Comentarios sobre la evaluación de impacto en la privacidad y su influencia penal
| Author | Dr. Javier Valls Prieto |
| Pages | 418-463 |
418
Comentarios sobre la evaluación de impacto
en la privacidad y su influencia penal
DJVP
Sumario
I. Nuevas formas de análisis de datos
1.1. Importancia del Big Data
1.2. Riesgos del Big Data
II. Evaluación de riesgos para la intimidad
III. Análisis de la protección penal de la intimidad
3.1. Artículo 197
3.1.1. Conducta sancionada
3.1.2. Objeto material
3.1.3. Sujetos activo y pasivo
3.2. Artículo 199
Ocioyrelaciónlaboral
3.2.2. La acción típica
3.2.3. Conexión con nuestro objeto de estudio
IV. Conclusiones
I. Nuevas formas de análisis de datos
NoexisteunadenicióndeBig Data única que ponga de acuerdo a
todosloscientícosAprincipiosdelaño1cientícosenastrono-
mía2 y genoma fueron los primeros en utilizar este concepto cuando
Profesor Titular de la Universidad de Granada. jvalls@ugr.es
1 PorprimeravezenunapublicacióncientícaenBoellstorTDie
Konstruktion von Big Data in der Theorie”, Reichtert, R., Big Data, 2014,
Transcript, p. 107
2 El rastreo digital del cielo, en el año 2000, produjo, de un telescopio en
Nuevo Méjico, más datos en sus primeras cinco semanas que todos los
419
DJVP
se referían a las investigaciones en las que utilizaban una cantidad
ingente de datos3. Esta técnica de gestión de grandes cantidades de
datos se ha ido extendiendo a otras disciplinas dando diferentes de-
nicionesdeBigData
Para explicar este fenómeno, los ingenieros de IBM utilizan como
deniciónlatendenciaen elavancedelatecnologíaquehaabierto
las puertas hacia un nuevo enfoque de entendimiento y toma de deci-
siones, la cual es utilizada para describir enormes cantidades de datos
(estructurados, no estructurados y semiestructurados) que tomaría
demasiado tiempo y sería muy costoso cargarlos a un base de da-
tos relacional para su análisis. De tal manera que, el concepto de Big
Data se aplica para toda aquella información que no puede ser proce-
sada o analizada utilizando procesos o herramientas tradicionales”4.
Se suele relacionar Big Data con el volumen de datos analizados
pero realmente es sólo una parte de la ecuación en la técnica que se
desarrolla en la actualidad. Al menos hay dos variables adicionales
queinuyendirectamenteenlaposibledenicióndelaquetratamos
velocidad y variedad. En este conjunto de 3V5 se pueden describir las
variables de la siguiente manera:
Laprimera de lasV se reereal volumen Cuando hablamosde
gran volumen de datos estamos hablando de un número tan gran-
deque podríamos considerarlo como cercano ainnitoN6. Para
tener una idea se espera que la producción de datos para 2020 será
de zeabits un zeabit es 21) lo que supone un incremento
datos recopilados en la historia de la astronomía en toda su historia. En
el 2010 ya tenía más de 140 Terabytes de información acumulada. Pero es
que se espera que su sucesor el gran telescopio para rastreo sinóptico, en
Chile, conseguirá esta información en los primeros cinco días.
3 Mayer-Schonberger, V., Cukier, K., Big Data. A revolution that will transform
how we live, 2013, John Murray, p. 6.
4 IBM developersWork, ¿Qué es el Big Data?, hpswwwibmcomdevelo-
perworks/ssa/local/im/que-es-big-data/ (visitado el 29/9/2016)
5 IBM hpwwwibmbigdatahubcomsitesdefaultlesinfographic
fileVsofbigdatajpgcmmcuidcm
mcsid (visitado 29/09/2016)
6 Mayer-Schönberger, V., Cukier, K., Big…, cit., pp. 27-28
420
C
de 300 veces desde 20057. Esto permite estar muy cerca de obtener
todos los datos de una realidad sin necesidad de establecer muestras
representativas. Tal aumento de datos se produce por el incremen-
to de dispositivos de captación, básicamente móviles, pero también
pueden ser coches, electrodomésticos, etc. Además, el desarrollo del
Internet 2.08 ha contribuido a que el usuario aumente indiscrimina-
damente la generación de los mismos, lo que implica una novedad
al pasar de una generación de datos jerarquizada a una horizontal9.
La segunda V sería velocidad referida a la generación y procesa-
miento de los datos. En un mundo digital los datos se generan a ve-
locidad instantánea y se procesan igualmente. Un individuo genera
al día miles de datos con la utilización de los dispositivos móviles o
con su uso de internet.
Finalmente, la tercera V es variedad. Los datos son de muy diversa
índole pudiendo estar ordenados, semiordenados o, directamente, no
tener ningún tipo de regla para organizarlos. Todos ellos provienen
de comunicaciones electrónicas, ya sean mails, mensajes de Whats-
app, audio, imágenes, datos recogidos por los casi 100 sensores que
controlan un coche y el GPS, datos y registros médicos, etc. A parte,
hay que señalar que con las medidas de trasparencia de los Estados10
e instituciones internacionales están aumentando el número de datos
y su acceso al público en general debido a las políticas de Open Data.
Por supuesto, han salido críticos al poder de las teorías del Big
Data, principalmente por la excesiva utilización mercantil que han
7 IBM hpwwwibmbigdatahubcomsitesdefaultlesinfographic
fileVsofbigdatajpgcmmcuidcm
mcsid (visitado 29/09/2016)
8 Internet sólo es una infraestructura que debe de llenarse de datos para
que sea útil. Rogers, R., “Nach dem Cyberspace: Big Data, Small Data”,
Reichtert, R., Big Data, 2014, Transcript, p. 175.
9 Mayer-Schönberger, V., Cukier, K., Big…, cit., p. 6
10 El presidente Obama dio el primer gran salto al hacer públicos y dati-
cableslos datosdel Gobierno deEEUU hpswwwwhitehousegov
thepressoceexecutiveordermakingopenandmachine
readable-new-default-government- (visitado 28/9/2016) Después le han
seguido otros países como el Reino Unido o Alemania y las instituciones
comunitarias.
421
DJVP
realizado las empresas11, y por las áreas más humanísticas de la cien-
cia, que han llegado a tildarla, con gran afán provocador, de trasno-
chada12 si se hace una concepción histórica del termino data. O al mal
uso del concepto ligándolo sólo con grandes cantidades de datos, sin
más13Másseriaeslacríticaquesehacedelainvestigacióncientíca
del Big Data y de la metodología que utiliza. Así, boyd y Crawford
danunadenicióndiferente basadaen suutilización enla sociolo-
gía, en la que consideran que Big Data no tiene que ver con lo grande
sino con la capacidad de buscar, agregar y cruzar diferentes tipos
degrupos de datos Estas autoras dan su propia denición consi-
derándolo como un fenómeno universitario, tecnológico y cultural
que reside en la interconexión de tecnología, análisis y mitología14.
Tecnología porque se utiliza capacidad de computación y algoritmos
para analizar, enlazar y comparar grandes conjuntos de datos; aná-
lisisparaidenticarpatronesenelámbitosocialeconómicotécnico
y legal y mitológico por creer que grandes cantidades de datos ofre-
cen una forma superior de inteligencia y conocimiento que generan
nuevas visiones que antes hubieran sido imposibles, con un aura de
verdad, objetividad y certeza15.
Con las técnicas de Big Data ya no es necesario que todos los datos
sean verdaderos ni que estén ordenados, lo importante es que haya
muchos datos. Al haber muchos, los datos erróneos quedan práctica-
mente relegados a una proporción mínima que los hace irrelevantes16.
El Big Data se basa en dos puntos esenciales: el número de datos
tiende al total y se acepta la incertidumbre de la existencia de errores.
11 Ibid, p. 7.
12 Hace un juego de palabras con überholt (transnochada, pasada de tiem-
po) con el termino datum, referido a la fecha que llevan los datos, Boells-
torTDie Konstruktionvon Big Datain derTheorie ReichtertR
Big Data, Transcript, 2014, pp. 107 y ss.
13 Manovich, L., “Trending: the promises and the challenges of big social
data”, Gold, M. K. Debates in the Digital Humanities, 2011, Universidad de
Minesota. On-line hpmanovichnetcontentprojectstrending
the-promises-and-the-challenges-of-big-social-data/64-article-2011.pdf
(visitado 29/09/2016)
14 boyd, h., Crawford, K., “Critical questions for Big Data”, ICS, 2012, p. 663.
15 Ibid.
16 Mayer-Schönberger, V., Cukier, K., Big…, cit., p. 36.
422
C
Errores que en la mayoría de los casos no genera mayor problema, ya
que nos acerca más a la realidad, aun teniendo un desorden y algu-
nas incorrecciones17. Esto implica nos debemos acostumbrar a la in-
certidumbreyaldesordensiendomásexiblesyestamaleabilidad
es la que nos va a permitir estar más cerca de la realidad18.
1.1. Importancia del Big Data
El punto clave de esta nueva técnica de análisis de datos es en-
contrar aquellos que nos van a servir de indicadores y, una vez de-
tectados, la correlación existente entre ellos que nos va a permitir el
análisis y, más tarde, tener una representación del fenómeno de es-
tudio. De la precisión y calidad de esta correlación va a depender la
cantidad de cosas que se van a poder conocer del fenómeno.
En las recientes elecciones a Presidente de EE.UU., por ejemplo,
Facebook ha intentado predecir cómo será el resultado electoral y
para ello ha etiquetado a cada usuario de su plataforma en Estados
Unidosconuna etiquetaque loidentica comoliberalmoderadoo
conservador basándose en la actividad de la persona en su página
web. Facebook hace una deducción basándose en la correlación en
las páginas que le gustan, por ejemplo, si se sigue la web de alguno
delos candidatos ysi le gusta Puedeocurrir que unonose dena
políticamente pero si ha marcado la marca de yogurt o de refresco
que le gusta y coincide con los gustos de mucha otra gente que sí ha
seleccionado cuál es su candidato preferido, va a ser catalogado de
una determinada forma. Una vez realizado el etiquetado, los datos
obtenidos sobre las opciones políticas se pueden usar, por ejemplo,
para saber dónde Donald Trump debe dirigir su inversión en anun-
cios de campaña19. La clave consiste en relacionar los datos que se
tienen y encontrar el dato que sirve de conexión entre muchos para
poder sacar la relación.
Las correlaciones nos permiten analizar un fenómeno no por acla-
rarcómofuncionasinoporidenticarundatorepresentativodeél20.
17 Ibid, p. 48.
18 Ibid.
19 Merril, J.B., “Liberal, moderate or conservative? See how Facebook labels
you”, NYTimes, 2016 (visitado 23/08/2016).
20 Mayer-Schönberger, V., Cukier, K., Big…, cit., p. 53.
423
DJVP
Por supuesto, no toda relación sirve, es posible que simplemente la
conexión sea simplemente una coincidencia.
Es aquí donde se produce otro de los cambios más importantes, ya
no se va a utilizar sólo correlaciones lineales de datos sino que es po-
sible hacer comprobaciones más complicadas. Los análisis no causa-
les nos permiten descubrir cosas nuevas que nos explican el qué pero
no el porqué de las cosas21. Vamos a poder detectar qué pasa pero no
por qué se produce ese determinado hecho. Se pierde la causalidad
en este tipo de análisis. Si, por ejemplo, sabemos que los coches rojos
estánimplicados en másaccidentes de trácopodemospensar que
es debido a que el color rojo genera más agresividad en sus conduc-
tores, o puede ser que el rojo llama más la atención al resto de con-
ductores y sienten una atracción hacia el mismo. A las compañías
aseguradoras les va a dar igual el por qué se produce un determinado
efecto, lo que sí les interesan es que tienen que subir la tarifa a aque-
llos vehículos con ese color. Lo importante no es el por qué, es que
el hecho se produce y se va a producir22 dejando las teorías aparte ya
que no importan los modelos conceptuales sino los datos en sí23. Esta
posturaesunpocoexageradayalasteoríascientícasqueexpliquen
elporquévanseguirposeyendounvalorenelavancecientíco
Como estamos señalando la clave reside en los datos y en los me-
tadatos. Para entender en qué consisten imaginemos una carta. El
contenido de la carta serían nuestros datos mientras que los metada-
tos serían la información que hace que nos llegue esa carta: nombre
ydireccióndelreceptorydelremitenteocinadecorreosfechade
envío y lugar de franqueo de la carta con la información que va en
el sello. En las comunicaciones digitales ocurre algo parecido. Cada
mensaje que mandamos lleva aparejada una información básica para
conseguir llegar a su destino: receptor, remitente, hora, fecha, lugar,
etc. Estos metadatos son igual de útiles que los datos que llevan el
contenido.
Para nuestro objeto de estudio entendemos el concepto dato como
información que describe un fenómeno que puede ser medida y
21 Ibid, p. 63.
22 Ibid, p. 67.
23 Harkness, T., BigDataDoessidemaerBloombury Sigma, 2016, pp. 30-31.
424
C
analizada24 mediante algún algoritmo. Esto nos permite poder enla-
zarlos con otros para poder llegar a conclusiones más allá de lo que
nos daría con un único conjunto de datos.
