Carlos Peñalosa Torné y Lucía Matarredona Chornet
Abogados del Área de Derecho Penal de DOMINGO MONFORTE Abogados
Diario LA LEY, Nº 10366, Sección Tribuna, 11 de Octubre de 2023, LA LEY
LA LEY 8855/2023
Normativa comentada
Constitución Española de 27 Dic. 1978
TÍTULO PRIMERO. De los Derechos y Deberes Fundamentales
CAPÍTULO II. DERECHOS Y LIBERTADES
SECCIÓN 1.ª. De los derechos fundamentales y de las libertades públicas
Artículo 18
LO 3/2018 de 5 Dic. (Protección de Datos Personales y garantía de los derechos digitales)
LO 10/1995 de 23 Nov. (Código Penal)
LIBRO II. Delitos y sus penas
TÍTULO X. Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio
CAPÍTULO PRIMERO. Del descubrimiento y revelación de secretos
Artículo 197
Artículo 198
Artículo 201
L 55/2003 de 16 Dic. (estatuto marco del personal estatutario de los servicios de salud)
CAPÍTULO IV. Derechos y deberes
Artículo 19. Deberes.
L 41/2002 de 14 Nov. (autonomía del paciente y derechos y obligaciones en materia de información y documentación clínica)
CAPÍTULO III. Derecho a la intimidad
Artículo 7. El derecho a la intimidad.
CAPÍTULO V. La historia clínica
Artículo 16. Usos de la historia clínica.
L 14/1986 de 25 Abr. (general de sanidad)
TITULO PRIMERO. Del sistema de salud
CAPITULO PRIMERO. De los principios generales
Artículo 3.
Artículo 10.
Jurisprudencia comentada
TS, Sala Segunda, de lo Penal, S 616/2022, 22 Jun. 2022 (Rec. 2686/2020)
TS, Sala Segunda, de lo Penal, S 43/2022, 20 Ene. 2022 (Rec. 1556/2020)
TS, Sala Segunda, de lo Penal, S 250/2021, 17 Mar. 2021 (Rec. 2463/2019)
TS, Sala Segunda, de lo Penal, S 178/2021, 1 Mar. 2021 (Rec. 1744/2019)
TS, Sala Segunda, de lo Penal, Sección Pleno, S 412/2020, 20 Jul. 2020 (Rec. 3736/2018)
TS, Sala Segunda, de lo Penal, S 374/2020, 8 Jul. 2020 (Rec. 3395/2018)
TS, Sala Segunda, de lo Penal, S 1328/2009, 30 Dic. 2009 (Rec. 1142/2009)
APLE, Sección 3ª, S 289/2022, 16 May. 2022 (Rec. 24/2021)
Comentarios
Resumen
Se aborda la tipicidad penal del acceso por parte del facultativo al historial clínico del paciente no asignado y a los datos de salud que en él se contienen cuando dicho acceso es injustificado, no consentido ni autorizado, vulnerando con dicha conducta su derecho fundamental a la intimidad.
El personal sanitario tiene una obligación legal, estatutaria y deontológica de confidencialidad y reserva de los datos médicos de los pacientes, lo que les impide su revelación a terceros, así como acceder sin justificación ni autorización al historial clínico de aquellos pacientes no asignados al facultativo pero que, por su condición profesional, tiene posibilidad material de hacerlo.
Tanto el Código de Deontología Médica como de Enfermería reconocen el carácter confidencial de los datos y el deber de secreto profesional. En especial, en cuanto al acceso al historial médico, el artículo 27.3 del Código de Deontología Médica dispone expresamente que «el hecho de ser médico no autoriza a conocer información confidencial de un paciente con el que no se tenga relación profesional».
En la normativa sectorial, además de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018), el artículo 10.1 (LA LEY 1038/1986) y 3 de la Ley 14/1986, de 25 de abril (LA LEY 1038/1986), General de Sanidad reconoce el derecho a la intimidad del paciente y la confidencialidad de sus datos clínicos; la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica en sus artículos 7 (LA LEY 1580/2002) y 16 (LA LEY 1580/2002) establecen expresamente el carácter confidencial de los datos referentes a su salud, y el derecho a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley; y en el mismo sentido, el art. 19 de la Ley 55/2003, de 16 de diciembre, del Estatuto Marco del personal estatutario de los servicios de salud (LA LEY 1904/2003).
