Delito de descubrimiento y revelación de secretos
Concepto de datos reservados de carácter personal o familiar
Diferencia entre «datos sensibles» y los que no lo son | Jurisprudencia
En la STS 43/2022 de 20 de enero, la Sala de lo Penal del Tribunal Supremo señala que: “por datos de carácter personal ha de entenderse toda información sobre una persona física identificada o identificable, tal como se desprende del artículo 4.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos (RGPD), de aplicación directa en toda la Unión Europea a partir del 25 de mayo de 2018”. Y a ello se añadía que: “El considerando primero de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril, reconoce que la protección de las personas físicas en relación con el tratamiento de los datos de carácter personal es un derecho fundamental, citando el artículo 8 de la Carta de Derechos Fundamentales de la UE y el artículo 16 del TFUE. Y en su artículo 2 dispone que los Estados miembros deberán proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales”.
Así delimitado lo que debe ser entendido como «datos de carácter personal» y a los efectos de perfilar el concepto del objeto típico sobre el que recae la acción prevista en el artículo 197.2 del Código Penal, se continuaba resaltando en la comentada sentencia que: “Por otro lado, datos de carácter reservado son aquellos que no son susceptibles de ser conocidos por cualquiera (STS n.º 1328/2009, de 30 de diciembre). Como se expone en la STS nº 532/2015, de 23 de setiembre, reservados son «secretos» o «no públicos», parificándose de este modo el concepto con el art. 197.1 CP. Secreto será lo desconocido u oculto, refiriéndose a todo conocimiento reservado que el sujeto activo no conozca o no esté seguro de conocer y que el sujeto pasivo no desea que se conozca.
No es relevante el contenido concreto de los datos, pues la protección se extiende a todos los que se encuentren en los ficheros o archivos a los que se hace referencia, siempre que sean de carácter personal o familiar”.
A partir de aquí, y con cita de lo observado en la sentencia número 1328/2009, de 30 de diciembre, la resolución que se comenta pone de manifiesto la necesidad de diferenciar, dentro de esos datos reservados de carácter personal (o familiar) incorporados a ficheros informáticos o a cualquier clase de registro público o privado, entre los que pueden calificarse como «datos sensibles» de aquellos otros que carecerían de dicha condición. Dicha relevante distinción tiene su referente normativo más inmediato en lo prevenido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. El Reglamento diferencia entre datos personales y datos sensibles.
Concepto de datos reservados de carácter personal o familiar
Se refiere a estos últimos en los considerandos (51) y siguientes a los que atribuye especial protección debido a que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. En armonía con ello, en el artículo 9.1 indica que los datos sensibles merecen una protección especial, bien por su naturaleza o bien por su relación con los derechos y libertades fundamentales de las personas. De esta manera prohíbe su tratamiento con determinadas excepciones. Se trata de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o a la orientación sexual de una persona.
En la sentencia de cuyos razonamientos nos servimos aquí, se observa al respecto: “como datos sensibles pueden identificarse los que, en la redacción del precepto, justifican una especial protección y dan lugar a la agravación prevista en el apartado 6, actualmente 5, del artículo 197, es decir, los relativos a ideología, religión, creencias, salud, origen racial o vida sexual. En el artículo 9 de la actual LOPDP, Ley Orgánica 3/2018, de 5 de diciembre, se consideran una categoría especial de datos los relativos a ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. Datos a los que ya se hacía referencia, junto con algunos otros, en el artículo 7 de la anterior Ley Orgánica de Protección de Datos, LO 15/1999”.
Y a partir de la referida distinción entre datos de carácter personal o familiar que pueden ser calificados como sensibles y aquellos otros que no merecen dicha consideración, se remata: “cuando se trata de datos sensibles, el perjuicio consiste en su mero conocimiento derivado del simple acceso. Se actúa así «en perjuicio» cuando se accede a los datos que merezcan esa calificación, sin que sea necesario un perjuicio añadido a ese mero conocimiento… En los demás casos, el perjuicio pretendido debe justificarse suficientemente. En definitiva, «el mero acceso no integraría delito, salvo que se acreditara perjuicio para el titular de los datos o que este fuera ínsito, por la naturaleza de los descubiertos, como es el caso de los datos sensibles», (STS n.º 532/2015, antes citada).
El término «en perjuicio», según se refiere en la STS 40/2016, de 3 de febrero, informa la conducta de quien accede y de quien altera o utiliza, los datos protegidos. Pero, cuando no se trata de datos sensibles, debe estar integrado por una consecuencia negativa que suponga algo más que el efecto propio del mero acceso, o de cualquiera de las otras acciones típicas. Aunque en alguna sentencia se ha dicho (STS nº 312/2019, de 17 de junio) que «el perjuicio se refiere al peligro de que los datos albergados en las bases de datos protegidas puedan llegar a ser conocidos por personas no autorizadas», esa posibilidad se produce en todo caso desde que se ha producido el acceso no autorizado y los datos afectados ya no permanecen solamente en el fichero donde se encontraban. Será necesario, pues, identificar alguna otra consecuencia negativa para el titular o para un tercero del hecho de que el autor haya accedido a aquellos, los haya alterado o los utilice.
En este sentido se decía en la STS nº 234/1999, de 18 de febrero y en la STS n.º 803/2017, de 11 de diciembre, que «Parece razonable que no todos los datos reservados de carácter personal o familiar puedan ser objeto del delito contra la libertad informática. Precisamente porque el delito se consuma tan pronto el sujeto activo «accede» a los datos, esto es, tan pronto los conoce y tiene a su disposición (pues sólo con eso se ha quebrantado la reserva que los cubre), es por lo que debe entenderse que la norma requiere la existencia de un perjuicio añadido para que la violación de la reserva integre el tipo”…«DESCARGAR SENTENCIA COMPLETA»
Palladino Pellón – Abogados Penalistas | Concepto de datos reservados de carácter personal o familiar