LaclaveesquelosdatosseanmediblesycuanticablesLosinten-
tos de medir en qué posición del mundo se encuentra una persona
o un objeto se lleva haciendo desde Ptolomeo en la Grecia clásica.
Gracias a este sistema de medida en una esfera hoy día se pueden
utilizar tecnologías como el GPS que es utilizado por las empresas
detransportesparapodersabercuándosuotadebepasarlasrevi-
siones para evitar que se averíen, aumentando la productividad de
los vehículos.
UnavezdaticadosotradelasclavesdelastécnicasdeBigData
es la reutilización de los datos. Así datos que en un primer momento
no tienen un uso determinado puestos en interacción con otros con-
siguen un valor añadido.
Sin embargo, existen límites a esta utilización de los datos en el
tiempo. En muchas situaciones los datos personales que hoy tiene
importancia en cinco, diez años ya no la tienen25. Los humanos cam-
biamosdegustosacionesointereses luegolosdatosdehace tiem-
po ya no nos representan, el valor que tienen decaen con el tiempo26.
El que una persona cambie de hábitos alimenticios puede cambiar su
situación de riesgo ante una determinada enfermedad haciendo que
las predicciones que puedan venir del Big Data no sean reales. Luego
es necesario que los datos estén actualizados. Esto es un problema
porque no siempre se sabe cuándo se producen los cambios y puede
dar como resultados predicciones erróneas.
1.2. Riesgos del Big Data
Una reciente investigación del Laboratorio de seguridad de depar-
tamento de Ciencias de la computación de la Universidad de Stan-
ford, ha demostrado que se puede sacar información privada sólo
con el registro de llamadas de teléfono, sin entrar en el contenido de
24 Mayer-Schönberger, V., Cukier, K., Big…, cit., p. 78.
25 Sobre lo inestable que son los datos en las redes sociales cfr. Mahrt, M.,
Scharkow, M., “Der Wert von Big Data für di Erfonschung digitaler Me-
dien”, Reichtert, R., Big Data, 2014, Transcript, p. 223.
26 Mayer-Schönberger, V., Cukier, K., Big…, cit., p. 108.
425
DJVP
la comunicación. Los resultados de la investigación demostraron que
unode los sujetos tenía un rie mientras que a otro le había diag-
nosticado una dolencia cardiaca. Otros datos apuntaban a un nuevo
embarazoa un sujetocon esclerosis múltipleynalmente otro se
dedicaba al cultivo de marihuana. Sólo con los datos de los números
a donde se llamaban, cuándo y por cuánto tiempo.
Para el estudio se consiguió 823 personas que accedieron a ins-
talar una aplicación en su teléfono que permitía registrar informa-
ción de las llamadas y de mensajes en las redes sociales pero no su
contenido. Se consiguieron metadatos de más de 250.000 llamadas y
más de un millón doscientos mil mensajes de texto. Los metadatos
de una de las personas mostraron que tenía conversaciones de larga
duración con un centro de cardiología; habló poco con un laboratorio
médico; contestó varias llamadas cortas de su farmacia y llamó a una
empresa de dispositivos de registro cardiaco anormales. Otro parti-
cipante realizó varias llamadas a una tienda especializada en armas
semi-automáticas y, justo después, varias llamadas de larga duración
a una de las empresas más grandes que fábrica ese tipo de armas.
Otro de los ejemplos tenía llamadas a tiendas de cerrojos, suministra-
dora de material de cultivo hidropónico y ferreterías en el tiempo de
tres semanas27.
La utilización de datos y metadatos, tanto por empresas como por
entidades públicas, pueden afectar gravemente a los Derechos Fun-
damentales de los ciudadanos, y especial, al Derecho a la intimidad.
Esto nos podría llevar una distopía al estilo del Gran Hermano que se
describe en la novela 1984. Sin embargo, no toda investigación de Big
Data se realiza con datos personales luego no tendría por qué prohi-
birse. Sin embargo, al mismo tiempo datos que en principio no son
personales, como el consumo de electricidad, pueden dar caracterís-
ticas sobre el sujeto. Así, por ejemplo, por las medidas del contador
de electricidad se puede saber si el consumo proviene de la utiliza-
ción de un horno o del uso de lámparas para cultivar marihuana,
o saber el número de personas que viven en una casa y cuáles son
sus horarios.
Existe otro riesgo y es el de pensar que las técnicas de Big Data
se puedan utilizar en el sistema de justicia para condenar a gente.
27 Mayer, J., Mutchler, P., Mitchell, J. C., “Evaluating the privacy properties
of telephone metadata”, PNAS, vol. 113, 2016, pp. 5538 y ss.
426
C
Lo que se consigue con el Big Data son probabilidades de que un
hecho se produzca, pero nunca una certeza absoluta. Luego la posibi-
lidad de sancionar a alguien por el comportamiento futuro, atentaría
contra el principio básico del Derecho penal que es el de sancionar
por las acciones cometidas28. Como hemos señalado en el punto de la
validez de los datos, los sujetos cambian y, sobre todo, tienen la liber-
tad de decidir si hacen algo o no, el principio de culpabilidad sigue
operando en nuestro sistema penal y sobre el tenemos que operar. El
Big Data nos puede ofrecer información sobre riesgos pero, como he-
mos señalado anteriormente, no sobre causalidades, nos dice el qué
pero no el porqué. Es por ello que dentro de la lucha contra el crimen
se pueda utilizar desde el punto de vista estratégico pero no desde el
operacional29. Sirve para detectar posibles riesgos criminales y como
tal es una herramienta muy buena para la labor de la policía30.
El tercer riesgo es pensar que el Big Data es la panacea y resuelve
todos los problemas que puedan surgir. En la guerra de Vietnam el
ejército americano utilizo el análisis de datos, casi como un mantra,
para ganar la guerra. Finalizada la guerra los Generales consideraron
que fue una pérdida de tiempo y un gran error31Alny alcabo es
una herramienta más en la toma de decisiones que ayuda gracias a la
información que suministra, pero las decisiones las tienen que seguir
tomando humanos.
De estos tres problemas a los que nos enfrentamos nos vamos a
centrar en el primero: los peligros que supone para la intimidad de
28 Mayer-Schönberger, V., Cukier, K., Big…, cit., p. 161.
29 De forma equivalente en Alemania se distingue entre la prevención de
delitos futuros y la represión de delitos pasados. Cfr. Boerger, B., “La
transmisión de datos personales como parte de la cooperación policial
y judicial en materia penal en la UE: la experiencia alemana”, Colomer
Fernández, I., Oubiña Barbolla, S., La transmisión de datos personales en el
seno de la cooperación judicial penal y policial en la Unión Europea, Aranzadi,
2015, p. 199.
30 El Grupo de trabajo del artículo 29, cuando se trata de la utilización de
Big Data, hace una distinción expresa entre las dos posibilidades dando
mucho más margen al primero y siendo más restrictivo con el segundo.
Cfr. Treacy, B., Bapat, A., “Purpose limitation – clarity at least?”, PDP, 13
6 (11), 2013, p. 3.
31 Mayer-Schönberger, V., Cukier, K., Big…, cit., pp. 164 y ss.
427
DJVP
la persona y como se ha transformado en la era de Internet. La inti-
midad es un espacio reservado de la persona en la que ella controla
quien tiene acceso y permite a quién se le permite entrar. Sin embar-
go, en la era de Internet esto ha cambiado, ahora se está en la era de
lanoticaciónyel consentimiento32: el sujeto ha de ser informado
de que se están utilizando sus datos y él puede consentir si se pueden
utilizar por otra persona o no. Así ha sido regulado en los últimos
años por la Directiva 95/46/EC del Parlamento Europeo y del Conse-
jo, de 24 de octubre de 1995, relativa a la protección de las personas fí-
sicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y en la Decisión Marco 2008/997/JHA del
Consejo, de 27 de noviembre de 2008, relativa a la protección de datos
personales tratados en el marco de la cooperación policial y judicial
en materia penal. El derecho a ser informado se ha regulado en el ar-
tículo 11.1 de la Directiva33 y en el artículo 16 de la Decisión Marco34.
32 Ibid, p. 173.
33 Artículo 11.1. Cuando los datos no hayan sido recabados del interesado,
los Estados miembros dispondrán que el responsable del tratamiento o
su representante deberán, desde el momento del registro de los datos o,
en caso de que se piense comunicar datos a un tercero, a más tardar, en el
momento de la primera comunicación de datos, comunicar al interesado
por lo menos la información que se enumera a continuación, salvo si el
interesado ya hubiera sido informado de ello:
a) la identidad del responsable del tratamiento y, en su caso, de su repre-
sentante;
blosnesdeltratamientodequevanaserobjetolosdatos
c) cualquier otra información tal como:
- las categorías de los datos de que se trate,
- los destinatarios o las categorías de destinatarios de los datos,
la existenciadederechos deaccesoy recticacióndelos datos quela
conciernen, en la medida en que, habida cuenta de las circunstancias es-
pecícasen que sehayan obtenidolos datos dicha informaciónsuple-
mentaria resulte necesaria para garantizar un tratamiento de datos leal
respecto del interesado.
34 Artículo 16: 1. Los Estados miembros se harán cargo de que el interesado
esté informado de lo relativo a la recopilación o tratamiento de datos per-
sonales por sus autoridades competentes, conforme al Derecho nacional.
2. En caso de haberse transmitido o puesto a disposición entre Estado miem-
bro datos personales, cada Estado miembro podrá, de conformidad con
428
C
El sujeto, tanto para uso civil como para uso en materia de seguridad,
tiene que estar apercibido de que sus datos están siendo procesados.
Al mismo tiempo el sujeto debe consentir su procesamiento para un
determinadonsiempreycuandono setrate delámbito dela De-
cisión Marco que, por tratarse de cuestiones de investigaciones poli-
ciales, no es necesario no es necesario que preste su consentimiento.
Esta situación en la que el sujeto tiene algo de control sobre sus datos
ha desaparecido con la era del análisis de datos masivos la regulación
se ha quedado obsoleta principalmente por dos características: la im-
posibilidad de conseguir consentimiento de millones de sujetos (es
imposible conseguir el consentimiento de toda persona que pone un
tweet en la red)35 y la posibilidad de cambiar el primer uso por el que
se prestó el consentimiento36.
En la actualidad hay un vacío legal que deja el consentimiento del
sujeto prácticamente sin poder. En un futuro cercano todo va a girar
menos en consentimiento individual y más en la responsabilidad del
uso que se hace por parte del poseedor de los mismos. Los derechos
regulados en la normativa europea van a seguir existiendo para los
casos en que los datos se utilicen de forma tradicional, mientras que
para los casos en que se apliquen técnicas de Big Data la responsabi-
lidad va a venir por el incumplimiento del plan de evaluación de rie-
gos a la intimidad. Este plan es el resultado de una utilización ética37
de los datos y debe venir recogido en unas guías de buen comporta-
miento por parte de los usuarios de los datos. Para que estos planes
funcionen es necesario que se les otorgue de herramientas jurídicas
para poder ser viables y que tengan credibilidad, es decir, con accio-
nes civiles de responsabilidad, sanciones administrativas y para los
casosmásagrantestipospenales38.
lasdisposiciones desu Derechonacional aque sereere elapartado
pedir que el otro Estado miembro se abstenga de informar al interesado.
En tal caso, este último Estado miembro no informará al interesado sin el
con sentimiento previo del primero.
35 boyd, h., Crawford, K., “Critical…”, cit., p. 672.
36 Mayer-Schönberger, V., Cukier, K., Big…, cit., p. 173.
37 Mahrt, M., Scharkow, M., “Der Wert…”, cit., p. 228.
38 Ibid, pp. 174-175.
429
DJVP
Solo con un buen control legal se puede proteger el Derecho fun-
damental a la intimidad y para ello es necesario a) que se controlen
los algoritmos que ejecutan los análisis de datos, b) que haya sistemas
internos de control, como pueden ser los defensores del lector de los
periódicos –es cierto que en principio se puede pensar que al ser par-
te del organigrama pueden tomar medidas a favor de la institución
que procesa los datos, pero también es cierto, que cuanto más creíbles
seanmásfacilidadestendránparatenerlaconanzadelosciudada-
nos para que puedan utilizar sus datos– c) que haya mecanismos de
controlexternoaligualqueen elsectornancieroexistenlas agen-
cias de valoración–39. Además, es preciso d) la creación de algoritmos
decontrolquepuedencrearlosEstadosynalmenteyestoesmuy
importante ya que los datos están en manos de muy pocos40, e) crear
una normativa anti-monopolio de datos41.