Estos deberes impuestos a los facultativos derivan del derecho fundamental a la intimidad personal que garantiza el artículo 18 de la Constitución Española (LA LEY 2500/1978) y su incumplimiento puede ser constitutivo de un delito de descubrimiento y revelación de secretos previsto y penado en el artículo 197 del Código Penal (LA LEY 3996/1995) que, con intención de ofrecer una mayor protección al derecho fundamental a la intimidad, regula distintas conductas típicas vulneradoras de dicho derecho fundamental.
Se trata de un delito contra la libertad informática o «habeas data», que atenta contra la intimidad de las personas mediante distintas conductas típicas concretas entre las que se encuentra el acceso y conocimiento indebido de los datos personales que estuvieran insertos en programas informáticos, electrónicos o telemáticos, es decir, en bases de datos no controladas por el titular del derecho sino que controla un tercero y, por tanto, sujetas a especiales normas de protección y de acceso. Libertad informática que está considerada una vertiente del derecho a la intimidad protegido por la Constitución Española en su art. 18.4 (LA LEY 2500/1978) que establece que «la Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos», considerando que la intimidad abarca varias acepciones y diversos aspectos pero su núcleo viene determinado por la existencia de una esfera de privacidad y reserva en el sentido de la facultad de una persona para excluir de su conocimiento a terceros.
Los supuestos que aquí abordamos, consistentes en el acceso ilícito de un facultativo a los datos de salud que se encuentran en el historial médico del paciente, constituyen un delito contra la intimidad. Y así, existen pluralidad de Sentencias que conforman jurisprudencia consolidada en las que se ha condenado al facultativo por un delito contra intimidad, calificando la conducta en el art. 197. 2 del Código Penal (LA LEY 3996/1995) (precepto que, como se sabe, castiga distintas conductas típicas: por un lado el apoderamiento, utilización o modificación de los datos reservados y registrados en ficheros o soportes informáticos; y por otro, el mero acceso, y la alteración o utilización sin autorización de su titular) así como el art. 198 del Código Penal (LA LEY 3996/1995) cuando el sujeto activo tiene la condición de funcionario público o autoridad y comete el delito prevaliéndose de su cargo.
En esta línea, la STS n.o 178/2021, de 1 de marzo (LA LEY 6724/2021), confirma la condena por un delito contra la intimidad en un supuesto en que la enfermera, valiéndose de su profesión, conociendo que ni estaba autorizada ni justificada su conducta, accedió al historial clínico de quien fuera su amiga para conocer su estado de salud, visualizando su historia resumida así como otros informes médicos, descubriendo también que su hermana sufría VIH. Afirma el Tribunal Supremo que «la sentencia impugnada y la de la apelación desarrollan una cuidada motivación sobre la tipicidad del artículo 197 del CP (LA LEY 3996/1995), precepto que como esta Sala ha declarado, por todas la Sentencia del Pleno de esta Sala STS 412/2020 de 20 julio (LA LEY 86944/2020), presenta ciertas complejidades derivadas de la previsión en el mismo artículo 197 de una pluralidad de conductas. Respecto a la conducta imputada a la hoy recurrente, los accesos informáticos a datos reservados de carácter personal o familiar automatizados, se relacionan tres comportamientos típicos: el apoderamiento, utilización o modificación en perjuicio de tercero, el acceso por cualquier medio y la alteración o utilización en perjuicio del titular de los datos o de un tercero. Elemento común a las conductas típicas descritas en artículo es la falta de autorización, describiendo una serie de conductas nucleares cuyos verbos rectores son apoderarse, utilizar, modificar, acceder, alterar y utilizar, sin consentimiento de su titular. La conducta de tener acceso a los datos por quien no está autorizado en el caso concreto debe ser realizada «por cualquier medio», para lo cual hay que vencer los mecanismos dispuestos en la base de datos para su protección. La acusada, se valió de su profesión para el acceso, conociendo que ni estaba autorizada ni estaba justificada en su conducta. En el caso, es patente ese acceso no autorizado y no justificado, la propia recurrente lo admite. Ese acceso permite una información sobre datos reservados. (…) Por tanto, ha de estarse a lo que refleja el hecho probado, se accedió a la información reservada que fue obtenida a través del acceso no autorizado y la recurrente accedió, de forma inconsentida y no justificada, a la base de datos de salud. (…) Consecuentemente, concurren en el hecho probado los elementos del tipo penal del art. 197 del Código Penal (LA LEY 3996/1995)».
