Sentencia Penal Nº 358/2015, Audiencia Provincial de Girona, Sección 4, Rec 415/2015 de 22 de Junio de 2015

Encabezamiento

AUDIENCIA PROVINCIAL

SECCIÓN CUARTA

GERONA

Rollo Apelación nº 415/ 15.

Juicio Rápido nº 143/ 14.

Juzgado de lo Penal nº 6 de Girona.

SENTENCIA Nº 358/15

Ilmos Sres.

D. Adolfo Jesús García Morales.

D. Francisco Orti Ponte.

D. Javier Marca Matute.

En la ciudad de Gerona a 22 de junio de 2015.

VISTOante esta Sección el rollo de apelación Penal nº 415/15 formado para sustanciar el recurso de apelación interpuesto contra la sentencia dictada por el Juzgado de lo Penal nº 6 de Girona en el Procedimiento Juicio Rápido nº 143/ 14 de los de dicho órgano Jurisdiccional, seguido por un delito de descubrimiento y revelación de secretos, siendo parte apelante Edemiro asistido del Letrado Sr/ Sra. Miguel Abad Brando y parte apelada el Ministerio Fiscal y la Sra. Alicia defendida por el Letrado Sr. José Sánchez Melero y actuando como Magistrado Ponente el Ilmo. Sr. D. Francisco Orti Ponte, quien expresa el parecer unánime del Tribunal.

Antecedentes

PRIMERO.-Por el Juzgado de lo Penal indicado en el encabezamiento y con fecha 21. 11. 2014 se dictó Sentencia en cuya parte dispositiva textualmente se decía: ' Condeno a Edemiro como autor penalmente responsable de un delito contra la intimidad ya definido con la concurrencia de la circunstancia agravante de parentesco y la circunstancia atenuante de (arrepentimiento espontáneo) análoga significación a la pena de SIETE MESES DE PRISIÓN con inhabilitación especial para el ejercicio del derecho de sufragio pasivo durante el tiempo de la condena, con imposición de las costas procesales '.

SEGUNDO.-Notificada dicha resolución a todas las partes interesadas, contra la misma se interpuso recurso de apelación por la representación procesal del Sr/Don. Edemiro en cuyo escrito tras expresar los fundamentos del recurso que tuvo por pertinentes, interesó la revocación de la sentencia recurrida y en su lugar se dictara otra en los términos que constan en el escrito de recurso y que se dan por reproducidos.

TERCERO.-Admitido a trámite dicho recurso se dió traslado del mismo al resto de las partes personadas para que en el término legal formularan alegaciones que tuvieren por conveniente a sus respectivos derechos, trámite que fue evacuado por las mismas ante esta Sección Cuarta de la Audiencia de Girona.

CUARTO.-Recibidos los autos y registrados en esta Sección quedaron los mismos para Sentencia, siendo la fecha indicada en el encabezamiento la correspondiente a deliberación, votación y fallo.

UNICO.-Se admite y da por reproducido el relato de hechos probados contenido en la resolución de instancia.

Fundamentos

PRIMERO.-Se admiten y dan por reproducidos en esta alzada todos y cada uno de los fundamentos de derecho contenidos en la resolución recurrida en cuanto no se opongan a los contenidos en la presente resolución.

SEGUNDO.-Basa el recurrente el presente recurso de apelación en un pretendida infracción del ordenamiento jurídico por aplicación indebida del art. 197. 3 del C. P . y ello por considerar que no consta que el acusado ' hubiere vulnerado las medidas de seguridad establecidas para impedirlo'.

El motivo de recurso no puede prosperar.

SEGUNDO.-La interposición del presente recurso de apelación, ha llevado a la Sala al estudio pormenorizado del delito tipificado en el art. 197. 3 del C. P , debiendo decir que para ellos se ha tomado en consideración el estudio titulado ' Límites de la Ley Penal del nuevo delito de intrusión informática' elaborado por D. Enrique Anarte Borrallo y Antonio Doval Pais. Profesor titular (EU) de Derecho Penal y Catedrático de Derecho Penal de la Universidad de Huelva y Universidad de Alicante.

El art. 197. 3 del C. P dispone: ' El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años'.

Dicho precepto aparece ubicado entre los delitos del Título que lleva por encabezamiento ' Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio'.

Se enmarca, concretamente, en el Capítulo denominado ' Del descubrimiento y revelación de secretos', cuya estructura permite reconocer tres agrupaciones delictivas: de descubrimiento, de revelación y de intrusión.

A diferencia de la mayor parte de los delitos del Capítulo, no se trata de una modalidad de descubrimiento, ni tampoco una figura de revelación de secretos, sino más precisamente de intromisión. Ahora bien, incluso a primera vista parece claro que, cuanto más se vincule el artículo 197.3 con el derecho a la intimidad y a los datos personales, más van a superponerse los límites de la intervención penal que proporciona ese precepto con los que ya existían tras la aprobación del Código penal de 1995 y la reforma del régimen jurídico de los datos personales.

