Delito contra la libertad informática o "habeas data"

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Penal
  • Fecha última revisión: 05/12/2019

Este delito se encuentra dentro del artículo 197 del Código Penal, en su apartado 2. 

Este delito contra la libertad informática se encuentra dentro del artículo 197 del Código Penal, en su apartado 2. En este apartado se establece que las penas del apartado primero se impondrán de igual manera al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

Este delito afecta a la intimidad de las personas, entendiendo englobada en ésta la información personal inserta en programas informáticos, electrónicos o telemáticos. Estos tratos de carácter reservado pertenecen al titular, pero no se encuentran en su ámbito de protección directo, que se encuentran en archivos o bases de datos cuya custodia aparece especialmente protegida en orden a la autorización de su inclusión, supresión, fijación de plazos, cesión de información, etc, de acuerdo a la legislación de protección de datos, delimitando claramente la titularidad y manejo y cesión de la información contenida en los mismos.

Tipo objetivo

La conducta típica recogida en el artículo 197.2 CP consiste en, como ya se ha explicado antes,  apoderarse, utilizar o modificar en perjuicio de tercero datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Las conductas aquí expuestas afectan a datos que no son custodiados por el titular, sino que se encuentran en bancos de datos y pueden causar perjuicios a terceros distintos del propio sujeto al que se refiere la información.

Una parte de la doctrina entiende que con este artículo se protegen dos bienes jurídicos en realidad:

  • La intimidad del sujeto pasivo en relación con las conductas de apoderarse, acceder y utilizar los datos.
  • La integridad de los datos, en relación con los comportamientos de modificar o alterar.

La sentencia 553/2015, Tribunal Supremo, Sala de lo Penal, Sección 1, Rec 456/2015 de 06 de Octubre de 2015 ofrece aclaraciones sobre la determinación de varios términos que recoge este artículo. La doctrina entiende que el calificativo de datos “reservados” no tiene sentido, debiendo desechar la tesis de que se deben proteger solamente los datos más relevantes, excluyendo otros, relegándolos al ámbito de protección administrativa. Esto no es así porque el apartado 5 agrava la pena correspondiente a las conductas realizadas sobre los datos de especial relieve, por lo cual se entiende que los demás se encuentran dentro del ámbito del apartado 2. El sentido del tipo el entendimiento más adecuado del carácter reservado de los datos es considerar que son tales los que no son susceptibles de ser conocidos por cualquiera. El precepto insiste en ello al aclarar por partida doble que el delito lo comete el que accede a los datos o los utiliza “sin estar autorizado”, evidencia de que no son datos al alcance de cualquiera.

Se entiende por fichero el conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. La información debe tener un carácter personal más relacionado con la privacidad que con la intimidad, y puede estar recogida en un archivo o registro tanto público como privado.

El concepto “apoderar” ha sido interpretado por un sector doctrinal en el mismo sentido en el que se interpreta la palabra para referirse a los delitos contra el patrimonio. Sin embargo, otro sector entiende que la interpretación debe ser más amplia, comprendiendo los supuestos en que se copian los datos, dejando intactos los originales o simplemente se capta, se aprehende, el contenido de la información, acepción en la que “apoderarse” resultaría equivalente a acceder al dato que se castiga también en el inciso final.

Por último, “utilizar” significa usar los datos sin apoderarse de ellos, y “modificar” alterar el contenido de los mismos, sin importar la mejora o empeoramiento de la situación del sujeto al que afecten.

Las conductas tienen que producirse sin estar autorizado para acceder, manipular o modificar el banco de datos y realizarse en perjuicio de tercero, tercero que puede ser distinto al titular de los datos produciéndose una triple implicación de sujetos (sujeto activo, titular de los datos y eventual perjudicado) que responde, a la idea de que el titular de los datos no puede ser sujeto activo del delito porque él es el sujeto pasivo, dado que lo tutelado es su intimidad.

