La protección de datos personales es cada vez más exigente
“El que confía sus secretos a otro hombre se hace esclavo de él” (Baltasar Gracián)
DATOS PERSONALES DE HISTORÍA CLÍNICA: UN BIEN CON PROTECCIÓN
Hace solo 50 años la informática, los ordenadores y los datos apenas importaban a nadie. Hoy en día todo es digital con incalculable volumen de información en ese soporte.
De todos esos datos, los denominados de carácter personal son sensibles y de manera especial, muy protegidos por las normas.
Internet es una realidad omnipresente en la vida personal y profesional. Hoy identificamos con bastante claridad los riesgos y oportunidades que la tecnología de la información nos ofrece.
La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española.
Dice nuestra Constitución que: «la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».
El Tribunal Constitucional en su Sentencia 94/1998 de 4 de mayo ya dijo que nos encontramos ante un derecho fundamental a la protección de datos que garantiza a la persona el control sobre sus datos. Cualquier dato personal, su uso y destino, deben ser protegidos para evitar el tráfico ilícito o lesivo. Preservando la dignidad y los derechos de los afectados.
Para ello las leyes han configurado una protección cada vez más exigente.
Objetivo:
Que los datos no puedan ser usados para fines distintos a aquél que justificó su obtención.
La Sentencia del TC 292/2000, de 30 de noviembre, lo considera un derecho autónomo e independiente que permite a su titular su disposición y control; saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso.
PROTECCIÓN DE DATOS PERSONALES SENSIBLES
¿Qué son los datos sensibles?
Los datos sensibles, o especialmente protegidos, son una categoría de datos que, debido a su incidencia especial en la intimidad, las libertades públicas y los derechos fundamentales de la persona, requieren una mayor protección que el resto de los datos personales.
¿Qué es un dato personal y qué no?
La normativa europea -y hasta ahora también las nacionales- protege cualquier dato que permita identificar a una persona identificada (o identificable), como nombre, correo electrónico, DNI, matrícula del coche, número de teléfono, domicilio o fecha de nacimiento, entre otros. Y también imágenes, huellas o grabaciones de voz.
Pero también admite como información personal los datos que puedan conducir a identificar a una persona, aunque no esté directamente identificada, “mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social”.
Según explica la Agencia Española de Protección de Datos (AEPD) en su ‘Guía del Ciudadano’, “el derecho fundamental a la protección de datos es la capacidad que tiene el ciudadano para disponer y decidir sobre todas las informaciones que se refieran a él. Es un derecho reconocido en la Constitución Española y el derecho europeo y protegido por la ley orgánica de protección de datos (LOPD)”.
La ley española (redactada siguiendo las directrices de la normativa europea) reconoce a toda persona: “el derecho a saber por qué, para qué y cómo van a ser tratados sus datos personales y a decidir acerca de su uso”, recuerda la AEPD.
Solo las Administraciones públicas, la policía o la publicidad que usa datos de fuentes accesibles al público, como la guía telefónica, están excluidas de notificar a los interesados que se está utilizando su información personal.
PROTECCIÓN DE DATOS POR EL CÓDIGO PENAL
Los datos personales son objeto de protección en el ámbito civil y objeto de duras sanciones penales, las conductas que atenten a la intimidad de las personas.
Así, el TÍTULO X del Código Penal Código Penal regula Delitos conta el honor, intimidad y a la propia imagen.
En concreto el CAPÍTULO I se ocupa del descubrimiento y revelación de secretos en los arts.197 a 201 Código Penal.
El legislador quiere proteger todos los datos personales al considerarlos merecedores de protección penal.
Ahora bien, se exige que los datos o información pertenezcan al ámbito privado y personal o familiar del sujeto.
La STS 358/2007 de 30 de abril, recordó que, aunque en el apartado 2 del art. 197 CP se refiere a datos reservados de carácter personal o familiar, no es preciso pues que pertenezcan al núcleo duro de la privacidad. Siendo así se aplicará la agravación del art. 197 CP, apartado 5.
El término «reservados» que utiliza el CP se refiere a «secretos» o «no públicos».
