Escolar Documentos
Profissional Documentos
Cultura Documentos
Policía Nacional
TEMA 33
Delitos informáticos (ciberdelincuencia). Protección de datos. Especial consideración al derecho a la
intimidad. La prueba digital en el proceso penal.
1. DELITOS INFORMÁTICOS
(CIBERDELINCUENCIA)
Así como en la sociedad existen los delincuentes, en el mundo informático existen los
ciberdelincuentes, que en líneas generales son personas que realizan actividades delictivas en
internet, como robar información, acceder a redes privadas, cometer estafas, y todo lo que tiene que ver
con los delitos y la ilegalidad.
Por ello, es necesario, en primer lugar, profundizar en el término «informática» para poder hablar de
aquellas conductas que puedan considerarse ilícitas, penalmente hablando. Se habla de informática
cuando se alude al procesamiento de información mediante dispositivos electrónicos y sistemas
computacionales. Los sistemas informáticos son capaces de llevar a cabo unos algoritmos para poder
procesar la información, es decir, recibir la información, procesarla y trasmitir los resultados.
La RAE nos la define como «conjunto de conocimientos científicos y técnicas que hacen posible el
tratamiento automático de la información por medio de ordenadores». La informática o, más bien, el uso
de esta, es una actuación realizada por cualquier persona en el mundo y en cualquier momento, dando
lugar a una evolución de la misma de forma extraordinaria. Consecuentemente conlleva resultados
positivos, aunque, desgraciadamente, también negativos. Es con estos últimos, con los que se identifica la
temática de este bloque, ya que vamos a estudiar aquellas «acciones u omisiones, típicas, antijurídicas,
culpables y punibles» relacionadas con los delitos informáticos o con la ciberdelincuencia.
Debido a que la informática crece de forma extraordinaria, incluso, por delante de la propia legislación,
hay casos que no están ni siquiera regulados o recogidos como conductas punibles en el Código Penal
según la «teoría del delito». Simplemente quedarían como abusos informáticos y parte de la criminalidad
informática.
Los delitos informáticos son una serie de actividades ilícitas que se cometen mediante el uso de
ordenadores, sistemas informáticos, dispositivos electrónicos o de comunicación y que tienen por objeto
causar daños, lucrarse, provocar pérdidas, etc.
Cibercrimen, piratería, delincuencia o criminalidad informática, etc., son muchos de los términos y
acepciones utilizados para definir un concepto tan amplio como es el de la «ciberdelincuencia».
Podemos definir esta, como el conjunto de aquellas acciones cometidas a través de un bien o sistema
informático cuya consecuencia final recae en un hecho considerado como ilícito. En otras palabras, se
trata de una vertiente del crimen tradicional, que puede incluir delitos tradicionales como fraudes,
chantajes, robos, falsificaciones, malversación, etc., que utiliza las nuevas tecnologías para extenderse y
desarrollarse de manera exponencial. Debido a la continua evolución, esta ciberdelincuencia, se va
convirtiendo en sofisticada y cada vez más usual.
Con la informática no solo se cometen los delitos anteriormente mencionados, sino que puede haber
violaciones de derechos de autor, violaciones a la intimidad, a la propia imagen, delitos de pornografía
infantil, pedofilia, violación de secretos, etc. Es por ello que vamos a desarrollar, además de la definición
de cada tipo de delito, lo referente al derecho a la intimidad y protección de datos según la legislación
actual.
www.elrincondelpolicia.com página 3 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
complicados de resolver que ocurran en cualquier lugar del territorio nacional), existe la Unidad de
Investigación Tecnológica (UIT). Esta Unidad, a su vez, está dividida en: la Brigada Central de
Investigación Tecnológica (BIT) y la Brigada Central de Seguridad Informática (BSI).
La UIT asume la investigación y persecución de las actividades delictivas que impliquen la utilización de
las tecnologías de la información y las comunicaciones (TIC) y el ciberdelito de ámbito nacional y
transnacional, relacionadas con el patrimonio, el consumo, la protección al menor, la pornografía infantil,
delitos contra la libertad sexual, contra el honor y la intimidad, redes sociales, fraudes, propiedad
intelectual e industrial y seguridad lógica. Actuará como Centro de Prevención y Respuesta E-Crime del
Cuerpo de Policía Nacional. De esta Unidad dependerán:
a) La Brigada Central de Investigación Tecnológica (BIT), destinada a responder a los
retos que plantean las nuevas formas de delincuencia, y a la que corresponde la investigación de
las actividades delictivas relacionadas con la protección de los menores, la intimidad, la
propiedad intelectual e industrial y los fraudes en el uso de las telecomunicaciones, ataques
cibernéticos, piratería, etc.
Esta Brigada se encarga de velar por la seguridad de los internautas y de los ciudadanos en
general, a través de «alertas tecnológicas» para informar a la sociedad a través de las redes
sociales o desde su propia web, de los timos, spam, hoax o bulos, etc. Por ejemplo, recepción en
SPAM de un email que nos pide comparecer ante la audiencia para un asunto de nuestro
interés, pagar por un anuncio, virus simulando ser actualización de Windows o recogida de un
paquete postal. También, por ejemplo, conciencia a la población de la importancia de la
protección de nuestros datos personales e intimidad.
La Oficina de Coordinación Cibernética (OCC) es el órgano técnico de coordinación del Ministerio del
Interior en materia de ciberseguridad, creada por la Instrucción número 15/2014, de 19 de noviembre,
de la Secretaría de Estado de Seguridad. Es un dispositivo inédito hasta ahora en España, que depende
funcionalmente de la Secretaría de Estado de Seguridad y orgánicamente del Centro Nacional para la
Protección de las Infraestructuras Críticas, actualmente, Centro Nacional de Protección de
Infraestructuras y Ciberseguridad (CNPIC). La Oficina se estructurará en un grupo de análisis y
tratamiento de la información, otro de análisis de amenazas y vulnerabilidades y un tercer grupo de
monitorización del estado de la ciberseguridad.
La OCC debe garantizar las capacidades de coordinación técnica entre el CERT de Seguridad e
Industria (CERTSI) y los órganos subordinados de la Secretaría de Estado y las fuerzas y cuerpos de
seguridad del Estado en lo que respecta a las competencias propias del Ministerio del Interior en materia
de ciberseguridad. Por Acuerdo del Consejo Nacional de Ciberseguridad de 29 de mayo de 2015, el
CERTSI es el CERT Nacional competente en la prevención, mitigación y respuesta ante incidentes
cibernéticos en el ámbito de las empresas, los ciudadanos y los operadores de infraestructuras críticas.
Desde la OCC se mantendrá un estrecho contacto con las unidades tecnológicas, tanto del Cuerpo de
Policía Nacional como de la Guardia Civil, encargadas de luchar contra el delito y el terrorismo en el
ciberespacio y responsables de la persecución y puesta a disposición judicial de los delincuentes.
www.elrincondelpolicia.com página 4 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
La «Estrategia de Seguridad Nacional» recoge una serie de líneas de acción cuyo desarrollo
corresponde al Ministerio de Asuntos Exteriores y de Cooperación como responsable de la acción exterior
del Estado. Así, este Ministerio es el órgano de la administración que promueve la colaboración
internacional para lograr un ciberespacio internacional seguro y fiable. Además, impulsa en el ámbito
multilateral el consenso con los demás países para que los Estados acuerden normas sobre protección de
infraestructuras críticas y desarrollen las capacidades necesarias para la protección de los servicios
esenciales.
El dispositivo de ciberseguridad se ha diseñado en base a los principios rectores de la «Estrategia de
Ciberseguridad Nacional» aprobada en diciembre de 2013; documento que desarrolla la «Estrategia de
Seguridad Nacional» en materia de protección del ciberespacio, con el fin de implantar de forma
coherente y estructurada, acciones de prevención, defensa, detección, respuesta y recuperación frente a
las ciberamenazas. Estos principios rectores son: liderazgo nacional y coordinación de esfuerzos;
responsabilidad compartida; proporcionalidad, racionalidad y eficacia y cooperación internacional.
(5). Child Grooming o acoso infantil a través de la red (también conocido como grooming,
internet grooming, cybergrooming): acción encaminada a establecer una relación y control
emocional sobre un menor, cuya finalidad última es la de obtener una satisfacción sexual mediante
imágenes eróticas o pornográficas del niño/a o incluso como preparación para un encuentro sexual
con este. Se lleva a cabo mediante el engaño de una persona adulta a un menor a través de
programas de conversación tipo messenger para obtener imágenes de contenido erótico del menor que
después utilizará para coaccionarle, bajo amenaza de difundir esas imágenes a sus conocidos, y
conseguir así más imágenes o incluso llegar materializar el abuso.
TIPOLOGÍA
DENOMINACIÓN VÍCTIMA RESPONSABLE
CIBERACOSO joven/adulto adulto/menor
CIBERBULLYING menor menor
GROOMING menor adulto
(6). Ciberterrorismo: aprovechamiento de las redes informáticas para obtener información, fomentar
o comentar actos de terrorismo.
www.elrincondelpolicia.com página 5 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
(7). Flame: provocación mediante un mensaje incendiario enviado a un foro, lista de correo, cuyo
objetivo es provocar reacciones airadas de sus participantes. Suele contener insultos u ofensas y
puede estar dirigido a todos en general, a un grupo de usuarios o a alguien en particular.
(8). Hoax o bulo electrónico: del inglés, engaño o bulo. Se trata de bulos e historias inventadas, que
no son más que eso, mentiras solapadas en narraciones cuyo fin último es destapar el interés del
lector o destinatario. Dichas comunicaciones pueden tener como finalidad última: Conseguir dinero
o propagar un virus.
(9). Pharming: manipulación de la resolución de nombres de dominio producido por un código
malicioso, normalmente en forma de troyano, que se nos ha introducido en el ordenador mientras
realizábamos una descarga, y que permite que el usuario cuando introduce la dirección de una
página web, se le conduzca en realidad a otra falsa, que simula ser la deseada. Con esta técnica se
intenta obtener información confidencial de los usuarios, desde números de tarjetas de crédito hasta
contraseñas. De manera que si el usuario accede a la web de su banco para realizar operaciones
bancarias, en realidad accede a una web que simula ser la del banco, casi a la perfección, logrando
los delincuentes, obtener los códigos secretos del usuario, pudiendo materializar el fraude con los
mismos.
(10). Phishing: es la contracción de password harvesting fishing (cosecha y pesca de contraseñas). Las
técnicas denominadas phishing consisten en el envío de correos electrónicos, en los cuales el usuario
cree que el remitente se trata de una entidad reconocida y seria (usualmente bancos), en los que se
solicita al mismo que, por unos u otros motivos, debe actualizar o verificar sus datos de cliente a
través, normalmente, de un enlace a una página que simula ser de la entidad suplantada. Una vez el
usuario remite sus datos, los delincuentes o estafadores pueden proceder a operar con los mismos.
• Scam o phishing laboral: fraude similar al phishing, con el que comparte el objetivo de
obtener datos confidenciales de usuarios, para acceder a sus cuentas bancarias. Consiste en el
envío masivo de correos electrónicos o la publicación de anuncios en webs, en los que se ofrecen
supuestos empleos muy bien remunerados. Cuando el usuario acepta la oferta de trabajo, se le
solicita que facilite datos de sus cuentas bancarias, a través de un e-mail o accediendo a una web,
para ingresarle los supuestos beneficios.
• Smishing: es una variante del phishing, que utiliza los mensajes a teléfonos móviles, en lugar de
los correos electrónicos, para realizar el ataque. El resto del procedimiento es igual al del
phishing: el estafador suplanta la identidad de una entidad de confianza para solicitar al usuario
que facilite sus datos, a través de otro SMS o accediendo a una página web falseada, idéntica a la
de la entidad en cuestión.
