jueves, 18 de febrero de 2016

Habeas data: acceso inconsentido a los datos médicos


La STS 185-2016, de 3-II, ponente Excmo. Andrés Martínez Arrieta, ratifica la previa condena de la Audiencia de Palma de Mallorca por un delito continuado del art. 197. 2 Cp a la pena de 3 años y 3 meses de prisión, multa y responsabilidad civil.

Los hechos, en síntesis, consisten en que, por lo que parece, una enfermera tuvo una relación con un médico. El médico, en cuanto cortaron, accedió a los datos de ella, del marido de ella, de un menor y de otro familiar en más de cien ocasiones.

Respecto al art. 197. 2 Cp y concretamente en cuanto al perjuicio que causa el acceso a los historiales, señala el TS en el FJ 2º:
Ciertamente, el perjuicio al que se refiere el tipo penal no es la lesión psicosomática declarada concurrente, ésta es una consecuencia de la conducta que deberá ser tenida en cuenta para fundar, como hace la sentencia, la responsabilidad civil. Por otra parte, el recurso no cuestiona ni el carácter inconsentido del acceso, pues no existe autorización, ni se realiza en el seno de una actuación médica que lo justificara, tampoco el carácter secreto de los archivos objeto del acceso, pues la ley de sanidad y los códigos deontológicos así lo declaran.

La cuestión deducida en el recurso plantea, por lo tanto, el problema interpretativo relativo a la exigencia de un perjuicio como requisito de la tipicidad en la modalidad de acceso del art. 197.2 del Código penal.

Recordamos que el artículo presenta una variedad de modalidades típicas regida por los verbos nucleares que delimitan la acción. Se exige la falta de autorización para "apoderarse, utilizar o modificar en perjuicio de tercero datos reservados de carácter personal..", añadiendo que "Iguales penas se impondrán a quien sin estar autorizado acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero".

La sentencia impugnada reproduce la jurisprudencia de esta Sala, con cita de las SSTS 1328/2009, de 30 de diciembre y de 18 de octubre de 2012 , afirmando que pese a que desde una interpretación gramatical pudiera entenderse que la exigencia de perjuicio no cubre a la modalidad típica del acceso, y así lo sostiene el Ministerio público en su informe en el que impugna el motivo, sí es exigible el perjuicio desde una interpretación integradora del tipo penal, pues no tendría sentido que se exigiera el perjuicio para los comportamientos delictivos consistentes en apoderarse, utilizar y modificar, y no se exigiera para el acceso, cuando las anteriores conductas típicas requieren el acceso para su realización. Reseñamos también la STS 532/2015, de 23 de septiembre que añade que la conducta sería atípica si no se acreditara el perjuicio para
el titular de los datos o que éste fuera insito, por la naturaleza de los datos descubiertos, como es el caso
de los datos sensibles.

Ratificamos en esta Sentencia esa interpretación. El delito del art. 197.2 del Código penal, delito contra la libertad informática o "habeas data" es un delito que atenta a la intimidad de las personas mediante una conducta típica que va referida a la realización de un uso ilegítimo de los datos personales insertos en programas informáticos, electrónicos o telemáticos. Se trata de datos reservados que pertenecen al titular pero que no se encuentran en su ámbito de protección directo, directamente custodiados por el titular, sino inmersos en bases de datos, en archivos cuya custodia aparece especialmente protegida en orden a la autorización de su inclusión, supresión, fijación de plazos, cesión de información, etc, de acuerdo a la legislación de protección de datos, delimitando claramente la titularidad y manejo y cesión de la información contenida en los mismos. (Vid. STS 1084/2010, de 9 de diciembre ).

Caracteriza, por lo tanto, esta figura típica tratarse de datos propios de la intimidad de una persona guardadas en bases de datos no controladas por el titular del derecho, y, por ende, sujeta a especiales normas de protección y de acceso que el autor quiebra para acceder. El carácter sensible de los datos a los que se accede incorpora el perjuicio típico.

Como dice la STS 532/2015, de 23 de septiembre, en principio todos los datos personales analizados son "sensibles" porque la ley no distingue a la hora de darles protección y el tipo penal prevé una agravación (art. 197.6 CP) para los supuestos en los que el objeto sea especialmente sensible, afectando a ideología, religión, creencias, origen racial o vida sexual.

