El creciente uso de las tecnologías hace que día a día tengamos al alcance de nuestra mano una gran cantidad de información, tanto en el ámbito laboral como en el particular, pero ¿todo acceso a información es ilimitado y legítimo? Pues, recientemente ha sido publicada una sentencia del Tribunal Superior de Justicia de Castilla y León (en adelante TSJCYL) en la que se ha venido a confirmar la pena de prisión a una enfermera por acceder, hasta en 18 ocasiones y prevaliéndose de su condición de funcionaria pública, al historial clínico de una compañera de profesión, sin su consentimiento ni conocimiento y sin que mediara relación asistencial que pudiera justificar este acceso.
Esta resolución reafirma lo ya manifestado en instancia por la Sección Tercera de la Audiencia Provincial de León en el que se tramitó esta causa en la que se consideraba que concurría un delito de descubrimiento y revelación de secretos, causa que entramos a analizar más en profundidad.
Loshechos se reducen a que una enfermera de profesión accedió, entre los días 3 de julio de 2014 al 2 de septiembre de 2015, hasta 18 veces a la historia clínica de una compañera, también enfermera, aprovechándose de que en el ordenador que la condenada usaba se había instalado el programa informático denominado “MEDORA”, usado para todos los planes de prevención de salud que desarrollaba la sección en la que ejercía su profesión. Para acceder a este programa, había obtenido, de sus superiores, las claves informáticas con carácter exclusivo, personal e intransferible y sólo para fines de trabajo.
Se llega a la conclusión por parte de la Audiencia de que la acusada se prevale de su condición de funcionaria pública para acceder a datos íntimos de la víctima (como son los referidos a su salud) y, por ello, a datos incluidos en el núcleo duro de la privacidad y calificados de especialmente protegidos según el artículo 9.1 del Reglamento General de Protección de Datos. Se considera que se lleva a cabo una actuación por parte de la condenada sin estar autorizada y sin motivo asistencial alguno, causando a la víctima un perjuicio ante la posible trascendencia de estos datos. En relación con esto último, se acredita en el acto del juicio que, efectivamente, la afectada estaba diagnosticada desde hace 20 años de una enfermedad que no había desvelado a parte de su familia más cercana.
Tras la valoración en su conjunto de todas las pruebas practicadas en el acto del juicio, pruebas directas (testifical, pericial y documental) y prueba indiciaria para deducir la autoría, la Audiencia Provincial de León condenó a la acusada a una pena de prisión de 2 años y 9 meses, una pena de inhabilitación absoluta durante 6 años, así como, entre otras, la obligación de indemnizar a la víctima en la cantidad de 4000 euros en concepto de daño moral por la comisión de un delito contra la intimidad, en concreto, la comisión de un delito de descubrimiento y revelación de secretos en su modalidad de acceso inconsentido a datos reservados (historia clínica) en perjuicio del titular de los mismos previsto en el artículo 197.2 y 198 del Código Penal por su condición de funcionaria pública. Efectivamente, el artículo 197.2 dispone que se condena a quien “se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado…y a quien, sin estar autorizado acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero”.
Este asunto no se quedó aquí y la condenada interpuso recurso de apelación contra la sentencia dictada por la Audiencia Provincial de León por considerar que se había producido una infracción del derecho a la tutela judicial efectiva, al principio de igualdad por desproporción de la sanción y a la motivación de la resolución (respectivamente regulados en los artículos 24, 14 y 120.3 de la Constitución Española), así como un error en la valoración de la prueba y un quebrantamiento de las normas y garantías procesales en relación con el principio de presunción de inocencia y el principio in dubio pro reo.
En este recurso de apelación admitido por el TSJCYL, la condenada solicita, principalmente, su absolución ante la falta de pruebas concluyentes sobre la autoría de los hechos que se le imputan y, subsidiariamente, atendiendo a criterios de proporcionalidad e igualdad ante la ley, la reducción de las condenas y solicitud de oficio del oportuno indulto.
La condenada niega que fuera la única persona con acceso al ordenador en el que se hallaba instalado el programa MEDORA y que fuera la única funcionaria que lo supiera utilizar. Asimismo, manifiesta que otros compañeros tenían capacidad suficiente para acceder por necesidades del servicio y que, además, ella no tenía motivos para curiosear el historial clínico de la denunciante, manifestando que accedió una sola vez para averiguar el teléfono en relación con los envíos que llegaban a la sección para la denunciante que se encontraba de baja.
Se atreve, incluso, a expresar que no existía un sistema de acceso mediante huella que hiciese verdaderamente intransferible el acceso (cuestión ya analizada de forma más minuciosa en otro artículo de este blog en el que se ponen de manifiesto fórmulas para la correcta verificación de los accesos) y que el sistema adolecía de medidas de seguridad en materia de protección de datos personales. En este sentido, alega la acusada que no se probó que existieran medidas de seguridad suficientes y que tales medidas fueran advertidas a los funcionarios para garantizar que solo y exclusivamente una persona pudiera usar sus credenciales.
Asimismo, dispone en la apelación que el Sacyl debía saber que cuando entregaba claves y credenciales sólo a la condenada, estaba consintiendo la posibilidad de compartir las claves con el resto del personal de la sección y ello era habitual y no sorprendente. Según su versión, no se probó, por tanto, cómo se trabajaba en la sección y esta prueba era carga de la acusación, sin que se pueda considerar una probatio diabólica acreditar que todos los funcionarios accedían desde el ordenador de la acusada con sus contraseñas al programa MEDORA.