• Spear phishing: tipo de phishing en el que, en lugar de realizar un envío masivo de correos
electrónicos, se envían correos con mayor grado de personalización, a destinatarios concretos,
consiguiendo que los mensajes resulten más creíbles que los del phishing tradicional. La intención
es robar propiedad intelectual, datos financieros, secretos comerciales o militares y otros datos
confidenciales.
• Vishing o voice phishing: fraude que persigue el mismo fin que el phishing, la obtención de
datos confidenciales de usuarios, pero a través de un medio distinto: la telefonía IP. Los ataques
de vishing se suelen producir siguiendo dos esquemas:
i. Envío de correos electrónicos, en los que se alerta a los usuarios sobre algún tema
relacionado con sus cuentas bancarias, con el fin de que estos llamen al número de
teléfono gratuito que se les facilita.
ii. Utilización de un programa que realice llamadas automáticas a números de teléfono de
una zona determinada.
En ambos casos, cuando se logra contactar telefónicamente con el usuario, un mensaje
automático le solicita el número de cuenta, contraseña, código de seguridad, etc.
(11). Phreaking: Penetrar ilícitamente sistemas telefónicos o de telecomunicaciones con el fin de obtener
beneficios o causar perjuicios a terceros.
www.elrincondelpolicia.com página 6 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
(12). Ransomware: De entre todos los tipos de software maligno que circulan por Internet, este es uno
de los más problemáticos, por la tensión que genera en sus víctimas.
El ransomware (también conocido como rogueware o scareware) restringe el acceso al sistema y exige el
pago de un rescate para eliminar la restricción. Uno de los más conocidos, es el denominado police
ransomware programa malicioso que bloquea el ordenador de la víctima, acusándola de haber
visitado sitios web ilegales que contienen material sobre abusos infantiles o cualquier otra actividad
ilegal, haciéndose pasar por un organismo con funciones coercitivas y solicitando el pago de una
multa para desbloquear el ordenador o dispositivo.
(13). Sexting: (De Sex+texting) Envío de mensajes (que pueden incluir fotografías y/o vídeos) de contenido
erótico o pornográfico por medio de teléfonos móviles.
(14). Sextorsión: forma de explotación sexual en la cual se chantajea a una persona por medio de una
imagen de sí misma desnuda que ha compartido a través de Internet mediante sexting. La víctima es
posteriormente coaccionada para tener relaciones sexuales con el/la chantajista, para producir
pornografía u otras acciones.
(15). Skimming: es la clonación de tarjetas en cajeros automáticos. Su objetivo es capturar la
información codificada en la banda magnética utilizando dispositivos físicos o equipos para después
producir tarjetas clonadas con el fin de utilizarlas en forma fraudulenta.
(16). Slamming: término que se emplea para describir el cambio de compañía de telecomunicaciones
(telefonía, Internet, etc) sin la autorización del cliente. Consiste en darte de alta en contratos de luz o
gas sin tu consentimiento mediante técnicas fraudulentas.
(17). Spoofing: hace referencia al uso de técnicas de suplantación de identidad generalmente con usos
maliciosos o de investigación. Tipos:
• IP Spoofing: suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un
paquete TCP/IP por otra dirección IP a la cual se desea suplantar.
• ARP Spoofing: suplantación de identidad por falsificación de tabla ARP. (ARP son las siglas en
inglés de Address Resolution Protocol (Protocolo de resolución de direcciones).
• DNS Spoofing: Suplantación de identidad por nombre de dominio.
• Web Spoofing: Suplantación de una página web real.
• Mail Spoofing: Suplantación en correo electrónico de la dirección e-mail de otras personas o
entidades.
(18). Stalking o acecho: término usado para referirse al trastorno que tiene una persona que lo lleva a
espiar a su víctima. Principalmente el cyberstalking se da en redes sociales como Facebook, Instagram
o Twitter, donde la mayoría de personas dejan su información disponible para cualquier persona,
también por medio del correo electrónico o por servicios de mensajería instantánea como
WhatsApp. La persona que tiene este tipo de comportamiento es llamada stalker.
(19). Tramas de pump and dump (también conocidas como timos bursátiles): es un tipo de fraude
que consiste en difundir un rumor con el fin de inflar artificialmente el precio de acciones modestas,
a través de afirmaciones falsas o exageradas con el fin de venderlas desde sus propias cuentas a un
precio más alto habiéndolas comprado previamente a un precio muy inferior.
(20). Troll: mensaje u otra forma de participación que busca intencionadamente molestar a los usuarios o
lectores, creando controversia, provocar reacciones predecibles, especialmente por parte de usuarios
novatos, con fines diversos, desde el simple divertimento hasta interrumpir o desviar los temas de las
discusiones, o bien provocar flamewars, enfadando a sus participantes y enfrentándolos entre sí.
(21). Warez: Grupo de personas amantes de la piratería de software. Su meta es violar códigos de
seguridad (cracking) o generar, obtener o compartir números de registros de programas de cómputo,
para luego subirlos a internet y compartirlos con el mundo; usualmente son delitos o ilícitos
contra propiedad intelectual o derechos del autor.
www.elrincondelpolicia.com página 7 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
1.3. La ciberdelincuencia
La ciberdelincuencia se define, con carácter general, como cualquier tipo de actividad ilegal en la que se
utilice Internet, una red privada o pública o un sistema informático doméstico.
Aunque muchas formas de ciberdelincuencia giran en torno a la obtención de información sensible para
usos no autorizados, otros ejemplos son la invasión de la intimidad del mayor número posible de usuarios
de ordenadores.
La ciberdelincuencia comprende cualquier acto criminal que utilice ordenadores y redes. Además, la
ciberdelincuencia también incluye delitos tradicionales realizados a través de Internet. Por ejemplo: los
delitos motivados por prejuicios, el telemarketing y fraude de Internet, la suplantación de identidad y el
robo de cuentas de tarjetas de crédito, se consideran ciberdelitos, cuando las actividades ilegales se llevan
a cabo utilizando un ordenador e Internet.
Parte de este problema proviene de la vertiginosa velocidad con la que evolucionan las nuevas tecnologías
y el consiguiente constante cambio y desarrollo, también extremadamente rápido, de las conductas
delictivas vinculadas a las mismas.
Parece adecuado hacer un repaso, en términos generales, del modo en que se han ido implantando las
nuevas tecnologías y del modo en que, en consecuencia, ha ido apareciendo el nuevo elenco de conductas
lesivas de derechos vinculadas con la informática y la telemática. Consideramos útil para este fin el modo
sistemático en que fue definida esta evolución de las conductas delictivas (o merecedoras de serlo)
vinculadas con las TICs en el «Informe sobre la situación del crimen organizado en Europa» realizado
por el Consejo de Europa.
En primer lugar, la ingente acumulación de datos de carácter personal de la ciudadanía por parte de los
gobiernos, aun cuando no estaba masificado el uso de los ordenadores, hace que comiencen las
preocupaciones en torno al carácter reservado, la acumulación y el uso que podría hacerse de estos datos.
Nace así el concepto de privacidad y de derecho a la misma, que va más allá del tradicional de intimidad
y que regula la acumulación en las bases de datos, de carácter informático o no, de información sobre los
individuos y el uso que se hace de ella, así como la capacidad de decisión de cada ciudadano respecto a
qué datos referentes a su persona deben ser compartidos o públicos. Ya en los años 60 comienzan las
primeras discusiones en torno a esta cuestión, sobre todo en materia civil y administrativa, planteándose
el debate, en los años siguientes, también en términos penales. Durante la década de los 70, la difusión de
los ordenadores en el mundo empresarial supuso que la mayoría de las manifestaciones de la delincuencia
informática tuviesen relación con la delincuencia económica, siendo las más comunes el fraude
informático, la manipulación de datos, sabotajes informáticos, espionajes empresariales, etc. Hasta el
punto de que en este periodo eran estas nuevas modalidades de delincuencia económica las que
integraban el concepto de delito informático; o, al menos, estas eran las principales manifestaciones del
mismo. En los años 80, la generalización de los ordenadores personales entre la población trajo consigo,
al mismo tiempo, el surgimiento de la piratería del software de los mismos, dando comienzo así a las
primeras infracciones contra la propiedad intelectual que se generalizarían a finales de los años 90,
extendiéndose además de a dicho software, a productos como música o películas.
La expansión de Internet en la década de los 90 llevó aparejado el surgimiento de un nuevo método para
difundir contenidos ilegales o dañosos, tales como pornografía infantil o discursos racistas o xenófobos.
Serán justamente las conductas vinculadas a la difusión de contenidos ilícitos las que más pueden
www.elrincondelpolicia.com página 8 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
aprovecharse de la enorme implantación que tiene la «red» a nivel mundial, así como de sus
características técnicas que dificultan su descubrimiento, persecución y prueba.
En este período también se consolida la dependencia que los gobiernos y organismos internacionales
tienen de los sistemas informáticos, tanto para su buen funcionamiento como para el almacenamiento de
datos importantes y/o secretos y ello pondrá en el punto de mira para la comisión de delitos que atenten
contra la seguridad del Estado, como la comisión de ataques terroristas a través de la red, a los sistemas
informáticos de estos entes. Hoy, con la expansión del uso de los sistemas informáticos y de la telemática
en todos los ámbitos, tanto públicos como privados, prácticamente cualquier delito (homicidio, tráfico de
drogas, delito de terrorismo, etc.) puede ver favorecida su comisión a través de la utilización de las nuevas
tecnologías de la información y de la comunicación.
Por tanto, podemos decir que delito informático es «cualquier acción antijurídica que utilice los
medios informáticos para cometer actos delictivos en cualquiera de sus fases». No son nuevos delitos sino
nuevas formas de llevar a cabo o ejecutar las figuras típicas tradicionales. La delincuencia más el uso de la
informática se denomina ciberdelincuencia.
El primer tratado que determina los delitos penales cometidos por medios informáticos, para combatir s
ciberdelitos y delitos cometidos en Internet, fue el Convenio de Budapest, en vigor desde el 1 de julio de
2004, elaborado por el Consejo de Europa en Estrasburgo con la participación activa de los «Estados
Observadores»: Canadá, Japón y China.
a) Toda entidad pública o privada que ofrezca a los usuarios de sus servicios la posibilidad
de comunicar por medio de un sistema informático.
b) Cualquier otra entidad que procese o almacene datos informáticos para dicho servicio
de comunicación o para los usuarios de ese servicio.
(4). Por «datos sobre el tráfico»: se entenderá cualesquiera datos informáticos relativos a una
comunicación por medio de un sistema informático, generados por un sistema informático como
elemento de la cadena de comunicación, que indiquen el origen, destino, ruta, hora, fecha,
tamaño y duración de la comunicación o el tipo de servicio subyacente.
1.3.2.2. Delitos
Dicho Convenio propone, en la sección 1 del capítulo II, derecho penal sustantivo, una clasificación de
los delitos que se encuentran relacionados con la informática, en cuatro grupos:
(1). Título 1. Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas
informáticos (art. 2-6).
(2). Título 2. Delitos informáticos (art. 7 y 8). Engloba los siguientes:
www.elrincondelpolicia.com página 9 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
• Fraude informático. Actos deliberados e ilegítimos que causen un perjuicio patrimonial
a otra persona mediante:
a) Cualquier introducción, alteración, borrado o supresión de datos informáticos.
b) Cualquier interferencia en el funcionamiento de un sistema informático, con la
intención fraudulenta o delictiva de obtener ilegítimamente un beneficio
económico para uno mismo o para otra persona.
(3). Título 3. Delitos relacionados con el contenido, especialmente con pornografía infantil (art. 9).
