La Sala Segunda del Tribunal Supremo, en su reciente Sentencia nº 849/2025, de 16 de octubre, consagra una evolución doctrinal de gran calado respecto de la protección penal de la intimidad en el entorno digital. A partir de un caso aparentemente sencillo —el acceso no autorizado al ordenador personal de una trabajadora de una residencia de mayores— el Alto Tribunal ha precisado elementos esenciales del artículo 197.2 del Código Penal: la consideración de la contraseña como dato personal reservado, la carga probatoria sobre el perjuicio exigido por el tipo y la exigencia de una lectura integral del relato fáctico.
Tabla de Contenidos
El punto de partida: un caso cada vez más habitual
Los hechos probados reflejan una situación moderna y reiterada en el ámbito laboral y administrativo. La enfermera afectada utilizaba diariamente un ordenador situado en el despacho de enfermería como herramienta de trabajo y como dispositivo personal, protegido mediante clave. En él guardaba fichas de usuarios, plantillas profesionales, correos electrónicos privados y archivos identificados como personales.
El acusado, que ejercía de director-gerente en ausencias del titular, obtuvo fraudulentamente la contraseña mediante un pendrive y, en una fecha en la que sabía que la enfermera no trabajaba, accedió al equipo, modificó la contraseña y abrió diversas carpetas privadas. El factum recoge con claridad que lo hizo «con la finalidad de obtener información para perjudicarla».
La Audiencia Provincial de Cáceres condenó al acusado por un delito de descubrimiento de secretos y otro de intrusismo profesional. Sin embargo, el Tribunal Superior de Justicia de Extremadura, en apelación, revocó la condena por el delito de descubrimiento de secretos.
El argumento central del TSJ para la absolución fue que, si bien se probó el acceso al ordenador y a ciertas carpetas, los hechos probados no describían el contenido específico de los archivos a los que se accedió. Este razonamiento es precisamente el que el Supremo corrige en profundidad.
La doctrina del Tribunal Supremo: Claves del Recurso de Casación
La acusación particular recurrió en casación y el Tribunal Supremo estimó el recurso casando la sentencia del TSJ y restableciendo la condena de la Audiencia Provincial. El razonamiento del Alto Tribunal se articula sobre tres pilares fundamentales.
La lectura Integral de los Hechos probados
El Supremo discrepa frontalmente de la «lectura incompleta del relato fáctico» realizada por el TSJ. Subraya que el tribunal de apelación omitió precisiones fácticas cruciales contenidas en los hechos probados, tales como que la víctima usaba el ordenador como «ordenador personal propio dado el contenido reservado y datos sensibles de su vida privada allí incorporados» y que las carpetas a las que accedió el acusado estaban «perfectamente identificadas con archivos privados y personales».
La Clave de acceso como Dato Personal Reservado
Este es, quizás, el punto doctrinal de mayor calado de la sentencia. El Tribunal Supremo establece que la conducta típica no se inicia con el acceso a los archivos, sino mucho antes:
«Por un lado, la obtención fraudulenta de la clave del ordenador ya es de por sí un acceso no consentido a un dato personal reservado de la denunciante. La clave que es un identificador de su titular, permite el acceso a toda la información que pueda existir en el ordenador, y que, por lo mismo, constituye per se un dato personal reservado protegido por el artículo 197.2 del Código Penal.»
El tribunal equipara la clave de un ordenador a un «identificador en línea», considerándola la «llave» o «puerta de acceso» a toda la información personal. Por tanto, su obtención indebida consuma por sí misma una modalidad de acceso a un dato personal protegido.
El perjuicio Típico en el Acceso Indiscriminado
El artículo 197.2 del CP exige que la conducta se realice «en perjuicio del titular de los datos o de un tercero». Sin embargo, la sentencia introduce una matización crucial:
«entendemos que el acceso indiscriminado a todo el contenido de un ordenador personal, que puede y ordinariamente incluye información personal muy amplia y variada, integra el perjuicio típico que exige el artículo 197.2 CP.»
De este modo el Alto Tribunal considera que el perjuicio no necesita materializarse en un daño ulterior, sino que el propio acceso generalizado y sin autorización a la esfera privada digital de una persona constituye la lesión al bien jurídico.
Conclusión e implicaciones prácticas
La sentencia analizada consolida una interpretación del artículo 197.2 CP adaptada a la realidad tecnológica actual:
- Refuerza la protección de las credenciales de acceso: las contraseñas son, por sí mismas, datos personales reservados.
- Simplifica la prueba del perjuicio: en casos de acceso generalizado a dispositivos, el perjuicio típico se entiende integrado por la propia intrusión indiscriminada.
- Censura interpretaciones excesivamente formalistas de los hechos probados que ignoren el contexto.
En definitiva, este pronunciamiento supone un avance significativo en la tutela del derecho a la intimidad frente a intromisiones ilegítimas en el ámbito digital.
Para más información o asesoramiento pueden ponerse en contacto con info@gimenezsalinas.es.