En este sentido, y dando continuidad encontramos la STS n.o 250/2021, de 17 de marzo (LA LEY 13953/2021), la cual estima el recurso de casación contra la SAP de Valladolid que confirmaba la de instancia por la que absolvía a la acusada al considerar que, si bien su conducta implicó un evidente incumplimiento del deber de reserva y confidencialidad, así como del respeto a la dignidad e intimidad de los pacientes, los hechos no merecían reproche penal toda vez que se trató de una acción derivada de la mera curiosidad, producto de los enfrentamientos del pasado entre denunciante y denunciada, sin que constara que la enfermera hubiera hecho uso de los datos o los hubiera difundido, por lo que no hubo la grave afectación que exige el tipo. El Tribunal Supremo casa la Sentencia y condena a la enfermera que accede al historial clínico de un paciente no asignado, sin causa justificada y por curiosidad, sin que sea necesario haber difundido los datos o no con posterioridad a efectos de la consumación del tipo penal, razonando que «en este caso no es un hecho controvertido que la acusada carecía de autorización para acceder a los datos a los que ilícitamente accedió, sin que conste que hubiera de realizar maniobra alguna para sortear el sistema de seguridad del sistema informático. Tampoco se cuestiona que la autora se valió de su profesión para conseguir el acceso, ya que no hubo ningún tipo de justificación profesional o de otro orden ni tenía autorización de los titulares de los datos. En cuanto a los datos a los que se accedió estaban alojadas en un programa informático MEDORACYL, que recoge la información integral de los pacientes del servicio público de salud, tanto su historial clínico como sus datos personales, por la que la acción desplegada por la autora es constitutiva del delito tipificado en el artículo 197.2 CP. (LA LEY 3996/1995) Siendo la autora del hecho funcionaria pública y habiéndose prevalido de su cargo para la comisión del delito, resulta de aplicación el artículo 198 del Código Penal (LA LEY 3996/1995) que obliga a la imposición de las penas del tipo básico en su mitad superior así como la imposición de la pena de inhabilitación absoluta».
En cuanto al elemento subjetivo del tipo, pese a la expresión típica del art. 197.2 CP (LA LEY 3996/1995) «en perjuicio de», la jurisprudencia no ha considerado el perjuicio como un elemento subjetivo del injusto, siendo suficiente el dolo genérico de que al sujeto se le presente la posibilidad de que cualquier persona pudiera resultar afectada por el acceso y conocimiento de sus datos, sin exigir un ánimo específico de perjudicar a un tercero. El perjuicio se refiere, por tanto, a un elemento objetivo del tipo necesario para la tipicidad del hecho, cuya apreciación depende de la naturaleza del dato al que se accede.
El mero acceso al historial clínico y al dato médico colma las exigencias del tipo, sin necesidad de un perjuicio distinto o adicional
La jurisprudencia ha distinguido en función de la naturaleza del dato al que se accede y ha matizado que cuando se trata de alguno de los datos especialmente sensibles (197.5 CP) el perjuicio consiste en el mero conocimiento del dato derivado del simple acceso sin que sea necesario un perjuicio añadido a ese mero conocimiento, mientras que, en los demás casos, cuando se accede a datos no sensibles, no es que no tengan virtualidad lesiva, sino que debe acreditarse la efectiva concurrencia de un perjuicio (Vid.STS n.o 43/2022 de 20 de enero (LA LEY 2412/2022) que absuelve al agente de Policía Nacional del delito de descubrimiento de secretos por consultar los antecedentes policiales). Por ello, en la medida en que los datos médicos afectan a la esfera o núcleo duro de la intimidad y son especialmente sensibles y relevantes, el acceso a dichos datos conlleva, de suyo, un perjuicio. En otras palabras: el mero acceso al historial clínico y al dato médico colma las exigencias del tipo, sin necesidad de un perjuicio distinto o adicional.