Comisión deliberada e ilegítima de los siguientes actos:
a) Producción de pornografía infantil con vistas a su difusión por medio de un sistema
informático.
b) Oferta o puesta a disposición de pornografía infantil por medio de un sistema informático.
c) Difusión o transmisión de pornografía infantil por medio de un sistema informático.
d) Adquisición de pornografía infantil por medio de un sistema informático para uno mismo o
para otra persona.
e) Posesión de pornografía infantil en un sistema informático o en un medio de almacenamiento
de datos informáticos.
(4). Título 4. Delitos relacionados con las infracciones de la propiedad intelectual y derechos afines (art.
10).
Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como
delito en su derecho interno cualquier complicidad intencionada, así como cualquier tentativa de
comisión de alguno de estos delitos.
Cada Estado adoptará las medidas necesarias para exigir responsabilidad a las personas jurídicas cuando
comentan este tipo de delitos.
www.elrincondelpolicia.com página 10 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
(1). Amenazas. Realizadas por cualquier medio de comunicación (art. 169 y ss. CP).
• Artículo 169. Tipo básico: «El que amenazare a otro con causarle, a él, a su familia o a otras
personas con las que esté íntimamente vinculado, un mal que constituya delitos de homicidio,
lesiones, aborto, contra la libertad, torturas y contra la integridad moral, la libertad sexual, la
intimidad, el honor, el patrimonio y el orden socioeconómico, será castigado:
1.º Con la pena de prisión de uno a cinco años, si se hubiere hecho la amenaza
exigiendo una cantidad o imponiendo cualquier otra condición, aunque no
sea ilícita, y el culpable hubiere conseguido su propósito. De no conseguirlo, se
impondrá la pena de prisión de seis meses a tres años.
Las penas señaladas, se impondrán en su mitad superior si las amenazas se hicieren por
escrito, por teléfono o por cualquier medio de comunicación o de
reproducción, o en nombre de entidades o grupos reales o supuestos. El fundamento
de esta agravación responde a que los medios descritos poseen una mayor capacidad de
quebrar la libertad de obrar del sujeto pasivo. Se trata de dos criterios de agravación
recogidos en forma alternativa: en el primer caso se atiende a los medios utilizados, y en
el segundo, a la autoría de la amenaza. Es evidente que las entidades o grupos reales o
supuestos no tienen por qué ser ilícitos, pudiendo ser perfectamente asociaciones legales.
2.º Con la pena de prisión de seis meses a dos años, cuando la amenaza no haya sido
condicional».
En ambos casos, el delito de amenazas se consuma cuando el propósito del
agente de causar un mal llega a conocimiento del ofendido.
• Artículo 170. Tipo agravado: «1. Si las amenazas de un mal que constituyere delito fuesen
dirigidas a atemorizar a los habitantes de una población, grupo étnico, cultural o religioso, o
colectivo social o profesional, o a cualquier otro grupo de personas, y tuvieran la gravedad
necesaria para conseguirlo, se impondrán respectivamente las penas superiores en grado a las
previstas en el artículo anterior.
2. Serán castigados con la pena de prisión de seis meses a dos años, los que, con la misma
finalidad y gravedad, reclamen públicamente la comisión de acciones violentas por parte de
organizaciones o grupos terroristas».
Constituye un tipo agravado para todos los supuestos de amenazas, condicionales o
incondicionales, de males constitutivos de delito.
• Artículo 171. «1. Las amenazas de un mal que no constituya delito serán castigadas con
pena de prisión de tres meses a un año o multa de seis a 24 meses, atendidas la gravedad y
circunstancia del hecho, cuando la amenaza fuere condicional y la condición no consistiere en
una conducta debida. Si el culpable hubiere conseguido su propósito se le impondrá la pena en su
mitad superior.
2. Si alguien exigiere de otro una cantidad o recompensa bajo la amenaza de revelar o
difundir hechos referentes a su vida privada o relaciones familiares que no sean públicamente
conocidos y puedan afectar a su fama, crédito o interés, será castigado con la pena de prisión de
dos a cuatro años, si ha conseguido la entrega de todo o parte de lo exigido, y con la de cuatro
meses a dos años, si no lo consiguiere». Comúnmente conocido como «CHANTAJE». Se trata en
todo caso de una amenaza condicional de un mal no constitutivo de delito. Ahora bien, aquí no se
exige expresamente que la difusión o revelación sea ilícita, bastando que se trate de hechos
referentes a su vida privada, públicamente desconocidos y que pueden afectar a su fama, crédito o
interés.
«3. Si el hecho descrito en el apartado anterior consistiere en la amenaza de revelar o
denunciar la comisión de algún delito, el ministerio fiscal podrá, para facilitar el castigo de
la amenaza, abstenerse de acusar por el delito cuya revelación se hubiere amenazado, salvo que
este estuviere castigado con pena de prisión superior a dos años. En este último caso, el juez o
tribunal podrá rebajar la sanción en uno o dos grados». REGLA DE NATURALEZA
PROCESAL AMPARADA EN EL PRINCIPIO DE OPORTUNIDAD.
«4. El que de modo leve amenace a quien sea o haya sido su esposa, o mujer que esté o
www.elrincondelpolicia.com página 11 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
haya estado ligada a él por una análoga relación de afectividad aun sin convivencia,
será castigado con la pena de prisión de seis meses a un año o de trabajos en beneficio de la
comunidad de treinta y uno a ochenta días y, en todo caso, privación del derecho a la tenencia y
porte de armas de un año y un día a tres años, así como, cuando el juez o tribunal lo estime
adecuado al interés del menor o persona con discapacidad necesitada de especial protección,
inhabilitación especial para el ejercicio de la patria potestad, tutela, curatela, guarda o acogimiento
hasta cinco años. Igual pena se impondrá al que de modo leve amenace a una persona
especialmente vulnerable que conviva con el autor.
5. El que de modo leve amenace con armas u otros instrumentos peligrosos a alguna
de las personas a las que se refiere el artículo 173.2, exceptuadas las contempladas en el apartado
anterior de este artículo, será castigado con la pena de prisión de tres meses a un año o trabajos en
beneficio de la comunidad de treinta y uno a ochenta días y, en todo caso, privación del derecho a
la tenencia y porte de armas de uno a tres años, así como, cuando el juez o tribunal lo estime
adecuado al interés del menor o persona con discapacidad necesitada de especial protección,
inhabilitación especial para el ejercicio de la patria potestad, tutela, curatela, guarda o acogimiento
por tiempo de seis meses a tres años (…).
7. Fuera de los casos anteriores, el que de modo leve amenace a otro será castigado con la
pena de multa de uno a tres meses. Este hecho solo será perseguible mediante denuncia de la
persona agraviada o de su representante legal».
• Artículo 172 ter. Acoso. «Será castigado con la pena de prisión de tres meses a dos años o multa
de seis a veinticuatro meses el que acose a una persona llevando a cabo de forma insistente y
reiterada, y sin estar legítimamente autorizado, alguna de las conductas siguientes y, de este modo,
altere gravemente el desarrollo de su vida cotidiana:
1.ª La vigile, la persiga o busque su cercanía física.
2.ª Establezca o intente establecer contacto con ella a través de cualquier medio de
comunicación, o por medio de terceras personas.
3.ª Mediante el uso indebido de sus datos personales, adquiera productos o mercancías, o
contrate servicios, o haga que terceras personas se pongan en contacto con ella.
4.ª Atente contra su libertad o contra su patrimonio, o contra la libertad o patrimonio de
otra persona próxima a ella.
Si se trata de una persona especialmente vulnerable por razón de su edad, enfermedad o situación,
se impondrá la pena de prisión de seis meses a dos años.
Cuando el ofendido fuere alguna de las personas a las que se refiere el apartado 2 del artículo 173,
se impondrá una pena de prisión de uno a dos años, o trabajos en beneficio de la comunidad de
sesenta a ciento veinte días. En este caso no será necesaria la denuncia a que se refiere el apartado
4 de este artículo».
(2). Pornografía infantil. Entre los delitos relativos a la prostitución al utilizar a menores o incapaces
con fines exhibicionistas o pornográficos.
• De los abusos y agresiones sexuales a menores de dieciséis años (cap. II bis, tít. VIII,
libro II CP): Artículo 183.ter. «1. El que a través de internet, del teléfono o de cualquier otra
tecnología de la información y la comunicación contacte con un menor de dieciséis años y
proponga concertar un encuentro con el mismo a fin de cometer cualquiera de los delitos abuso
o agresión sexual, siempre que tal propuesta se acompañe de actos materiales encaminados
al acercamiento, será castigado con la pena de uno a tres años de prisión o multa de doce a
veinticuatro meses, sin perjuicio de las penas correspondientes a los delitos en su caso cometidos.
2. El que a través de internet, del teléfono o de cualquier otra tecnología de la
información y la comunicación contacte con un menor de dieciséis años y realice actos
dirigidos a embaucarle para que le facilite material pornográfico o le muestre imágenes
pornográficas en las que se represente o aparezca un menor, será castigado con una pena de
prisión de seis meses a dos años».
El consentimiento libre del menor de dieciséis años excluirá la responsabilidad penal por estos
delitos, cuando el autor sea una persona próxima al menor por edad y grado de desarrollo o
madurez.
www.elrincondelpolicia.com página 12 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
• De los delitos de exhibicionismo y provocación sexual:
• Artículo 185. El que ejecutare o hiciere ejecutar a otra persona actos de exhibición obscena
ante menores de edad o personas con discapacidad necesitadas de especial protección, será
castigado con la pena de prisión de seis meses a un año o multa de 12 a 24 meses.
• Artículo 186. El que, por cualquier medio directo, vendiere, difundiere o exhibiere material
pornográfico entre menores de edad o personas con discapacidad necesitadas de especial
protección, será castigado con la pena de prisión de seis meses a un año o multa de 12 a 24
meses.
• Artículo 188. «1. El que induzca, promueva, favorezca o facilite la prostitución de un menor de
edad o una persona con discapacidad necesitada de especial protección, o se lucre con ello, o
explote de algún otro modo a un menor o a una persona con discapacidad para estos fines, será
castigado con las penas de prisión de dos a cinco años y multa de doce a veinticuatro meses. Si
la víctima fuera menor de dieciséis años, se impondrá la pena de prisión de cuatro a ocho años
y multa de doce a veinticuatro meses».
«3. Se impondrán las penas superiores en grado a las previstas en los apartados anteriores, en
sus respectivos casos, cuando concurra alguna de las siguientes circunstancias:
a) Cuando la víctima sea especialmente vulnerable, por razón de su edad, enfermedad,
discapacidad o situación.
b) Cuando, para la ejecución del delito, el responsable se haya prevalido de una relación de
superioridad o parentesco, por ser ascendiente, descendiente o hermano, por naturaleza o
adopción, o afines, con la víctima.
c) Cuando, para la ejecución del delito, el responsable se hubiera prevalido de su condición de
autoridad, agente de esta o funcionario público. En este caso se impondrá, además, una
pena de inhabilitación absoluta de seis a doce años.
d) Cuando el culpable hubiere puesto en peligro, de forma dolosa o por imprudencia grave, la
vida o salud de la víctima.
e) Cuando los hechos se hubieren cometido por la actuación conjunta de dos o más personas.
f) Cuando el culpable perteneciere a una organización o asociación, incluso de carácter
transitorio, que se dedicare a la realización de tales actividades.
4. El que solicite, acepte u obtenga, a cambio de una remuneración o promesa, una relación
sexual con una persona menor de edad o una persona con discapacidad necesitada de especial
protección, será castigado con una pena de uno a cuatro años de prisión. Si el menor no
hubiera cumplido dieciséis años de edad, se impondrá una pena de dos a seis años de prisión.
