Diario del Derecho. Edición de 18/10/2017
  • Diario del Derecho en formato RSS
  • ISSN 2254-1438
  • EDICIÓN DE 08/09/2015
 
 

La AP de Murcia condena a una trabajadora por delito de intrusión informática por acceder ilegítimamente al sistema informático de su empresa y a los correos corporativos durante su baja laboral

08/09/2015
Compartir: 

La Sala acuerda desestimar el recurso de apelación interpuesto contra la sentencia que condenó a la recurrente por la comisión de un delito de intrusión informática previsto en el art. 197.3 del CP. Son hechos declarados probados que la acusada, aunque se encontraba de baja laboral, desde un equipo informático ajeno a la empresa para la que trabajaba, accedió intencionadamente de forma ilegítima a correos de diversas trabajadoras de la mercantil y, por tanto, a los datos y programas contenidos en el sistema informático propio de la empresa, al ser aquellos correos corporativos y al funcionar el correo electrónico de la empresa a través de un programa informático creado al efecto, en el que el administrador único de dicho correo electrónico era la misma empresa.

Iustel

Declara la Sala que, en contra de lo manifestado por la actora, concurren los elementos del tipo aplicado, esto es, el acceso inconsentido -la acusada no estaba autorizada en el momento de ejecución de los hechos-, vulneración de las medidas de seguridad informáticas -las mismas existían- y acceso a correos de empleadas de la empresa, correos corporativos y a datos de programas informáticos de la empresa.

Órgano: Audiencia Provincial

Sede: Murcia

Sección: 3

N.º de Recurso: 184/2014

N.º de Resolución: 88/2015

Procedimiento: PENAL - APELACION PROCEDIMIENTO ABREVIADO

Ponente: JUAN DEL OLMO GALVEZ

Tipo de Resolución: Sentencia

Audiencia Provincial Penal de Murcia

SENTENCIA N.º /2015

En la Ciudad de Murcia, a veinte de febrero de dos mil quince.

Vista, en grado de apelación, por la Sección Tercera de esta Audiencia Provincial la causa procedente del Juzgado de lo Penal N.º 2 de Murcia, seguida ante el mismo como Procedimiento Abreviado N.º 140/2013, por delito continuado del artículo 197.3 del Código Penal contra Inmaculada, como parte apelante, representada por la Procuradora D.ª María Luisa Flores Bernal y defendida por la Letrado D.ª Aurora Scasso Veganzones, y apelado el Ministerio Fiscal y la Acusación Particular de D.ª Adriana, D.ª Remedios y la mercantil Tahe Productos Cosméticos S.L., representados por el Procurador D. Manuel Sevilla Flores y defendidos por la Letrado D.ª Sonia Pujalte Pérez.

Remitidas a la Audiencia Provincial las actuaciones, se formó por esta Sección Tercera el oportuno Rollo con el N.º 184/2014 (el 29 de septiembre de 2014), señalándose el día 18 de febrero de 2015 para su deliberación y votación, quedando pendiente de resolución.

Es Magistrado-Ponente el Ilmo. Sr. Don Juan del Olmo Gálvez, quien expresa el parecer de la Sala.

ANTECEDENTES DE HECHO

PRIMERO: El Juzgado de lo Penal N.º 2 de Murcia dictó sentencia en fecha 2 de octubre de 2013 (con auto de aclaración de 10 de diciembre de 2013), estableciendo como probados los siguientes Hechos:

"PRIMERO.- Ha quedado probado y así se declara que la mercantil "TAHE PRODUCTOS COSMÉSTICOS, S.L.", domiciliada en el Polígono Industrial de San Ginés y dedicada a la producción y comercialización de productos cosméticos, contaba en el año 2011 con un sistema informático propio que estaba protegido con un programa de seguridad con el fin de controlar el buen funcionamiento y utilización del mismo, y en cuyo marco se facilitaba a cada uno de los empleados de la mercantil una dirección de correo electrónico personal, intransferible y para uso estrictamente profesional, a la que se accedía mediante la inserción de una contraseña que cada empleado elegía libremente, constituyendo la misma una medida de seguridad.