Es secreto lo desconocido u oculto que su titular no quiere que se conozca por otros.
En definitiva, el mero acceso no integraría delito, salvo que, se acreditara perjuicio para el titular de los datos o que este fuera ínsito, por la naturaleza de los descubiertos, como es el caso de los datos sensibles, por ejemplo, los de salud.
¿Cuáles son los datos especialmente protegidos?
Los que revelan la ideología, la religión, las creencias, la afiliación sindical y la información que se refiere al origen racial, a la salud y a la vida sexual.
Están regulados en el art. 9.1 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, sobre protección de datos de personas físicas, la libre circulación de estos datos.
PROTECCIÓN DE DATOS PERSONALES DE HISTORIA CLÍNICA Y ACCESO ILEGÍTIMO
El TS cada vez hila más fino en la protección penal de los datos de carácter personal clínicos.
Como ejemplo, sentencias que tratan esta cuestión:
STS DE 17 DE MARZO, Nº 250/2021, REC. 2463/2019
Esta sentencia confirma que el acceso ilegítimo a datos sanitarios, en concreto el acceso a una historia clínica, sin razón para ello, es delito.
El TS anula una anterior sentencia del TSJ de Castilla-León de 16 de abril de 2019.
Los hechos resumidos son:
Enfermera que prestaba servicio en un Centro de Salud de Valladolid.
Por su trabajo usaba el programa informático MEDORACYL, que registra información de los pacientes del servicio público de salud: datos personales e historial clínico.
El acceso solo está permitido cuando se trate de un paciente «asignado» al profesional que va a efectuar la consulta. Si se trata de un paciente «no asignado», el acceso debía tener motivo justificado.
A las 19,53 h. del 18/02/2016 la enfermera accedió 1 minuto a los datos de otra profesional sanitaria. Profesional que, a su vez, era paciente de otro Centro de Salud, sin que hubiera motivo justificado alguno.
A las 18,24 h. del 23/02/2016, accedió también, durante 1 minuto, a los datos de dos hijos de la anterior. Hijos que eran pacientes también de otros Centros de Salud de esa provincia.
La afectada por el acceso indebido, también enfermera, accedió al historial clínico de su hijo, pues se marchaba a USA. Quería saber si tenía recetada una determinada medicación. Y así, de casualidad, descubrió que la acusada había consultado la historia clínica de su hijo en el mes de febrero de ese mismo año.
La acusada explicó que le pudo la curiosidad: se metió en las historias clínicas para saber la dirección de Gloria. Que lo hizo por el nerviosismo que padecía (al igual que los demás profesionales sanitarios de este Centro) ante la posible reintegración de la citada a ese mismo Centro de Salud. Todo motivado por los muchos problemas habidos con ella cuando años atrás, trabajó allí.
SENTENCIAS ABSOLUTORIAS DE LA AUDIENCIA PROVINCIAL Y DEL TRIBUNAL SUPERIOR DE JUSTICIA DE CASTILLA Y LEÓN.
Sin embargo, en su día la Audiencia Provincial consideró que en este mismo caso los hechos no eran delito:
“…entendemos que, sin pretender banalizar la entidad de los hechos cometidos por la acusada, no consideramos que los mismos merezcan el reproche penal dado que no se ha producido una grave afectación del bien jurídico protegido.
Todos los datos que obran en la causa apuntan a que se trató de un comportamiento derivado de la mera curiosidad, producto de los enfrentamientos personales que entre la denunciante y la denunciada habían existido en el pasado, y aunque no es justificable su conducta, lo cierto es que el acceso tuvo lugar durante un periodo de tiempo muy pequeño, sin que conste que la acusada haya hecho uso de los datos que allí aparecieran, no constando que los difundiera de modo alguno, ni que los haya utilizado de alguna manera”.
La Sentencia de la Audiencia Provincial fue confirmada posteriormente por el Tribunal Superior de Justicia de Castilla y León. Sentencia de 16/04/2019 de la Sala de lo Civil y Penal del Tribunal Superior de Justicia de Castilla y León.