5. Las penas señaladas se impondrán en sus respectivos casos sin perjuicio de las que
correspondan por las infracciones contra la libertad o indemnidad sexual cometidas sobre los
menores y personas con discapacidad necesitadas de especial protección».
• Artículo 189. «1. Será castigado con la pena de prisión de uno a cinco años:
a) El que captare o utilizare a menores de edad o a personas con discapacidad necesitadas de
especial protección con fines o en espectáculos exhibicionistas o pornográficos, tanto
públicos como privados, o para elaborar cualquier clase de material pornográfico,
cualquiera que sea su soporte, o financiare cualquiera de estas actividades o se lucrare con
ellas.
b) El que produjere, vendiere, distribuyere, exhibiere, ofreciere o facilitare la producción,
venta, difusión o exhibición por cualquier medio de pornografía infantil o en cuya
elaboración hayan sido utilizadas personas con discapacidad necesitadas de especial
protección, o lo poseyere para estos fines, aunque el material tuviere su origen en el
extranjero o fuere desconocido.
discapacidad necesitada de especial protección participando en una conducta sexualmente
explícita, real o simulada.
b) Toda representación de los órganos sexuales de un menor o persona con discapacidad
necesitada de especial protección con fines principalmente sexuales.
c) Todo material que represente de forma visual a una persona que parezca ser un menor
participando en una conducta sexualmente explícita, real o simulada, o cualquier
representación de los órganos sexuales de una persona que parezca ser un menor, con fines
principalmente sexuales, salvo que la persona que parezca ser un menor resulte tener en
realidad dieciocho años o más en el momento de obtenerse las imágenes.
d) Imágenes realistas de un menor participando en una conducta sexualmente explícita o
imágenes realistas de los órganos sexuales de un menor, con fines principalmente sexuales.
2. Serán castigados con la pena de prisión de cinco a nueve años los que realicen los actos
previstos en el apartado 1 de este artículo cuando concurra alguna de las circunstancias
siguientes:
a) Cuando se utilice a menores de dieciséis años.
b) Cuando los hechos revistan un carácter particularmente degradante o vejatorio.
c) Cuando el material pornográfico represente a menores o a personas con discapacidad
necesitadas de especial protección que sean víctimas de violencia física o sexual.
d) Cuando el culpable hubiere puesto en peligro, de forma dolosa o por imprudencia grave, la
vida o salud de la víctima.
e) Cuando el material pornográfico fuera de notoria importancia.
f) Cuando el culpable perteneciere a una organización o asociación, incluso de carácter
transitorio, que se dedicare a la realización de tales actividades.
g) Cuando el responsable sea ascendiente, tutor, curador, guardador, maestro o cualquier otra
persona encargada, de hecho, aunque fuera provisionalmente, o de derecho, del menor o
persona con discapacidad necesitada de especial protección, o se trate de cualquier otro
miembro de su familia que conviva con él o de otra persona que haya actuado abusando de
su posición reconocida de confianza o autoridad.
h) Cuando concurra la agravante de reincidencia».
«5. El que para su propio uso adquiera o posea pornografía infantil o en cuya elaboración
se hubieran utilizado personas con discapacidad necesitadas de especial protección, será
castigado con la pena de tres meses a un año de prisión o con multa de seis meses a dos años.
La misma pena se impondrá a quien acceda a sabiendas a pornografía infantil o en cuya
elaboración se hubieran utilizado personas con discapacidad necesitadas de especial
protección, por medio de las tecnologías de la información y la comunicación.
6. El que tuviere bajo su potestad, tutela, guarda o acogimiento a un menor de edad o una
persona con discapacidad necesitada de especial protección y que, con conocimiento de su
estado de prostitución o corrupción, no haga lo posible para impedir su continuación en tal
estado, o no acuda a la autoridad competente para el mismo fin si carece de medios para la
custodia del menor o persona con discapacidad necesitada de especial protección, será
castigado con la pena de prisión de tres a seis meses o multa de seis a doce meses».
• Artículo 191. DELITOS SEMIPRIVADOS. «1. Para proceder por los delitos de agresiones,
acoso o abusos sexuales, será precisa denuncia de la persona agraviada, de su representante
legal o querella del Ministerio Fiscal, que actuará ponderando los legítimos intereses en
presencia. Cuando la víctima sea menor de edad, persona con discapacidad necesitada de
especial protección o una persona desvalida, bastará la denuncia del Ministerio Fiscal.
2. En estos delitos el perdón del ofendido o del representante legal no extingue la acción penal
ni la responsabilidad de esa clase».
(3). Ataques contra el derecho a la intimidad: delito de descubrimiento y revelación de secretos
mediante el apoderamiento y difusión de datos reservados registrados en ficheros o soportes
informáticos. (Artículos del 197 al 201 del Código Penal).
• Art. 197. «1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin
su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o
www.elrincondelpolicia.com página 14 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice
artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen,
o de cualquier otra señal de comunicación.
2. (…) El que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero,
datos reservados de carácter personal o familiar de otro, que se hallen registrados en
ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo
de archivo o registro público o privado, y quien, sin estar autorizado, acceda por cualquier
medio a los mismos y o los altere o utilice en perjuicio del titular de los datos o de un tercero.
Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros
los datos o hechos descubiertos o las imágenes captadas».
«7. Será castigado con una pena de prisión de tres meses a un año o multa de seis a doce meses
el que, sin autorización de la persona afectada, difunda, revele o ceda a terceros imágenes o
grabaciones audiovisuales de aquella que hubiera obtenido con su anuencia en un domicilio o
en cualquier otro lugar fuera del alcance de la mirada de terceros, cuando la divulgación
menoscabe gravemente la intimidad personal de esa persona.
La pena se impondrá en su mitad superior cuando los hechos hubieran sido cometidos por el
cónyuge o por persona que esté o haya estado unida a él por análoga relación de afectividad,
aun sin convivencia, la víctima fuera menor de edad o una persona con discapacidad
necesitada de especial protección, o los hechos se hubieran cometido con una finalidad
lucrativa».
Es el denominado delito de «sexting»; el primer requisito de este nuevo tipo penal
introducido por la LO 1/2015, es la falta de autorización de la persona afectada, en este caso la
víctima o sujeto pasivo del delito. El propio tipo establece que las imágenes o grabaciones
audiovisuales han sido obtenidas con el consentimiento de la propia víctima, lo que no da
derecho a libre difusión de dicho material por parte del sujeto activo. Se trata de un delito
perseguible a instancia de parte.
La difusión, revelación o cesión de esas imágenes o grabaciones audiovisuales a terceros puede
realizarse de diferentes maneras, y más hoy en día con la influencia de las redes sociales, a
través de internet, mediante mail, SMS y aplicaciones de mensajería instantánea tipo
WhatsApp, Skype y similares y los propios MMS, lo que no da derecho a la libre difusión de
dicho material por parte del sujeto activo.
• Art. 197.bis. «1. El que por cualquier medio o procedimiento, vulnerando las medidas de
seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a
otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en
contra de la voluntad de quien tenga el legítimo derecho a excluirlo.
2. El que mediante la utilización de artificios o instrumentos técnicos, y sin estar
debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se
produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones
electromagnéticas de los mismos».
• Art. 197.ter. «(…) El que, sin estar debidamente autorizado, produzca, adquiera para su uso,
importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de
alguno de los delitos anteriores:
a) Un programa informático, concebido o adaptado principalmente para cometer dichos
delitos; o
b) Una contraseña de ordenador, un código de acceso o datos similares que permitan
acceder a la totalidad o a una parte de un sistema de información».
• Art. 199. «1. El que revelare secretos ajenos, de los que tenga conocimiento por razón de su
oficio o sus relaciones laborales (…).
2. El profesional que, con incumplimiento de su obligación de sigilo o reserva,
divulgue los secretos de otra persona, será castigado con la pena de prisión de uno a cuatro
años, multa de doce a veinticuatro meses e inhabilitación especial para dicha profesión por
tiempo de dos a seis años».
• Art. 200. «Lo dispuesto en este capítulo será aplicable al que descubriere, revelare o cediere
www.elrincondelpolicia.com página 15 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
datos reservados de personas jurídicas, sin el consentimiento de sus representantes, salvo lo
dispuesto en otros preceptos de este Código».
(4). Delitos contra el honor: calumnias e injurias. Cuando se propaguen por cualquier medio de
eficacia semejante a la imprenta o la radiodifusión (art. 205 y ss. CP).
• Artículo 205. Es calumnia la imputación de un delito hecha con conocimiento de su falsedad
o temerario desprecio hacia la verdad.
El acusado por delito de calumnia quedará exento de toda pena probando el hecho criminal
que hubiere imputado (art. 207).
• Artículo 208. Es injuria la acción o expresión que lesionan la dignidad de otra persona,
menoscabando su fama o atentando contra su propia estimación.
• Artículo 211. La calumnia y la injuria se reputarán hechas con publicidad cuando se
propaguen por medio de la imprenta, la radiodifusión o por cualquier otro medio de eficacia
semejante.
• Artículo 215. «1.Nadie será penado por calumnia o injuria sino en virtud de querella de la
persona ofendida por el delito o de su representante legal (DELITOS PRIVADOS). Se
procederá de oficio cuando la ofensa se dirija contra funcionario público, autoridad o agente de
la misma sobre hechos concernientes al ejercicio de sus cargos».
«3. El perdón del ofendido o de su representante legal, en su caso, extingue la acción penal sin
perjuicio de lo dispuesto en el segundo párrafo del número 5º del apartado 1 del artículo 130
de este Código». Establece este art. más concretamente que «el perdón habrá de ser otorgado
de forma expresa antes de que se haya dictado sentencia, a cuyo efecto el juez o tribunal
sentenciador deberá oír al ofendido por el delito antes de dictarla.
En los delitos contra menores o personas con discapacidad necesitadas de especial protección,
los jueces o tribunales, oído el Ministerio Fiscal, podrán rechazar la eficacia del perdón
otorgado por los representantes de aquéllos, ordenando la continuación del procedimiento, con
intervención del Ministerio Fiscal, o el cumplimiento de la condena.
Para rechazar el perdón a que se refiere el párrafo anterior, el juez o tribunal deberá oír
nuevamente al representante del menor o persona con discapacidad necesitada de especial
protección».
(5). Extorsión. Art. 243 CP. «El que, con ánimo de lucro, obligare a otro, con violencia o intimidación,
a realizar u omitir un acto o negocio jurídico en perjuicio de su patrimonio o del de un tercero, será
castigado con la pena de prisión de uno a cinco años, sin perjuicio de las que pudieran imponerse
por los actos de violencia física realizados».
(6). Fraudes informáticos. Delitos de estafa, administración desleal o apropiación indebida, a través
de la manipulación de datos o programas para la obtención de un lucro ilícito (art. 248 y ss. CP).
• Artículo 248. «1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante
para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio
o ajeno.
2. También se consideran reos de estafa:
a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o
artificio semejante, consigan una transferencia no consentida de cualquier activo
patrimonial en perjuicio de otro.
b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos
específicamente destinados a la comisión de las estafas previstas en este artículo.
c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes
en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular
o de un tercero».
• Artículo 252. «1. Serán punibles (…), los que teniendo facultades para administrar un
patrimonio ajeno, emanadas de la ley, encomendadas por la autoridad o asumidas mediante un
negocio jurídico, las infrinjan excediéndose en el ejercicio de las mismas y, de esa manera,
causen un perjuicio al patrimonio administrado».
