Absolución de un empleado de un delito continuado de descubrimiento y revelación de secretos debido a medidas de seguridad deficientes

La sentencia 232/2016 de 30 de junio, del Juzgado de lo Penal nº 6 de Barcelona, juzga los siguientes hechos:

Se reenvío de un mail con datos laborales y salariales de la plantilla de Corporació Catalana de Mitjans Audiovisuals (CCMA), a 80 buzones de correo de Outlook de la lista global de direcciones de los trabajadores de CCMA, en la que el acusado trabajaba como informático. El correo electrónico reenviado contenía tres hojas Excel y había sido remitido por Recursos Humanos al Presidente del Consejo de Gobierno de la CCMA. El correo contenía los datos de nombre, DNI, salario, categoría e indemnización que recibiría en caso de posible ERE y sueldo recortado.

Dicho reenvío se realizó usando la red TOR (no identifica la IP) y la Web Proxy anónimas (ofrecen servicios de navegación anónima al no quedar registrada la IP real en el servidor del servicio de destinación.

También quedó probado el acceso ilícito por persona desconocida a cuatro buzones de correo (Presidente del Consejo de Gobierno de CCMA, Jefe del departamento de explotación, CEI-Unidades Móviles, Director de TV3 y el correspondiente al acusado) a través de la red TOR y desde la Web Proxy extranjeros. El acceso desde TOR se realizó desde fuera de las instalaciones de CCMA y el acceso desde el interior de las instalaciones se realizó utilizando Web Proxy extranjeros. Simplemente se accedió a los mencionados buzones y no se realizaron otro tipo de acciones como borrar, reenviar o responder, salvo el reenvío comentado anteriormente.

Tras la práctica de la prueba realizada tanto en los equipos de CCMA como en el obrante en el domicilio del acusado se constata que:

Aunque el acusado tenga en un ordenador personal encontrado en el registro de su domicilio instalado TOR, no queda acreditado que estuviera instalado en las fechas en las que se cometieron los hechos. La pericial de la defensa introduce dudas no aclaradas por las periciales de las acusaciones. En concreto se afirmó que el software encontrado en el equipo del domicilio del acusado no pudo utilizarse para obtener las contraseñas de las cuentas de usuario vulneradas y que no posee el sistema operativo del que parten las conexiones TOR.
Los hechos se desarrollaron en el departamento de Post Producción. El acceso al mismo se producía mediante tarjeta. El primero que llegaba abría y a partir de ese momento el acceso era libre. En esas fechas trabajaban 8-9 personas en turnos.
En la fecha de los hechos no existían en los ordenadores controles para instalar programas informáticos en los ordenadores. Los informáticos no tenían que pedir permiso para hacerlo. Tras los hechos se tomaron medidas y se cambiaron passwords.
En la fecha de los hechos, al contrario que el resto de equipos corporativos, el acceso a equipos del departamento de Post Producción no requería la introducción de usuario y contraseña. El acusado declaró que se dejaban abiertos para poder trabajar en ellos en cualquier momento y las contraseñas eran compartidas y todos tenían conocimiento de las mismas.
En los ordenadores corporativos aunque el acceso requería usuario y contraseña, era relativamente fácil usarlos sin necesidad de introducir las claves puesto que el tiempo establecido para el bloqueo de sesión por inactividad era elevado.
Desde los ordenadores de Post Producción no puede accederse sin contraseña a los equipos corporativos pero sí que puede accederse mediante Internet a las cuentas de correo electrónico corporativo introduciendo la contraseña.
Uno de los testigos declaró que recientemente se había detectado que se podía acceder a contraseñas no encriptadas.
La investigación de los Mossos d´Escuadra relaciona al acusado con los hechos mediante indicios. No vieron contenidos sino la actividad realizada. Comprobaron que las máquinas estaban conectadas a postproducción y que los registros del equipo informático coincidían con las horas y fechas en las que trabajaba el acusado y además no coincidían con las de otro trabajador. También fundaron sus sospechas en el hecho que tuviera instalado TOR en un equipo personal encontrado en su domicilio.