En el periodo de tiempo comprendido entre los días 30 de Septiembre de 2011 y el 4 de Octubre del mismo año, la acusada Dña. Inmaculada (mayor de edad, con documento nacional de identidad n.º NUM000 , sin antecedentes penales y domiciliada en la CALLE000 n.º NUM001, NUM002 de El Palmar-Murcia), y que a la sazón trabajaba en la mercantil TAHE en calidad de contable, aunque se encontraba de baja laboral, desde un equipo informático ajeno a la empresa, con n.º de IP NUM003, asociado al número de teléfono fijo de la primera, NUM004, accedió intencionadamente de forma ilegítima a correos de diversas trabajadoras de la mercantil y, por tanto, a los datos y programas contenidos en el sistema informático propio de la empresa, al ser aquellos correos corporativos y al funcionar el correo electrónico de la empresa a través de un programa informático de "Microsoft Exchange" creando por medio de este programa un correo electrónico propio de la empresa, en el que el administrador único de dicho correo electrónico es la misma empresa, teniendo como subdominio y dominio principal en los correos electrónicos "@tahe.es", sin que haya quedado acreditado el apoderamiento, interceptación, utilización o modificación de los mismos por parte de la acusada, ni que los datos a los que se accedieron fueran datos reservados de carácter personal o familiar de otro.

Así, a las 12:58:37 horas del día 30 de Septiembre de 2011, accedió al correo de la trabajadora Dña.

Remedios ( DIRECCION000 ), y a través del mismo tuvo conocimiento del correo electrónico de fecha 26/09/11 que el jefe de exportación de TAHE D. Jesús María había enviado al departamento de informática y a los trabajadores de la empresa D. Arturo, D. Enrique, Dña. Amelia y Dña. Remedios, en el que se les comunicaba la finalización de la relación laboral con la empresa de la trabajadora en pruebas Dña.

Esmeralda y la nueva contraseña de su correo electrónico ("WILLIAM") para que pudiesen seguir realizando el seguimiento de sus asuntos, y averiguada por la acusada de este modo la nueva contraseña del correo electrónico DIRECCION001, accedió a dicha cuenta (usuario Esmeralda ) a las 14:37:50 horas y a las 14:43:48 horas del mismo día 30/09/11 y a las 12:28:18 horas del día 02/10/11, registrando también el visor de sucesos del sistema de seguridad informático de TAHE un acceso a las 12:27:50 del día 02/10/11 a la cuenta de Dña. Adriana (usuario " Adriana "), compañera de la acusada en el departamento de contabilidad de la empresa, y múltiples accesos producidos los días 2, 3 y 4/10/11 nuevamente a la cuenta de Dña. Remedios (usuario " Remedios "), además de los múltiples accesos que se produjeron a la cuenta de ésta última entre las 12:58:37 horas y las 21:15:43 horas del mismo día 30/09/11, accesos todos ellos llevados a cabo desde la dirección de red de origen con el n.º I.P. antes mencionado y perteneciente a la acusada.

SEGUNDO.- No ha quedado suficientemente acreditado que fuera la acusada a las 14:39 horas del día 30/09/11 reenviara a D. Enrique, Dña. Belinda y Dña. Remedios, desde el correo de Dña. Esmeralda , varios correos electrónicos de fecha 13/10/09 remitidos entre las trabajadoras de TAHE Dña. Irene y Dña.

Rosana ".

SEGUNDO: Consecuencia de ello, la expresada resolución pronunció el siguiente FALLO:

"Que debo condenar y condeno a Dña. Inmaculada, ya circunstanciada, como autora penalmente responsable de un Delito continuado de acceso ilícito a datos o programas informáticos (también denominado "delito de intrusión informática") previsto y penado en el artículo 197.3 en relación con el artículo 74 del Código Penal, sin concurrir circunstancias modificativas ni extintivas de la responsabilidad criminal, a la pena de 20 meses de prisión e inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de la condena, así como al pago de la totalidad de las costas procesales, incluidas las de la Acusación Particular." TERCERO: Contra la anterior sentencia se interpuso, en tiempo y forma, recurso de apelación por la representación procesal de la acusada D.ª Inmaculada, fundamentándolo en síntesis en que atendiendo al relato fáctico de la sentencia recurrida no se cumplirían los requisitos del artículo 197.3 del Código Penal para dar lugar a la condena de su defendida: que el sistema de seguridad posea medidas de seguridad que impida el acceso a terceras personas no autorizadas para ello; que el acceso lo sea sin autorización; y que se acceda a datos o programas informáticos; por cuanto no se habría acreditado qué medidas de seguridad disponía el sistema informático de la mercantil, en orden a la suficiencia o no para evitar el acceso no consentido, y a qué datos o programas accedió su defendida, por lo que la mera acreditación del acceso inconsentido sería insuficiente para condenar. Señalando: " Por lo que aquí cuenta los hechos probados se han de calificar como la mera intromisión por parte de mi representada en el sistema informático de su empleadora, en fechas en que ello lo tenía restringido, por encontrarse aquella de baja laboral ". Argumentando que el bien jurídico protegido en el precepto ( artículo 197.3 del Código Penal ) es la intimidad, que no se habría visto violado.