Ámbito de protección en la Administración

En el supuesto relativo a la sentencia 725/2004, Tribunal Supremo, Sala de lo Penal, Sección 1, Rec 471/2003 de 11 de Junio de 2004, la Defensa entiende que el legislador considera que la intimidad de los funcionarios que custodian o manejan datos personales archivados en sede administrativa, debería ser máxima, mientras que la de los sujetos protegidos, mínima. La Sala comienza su argumentación estableciendo desde el principio justamente lo opuesto. Si lo que se pretende proteger es la intimidad de los ciudadanos frente a los riesgos que para ella tienen los datos archivados en la administración, porque se les reconoce el derecho a ser los dueños de sus propios datos personales, es evidente que el legislador no puede haber querido disminuir el ámbito de la responsabilidad de quienes deben garantizar la efectividad del derecho fundamental a costa de los titulares de los datos que han sido comercializados ilícitamente. En consecuencia, la premisa político criminal de la interpretación del art. 197 CP propuesta por la Defensa resulta incompatible con la finalidad racional de la ley.

Teniendo esto en cuenta, tampoco puede compartir la interpretación del recurrente del art. 197 CP. La tesis propuesta parte de la base (no demostrada) de que la disposición tiene un carácter sancionatorio de las normas que disciplinan la protección de datos. Sin embargo, el tipo del art. 197.2 no distingue entre el objeto de la acción que tenga fundamento en normas no penales, refiriéndose a “datos reservados de carácter personal o familiar” registrados en soportes informáticos, electrónicos o telemáticos de archivos o registros públicos o privados. El legislador ha querido alcanzar todos los datos de estas características, ya que todos ellos merecen protección penal.

Este razonamiento es difícil de contradecir, luego la Defensa acude a motivos de política criminal, que de todas formas no pueden ser utilizados para la desprotección de la sociedad frente a los que manipulan de manera ilegal datos relativos a su intimidad o privacidad.

Centrándose de nuevo en el supuesto concreto de la sentencia 725/2004, Tribunal Supremo, Sala de lo Penal, Sección 1, Rec 471/2003 de 11 de Junio de 2004, el dato referente al lugar de trabajo de una persona contenido en los archivos de la Seguridad Social es un dato de carácter personal en el sentido del art. 197.2 CP, pues se refiere a uno de los ámbitos en los que una persona desarrolla y realiza su personalidad. Si no fuera así no sería necesaria una intervención judicial motivada para su obtención. No son datos que están a disposición de cualquier solicitante y, como es obvio, no es un elemento con el que los funcionarios de la Seguridad Social puedan comerciar libremente.

Las sentencias de esta Sala citadas por el recurrente no apoyan tal punto de vista. La STS 234/1999, que acaso se podría relacionar con este caso concreto, considera que el tipo se refiere a datos que, normalmente, se pretende que no trasciendan fuera de la esfera de privacidad. Pero ello no significa que sea un elemento de los datos protegidos la suposición de un propósito de ocultarlos, pues la privacidad no es sólo, como derecho fundamental, un derecho al ocultamiento de circunstancias personales, sino un derecho a la no divulgación ilegal de los datos, dado que configura una forma del derecho a la libre realización de la personalidad.

Estos argumentos demuestran que carece de relevancia que se haya probado que sólo se revelaban los datos referentes al lugar de trabajo y domicilio de la empresa. Esos datos están tan protegidos como los demás, dado que -como hemos dicho- los que los recibían a cambio de dinero no los podían obtener de otra forma legal. Así lo ha entendido la STS 1861/2000, citada por la Audiencia, en la que se consideran datos personales reservados los referentes a incidencias de la vida laboral contenidos en ficheros de la Seguridad Social. Precisamente, la motivación del delito cometido por el acusado se explica por la protección de los datos. Dicho de otra forma: si esos datos referentes al lugar de trabajo y al domicilio de la empresa empleadora no hubieran estado protegidos, hubieran podido ser obtenidos por una vía lícita. Los recurrentes son conscientes de ello, pues, de lo contrario, hubieran alegado alguna de las formas de error previstas en el art. 14 CP.