Sobre este particular se pronuncian las SSTS anteriormente citadas y así, la STS n.o 178/2021, de 1 de marzo (LA LEY 6724/2021), establece que: «(…) Tratándose de datos albergados en ficheros de salud, ese perjuicio aparece ínsito en la conducta de acceso. Se trata de datos sensibles que gozan una especial protección por tratarse de datos relativos a la salud. La salud forma parte de la estricta intimidad de la persona y, de acuerdo a nuestra cultura, se considera información sensible y es inherente al ámbito de la intimidad más estricta, es «un dato perteneciente al reducto de lo que normalmente se pretende no trascienda fuera de la esfera en que se desenvuelve la privacidad de la persona de su núcleo familiar. Dijimos en la sentencia 1328/2009, el 30 diciembre (LA LEY 273457/2009), estos datos sensibles son, por sí mismo, capaces de producir el perjuicio típico que exige el artículo 197 del Código Penal (LA LEY 3996/1995), por lo que si hubo acceso a los mismos, su apoderamiento y divulgación, poniéndolos al descubierto, comporta ese daño a su derecho a mantener los secretos ocultos (intimidad) integrando el perjuicio exigido por la norma. En los datos no sensibles sería preciso acreditar la concurrencia perjuicio. Es por ello que las alegaciones de la recurrente cuando expresa la necesidad de la concurrencia del perjuicio se cumplen pues el acceso a datos sensibles supone, de por sí, la existencia del perjuicio exigido por la norma. En el mismo sentido, la sentencia 374/2020 de 8 julio (LA LEY 119425/2020), que señala que los datos referentes a la salud integran el núcleo duro de la privacidad y rellena las exigencias del perjuicio típico que se refiere el artículo 197.2 del Código Penal (LA LEY 3996/1995) objeto de la condena»».
Cuando el acceso al dato, por su especial sensibilidad, conlleva un perjuicio suficiente para colmar las exigencias del tipo y no se produce un perjuicio distinto o adicional, se excluye, por aplicación del principio non bis in ídem que impide la doble valoración, la aplicación del subtipo agravado al que se refiere el apartado 5 del art. 197, que precisamente agrava la pena por la naturaleza del dato. Y así, la precitada Sentencia explica que, «para evitar que se incurra en una doble valoración de la salud, —como elemento que rellena el perjuicio típico del art. 197.2 del Código Penal (LA LEY 3996/1995) y como elemento de agravación del apartado 5 del art. 197 del Código Penal (LA LEY 3996/1995)—, es preciso interpretar la concurrencia de ambas posibilidades. Cuando la afectación de la salud manifiesta una especial intensidad, o cuando en el hecho concurran unas consideraciones específicas por las que resultan afectadas la dignidad de la persona, su honor, o un perjuicio relevante distinto de la salud, que sea consecuencia del acceso injustificado e inconsentido, o revelen especial dañosidad o lesividad, será de aplicación el apartado 5 del art. 197 CP. (LA LEY 3996/1995) Estos elementos de la tipicidad de la agravación tienen que ser valorados por el tribunal de enjuiciamiento y serán susceptibles de ser discutidos a través de los recursos. En el caso de esta casación, el contenido del dato descubierto al que se ha accedido, podría en hipótesis, rellenar ese mayor desvalor que requiere el tipo agravado, pero su declaración debe ser realizada en la instancia tras una valoración de los hechos y, en su caso, discusión y abrir una posibilidad de recurso».
La STSJ Castilla y León n.o 343/2023, 27 de enero de 2023, confirma la SAP León n.o 289/2022, de 16 de mayo (LA LEY 137450/2022), por la que se condena a una enfermera que accedió hasta en 18 ocasiones a las historias clínicas de su compañera de trabajo a la pena de dos años y nueve meses de prisión e inhabilitación absoluta durante seis años, así como a indemnizar a la víctima en la cantidad de 4.000 € por daño moral. La Sentencia reconoce que la historia clínica de los pacientes —definida en el art. 3 de la Ley 14/1986, de 25 de abril, General de Sanidad (LA LEY 1038/1986)— estaría comprendida en el derecho a la intimidad y además forma parte de los datos sensibles, el núcleo duro de la privacidad, cuyo mero acceso, como hemos descrito, determina el perjuicio. Concluye la Sentencia que: «en el caso enjuiciado, apreciamos la concurrencia de los elementos del delito señalado y previsto en el artículo 197.2 in fine del código penal (LA LEY 3996/1995), pues la acusada accede sin autorización y sin motivo asistencial alguno a datos reservados y considerados sensibles, como los que atañen a la salud de la persona, que forman parte de la más estricta intimidad, produciéndose de este modo el perjuicio, accediendo a la historia clínica de la paciente que contiene tales datos, referidos a diagnósticos y tratamientos médicos de la titular de los mismos, que no desea que sean conocidos. En este sentido la denunciante manifestó en el juicio oral que se hallaba diagnosticada desde hacía veinte años de una enfermedad que no había desvelado a una parte de su familia más cercana».