EL CRITERIO DEL TS: ESTIMACIÓN DEL RECURSO DE CASACIÓN.
El TS analiza el recurso de casación a partir de la doctrina fijada en casos similares. Cita a tal efecto la STS 178/2021, 1 de Marzo de 2021.
“En dicha sentencia se enjuició un caso muy similar en el que una profesional sanitaria entró en una historia clínica sin autorización y, como aquí, por curiosidad, y se tuvo conocimiento de ese acceso por una conversación posterior que dio lugar a la formulación de la denuncia. Esta Sala consideró típica la conducta y estimó procedente la sanción penal porque el acceso no autorizado a datos sensibles relativos a la salud colma las exigencias del tipo por el singular carácter sensible de esos datos.
En dicha sentencia hemos reiterado que «(…) tratándose de datos albergados en ficheros de salud, ese perjuicio aparece ínsito en la conducta de acceso. Se trata de datos sensibles que gozan una especial protección por tratarse de datos relativos a la salud. La salud forma parte de la estricta intimidad de la persona y, de acuerdo a nuestra cultura, se considera información sensible y es inherente al ámbito de la intimidad más estricta, es «un dato perteneciente al reducto de lo que normalmente se pretende no trascienda fuera de la esfera en que se desenvuelve la privacidad de la persona de su núcleo familiar (…)».
En este caso concreto queda acreditado que:
a) La acusada carecía de autorización para acceder a los datos. Sin que conste tuviera que realizar maniobra alguna para sortear los sistemas de seguridad del sistema informático.
b) Utilizó su condición y sin justificación profesional o autorización, consultó los datos.
c) Los datos a los que se accedió estaban alojadas en un programa informático MEDORACYL.
El TS considera que la acción de la autora es constitutiva del delito tipificado en el artículo 197.2 CP.
SAP DE PONTEVEDRA Nº 121/2021 DE 19 DE ABRIL
ABSOLUCIÓN PESE A QUEDAR PROBADO LOS ACCESOS A LA HISTORIA CLÍNICA.
Esta sentencia ha absuelto a una trabajadora del SERGAS del delito continuado de descubrimiento de secretos, pese a quedar probados los accesos por parte de la acusada a la historia clínica de su hija.
Como usuaria y con clave de acceso personal al IANUS (Sistema de Almacenamiento de historias clínicas electrónicas): entre las 12:43 del 11/06/2012 y las 14:49 del 02/04/2014, realizó 68 accesos a la historia clínica de su hija.
La propia acusada reconoció estos hechos. Dijo que tenía, como funcionaria administrativa del SERGAS, la labor de realizar admisiones. Que esto lo realizó porque en ese periodo (2012-2014) acompañó a la hija a los especialistas. Que su hija se lo solicitaba por teléfono o en persona, nunca por escrito, dando ella por supuesto que tenía consentimiento expreso.
Ante la falta de pruebas concluyentes que acreditasen la inexistencia de autorización por parte de la hija, y en atención al estrecho vínculo entre las partes mantenido a lo largo del tiempo, si bien con múltiples altibajos, lleva a considerar como hipótesis razonable la existencia de un consentimiento no escrito.
Por tal motivo, “y en aplicación del principio in dubio pro reo “regla de valoración probatoria”, que conduce a adoptar la alternativa más favorable al acusado cuando el Tribunal de enjuiciamiento no ha alcanzado una certeza exenta de dudas razonables; dicho de otro modo, el principio no obliga a dudar, sino a absolver cuando, valorada toda la prueba, persistan dudas en el Tribunal respecto de la culpabilidad del acusado”, a la absolución de la acusada”.
DATOS PERSONALES VULNERACIÓN: PANORAMA ACTUAL
De la lectura de toda esa jurisprudencia podemos obtener una serie de conclusiones interesantes:
- La protección de los datos personales es un derecho cada día de más vigilado por la ley y defendido por los tribunales.
- Existe bastante desconocimiento sobre las consecuencias penales que implica acceder a datos sin razón que lo justifique.
- Las consecuencias penales previstas por la legislación penal son graves: penas privativas de libertad y sanciones económicas importantes.