Relación de la no autorización con el artículo 417 del Código Penal (revelación de secretos por autoridad o funcionario público)

El texto vigente del artículo 197.2 CP cuando se produjeron los hechos enjuiciados en la sentencia 509/2016, Tribunal Supremo, Sala de lo Penal, Sección 1, Rec 1958/2015 de 10 de Junio de 2016, de aplicación en la sentencia recurrida, contiene como uno de los elementos del tipo objetivo la falta de autorización para apoderarse o utilizar los datos reservados, y así se incluye “sin autorización” en el precepto.

La trascendencia de este elemento es señalada por reiterada jurisprudencia de la Sala de lo Penal del Tribunal Supremo, hasta llegar al extremo de destacarlo como uno de los elementos básico que lo diferencian del delito tipificado en el art. 417 CP. El artículo 197 CP parte de la exigencia de que el que accede a los datos no está autorizado para hacerlo, mientras que el artículo 198 CP castiga a la autoridad o funcionario público que está autorizado para manejar los datos, pero lo hace fuera de los supuestos permitidos por la ley. El artículo 417 CP, por otro lado, castiga los supuestos en los que la autoridad o funcionario público, dentro de los supuestos previstos por la ley, revela datos o divulga información que no debería ser divulgada o revelada, de la que haya tenido conocimiento por razón de su cargo. El Abogado del Estado, como se ha dejado antes expresado, se inclinó en el acto del juicio oral por subsumir en el artículo 417.2 del Código Penal la conducta de que se acusa a la ahora recurrente.

Por las razones expuestas, la Sala entiende que las alteraciones que se hacen en los hechos que se declaran probados en relación al relato fáctico de las acusaciones son indudablemente esenciales y esos añadidos, antes mencionados, determinan que pueda o no apreciarse la subsunción típica realizada por el Tribunal de instancia. De esta manera, entiende que el Tribunal de instancia, al alterar sustancialmente en la sentencia los hechos que se imputan a la acusada, ha conculcado el derecho a una defensa contradictoria en relación con el de ser informado de la acusación.

Es necesario, llegados a este punto, aclarar si de esta situación se deriva una vulneración de un derecho constitucionalmente protegido, cuestión que ya fue examinada en su día por el Pleno no jurisdiccional de la Sala Penal del Tribunal Supremo, a día 9 de abril de 1999: “Si en una sentencia se incorporan hechos nuevos o se aplican unos tipos heterogéneos que no han sido objeto de acusación, se ha producido una indefensión cuyo remedio será la absolución, o una segunda sentencia, absolviendo del exceso. Por el contrario, cuando no se hayan introducido por el juzgador hechos nuevos y se condena por delito más grave o por delito distinto, la solución será la devolución al Tribunal de instancia o dictar nueva sentencia, según proceda en cada caso concreto”.

En el caso examinado se ha producido un cambio en los elementos integradores de los hechos probados, en relación a los hechos objeto de acusación, de acuerdo con lo decidido en el Pleno mencionado, se determina la exclusión del exceso fáctico no integrado en la acusación.

Al eliminar los datos sin estar autorizado, los hechos no permiten la subsunción en el art. 197.2 CP, mientras que sí se podrían incluir en el art. 417.2 CP, ya que no es necesario ese requisito y se cumplirían los que se exigen en este último precepto, ya que se declara probado que la acusada, funcionaria pública, había revelado “secretos o informaciones de los que tenga conocimiento por razón de su oficio o cargo y que no deban ser divulgados”.

La Sala entiende por lo tanto que existe una nueva calificación jurídico que sí ha sido objeto de acusación. La recurrente, en el cuarto motivo del recurso, solicita la aplicación del artículo 417 del Código Penal, en lugar del artículo 197.2 apreciado por el Tribunal de instancia, si bien solicita la absolución por ese delito, entre otras razones, bien por prescripción, bien por entender que por la escasa relevancia del hecho no pasaría de ser un ilícito administrativo.