Conductas que lesionan el derecho a la intimidad personal cuya lesión conlleva un daño moral susceptible de indemnización y así, la Sentencia citada reafirma la doctrina del Tribunal Supremo y mantiene la indemnización concedida por la Audiencia Provincial, toda vez que entiende que en este tipo de delitos se produce una invasión en el núcleo duro de la intimidad y, en relación con la importancia del bien jurídico protegido y la gravedad de la acción que lo ha lesionado, hace surgir implícitamente una presunción de daño moral que no precisa de prueba suplementaria y que difícilmente puede negarse que exista, lo que necesariamente ha de producir en la víctima sensaciones de inseguridad, desprotección, desasosiego y preocupación.
Por último, cuando quien realiza la conducta típica es personal de la sanidad pública, concurre el subtipo agravado del artículo 198 del Código Penal (LA LEY 3996/1995) ya que el delito se comete por un funcionario público en el desempeño de su labor profesional. El bien jurídico en este tipo delictivo no se reduce a la intimidad del paciente sino que se extiende al interés de la Administración y al de la sociedad en general respecto de la correcta actuación de las autoridades y funcionarios públicos. Bien jurídico que se considera lesionado cuando un funcionario público utiliza su cargo o posición, sin mediar causa legal, para realizar alguna de las conductas que recoge el art. 197 del Código Penal (LA LEY 3996/1995). En estos casos, la condición de funcionario se refiere a la participación en funciones públicas, siendo irrelevante que sea eventual, interino o de plantilla, pues a los efectos penales tal funcionario público es el titular o «de carrera» como el interino o contratado temporalmente, ya que lo relevante es que dicha persona está al servicio de entes públicos, con sometimiento de su actividad al control del derecho administrativo, aunque carezca de las notas de incorporación definitiva y permanencia.
Sirve de ejemplo la STS n.o 616/2022, de 22 de junio (LA LEY 136077/2022), que establece que «no nos encontramos ante un tipo agravado anudado a la función pública. No es suficiente con la condición de funcionario público del sujeto activo. El propio tenor literal de precepto rechaza esta posibilidad. El artículo 198 del Código Penal (LA LEY 3996/1995) exige algo más: que la actuación del sujeto no esté amparada por la Ley, que el acceso ilícito a la intimidad se produzca en una situación en la que no medie una causa o investigación por delito, y que el sujeto actúe con prevalimiento de cargo. (…) Es necesario pues que la autoridad o funcionario actúe en el área de sus funciones específicas, de tal modo que aun cuando la acción sea ejecutada por una autoridad o funcionario público, si su actuación no se refiere específicamente a tales funciones y únicamente se ha aprovechado de su condición de autoridad o funcionario para facilitar la comisión del hecho, su actuación deberá ser calificada conforme al artículo 197 del Código Penal (LA LEY 3996/1995)».
En este último caso, la especial condición del sujeto activo incluye la pena de inhabilitación absoluta por tiempo de 6 a 12 años y deja inaplicable el requisito previo de procedibilidad de los delitos contra la intimidad que exigen la previa denuncia del agraviado, siendo éste perseguible de oficio (art. 201.2 CP (LA LEY 3996/1995)).
En conclusión, el mero acceso del facultativo no autorizado ni justificado a los datos médicos que obran en la historia clínica del paciente no asignado constituye un delito contra la intimidad, previsto en el artículo 197.2 del Código Penal (LA LEY 3996/1995), sin que sea necesaria la producción de un perjuicio distinto o adicional al derivado del propio acceso y descubrimiento del dato médico, ni una alteración, utilización o difusión; agravándose la pena cuando los hechos son cometidos por un funcionario público o autoridad o cuando a dicho acceso se adiciona un perjuicio autónomo y distinto.