- La defensa de este tipo de asuntos suele ser planteada desde la negación de los hechos o la justificación de los motivos de acceso o consulta de datos.
- La estrategia de defensa basada en la negación de los hechos es en la práctica inútil, porque los soportes digitales suelen dejar rastro preciso de los accesos, fecha, hora y autor.
- Invocar motivos que justifiquen el acceso, si no son los legalmente contemplados, es una defensa condenada al fracaso.
- Sólo existe una adecuada estrategia de defensa y es la que usa la tecnología o el conocimiento informático, para rebatir o cuestionar hechos informáticos.
- Los abogados pueden usar argumentos jurídicos para defender los casos de acceso ilegítimo o indebido a datos de carácter personal, sin apoyo técnico.
- Los argumentos jurídicos sólo pueden tomar como base las evidencias que se obtengan a través de un análisis riguroso de los sistemas, procesos, programas y hechos de naturaleza informática.
- El acceso indebido o ilegítimo a datos personales en soporte digital o informático es un hecho que sólo puede constatar, acreditar, rebatir o refrendar un técnico en la materia. Un perito ingeniero informático titulado.
SÓLO UN ADECUADO DICTAMEN INFORMÁTICO REALIZADO POR UN PERITO INFORMÁTICO ESPECIALISTA PUEDE DEMOSTRAR QUE UNOS HECHOS PRESUNTAMENTE DELICTIVOS POR ACCESO A INFORMACIÓN PERSONAL, NO SON PUNIBLES.
DATOS PERSONALES DE HISTORIA CLÍNICA: LA PERICIAL INFORMÁTICA PRINCIPAL PRUEBA DE DEFENSA
A la vista de lo expuesto hasta aquí, en caso de acceso ilegítimo o indebido a datos personales, la prueba pericial informática es esencial.
La razón es simple: por su carácter técnico, sólo la evidencia de esa naturaleza puede cuestionar y desvirtuar unos hechos en soporte informático.
El objeto de esta prueba pericial informática será comprobar y determinar la fiabilidad y la certeza de los hechos en los que se basa la acusación por acceso indebido a unos datos personales.
Esto pasa de forma ineludible por analizar con rigor los programas de gestión que sirven de soporte de la información que contiene datos a los que se dice se ha accedido ilegalmente.
El fin de la pericial es poner de manifiesto todas aquellas fallas, irregularidades, carencias, vacíos o agujeros que permitan poner en duda los hechos imputados, sobre la base de defectos técnicos o incongruencias del sistema.
En definitiva, el dictamen pericial es la única prueba que podrá sustentar con argumentos técnicos a la defensa para probar que, la imputación de un hecho con naturaleza técnica es cuestionable, dudoso, o no se puede afirmar que haya tenido lugar, como sostiene la acusación.
El dictamen pericial sobre datos personales es la única prueba que puede fundamentar la duda razonable para que, en aplicación del principio de presunción de inocencia, pueda lograrse una absolución del acusado por incurrir en estos comportamientos.
Si un hecho no es demostrable no es condenable.
La pericial informática puede cuestionar la veracidad de hechos sobre la base de dudas a partir de carencias técnicas o fallos en los sistemas o programas informáticos.
La pericial informática sobre acceso a datos realiza una valoración de las posibilidades de certeza sobre la identidad de la persona que ingresó en un determinado programa. Siempre con argumentos técnico-informáticos.
La pericial informática sobre datos es la prueba fundamental que puede llevar al Juez a fallar la absolución del acusado sobre la base del principio:
DATOS PERSONALES: BASES DE LA PERICIAL QUE CUESTIONA LOS HECHOS PRESUNTAMENTE DELICTIVOS
La posibilidad de una manipulación de los archivos digitales mediante los que se materializa el acceso a datos es posible. La prueba de estos hechos requiere grandes cautelas.
El anonimato de los sistemas y la libre creación de cuentas con una identidad fingida, hacen posible aparentar un acceso atribuible a otra persona.
De ahí que la impugnación de la autenticidad de cualquiera de esos presuntos accesos o consultas (cuando son aportadas a la causa mediante archivos de impresión) desplaza la carga de la prueba hacia quien pretende aprovechar su idoneidad probatoria: la parte acusadora.
