AD 31/2021
- El habeas data y la protección jurídica de los datos personales
- La protección penal del habeas data: el artículo 197.2 CP y análisis jurisprudencial del delito contra la libertad informática
- Conclusiones
Resumen
El desarrollo de las nuevas tecnologías y la evolución de la sociedad de la información implica, más que nunca, que debamos conocer qué vías de protección existen respecto de nuestros datos personales. Como última opción para la defensa de nuestras libertados, nos encontramos con el delito contra los datos personales, tipificado en el artículo 197.2 de nuestro Código Penal. Se trata de un delito ya contemplado en la Ley Orgánica 10/1995, de 23 de noviembre, que ha sido progresivamente interpretado por la jurisprudencia de nuestro Tribunal Supremo, adaptándose a los cambios y avances sociales.
Abstract
The development of new technologies and the evolution of the information society means that everybody must know wich options we have available to protect our personal information. As the last option for the defence of our freedoms, there is the crime against personal data, typified in the second part of the article 197 of the Spanish Penal Code. This crime was already included in Law 10/1995, of 23rd November, which has been progressively interpreted by the case-law of our Supreme Court, in accordance with the social changes and IT advances.
Palabras Clave
Datos Personales; Protección de Datos, Habeas Data, Derecho Penal; Jurisprudencia; Tribunal Supremo.
Key Words
Personal Data; Data Protection; Habeas Data; Criminal Law; Case-Law; Supreme Court.
- El habeas data y la protección jurídica de los datos personales
Las nuevas tecnologías y los innumerables avances producidos en el ámbito de la informática e Internet han determinado la aparición de una nueva era digital en la que actualmente nos encontramos: la sociedad de la información. En la actualidad, las tecnologías de la información y comunicación están más presentes que nunca en nuestra rutina: trabajamos con ordenadores y sistemas informáticos, nos comunicamos a todas horas a través de Internet, nos relacionamos con personas ubicadas en cualquier parte del mundo y establecemos múltiples relaciones comerciales y económicas a través de la red.
En este nuevo contexto de interconexión absoluta y por el mero hecho de realizar acciones cotidianas, nuestra información personal es recogida, utilizada y transmitida, a gran escala, de forma inmediata y con un muy bajo coste entre diversos agentes de la sociedad de la información. Por ello, los datos personales se han convertido en un activo de considerable valor, hasta el punto de surgir la denominada economía la información[1], que atiende a diversos intereses empresariales y políticos.
El ordenamiento jurídico, tanto nacional como internacional[2], no se ha mantenido ajeno a esta evolución tecnológica, atendiendo a las nuevas necesidades legislativas existentes para la efectiva protección de los individuos y de sus respectivos derechos. Así, la Constitución Española reconoce el derecho fundamental de todas las personas a la libertad informática o habeas data, el cual ha sido desarrollado jurisprudencialmente por nuestro Tribunal Constitucional[3], de forma autónoma al derecho fundamental a la intimidad[4]. El habeas data se traduce en la autodeterminación informativa, entendida como la libertad de decidir quién, qué, cuándo y con qué motivo los datos personales y familiares de una persona pueden ser tratados por otros[5].
Este derecho se configura a través de una doble vertiente: por un lado, existe una dimensión positiva relativa al derecho a que todas las personas puedan controlar su información personal y familiar; y, por otro lado, la prohibición de apoderarse, acceder, utilizar, modificar o alterar datos personales ajenos sin la debida legitimidad para ello.
Es decir, la información personal se protege positivamente por la normativa de protección de datos personales (siendo la norma vigente por excelencia el Reglamento UE 2016/679 General de Protección de Datos) y, de forma negativa, por el Código Penal español.
2.- La protección penal del habeas data: el artículo 197.2 CP y análisis jurisprudencial del delito contra la libertad informática
El artículo 197.2 CP sanciona “al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero”.
El castigo establecido por la comisión de este delito es la privación de la libertad por un periodo de uno a cuatro años, así como la pena de multa entre doce y veinticuatro meses, cumpliéndose de esta forma el mandato constitucional establecido en el artículo 18.4 CE[6].
El bien jurídico protegido por este delito es el derecho a la libertad informática del sujeto pasivo (el titular de los datos), en relación con los datos personales propios o familiares sobre los que se haya llevado a cabo alguna o algunas de las conductas recogidas en el Código Penal.
Concretamente, la tutela de la libertad informática se materializa, en un primer momento, en la protección de los denominados “datos reservados de carácter personal o familiar”. Este concepto ha conllevado ciertos problemas interpretativos de este delito, dado que la denominación utilizada por nuestro Código Penal no concuerda con las demás existentes en esta materia. No obstante, tanto la doctrina como la jurisprudencia nos han permitido delimitar este concepto y establecer qué debemos entender por “datos reservados”.