Los avances tecnológicos suponen retos para la sociedad y eso
implica también retos para el ordenamiento jurídico. Integrar jurí-
dicamenteunavancetecnológicosuponeun benecioparalasocie-
dad, ya que implica un desarrollo económico y, al mismo tiempo, una
garantía del mantenimiento de los Derechos en los que se basa una
sociedad, especialmente en una Democracia. Con el desarrollo del
automóvil se empezó regulando en qué sentido de la carretera debía
circularsediseñó elsemáforo paracontrolareltrácose exigióun
control y formación sobre las personas autorizadas para conducir,
se creó un sistema de circulación reglado y sancionador, se toman
controles de seguridad técnicos para que intentar evitar accidentes,
hay un sistema de seguros que cubre las responsabilidades civiles
derivadas, se hacen controles de alcoholemia y drogas para asegu-
rarse que el sujeto no es peligroso, y aun así la consideramos una
actividad peligrosa para la sociedad por el número de accidentados y
por los problemas medioambientales que produce. La revolución del
Big Data tiene, sin duda, sus riesgos. Estamos en los primeros pasos
de este avance tecnológico y por ello hay que ir evolucionando el sis-
tema jurídico para asegurarse de que es compatible con una sociedad
democrática ya que ha surgido para quedarse, porque la sociedad
39 Ibid, p. 178.
40 boyd, h., Crawford, K., “Critical…”, cit., p. 674 y ss.
41 Mayer-Schönberger, V., Cukier, K., Big…, cit., pp. 183 y 184.
430
C
no va a poder evitar su utilización y es necesaria para determinados
procesos de la vida moderna a los que no vamos a renunciar.
Por otro lado, no podemos renunciar a un Derecho básico para
el desarrollo de una Democracia, como el de la intimidad, ya que
sin él el ciudadano no puede, libremente, desarrollarse como sujeto
político y tener su espacio para tomar las decisiones que más le be-
neciena lahora devotar porunaopción políticaSerá lavidaen
una sociedad dominada por el Big Data como volver a la vida en un
pueblo donde todo el mundo se inmiscuye en la vida de los demás?42
Podría ser. Y al igual que cuando todo el mundo se conocía hubo que
desarrollar mecanismos legales para proteger la intimidad, hoy día
hay que regular la utilización del Big Data.
II. Evaluación de riesgos para la intimidad
La normativa protectora del Derecho a la intimidad se ha quedado
obsoleta con el avance tecnológico. Es por ello que a partir de 2018
entra en vigor otra normativa comunitaria que, desde abril de 2016,
sustituye a la Decisión Marco, la Directiva 2016/680 del Parlamento
europeo y del Consejo de 27 de abril de 2016 relativa a la protec-
ción de las personas físicas en lo que respecta al tratamiento de datos
personalespor parte de las autoridades competentes para nes de
prevención, investigación, detección o enjuiciamiento de infracciones
penales o de ejecución de sanciones penales, y a la libre circulación
de dichos datos. Para nuestro objeto de investigación lo más desta-
cable es la obligación de realizar una evaluación de riesgos para la
intimidad.
Como todo avance tecnológico la utilización del Big Data lleva
consigo, en sus primeras fases de desarrollo, una utilización respon-
sable y ética, entendida no como algo bueno o malo, sino como guías
y directrices que orienten un determinado campo43debidoal décit
existente en la protección legal de la persona, no está correctamente
42 Harkness, T., Big…, cit., pp. 121 y ss.
43 Wright, D., Friedewald, M., “Integrating privacy and ethical impact as-
sessments”, Science and Public Policy, 40, 2013, p. 756.
431
DJVP
realizado44 o no es factible por la ponderación de intereses. Esto im-
plica que, aparte de las medidas de seguridad que se deben de im-
plementar y la limitaciones que exige la normativa al tipo de datos, a
lanalidadporlaquese vanarecolectaresosdatosyaladuración
limitada del procesamiento, se permita un tratamiento lo más limi-
tado posible de los datos por la importancia de los Derechos Funda-
mentales que están en juego.
En la nueva normativa se exige que, en la utilización de Big Data,
que se redacte un documento antes de la obtención de los datos en
elquesereejendeformaprecisayclaratodoslosaspectosexpresa-
dosanteriormente yademás especicar cuálesson lossistemasde
seguridad que se van a imponer en el sistema (creación de registros
de acceso, acceso mediante doble entrada, cortafuegos, sistema de
pseudoanonimización, cursos de formación para el personal que va
a tener acceso, etc.) Este documento es la denominada evaluación de
riesgos para la privacidad, conocido por sus siglas en inglés como
PIA, que se tiene que revisar cada tiempo según va evolucionando el
tratamiento de los datos. El PIA debe de tener una perspectiva am-
plía en la que se deben abordar los impactos en la intimidad y no li-
mitarse únicamente a si es conforme a la ley45. Es necesario, por tanto,
que cada organización tenga diseñado un PIA ad hoc para adecuar
su comportamiento con los datos a sus necesidades y riesgos46. Los
puntos básicos que debería cubrir, de forma general, serían 1547. Para
empezar, el análisis de si es necesario un PIA o no, siempre que vaya
atenerinuenciaeneldiseñodelproyectoalquesevaaaplicarque
en nuestro objeto de estudio es imprescindible. Un segundo paso es
determinar un equipo de trabajo para realizarlo. Aunque el respon-
sable del PIA es el encargado del procesamiento de datos, la tarea
de control no es fácil por lo que tiene que ser un equipo multidisci-
plinarentrepersonaltécnicojurídicoéticodeusuariosnalesy de
ciudadanos. Trazar un plan estratégico de impacto, con los temas,
44 López Jiménez, D., “Los códigos tipo como instrumento para la protec-
ción de la privacidad en el ámbito digital”, Estudios Constitucionales, 11,
2, 2013, p. 592.
45 Clarke, R., Privacy Impact Assessment, 2003, p. 2.
46 Reer K Alingingcorporate ethics compliance programs with data
protection”, PDP 13 6 (5), p. 2.
47 Wright, D., Friedewald, M., “Integrating…”, cit., p. 760.
432
C
las personas que van a trabajar, reparto de tareas, un cronograma y la
consulta a los expertos externos.
También es necesaria una descripción del proyecto que se va a
analizar, cómo se va a desarrollar con un cronograma de trabajo di-
señado, así como analizar quienes son los posibles usuarios del pro-
yecto. En relación directa sobre cómo se va a desarrollar el proyecto,
espreciso determinar laformaen que sevaa transmitirelujo de
informaciónque datos sevaa solicitar conqué n quién losvaa
recolectar, cómo se van a almacenar, con qué medidas se va a prote-
ger y distribuir y como se va a procesar. El recurrir al consejo de los
usuariosnales es básico para determinar de forma precisa cuales
son las necesidades que tienen y cómo se va a utilizar en la práctica.
En este punto es cuando será necesario un análisis legislativo sobre la
adecuación del proyecto a la legislación vigente.
Creada la infraestructura se deben identicar los riesgos y po-
sibles soluciones mano a mano con los usuarios y la magnitud del
impacto en caso de que se produzcan. Después de formularán las
recomendaciones, que deben estar redactadas en un informe que se
debe hacer público para poder ser debatido con los interesados y se
deben aplicar las recomendaciones sugeridas y aprobadas. En caso
de que no se vayan a poner en marcha hay que explicar por qué no se
hahechoyjusticaradecuadamenteladecisión
Además es necesario que sea revisado y evaluado por personas
externas, de tal manera que no quede controlados sólo por personal
interno al proyecto. Lo cual puede implicar que haya que actuali-
zar su contenido por sus comentarios o por los cambios que se pue-
dan producir durante el proyecto. Finalmente, es necesario un plan
de formación para aquellos que van a lidiar con el procesamiento
de datos.
La introducción de los PIA en el día a día de la utilización de da-
tos masivos se debe a las recomendaciones del Grupo de trabajo del
artículo 2948 y la obligación a las autoridades de crear estándares de
actuacióncomolaocinadeproteccióndedatosysehaestablecido
48 WrightDMakingPrivacyImpactAssessmentMoreEectiveThe In-
formation Society, 29, 2013, p. 307.
433
DJVP
como un elemento básico49, al igual que los compliance programs50 se
han considerado documentos imprescindibles en la responsabilidad
penal de las empresas.
Siguiendoesta inuencia el Reglamento y la Directiva
2016/680 obligan en sus artículos 35 y 27, respectivamente, a que los
Estados Miembros dispongan que el responsable de tratamiento rea-
lice una evaluación de impacto de las operaciones de tratamiento
cuando la posibilidad de riesgo para la intimidad sea alta. El conteni-
do de PIA en los supuestos de investigaciones policiales deberá ser el
siguiente: una descripción general de las operaciones de tratamiento
previstas, una evaluación de los riesgos para los derechos y liberta-
des de los interesados, las medidas contempladas para hacer frente
a estos riesgos, y las garantías, medidas de seguridad y mecanismos
destinados a garantizar la protección de los datos personales y a de-
mostrar la conformidad con la presente Directiva, teniendo en cuenta
los derechos e intereses legítimos de los interesados y las demás per-
sonas afectadas.
Este punto es el que tratábamos anteriormente que era una nece-
sidad en el procesamiento de datos masivos ya que es la única forma
decrearunaconanzaconelciudadanoparaquesepuedanutilizar
sus datos. El Derecho a la intimidad con el Big Data se ve en un serio
riesgo y, desde luego, no se puede considerar que va a existir como
anteriormente.
Es por ello que el legislador comunitario ha optado por este siste-
ma de autocontrol y de objetivación de la responsabilidad en caso de
mal uso de las técnicas de tratamiento de datos.
La nueva normativa europea ha cambiado con la creación del Re-
glamento 2016/679, que exige la imposición de sanciones penales en
su exposición de motivos51. Sin embargo, no ha habido cambio en
la Directiva 2016/68052 que mantiene el sistema de la Decisión Mar-
co53, en la que se utiliza un clásico recurso en el Derecho sancionador
49 Que se lleva utilizando desde los 90 en los países anglosajones. Wright,
D., Friedewald, M., “Integrating…”, cit., p.756.
50 ReerKAlingingcitp
51 Puntos 149 y 152 de la exposición de motivos.
52 Artículo 57 de la Directiva 2016/680.
53 Artículo 24 de la Decisión Marco 208/977/JAI.
434
C
comunitario; los “Estados miembros establecerán las normas en ma-
teria de sanciones aplicables a las infracciones de las disposiciones
adoptadas con arreglo a la presente Directiva y tomarán todas las
medidas necesarias para garantizar su cumplimiento. Las sanciones
establecidas serán efectivas, proporcionadas y disuasorias”. Sobre la
naturaleza de estas sanciones siempre suele a ver dudas54.
Hoy día las sanciones se encuentran en Ley Orgánica de Protección
de Datos y se trata de sanciones pecuniarias y, en los casos, en que
sea una entidad pública la infractora se sancionará dentro de las posi-
bilidades que ofrece el sistema disciplinario de las Administraciones
públicas, luego se trata de sanciones de carácter administrativo. Sin
embargo, esta redacción no elimina la posibilidad de sanciones pena-
les como ha ocurrido en otros ámbitos donde el Derecho Europeo ha
intervenido como puede ser el fraude de subvenciones de la Unión
Europea, el Derecho la pornografía infantil, el terrorismo, etc. Sólo en
el caso del medio ambiente se ha establecido expresamente la necesi-
dad de sanciones penales.
El Reglamento considera que Los Estados miembros establecerán
las normas en materia de otras sanciones aplicables a las infraccio-
nes del presente Reglamento, en particular las infracciones que no se
sancionen con multas administrativas de conformidad con el artículo
83, y adoptarán todas las medidas necesarias para garantizar su ob-
servancia. Dichas sanciones serán efectivas, proporcionadas y disua-
sorias. Ahora el legislador no menciona expresamente la naturaleza
jurídica de las sanciones que se deben aplicar. Lo único que deja claro
es que deben ser diferentes a las administrativas. Esto puede tener
unajusticacióndederechocomparadoyaqueenotrosordenamien-
tos existe otra modalidad de sanciones, como es el caso alemán don-
de existen las Ordnungswidrigkeiten¸ a medio camino entre las sancio-
nes administrativas y las sanciones penales, como es también el caso
en Italia, y que por eso deje la posibilidad abierta, pero entonces no
tendría mucho sentido que en la exposición de motivos se hablase
claramente de penales.
En conexión con nuestro objeto de estudio no existe impedimento
normativo para elegir qué tipo de sanción se impondría, pero tenemos
54 Por ejemplo, en el Reino Unido se cantiga como delito los casos más gra-
ve que afecte a la intimidad de las personas. Cfr. Carey, P., Treacy, B.,
Data…, cit., p.248-259.
435
DJVP
argumentos para decantarnos por las sanciones penales por cómo se
pone en peligro el bien jurídico que se pretende proteger. Hemos se-
ñalado como las técnicas de Big Data, mal utilizadas, pueden tener
un gran impacto en la intimidad de las personas y, sin embargo, va
a ser un área análisis básico para el desarrollo de la sociedad en el
futuro y necesitamos mantener el equilibrio entre las necesidades de
la sociedad y los Derechos de los ciudadanos.
III. Análisis de la protección penal de la intimidad
Elbienjurídicoprotegidoenelartículonoesfácildedenir55.
Desde las primeras obras que trataron este delito se dejó claro que
se trataba de un Derecho fundamental y que se protegía un derecho
personalísimo56.
Morales Prats considerara la intimidad como el concepto de privacy.
