El Pleno de la Sala de lo Penal del Tribunal Supremo ha confirmado la sentencia de dos años, seis meses y un día, impuesta por la Audiencia Provincial de Cáceres al director-gerente de una residencia ubicada en Valencia de Alcántara por haber accedido al ordenador que usaba la enfermera de forma habitual y con información personal tras robar su contraseña. Y ha revocado parcialmente el fallo de apelación del TSJEx.
Los magistrados valoran en su sentencia número 849/2025 que la clave personal de un ordenador, un identificador del titular que permite el acceso a toda la información que pueda existir en el dispositivo, es un dato personal reservado y protegido por el artículo 197.2 del Código Penal (CP).
Con ello, el Tribunal Supremo clarifica los límites en el delito de descubrimiento de secretos: el mero acceso haciéndose valer de su contraseña, un dato personal reservado, ya se considera delito.
La sentencia apunta directamente a un problema creciente: la frontera difusa entre dispositivos de uso mixto —laboral y personal— y el poder de superiores jerárquicos para acceder a ellos.
El fallo fortalece la protección penal frente a accesos no autorizados, especialmente en entornos públicos donde la “costumbre” o la jerarquía se habían usado a veces como excusa.
Los hechos: un acceso sin autorización y con ánimo de sabotaje
Soledad era enfermera en Residencia de mayores ‘Buenos Aires’ en Valencia de Alcántara, Cáceres, servicio que realizaba a través del Ayuntamiento, desde hacía seis años.
En su centro de trabajo, usaba un ordenador de forma exclusiva y habitual como herramienta de trabajo y también —con conocimiento de sus superiores— como soporte personal protegido por su propia contraseña. Fotos familiares, plantillas clínicas, documentos privados: un archivo híbrido, pero confidencial.
El director-gerente, Constancio, aprovechó que la profesional no acudía al trabajo para entrar en el despacho, conectar un pendrive y extraer la clave del equipo. Con ella modificó la contraseña y accedió a varias carpetas personales.
Paralelamente, durante años había realizado funciones estrictamente sanitarias sin la titulación necesaria, desde curas hasta administración de insulina o heparina a residentes especialmente vulnerables.
El recorrido judicial de esta conducta por parte del director
Por esta acción, la Audiencia Provincial de Cáceres en 2021 condenó a dos años, seis meses y un día a Constancio como autor de dos delitos: uno de descubrimiento de secretos cometido por funcionario público y otro de intrusismo profesional, que conllevó una multa de seis meses.
Sin embargo, la Sala de lo Civil y Penal del Tribunal Superior de Justicia de Extremadura (TSJEx) estimó el recurso de apelación que interpuso Constancio en 2023 por entender que el delito de revelación de secretos por el que había sido condenado era un castigo desproporcionado.
La Sala argumentó, para suprimir el principal delito, que no se probó que accediera a datos personales, sino solo al nombre de las carpetas sin conocer su sentido.
Con ello pudo modificar la contraseña poniendo una nueva para después acceder a carpetas identificadas con archivos privados y personales de la denunciante.
Soledad, en contra de este fallo, recurrió la absolución alegando error en la valoración de la prueba, vulneración de tutela judicial efectiva y aplicación erróneo del artículo 197 del CP a través de su abogado, Emilio Cortés Bechiarelli, y de su procuradora, Isabel de las Casas Cañedo.
La sentencia apunta directamente a un problema creciente: la frontera difusa entre dispositivos de uso mixto —laboral y personal— y el poder de superiores jerárquicos para acceder a ellos.
El TS corrige al TSJEx y condena al demandado por revelación de secretos
El caso, por su importancia, llegó al Pleno la Sala de lo Penal del TS, compuesto por sus 15 miembros: Andrés Martínez Arrieta, presidente, Julián Sánchez Melgar, Juan Ramón Berdugo Gómez de la Torre, Manuel Marchena Gómez, Antonio del Moral García, Andrés Palomo del Arco, Ana María Ferrer García, Pablo Llarena Conde, Vicente Magro Servet, Susana Polo García, Carmen Lamela Díaz, Eduardo de Porres Ortiz de Urbina, ponente, Ángel Luis Hurtado Adrián, Leopoldo Puente Segura y Javier Hernández García.
Los magistrados subrayan que la simple conducta de acceder a las carpetas, aunque no se leyera el contenido ni los correos electrónicos, «sería perfectamente integrable en el tipo del artículo 197.2 del CP».
Este artículo dice que «El profesional que, con incumplimiento de su obligación de sigilo o reserva, divulgue los secretos de otra persona, será castigado con la pena de prisión de uno a cuatro años, multa de doce a veinticuatro meses e inhabilitación especial para dicha profesión por tiempo de dos a seis años».
Para esta tesis el Pleno se ha apoyado en las sentencias de su propia Sala, números 412/2020, de 20 de julio y 525/2014, de 17 de junio, en las que alto tribunal castigó como conductas delictivas el acceso a carpetas en ordenadores.
En este caso, la enfermera usaba el ordenador de modelos de plantillas de los usuarios de la residencia, lo que para la sala «entra en el radio de la acción de delito contra la intimidad».
En la revisión del artículo 197.2 CP, los magistrados entran a valorar el concepto «datos reservados de carácter personal», aclarando que, según la doctrina reiterada del Alto Tribunal, este concepto hace referencia a «toda información sobre una persona física identificada o identificable».
El Supremo ha reiterado que todos los datos personales automatizados son sensibles, ya que la ley no establece distinciones en su protección.
En esa misma línea, afirma que «un identificador en línea constituye un dato personal susceptible de protección», equiparando claves, contraseñas o identificadores telemáticos a datos personales reservados, porque permiten el acceso a servicios o espacios de información vinculados directamente a una persona.
Aplicando esta doctrina al caso, el Supremo considera que la clave de un ordenador personal es un dato personal protegido: «la obtención fraudulenta de la clave del ordenador ya es de por sí un acceso no consentido a un dato personal reservado de la denunciante. La clave que es un identificador de su titular, permite el acceso a
toda la información que pueda existir en el ordenador, y que, por lo mismo, constituye per se un dato personal reservado protegido por el artículo 197.2 del CP».
De este modo, la Sala refuerza la interpretación de que el mero acceso no autorizado (aunque no se llegue a leer o copiar información) constituye ya un atentado contra la intimidad digital y le impone la condena con la que había sido castigado en primera instancia: dos años, seis meses y un día como autor de un delito de descubrimiento de secretos cometido por funcionario público.
El TSJEx tiene que dictar una nueva sentencia en la línea de los establecido por el Supremo
La consecuencia de esta sentencia del Supremo es la anulación parcial de la del TSJEx, órgano judicial que ahora debe dictar un nuevo fallo restituyendo la condena original: 2 años, 6 meses y un día de prisión, multa e inhabilitación absoluta durante seis años por los delitos de revelación de secretos y de intrusismo.