Alega errores en la valoración de la prueba, negando que el sistema utilizado para la captura de las pantallas de la aplicación Visor de Sucesos del sistema operativo Windows (documental que habría servido de base a la investigación para solicitar la información relativa a la IP NUM003 ) carece de los efectos legales necesarios para que se valoren como prueba documental con eficacia probatoria, por haberse obtenido por la propia acusadora, sin acreditar el proceso que se siguió para la recogida de dichas evidencias y sin haber aportado ficheros volátiles (relevantes para poder ejercitar los derechos de inmediación y contradicción), en un soporte apropiado. Documentales que hubieran permitido la elaboración de prueba de control que acreditasen la autenticidad y autoría de los hechos, tal y como se indicaba por el perito D. Alejandro en su informe pericial, ratificado en la vista oral. Rechaza en tal sentido afirmaciones del Juzgador restando credibilidad a las manifestaciones del citado perito, e insiste en que la prueba documental antedicha sería insuficiente, sin que la misma se vea salvada o complementada por las afirmaciones del Inspector Jefe de Sección de la Brigada de Delitos Tecnológicos y de su compañero, al no ser personas cualificadas en materia informática, frente a la tesis sostenida por el perito D. Alejandro al respecto. Tachando también de insuficiente la afirmación vertida por el miembro del Cuerpo Nacional de Policía D. Cristobal respecto de tener la mercantil medidas estrictas en materia de seguridad informática, dado que no lo comprobó en la propia empresa. Niega fiabilidad al testimonio del trabajador de la empresa acusadora, en su departamento informático, dado que aunque fue la que investigó lo sucedido, se vería condicionado por su relación laboral. En cuanto a la información de ORANGE, relativa a la ubicación, titularidad y demás datos contractuales de la línea a través de la cual se realizó la conexión a Internet a la que se asignó la IP NUM003 desde el 30-9-2011 al 4-10-2011, tan sólo acreditaría un rango de días en los que el Modem ADSL tenía asignada una IP específica, y quién los envía, pero sin constatar quién los recibe (es decir, no se detectaría los accesos a las cuentas de correo de diversas empleadas de la empresa). Alega además que se habría acreditado animadversión de la empresa hacia su defendida, y que la denuncia podría estar motivada para justificar el despido de la misma, realizando diversas consideraciones al respecto, incluida la aceptación por parte de la empresa del despido como improcedente y que se aviniese a pagar a su defendida la cantidad de 8.000 euros.

Señala por último, con carácter subsidiario, infracción del principio de proporcionalidad en la extensión de la pena en virtud del artículo 74 del Código Penal, al entender que el único bien jurídico afectado sería el de la seguridad informática, no el de la intimidad, y no habiendo existido ese perjuicio sería desproporcionada la condena impuesta, dado que con la continuidad delictiva la imposición de pena lo es en su mitad superior, entendiendo suficiente la condena en su extensión mínima de 12 meses y 1 día (grado mínimo de la mitad superior de la pena legalmente prevista).

Interesando la revocación de la sentencia de instancia en el sentido que se absuelva a su defendida o, subsidiariamente, se le imponga la pena en la reducción interesada.

CUARTO: Admitido el recurso, y tras la oportuna tramitación, el Ministerio Fiscal, en dictamen fechado el 2 de junio de 2014, interesa la confirmación de la sentencia recurrida por ser ajustada a Derecho en todos sus extremos y por sus propios fundamentos, que en nada quedan desvirtuados por los argumentos que sustentan el recurso interpuesto.

En escrito registrado el 4 de junio de 2014 la Representación Procesal de la Acusación Particular de D.ª Adriana, D.ª Remedios y de la mercantil Tahe Productos Cosméticos S.L. interesa la desestimación del recurso interpuesto y la confirmación de la sentencia de instancia, rechazando todos y cada uno de los alegatos de la recurrente, y solicitando expresamente la condena a la parte recurrente de las costas de la alzada.

HECHOS PROBADOS ÚNICO: Se aceptan los Hechos declarados probados que se contienen en la sentencia apelada, que se dan por reproducidos.

