Muchos delitos regulados en el Código Penal protegen la intimidad de las personas. El artículo 197.2 C.P. recoge una modalidad del delito de descubrimiento y revelación de secretos denominada contra la libertad informática o “habeas data” porque estos datos personales a los que se acede sin autorización están contenidos en programas informáticos, electrónicos o telemáticos, los cuales se encuentran inmersos en bases de datos custodiadas por terceros (por ejemplo, una Clínica, Hospital, Ambulatorio o Servicio Público de Salud). La historia clínica contiene datos altamente sensibles, estando por ello sujeta a un doble marco regulatorio el sanitario (Ley 41/2002 de Autonomía del paciente) y a la normativa de protección de datos personales (LOPD).
Concretamente, se penaliza el simple acceso ilegítimo a los datos personales, toda vez que el referido precepto establece que “Iguales penas se impondrán a quién, sin estar autorizado, ACCEDA por cualquier medio a los mismos”. De esta manera, no es necesario que se produzca un apoderamiento material del dato: SSTS 1328/2009 de 30 de diciembre o 40/2016 de 3 de febrero.
Por lo tanto, es delictiva la acción de entrar sin autorización a la historia clínica de un paciente sin que el acceso en cuestión se pueda justificar por motivos de seguimiento o estudio médico.
Al respecto, existen sentencias condenatorias por el mencionado delito del art. 197.2 C.P. de doctores o enfermeras que entraron sin autorización ni relación asistencial médica con el paciente.
A modo de ejemplo, la Sentencia de la Sala Segunda del Tribunal Supremo núm. 40/2016, de 3 de febrero, confirmó la condena por el delito continuado de descubrimiento de secretos, siendo los Hechos Probados de instancia:
“Esteban, sin consentimiento ni conocimiento de Paula, ni de ningún familiar de ésta, amparado en su condición de funcionario médico de la CAIB, lo cual le permitía acceder a los sistemas de información del IB-Salut, y siendo consciente del compromiso de confidencialidad que había contraído en fecha dieciocho de Noviembre de dos mil nueve, efectuó un total de ciento setenta y un accesos a las historias clínicas (ESIAP, o Sistema de Información de Atención Primaria) de aquella y su familia.”
Asimismo, la Sentencia de la sección 2ª de la Audiencia Provincial de Navarra núm. 73/2017, de 3 de abril también condenó por un delito continuado de descubrimiento de secretos con los siguientes Hechos Probados:
“La acusada, aprovechando su profesión de enfermera, siendo contratada como personal laboral por el Servicio Navarro de Salud y consciente del compromiso de confidencialidad que había contraído, accedió al historial médico de Valeriano sin su consentimiento y sin que mediara relación asistencial entre ellos, utilizando sus claves como trabajadora, el día 3 de julio de 2009, desde las 16:01:19 h. hasta las 16:02:21, y el día 21 de Febrero de 2011 desde las 13:47:27 hasta las 13:48:40.”
Debe significarse que los datos contenidos en la Historia Clínica de un paciente se consideran personales, con lo que integran el delito descrito. En este sentido, la Sentencia de la Sección 2ª de la Audiencia Provincial de Navarra núm. 73/2017, de 3 de abril, consideró que la conducta de acceder al Historial Clínico era penalmente relevante, fundamentando que:
“Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley, formando parte de su derecho a la intimidad (art. 7.1 Ley 41/2002 de 14 de noviembre), básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica). La historia clínica definida en el art. 3 de esta ley como el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial, estaría comprendida en ese derecho a la intimidad y además forma parte de los datos sensibles, el núcleo duro de la privacidad, cuyo mero acceso, como hemos descrito, determina el perjuicio de tercero; el del titular de la historia, cuyos datos más íntimos, sobre los que el ordenamiento le otorga un mayor derecho a controlar y mantener reservados, se desvelan ante quien no tiene autorizado el acceso a los mismos.”
En otro orden de cosas, el término “sin estar autorizado” se refiere tanto a un acceso por persona no autorizada, como por una persona autorizada fuera del ámbito de la autorización. En este sentido, la Sentencia de la Sala Segunda del Tribunal Supremo núm. 40/2016, de 3 de febrero expuso:
“Las distintas modalidades de acción implican una agresión a la custodia de los datos que aparece expresada con el término «sin estar autorizado» lo que implica no sólo una un acceso no permitido a la información reservada, como el que pudiera realizar una persona ajena a la base de datos o al archivo que incluye los datos especialmente protegidos, también un acceso realizado por un autorizado fuera del ámbito de la autorización”.
Finalmente, cabe resaltar que el elemento del “perjuicio del titular de los datos” no implica la producción de un resultado económico desfavorable, sino que equivale al peligro en abstracto de que los datos protegidos contenidos en los ficheros puedan ser conocidos por personas no autorizadas.
Así, la referida Sentencia del Tribunal Supremo 40/2016 estableció:
“La expresión del perjuicio no supone que el delito incorpore una finalidad económica. Se trata de un delito que supone el conocimiento y voluntad en la acción realizada actuando a sabiendas, en tanto que el perjuicio se refiere al peligro de que los datos albergados en las bases de datos protegidas puedan llegar a ser conocidos por personas no autorizadas”.
Ramon Riudor – Deptº Penal
Digestum Legal S.L.P