• Artículo 253.1. «Serán castigados con las penas del art. 249 o, en su caso, del artículo 250,
salvo que ya estuvieran castigados con una pena más grave en otro precepto de este Código, los
www.elrincondelpolicia.com página 16 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
que, en perjuicio de otro, se apropiaren para sí o para un tercero, de dinero, efectos, valores o
cualquier otra cosa mueble, que hubieran recibido en depósito, comisión, o custodia, o que les
hubieran sido confiados en virtud de cualquier otro título que produzca la obligación de
entregarlos o devolverlos, o negaren haberlos recibido».
• Artículo 256. «1. El que hiciere uso de cualquier equipo terminal de telecomunicación, sin
consentimiento de su titular, y causando a este un perjuicio económico, será castigado con la
pena de multa de tres a doce meses. 2. Si la cuantía del perjuicio causado no excediere de 400
euros, se impondrá una pena de multa de uno a tres meses».
(7). Sabotajes informáticos. Delito de daños mediante la destrucción o alteración de datos,
programas o documentos electrónicos contenidos en redes o sistemas informáticos. (Artículo 263 y
ss. CP).
• Artículo 264. «1. El que por cualquier medio, sin autorización y de manera grave
borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos,
programas informáticos o documentos electrónicos ajenos, cuando el resultado producido
fuera grave, será castigado con la pena de prisión de seis meses a tres años.
2. Se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del
perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes
circunstancias:
1.ª Se hubiese cometido en el marco de una organización criminal.
2.ª Haya ocasionado daños de especial gravedad o afectado a un número elevado de
sistemas informáticos.
3.ª El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos
esenciales o la provisión de bienes de primera necesidad.
4.ª Los hechos hayan afectado al sistema informático de una infraestructura crítica o se
hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión
Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará
infraestructura crítica un elemento, sistema o parte de este que sea esencial para el
mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y
el bienestar económico y social de la población cuya perturbación o destrucción tendría
un impacto significativo al no poder mantener sus funciones.
5.ª El delito se haya cometido utilizando algún programa informático o una contraseña de
ordenador o código de acceso.
Si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en
grado.
3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su
mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos
personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la
confianza de un tercero».
• Artículo 264 bis. «1. Será castigado con la pena de prisión de seis meses a tres años el que, sin
estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de
un sistema informático ajeno:
a) Realizando alguna de las conductas a que se refiere el artículo anterior.
b) Introduciendo o transmitiendo datos, o
c) Destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático,
telemático o de almacenamiento de información electrónica».
cesionarios.
2. La misma pena se impondrá a quien, en la prestación de servicios de la sociedad de
la información, con ánimo de obtener un beneficio económico directo o indirecto, y en
perjuicio de tercero, facilite de modo activo y no neutral y sin limitarse a un tratamiento
meramente técnico, el acceso o la localización en internet de obras o prestaciones objeto de
propiedad intelectual sin la autorización de los titulares de los correspondientes derechos o de
sus cesionarios, en particular ofreciendo listados ordenados y clasificados de enlaces a las obras
y contenidos referidos anteriormente, aunque dichos enlaces hubieran sido facilitados
inicialmente por los destinatarios de sus servicios».
«5. Serán castigados en sus respectivos casos, quienes:
a) Exporten o almacenen intencionadamente ejemplares de las obras, producciones o
ejecuciones a que se refieren los dos primeros apartados de este artículo, incluyendo
copias digitales de las mismas, sin la referida autorización, cuando estuvieran destinadas
a ser reproducidas, distribuidas o comunicadas públicamente.
b) Importen intencionadamente estos productos sin dicha autorización, cuando estuvieran
destinados a ser reproducidos, distribuidos o comunicados públicamente, tanto si estos
tienen un origen lícito como ilícito en su país de procedencia; no obstante, la
importación de los referidos productos de un Estado perteneciente a la Unión Europea
no será punible cuando aquellos se hayan adquirido directamente del titular de los
derechos en dicho Estado, o con su consentimiento.
c) Favorezcan o faciliten la realización de las conductas a que se refieren los apartados 1 y
2 de este artículo eliminando o modificando, sin autorización de los titulares de los
derechos de propiedad intelectual o de sus cesionarios, las medidas tecnológicas eficaces
incorporadas por estos con la finalidad de impedir o restringir su realización.
d) Con ánimo de obtener un beneficio económico directo o indirecto, con la finalidad de
facilitar a terceros el acceso a un ejemplar de una obra literaria, artística o científica, o a
su transformación, interpretación o ejecución artística, fijada en cualquier tipo de
soporte o comunicado a través de cualquier medio, y sin autorización de los titulares de
los derechos de propiedad intelectual o de sus cesionarios, eluda o facilite la elusión de
las medidas tecnológicas eficaces dispuestas para evitarlo.
6. Será castigado también, quien fabrique, importe, ponga en circulación o posea con una
finalidad comercial cualquier medio principalmente concebido, producido, adaptado o
realizado para facilitar la supresión no autorizada o la neutralización de cualquier dispositivo
técnico que se haya utilizado para proteger programas de ordenador o cualquiera de las otras
obras, interpretaciones o ejecuciones en los términos previstos en los dos primeros apartados de
este artículo».
• Artículo 271. «Se impondrá la pena de prisión de dos a seis años, multa de dieciocho a treinta y
seis meses e inhabilitación especial para el ejercicio de la profesión relacionada con el delito
cometido, por un período de dos a cinco años, cuando se cometa el delito del artículo anterior
concurriendo alguna de las siguientes circunstancias:
a) Que el beneficio obtenido o que se hubiera podido obtener posea especial trascendencia
económica.
b) Que los hechos revistan especial gravedad, atendiendo el valor de los objetos producidos
ilícitamente, el número de obras, o de la transformación, ejecución o interpretación de
las mismas, ilícitamente reproducidas, distribuidas, comunicadas al público o puestas a
su disposición, o a la especial importancia de los perjuicios ocasionados.
c) Que el culpable perteneciere a una organización o asociación, incluso de carácter
transitorio, que tuviese como finalidad la realización de actividades infractoras de
derechos de propiedad intelectual.
d) Que se utilice a menores de 18 años para cometer estos delitos.
En cuanto a los delitos relativos al mercado y a los consumidores:
• Artículo 278. «1. El que, para descubrir un secreto de empresa se apoderare por cualquier
medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos que
se refieran al mismo, o empleare algún programa informático o una contraseña de ordenador,
www.elrincondelpolicia.com página 18 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
será castigado con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro
meses.
2. Se impondrá la pena de prisión de tres a cinco años y multa de doce a veinticuatro meses si
se difundieren, revelaren o cedieren a terceros los secretos descubiertos.
3. Lo dispuesto en el presente artículo se entenderá sin perjuicio de las penas que pudieran
corresponder por el apoderamiento o destrucción de los soportes informáticos.
• Artículo 279. «La difusión, revelación o cesión de un secreto de empresa llevada a cabo por
quien tuviere legal o contractualmente obligación de guardar reserva, se castigará con la pena
de prisión de dos a cuatro años y multa de doce a veinticuatro meses. Si el secreto se utilizara
en provecho propio, las penas se impondrán en su mitad inferior».
• Artículo 282. «Serán castigados con la pena de prisión de seis meses a un año o multa de 12 a
24 meses los fabricantes o comerciantes que, en sus ofertas o publicidad de productos o
servicios, hagan alegaciones falsas o manifiesten características inciertas sobre los mismos, de
modo que puedan causar un perjuicio grave y manifiesto a los consumidores, sin perjuicio de la
pena que corresponda aplicar por la comisión de otros delitos».
• Artículo 286. «1. Será castigado con las penas de prisión de seis meses a dos años y multa de
seis a 24 meses el que, sin consentimiento del prestador de servicios y con fines comerciales,
facilite el acceso inteligible a un servicio de radiodifusión sonora o televisiva, a servicios
interactivos prestados a distancia por vía electrónica, o suministre el acceso condicional a los
mismos, considerado como servicio independiente, mediante:
1.º La fabricación, importación, distribución, puesta a disposición por vía electrónica,
venta, alquiler, o posesión de cualquier equipo o programa informático, no autorizado
en otro Estado miembro de la Unión Europea, diseñado o adaptado para hacer posible
dicho acceso.
2.º La instalación, mantenimiento o sustitución de los equipos o programas informáticos
mencionados en el párrafo 1.º
2. Con idéntica pena será castigado quien, con ánimo de lucro, altere o duplique el número
identificativo de equipos de telecomunicaciones, o comercialice equipos que hayan sufrido
alteración fraudulenta.
3. A quien, sin ánimo de lucro, facilite a terceros el acceso descrito en el apartado 1, o por
medio de una comunicación pública, comercial o no, suministre información a una pluralidad
de personas sobre el modo de conseguir el acceso no autorizado a un servicio o el uso de un
dispositivo o programa, de los expresados en ese mismo apartado 1, incitando a lograrlos, se le
impondrá la pena de multa en él prevista.
4. A quien utilice los equipos o programas que permitan el acceso no autorizado a servicios de
acceso condicional o equipos de telecomunicación (…)».
• Artículo 286 bis. «1. El directivo, administrador, empleado o colaborador de una empresa
mercantil o de una sociedad que, por sí o por persona interpuesta, reciba, solicite o acepte un
beneficio o ventaja no justificados de cualquier naturaleza, para sí o para un tercero, como
contraprestación para favorecer indebidamente a otro en la adquisición o venta de mercancías,
o en la contratación de servicios o en las relaciones comerciales, será castigado con la pena de
prisión de seis meses a cuatro años, inhabilitación especial para el ejercicio de industria o
comercio por tiempo de uno a seis años y multa del tanto al triplo del valor del beneficio o
ventaja. 2.Con las mismas penas será castigado quien, por sí o por persona interpuesta,
prometa, ofrezca o conceda a directivos, administradores, empleados o colaboradores de una
empresa mercantil o de una sociedad, un beneficio o ventaja no justificados, de cualquier
naturaleza, para ellos o para terceros, como contraprestación para que le favorezca
indebidamente a él o a un tercero frente a otros en la adquisición o venta de mercancías,
contratación de servicios o en las relaciones comerciales».
«4. Lo dispuesto en este artículo será aplicable, en sus respectivos casos, a los directivos,
administradores, empleados o colaboradores de una entidad deportiva, cualquiera que sea la
forma jurídica de esta, así como a los deportistas, árbitros o jueces, respecto de aquellas
conductas que tengan por finalidad predeterminar o alterar de manera deliberada y
www.elrincondelpolicia.com página 19 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
fraudulenta el resultado de una prueba, encuentro o competición deportiva de especial
relevancia económica o deportiva».
(9). Falsedades. Concepto de documento como todo soporte material que exprese o incorpore datos.
Extensión de la falsificación de moneda a las tarjetas de débito y crédito. Fabricación o tenencia de
programas de ordenador para la comisión de delitos de falsedad (art. 386 y ss. CP).
• Art. 386. «1. Será castigado con la pena de prisión de ocho a doce años y multa del tanto al
décuplo del valor aparente de la moneda:
1.º El que altere la moneda o fabrique moneda falsa.
2.º El que introduzca en el país o exporte moneda falsa o alterada.
3.º El que transporte, expenda o distribuya moneda falsa o alterada con conocimiento de su
falsedad.
2. Si la moneda falsa fuera puesta en circulación se impondrá la pena en su mitad superior.
«3. El que habiendo recibido de buena fe moneda falsa la expenda o distribuya después de
constarle su falsedad (…)».
• Artículo 389. «El que falsificare o expendiere, en connivencia con el falsificador, sellos de
correos o efectos timbrados, o los introdujera en España conociendo su falsedad (…).
El adquirente de buena fe de sellos de correos o efectos timbrados que, conociendo
su falsedad, los distribuyera o utilizara (…)».
