El artículo 197.2 del Código Penal (CP) castiga con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses «al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado». Además se castigan con las misma penas «a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero».

 

La Sentencia del Tribunal Supremo (STS) nº 317/2024, de 16 de abril (Ponente: Excmo. Sr. D. Pablo Llarena Conde) desgrana el artículo 197.2 del C.P. 

 

Bien jurídico protegido.

 

Respecto al bien jurídico protegido señala la STS que: «En nuestra STS nº 260/2021, de 22 de marzo, destacamos que el bien jurídico protegido por el tipo penal es la libertad o privacidad informática de los individuos proyectada sobre los datos personales, recordando que ya la Sentencia n.º 586/2016 fijó que el bien jurídico objeto de protección no era la intimidad, entendida en el sentido que proclama el artículo 18.1 de la Constitución Española, sino la autodeterminación informática a que se refiere el artículo 18.4 del texto constitucional ( STS n.º 221/2019, de 29 de abril). En el mismo sentido, la STS n.º 532/2015, de 23 de septiembre, reflejó que «lo que se protege en este apartado segundo es la libertad informática entendida como derecho del ciudadano a controlar la información personal y familiar que se encuentra recogida en ficheros de datos, lo que constituye una dimensión positiva de la intimidad que constituye el bien jurídico protegido»». 

 

¿Qué se entiende por datos de carácter personal y por datos de carácter reservado?

 

«Decíamos en la sentencia que por datos de carácter personal ha de entenderse toda información sobre una persona física identificada o identificable, tal como se desprende del artículo 4.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. 

 

Y que datos de carácter reservado eran aquellos que no son susceptibles de ser conocidos por cualquiera (SSTS n.º 1328/2009, de 30 de diciembre y nº 532/2015, de 23 de septiembre), esto es, todo conocimiento desconocido u oculto que el sujeto activo no conozca o que no esté seguro de conocer y que el sujeto pasivo no desea que se desvele, con independencia de su contenido concreto, pues la protección se extiende a todos los que se encuentren en los ficheros o archivos a los que se hace referencia, siempre que sean de carácter personal o familiar». 

 

En Perjuicio

 

Dice la STS que «Respecto de la cuestión relativa a si la modalidad de acceso requiere también que se realice «en perjuicio» del titular o de un tercero, al igual que ocurre con la alteración y la utilización de los datos, la sentencia que nos sirve de orientación subrayaba que ha sido respondida afirmativamente por esta Sala, pues la STS n.º 1328/2009, de 30 de diciembre señaló, con relación a las conductas tipificadas en el artículo 197.2 del Código Penal, que «es necesario realizar una interpretación integradora en el sentido de que como en el inciso primero, se castigan idénticos comportamientos objetivos que el inciso 2.º (apodere, utilice, modifique) no tendría sentido que en el mero acceso no se exija perjuicio alguno y en conductas que precisan ese previo acceso añadiendo otros comportamientos, se exija ese perjuicio, cuando tales conductas ya serían punibles-y con la misma pena- en el inciso segundo». En todo caso, destacamos que la misma sentencia proclamó que cuando se trata de datos sensibles, el perjuicio consiste en su mero conocimiento derivado del simple acceso, de modo que se actúa «en perjuicio» cuando se accede a los datos que merezcan la calificación de sensibles, sin que sea necesario un perjuicio añadido a su mero conocimiento. 

Si bien limitábamos la denominación de datos sensibles a los que dan lugar a la agravación prevista en el apartado 5 del artículo 197, es decir, los relativos a ideología, religión, creencias, salud, origen racial o vida sexual, pues en el artículo 9 de la actual LOPDP, Ley Orgánica 3/2018, de 5 de diciembre, se consideran una categoría especial de datos los relativos a ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico, como lo son también en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos que, al diferenciar entre datos personales y datos sensibles, se refiere a estos últimos como los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física, justificando por ello una protección especial.

 

Respecto de los demás casos de datos personales, el perjuicio pretendido debe justificarse suficientemente, esto es, debe acreditarse una consecuencia negativa que suponga algo más que el efecto propio del mero acceso o de cualquiera de las otras acciones típicas. En este sentido recordábamos la STS n.º 234/1999, de 18 de febrero y la STS n.º 803/2017, de 11 de diciembre, que expresaban que «Parece razonable que no todos los datos reservados de carácter personal o familiar puedan ser objeto del delito contra la libertad informática. Precisamente porque el delito se consuma tan pronto el sujeto activo «accede» a los datos, esto es, tan pronto los conoce y tiene a su disposición (pues sólo con eso se ha quebrantado la reserva que los cubre), es por lo que debe entenderse que la norma requiere la existencia de un perjuicio añadido para que la violación de la reserva integre el tipo». En todo caso, subrayábamos que el tipo penal exige el acceso a un dato, pues lo que el precepto sanciona no es el acceso no autorizado al fichero, sino el acceso no autorizado al dato. Un posicionamiento que se reflejó también en nuestra reciente Sentencia 43/2022, de 20 de enero. Y aun cuando el acceso a un f ichero vacío supondría confirmar, al menos, que no se dan las circunstancias que aparecerían anotadas si se hubiera constatado la realidad de referencia en el fichero, para que esta no información de concurrencia fuera penalmente relevante, sería preciso que se proyectara sobre los aspectos sensibles anteriormente expuestos o, en la eventualidad de tratarse de cualquier otra información de carácter personal, que hubiera generado un efectivo perjuicio».

Si necesita asesoramiento o defensa en cualquier asunto penal, no dude en consultarnos a través de cualquiera de las formas de contacto con #escudolegal https://escudolegal.es/contacto/

Call Now Button