FUNDAMENTOS DE DERECHO

PRIMERO: La parte apelante, disconforme con el pronunciamiento judicial de la sentencia de instancia, interesa su revocación en esta alzada en base a tres consideraciones, una previa de carácter probatorio (recogida en el escrito de recurso como segunda alegación), una segunda (aunque inicial en el escrito de recurso) referida a la ausencia de cumplimiento de los requisitos típicos del delito, y una tercera de carácter subsidiario relativa a la concreta pena impuesta, y que la Sala procede analizar y resolver en este orden:

probatorio, de tipificación y penológico.

SEGUNDO: En lo que se refiere al alegato de errores en la valoración de la prueba, procede recordar que en este caso la prueba practicada es personal (ya la declaración de la acusada, ya las manifestaciones de testigos, de testigo-perito, o de perito), combinada con la documental aportada, la cual ha debido ser analizada y valorada, atendiendo a su complejidad y extensión, de forma conjunta y complementaria por el Juzgador de instancia, quien ha ponderado de forma rigurosa la consistencia, credibilidad, fiabilidad y verosimilitud de todo ese caudal probatorio, llegando a la conclusión expuesta en su sentencia.

Análisis probatorio que ha efectuado el Juez a quo atendiendo a la inmediación y oralidad que le concede su posición enjuiciadora en cuanto a la prueba personal (advirtiéndose por la grabación audio-visual del juicio oral que el Juzgador intervino de forma activa para resolver las dudas que le surgieron ante diversos testimonios, a fin de aclarar y precisar extremos), lo que no puede ser sustituida por la Sala en su labor de revisión, pero que, por otra parte, no veda al Tribunal ad quem analizar el discurso de racionalidad de la valoración probatoria realizada por el Juzgador de instancia y controlar los medios de prueba en que se asienta (especialmente atendiendo a la causa documentada, a la grabación audio-visual del juicio oral -casi cuatro horas de desarrollo- y al propio texto de la sentencia).

En cuanto a las prevenciones que la parte recurrente realiza de algunos de los testimonio vertidos, las mismas no han pasado inadvertidas al Juez a quo, que ha analizado y tenido en cuenta por su obviedad la condición de trabajador de quien por pertenecer al departamento informático de la mercantil detectó y fijó las intrusiones en el sistema informático de la empresa, así como la forma en que actuó al respecto; así como los posibles conflictos laborales que podían existir entre la acusada y la mercantil (lo cual expresamente el Juzgador ha tratado en la sentencia).

Por lo tanto, el Juzgador ha realizado una cuidada y prudente valoración de esas manifestaciones, ponderando la credibilidad de las manifestaciones en relación con todos los factores subjetivos y objetivos que concurren en la causa. Ponderación que ha realizado no limitándose a asumir, sin más, las declaraciones vertidas, sino contrastando su contenido con los elementos probatorios concurrentes para confirmar su verosimilitud y credibilidad, en definitiva, su fiabilidad, obteniendo una conclusión razonable sobre la realidad de lo acontecido, tal y como se ha recogido en el amplísimo Fundamento de Derecho Segundo de la sentencia de instancia.

Es precisamente atendiendo a los elementos de verificación: causa instruida, grabación audio-visual del juicio oral y lo recogido en la sentencia, que la Sala en su control de lo actuado y decidido no aprecia irracionalidad o defecto en la forma de fijar, analizar y ponderar los diversos medios de prueba practicados realizada por el Juzgador de instancia.

La parte recurrente funda básicamente su censura valorativa en el informe pericial informático por ella presentado.

El "informe pericial" aportado por la Defensa en su escrito de defensa, y ratificado, aclarado y precisado a través del interrogatorio de su autor en la vista oral, ciñe su objeto al análisis crítico de los elementos o vestigios aportados con la denuncia, de los que censura el perito que podrían haber sido manipulados, sin afirmar que fueron manipulados. En tal sentido en la página 18 de su informe (folio 280 de la causa) se recoge:

" A continuación se describen como elementos de naturaleza informática que la mercantil TAHE tiene a su disposición y control, y que por tanto son susceptibles de manipulación por la misma. En ningún caso se quiere indicar que el hecho de poder manipular diversos elementos signifique necesariamente que estos elementos se hayan realmente manipulado. Con los datos obrantes es imposible determinar si ha habido manipulación o no. Tan sólo se pone de manifiesto que existe dicha posibilidad ".