Concepto “en perjuicio de tercero”

En el caso que recoge la sentencia 379/2018, Tribunal Supremo, Sala de lo Penal, Sección 1, Rec 1909/2017 de 23 de Julio de 2018, los datos personales divulgados estaban almacenados en el sistema informático de la Seguridad Social. Eran datos sensibles, confidenciales y reservados, susceptibles de generar un perjuicio (no necesariamente económico). El Tribunal, para fijar la indemnización a favor en favor de la titular de los datos considera que las posibles consecuencias personales, temores o sentimientos que pudiera tener no deriva del acceso que la acusada realizó a sus datos personales, sino de la vinculación que efectuó el medio de comunicación digital, entre la adjudicación de un contrato por parte de la Tesorería General de la Seguridad Social, su padre y su contratación con la empresa adjudicataria, algo a lo que era ajena la acusada. También establece que facilitar los datos a terceros supone un daño moral, que fija en 1000 euros, a Marisa, ocasionado por haber sido conocidos por otras personas.

La jurisprudencia viene entendiendo que, con respecto al elemento objetivo del perjuicio ocasionado por la acción delictiva, que el legislador menciona expresamente (sólo con respecto al apoderamiento, utilización, modificación y alteración) que la conducta se haga en perjuicio de tercero, mientras que no exigiría tal perjuicio en el caso de la conducta de acceso. El mero acceso no integraría delito, salvo que se acreditara perjuicio para el titular de los datos o que este fuera ínsito, por la naturaleza de los descubiertos, como es el caso de los datos sensibles.

El caso juzgado en la sentencia 319/2018, Tribunal Supremo, Sala de lo Penal, Sección 1, Rec 2266/2017 de 28 de Junio de 2018, el Tribunal de instancia afirma que no consta acreditado el perjuicio de los titulares ni que el actuada actuara con el ánimo de causárselo, datos que no constan tampoco en el factum ni en la motivación probatoria. La Audiencia parece partir del hecho de que el acusado ya conocía los datos sustanciales referentes al patrimonio inmobiliario de la querellante, a partir de lo cual considera que no hay un perjuicio para su ex cónyuge, al no concurrir un menoscabo para el bien jurídico que tutela la norma penal. Para ello sigue en gran medida el criterio pautado en la sentencia 586/2016 de esta Sala centrado en la liviandad de la antijuricidad material de la conducta enjuiciada. Como no consta probado un perjuicio para la víctima, se complementa la sentencia con el argumento de que tampoco cabría inferir el dolo con respecto a un elemento objetivo que no concurre, ya entendamos el dolo como el específico de un elemento subjetivo del injusto o ya como el dolo en su modalidad básica.

Destacamos la STS, Sala de lo Penal Nº 221/2019, Rec. 516/2018, de 29 de abril de 2019 en la que la Sala de lo Penal del Tribunal Supremo considera que no se ha perpetrado el delito de revelación de secretos y descubrimiento, en el acto de una mujer, funcionaria de un juzgado que, haciendo uso de las claves de acceso a la Agencia Tributaria, accedió a la información patrimonial de su exmarido, con la finalidad de utilizar esa información en la ejecución de la sentencia de divorcio.

Para su exmarido, esta actuación, “le causó grave perjuicio moral y, además, la acción se realizó en su perjuicio pues los datos de los que se apropió y más tarde utilizó son de los considerados sensibles. Añade, que el perjuicio que expresa el tipo penal del art. 197.2 del Código Penal se refiere al peligro de que los datos albergados en las bases de datos protegidas puedan llegar a ser conocidos por personas no autorizadas. Recuerda que estamos ante un delito de peligro que se consuma con la realización de la acción sin necesidad de resultado lesivo alguno”.

Respecto al delito de revelación de secretos, el Supremo llega la conclusión, en la línea marcada por la STS Nº 557/2017, de 13 de julio, de que no ha existido menoscabo sustancial del bien jurídico que tutela la norma penal contenida en el artículo 197.2 del Código Penal, procediendo en base a ello a absolver a la acusada del delito de revelación de secretos del que venía siendo imputada.