Teniendo en cuenta como afirma la sentencia, que el delito de descubrimiento y revelación de secretos es un delito de naturaleza tendencial, que requiere la existencia de una acción dolosa tendente a conocer los secretos o vulnerar la intimidad de otro:

“Este delito se configura sobre la acción de adquirir de forma ilícita una información reservada con la finalidad de perjudicar a su titular. Esa información tiene que ser conseguida al margen de cauces lícitos, casuales o derivados de una relación o situación normal ( STS de 10 de diciembre de 2010 ), en perjuicio de su titular ( STS de 30 de diciembre de 2009 ), sin autorización o de forma ajena a vías normales o socialmente aceptadas ( STS de 27 de mayo de 2008 ), lograda en uso de un dolo específico finalista de descubrir y vulnerar la esfera de intimidad o comúnmente aceptada como reservada del conocimiento común ( STS de 21 de marzo de 2007 ) y a través del quebrantamiento de un sistema de custodia o comunicación cuyo empleo esté directamente conectado con ese ámbito de privacidad ( STS de 19 de junio de 2006 )”.

Y unido a lo anterior, que la acusación se base en prueba indiciaria, y para que la misma pueda ser tenida en cuenta para condenar a un acusado, debe cumplir con unos requisitos regulados, entre otras, en la sentencia de la Sala 2ª del Tribunal Supremo de fecha 28/9/2010, ROJ 4840/2010:

“a) Los indicios se basen en hechos plenamente probados y no en meras sospechas, rumores o conjeturas.

b) Que los hechos constitutivos del delito o la participación del acusado en el mismo, se deduzcan de los indicios a través de un proceso mental razonado y acorde con las reglas del criterio humano, detallado en la sentencia condenatoria”.

Llevan al juzgador a absolver al acusado.

Llegados a este punto debemos indicar que la existencia de medidas de seguridad deficientes no sólo ocasionó que el acusado fuera absuelto o que se hubiera podido descubrir quien era el responsable real de los hechos, sino que además podía haber ocasionado graves perjuicios a CCMA, desde el punto de vista de la normativa vigente de protección de datos, al no tener implantadas algunas de las medidas de seguridad reguladas en el Título VIII del Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba del Reglamento de desarrollo de la Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal.

En concreto, estos serían los preceptos vulnerados:

- Art 85: (posibilidad de acceder al correo vía Internet) Las medidas de seguridad exigibles en los accesos a datos a través de redes de comunicaciones deben ser idénticas a las implantadas para trabajo en modo local. Esta medida no consta en los hechos probados.

- Art 86: (posibilidad de acceder al correo vía Internet) el tratamiento de datos fuera de los locales del responsable del fichero o la salida de portátiles requiere autorización previa de este, previa implantación de las medidas de seguridad exigibles. Esta medida no consta en los hechos probados.

- Art 87: (en relación con el Excel), los ficheros temporales o copias de trabajo de documentos deberán cumplir con las medidas de seguridad exigibles. Esta medida no consta en los hechos probados.

- Art 89: (en relación con los privilegios de los informáticos), las obligaciones y funciones de cada usuario en relación con el acceso a datos personales y a sistemas de información deben estar claramente definidas y documentadas. Se deben adoptar medidas para asegurarse que estas funciones y obligaciones de seguridad son conocidas. Es más, es muy habitual utilizar estos documentos para regular el uso de medios TIC, estableciendo los oportunos permisos, advertencias o prohibiciones en relación, entre otros, al uso personal del correo electrónico, a tenor de las sentencias del Tribunal Supremo de 26 de septiembre de 2007 y de 6 de octubre de 2011. En el presente procedimiento queda probado que no se había regulado ni prohibido el uso personal del correo electrónico.

- Art 90: (en relación con el acceso desde el exterior), no consta en el procedimiento la existencia de un registro de incidencias de datos personales en el que conste tipo de incidencia, momento en que se ha producido o detectado, persona que realiza la notificación, a quién se le comunica, efectos que se derivan de la misma y medidas correctoras aplicadas.