Ese ha sido realmente el objeto de la "pericia" aportada, crear una duda sobre la fiabilidad de los elementos aportados por la denunciante, dado que la denunciante no ha aportado "pericia" alguna, ni constituir esos elementos adjuntos a la denuncia "pericia" de ningún tipo, sino vestigios de unos contactos informáticos, en los que se ha fijado una secuencia de días y horas, así como de identificación de IP desde la que se realizan los mismos.

IP identificada que no permite a la mercantil denunciante conocer la línea telefónica a través de la cual el ordenador personal utilizado para esos contactos canaliza y ejecuta los mismos, información que sólo puede ser brindada por la operadora telefónica (precisamente ha sido esa la información que ha requerido el auto judicial a instancia policial).

La IP identificada, en la secuencia temporal relevante, es la que ha determinado que la operadora telefónica fije la línea telefónica, que es la de la acusada.

El informe pericial trata de debilitar la información así obtenida señalando que la operadora telefónica no ha determinado en el periodo comprendido del 29 de septiembre al 6 de octubre de 2011 otras comunicaciones que haya mantenido la IP (atribuida a la línea telefónica de la acusada) con otras IP (al margen de las que se habrían mantenido supuestamente con TAHE).

Ciertamente hubiera sido mucho más "sugestivo" desde el punto de vista investigador informático haber solicitado la secuencia completa de la IP atribuida a la línea telefónica de la acusada todo el periodo que abarcase del 29 de septiembre al 6 de octubre de 2011 (como parece echar de menos el perito de la Defensa), pero ello hubiera contravenido el principio de proporcionalidad, habida cuenta que se habría extralimitado la justificación de la investigación judicial, su objeto y el fundamento en el que poder emitir una resolución judicial motivada. Es comprensible que ese "criterio" sea sustentado por el perito ingeniero, pero no se corresponda con las exigencias constitucionales a los que debe adecuarse la actuación judicial, que ha limitado, como debe ser, la petición de información a lo que era objeto de indiciaria atribución de un presunto comportamiento delictivo (a riesgo de incurrir en eventual vulneración de derecho fundamental y originar una nulidad de actuaciones de extralimitarse ese concreto objeto).

En cuanto a las conclusiones defendidas por el perito de la defensa en su informe (página 20 del mismo, folio 282 de la causa), éstas exceden lo que constituye una pericia, cual es alcanzar una conclusión científica aplicando reglas científicas y/o técnicas, para adentrarse en el supuesto terreno de la validez probatoria de un dato, elemento o vestigio (lo que excede de su competencia), o para reclamar un determinado modo operar (incluso con solicitud de intervención de fedatarios públicos).

En cuanto a la catalogación que efectúa el perito como débil de una contraseña, como medida de seguridad, es una valoración que no excluye la premisa en la que se asienta: la existencia de un previo sistema de seguridad informático (exigencia del tipo), que puede ser soslayado con mayor o menor dificultad dependiendo de las habilidades, conocimientos u otros factores concurrentes en el sujeto activo del delito, pero que no por ello desmerecen la realidad de las medidas de seguridad.

Por último, en lo que afecta a la "posibilidad de manipulación" de los datos y elementos aportados por la mercantil denunciante, no deja el perito de señalar eso, que es una "posibilidad", sin afirmar en ningún momento que los aportados estén manipulados.

Corresponde por ello al Juzgador de instancia, analizando la totalidad de la prueba practicada, incluidas las testificales de quien ha denunciado, de quienes se han visto afectadas por los correos electrónicos remitidos, de quien detectó las intrusiones y obtuvo los documentos aportados y de otras pruebas personales practicadas, señalar la fiabilidad de la documentación ante él desplegada y la credibilidad que otorga a las declaraciones personales desarrolladas en la vista oral respecto al previo material documental aportado, obteniendo de todo ello una consecuencia razonable y válida desde el punto de vista jurídico.

Debe tenerse en cuenta que el peritaje de la Defensa se ha limitado a lo expuesto, tratar de generar dudas sobre los elementos o vestigios aportados; en consecuencia, si esas dudas que se intentan generar no obtienen su objetivo, el informe pericial emitido carece de toda eficacia persuasiva. Distinto hubiera sido, pero ese no fue el objeto de pericia, que el perito hubiera analizado el ordenador de la acusada, obteniendo como conclusión científica y/o técnica que desde ese ordenador no se produjeron esos contactos; es decir, que la negación de la acusada se viera acompañada de una pericia que corroborase la misma.