• Artículo 390. «1. Será castigado con las penas de prisión de tres a seis años, multa de seis a
veinticuatro meses e inhabilitación especial por tiempo de dos a seis años, la autoridad o
funcionario público que, en el ejercicio de sus funciones, cometa falsedad:
1.º Alterando un documento en alguno de sus elementos o requisitos de carácter esencial.
2.º Simulando un documento en todo o en parte, de manera que induzca a error sobre su
autenticidad.
3.º Suponiendo en un acto la intervención de personas que no la han tenido, o atribuyendo a
las que han intervenido en él declaraciones o manifestaciones diferentes de las que hubieran
hecho.
4.º Faltando a la verdad en la narración de los hechos».
• Artículo 393. «El que, a sabiendas de su falsedad, presentare en juicio o, para perjudicar a otro,
hiciere uso de un documento falso de los comprendidos en los artículos precedentes, será
castigado con la pena inferior en grado a la señalada a los falsificadores».
• Artículo 399 bis. «1. El que altere, copie, reproduzca o de cualquier otro modo falsifique
tarjetas de crédito o débito o cheques de viaje, será castigado con la pena de prisión de cuatro a
ocho años. Se impondrá la pena en su mitad superior cuando los efectos falsificados afecten a
una generalidad de personas o cuando los hechos se cometan en el marco de una organización
criminal dedicada a estas actividades (…).
2. La tenencia de tarjetas de crédito o débito o cheques de viaje falsificados destinados a la
distribución o tráfico será castigada con la pena señalada a la falsificación.
3. El que sin haber intervenido en la falsificación usare, en perjuicio de otro y a sabiendas de la
falsedad, tarjetas de crédito o débito o cheques de viaje falsificados será castigado con la pena
de prisión de dos a cinco años».
www.elrincondelpolicia.com página 20 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
anteriores, se castigarán con la pena señalada en cada caso para los autores».
2. PROTECCIÓN DE DATOS
Vivimos en la «Sociedad de la Información». Constantemente y a cada momento se tratan millones de
datos personales con o sin nuestro consentimiento. Nuestra información personal es esencial para que
funcionen muchos de los servicios de los que disponemos ya que, para pertenecer a una red social, poder
ir a un centro deportivo, viajar, hospedarse, recibir atención sanitaria, etc. es necesario que el que nos
ofrece el servicio disponga de nuestra información o datos personales. La posesión de esta puede estar
motivada por varios factores, el principal y más necesario puede ser la protección personal de cada
ciudadano, pero también se utilizan, por ejemplo, para datos estadísticos, espionajes, etc. En
consecuencia, toda esta información revela aspectos de nuestra personalidad tales como tendencias de
compra, gustos, qué hacemos, historial clínico, cómo somos, a dónde vamos, fotos, vídeos, etc.
El derecho fundamental a la protección de datos es la capacidad que tiene el ciudadano para disponer y
decidir sobre todas las informaciones que se refieran a él. Es un derecho reconocido en la Constitución
española y el Derecho europeo y protegido por la Ley Orgánica de Protección de Datos (LOPD) 15/1999
de 13 de diciembre y su Reglamento de desarrollo aprobado por RD 1720/2007, de 21 de diciembre y a
nivel europeo por el Reglamento (UE) 2016/679, de 27 de abril.
www.elrincondelpolicia.com página 21 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
Artículo 18 CE. «1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la
propia imagen.
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del
titular o resolución judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y
telefónicas, salvo resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y
familiar de los ciudadanos y el pleno ejercicio de sus derechos».
El primer párrafo de este precepto, cuenta ya con un contenido complejo, pues en él se protegen, en
primer lugar, el derecho al honor, en segundo lugar, el derecho a la intimidad, tanto personal como
familiar, y en tercer lugar el derecho a la propia imagen, derechos como veremos con rasgos comunes,
pero también con aspectos que permiten distinguir tres derechos diferenciados. En definitiva, y tal y como
ha señalado la STC 14/2003, son tres derechos autónomos y sustantivos, aunque estrechamente
vinculados entre sí, en tanto que derechos de la personalidad, derivados de la dignidad humana y
dirigidos a la protección del patrimonio moral de las personas.
a) El derecho al honor es el que ha gozado de protección por parte de nuestro ordenamiento de
manera tradicional, al configurar uno de los derechos clásicos de la personalidad y ha sido objeto
de una larga interpretación jurisprudencial, fruto de la cual se distinguen un aspecto inmanente y
otro trascendente del honor: el primero consiste en la estima que cada persona tiene de sí misma;
el segundo, por su parte, radica en el reconocimiento de los demás de nuestra dignidad (STS de
23 de marzo de 1987); se vincula así, pues, con la fama, con la opinión social.
Desde el punto de vista personal, por su parte, la afectación al honor habrá de valorarse teniendo
en cuenta la relevancia pública del personaje, su afectación a la vida profesional o a la privada, y
las circunstancias concretas en la que se produce (en un momento de acaloramiento o con
frialdad...) así como su repercusión exterior. Aunque el derecho en principio es un derecho de las
personas individualmente consideradas, cabe poner de relieve cómo el Tribunal Constitucional
reconoció el derecho a un pueblo o etnia, como es el caso del pueblo judío. Por otra parte,
también se admite que puedan ser titulares de este derecho, personas jurídico-privadas; negando
sin embargo, el carácter de derecho fundamental a personas jurídico-públicas.
b) El derecho a la intimidad se vincula a la esfera más reservada de las personas, al ámbito que
estas siempre preservan de las miradas ajenas, aquel que desea mantenerse oculto a los demás
por pertenecer a su esfera más privada, vinculada con la dignidad y el libre desarrollo de la
personalidad (art. 10.1 CE). De esta forma el derecho a un núcleo inaccesible de intimidad se
reconoce incluso a las personas más expuestas al público. La intimidad, de acuerdo con el propio
precepto constitucional, se reconoce no solo al individuo aisladamente considerado, sino también
al núcleo familiar.
Partiendo de estas premisas, conviene hacer algunas puntualizaciones: por una parte, al igual que
sucede con el honor, la extensión del derecho a la intimidad, se ve condicionada por el carácter
de la persona o el aspecto concreto de su vida que se ve afectado, de acuerdo también con las
circunstancias particulares del caso. Por otra, el Tribunal Constitucional ha interpretado en
alguna ocasión, que el alcance de la intimidad viene marcado por el propio afectado, no obstante
esta afirmación habrá que ponerla en relación con lo anterior pues, de lo contrario, el alcance del
derecho pondría en riesgo, por ejemplo, la libertad de información.
La referencia anterior no debe hacer creer que las únicas injerencias a la intimidad provienen de
excesos en las libertades de expresión o información, al contrario, la protección de este derecho
se muestra imprescindible también en el ámbito laboral, donde habrá que deslindar aquel
control idóneo, necesario y equilibrado de la actividad laboral, de aquellos otros que supongan
una injerencia en la intimidad de los trabajadores afectados injustificada o desproporcionada; o
en otros casos en los que existe una relación especial de sujeción, como acontece en el ámbito
penitenciario.
www.elrincondelpolicia.com página 22 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
En los últimos años ha cobrado una gran importancia la necesidad de protección de la intimidad
frente a determinados controles de carácter general, como son los que implican la utilización de
la videovigilancia por parte de las fuerzas y cuerpos de seguridad, desarrollada por la Ley
Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las
fuerzas y cuerpos de seguridad en lugares públicos.
Es preciso añadir finalmente, que en determinados supuestos, la intimidad cederá frente a otros
bienes jurídicamente protegibles como sucede, por ejemplo, en los supuestos de investigación de
la paternidad o la maternidad o de controles fiscales, siempre que estén justificados y resulten
proporcionales sobre la base de otros derechos u otros bienes jurídicamente protegidos de interés
general, como son los derechos de los hijos (art. 39 CE) o la garantía de una proporcionalidad
impositiva (art. 31CE).
c) El derecho a la propia imagen salvaguarda la proyección exterior de dicha imagen como
medio de evitar injerencias no deseadas, de velar por una determinada imagen externa o de
preservar nuestra imagen pública. Este derecho está íntimamente condicionado por la actividad
del sujeto, no solo en el sentido de que las personas con una actividad pública verán más
expuesta su imagen, sino también en el sentido de que la imagen podrá preservarse cuando se
desvincule del ámbito laboral propio.
Estos tres derechos podrán verse afectados, por tanto, de manera independiente, pero también, con
frecuencia, de forma conjunta, dada su evidente proximidad.
Estos derechos tienen su más inmediato riesgo, en el ejercicio de las libertades de expresión e información,
lo que llevará a que el ejercicio en la ponderación de bienes entre los derechos del artículo 18 y 20
constituyan un ejercicio habitual por parte de los operadores del derecho.
En una sociedad tecnológicamente avanzada como la actual, el secreto de las comunicaciones constituye
no solo una garantía de la libertad individual, sino un instrumento de desarrollo cultural, científico y
tecnológico colectivo.
La protección del derecho de las comunicaciones tiene una entidad propia, diferenciada de su vinculación
con el derecho a la intimidad, ya que las comunicaciones deberán resultar protegidas con independencia
de su contenido, esto es, ya se trate de comunicaciones de carácter íntimo o de otro género. En efecto,
según ha destacado la doctrina y la jurisprudencia, el art. 18.3 CE tiene un contenido puramente
formal, protegiendo tanto de las intromisiones de los poderes públicos como de los particulares.
Aunque en el art. 18.3 CE se mencionan solo las comunicaciones postales, telegráficas o telefónicas, dado
el carácter abierto de su enunciado, cabe entender comprendidas también otro tipo de comunicaciones
más actuales, como pueda ser el correo electrónico, chats u otros medios de comunicación, siempre que se
efectúen mediante algún artificio instrumental o técnico, pues la presencia de un elemento ajeno a
aquellos entre los que media el proceso de comunicación es indispensable para configurar el ilícito
constitucional del precepto; en consecuencia, el levantamiento del secreto por uno de los intervinientes no
se consideraría violación del art. 18.3 CE, sino, en su caso, vulneración del derecho a la intimidad.
Puede ser titular de este derecho, cualquier persona física o jurídica, ya sea nacional o extranjera.
En el Código Penal tienen cabida la tipificación de la interceptación de comunicaciones por parte
de particulares, personas físicas (art. 197) o jurídicas (art. 197 quinquies), citándose expresamente no
solo las postales y las telefónicas, sino también el correo electrónico.
Mención aparte merece la intervención efectuada por autoridad o funcionario público, fuera de los casos
permitidos por la ley y sin mediar causa por delito (art. 198 CP) o, incluso la autoridad, funcionario
público o agente de estos, que mediando causa por delito, interceptare las telecomunicaciones o utilizare
artificios técnicos de escuchas, transmisión, grabación o reproducción del sonido, de la imagen o de
cualquier otra señal de comunicación, con violación de las garantías constitucionales o legales, variando la
pena dependiendo de si ha divulgado o no la información obtenida (art. 536 Código penal).
La protección de este tipo de comunicaciones supone que no podrá interferirse o intervenirse la
comunicación de cualquier persona, salvo resolución judicial y con las garantías previstas. Sin embargo,
www.elrincondelpolicia.com página 23 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
en virtud del medio de comunicación elegido se presentan distintos matices.
En el caso de las comunicaciones postales, se garantiza el secreto de la comunicación, así como de
cualquier dato relativo al envío. Ahora bien, se entiende que la garantía de inviolabilidad se extenderá a
los paquetes postales que sean susceptibles de contener algo relativo a la intimidad de las personas, pero
no a aquellos que contengan mercancías. Este matiz se generaliza a partir de la STC núm. 281/2006, que
señala que el 18.3 de la CE no protege el secreto postal, sino el secreto de las comunicaciones postales, de
forma que, dentro del ámbito de este derecho fundamental no se incluyen todos los intercambios
realizados mediante servicio postal, sino solo los que supongan una forma concreta de comunicación.
