En reciente sentencia de la Sala de lo Pena del Tribunal Supremo N.º 392/2020, 15 de Julio de 2020, la Sala resuelve en casación que el tipo penal del artículo197.2 del CP no castiga, con relación a la Historia Clínica de un paciente, el mero acceso al registro o soporte informático, sino el acceso a los datos, esto es, el apoderamiento, utilización o modificación de los datos de carácter personal o familiar de una persona que se encuentren registrados en los mismos. El objeto de protección son los datos reservados de carácter personal o familiar, entendiendo por «datos personales» toda información sobre una persona física identificada o identificable y por datos de carácter reservado, es decir, aquellos que no son susceptibles de ser conocidos por cualquiera.
En el supuesto objeto de enjuiciamiento, el Juzgado de instrucción número 2 de Santiago de Compostela, incoó seguido por el trámite de Diligencias Previas, Procedimiento Abreviado número 4544/2013, por el delito de revelación de secretos por particular, contra D. Mario y como acusación particular Don Pascual, y concluso, lo remitió a la Audiencia Provincial de A Coruña cuya Sección Sexta, dictó sentencia N.º 111/2018, de 8 de octubre, en el Rollo de Sala N.º 61/2017, con los siguientes hechos probados:
«Mario, mayor de edad y sin antecedentes penales, aprovechando su condición de médico del SERGAS, sin que existiera razón asistencial alguna y sin consentimiento ni conocimiento de Pascual accedió los días 23 y 29 de junio de 2011 a la historia clínica electrónica de este último en la aplicación IANUS del SERGAS, con la intención de conocer su estado de salud, en concreto, la existencia de una parte de baja por incapacidad temporal laboral.
En fecha 2.04.2012, Mario, cuando era administrador judicial de SEGRAPEL, SL, ordenó que se pusiese en conocimiento de la Inspección Médica del SERGAS las posibles bajas presentadas por Pascual en las fechas 22.06.2011 y 24.01.2012 con motivo de IT: enfermedad común. En la denuncia formulada se señala que ambas bajas las firma el Dr. Samuel y las altas la Dra. Florinda y que el trabajador no entregó nunca el original, enviando las bajas escaneadas por correo electrónico.
Pascual fue gerente de entidad mercantil SEGRAPEL, SL hasta marzo de 2012 y Mario era socio de dicha entidad.»
A resultas de lo predicho, la Audiencia Provincial dictó el siguiente pronunciamiento:
«Condenamos a Mario como autor de un delito contra la intimidad previsto y penado en el artículo 197.2. del Código Penal en relación con el artículo 198 del mismo texto legal, no concurriendo circunstancias modificativas de la responsabilidad, a las penas de prisión de 2 años y 7 meses, multa de 19 meses, a razón de 10 euros diarios, con una responsabilidad personal subsidiaria en caso de impago de un día de privación de libertad por cada dos cuotas diarias no satisfechas, así como la de inhabilitación absoluta por tiempo de 6 años y un mes para el ejercicio de la medicina, y la accesoria de inhabilitación especial para el ejercicio del derecho de sufragio pasivo durante el tiempo de la condena privativa de libertad y al pago de las costas procesales, con inclusión de las de la acusación particular.
Condenamos a Mario a que indemnice a Pascual, en la suma de 1500 euros, cantidad que devengará el interés previsto en el artículo 576.1 del Ley de Enjuiciamiento Civil desde la fecha de esta sentencia.»
Así las cosas, y como decimos en sede de casación, la Sala de lo Penal del Tribunal Supremo, viene a resolver que:
1º. El bien jurídico protegido por el tipo contenido en el artículo 197.2 del Código Penal, por el que el recurrente ha resultado condenado, es la libertad o privacidad informática de los individuos proyectada sobre los datos personales, haciendo referencia, de seguido, a la Sentencia N.º 586/2016, de 4 de julio, que refiere que «el bien jurídico objeto de protección no es la intimidad, entendida en el sentido que proclama el artículo 18.1 de la Constitución Española, sino la autodeterminación informativa a que se refiere el artículo 18.4 del texto constitucional. Se trata de una mutación histórica de innegable trascendencia conceptual, de un derecho de nueva generación que otorgaría a cada ciudadano el control sobre la información que nos concierne personalmente, sea íntima o no, para preservar, de este modo y en último extremo, la propia identidad, nuestra dignidad y libertad.»
2º. «Partiendo pues de que el acusado no accedió a datos, sensibles o especialmente protegidos, procede analizar si el acceso a la pestaña de altas y bajas de la aplicación informática produjo algún perjuicio al Sr. Pascual.