Por lo tanto, dados los términos en que la pericia aportada por la Defensa se ha desarrollado, la conclusión del Juzgador de instancia, tal y como cumplidamente se ha valorado por él la totalidad del material probatorio, no resulta desvirtuada, y en modo alguno contradicha con eficaz persuasión a través de los alegatos del recurso.

Básicamente el testimonio de los dos miembros del Cuerpo Nacional de Policía (con amplia experiencia investigadora sobre la materia, aunque no peritos), junto con las manifestaciones del empleado de Tahe experto en informática, y los documentos aportados, han permitido al Juzgador considerar que los elementos inculpatorios respecto a la acusada son concluyentes y fidedignos, sin que los términos del perito de la Defensa enturbie o debilite ese valor conclusivo incriminatorio. En tal sentido el amplio y detallado Fundamento de Derecho Segundo de la sentencia de instancia, modélico por su exhaustivo análisis y profundidad y rigor en el análisis probatorio.

En consecuencia, existiendo prueba suficiente, plural, de matiz incriminatorio, legítima, y válidamente introducida en el proceso, decae el principio de presunción de inocencia del que goza la acusada, por lo que procede desestimar el recurso de apelación interpuesto en este extremo de la valoración de la prueba.

TERCERO: En orden al alegato jurídico referido a la tipicidad penal, la parte recurrente lo funda en que no se cumplirían los requisitos del artículo 197.3 del Código Penal para dar lugar a la condena de su defendida:

que el sistema de seguridad posea medidas de seguridad que impida el acceso a terceras personas no autorizadas para ello; que el acceso lo sea sin autorización; y que se acceda a datos o programas informáticos.

Argumentando la recurrente que no se habría acreditado qué medidas de seguridad disponía el sistema informático de la mercantil, en orden a la suficiencia o no para evitar el acceso no consentido; y a qué datos o programas accedió su defendida, por lo que la mera acreditación del acceso inconsentido sería insuficiente para condenar. Señalando en su recurso: " Por lo que aquí cuenta los hechos probados se han de calificar como la mera intromisión por parte de mi representada en el sistema informático de su empleadora, en fechas en que ello lo tenía restringido, por encontrarse aquella de baja laboral ". Argumentando que el bien jurídico protegido en el precepto ( artículo 197.3 del Código Penal ) es la intimidad, que no se habría visto violado.

El Juzgador de instancia ha analizado con rigor el tipo penal aplicado, tanto en el Fundamento de Derecho Primero, como de forma complementaria en otros, y ha plasmado en el relato fáctico de forma plena las exigencias típicas.

No puede olvidarse que la regulación aplicada se fundaría en la regulación introducida en la Ley Orgánica 5/2010, de 22 de junio (respondiendo a exigencias europeas), y por ello el Juez a quo ha realizado un ponderado análisis jurídico, obligado por la escasa jurisprudencia existente.

Al respecto la Sentencia de la Sala de lo Penal del Tribunal Supremo de 18 de octubre de 2012 (Pte.

Saavedra Ruiz), analizando un supuesto concerniente a la anterior regulación, señalaba en cuanto a lo que cabe entender como soporte/archivo informático: Por otro lado, respecto al posible perjuicio que dicha acción pudo causar al titular de los datos revelados, cabe resaltar que, según la doctrina establecida por esta misma Sala, en STS 1142/2009, de 30 de diciembre, lo que se protege a través de las conductas previstas en el apartado segundo del artículo 197 del Código Penal, es "la libertad informática entendida como derecho del ciudadano a controlar la información personal y familiar que se encuentra recogida en ficheros de datos, lo que constituye una dimensión positiva de la intimidad que constituye el bien jurídico protegido".

Para su comisión, según esta misma resolución, los datos objetos de las mismas ha de estar "recogidos (registrados) en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado"; siendo un fichero a estos efectos, "todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso" (art. 3 b. LPDP). Además, dado el carácter reservado de los datos, continúa dicha resolución, "los ficheros o registros han de ser de acceso y utilización limitada a personas concretas y con finalidades específicas, siendo indiferente, su naturaleza: personal, académica o laboral, medica, económica, etc... Se trata, en realidad, de informaciones de carácter personal relacionadas más con la privacidad que con la intimidad. No tienen por qué ser informáticos porque se acoge también a cualquier otro tipo de archivo o registro público o privado".

Según la resolución indicada, citando a su vez la sentencia de esta Sala 123/2009, de 3 de febrero, tres formas comisivas se recogen en el párrafo segundo del artículo 197.2 del Código Penal : a) (...); b) el mero acceso; y c) (...).