En primer lugar, el artículo 4.1) RGPD establece, de acuerdo con la normativa anterior en esta materia, que se entenderá como dato de carácter personal “toda información sobre una persona física identificada o identificable («el interesado»)”[7]. Por lo tanto, atendiendo a la normativa en materia de protección de datos, el concepto de datos de personales no deja lugar a ningún tipo de duda o incertidumbre. No obstante, como antes se anticipaba, el problema aparece en relación con el adjetivo “reservados”, en relación con los datos personales, ya que esta terminología carece de respaldo, tanto en el ámbito penal como en el de la protección de datos de carácter personal. Así, este concepto jurídico indeterminado ha tenido que ser interpretado por el Tribunal Supremo, quien ha establecido en su jurisprudencia que por “datos reservados” debemos entender información secreta, que no es susceptible de ser conocidos por cualquiera[8].
Por lo tanto, se exige que los datos o información pertenezcan al ámbito privado y personal o familiar del sujeto. El Tribunal Supremo ha establecido que, aunque en el segundo apartado del art. 197 CP se refiere a datos reservados de carácter personal o familiar, no es preciso que los datos pertenezcan al núcleo duro de la privacidad (salud, ideología, vida sexual, creencias religiosas, etc.) y que, de ser así, procedería aplicar la agravación del apartado quinto del artículo 197 cuando se afecte a la intimidad personal[9].
Conductas
El artículo 197.2 CP castiga la realización de conductas contrarias a la libertad informática llevadas a cabo cuando los datos no están en manos del titular o familiar de la información, sino que son tratados por un tercero que debe custodiarlos y utilizarlos con la diligencia debida para su efectiva protección.
El artículo 197.2 CP se compone por una variedad de modalidades típicas, concretamente por los diferentes verbos nucleares que delimitan la acción (“apoderarse, utilizar y modificar, acceder”).
No autorizado
Se exige que el sujeto activo actúe sin la debida autorización para llevar a cabo las diferentes conductas y sin que exista ninguna causa o justificación que fundamente su actuación.
Adicionalmente, la propia redacción del precepto penal confirmaría esta interpretación, en tanto que se insiste, en más de una ocasión y a lo largo del artículo 197 CP, que el delito debe ser cometido por una persona no autorizada a realizar tal conducta, lo cual evidencia que los datos objeto del injusto no están al alcance de cualquier individuo.
En perjuicio de tercero
En cuanto al perjuicio causado a un tercero, se exige este requisito para entender consumada la conducta típica, así como la debida acreditación del mismo, salvo en el caso de que el perjuicio fuese intrínseco en relación con la naturaleza de los datos, como ocurre con los datos sensibles[10].
Se trata de un delito que supone un conocimiento efectivo y una voluntad en la realización de la acción, en tanto que el perjuicio al se refiere al peligro de que los datos albergados en las bases de datos protegidas puedan llegar a ser conocidos por personas no autorizadas. Concretamente, el perjuicio se produce cuando se apodera, utiliza o modifica un dato de carácter personal con la intención de que su contenido rebase el ámbito de la privacidad en el que se incluyó (ya sea en una base de datos, archivo o registro), en tanto esta información no es custodiada por el titular de los datos, sino por los titulares de las bases de datos, a quienes se les imponen unas especiales conductas y obligaciones de protección.
En cuanto al perjuicio causado al titular de los datos personales, la jurisprudencia del Tribunal Supremo ha establecido que se requiere una «fundada y grave afectación del bien jurídico protegido«[11]. A modo de ejemplos recogidos en nuestra jurisprudencia, nos encontramos los siguientes casos de comisión del delito recogido en el artículo 197.2 CP:
- El acceso reiterado, no autorizado e injustificado, por parte de un médico del servicio público de salud a las historias clínicas e información primaria de su expareja y familiares (más de 200 veces y durante un plazo de dos años), aprovechando su cargo y sus derechos de acceso a los sistemas informáticos y con consciencia del incumplimiento del deber de confidencialidad[12].
- El apoderamiento de datos relacionados con los miembros de la Asociación de Parapléjicos y Grandes Minusválidos Físicos por parte de un colaborador temporal (domicilios, teléfonos y cuentas bancarias), con el fin de utilizarlos en su beneficio propio para actividades de contactos, sexos o el ofrecimiento de trabajos fraudulentos[13].
- La identificación y utilización periodística de qué presos internos en un concreto establecimiento penitenciario padecían de SIDA[14].
En lo relativo al elemento objetivo del tipo, debemos indicar que no todos los datos reservados, personales o familiares, pueden ser objeto del delito contra la libertad informática objeto del presente análisis. En tanto que el delito se consuma cuando el sujeto activo accede a los datos, ya que este es el momento en el que los conoce y los tiene a su disposición, debe entenderse que el Código Penal requiere la existencia de un perjuicio añadido al acceso en sí mismo.