El fundamento de esta excepción a la inviolabilidad es que el remitente acepta que el contenido del
paquete sea conocido por cualquiera (caso del paquete abierto o del paquete cuyo contenido puede
apreciarse por el simple examen exterior) o que el paquete sea abierto por las autoridades para el control
de su contenido (caso de la «etiqueta verde»), lo que implica inequívoca renuncia a hacer valer el derecho
al secreto de las comunicaciones.
La excepción respecto de los paquetes abiertos y de aquellos cuyo contenido puede conocerse con
precisión por el simple examen exterior se explica por sí sola. Más problemática es la cuestión de la
«etiqueta verde», distintivo que debe adherirse a ciertos envíos postales y cuya función es identificarlos
como sujetos a control aduanero. Su uso, por tanto, se ciñe a envíos postales que han de traspasar
fronteras estatales y no se extiende a los envíos que se realicen dentro del territorio del Estado.
En todo caso, cabe distinguir entre:
(1). Correspondencia. Como regla general, no está sujeta a control aduanero. Los envíos de
correspondencia que, por razón de su contenido, sí deban pasar el control de aduanas han de
identificarse mediante la etiqueta verde.
(2). Paquetes reducidos. Están sujetos siempre a control aduanero y deben llevar, por tanto, en todo
caso, la etiqueta verde.
(3). Paquetes postales. Están sujetos a control aduanero, pero no llevan etiqueta verde sino que se
exige que vayan acompañados de declaración de aduanas. En realidad, la etiqueta verde no es
otra cosa que un modelo simplificado o reducido de declaración de aduanas.
Los operadores postales deberán garantizar el secreto de las comunicaciones postales en la forma prevista
en la Ley 43/2010, de 30 de diciembre, del servicio postal universal, de los derechos de los usuarios y del
mercado postal y en su reglamento de desarrollo, aprobado por Real Decreto 1829/1999, de 3 de
diciembre, teniendo en cuenta que quedan derogados cuantos preceptos de esta norma contradigan lo
dispuesto en el Real Decreto 1298/2006, de 10 de noviembre, por el que se regula el acceso a la red
postal pública y se determina el procedimiento de resolución de conflictos entre operadores postales,
según establece su disposición derogatoria única.
En el ámbito penal, las garantías de la intervención se realizarán, conforme a lo establecido en el capítulo
III, del título VIII de la LeCrim, relativo a «la detención y apertura de la correspondencia escrita y
telegráfica».
El ordenamiento también prevé asimismo un supuesto de intervención de carácter civil, el relativo a la
intervención de las comunicaciones del concursado para salvaguardar la masa concursal, con garantía del
secreto de los contenidos que sean ajenos al interés del concurso, tal y como establece el art. 1.1 de la Ley
Orgánica 8/2003, de 9 de julio, para la reforma concursal.
La mayor incidencia del derecho garantizado por el art. 18.3 CE, la encontramos en las comunicaciones
telefónicas, donde se plantean distintos grados de posible vulneración del secreto de las comunicaciones:
intervención, grabación o recuento; es decir se admite la vulneración del derecho no solo cuando se
accede a lo comunicado, sino también cuando se conoce con quién o con qué número se comunica, e
incluso la duración de la comunicación, según ha puesto de relieve el TEDH o nuestro Tribunal
Constitucional, el cual, no obstante ha destacado «la menor intensidad de la injerencia» cuando no se
accede al contenido de la comunicación.
La regulación legal de las interceptaciones telefónicas la encontramos en el capítulo IV del título VIII de
la LeCrim., introducido por la LO 13/2015, de 5 de octubre, de modificación de la Ley de
Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas
de investigación tecnológica, y rubricado: «Disposiciones comunes a la interceptación de las
www.elrincondelpolicia.com página 24 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
comunicaciones telefónicas y telemáticas, la captación y grabación de comunicaciones orales
mediante la utilización de dispositivos electrónicos, la utilización de dispositivos técnicos de seguimiento,
localización y captación de la imagen, el registro de dispositivos de almacenamiento masivo de
información y los registros remotos sobre equipos informáticos».
El Real Decreto 424/2005, de 15 de abril, que aprueba el Reglamento sobre las condiciones para la
prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los
usuarios, regula en el capítulo II del título V, los aspectos relativos a la interceptación legal de las
comunicaciones, estableciendo, en particular, las obligaciones que se imponen a las empresas de
telecomunicación en relación con las intervenciones telefónicas, así como las exigencias en orden a afectar
mínimamente a la intimidad y a la obligación de confidencialidad por parte de los que llevan a cabo las
citadas intervenciones.
2.1.3. Informática
Es nuestra Constitución una de las primeras en introducir la protección de los datos frente al uso de la
informática, dado que es precisamente en los años de su redacción cuando comienzan a apreciarse los
peligros que puede entrañar el archivo y uso ilimitado de los datos informáticos.
En concreto, la STC 94/1988 señaló que nos encontramos ante un derecho fundamental a la protección
de datos por el que se garantiza a la persona el control sobre sus datos personales y su uso y destino, para
evitar el tráfico ilícito de los mismos o que sea lesivo para la dignidad y los derechos de los afectados; de
esta forma, el derecho a la protección de datos se configura como una facultad del ciudadano para
oponerse a que determinados datos personales sean usados para fines distintos a aquel que justificó su
obtención.
Este derecho se halla estrechamente vinculado con la libertad ideológica, pues evidentemente el
almacenamiento y la utilización de datos informáticos puede suponer un riesgo para aquella,
especialmente en lo que se refiere a determinados «datos sensibles», entre los que se pueden encontrar los
de carácter ideológico o religioso.
www.elrincondelpolicia.com página 25 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
personales o domésticas.
b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas.
c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de
delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará
previamente la existencia del mismo, sus características generales y su finalidad a la Agencia
española de Protección de Datos.
Establece asimismo el Reglamento de desarrollo de la LOPD, en relación con el ámbito objetivo de
aplicación, que no será aplicable lo dispuesto en este reglamento:
• A los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a
incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes
únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la
dirección postal o electrónica, teléfono y número de fax profesionales.
• A los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de
comerciantes, industriales o navieros.
• A los datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por
razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos
que contengan datos de este con la finalidad de notificar el fallecimiento, aportando acreditación
suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos.
Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por la
LOPD los siguientes tratamientos de datos personales:
a) Los ficheros regulados por la legislación de régimen electoral.
b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o
autonómica sobre la función estadística pública.
c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales
de calificación a que se refiere la legislación del régimen del personal de las fuerzas armadas.
d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes.
e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por
las fuerzas y cuerpos de seguridad, de conformidad con la legislación sobre la materia.
b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma
o modalidad de su creación, almacenamiento, organización y acceso. Estos ficheros pueden ser
de titularidad:
• Pública. Ficheros de los que sean responsables los órganos constitucionales, las
Administraciones públicas territoriales, así como las entidades u organismos vinculados o
dependientes de las mismas y las corporaciones de derecho público, siempre que su finalidad
sea el ejercicio de potestades de derecho público.
• Privada. Ficheros de los que sean responsables las personas, empresas o entidades de derecho
www.elrincondelpolicia.com página 26 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de
sus recursos económicos.
c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o
no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y
cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas,
interconexiones y transferencias.
d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o
privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
Esta decisión la podrá tomar solo o conjuntamente con otros.
e) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a
que se refiere el apartado c).
f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la
información que se obtenga no pueda asociarse a persona identificada o identificable.
g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o
cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta
del responsable del tratamiento. Todo ello como consecuencia de la existencia de una relación
jurídica que le vincula con el mismo, delimitando el ámbito de su actuación para la prestación de
un servicio.
h) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca,
específica e informada, mediante la que el interesado consienta el tratamiento de datos
personales que le conciernen.
i) Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta
del interesado.
j) Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por
cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el
abono de una contraprestación. Tienen la consideración de fuentes de acceso público,
exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su
normativa específica y las listas de personas pertenecientes a grupos de profesionales que
contengan únicamente los datos de nombre, título, profesión, actividad, grado académico,
dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de
acceso público los diarios y boletines oficiales y los medios de comunicación.
hubieran sido recabados o registrados. No obstante, podrán conservarse durante el tiempo en que pueda
exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de
un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado.
No serán conservados en forma que permita la identificación del interesado durante un período superior
al necesario para los fines en base a los cuales hubieran sido recabados o registrados, es decir, solo podrán
ser conservados previa disociación de los mismos.
Serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente
cancelados.
www.elrincondelpolicia.com página 28 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero
o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades
fundamentales del interesado.
El consentimiento otorgado por el afectado podrá ser revocado cuando exista causa justificada para
ello y no se le atribuyan efectos retroactivos.
El afectado podrá revocar su consentimiento a través de un medio sencillo, gratuito y que no implique
ingreso alguno para el responsable del fichero o tratamiento. En particular, se considerará ajustado al
reglamento el procedimiento en el que tal negativa pueda efectuarse, entre otros, mediante un envío
prefranqueado al responsable del tratamiento o la llamada a un número telefónico gratuito o a los
servicios de atención al público que el mismo hubiera establecido.
No se considerarán conformes a lo dispuesto en la LOPD, los supuestos en que el responsable establezca
como medio para que el interesado pueda manifestar su negativa al tratamiento, el envío de cartas
certificadas o envíos semejantes, la utilización de servicios de telecomunicaciones que implique una
tarificación adicional al afectado o cualesquiera otros medios que impliquen un coste adicional al
interesado.
En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de
carácter personal, y siempre que una ley no disponga lo contrario, este podrá oponerse a su tratamiento
cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto,
el responsable del fichero excluirá del tratamiento los datos relativos al afectado.
2.2.2.3.1. Consentimiento para el tratamiento de datos de menores de edad
Podrá procederse al tratamiento de los datos de los mayores de 14 años con su consentimiento, salvo
en aquellos casos en los que la ley exija para su prestación la asistencia de los titulares de la patria potestad
o tutela. En el caso de los menores de 14 años se requerirá el consentimiento de los padres o tutores.
En ningún caso podrán recabarse del menor datos que permitan obtener información sobre los demás
miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad
profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el
consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y
dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista.
Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos
deberá expresarse en un lenguaje que sea fácilmente comprensible por aquellos, con expresa indicación
de lo dispuesto en este artículo.
Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que
se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en
su caso, por los padres, tutores o representantes legales.
www.elrincondelpolicia.com página 29 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter
personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida
sexual.
Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas solo
podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos
en las respectivas normas reguladoras.
No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de
carácter personal relativos a afiliación sindical, religión, creencias, origen racial, salud y vida sexual,
cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la
prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre
que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por
otra persona sujeta asimismo a una obligación equivalente de secreto.
También podrán ser objeto de tratamiento estos datos, cuando el tratamiento sea necesario para
salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado
esté física o jurídicamente incapacitado para dar su consentimiento.
tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del
Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento
posterior de los datos con fines históricos, estadísticos o científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar
una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en
los términos establecidos en la legislación sobre sanidad estatal o autonómica.
Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando
la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos
cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.
El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de
revocable.
Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la
comunicación, a la observancia de las disposiciones de la LOPD.
Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los
apartados anteriores.
2.2.2.8.1. Acceso a los datos por cuenta de terceros
No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea
necesario para la prestación de un servicio al responsable del tratamiento.
La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá
constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido,
estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a
las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que
figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad de los datos, que el encargado del
tratamiento está obligado a implementar.
Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o
devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste
algún dato de carácter personal objeto del tratamiento. No procederá la destrucción de los datos cuando
exista una previsión legal que exija su conservación, en cuyo caso deberá procederse a la devolución de
los mismos garantizando el responsable del fichero dicha conservación.