Sólo con relación a la primera y a la tercera de ellas, menciona expresamente el legislador que la conducta se haga en perjuicio de tercero, mientras que no exigiría tal perjuicio en el caso de la conducta de acceso. (...).

La solución sería -partiendo de que en el término "tercero" debe incluirse el afectado, en su intimidad, sujeto pasivo, al que esencialmente se refiere el tipo- entender que los apoderamientos, accesos, utilizaciones o modificaciones de datos de carácter personal, realizadas en perjuicio de tercero se incluirían en el inciso inicial del art. 197.2 CP y en cambio, en el inciso segundo deberían ser subsumidas las conductas de acceso en perjuicio del titular de los datos.

Esas exigencias evidentemente se han modulado y precisado con la nueva regulación introducida en la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, que señalaba como justificación de la modificación legal del artículo 197 del Código Penal en su Preámbulo: En el marco de los denominados delitos informáticos, para cumplimentar la Decisión Marco 2005/222/JAI, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información, se ha resuelto incardinar las conductas punibles en dos apartados diferentes, al tratarse de bienes jurídicos diversos.

El primero, relativo a los daños, donde quedarían incluidas las consistentes en dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas informáticos ajenos, así como obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno. El segundo apartado se refiere al descubrimiento y revelación de secretos, donde estaría comprendido el acceso sin autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema o en parte del mismo.

Siendo por ello que en el artículo 197 se introduce un nuevo apartado 3, con la siguiente redacción en el extremo que concierne al caso: El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años. (...).

La mencionada Decisión Marco 2005/222/JAI del Consejo, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información recogía en su articulado (a los efectos de complemento legal de comprensión de la terminología legal del Código Penal): Artículo 1 (Definiciones): A los efectos de la presente Decisión marco se entenderá por:

a) “sistema de información”, todo aparato o grupo de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos informáticos, así como los datos informáticos almacenados, tratados, recuperados o transmitidos por estos últimos para su funcionamiento, utilización, protección y mantenimiento;

b) “datos informáticos”, toda representación de hechos, informaciones o conceptos de una forma que permite su tratamiento por un sistema de información, incluidos los programas que sirven para hacer que dicho sistema de información realice una función;

c) “persona jurídica”, toda entidad a la cual el derecho vigente reconoce este estatuto, salvo los Estados y otros organismos públicos que ejercen prerrogativas estatales y las organizaciones internacionales de derecho público;

d) “sin autorización”, el acceso o la intromisión no autorizados por el propietario o titular de otro tipo de derecho sobre el sistema o parte del mismo o no permitidos por la legislación nacional.

Y en su artículo 2 (Acceso ilegal a los sistemas de información): 1. Cada Estado miembro adoptará las medidas necesarias para que el acceso intencionado sin autorización al conjunto o a una parte de un sistema de información sea sancionable como infracción penal, al menos en los casos que no sean de menor gravedad.

2. Cada Estado miembro podrá decidir que las conductas mencionadas en el apartado 1 sean objeto de acciones judiciales únicamente cuando la infracción se cometa transgrediendo medidas de seguridad.

Es por ello que la Sala aprecia la corrección del análisis jurídico de la sentencia de instancia y la plasmación en la misma de los requisitos típicos: acceso inconsentido (la acusada no estaba autorizada en el momento de ejecución de los hechos, lo cual viene a ser reconocido por el propio recurso de apelación);

vulneración de las medidas de seguridad informáticas (las mismas existían, se recogen en el relato fáctico y se analizan en el cuerpo de la sentencia, atendiendo a lo expuesto en diversas manifestaciones, entre ellas las de las empleadas de la empresa, su representante legal y el experto informático de la empresa -que incluso es preguntado respecto a las mismas por el Juzgador-); y acceso a correos de empleadas de la empresa, correos corporativos, y a datos y programas informáticos de la empresa.

Consecuentemente, se cumplen las exigencias legales relativas al tipo penal aplicado, lo que lleva a desestimar el recurso de apelación interpuesto también en este extremo.

CUARTO: Resta por último analizar el alegato de infracción del principio de proporcionalidad de la extensión de la pena en virtud del artículo 74 del Código Penal, al entender la parte recurrente que el único bien jurídico afectado sería el de la seguridad informática, no el de la intimidad, y no habiendo existido ese perjuicio sería desproporcionada la condena impuesta, dado que con la continuidad delictiva la imposición de pena lo es en su mitad superior, entendiendo suficiente la condena en su extensión mínima de 12 meses y 1 día (grado mínimo de la mitad superior de la pena legalmente prevista).