Como expresábamos en la ya citada sentencia núm. 803/2017, de 11 de diciembre, «Las sentencias de esta Sala generalmente no interpretan la expresión » en perjuicio » como un elemento subjetivo del injusto. Así lo acredita la sentencia 234/1999, de 17 de junio, en la que se argumenta que esta Sala no puede compartir que la expresión «en perjuicio de» supone la exigencia de un ánimo o especial intención de perjudicar al titular de los datos o a un tercero, aunque no deja de reconocer que la preposición «en» ha sido interpretada frecuentemente en dicho sentido. En el tipo que analizamos, sin embargo, situado inmediatamente después de otro -el del art. 197.1- en que el ánimo específico aparece indicado con la inequívoca preposición «para», el perjuicio producido por la acción tiene que estar naturalmente abarcado por el dolo, pero no tiene que ser el único ni el prioritario móvil de la acción. A esta conclusión debe conducir no sólo el argumento sistemático a que se acaba de aludir, sino la propia relevancia constitucional del bien jurídico lesionado por el delito, cuya protección penal no puede estar condicionada, so pena de verse convertida prácticamente en ilusoria, por la improbable hipótesis de que se acredite, en quien atente contra él, el deliberado y especial propósito de lesionarlo. Estamos pues -dice la sentencia 234/1999- ante un delito doloso, pero no ante un delito de tendencia.
Y en lo que atañe al elemento objetivo, afirma la misma sentencia que parece razonable que no todos los datos reservados de carácter personal o familiar pueden ser objeto del delito contra la libertad informática. Precisamente porque el delito se consuma tan pronto el sujeto activo «accede» a los datos, esto es, tan pronto los conoce y tiene a su disposición (pues sólo con eso se ha quebrantado la reserva que los cubre), es por lo que debe entenderse que la norma requiere la existencia de un perjuicio añadido para que la violación de la reserva integre el tipo, un perjuicio que puede afectar, como hemos visto, al titular de los datos o a un tercero. No es fácil precisar, «a priori» y en abstracto, cuándo el desvelamiento de un dato personal o familiar produce ese perjuicio. Baste ahora con decir que lo produce siempre que se trata de un dato que el hombre medio de nuestra cultura considera «sensible» por ser inherente al ámbito de su intimidad más estricta; dicho de otro modo, un dato perteneciente al reducto de los que, normalmente, se pretende no transciendan fuera de la esfera en que se desenvuelve la privacidad de la persona y de su núcleo familiar. (…) La STS 1328/2009, de 30 de diciembre, distingue entre datos «sensibles» y los que no lo son, precisando que los primeros son por sí mismos capaces para producir el perjuicio típico, por lo que el acceso a los mismos, su apoderamiento o divulgación poniéndolos al descubierto comporta ya ese daño a su derecho a mantenerlos secretos u ocultos (intimidad) integrando el «perjuicio» exigido, mientras que en los datos «no sensibles», no es que no tengan virtualidad lesiva suficiente para provocar o producir el perjuicio, sino que debería acreditarse su efectiva concurrencia.
En definitiva, el mero acceso no integraría delito, salvo que se acreditara perjuicio para el titular de los datos o que este fuera ínsito, por la naturaleza de los descubiertos, como es el caso de los datos sensibles. Interpretación integradora, que acota el ámbito delictivo, de otro modo desmesurado y con sanciones graves para conductas en ocasiones inocuas, pero a su vez, supera la crítica de quienes entendían que al limitar la punición del mero acceso a los datos que causan un perjuicio apreciable a los datos «sensibles», suponía una restricción excesiva, pues se produce el efecto de asimilar el perjuicio a la parte más básica de la intimidad («núcleo duro de la privacidad»): salud, ideología, vida sexual, creencias, etc. que ya se castiga como subtipo agravado en el actual artículo 197.6, lo que conllevaría la práctica inaplicación del artículo 197.2 del Código Penal; tal asimilación no la predicamos, pero cuando el acceso se refiere a datos no sensibles, el perjuicio debe ser acreditado ( SSTS 1328/2009, de 30-12; 532/2015, de 23-9; y 553/2015, de 6-10).»
En el supuesto de autos lo que con su actuación conoció el acusado es que no existían bajas registradas en la historia médica del Sr. Pascual. Como ya se ha expresado, debe rechazarse el carácter sensible de tal información. A ello cabe añadir que la acción del acusado no ha supuesto perjuicio para el Sr. Pascual. Y, como ya ha sido expresado, no consta que algún dato relativo al Sr. Pascual haya sido transmitido a terceros.»
En definitiva, y según hemos anticipado, «No se ha acreditado que, como consecuencia al acceso al historial médico, Mario, hubiese causado algún tipo de perjuicio directo a Pascual en su actividad laboral en aquel tiempo. El conocimiento de las bajas médicas los tuvo por otros medios. No existía anotación alguna en el historial médico. El cese en la actividad laboral ninguna relación ha tenido con dicho incumplimiento «, luego, haciendo una interpretación extensiva a supuestos similares, podemos entender que el mero acceso a la Historia Clínica no integraría delito, salvo que se acreditara perjuicio para el titular de los datos o que este fuera ínsito, por la naturaleza de los descubiertos, como es el caso de los datos sensibles.