Esteconceptodesdesusorígenessereerealaposibilidadquetiene
el individuo de determinar a quién le permite entrar en determinadas
esferas de su vida, de tal manera, que le permite resguardarse de las
intrusiones del exterior57. Para este autor la evolución del concepto
ha derivado en que la intimidad constituye un valor difuso mientras
que la violaciones de la esfera personal del individuo son posibles
bajo la forma de intrusiones físicas, siguiendo, con que está diferen-
ciaciónhasidomodicada conlosavancestecnológicos yaquehoy
día, no es preciso una intrusión física58. Prosigue considerando que el
concepto de privacy se conforma de tres esferas: intima, política y per-
sonalLaprimerasereereadondeseasientaslasfacultadesclásicas
de exclusión de terceros en lo que respecta a hechos o circunstancias
relativos a los derechos relativos a la intimidad59; la segunda viene
directamente con la protección de otro tipo de garantías como los
55 Morales Prats, F., La tutela penal de la intimidad: privacy e informática, Des-
tino, 1984, p.118.
56 Carmona Salgado, C., “Delitos contra los Derechos de la Personalidad:
Honor, Intimidad e Imagen”, CPC, nº 56, pág. 417 y 418. Bajo Fernández,
M, “El secreto profesional en el Proyecto de C.P.” ADP, 1980, p. 599.
57 Morales Prats, F., La tutela…, cit., p. 20.
58 Ibid., p. 121.
59 Ibid; p. 123.
436
C
derechos políticos60; y la tercera, relativa a la libertad personal, afec-
taría al cuerpo humano y al domicilio61.
Sin embargo, en la era de la informática considera que hace falta
una cuarta esfera de libertades que denomina libertad informática,
transformando el concepto de privacy con las siguientes característi-
cas: la anticipación de la línea de protección, el contenido positivo del
Derecho a poder controlar los datos que se poseen de una persona;
en la característica de poder excluir determinada información de los
cheroslasalidadelaesferaíntimadedatospersonalesnosensibles
y, por último, la protección de la intimidad en la sociedad de la infor-
mación deja de ser viable sin la intervención del Estado62. Y así debe
interpretarse según la redacción del artículo 18 de la Constitución
Española63. Por tanto, el bien jurídico protegido sería la privacy con la
esfera más privada y con las características que se han desarrollado
en conexión estrecha con otras libertades del ciudadano, como pue-
den ser los derechos políticos o la libertad64. Ante la reforma del 2010,
Morales Prats ha actualizado esta opinión para el caso del hacking,
considerando que en estas acciones lo que se castiga es la seguridad
de las redes en conexión directa con la privacy65.
González Rus hace una distinción entre tres concepciones de bie-
nes jurídicos. Por un lado se encuentra el sentido tradicional de la inti-
midad, concebido como el derecho a estar solo o el derecho a ser deja-
do en paz, por el cual, la persona tiene derecho a decidir a quién dará
a conocer y a quien no datos que afectan a su vida personal y familiar,
permitiendo elegir al sujeto a quien deja acceder a ellos y a quienes
no. Una segunda evolución, debida al desarrollo de las nuevas tec-
nologías, ha ido añadiendo una nueva dimensión a este contenido
básico de carácter “negativo” hasta entenderlo con un carácter “po-
sitivo” de la misma que se concibe como un derecho del ciudadano
60 Ibid; p. 124.
61 Ibid.
62 Ibid., p. 125 y 126.
63 Ibid., p. 135.
64 Ibid., p. 136.
65 Morales Prats, F., “Delitos contra la intimidad, el derecho a la propia
imagen y la inviolabilidad del domicilio”, Quintero Olivares, G., Comen-
tarios a la Parte Especial del Derecho penal, Aranzadi, 2016, p. 435.
437
DJVP
a conocer y controlar la información que los demás poseen sobre él66,
permitiendo el control de los datos que posee otras personas, el lla-
mado habeas data67.
En la actualidad se considera el bien jurídico regulado en los delitos
delTítuloXdelLibroIIcomolaintimidadpersonalreriéndoseono
al concepto de privacy que introdujo Morales Prats68. Lo que sí ha ca-
lado es la teoría de las esferas o capas para describir los diferentes as-
pectos y la capacidad de decisión del sujeto respecto de determinados
66 IgualmenteCarusoFortán VBasesdedatospoliciales sobreidenti-
cadores obtenidos a partir del ADN y Derecho a la intimidad genética”,
Foro, 15, 2012, p. 139.
67 González Rus, J.J., “Delitos contra la intimidad, el derecho a la propia
imagen y la inviolabilidad del domicilio (I) Allanamiento de morada,
domicilio de personas jurídicas y establecimientos abiertos al público”,
Morillas Cueva. L., Sistema Derecho penal español. Parte especial, Dykinson,
2011, pp. 298 y 299.
68 Sainz-Cantero Caparrós, J.E., “Delitos contra la intimidad, el derecho a
la propia imagen y la inviolabilidad del domicilio (I)”, Morillas Cueva,
L., Sistema de Derecho Penal. Parte Especial, Dykinson, 2016, p. 307. Alon-
so de Escamilla, A., “Delitos contra la intimidad, el derecho a la propia
imagen y la inviolabilidad del domicilio”, Lamarca Pérez, C., Delitos y
faltas. La parte especial del Derecho penal, Colex, 2013, p. 216. Serrano Gó-
mez, A., Serrano Maíllo, A., “Delitos contra la intimidad, el derecho a
la propia imagen y la inviolabilidad del domicilio”, Serrano Gómez, A.,
Serrano Maíllo, A., Serrano Tárraga, M. D., Vázquez González, C., Curso
de Derecho Penal. Parte Especial, Dykinson, 2015, p. 91. Jorge Barreiro, J.,
Guérez Tricarico, A., “Delitos contra la intimidad, el derecho a la propia
imagen y la inviolabilidad del domicilio”, Molina Fernández, F., Penal
2016, Francis Lefebvre, 2016, pp. 1030. Carrasco Andrino, M. M., “Des-
cubrimiento y revelación de secretos”, Álvarez García, F. J., Derecho Pe-
nal español. Parte Especial, Tirant lo Blanch, 2011, p. 756. Doval Pais, A.,
Anarte Borrallo, E., “Delitos contra la intimidad, el derecho a la propia
imagen y la inviolabilidad del domicilio (1). Delitos de descubrimiento y
revelación de secretos”, Boix Reig, J., Derecho Penal. Parte Especial, Iustel,
2015, pp. 497 y 498.
438
C
aspectos de su vida respecto a terceros69. Así, Romeo Casabona70 desa-
rrolla un concepto de intimidad basado en esferas con cuatro puntos
esenciales: 1) se concibe como un derecho fundamental que trascien-
de de otros derechos; 2) queda en manos del titular si las comparte o
no con otros sujetos; 3) cuando el sujeto no posee ningún sistema de
control sobre terceros, se está en la esfera más íntima, y en estos casos
la protección sólo es posible cuando afecta a la propia imagen o al
honor y 4) se protege con diferentes instrumentos jurídicos y, lo que
nos interesa, en el apartado a la protección de datos, va más allá de la
intimidad ya que el sujeto está obligado a suministrar la información
y sólo tiene los derechos de control71.
Opina de forma diferente Miró LLinares, que en relación al acceso
informático en los que el sujeto se apodera de datos (ya sea un docu-
mento o similar para descubrir un secreto) del que el acceso ilícito,
considera el autor, es un comportamiento anterior, comparándolo
con un acto preparatorio para la realización del mismo72. Basándose
en una interpretación sistemática considera que lo que el legislador
ha querido proteger expresamente es la intimidad de las personas,
considerándolo como una protección anticipada de la intimidad,
para los casos recogidos en el 197.2,73 mientras que para los casos
69 Sáinz-Cantero Caparrós, J.E., “Delitos…”, cit., p. 307. Gómez Navajas, J.,
“La protección de datos personales en el código penal español”, RJCL,
16, 2008, p. 330.
70 Romeo Casabona, C. M., “Delitos contra la intimidad, el Derecho a la
propia imagen y la inviolabilidad del domicilio”, Romeo Casabona,
C.M., Sola Reche, E., Boldova Pasamar, M.A., Derecho penal. Parte Espe-
cial., Comares, 2016, pp. 255 y 256.
71 Adheriéndose a la postura de Morales Prats.
72 Miró LLinares, F., “Delitos informáticos: «Hacking». Daños”, Ortiz de
Urbina Gimeno, I., Reforma penal 2010. Ley Orgánica 5/2010, Francis Lefe-
bvre, 2010, p. 143.
73 Ibid., p. 144.
439
DJVP
del 197.3 se trataría de la seguridad informática, diferenciado del
bien jurídico individual74 aunque en conexión con ella75.
Matizando también el concepto de intimidad Morales García con-
sidera que se protege la intimidad en el intrusismo, de una forma
parcela de la privacidad ligada al domicilio informático, la informa-
ción vital que se sitúa en estos espacios, que implica que es estos son
una parcela de la intimidad76. Dentro de este bloque también se en-
cuentra Castelló Nicás, que considera que en el artículo 197 habría
una dualidad de bienes jurídicos, intimidad y para el caso del 197.4
la seguridad en las redes, pero incidiendo que en este caso siempre
tiene que estar afectado la intimidad de los sujetos77.
Otro grupo de autores, centrándose en el artículo 197.3 del intru-
sismo informático, considera que lo que se protege es la seguridad en
los sistemas informáticos. Así, Tomás-Valiente Lanuza considera que
lo que se pretende proteger es la seguridad de los sistemas informáti-
cos por la importancia de esta tecnología en la sociedad78. Considera
esta autora que el lugar sistemático no debe ser los delitos contra la
intimidad ya que dejaría sin penalización de los accesos a sistemas
informáticos en los que no se afecte a la intimidad79. Imaginemos el
74 Ibid., p. 145. Hubiese sido interesante que el autor, que de forma acerta-
da se separa de la protección de la intimidad, sin más, hubiera expresa-
mente hubiese dedicado una línea de hablar de la naturaleza del tipo de
que se trataría. Se parece desprender que sería un delito de peligro, con
un bien jurídico supraindividual, pero no llega a quedar claro.
75 Ibid., p. 146 y 147.
76 Morales García, O., “Delincuencia informática: intrusismo, sabotaje in-
formático y uso ilícito de tarjetas”, Quintero Olivares, G., La reforma penal
del 2010: análisis y comentarios, Aranzadi, 2010, p. 185.
77 Castelló Nicás, N., “Delitos contra la intimidad, el derecho a la propia
imagen y la inviolabilidad del domicilio, y delitos contra el honor” Mo-
rillas Cueva, L., Estudios sobre el código penal reformado (Leyes orgánicas
1/2015 y 2/2015), Dykinson, 2015, p. 506.
78 Delamismaformaaunqueespecicandoqueúnicamenteparael
Carrasco Andrino, M. M., “El delito de acceso ilícito a los sistemas in-
formáticos”, Álvarez Carcía, F.J., González Cussac, J.L., Comentarios a la
reforma penal de 2010, Tirant lo Blanch, 2010, p. 250.
79 Tomás-Valiente Lanuza, C., “Delitos contra la intimidad, el derecho a la
propia imagen y la inviolabilidad del domicilio”, Gómez Tomillo, M., Co-
440
C
intrusismo en un sistema informático de la red de electricidad. O en
un sistema informático que regula los semáforos o el agua potable.
El concepto de bien jurídico que se acerca más al objeto que es-
tamos estudiando lo ofrece Madrid Conesa y De la Mata Barranco80
quienes tienen una interpretación de la privacidad basada en los da-
tos. El primero toma como eje sobre el que gira su argumentación el
concepto de privacy, considerado como la facultad de los individuos,
grupos o instituciones para determinar por sí mismos, cuándo, cómo
y hasta dónde puede comunicarse a otros información sobre ellos81.
Sin embargo, para este autor la teoría de las capas concéntricas no
vale porque el Estado (y en la actualidad el sector privado) tiene un
nivel de datos que hace que la zona íntima ya no esté exenta de la
intervención de los poseedores de esos datos y es por ello que tiene
que intervenir para conseguir asegurar ese Derecho82. Prosigue des-
ligándose de la teoría de las capas, considerando que no cumple con
su cometido delimitador al depender de la relación existente entre
los sujetos.
Así, a determinados sujetos cierta información le puede ser irre-
levante pero juntada con otra información irrelevante da un signi-
cadoes lateoríamosaico cada unade las piezasde información
como cada piedra de un mosaico, no dice nada, pero el conjunto hace
que tenga un signicado Para este autor esjus toesta idea la que
tiene que aplicarse al procesamiento de datos83, ya que determina-
dos datos que en principio no afectan a la intimidad, puestos juntos
pueden ser dañinos para el Derecho de la persona84. Ya no existiría
mentarios al Código Penal, Lex Nova, 2011, p. 802-803. Adhiriéndose a esta
interpretación Colás Turégano, A., “Nuevas conductas delictivas contra la
intimidad (arts. 197, 197 bis, 197 ter)”, González Cussac, J.L. Comentarios a
la Reforma del Código Penal de 2015, Tirant lo Blanch, 2015, p. 673.
80 De la Mata Barranco., N. J., “La protección penal de la vida privada en
nuestro tiempo social Necesidad de redenir el objeto de tutela
RDCP, 11, 2014, p. 81.
81 Madrid Conesa, F., Derecho a la intimidad, informática y Estado de Derecho,
Universidad de Valencia, 1984, p. 37.