En orden a la solicitud formulada procede realizar dos consideraciones, la primera referida a la errónea petición de imposición de una pena que legalmente no cabría, la de 12 meses y 1 día, por cuanto la pena tipo del delito del artículo 197.3 del Código Penal es de 6 meses a 2 años de prisión, lo que supone que un delito continuado legalmente supone en virtud del artículo 74.1 del Código Penal la imposición de la pena tipo en su mitad superior (sin perjuicio que pueda alcanzarse la pena superior en grado en su mitad inferior), es decir, atendiendo ya a la mitad superior de la pena tipo, y considerando que la misma sería de 6 meses a 2 años, la mitad superior de la misma estaría comprendida de los 15 meses y 1 día a los 2 años (24 meses), nunca los 12 meses y 1 día pretendidos por la parte recurrente.

La segunda consideración atiende a que la pena impuesta no excede los 2 años de prisión solicitados por las acusaciones (límite máximo que no cabría superar), y que al no concurrir circunstancias modificativas de la responsabilidad criminal, la pena cabría imponerla en toda su extensión (dada la continuidad delictiva:

entre los 15 meses y 1 día y los 2 años), en base al artículo 66.1.6.ª del Código Penal considerando las circunstancias personales de la persona acusada y la mayor o menor gravedad del hecho.

La pena ha sido impuesta en 20 meses, lo que supone algo más de la mitad de la pena comprendida entre los 15 meses y 1 día y los 24 meses (dos años), y para ello el Juzgador atiende en su Fundamento de Derecho Quinto, por remisión expresa, al relato fáctico (a la vista de la entidad y circunstancias que rodean el hecho cometido) y atendiendo a su carencia de antecedentes penales.

El Juzgador ciertamente ha considerado la continuidad delictiva, desde el punto de vista penológico, fijando el límite mínimo en 15 meses y 1 día, y para el máximo ha considerado (dada la posibilidad recogida legalmente en el inciso último del artículo 74.1 del Código Penal, de la mitad inferior de la pena superior en grado) en 30 meses (el tope máximo de esa mitad inferior).

Al margen de esa forma de computar, lo que resulta relevante en este caso es que la pena impuesta está comprendida dentro del marco punitivo de imposición, tanto legal como considerando las peticiones formuladas por las acusaciones, y, además, ha sido justificado atendiendo a una explícita remisión al relato fáctico (donde se describen las reiteradas intrusiones por parte de la acusada en el sistema informático de la empresa, en escaso tiempo, y en diversas cuentas de correo electrónico de tres empleadas) y a la ausencia de antecedentes penales, es decir, considerando las circunstancias personales de la acusada y la gravedad del hecho. Todo lo cual colma la exigencia de motivación explícita en cuanto a la imposición de la pena requerida jurisprudencialmente.

En consecuencia, procede desestimar íntegramente el recurso de apelación interpuesto, confirmando así la sentencia de instancia.

QUINTO: Procede declarar de oficio las costas de esta alzada conforme a lo dispuesto en los artículos 239 y 240-1.º de la Ley de Enjuiciamiento Criminal, al no apreciarse temeridad o mala fe en la interposición del recurso de apelación interpuesto.

Vistos los artículos citados y demás de general y pertinente aplicación.

FALLAMOS

Que con desestimación del recurso de apelación interpuesto por la representación procesal de Inmaculada contra la sentencia dictada el 2 de octubre de 2013 por el Juzgado de lo Penal N.º 2 de Murcia, en Procedimiento Abreviado N.º 140/2013 -Rollo N.º 184/2014-, DEBEMOS CONFIRMAR Y CONFIRMAMOS dicha resolución, con declaración de oficio de las costas de esta alzada.

Contra esta sentencia no cabe recurso alguno.

Devuélvase la causa al Juzgado de procedencia con certificación de la presente resolución.

Así por esta nuestra sentencia, de la que se llevará testimonio al Rollo de Sala, lo pronunciamos, mandamos y firmamos.

Comentarios

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contraseña:

 

Si desea registrase en www.iustel.com y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en www.iustel.com.

  • Iustel no es responsable de los comentarios escritos por los usuarios.
  • No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
  • Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.

Revista El Cronista:

Revista El Cronista del Estado Social y Democrático de Derecho

Lo más leído:

Secciones:

Boletines Oficiales:

 

© PORTALDERECHO 2001-2017

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana