada, sino únicamente a datos reservados de carácter personal.

Por todo ello debe indicarse que la existencia de un daño moral, es decir, un sufrimiento o impacto emocional, aún no requiriendo de expresa acreditación, no fluye de manera directa y natural de los hechos que han sido declarados probados, de modo que no procede su indemnización, debiendo desestimarse el recurso de apelación en este punto.

Así pues, procede estimar parcialmente el recurso interpuesto por el acusado, revocando la sentencia de instancia en el extremo relativo a que la condena es por un delito del artículo 197.2 del Código Penal , sin aplicar la agravación específica del apartado 6, a las penas de 1 año y 3 meses de prisión, con inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de la condena y multa de 14 meses, con la cuota diaria de 6 euros.

Asimismo, procede estimar parcialmente el recurso interpuesto por la Acusación Particular eliminando la aplicación de la atenuante de dilaciones indebidas.

Y todo ello manteniendo el resto de pronunciamientos de la sentencia de instancia.



QUINTO.- Teniendo en cuenta lo establecido en los artículos 239 y siguientes de la Ley de Enjuiciamiento Criminal , procede declarar de oficio las costas procesales causadas en esta alzada.

Vistos los artículos citados y demás de general y pertinente aplicación,

Fallo

ESTIMAMOS parcialmente el recurso de apelación interpuesto por la representación procesal de Agustín y ESTIMAMOS parcialmente el recurso de apelación interpuesto por la representación procesal de 'SMART MEDICAL SOLUTIONS, S.L.', contra la sentencia de fecha 6 de julio de 2017, dictada por el Juzgado de lo Penal núm. 3 de Lleida en el Procedimiento Abreviado núm. 139/2016, que REVOCAMOS en el sentido de condenar a Agustín como autor responsable de un delito contra la intimidad, previsto y penado en el artículo 197.2 del Código Penal , sin concurrencia de circunstancias modificativas de la responsabilidad criminal, a las penas de 1 año y 3 meses de prisión, con inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de la condena y multa de 14 meses, con la cuota diaria de 6 euros, manteniendo el resto de pronunciamientos de la sentencia de instancia y con declaración de oficio de las costas procesales de esta alzada.

Notifíquese la presente sentencia a las partes haciéndoles saber que es firme.

Devuélvanse las actuaciones al Juzgado de procedencia con testimonio de la presente resolución para su cumplimiento.

Así por esta nuestra sentencia lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.- El/la Magistrado/a Ponente del presente Rollo ha leído y publicado la resolución anterior en audiencia pública en el dia de la fecha, de lo que doy fe.

La Letrada de la Adm. de Justicia .

Fórmate con Colex en esta materia. Ver libros relacionados.