82 Ibid., pp. 42 y 43.
83 Ibid., pp. 45 y ss.
84 Sin duda es un acercamiento muy bueno a la teoría del Big Data para ser
una teoría extraída a mediados de los años 70 del S. XX.
441
DJVP
una distinción entre esfera pública y privada85 y lo que resultaría es
que la privacidad dependerá de los diferentes medios en conexión
con los medios sociales en los que se encuentre (amigo, pagador de
impuestos, pacientes, etc.)86. Por tanto, para el tratamiento de datos
no valdría la concepción de intimidad que se valora desde la teoría
de las esferas privada y pública87. Y es esta la concepción del bien
jurídico que mantenemos.
Dentro de nuestro objeto de estudio debemos de entender que los
que se quiere proteger son los datos personales de los sujetos y, por
consiguiente, tendríamos que englobarlo dentro de la protección de
la privacy, con alguno de los preceptos del artículo 197 y ss.
Para ello vamos a ver que modalidades delictivas de las que se
regulan en los artículos 197 y 199 podrían incluir la modalidad de
la no toma de las medidas de seguridad que exigen las técnicas de
Big Data así como la no aprobación del PIA. Hay que recordar que
nuestro sujeto activo sería la autoridad de control, para los casos de
la Decisión Marco 2008/977, y el responsable de tratamiento, para la
Directiva 95/46/CE.
3.3. Artículo 197
Los preceptos que protegen la intimidad se encuentran regulados
en el Capítulo I del Título X, dentro de la denominación de “descu-
brimiento y revelación de secretos”, siguiendo una estructura basada
en dos actos sancionándose el descubrimiento y, por otra parte, la
revelación, también considerada como la difusión o cesión a terceros
de tales conocimientos88 en los dos primeros párrafos, el tercero y el
séptimodelartículo Losapartados bisyterse reerenala
intrusión en sistemas de información, las conductas de hacking89 que
85 Madrid Conesa, F., Derecho…, cit., p. 46.
86 Ibid., p. 49.
87 Castelló Nicas, N., “Delitos…”, cit., p. 500.
88 Sainz-Cantero Caparrós, J.E., “Delitos…”, cit., p. 309.
89 González Rus, J.J., “Protección penal de sistemas, elementos, datos, do-
cumentos y programas informáticos”, RECPC, 1, 1999, hpcriminet
ugr.es/recpc/recpc_01-14.html (visitado 10/10/2016).
442
C
vienen impuestas por la normativa comunitaria90. Finalmente, hay un
grupo de artículos que no regulan acciones propiamente dichas sino
cuestiones que gravitan entorno a las acciones delictivas, responsabi-
lidad penal de grupos organizados y las personas jurídicas91 (artícu-
los 197 quater, 197 quinquies), tipos agravados por el sujeto activo o
por el tipo de datos (artículos 197.4.a y 197 ter, y 197.5), si tienen un
nlucrativoartículolossujetosquerealizanelataquealbien
jurídicoartículo ynalmente cuestiones decarácter procesal
(artículo 201).
La descripción que hemos hecho del Big Data nos vamos a centrar
en diferentes elementos del tipo para determinar que precepto de los
señalados puede cubrir la protección de la intimidad ante la genera-
lización de la utilización de este tipo de técnicas a partir de su gran
avance en el S. XXI.
3.1.1. Conducta sancionada
Elconcepto dedescubrimientoal quesereere elartículo
se entiende acceder a los datos o informaciones, o a los soportes ma-
teriales en que se contienen92. Con respecto a la acción consiste en
apoderarse de algo. Ha de entenderse desde un punto de vista instru-
mental, ya que el apoderarse de determinados soportes, tiene el úni-
condeaccederalainformaciónEstohahechoquelamayoríadela
doctrina considere que basta con la captación intelectual del conteni-
do aunque no haya apropiación real de los mismos93. Sin embargo, un
sector de la doctrina considera que es necesaria la apropiación física
de los mismos94 pero, tal y como evoluciona la comunicación telemá-
tica, hay que hacer una interpretación con las características que tiene
90 Decisión Marco 2005/222/JAI del Consejo de 24 de febrero de 2005 relati-
va a los ataques a los sistemas de información.
91 Hoy día es una necesidad político-criminal la incriminación de las per-
sonas jurídicas. Sobre todo porque los capacitados para realizar grandes
análisis de datos son las empresas que los poseen. En contra Sainz-Can-
tero Caparrós, J.E., “Delitos…”, cit., p. 310.
92 Ibid.
93 Aunque se matiza a si mismo más tarde, González Rus, J.J. “Delitos…”,
cit., p. 305.
94 Cobo, M., “Sobre el apoderamiento documental para descubrir los secre-
443
DJVP
la apropiación en el mundo cibernético95, permitiéndose incluso la
captación intelectual del contenido de los soportes donde se encuen-
tra, sin que sea necesario el apoderamiento del objeto físico donde se
contienen96. Discutible es si el apoderarse del objeto sin conocimiento
de la información es precisa para cometer el delito o no. Para Mora-
lesPratses intrascendenteconel meroapoderamientoessuciente
para la consumación del delito97. Carrasco Andrino considera que el
apoderamientosignica hacersecon losdatostenerlos bajocontrol
posesorio, ya sea a través de su reproducción en soporte material,
ya sea enviándolos directamente a otro terminal98. En nuestro caso
concreto no podemos considerar que una apropiación del soporte de
por hecho que se dañe la intimidad puesto que el acceso a los mismos
se puede realizar sin apoderamiento del soporte y el daño al bien
jurídico se produciría igualmente. Este sería el caso de las conductas
de data hacking que se regulan en el párrafo 2. Además, una parte de
ladoctrinaconsideraqueelapoderamientodebededarseconunn
determinado: el de descubrir los secretos o vulnerar su intimidad99.
La siguiente conducta, del párrafo 1, es la interceptación de las
comunicacioneso utilicearticios técnicos deescucha transmisión
grabación o reproducción de sonido o imagen, o de cualquier otra se-
ñal de comunicación, que puede ser considerada como una forma de
apropiación y verse incluida en el concepto anterior100. En este caso
la característica principal es la no obstrucción o interrupción de la
24, 1971, p. 682. Higuera Guimera, J.F., “El descubrimiento y revelación
de secretos”, AP, 2002, p. 774.
95 Basándose en la jurisprudencia del T.S. de 18/2/1999 y 19/9/2000, Jorge
Barreiro, A., Guérez Tricarico, P., “Delitos…”, cit., pp. 1031 y 1032.
96 Primera interpretación de González Rus, González Rus, J.J., “Aproxima-
ción al tratamiento penal de los ilícitos patrimoniales relacionados con
medios o procedimientos informáticos”, RFDUCM, 12, 1982, pp.107 y ss.
Romeo Casabona, C. M., “Delitos…”, cit., p. 257.
97 Morales Prats, “Delitos…”, cit., p. 440.
98 Carrasco Andrino, M. M., “Descurbrimiento…”, cit., p. 775.
99 González Rus, J.J., “Delitos…”, cit., p. 318. Alonso de Escamilla, A., “De-
litos…”, cit., p. 217. Serrano Gómez, A., Serrano Maíllo, A., “Delitos…”,
cit., p. 192.
100 Sainz-Cantero Caparrós, J.E., “Delitos…”, cit., p. 313.
444
C
comunicación101. La última conducta consiste en una puerta abierta
a cualquier evolución tecnológica mediante la inclusión en el tipo de
cual otra señal de comunicación102.
En nuestro caso tenemos que descartar como objeto material todo
aquel que tenga un contenido físico (salvo que la sustracción sea de
los servidores físicos, aunque se hace difícil imaginar el robo de los
mismos por su tamaño y peso). La única opción que nos quedaría
para que se pudiese englobar en el delito 197.1 sería incluirlos en el
concepto de “cualesquiera otros documentos”103 pero debería quedar
absorbido por el apartado 2 del mismo artículo. Luego no podemos
considerar aplicables a la ausencia de una evaluación de riesgos ni en
las modalidades que se regulan ni por el objeto que se protege.
El artículo 197.2 se encarga de la protección del llamado habeas
data104 mediante dos acciones que no abarcan toda la casuística que
implica este derecho105. Por un lado se regula la opción de apodera-
miento106quetienequeiracompañadadelusoylamodicaciónPor
uso hay que entender el empleo de los mismos, que puede ser para el
mismonporelque seconsiguieronlosdatos uotrodistintoy por
modicaciónlavariación delosdatostantosisonalteraciones verí-
dicas como falsas. En la segunda modalidad del apartado 2 habla de
acceder, alterar y usar. La doctrina ha considerado que se trata de los
mismos conceptos que en el primer inciso y, para evitar la superposi-
ción, González Cussac ha considerado que esta segunda modalidad
vengareferidaúnicamentealcheroosoporteynoalosdatosalos
que se referiría el primer inciso107. Sin embargo, de acuerdo con Mo-
101 Jorge Barreiro, A., Guérez Tricarico, P., “Delitos…”, cit., p. 1032.
102 Ibid., p. 974.
103 González Rus, J.J., “Delitos…”, cit., p. 319.
104 Morales Prats, “Delitos…”, cit., p. 449.
105 Ibid.
106 En este segundo caso González Rus sí permite la copia de datos sin ne-
cesidad de tener que apoderarse de un medio físico. González Rus, J.J.,
“Delitos…”, cit., p. 320.
107 González Cussac, J.L., “Delitos contra la intimidad, el derecho a la pro-
pia imagen y la inviolabilidad del domicilio”, González Cussac, Derecho
Penal. Parte Especial, Tirant lo Blanch, 2015, p. 284.
445
DJVP
rales Prats108 y su interpretación de la Ley Orgánica sobre protección
de datos, no es adecuado adelantar la tutela penal del acceso, altera-
ciónoutilizaciónilícitadeloscherosautomatizadoscuandopor
otro lado, el apartado 2 no incrimina conductas previas al momento
en que los datos personales se hallan registrados en los bancos de
datos109, unidad básica de toda información.
Otro intento de diferenciación de las conductas es el realizado por
Romeo Casabona quien centra la distinción en el sujeto activo. En el
primerinciso el sujeto estaría legitimado para acceder al chero y
extralimitándosese apropiamodica ousa los datossiendo nece-
saria su aprehensión física o cualquier otro procedimiento de copia,
reproducción o traslado110. En este caso el único sujeto activo sería
elresponsabledeloscherosy losautorizadospara podermanipu-
larlo. Mientras que en el segundo inciso se dejaría únicamente para
los casos de las personas que no están autorizadas para acceder a los
datos, venciendo las barreras de protección que se hubiesen estable-
cido. En todo caso debe ser realizada esta conducta sin la mediación
de un tercero111. Desde nuestro punto de vista, al igual que la gran
mayoría de la doctrina, consideramos que la redacción no ha podido
ser más desafortunada. La delimitación de las dos conductas seña-
ladas mediante el objeto de protección no es lo más acertado ya que
por la normativa extrapenal (ya sea nacional o europea) no es factible
realizar dicha distinción. El intento de concretar la diferenciación de
las acciones por el sujeto, sea con acceso autorizado o no autorizado,
puede ser una mejor opción, pero sigue siendo un poco redundante.
En las dos modalidades el tipo exige que sea un acceso no autoriza-
do, luego en el primer caso no podría ser punible. Sólo podría ser
los casos en los que el sujeto, sin tener permiso, tiene acceso físico
sin romper una medida de seguridad como puede ser en los casos
en que los datos se encuentran en una intranet abierta para el resto
de trabajadores. En este caso se debería pensar que puede tener un
permiso implícito al no haber tomado ninguna medida restrictiva de
protección, situaciones que en la práctica se dan en pocas ocasiones.
108 De la misma opinión González Rus, J.J., “Delitos…”, cit., p. 322.
109 Morales Prats, “Delitos…”, cit., p. 454.
110 Romeo Casabona, C.M., “Delitos…”, cit., p. 262.
111 Ibid., pp. 262 y 263. Rueda Martín, M. A., Protección penal de la intimidad e
informática, Atelier, 2004, p. 80.
446
C
La interpretación que desde aquí se propone es que, aunque pare-
ce difícil de creer, se trata de dos conductas diferenciadas. Una sería
el extraer mediante algún procedimiento los datos de su continente
(mediante copia, por ejemplo) mientras que la segunda se trataría del
mero “visionado” de los datos sin realizar una extracción. En ambos
casos, se podría tratar de sujetos de dentro de la organización o de
fuera de la misma y en ambos casos se pueden saltar las medidas de
protección si las hay. Imaginemos que existe un terminal con datos
personales, se pueden hacer dos cosas: 1) hacer una copia de los mis-
mos para su procesamiento posterior o 2) se puede hacer un visio-
nado de los mismos con un procesamiento paralelo sin necesidad de
apoderarse de los mismos. En la primera se hace el sujeto, con una
back up de los datos y en el segundo sólo los visiona.