El bien jurídico protegido en este delito es la libertad o privacidad informática de los individuos proyectada sobre los datos personales. En este sentido, señalábamos en la sentencia núm. 586/2016, que el bien jurídico objeto de protección no es la intimidad, entendida en el sentido que proclama el artículo 18.1 de la Constitución Española, sino la autodeterminación informativa a que se refiere el artículo 18.4 del texto constitucional.

Por lo que se refiere al elemento objetivo del perjuicio ocasionado por la acción delictiva, en la sentencia núm. 1328/2009, de 30 de diciembre , distinguíamos entre datos 'sensibles' y los que no lo son, precisando que los primeros son por sí mismo capaces para producir un perjuicio típico, por lo que el acceso a los mismos, apoderamiento o divulgación, poniéndolos al descubierto comporta ya ese daño a su derecho a mantener los secretos ocultos (intimidad) integrando el 'perjuicio' exigido mientras que en los datos 'no sensibles', no es que no tengan virtualidad lesiva suficiente para provocar para producir el perjuicio, sino que debería acreditarse su efectiva concurrencia”.

Por ello, el Supremo concluye que, “la absolución de la exmujer ha venido determinada por no integrar su actuación el delito de descubrimiento y revelación de secretos por el que era acusada, al no haber apreciado el Tribunal de instancia un menoscabo sustancial del bien jurídico que tutela la norma penal, ni la concurrencia de determinados elementos que integran el tipo penal (…)”.

 

No hay versiones para este comentario

Datos personales
Funcionarios públicos
Delitos contra la libertad
Protección de datos
Derechos fundamentales
Delito patrimonial
Tutelado
Intervención y administración judicial
Dolo
Datos sensibles
Revelación de secretos
Delito de revelación de secretos
Tutela
Indefensión
Tipo penal
Adjudicataria
Tesorería General de la Seguridad Social
Daños morales
Patrimonio inmobiliario
Ex cónyuge
Resolución judicial divorcio
Perjuicios morales
Ejecución de la sentencia
Lesividad
Descubrimiento y revelación de secretos
Daños y perjuicios
Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
  • Tipo objetivo y subjetivo del delito de descubrimiento y revelación de secretos

    Orden: Penal Fecha última revisión: 28/10/2019

    Dentro del Título X. Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio, se encuentra en el artículo 197 del Código Penal el delito de descubrimiento y revelación de secretos.Tipo objetivoEn relación a...

  • Protección de datos en las relaciones laborales

    Orden: Laboral Fecha última revisión: 03/02/2020

    La empresa, o sus asesores, deben conocer y cumplir las exigencias sobre protección de datos recogidas en la normativa actual. Exigencias, que como veremos no solo abarcan en el ámbito laboral formalidades asociadas a la LOPDGDD o RGPD, sino que ha...

  • Datos relativos a condenas e infracciones penales en la LOPDGDD y en el RGPD

    Orden: Administrativo Fecha última revisión: 10/12/2019

    Los datos relativos a infracciones y condenas penales, no se encuentran expresamente incluido en la relación de categorías especiales de datos que podemos consultar en el tema correspondiente. Ahora bien, como veremos, el RGPD establece similares c...

  • Objeto y ámbito de aplicación del RGPD y de la LOPDGDD

    Orden: Administrativo Fecha última revisión: 07/02/2019

    A partir del 25 de mayo de 2018, con el comienzo con la aplicación del Reglamento General de Protección de Datos (en adelante RGPD),  se instaura un conjunto único de normas directamente aplicables en todos los Estados miembros, que actualmente s...

  • Relaciones electrónicas entre las Administraciones Públicas

    Orden: Administrativo Fecha última revisión: 28/12/2020

    Las relaciones electrónicas entre las Administraciones Públicas vienen reguladas en los artículos 155-158 Capítulo IV del Título III de la Ley 40/2015, de 1 de octubre. El esquema es el siguiente: Artículo 155. Transmisiones de datos entre Ad...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros y cursos relacionados