Por tanto, la condenada considera que se ha obtenido una sentencia de condena con base a indicios que se consideran insuficientes, habiéndose valorado la prueba con falta de racionalidad, apartamento de las máximas de experiencia y omisión del razonamiento sobre alguna prueba practicada que pudiera ser relevante.
El TSJCYL, para desmantelar la argumentación de la apelante, expone las siguientes consideraciones:
- En relación con la posible infracción del derecho a la tutela judicial efectiva de la condenada por falta de motivación de la sentencia recurrida, se aduce la sentencia del Tribunal Supremo de 10 de febrero de 2022 que indica que la motivación de las sentencias debe abarcar el aspecto fáctico, el aspecto jurídico y una motivación decisional, de tal suerte que pueda ponerse de manifiesto que no se ha actuado con arbitrariedad.
Asimismo, el Tribunal matiza, con doctrina constitucional, que “no se exige un razonamiento judicial exhaustivo y pormenorizado de todas las perspectivas”, sino que deben de considerarse suficientemente motivadas aquellas resoluciones que vengan apoyadas en razones en virtud de las cuales permitan conocer los criterios jurídicos esenciales que fundamentan la decisión.
Repasada la sentencia de instancia por los miembros del TSJCYL, entienden que concurre sentencia motivada y lo único que subyace de la argumentación de la recurrente es la valoración sobre su disconformidad con el proceso de valoración de la prueba, en concreto, sobre la cuestión de la carga de la prueba de la autoría.
- Sobre este proceso de valoración de la prueba y la posible vulneración del derecho a la presunción de inocencia y el principio in dubio pro reo, el Tribunal dispone que se entenderían infringidos estos derechos en el caso de que una sentencia condenatoria se dictase con ausencia de prueba, pero no en aquellos casos en los que se refleje un mínimo de actividad probatoria de cargo suficiente y producida en el acto del plenario con todas las garantías procesales.
El principio in dubio pro reo señala, tomando como base la sentencia 666/2010 del Tribunal Supremo de 14 de julio, cuál debe ser la decisión en los supuestos de duda, pero no puede determinar la aparición de dudas donde no las hay en el caso de que exista prueba de cargo suficiente y válida.
Hay que tener en cuenta que los medios de prueba inculpatorios los comprenden, no sólo las pruebas directas, sino también las indirectas, indiciarias o circunstanciales. La sentencia indica que la convicción judicial podrá formarse por la prueba indiciaria o circunstancial siempre y cuando se cumplan las exigencias expresadas en la sentencia del Tribunal Supremo de 29 de junio de 2005.
De hecho, el Tribunal Europeo de Derechos Humanos en múltiples sentencias, y también nuestro propio Tribunal Constitucional (en la sentencia 175/85 de 17 de diciembre), establece que la prueba indiciaria es suficiente para desvirtuar la presunción de inocencia, como ocurre en el caso.
Partiendo de todas estas premisas, concluye el Tribunal que la sentencia debe ser confirmada por sus propios fundamentos ya que además de hacer una valoración de la prueba lo más lógica, racional y razonable, tal prueba de los accesos es suficiente, más allá de toda duda razonable, para acreditar la autoría directa de la recurrente.
Para apuntillar y dar un broche final a la argumentación jurídica, el Tribunal deja claro que lejos de un mal funcionamiento expuesto por la recurrente de la sección de salud, supone una cautela el imponer a una sola persona, por el carácter reservado y especialmente protegidos de los datos contenidos en el mismo, un solo acceso a los mismos. Considera el TSJCYL que esta alegación no es sino una excusa para desviar la atención del hecho que desde su ordenador se accedió 18 veces al historial clínico de su compañera.
En cualquier caso, también se pone de manifiesto que los posibles defectos de seguridad que pudiera tener la aplicación MEDORA, no afectarían a la obligación que asumen los usuarios de la aplicación de no ceder sus claves, personales e intransferibles, debiendo procurar su no divulgación, como tampoco afectaría a la obligación de acceder a los historiales clínicos de las personas cuando existan motivos asistenciales que lo justifiquen y, en este caso, no existían. En este sentido, en otra entrada del blog, se profundiza, analizando casuísticas, de forma amplia, sobre el tema de quién debe responder ante la falta de negligencia en la custodia de las contraseñas, condenando en este caso a la entidad, ante la inexistencia de una adecuada política de gestión de contraseñas y que motivó que un compañero de trabajo pudiera tener acceso a la carpeta en la que una compañera guardaba las mismas.
Además, en palabras del Tribunal, carece de razón la recurrente cuando afirma que “la acusación tiene que probar, no solamente que la acusada accedió desde su ordenador y con sus credenciales al historial clínico de la víctima, sino también que ninguna otra persona accedió, ya que ello sí que sería un hecho negativo de imposible prueba, y, por lo tanto, una probatio diabólica impuesta a la acusación”.
El TSJCYL, teniendo en cuenta todas estas alegaciones, confirma, íntegramente, lo dispuesto en la sentencia impugnada, desestimando el recurso de apelación interpuesto por la recurrente.
Con el análisis de esta sentencia, podemos deducir que no todo acceso a la información disponible es válido sin una finalidad que justifique este acceso pues, si se realiza de una forma indebida y sin base, constituye una fundada y grave afectación del derecho a la intimidad y la autodeterminación informativa. Derechos que enlazan con la plena libertad informática que debe tener un ciudadano en cuanto a su derecho a controlar el uso de los datos de carácter personal que puedan recogerse y tratarse informáticamente, y, correlativamente, a oponerse a que tales datos sean utilizados para fines distintos de aquél legítimo que justificó su obtención.