Todo esto hay que entenderlo en que el visionado no es directo, es
mediante un algoritmo, un softbot, que es capaz de entrar en el termi-
nal que los posee sin necesidad de apoderarse de ellos, simplemente
los lee. La acción de acceder supone dos acciones la lectura y el pri-
mer paso para el apoderamiento. El apoderamiento sería únicamente
para cuando se llega a poseer de alguna forma lo datos. No llegan
a ser comportamientos completamente independientes, puesto que
para el apoderamiento siempre es necesario acceder pero también es
posible atentar a la intimidad de las personas sin necesidad de apo-
derarse de los mismos. En cualquier caso en este segundo apartado el
sujeto que no cumple con la evaluación tampoco estaría cometiendo
el delito puesto que acceder y apoderarse son conductas que no in-
cluyen la usencia del PIA.
Laterceradelasconductastipicadashacereferenciaaunsiguien-
te paso112 que se produce después de haber realizado alguna de las
conductas señaladas en los dos apartados anteriores, para el primero
de los incisos, y sin que realice las conductas en los casos cuando no
ha sido el sujeto activo quien ha conseguido los datos: la difusión, re-
velación o cesión a terceros. La doctrina mayoritaria ha considerado
este precepto como una modalidad agravada de los mismos debido
al incremento de menoscabo a la intimidad113.
112 Sainz Cantero, J.E., “Delitos…”, cit., p. 317.
113 Morales Prats, F., “Delitos…”, cit., p. 456. Bolea Bardón, C., “Delitos con-
tra la intimidad”, Corcoy Bidasolo, M., Manual de Derecho Penal. Parte
Especial, Tirant lo Blanch, 2015, p. 312.
447
DJVP
Por difusión se ha de entender divulgar o propagar, dar a conocer
los datos o informaciones, a una pluralidad de personas114. Revelar
implica hacerlo público que en este caso115, a diferencia de la prime-
ra posibilidad, no implica a una pluralidad de personas. Por cesión
se debe entender el traspaso a un tercero. La conducta se consuma
cuando la información íntima o el dato reservado se pone en conoci-
miento de terceros, lo que constituye el resultado, siendo posible la
tentativa116.
Hay dos puntos interesantes en la transmisión a terceros. El pri-
mero tiene que ver con el envío de datos a terceros países a los que
la Comisión no les haya dado el visto bueno como país con garantías
sucientesdeproteccióndedatosyelsegundoesdelacesiónilícita
de datos personales automatizados a otros sistemas informáticos117.
Según Morales Prats, en el iter del ciclo operativo del banco de datos
es posible una cesión o transferencia informática de datos ilícita, sin
que el sujeto haya perpetrado un acto previo de intromisión ilícita
contra la libertad informática, no entrando estos supuestos en el pri-
mer supuesto de 197.3118. El segundo supuesto se trata de un tipo
autónomo ya que no depende de ninguno de los requisitos que se
regulan en el 197 1 y 2. Lo único que se exige es conocer que proviene
de un origen ilícito de los datos, hechos o imágenes119. Morales Prats
ha interpretado este inciso considerando que lo que se quiere es evi-
tar una puerta de escape para los sujetos activos que aleguen que no
han cometido las acciones de los párrafos anteriores120. Volvemos a la
misma conclusión que en los apartados anteriores, no cubren el caso
que estamos estudiando.
114 Gómez Cussac, J.L., “Delitos…”, cit., p. 285.
115 Ibid.
116 Gonzáles Rus, J.J., “Delitos…”, cit., p. 323.
117 Morales Prats, F., “Delitos…”, cit., p. 457.
118 Ibid.
119 Ibid., pp. 468 y 469.
120 Morales Prats, F., “Delitos…”, cit., p. 469. De igual parecer Gómez Cus-
sac, J.L., “Delitos…”, cit., p. 285.
448
C
3.1.2. Objeto material
En lo referente al objeto material hay que limitarlo, dentro de
nuestro estudio a los datos. El apartado 1 del artículo 197 regula sólo
los papeles, cartas, correos electrónicos121 o cualquier otro documento
o efectos personales122; luego no entraría en el espectro de nuestro
supuesto.
La siguiente opción es la redacción del 197.2 que habla de datos
reservados de carácter personal123. Para Morales Prats, siguiendo una
interpretaciónteleológica signica una restricción de la tutela a los
datos personales independientemente de si son reservados o no124. Jor-
ge Barreiro y Guérez Tricarico consideran que por datos se ha de en-
tender todos aquellos contenidos en un sistema informático, referidos
como toda representación de hechos informaciones o conceptos de
una forma que permite su tratamiento por un sistema de información,
siguiendo la Directiva 95/46/EC y la Decisión Marco 2005/222/JAI, y
que, para los efectos del artículo 197.2, comprende cualquier clase de
datos informáticos125. Siguiendo esta tendencia de recurrir a una nor-
maextrapenalparapoderdenirelconceptoSainzCanteroCaparrós
recurrealadeniciónquesuministralaLOdeproteccióndedatos
de carácter personal126, entendiendo por ellos cualquier información
concernienteapersonafísicaidenticadasoidenticables127.
121 Un correo electrónico no es más que datos informáticos que son procesa-
dos por un programa de correo para ser representados en la pantalla de
unordenadorGonzález Ruscogiendo ladenicióndel StGBlos dene
como entidades físicas y, en ese sentido, materiales, aunque no sean en
sí aprehensibles ni perceptibles de manera inmediata por los sentidos,
González Rus, J.J., “Protección…”, cit.
122 Ampliamente Rueda Martín, M. M., “Protección…”, cit., p. 41.
123 Cfr. Carbonell Mateu, J. C., González Cussac, J.L., “Delitos contra la inti-
midad, el derecho a la propia imagen y la inviolabilidad del domicilio“,
Vives Antón, T. S., Derecho Penal. Parte Especial, Tirant lo Blach, 1999, p. 291.
124 Cfr. Morales Prats, F., “Delitos…”, cit., p. 451.
125 Jorge Barreiro, A., Guérez Tricarico, P., “Delitos…”, cit., pp. 1035 y ss.
126 Nohay queolvidad quela denición dela Leyde protecciónde datos
personales viene de la Directiva 95/46 /CE.
127 De la misma forma Romeo Casabona, C.M., “Delitos…”, cit., p. 260.
449
DJVP
Muñoz Conde hace una distinción en el objeto de protección que
sirve de principio delimitador entre las conductas reguladas en el 197
y el 197 bis dependiendo de si se trata de datos que afecten directa-
mente a la intimidad o a la privacidad, siendo aplicable los preceptos
del 197 para el primer caso y quedando reservados los supuestos del
197 bis para el segundo caso128Sinembargonollega adenirladi-
ferencia entre uno y otro concepto129.
ParaRuedaMartín ladeniciónde datosno puededepender de
la voluntad del sujeto, sino que debe de buscarse un equilibrio entre
los criterios del sujeto y elementos objetivos que den coherencia a al
contenido del tipo penal130.
Un punto de discusión es sobre el carácter de reservados. Para
PuenteAba no todoslosdatos que se encuentren enunchero in-
formático tienen ese carácter, debiendo limitarse el tipo penal sólo a
esos casos, y quedando fuera de su objeto de protección los datos que
seencuentrenencherosaccesiblesalpúblico131. Esta interpretación
es perfectamente válida para los casos de datos relativos a un único
individuo pero para nuestro caso la valoración de reservado o públi-
co da en principio igual. También se ha considerado que el concepto
de dato reservado es de valoración cultural, comprendiendo aque-
llos que no son susceptibles de ser conocidos por cualquiera, o que
para conocerlos necesita la autorización132. Gómez Navajas considera
como reservado aquel que esté limitado a personas autorizadas y el
tipo penal sólo debe circunscribirse a estos para evitar que el tipo se
amplíe en exceso133.
128 Muñoz Conde, F., Derecho Penal. Parte Especial, Tirant lo Blanch, 2015,
p. 237.
129 Ibid., Muñoz Conde, F., Derecho…, pp. 233 y 234.
130 Rueda Martín, M. M., “Protección…”, cit., p. 44.
131 Puente Aba, L., “Delitos contra la intimidad y nuevas tecnologías”,
EGUZKILORE, 21, 2007, p. 167.
132 Sainz-Cantero Caparrós, J.E., “Delitos…”, cit., p. 314. De la misma opi-
nión Queralt Jiménez, J.J., Derecho penal español. Parte Especial, Tirant lo
Blanch, 2015, p. 327.
133 Gómez Navajas, J., “La protección de datos personales en el Código pe-
nal español“, RJCL, 16, 2008, p. 341.
450
C
Para la protección de la intimidad o privacidad, cuando se utilizan
grandesbasesdedatoscontécnicasdeBigDataladeniciónque
consideramos más acertada es la normativa europea de la Directiva
95/46/CE, con su diferenciación entre datos personales y datos sensi-
blesDatopersonalescualquieraqueidentiquealapersonayeste
es el que debería estar cubierto por el tipo básico penal del artículo
197.2; y los datos sensibles deberían estar regulados en un tipo penal
agravado como es el 197.5. Lo de los datos familiares es opinión ma-
yoritaria que no tienen una relevancia especial, más cuando con los
análisis de Big Data se cubre un espectro más amplio.
Es por tanto, que no podría aplicarse el artículo 197.1 por el prin-
cipio de especialidad con respecto al artículo 197.2, el cual tiene pre-
valencia en relación al objeto material: los datos.
Con respecto a la necesidad de que se encuentre en cualquier tipo
dechero134 ya no es problema, puesto que una de las características
del Big Data es la utilización de datos en diferente formato, luego
debemos considerarlos simplemente datos.
Después de estas interpretaciones podemos considerar que por el
objeto material sólo podríamos aplicar el apartado segundo del ar-
tículo 197, quedando excluido el resto de posibilidades.
3.1.3. Sujetos activo y pasivo
Limitada la actuación al apartado 2 nos encontramos que el suje-
to activo ha de ser la persona que accede o se apodere de los datos,
incluido las personas jurídicas (artículo 197 quinques). Este último
punto ha sido criticado por un sector de la doctrina135, pero hay que
reconocer que viendo la realidad del tratamiento de datos masivos
es imprescindible su incriminación ya que las poseedoras de esas in-
gentes cantidades de datos son grandes empresas y, para el objeto de
trabajoqueestamosdesarrollando vanatenerun inuenciaimpor-
tante en la no incorporación del PIA en su organización y, por tanto,
responsables de la conducta que atenta contra la intimidad. Morales
Prats puntualiza casos en los que no cree necesario la penalización
de las personas jurídicas. Así, considera que no tiene sentido para
134 Ibid.
135 Sainz-Cantero Caparrós, J.E., “Delitos…”, cit., p. 310.
451
DJVP
los delitos del 197.1 y menos del 197.7136. Tenemos que discrepar de
esta interpretación, al menos, en el caso de las redes sociales en las
que el sujeto autoriza la publicación de fotos pero con determinados
límites137.
Si alguna de las plataformas sociales incumple con la utilización
consentida podría ser constitutiva de un delito contra la intimidad.
Siguiendo con el argumento de este autor sí sería interesante la pu-
nición mediante el artículo 31 bis, para los casos de habeas data138, los
casos en que el sujeto tiene derecho a controlar sus datos personales
en bases de datos pero ¿no son las imágenes y vídeos datos en el
momento en que se encuentran digitalizados? ¿Por qué si son datos
limitarlos de protección por parte de titulares de los mismos y ejercer
sus derechos contra la actividad de determinadas empresas? De igual
forma tenemos que considerar que el sujeto activo de este tipo penal
no podrán serlo los funcionarios públicos139 ya que existe un tipo es-
pecíco para estos supuestos encontrándose regulado en el artícu
lo 198 como un delito especial impropio140.
En los casos en que el sujeto activo sea la persona encargada o
responsabledeloscherosolosdatosseaplicaráelapartadoadel
artículo 197 que es un tipo agravado del tipo básico únicamente por
las características del sujeto activo141.
El sujeto pasivo es el titular de los datos reservados, al tratarse de
un derecho personal, quedan excluidas las personas jurídicas142. Para
MoralesPratsestaguradebe deserconsideradacomo eltercero143,
aunque como señala la Ley Orgánica de protección de datos perso-
nalessereerealperjudicadocomoafectadoContinúaesteautor
con el estudio de la redacción del artículo 197.2, ya que se alude al
apoderamiento de los datos de un sujeto con un perjuicio de un terce-
ro. Esta mala redacción del tipo penal propone solucionarla con una
136 Morales Prats, F., “Delitos…”, p. 481.
137 Cfr. Roig. A., “E-privacidad y redes sociales”, IDP, 2009, 9, p. 46.
138 Ibid.
139 Queralt Jiménez, J.J., Derecho…, cit., p. 319.
140 Rueda Martín, M.A., “Protección…”, cit., p. 122.
141 Jorge Barreiro, A., Guérez Tricarico, P., “Delitos…”, cit., pp. 1034 y ss.
142 Ibid., p. 1035.
143 Morales Prats, F., “Delitos…”, cit., p. 453.
452
C
interpretación del término tercero, entendiéndolo como la persona
titular de los datos. Este autor prosigue su argumentación dando un
giro más a la interpretación analizando la regulación en la normativa
europea, que hace todavía más compleja la interpretación al consi-
derar como tercero a la “persona física o jurídica, autoridad pública,
servicio o cualquier otro organismo distinto del interesado, del res-
ponsable del tratamiento y de las personas autorizadas para tratar los
datos bajo la autoridad directa del responsable del tratamiento o del
encargado del tratamiento” alegando que no es posible realizar una
lectura textual del 197.2 ya que carecería de todo sentido144. Por tanto,
la interpretación adecuada sería la de considerar como sujeto pasivo
sólo al titular y como posible afectado y protegido por la norma, ter-
ceros personas, que pueden ser jurídicas145, que posean los datos y
que pueden verse afectados146.