De las alternativas que presenta la inserción entre los delitos de descubrimiento de esta nueva infracción, la tesis que registra una mayor adhesión es la de que el artículo 197.3 escapa a la lógica de la tutela directa y única de la intimidad y los datos personales y que marca un nuevo espacio de protección con un objeto jurídico diferenciado: la seguridad o la intangibilidad de los sistemas informáticos . Esta idea se encuentra avalada por la normativa internacional y comparada concordante.

Con respecto a tal objeto, el delito de intrusión se comportaría como una figura de lesión, ya que, en tanto la consumación viene determinada por el acceso o la permanencia, estas conductas suponen evidentemente la vulneración de la seguridad y la intangibilidad de los sistemas informáticos.

En definitiva, con base en razones de orden sistemático, se plantea que el artículo 197.3 sigue estando vinculado con la protección de la intimidad y los datos personales, en tanto que constituirían los bienes jurídicos protegidos. Ahora bien, las conductas que dicha norma sanciona no representan genuinas afecciones de la intimidad y de los datos personales -o sea, descubrimiento o revelación-, sino que se adelanta el umbral típico hasta incorporar estadios previos, lo que convierte al precepto en una figura de peligro en relación con la intimidad y los datos personales, que sería abstracto puesto que se presumiría de la ejecución de las acciones seleccionadas (acceso y mantenimiento).

Así, pues, se puede considerar que el número 3 del artículo 197 supone un adelantamiento de la protección en un doble sentido:

a) primero, porque permite sancionar hechos que representan riesgos para la intimidad y los datos personales, y

b) segundo, porque permite sancionar hechos dirigidos a descubrir y/o revelar la intimidad o los datos personales.

En todo caso la conducta típica exige la vulneración de medidas de seguridad 'ad hoc'.

Pero el presupuesto legal no constituye, sin más, una condición del objeto de la conducta sino que en rigor va referido a las conductas, a las que delimita. De modo que deben realizarse vulnerando las medidas de seguridad, siempre que dichas medidas estén establecidas precisamente para impedir esos comportamientos; es decir, en principio, no únicamente el acceso sino también la permanencia típicos. Esto supone que, de las múltiples medidas de seguridad informática, son relevantes para el tipo solo las que se interponen para evitar la realización de las conductas.

Solo serían relevantes las medidas ligadas a la seguridad de la información, como sería el caso de los llamados cortafuegos. No quedarían abarcadas, en cambio, las medidas de seguridad ajenas a esta, como son en principio los antispam. Aun así, resultarían típicas aquellas medidas que por ejemplo ofrecen productos como determinados antivirus, que en rigor proporcionan una seguridad integral, al menos en sus versiones premium. Es decir: cortafuegos, administración de cuentas de usuarios, detección y prevención de intrusos, infraestructura de llave pública, conexión única ' single sign on (SSO)', biometría, cifrado, cumplimiento de privacidad, acceso remoto, firma digital, intercambio electrónico de datos 'EDI' y transferencia electrónica de fondos 'EFT', transferencia electrónica segura 'SET'. Aun así, conviene advertir que estas tecnologías con frecuencia son, por así decirlo, de doble uso, es decir, que constituyen una respuesta no solo a la seguridad de la información sino, en general, a la seguridad informática.

El establecimiento de medidas de seguridad suficientes no puede identificarse sin más con la existencia de una declaración más o menos expresa de negación de acceso. Eso, que quizás pueda valer respecto del delito de allanamiento de morada, no es aquí predicable. Dicho de otro modo, insistiendo en lo expuesto más arriba, la medida de seguridad es autónoma respecto de la existencia o no de autorización.

Por todo ello, debe descartarse que puedan tomarse en consideración unas medidas de seguridad tan burdas que no exijan un nivel técnico especialmente alto para su vulneración73, como ocurre cuando la clave de acceso aparece en la pantalla, bastando con pulsar la tecla 'intro' o confirmando la clave74. Algunas resoluciones de tribunales extranjeros exigen que las claves tengan cierta complejidad, lo que no ocurre si la clave es, por ejemplo, 'password', '123456' o 'qwerty'75.

Se ha planteado también si las contraseñas y, en definitiva, las medidas de seguridad que abren las puertas del sistema en el que se encuentran datos o programas, o de una parte del sistema, pueden ser considerados como objetos de las conductas de acceso. La respuesta no es sencilla, pero parece que es preciso distinguir según que las claves estén recogidas en el sistema como otros datos o programas o estén ligadas al mismo cumpliendo solo la función de medida de seguridad a través de la que se controla el acceso (como las contraseñas de paso) o la permanencia en el sistema. En este último caso, el acceso al sistema supone el quebranto de la clave y se correspondería, en consecuencia, con el ingreso en el sistema, pero no necesariamente con el acceso a datos o programas (por ejemplo, si el ordenador es nuevo y está aún sin contenido relevante). Sin embargo, en el primero cabría considerar que el acceso a la clave constituye un descubrimiento de secreto que puede ser punible conforme al artículo 197.1 del C. P .