- Art 91: (en relación con los privilegios de los informáticos), los usuarios únicamente pueden tener acceso a aquellos recursos que precisen para el desarrollo de sus funciones y se establecerán mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

- Art 93: (en relación con el acceso a los equipos de postproducción), se deben adoptar medidas que garanticen la correcta identificación y autenticación de los usuarios de forma inequívoca y personalizada. Queda probado que el acceso a estos equipos es libre y que en los ordenadores corporativos el bloqueo de sesión por inactividad era muy elevado.

- Art 93: (en relación con las contraseñas de acceso vigentes). Debe existir un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad, se deben cambiar periódicamente, al menos una vez al año y si se almacenan las vigentes, deberá hacerse de manera ininteligible. En este apartado debemos recordar que en el procedimiento no consta el cambio periódico y se menciona el acceso a contraseñas no encriptadas.

Por su parte el Reglamento 2016/679 general de protección de datos, en vigor desde el 25 de mayo de 2016 y que entrará en aplicación el 25 de mayo de 2018, introduce un enfoque basado en el riesgo. La seguridad también queda incluida en este enfoque, tal y como se desprende del artículo 32: “teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo…”. Es por ello que no siendo aplicables al nivel de seguridad de nivel básico, que es el que aplica al Excel reenviado, mencionaremos algunas medidas de seguridad del RD 1720/2007 que en este caso, de haber estado implantadas, habrían minimizado o eliminado los riesgos:

- Art 98: (en relación con el acceso a los buzones de correo electrónico), obligación de implantar mecanismos que limiten la posibilidad de intentar reiteradamente el acceso no autorizado.

- Art 99: (en relación con el acceso al departamento de postproducción) solamente el personal autorizado puede acceder a los locales donde se encuentran ubicados los equipos que manejan la información.

- Art 103: (en relación con el acceso a las contraseñas vigentes de correo electrónico), registrar cada intento de acceso guardando como mínimo durante dos años la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

- Art 104: (en relación con el Excel reenviado), aun tratándose de un correo de carácter interno, la previsión de cifrado en las transmisiones de datos en redes públicas, sin duda hubiera imposibilitado el acceso al contenido del Excel.

Finalmente tras la reforma del Código Penal de 2015, debido al carácter público de CCMA, en el caso que por su naturaleza jurídica no le fuera de aplicación la excepción de no responsabilidad penal del artículo 31 quinquies, apartado primero, y si fuera de aplicación a todas o cada una de las entidades que forman CCMA, el apartado segundo de ese mismo artículo, teniendo en cuenta que el delito de descubrimiento y revelación de secreto regulado en el artículo 197 de del Código Penal es uno de los delitos que pueden generar responsabilidad penal de la persona jurídica por delitos cometidos por representantes legales, directivos y empleados en su nombre y con beneficio directo o indirecto para la persona jurídica, y que como quedó demostrado en los hechos probados, CCMA disponía de medidas de seguridad deficientes, de no haberse producido los hechos en el 2012 sino con posterioridad al año 2015, CCMA podría haber sido condenada de darse estos requisitos y no contar con modelos de organización y gestión que incluyeran medidas de vigilancia y control idóneas para prevenir delitos o para reducir el riesgo de comisión de forma significativa. De ahí la importancia que las entidades tengan implantados programas de cumplimiento normativo o Compliance.

ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Absolución de un empleado de un delito continuado de descubrimiento y revelación de secretos debido a medidas de seguridad deficientes

Comentario Jurisprudencial de la sentencia del TJUE de 28 de abril de 2022, Caso NovaText (C-531/20),...

Telefónica crea una comisión de seguimiento ético de la inteligencia artificial

Los seguros digitales, conectados e impulsados por IA Generativa marcan tendencia en el mercado...

Relación de nombramientos en áreas TIC y de Innovación de la Administración. Semana del 8 d...

Sistemas Informáticos de Facturación (SIF) y factura electrónica

Excel para automatizar, gestionar y analizar los datos empleados por los expertos en Derecho

Tecnología y humanismo en el Ilustre Colegio de la Abogacía de Madrid

IA y Derecho: El Impacto de la IA en el Sector Legal