Luego para nuestro supuesto de estudio, en el que el encargado
de los datos no cumple con las medidas de protección de riesgos y
de seguridad, tendría que castigarse por la modalidad agravada del
artículo 197. 4. a.
Analizados los elementos del tipo tenemos que llegar a una con-
clusión bastante decepcionante de nuestra hipótesis de trabajo. En
primer lugar porque las modalidades de apoderamiento o acceso no
las puede cometer el encargado de los datos ya que a) los posee y b)
tiene acceso autorizado para los mismos. Por tanto, no es posible la
acción típica que se regula en el 197. 1 ni 2. Es más, por el concepto
de datos que se maneja sólo podría cometerse en la modalidad del
segundo párrafo del 197 ya que, como hemos señalado, se trataría de
un delito especial por el objeto respecto del apartado 1 del artículo
que estamos tratando, que sería más genérico. Finalmente, el sujeto
activo consistiría en el encargado, teniendo que recurrir al delito es-
pecial, que posee una pena mayor, del artículo 197.4. Dado que no
es posible englobarlo en el artículo 197 tendremos que plantearnos
alguna alternativa para su aplicación.
144 Ibid.
145 Ibid.
146 González Rus, J.J., “Delitos…”, cit., p. 323.
453
DJVP
3.2. Artículo 199
Visto que no es posible incluir la ausencia del sistema de control
de riesgos en el artículo 197 del código penal como exige el Regla-
mento 2016/679 y, en con menor fuerza, la Directiva 2016/680, nos
vamos a centrar en el artículo 199, los casos en que el sujeto activo es
un profesional que recibe la información por el servicio que presta.
Morales Prats hace una interpretación muy original de este artí-
culo para adaptarla a la realidad actual del procesamiento de datos.
Para él los profesionales de la informática, que en el ciclo operativo
del chero automatizado efectúan el tratamiento automatizado de
losdatospersonalesdebentenerun deberdesigilo ocondenciali-
dadsimilaraotrasprofesionesuocios147, para el caso que estamos
estudiando nuestro sujeto activo será el encargado de los datos. Este
deber jurídico, siguiendo la opinión de este autor, vendrá impues-
to por el artículo 10 de la L. O. de protección de datos de carácter
personal y, por tanto, el quebrantamiento del secreto de los mismos,
mediante la revelación o difusión o la cesión informática o telemática
de los datos personales automatizados podría ser incriminados por
el artículo 199148.
En todos los casos en que se produzca un acceso o tratamiento
rompiendo el secreto de los datos por cualquier persona, salvo el
encargado del procesamiento, se castigará por el 197.2 y por el tipo
agravado del 197.3 en el caso de hacerlos públicos o se cedan a ter-
ceros. Se podría pensar en un concurso de delitos entre el 197.2 y el
199 pero argumenta el autor citado que en el caso del 199.2, en el que
elaccesoalosdatoses lícitoserreereadatosobtenidosenunare-
lación profesional o laboral del que se exige que se guarde secreto149.
En los casos de acceso ilícito, como hemos visto anteriormente, se
regularía por el 197.2, mientras que en el caso de tratamiento lícito
sería por el 199. Para comprobar si es posible la aplicación del 199
para los responsables de los datos cuando no se crea un programa de
protección de riesgos vamos a estudiar el precepto según lo que ha
opinado la doctrina que ha tratado este tipo penal.
147 Morales Prats, F., “Delitos…”, cit., p. 490.
148 Ibid.
149 Ibid.
454
C
El origen del artículo 199 fue la protección del deber de secreto que
se genera en una relación laboral entre el trabajador y quien le contra-
tarompiendolarelacióndeconanzaqueexiste150. Esto ha ido evolu-
cionando a toda reserva de datos de los que uno tiene conocimiento
por su trabajo y abarca también al empleador, resto de trabajadores y
a aquellos que van a recibir un determinado servicio (clientes)151 para
los cuales han debido de ceder sus datos personales152.
De este precepto nos interesa el tipo de relación que tiene el sujeto
conlosdatos deocioo derelaciónlaboral yladistinciónentrere-
velar y divulgar.
Ocioyrelaciónlaboral
Para Bajo Fernández se trataría de toda persona que ejerce pú-
blicamenteunempleofacultaduociocuyosserviciosserequieren
por razones de necesidad y que, por su interés público, están jurídi-
camente reglamentados153EstadeniciónpodríavaleryaquelaLey
Orgánica de protección de datos personales, junto con la normativa
europea que estamos estudiando, regula la actividad del responsable
de los datos. Sin embargo, la doctrina lo ha limitado más a una reve-
lación de datos dentro de una relación de trabajo, siendo el objeto de
protección los datos del trabajador o del empresario a terceros154.
Enlas denicionesde ocioy relaciónlaboral podemosentender
que la diferencia se trata que en el caso de la relación laboral el deber
desecretolealtadyconanza155, viene impuesto por la naturaleza del
150 Se puede comparar con el antiguo artículo 489 del Código Penal de 1973.
Cfr. Morales Prats, F., “Delitos…”, cit., p. 484.
151 Jorge Barreiro, Al., “El delito de revelación de secretos (profesionales y
laborales)”, La Ley, 4038, 1996.
152 González Rus, J.J., “Delitos…”, cit., p. 328 y ss.
153 Bajo Fernández, M., “El secreto profesional en el proyecto de Código Pe-
nal”, ADPCP, 1980, p. 609.
154 González Rus, J.J., “Delitos…”, cit., p. 328. Jorge Barreiro, A., Guérez Tri-
carico, P., “Delitos…”, cit., p. 1049. Romeo Casabona, C.M., “Delitos…”,
cit., p. 277. Muñoz Conde, F., Derecho…, cit., p. 267. Carrasco Andrino, M.
M., “Descubrimiento…”, cit., p. 796.
155 Sainz-Cantero Caparrós, J.E., “Delitos…”, cit., p. 319.
455
DJVP
servicio que prestan156Esjustofrutodeestarelacióndeconanzapor
la que se obtiene determinada información del sujeto y, parte de ella,
la que se tiene intención de mantener oculta, es la que constituiría el
secreto157. En nuestro caso sí habría una relación laboral ya que el en-
cargado del tratamiento de datos158 es quien, por medio de su relación
contractual y las labores que realiza, quien debe tomar las medidas
necesarias para no revelar ni divulgar los datos. Así, la doctrina ha
determinado un número de profesiones cerrado dentro de las cuales
se podría cometer el delito: abogados y procuradores, médicos, de-
tectives privados y un sector en el que se plantean dudas que son los
profesionales bancarios, periodistas y ministros de culto159.
En el caso de los médicos el deber de secreto recae en el artículo
10.3 de la Ley General de Sanidad, 14/1986, de 25 de abril, en donde
sereconoceelderechoalacondencialidadenlarelaciónmédicopa-
ciente. Para el caso de abogados y procuradores se encuentran dentro
dela guradel artículo de condentenecesarioy eldeber de
sigilo viene regulado en el artículo 32.1 del Estatuto General de la
Abogacía de 2001 y en conexión con el artículo 437.2 de la LOPJ y el
artículo 5 del Código deontológico de la Abogacía160. Recientemente,
en la Ley 5/2014, en su artículo 50 se regula el deber de secreto en el
ámbito de los detectives privados. En todos los casos el sujeto titular
de los datos es quien da la información para que se pueda prestar el
servicio que se ofrece.
En el caso de secreto bancario los profesionales acceden a datos
personales de los clientes en una relación de prestación de servicios
yenestamedida puedenserconsideradoscondentesnecesarios161.
Sin embargo, existe un contrapeso en la obligación de suministrar
información a la Agencia Tributaria y a la Administración de Justicia.
156 González Rus, J.J., “Delitos…”, cit., p. 328.
157 Romeo Casabona, C. M., “Delitos…”, cit., p. 276.
158 Jorge Barreiro, Al., “El delito…”, cit., p. 1297.
159 Ibid., p. 1298.
160 Cortés Bechiarelli, E., El secreto profesional del abogado y del procurador y su
proyección penal, Marcial Pons, 1998, pp. 65 y ss. Quintanar López, M., “La
responsabilidad penal del Abogado, con especial referencia al Abogado
de empresa y al Letrado asesor”, CPC, 2000, 72, p. 673.
161 Morales Prats, F., “Delitos…”, cit., p. 489.
456
C
Luego en este supuesto se trata de un deber de mantener el secreto
por defecto salvo que haya un imperativo dentro del bien común que
obligue a entregar la información.
En el caso de periodistas y ministros de culto, no existe una norma
que imponga el secreto. Para los miembros de los medios de comuni-
cación no hay una norma que lo regule expresamente. Se suele eng-
lobar dentro de los Derecho Constitucionales a la libertad de prensa.
En el segundo caso viene impuesta por una costumbre que procede
del medievo para asegurarse que la gente se va a confesar y en lo que
es en la custodia de documentos como inscripciones matrimoniales,
partidas bautismales, etc.162.
Y a este grupo de profesiones, como decíamos al principio, Mora-
les Prats suma a los profesionales de la informática o de los respon-
sables de los bancos de datos, basándose normativamente en el Ley
Orgánica de protección de datos personales, en su artículo 10. Esta
interpretación serviría para cubrir los casos en que se produzca una
revelación de datos a los que lícitamente se tiene acceso y capacidad
para procesar, pudiendo estar incluida dentro de las modalidades
delictivas del 199.2163. El citado autor considera que el ámbito tecno-
lógiconodebequedarfueradelconceptodecondentestecnológico
siendodeestamaneralosresponsablesoencargadosdeloscheros
de datos personales considerados como tales, ya que el ciudadano se
ve obligado a suministrar determinados datos personales para poder
acceder a determinados servicios o prestaciones164, quedando, de esta
forma, la revelación o cesión de datos automatizados, ya sea de forma
convencional o de forma electrónica incluida dentro del 199.2 como
nueva forma de violación del secreto profesional165.
162 RoldanBarberoHSobreeldelitodeindelidaden lacustodiadedo-
cumentos”, La ley, 1996, p. 1058.
163 Ibid., pp. 490 y 491.
164 Ibid., p. 491.
165 Ibid.
457
DJVP
3.2.2. La acción típica
Lo que se castiga en el 199.1 es la revelación, sin apoderarse de so-
portes de cualquier clase166, entendida como dar a conocer o comuni-
car a otros el contenido de la información reservada167, no pudiendo
entenderse como una transmisión de la misma168.
El apartado segundo del precepto considera que la acción típica
es divulgar que ha sido considerada como sinónima de comunicar169.
Para Higuera Guimerá es necesario que se transmita a más de una
persona170, mientras a para Romeo Casabona o Queralt Jiménez es
sucientequeseaaunapersona171, opinión que compartimos.
3.2.3. Conexión con nuestro objeto de estudio
En este caso el sujeto activo sí coincidiría con el responsable del
tratamiento de los datos siguiendo la postura de Morales Prats de que
este nuevo tipo de profesiones tienen un deber de secreto sobre los
datos que van gestionar. Sin embargo, tenemos que considerar dos as-
pectosquenosimpidenarmarqueelartículocubraelespectro
de posibilidades que nos da el procesamiento masivo de datos.
El primero de ellos es el requisito del artículo 199.2, según ha in-
terpretado la doctrina, de que el titular de los derechos, el individuo
del que se realizan las actividades de procesamiento de datos, esté
obligado172 a transmitir la información para conseguir el servicio o
prestaciónlasituacióndenominada comocondentenecesario173,
lo que implicaría que, como no existe alternativa a la entrega de una
166 Queralt, J.J., “Delitos…”, cit., 343.
167 González Rus, J.J., “Delitos…”, cit., p. 329. Jorge Barreiro, A., Guérez Tri-
carico, P., “Delitos…”, cit., pp. 1048.
168 En contra Romeo Casabona, C.M., “Delitos…”, cit., p. 277.
169 Morales Prats, F., “Delitos…”, cit., p. 493. Jorge Barreiro, A., Guérez Tri-
carico, P., “Delitos…”, cit., pp. 1048.
170 Higuera Guimerá, J.F., “El descubrimiento…”, cit., p. 796.
171 Romeo Casabona, C.M., “Delitos…”, cit., p. 278. Queralt, J.J., “Delitos…”,
cit., 345.
172 Obligación que ha de ser de contenido jurídico y no moral. Cfr. Ibid.
173 Bajo Fernández, M., “Protección…”, cit., p. 609. Luzón Peña, D. M. “Tra-
tamiento del secreto profesional en el derecho español”, Luzón Peña, D.
M., Estudios Penales, Madrid, 1991, p. 462.