Una vez obtenido el acceso, el simple acceso no basta pues el tipo, con respecto a la conducta de acceso, vincula la acción típica con los datos o los programas. En consecuencia -contra el criterio de una parte de la doctrina y de la configuración de las infracciones del Convenio sobre Ciberdelincuencia y de la Decisión Marco, que refieren el acceso al sistema informático sin más-, una vez dentro del sistema informático, por así decirlo, se precisa algo más (aunque no necesariamente hacer algo más).

Una alternativa identificaría el acceso, una vez superada la medida de seguridad, con la asunción del control o, mejor, por la disponibilidad del dato o del programa, de modo que el sujeto está en condiciones de visualizarlo, de copiarlo, de imprimirlo, de destruirlo, de modificarlo, de cederlo, de revelarlo, etcétera, sin que sea preciso que efectivamente ello tenga lugar ni que tenga ante sí el dato. Esta interpretación parece coherente en términos político-criminales y concuerda con la evolución indicada antes, así como con la voluntad del legislador, pero convierte al tenor literal en una metáfora del comportamiento típico (acceder a datos) y, por ello, desborda los límites legales.

TERCERO.-De acuerdo con todo lo expuesto es evidente que el imputado vulneró en efecto las medidas de seguridad que impedían tener acceso a la cuenta de Facebook de la perjudicada, ya que como se dijo la contraseña de Facebook es una medida de seguridad ad hoc, ya que con tal contraseña se controla el acceso y la permanencia en el sistema y el acceso supone el quebranto de la clave y el ingreso en el sistema por el que se obtiene la disponibilidad del dato o del programa, de modo que el sujeto está en condiciones de visualizarlo, de copiarlo, de imprimirlo, de destruirlo, de modificarlo, de cederlo, de revelarlo, etcétera.

La Sra. Alicia ha manifestado en todo momento ' nunca le dio permiso para acceder a Facebook, él podía saber la contraseña porque la vió tecleándola, supone y siempre usaba la misma contraseña para Facebook y email'. Pero el hecho de que el imputado supiere la contraseña de Facebook dela Sra. Alicia ha sido reconocido por el mismo, así que utilizó la misma sin su consentimiento para acceder al sistema, así en el plenario manifestó: ' ... reconoce que accedió al Facebook de su ex pareja ya que las contraseñas las tenía él... que su pareja no le dio permiso para acceder a la red social en su nombre. Una vez accedió a la cuenta de Facebook colgó un mensaje pero poco después colgó otro pidiendo perdón... no miró su contenido privado únicamente se limitó a poner el mensaje porque se sentía decepcionado por la situación de ruptura con ella... cuando cuelga el mensaje se hizo pasar por la Sra. Alicia .'

CUARTO.-Se alega por otro lado por el recurrente que procedería la absolución del imputado en aplicación del art. 14. 1 del C. P al estar a su entender en presencia de un caso de error de tipo invencible.

El motivo de recurso no puede prosperar.

El error, en cuanto integra un desconocimiento del carácter ilícito de la conducta ejecutada o la actividad que se está realizando, pese a aparecer la misma legalmente conminada y definida como delito como toda excepción a la norma o hecho impeditivo de la responsabilidad, ha de quedar debidamente probado por quien lo alega, no bastando su mera invocación. Para su exclusión no se requiere que el agente tenga seguridad respecto a su proceder antijurídico, bastando que tenga conciencia de una alta probabilidad de antijuridicidad, así como capacidad y posibilidad de afianzar las sospechas o despejar las dudas sobre su licitud.

Así las cosas, el imputado en modo alguno puede presentarse como ajeno a un conocimiento al que no tuviera oportunidad de acceso, sino todo lo contrario. La conciencia de la ilicitud de su acción o cuando menos de la alta probabilidad de su significación es palmaria desde el momento que con posterioridad ' colgó otro mensaje pidiendo perdón'.

VISTOSlos arts citados y demás de general y pertinente aplicación:

Fallo

Que debemos DESESTIMAR Y DESESTIMAMOSel recurso de apelación interpuesto por la representación procesal de D/Dª. Edemiro contra la sentencia dictada por el Juzgado de lo Penal nº 6 de Girona, con fecha 21. 11. 2014 y en consecuencia CONFIRMAMOSaquella Sentencia en todas sus partes, declarando de oficio el pago de las costas procesales causadas en esta segunda instancia.

Notifíquese esta resolución a las partes personadas y hágaseles saber que contra la misma no cabe interponer recurso alguno.

Líbrese testimonio de esta sentencia y remítase juntamente con los autos principales al Juzgado de su procedencia para que se lleve a efecto lo acordado.

Así por esta nuestra Sentencia lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.-Una vez firmada por todos los Magistrados que la han dictado se a a la anterior Sentencia la publicidad ordenada por las leyes procesales. En Gerona a 22 de junio de 2015, doy fe.