Las distintas modalidades de acción implican una agresión a la custodia de los datos que aparece expresada con el término "sin estar autorizado" lo que implica no sólo una un acceso no permitido a la información reservada, como el que pudiera realizar una persona ajena a la base de datos o al archivo que incluye lo datos especialmente protegidos, también un acceso realizado por un autorizado fuera del ámbito de la autorización y de ahí que, como dijimos en la STS 1328/2009, de 30 de diciembre, los verbos nucleares del tipo penal han de ser interpretados en el sentido amplio comprendiendo los supuestos en los que se copian datos dejando intactos los originales, bastando con captar, aprehender, el contenido de la información, sin ser precisa un apoderamiento material del dato.

Desde la perspectiva expuesta la modalidad de conducta consistente en el acceso inconsentido, requiere un perjuicio, porque así lo exige el tipo penal, "Iguales penas se impondrán a quien sin estar autorizado acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero". El término "en perjuicio" informa la conducta de quien accede y de quien altera o utiliza, los datos protegidos; además, y como dijimos en las Sentencias que la de instancia relaciona y añadimos la STS 234/99, de 18 de febrero, sería ilógico incluir la exigencia de un perjuicio en las modalidades típicas que implican el previo acceso al dato.

La expresión del perjuicio no supone que el delito incorpore una finalidad económica. Se trata de un delito que supone el conocimiento y voluntad en la acción realizada actuando a sabiendas, en tanto que el perjuicio se refiere al peligro de que los datos albergados en las bases de datos protegidas puedan llegar a ser conocidos por personas no autorizadas. En el caso ese perjuicio se ha producido, y el autor lo pretendió al tomar conocimiento de un dato personal especialmente sensible en nuestro ámbito cultural, inherente a la intimidad mas estricta que no interesa sea conocido fuera de la privacidad y hacerlo con conocimiento de una actuación contraria a la norma que permite su acceso.

El perjuicio se realiza cuando se apodera, utiliza, modifica o accede a un dato protegido con la intención de que su contenido salga del ámbito de privacidad en el que se incluyó en una base de datos, archivo, etc, especialmente protegido, porque no es custodiado por su titular sino por titulares de las bases con especiales exigencias de conductas de protección. Así lo expusimos en la STS de 11 de julio de 2001, al reseñar que
el perjuicio exigido va referida a la invasión de la intimidad y no a la producción de un quebranto económico patrimonial concreto. En la STS 532/2015, de 23 de septiembre, se refiere ese perjuicio en un supuesto similar al presente porque perjudica a su titular al tratarse de datos sensibles por su naturaleza cuyo acceso ya perjudica a su titular.

En la relación fáctica se refiere la existencia del perjuicio que se concreta en el acceso a los historiales alojados en bases de datos de varios miembros de una familia, y conociendo que esos datos no deben salir de sus bases salvo justificación y que se accede con interés en acosar a la perjudicada con la que el acusado había roto una relación, de manera que se expresa en el relato fáctico que la relación era "tormentosa", lo que dio lugar a la incoación de expedientes en el centro de salud en el que ambos trabajaban. Los accesos son plurales, 171 y 62 accesos a dos bases de datos distintas la del IB-salut, y la HSAL, prolongados en el tiempo, desde el 1 de diciembre de 2009, hasta el 9 de febrero de 2011, y afectó a la perjudicada, su esposo, su hermana e hija, lo que es indicativo de un inusitado interés en la búsqueda de información a la que no podía acceder. Esa reiteración de la conducta supone una agresión continuada en la intimidad de la perjudicada y sus familiares, lo que supone la realización del tipo, un acceso inconsentido realizado en perjuicio de la titular que ha visto perjudicado su derecho a la intimidad por la conducta del acusado, que la realiza no de forma casual, ni de forma involuntaria, sino reiterada.”.

Por último, en un caso así no se puede establecer la responsabilidad de la persona jurídica por: 1) Los hechos son anteriores al 23-XII-2010, 2) no hay beneficio para la PJ en la actuación del empleado (el médico), 3) es una PJ de derecho público. Sin embargo, no serán tan raras las condenas en un futuro inminente en el caso de ventas de datos o permitir el acceso a terceros respecto a los datos clínicos o de otra índole.

Si la materia es de vuestro interés, podéis seguir otros enlaces similares con las etiquetas que constan al final del post o usando el buscador que aparece en el lateral derecho. También, si es de vuestro gusto y deseáis estar informados al instante sobre las novedades de este blog, podéis seguirlo suscribiéndoos en el lateral derecho del blog, o en

No hay comentarios:

Publicar un comentario en la entrada