Será indispensable en tal caso, la práctica de una prueba pericial informática que identifique el verdadero origen de ese presunto acceso/consulta y la identidad de la persona que accede y, en fin, la integridad de la operación de presunto acceso.
La mayoría de las pruebas que presenta la acusación en este tipo de asuntos suelen ser archivos de impresión o capturas de pantalla.
Una pericial informática concluyente demostrará que este tipo de documentos NO puede ser considerados prueba de cargo alguna.
El motivo es que no puede proclamarse que reúnan las características de integridad y autenticidad.
EL PAPEL NO DEMUESTRA NADA
Es decir, no se pueden dar por ciertos los hechos a partir de impresiones en papel o incluso registros digitales, sin haber sido cotejados en su origen, ni acreditar su integridad.
Considérese que un aspecto común a las bases de información es que se pueden añadir, borrar y modificar datos. Esa es la función de una base datos, almacenar datos y trabajar añadiendo, borrando o modificando datos.
Muchas veces la acusación se limita a presentar impreso en papel la parte que le interesa de una imaginaria base de datos. Con ese copia-pega se pretende probar el acceso a una base de datos o archivo específico.
Basta con modificar la base de datos introduciendo, borrando o modificando algún dato para incluir y/o excluir a cualquier persona, incluso por error informático o humano.
De una impresión en papel es imposible hacer una pericial informática.
Los documentos emitidos por medios técnicos, electrónicos, informáticos y telemáticos, cualquiera que sea su soporte, gozarán de la validez y eficacia de un documento en papel, siempre que quede garantizada su autenticidad e integridad
Además, es imprescindible documentar y acreditar la cadena de custodia desde que se generan los datos hasta que se presentan en el Juzgado.
La cadena de custodia digital son las acciones que garantizan que el material informático intervenido es el mismo que se perita y el mismo que se presenta como prueba el día del juicio.
El fin de preservar la cadena de custodia es garantizar que los datos y evidencias no han podido ser alterados, desde su intervención hasta su presentación en juicio.
DATOS PERSONALES: LA PERICIAL INFORMÁTICA COMO BASE PARA CUESTIONAR LA ACUSACIÓN
La base del dictamen pericial en protección de datos y la defensa en estos asuntos viene dada, en la mayoría de los supuestos por:
1.- Limitaciones a la hora de emitir el informe: el perito no ha podido examinar el soporte informático donde constan los datos y donde se ha producido el presunto acceso ilegítimo.
Desde un punto de vista técnico-informático, resulta imposible analizar si se ha podido cometer un error de apreciación de la prueba técnica que sustentan los informes o pruebas de la parte acusadora.
Véase sobre esta interesante cuestión el artículo publicado en este mismo blog sobre el contrainforme pericial informático.
2.- Falta de análisis y contraste de la prueba supuestamente informática de los datos contenidos en el ordenador, sistema o programa al que se ha accedido presuntamente por el acusado.
Piénsese, por ejemplo, en posibles accesos en remoto de terceras personas. Con un hecho de esta circunstancia, la imputación de los hechos se desvirtúa y eso lo revelará un buen informe pericial informático.
3.- Imposibilidad de analizar el ordenador del presunto responsable del acceso no consentido a los datos personales. Poniendo de manifiesto la duda razonable al no poder constatar si han existido las conexiones. O de existir las conexiones, la debida constancia de los días, horas, terminal o identidad de la persona que se acusa.
4.- No aportación de documento público o privado auténtico e íntegro. Para acreditar el registro de actividad en un ordenador central corporativo o registro de actividad del ordenador servidor o “log”que ha determinado el acceso a un fichero.
5.- No poder analizar las pruebas informáticas que sustenta la acusación. Esto es, no poder acceder al ordenador y poder analizar el software empleado para determinar la veracidad o no de los hechos imputados por la acusación.