En cualquier caso, debemos tener claro que la esfera de actuación de la norma penal es subsidiaria respecto del régimen sancionador-administrativo establecido por la normativa específica en materia de protección de datos (el Reglamento UE 2016/679 General de Protección de Datos y la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales). Asimismo, la protección de carácter penal será de aplicación cuando se haya constatado la intrínseca gravedad del supuesto concreto, de forma proporcional a los hechos y al perjuicio efectuado en el bien jurídico protegido.
En tal sentido, en numerosos casos, el Tribunal Supremo ha fallado la desestimación de recursos sobre la comisión del delito contra la libertad informática por no existir un perjuicio suficiente para la víctima, sin perjuicio de la posibilidad de acudir a la vía administrativa por las actuaciones acaecidas (normativa de protección de datos personales y tutela de la Agencia Española de Protección de Datos)[15].
En definitiva, los titulares de los datos personales afectados por una intromisión ilícita de un tercero podrán recurrir a la vía administrativa para la protección de sus derechos, cuando no concurran los elementos necesarios para entender que se ha cometido un delito del artículo 197.2 CP[16].
3.- Conclusiones
El ordenamiento jurídico español protege, desde diversas perspectivas, los datos personales de los individuos, configurándose este derecho como de nueva creación ante el avance de las tecnologías y el uso generalizado de Internet.
No obstante, y en sintonía con el principio del Derecho Penal de ultima ratio, la posibilidad cometer el delito contra los datos personales de alguien requiere la concurrencia de los requisitos anteriormente analizados y, además, de la existencia de un perjuicio grave y suficiente para la víctima.
En cualquier caso, con el fin de garantizar el derecho a la autodeterminación informativa reconocido en nuestra Constitución, existen otras vías al alcance de cualquier persona perjudicada por el uso ilícito de sus datos o información personal o familiar, a través de las cuales podrá proteger sus derechos. Sin embargo, existen también excepciones a la aplicación del régimen de protección extrapenal, así como incertidumbre en cuanto a determinados requisitos del delito contemplado en el artículo 197.2 CP que, en ciertos casos, podrá implicar imposibilidad de protección que busca el legislador español.
Laura Fernández García
10 de marzo de 2021
[1] GÓMEZ-BARROSO, José-Luis, “Uso y valor de la información personal: un escenario de evolución”. El profesional de la información, v. 27, n. 1, 2018, pp. 5-18.
[2] En este sentido, el Consejo de Europa aprobó, el 28 de enero de 1981, el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, el cual asentó las bases de la regulación jurídica actual en esta materia.
[3] Así, vid. las sentencias STC 11/1998, de 13 de enero; STC 45/1999, de 22 de marzo y STC 292/2000 de 30 de noviembre.
[4] Las sentencias STS 254/1993, de 20 de julio y STS 143/1994, de 13 de junio reconocen la existencia del derecho fundamental a la libertad informática, de carácter autónomo como derecho, pero con contenido derivado del derecho a la intimidad personal.
[5] PÉREZ LUÑO, Antonio-Enrique, “La tutela de la libertad informática en la sociedad globalizada”, ISEGORÍA, n. 22, 2000, pp. 59-68.
[6] El citado precepto indica, en relación con el habeas data, que “la Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
[7] Así, este mismo precepto estable que “se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.
[8] En este sentido, la STS 1328/2009, de 30 de diciembre.
[9] Ello ha sido establecido en la STS 358/2007, de 30 de abril.
[10] Así ha sido establecido en la STS 532/2015, de 23 de septiembre.
[11] En este sentido, STS 803/2017, de 11 de diciembre y STS 586/2016, de 4 de julio.
[12] Así se ha establecido en la STS 40/2016, de 3 de febrero.
[13] Es el caso de la STS 1532/2000, de 9 de octubre.
[14] Estos son los hechos probados y analizados en la STS 234/1999, de 18 de febrero.
[15] Ello ha sido recogido en la STS 392/2020, de 15 de julio.
[16] En este sentido, resulta de especial interés la resolución de la Agencia Española de Protección de Datos en relación con el procedimiento sancionador PS/00334/2019.

Desde 2018, contribuye en el asesoramiento integral en el ámbito legal, de protección de datos y de prevención del blanqueo de capitales y de la financiación del terrorismo de los clientes de UBT Legal & Compliance.
Adicionalmente, actúa como Experta Externa para la realización de auditorías de Modelos de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, en la entidad KEY AUDITORS, acreditada por ENAC para estas verificaciones.
Educación y Formación
- Certificación Experto Externo en Prevención del Blanqueo de Capitales y Financiación del Terrorismo. INBLAC (actualidad)
- Máster Universitario en Ciberdelincuencia, Derecho Penal y Nuevas Tecnologías. Universitat Oberta de Catalunya (actualidad).
- Máster Universitario en Derecho de las Telecomunicaciones, Protección de Datos, Sociedad de la Información y Comunicación Audiovisual. Universidad Carlos III de Madrid (2018/2019).
- Graduada en Derecho. Universidad de A Coruña (2014/2018).