458
C
parcela de vida privada, se le dé la garantía de que en caso de una
mala utilización de los datos se va a actuar contra el sujeto, de tal ma-
neraqueel Derechopenal salvaguardelarelacióndeconanza que
debe existir en este tipo de profesiones. Además, el procesamiento de
datos mediante técnicas de Big Data no implica siempre una relación
de prestación de servicios ni tampoco una cesión voluntaria por par-
te del sujeto, ya que para la reutilización de los datos, en numerosas
ocasiones, no puede conseguirse el consentimiento del sujeto para el
cambiodendeusoañadiendoaestolosposiblescambiosde uso
por necesidades de interés público en áreas como salud pública, se-
guridad, medio ambiente, etc.
Un segundo aspecto del tipo por el que no podemos considerar
como aplicable el contenido del 199.2 es la acción de divulgar, ya
que debemos plantearnos si no cumplir con el plan de prevención
podemosconsiderarlodentro dela conductatipicadaEldejarpor
omisión de cumplir con las obligaciones que exige la normativa no
implica que se produzca una divulgación de la información, ya que
es preciso que alguien entre en los servidores para acceder a la infor-
mación. Es como si dejásemos una vivienda con la puerta abierta. Por
el mero hecho de dejarla abierta no implica que alguien vaya a entrar
en ella. Es cierto, que de alguna manera se ponen menos problemas
al ingreso en donde se encuentren almacenados los datos pero no por
ello se hacen públicos. Por tanto, la solución de Morales Prats es acer-
tada cubriendo una actividad que puede tener una gran incidencia en
la intimidad de las personas pero no sirve para nuestros propósitos.
Un tercer aspecto, importante es que el delito en su parte subjetiva
no permite la comisión por imprudencia, situación que se va a dar con
relativa frecuencia en al divulgar los datos. Aquí podemos considerar
que el legislador hace bien al no castigar los casos de imprudencia,
dejando estás situaciones para el ámbito sancionador administrativo.
La pregunta que se nos plantea son los casos en que la divulgación
de los datos se comete de forma imprudente cuando el encargado del
procesamiento no ha realizado el PIA. Podemos entender que al to-
mar las medidas técnicas de protección, de forma imprudente, quede
algún elemento que pueda facilitar la divulgación de los datos. Pién-
sese, por ejemplo, que las medidas de seguridad son adecuadas pero
no las mejores que existen en el mercado. En ese caso podríamos con-
siderar la imprudencia como leve y que se castigase con una multa
administrativa. Diferente es quien de forma imprudente no realiza el
PIA, por ejemplo, por falta de personal, presupuesto o simplemente
por desidia. En estos casos la imprudencia sí debería castigarse de
459
DJVP
forma penal puesto que es un riesgo que es previsible174, el autor se
la plantea como muy poco probable y deja que ocurra. En estos casos
la omisión imprudente del sujeto activo sí debería constituir delito.
Pero en cualquier caso nuestro 199 no cubre estos aspectos.
IV. Conclusiones
Ante este panorama nos encontramos con la obligación de incluir
un nuevo delito en el Código Penal. La primera pregunta sería ¿dón-
de? Indudablemente, la omisión de las previsiones de la evaluación
lo que protege es la privacidad. Pero una intimidad que tiene que
ser entendida como lo hace Madrid Conesa con la teoría del mosai-
co, importada de Alemania. Esto implica, en palabras de este autor,
abordar un problema desde una perspectiva cualitativamente distin-
ta a como se ha hecho hasta ahora175. De las dos opciones que plantea,
solución de los delitos antes de que se produzcan o cuando ya está
presentes, abogaba, en 1984, porque el legislador se adelantase a que
se produjesen los primeros atentados a la intimidad. No ha sido así y
estamos en la obligación de crear un nuevo tipo penal.
Siguiendo con la propuesta de Madrid Conesa, se deberían casti-
gar los comportamientos destinados a almacenar datos relativos, a
modo de ejemplo, relativos a la confesión religiosa, ideología política,
vida sexual o sus relaciones familiares176. Esta propuesta, hoy día se
encuentra recogida en la normativa europea como datos sensibles y,
en principio se evita recolectarlos. Sin embargo, como hemos señala-
do en el capítulo destinado al Big Data, en la actualidad es posible te-
ner información del ciudadano sobre estos aspectos sin necesidad de
almacenar datos sensibles de forma expresa, luego este primer punto
ha pasado a ser irrelevante.
ElsiguientepuntoquerecogeMadridConesaeselrelativoalos-
nes por los que se crean las bases de datos para garantizar que tipo de
174 Cfr. Morillas Cueva, L., “Delitos contra la administración pública (IV).
Indelidadenla custodiade documentosyviolación desecretos Mo-
rillas Cueva, L., Sistema de Derecho Penal. Parte Especial., Dykinson, 2016,
p. 1136.
175 Madrid Conesa, F., “Derecho…”, cit., p. 79.
176 Ibid., p. 88.
460
C
datos se procesan y mantener un cierto tipo de intimidad al no poder
serutilizadosparaotronVolvemosaencontrarnosenladisyuntiva
de que, hoy día con la reutilización de bases de datos, tal limitación
es casi imposible.
En la parte relativa a los derechos de información y control so-
bre los datos que debe tener el titular de los mismos. Los cuales tie-
nen que estar protegidos ante la posible restricción de su ejercicio177.
Como se ha podido apreciar en diferentes casos prácticos el Derecho
al olvido, siendo una buena creación desde el mundo de las ideas, en
la práctica es casi imposible debido al esfuerzo y costes que implica
controlar todos los posibles implicados en su difusión. La red es prin-
cipalmente descentralizada y, aun pudiendo dirigirse a los principa-
les motores de búsqueda para eliminar la información, es imposible
controlar todas las páginas webs que pueden tener la información
o las plataformas descentralizadas de intercambio de información
como las redes P2P. En cualquier caso, el hecho de que alguien res-
tringiese este Derecho debería ser castigado por su infracción. Estos
derechos a su control no deben estar restringidos por el hecho de que
sea el propio titular de los mismos el que ceda voluntariamente a su
tratamiento. En cualquier momento puede retirar ese consentimien-
to178 y puede ejercer sus Derechos tal y como los regula la normativa
europea.
Es por ello por lo que la transparencia de las instituciones que
vanaoperarconBigData esesencialparamantener laconanzade
los ciudadanos. En particular se deben controlar los algoritmos por
entidades externas, labor que puede realizar como hemos señalado
anteriormente o el sector privado o el sector público, o ambos a la
vez179. Una vez más, se destaca la relevancia de la evaluación de ries-
go como única solución viable hoy día a los problemas a los que nos
tenemos que enfrentar.
177 Ibid., p. 91.
178 González Cussac, J.L., “La tutela penal del derecho a la intimidad desde
el canon de la expectativa razonable de la Intimidad”, Maqueda Abreu,
M. L., Martín Lorenzo, M., Ventura Püschel, A, Derecho penal para un Es-
tado Social y Democrático de Derecho. Estudios penales en homenaje al profesor
Emilio Octavio de Toledo y Ubieto, 2016, p. 1200. (manuscrito)
179 Ibid., p. 89.
461
DJVP
La protección que nos indica la normativa de la Unión Europea si-
gue la clásica cadena de autoregulación, control administrativo, con-
trol penal180. Desde el primer momento en que se intentó controlar el
uso de bases de datos se dio un amplio margen a los entes privados
para autoregularse, basándose en los códigos de buenas prácticas.
Sin embargo, se ha hecho necesaria la creación de instituciones de
control públicas, en nuestro caso la Agencia de protección de datos,
para controlar la utilización de las mismas, con un sistema de regis-
tro de bases de datos y usuarios de las mismas y con la adopción
de unas medidas de seguridad181. Igual que ocurrió con gran parte
delosdelitoseconómicosnohasidosuciente conlaimposiciónde
sancioneseconómicasynalmenteserecurrealDerechopenalcon
la aplicación de todas sus garantías y con el respeto del principio de
intervención mínima.
Para una correcta regulación del delito nos tenemos que plantear
dos cuestiones: ubicación sistemática y cómo debe regularse.
En el primer punto hay que señalar que lo que se protege es la pri-
vacidad de las personas mediante la concepción de la misma por la
teoría del mosaico. Se podría mantener un capítulo dentro del título
para las conductas que se regulan con el bien jurídico privacidad en
su versión subjetiva, tal y como está hasta ahora, y crear un capítulo
nuevo para los casos del bien jurídico privacidad como un conjunto
de datos182. Esto nos permitiría interpretar los delitos de cada capí-
tulo de forma adecuada. Las construcciones realizadas para la doc-
trina, en relación a la intimidad, para el mundo real son buenas y no
precisa grandes cambios. Pero es cierto que si queremos comprender
las nuevas conductas que deben de ser sancionadas por el avance
de la tecnología debemos cambiar nuestra forma de interpretarlas.
Una opción interesante es crear un nuevo Título en donde se recojan
yestructurentodas las modicaciones que se han producido en el
180 Morales Prats, F., “Delitos…”, cit., p. 448.
181 Es cierto que no todo acción en conexión con la informática tiene que
estar sancionada pero en este caso parece que no existe otra posibilidad.
Cfr. Morillas Cueva, L., “Nuevas tendencias del Derecho penal. Una re-
exióndirigidaalacibercriminalidadCPC, 94, 2008, p. 32.
182 Doval Pais, A., Anarte Borrallo, E., “Delitos…”, cit., p. 498.
462
C
Código penal en relación a los delitos informáticos183 ya que, como
ha señalado la doctrina al analizar las incorporaciones del legislador
en delitos conectados con la computación, no es lo mismo el mundo
real del mundo informático. El claro ejemplo es el de las conductas de
hacking del artículo 197 bis, en las que claramente se está sancionando
los casos que atentan contra la seguridad de las redes y, sin embargo,
estáincluidodentro delos delitoscontra laintimidad dicultando
como hemos visto, su interpretación y su aplicación.
Encualquieradelosdoscasossedebetipicaralmenosdoscon-
ductas: la privación de los Derechos del ciudadano en relación a la
obtención de información, bloqueo y borrado de los datos del sujeto,
conducta que puede ser activa y omisiva, y que debe ser un delito de
resultado en el que se impide su ejercicio; y el incumplimiento de la
obligación de tener una evaluación de impacto, estructurado como
un delito contra la privacidad de forma de delito de peligro concreto,
en el que el sujeto activo será la persona encargada del tratamiento
de datos, ya sea particular o funcionario. Aquí podemos hacer dos in-
cisos: un primer delito básico relativo a la ausencia total de la evalua-
ción de impacto, que sería de forma omisiva, y un delito atenuado en
el que se regulase la ausencia de alguno de los puntos señalados en el
capítulo 2: falta de medidas de seguridad, ausencia de un programa
de prevención por diseño, el no mantener un registro de control de
acceso al sistema, etc.
La responsabilidad penal de las personas jurídicas en todos los ca-
sos es necesaria, como hemos señalado, de forma parecida a como se
haceconlasgurasdelictivasdelVistalarealidadcriminológica
que hemos señalado anteriormente en el capítulo quinto es preciso
hacer responsable a las empresas que colaboran en el abuso de la
vigilancia masiva. Aunque, también es cierto, que en muchos supues-
tosse caerádentro dealguna causade justicaciónpor lapondera-
ción entre las necesidades de seguridad y de libertades ciudadanas.
Con respecto a las penas a aplicar existen dos dudas: una respec-
to de la duración de las penas y otra con respecto a los datos que se
protegen. Con respecto a la primera se podría poner penas similares
a las del resto de delitos del artículo 199 entre 1 a 4 años. Pero se plan-
tea una disyuntiva con respecto al principio de proporcionalidad ya
183 De la Mata Barranco, N. J., “La protección…”, cit., p. 83.
463
DJVP
que el número de afectados es mucho mayor y las posibilidades de
afectar a la intimidad es también superior. Lo cual es complicado de
justicaraltratarsedeunbienjurídicosupraindividualqueseprote-
ge por un delito de peligro. Sin embargo, tenemos precedentes en los
delitos de estragos o de energía nuclear en los que se imponen penas
losucientementealtas
Con respecto a los datos se podría hacer dos modalidades depen-
diendo de si los datos son genéricos o si son sensibles. Sin embargo,
por la propia técnica de procesamiento masivo todos los datos son
susceptibles de aportar información esencial del sujeto, por tanto, no
es necesaria un tratamiento diferenciado de los mismos.
Los avances tecnológicos nos abren una nueva forma de sociedad
a la que el sistema jurídico no puede darle la espalda. No nos queda
más remedio, como juristas, de ir encontrando soluciones a los nue-
vos retos para mantener un sistema democrático en el que los ciuda-
danos pueden vivir con la plenitud de sus Derecho. Es justo en esta
obligaciónéticaenlaquesesustentalalaborcientícadeunjurista
Sólo tomando las medidas adecuadas desde el punto de vista po-
lítico preventivo y con una protección adecuada mediante las sancio-
nes administrativas y penales se conseguirá el objetivo de eliminar
las suspicacias, peligros y miedos que puede plantear la utilización
de esta tecnología de análisis masivo de datos por parte de los cuer-
pos y fuerzas de seguridad del Estado dentro de un sistema democrá-
tico en los que los Derechos Fundamentales y los valores son la única
garantía que le queda a los ciudadanos libres.