DATOS PERSONALES: LA PERICIAL INFORMÁTICA Y PREMISAS PARA LA DEFENSA DEL DELITO DE ACCESO ILEGÍTIMO A HISTORIA CLÍNICA
Los registros de actividad de los ordenadores son documentos electrónicos que se manipulan con un simple editor de textos, con la posibilidad incluso de que no quede rastro de dicha manipulación.
Por lo tanto, los datos pueden ser alterados.
Quien tenga acceso al ordenador servidor tiene la posibilidad técnica de introducir datos en el ordenador. Así como, vincularlos con los datos de sesiones de trabajo de otros usuarios.
También pueden producirse errores informáticos en el programa por diversos motivos o causas técnicas.
Con base en todo esto, la pericial informática de la defensa puede cuestionar de forma muy contundente la acusación hasta lograr desbaratarla.
PREMISAS PRINCIPALES DEL INFORME PERICIAL
1.- No aportación de certificados o controles técnicos
La finalidad es garantizar indubitadamente que la información generada por la aplicación informática es correcta y sin errores.
Errores pueden producirse por diversas causas: por ser un programa en construcción, sometido a actualizaciones; estar funcionando en modo prueba, etc.
El mejor ejemplo es un radar de velocidad en carretera. Este debe pasar unos controles técnicos y estar homologado para constatar que no comete un error en la medición de la velocidad.
Debe tener certificada su fiabilidad.
2.- Utilización de un terminal informático por varios usuarios.
Varias personas trabajando a la vez (remoto y presencial) con varias sesiones abiertas y distintos permisos para realizar distintas funciones (introducir datos; fijar citas en calendario, etc.).
¿Quién certifica que 2 sesiones de trabajo abiertas a la vez en un mismo ordenador y con permisos diferentes no se solapan y generan errores informáticos en la base de datos y registros de actividad?
¿Cómo gestiona el sistema informático que en un mismo ordenador puedan cohabitar varias personas trabajando en remoto y en presencial?
Ninguna de estas preguntas puede ser contestada sin un sistema de control informático y sin una pericial.
3.- Imposibilidad de determinar la persona que ha podido acceder a un archivo.
En ocasiones, acceden el propio personal del departamento de informática. O también puede ocurrir que, las consultas sean atribuidas por el sistema a un usuario que no lo ha hecho a raíz de un error informático.
4.- Existencia de contraseñas compartidas en los ordenadores por distintas personas.
Desde un punto de vista técnico-informático, cualquier persona ha podido entonces acceder al archivo.
5.- Uso de sesión de trabajo propia en ordenador ajeno.
Es decir, posible corresponsabilidad de otras personas en el acceso o tratamiento de los datos, por deficiencias del programa o sistema.
CONCLUSIÓN
El informe pericial y su ratificación en juicio permitirá a los abogados de la defensa demostrar que la infracción o no respeto de ineludibles obligaciones en los procedimientos internos o sin la diligencia obligada, invalidan los hechos imputados y determinan la exoneración de responsabilidad por ellos.
Las pruebas periciales que elaboro cuentan con la certificación oficial conforme al esquema de la Agencia Española de Protección de Datos, lo que garantiza la plena cualificación del análisis y las conclusiones contenidas en el dictamen pericial que elaboro.
La experiencia y solvencia de mis periciales informáticas facilitan la defensa del imputado mediante la explicación pormenorizada al juez y las partes, del dictamen que se ratifica en sala.
El análisis integral de los procesos y procedimientos a los que viene obligada la entidad propietaria de los sistemas informáticos, se realiza en profundidad y con total rigurosidad e independencia.
La norma marco definitoria es el RGPD y en la LOPDGDD 3/2018 (resumen).
Con los estándares referidos se facilita a la defensa una prueba indispensable a valorar por el juez.
No lo dude.
Si desea tener amplias posibilidades para lograr la absolución de su defendido en un asunto penal por vulneración de la Ley de Protección de Datos con imputación de acceso ilegal, necesita la pericial informática de:
EUGENIO PICÓN-INGENIERO EN INFORMÁTICA COLEGIADO
Le asesoramos en peritaje informático
Peritaje informático | Análisis forense | Auditoría informática | Defensa legal por delito informático