El encargado del tratamiento conservará, debidamente bloqueados, los datos en tanto pudieran
derivarse responsabilidades de su relación con el responsable del tratamiento.
En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los
utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del
tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
www.elrincondelpolicia.com página 31 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
de datos, únicamente podrá tener valor probatorio a petición del afectado.
www.elrincondelpolicia.com página 32 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
Si la solicitud fuera estimada y el responsable no acompañase a su comunicación la información a la que
se refiere el art. 27.1 del RLOPD, el acceso se hará efectivo durante los 10 días siguientes a
dicha comunicación.
Dicha información comprenderá todos los datos de base del afectado, los resultantes de cualquier
elaboración o proceso informático, así como la información disponible sobre el origen de los datos, los
cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se
almacenaron los datos.
2.2.3.3.2. Derecho de rectificación y cancelación
El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser
inexactos o incompletos.
El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten ser
inadecuados o excesivos, sin perjuicio del deber de bloqueo correspondiente.
El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o
cancelación del interesado en el plazo de 10 días.
Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a
lo dispuesto en la LOPD y, en particular, cuando tales datos resulten inexactos o incompletos.
La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las
Administraciones públicas, jueces y tribunales, para la atención de las posibles responsabilidades nacidas
del tratamiento, durante el plazo de prescripción de estas. Cumplido el citado plazo deberá procederse a
la supresión.
Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del
tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el
caso de que se mantenga el tratamiento por este último, que deberá también proceder a la rectificación o
cancelación en el mismo plazo de diez días.
Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones
aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del
tratamiento y el interesado.
2.2.3.3.3. Derecho de oposición
El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de
carácter personal o se cese en el mismo en los siguientes supuestos:
a) Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la
concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo
justifique, siempre que una ley no disponga lo contrario.
b) Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad
y prospección comercial, en los términos previstos en el art. 51 del reglamento LOPD,
cualquiera que sea la empresa responsable de su creación.
c) Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y
basada únicamente en un tratamiento automatizado de sus datos de carácter personal, en los
términos previstos en el art. 36 del reglamento.
El responsable del fichero resolverá sobre la solicitud de oposición en el plazo máximo de 10 días a
contar desde la recepción de la solicitud.
rectificación o cancelación, podrá ponerlo en conocimiento de la Agencia española de Protección de
Datos o, en su caso, del organismo competente de cada comunidad autónoma, que deberá asegurarse de
la procedencia o improcedencia de la denegación.
El plazo máximo en que debe dictarse la resolución expresa de tutela de derechos será de 6 meses.
Contra las resoluciones de la Agencia española de Protección de Datos procederá recurso
contencioso-administrativo.
2.2.4. Ficheros de las fuerzas y cuerpos de seguridad (cap. I, título IV LOPD. Ficheros de
titularidad pública)
Los ficheros creados por las fuerzas y cuerpos de seguridad que contengan datos de carácter personal que,
por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos
al régimen general de la LOPD.
La recogida y tratamiento para fines policiales de datos de carácter personal por las fuerzas y cuerpos de
seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de
datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la
represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto,
que deberán clasificarse por categorías en función de su grado de fiabilidad.
La recogida y tratamiento por las fuerzas y cuerpos de seguridad de los datos que revelen la ideología,
afiliación sindical, religión y creencias así como los que hagan referencia al origen racial, a la salud y a la
vida sexual, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para
los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación
administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados
que corresponden a los órganos jurisdiccionales.
Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las
averiguaciones que motivaron su almacenamiento.
A estos efectos, se considerará especialmente la edad del afectado y el carácter de los datos almacenados,
la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la
resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de
responsabilidad.
www.elrincondelpolicia.com página 34 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
apartados anteriores podrá ponerlo en conocimiento del director de la Agencia española de Protección de
Datos o del organismo competente de cada comunidad autónoma en el caso de ficheros mantenidos por
cuerpos de Policía propios de estas, o por las Administraciones tributarias autonómicas, quienes deberán
asegurarse de la procedencia o improcedencia de la denegación.
www.elrincondelpolicia.com página 35 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación,
en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y
cancelación de datos.
b) Emitir las autorizaciones previstas en la ley o en sus disposiciones reglamentarias.
c) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas
para adecuar los tratamientos a los principios de la LOPD.
d) Atender las peticiones y reclamaciones formuladas por las personas afectadas.
e) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los
datos de carácter personal.
f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de estos, la
adopción de las medidas necesarias para la adecuación del tratamiento de datos a las
disposiciones de la LOPD y, en su caso, ordenar la cesación de los tratamientos y la cancelación
de los ficheros, cuando no se ajuste a sus disposiciones.
g) Ejercer la potestad sancionadora en los términos previstos por el título VII de la LOPD, referido
a las infracciones y sanciones.
h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen la
LOPD.
i) Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el
desempeño de sus funciones.
j) Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyo
efecto publicará periódicamente una relación de dichos ficheros con la información adicional
que el director de la Agencia determine.
k) Redactar una memoria anual y remitirla al Ministerio de Justicia.
l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos
internacionales de datos, así como desempeñar las funciones de cooperación internacional en
materia de protección de datos personales.
m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pública
establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las
instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos
con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere el art. 46.
n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.
Las resoluciones de la Agencia española de Protección de Datos se harán públicas, una vez hayan sido
notificadas a los interesados. La publicación se realizará preferentemente a través de medios informáticos
o telemáticos.
www.elrincondelpolicia.com página 36 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
h) Un representante de cada comunidad autónoma que haya creado una Agencia de Protección de
Datos en su ámbito territorial, propuesto de acuerdo con el procedimiento que establezca la
respectiva comunidad autónoma.
i) Un representante del sector de ficheros privados, para cuya propuesta se seguirá el
procedimiento que se regule reglamentariamente.
El funcionamiento del consejo consultivo se regirá por las normas reglamentarias que al efecto se
establezcan.
Los poderes de investigación en lo que se refiere a la entrada en domicilios deben ejercerse de
conformidad con las normas procesales, en particular, en los casos en los que sea precisa la autorización
judicial previa. Cuando se trate de órganos judiciales u Oficinas Judiciales el ejercicio de las facultades de
inspección se efectuará a través y por mediación del Consejo General del Poder Judicial.
www.elrincondelpolicia.com página 38 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los
siguientes ficheros o tratamientos de datos de carácter personal:
a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial,
salud o vida sexual.
b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las
personas afectadas.
c) Aquellos que contengan datos derivados de actos de violencia de género.
A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones
electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los
datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel
básico y medio, la medida de seguridad de nivel alto contenida en el art. 103, registro de
accesos.
En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen
racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel
básico cuando:
a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades
de las que los afectados sean asociados o miembros.
b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan
aquellos datos sin guardar relación con su finalidad.
También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o
tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad
o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del
cumplimiento de deberes públicos.
Las medidas incluidas en cada uno de los niveles descritos tienen la condición de mínimos exigibles,
sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes que pudieran resultar de
aplicación en cada caso o las que por propia iniciativa adoptase el responsable del fichero.
www.elrincondelpolicia.com página 39 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
www.elrincondelpolicia.com página 40 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
2.2.7. Régimen sancionador en materia de protección de datos (cap. II, RD-Ley 5/2018)
Las infracciones de las disposiciones Las infracciones de las disposiciones El incumplimiento de las resoluciones
siguientes se sancionarán, de acuerdo con siguientes se sancionarán, de acuerdo de la autoridad de control a tenor del
el apartado 2, con multas con el apartado 2, con multas artículo 58, apartado 2, se sancionará
administrativas de 10 000 000 EUR administrativas de 20 000 000 EUR de acuerdo con el apartado 2 del
como máximo o, tratándose de una como máximo o, tratándose de una presente artículo con multas
empresa, de una cuantía empresa, de una cuantía administrativas de 20 000 000
equivalente al 2 % como máximo equivalente al 4 % como máximo EUR como máximo o, tratándose de
del volumen de negocio total anual del volumen de negocio total anual una empresa, de una cuantía
global del ejercicio financiero anterior, global del ejercicio financiero anterior, equivalente al 4 % como
optándose por la de mayor cuantía: optándose por la de mayor cuantía: máximo del volumen de negocio
total anual global del ejercicio
a) las obligaciones del responsable y del a) los principios básicos para el financiero anterior, optándose por la
encargado a tenor de los artículos 8, 11, 25 tratamiento, incluidas las condiciones de mayor cuantía.
a 39, 42 y 43; para el consentimiento a tenor de los
artículos 5, 6, 7 y 9;
b) las obligaciones de los organismos de b) los derechos de los interesados a tenor
certificación a tenor de los artículos 42 y de los artículos 12 a 22;
43; c) las transferencias de datos personales a
un destinatario en un tercer país o una
c) las obligaciones de la autoridad de organización internacional a tenor de los
control a tenor del artículo 41, apartado 4. artículos 44 a 49;
www.elrincondelpolicia.com página 41 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
d) toda obligación en virtud del Derecho
de los Estados miembros que se adopte
con arreglo al capítulo IX;
e) el incumplimiento de una resolución o
de una limitación temporal o definitiva
del tratamiento o la suspensión de los
flujos de datos por parte de la autoridad
de control con arreglo al artículo 58,
apartado 2, o el no facilitar acceso en
incumplimiento del art. 58, apartado 1.
INFRACCIONES DE LAS ADMINISTRACIONES PÚBLICAS
Cuando las infracciones a que se refiere el art. 44 fuesen cometidas en ficheros de titularidad pública, o en relación con
tratamientos cuyos responsables lo serían de ficheros de dicha naturaleza, el órgano sancionador dictará una resolución
estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se
notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.
El órgano sancionador podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las
sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones públicas.
Se deberán comunicar al órgano sancionador las resoluciones que recaigan en relación con las medidas y actuaciones a que se
refieren los apartados anteriores.
El director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de
los apartados anteriores.
PRESCRIPCIÓN (artículo 5 y 6 RD Ley 5/2018)
Las infracciones previstas en el art. 83.6 del Reglamento (UE) Las sanciones por un importe superior a 300 000 euros
2016/679 prescribirán a los 3 años. prescriben a los 3 años.
Las infracciones previstas en el art. 83.5 del Reglamento (UE) Las sanciones por importe comprendido entre 40 001 y 300
2016/679 prescribirán a los 3años. 000 euros prescriben a los 2 años.
Las infracciones previstas en el art. 83.4 Reglamento (UE) Las sanciones por importe igual o inferior a 40 000 euros,
2016/679 prescribirán a los 2 años. prescriben en el plazo de 1 año.
Interrumpirá la prescripción la iniciación, con conocimiento El plazo de prescripción de las sanciones comenzará a contarse
del interesado, del procedimiento sancionador, reiniciándose el desde el día siguiente a aquel en que sea ejecutable la
plazo de prescripción si el expediente sancionador estuviere resolución por la que se impone la sanción o haya transcurrido
paralizado durante más de seis meses por causas no imputables el plazo para recurrirla.
al presunto infractor.
La prescripción se interrumpirá por la iniciación, con
Cuando la Agencia Española de Protección de Datos ostente la conocimiento del interesado, del procedimiento de ejecución,
condición de autoridad de control principal y deba seguirse el volviendo a transcurrir el plazo si el mismo está paralizado
procedimiento previsto en el artículo 60 del Reglamento (UE) durante más de seis meses por causa no imputable al infractor.
2016/679 interrumpirá la prescripción el conocimiento formal
por el interesado del proyecto de acuerdo de inicio que sea
sometido a las autoridades de control interesadas.
www.elrincondelpolicia.com página 42 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
otro Estado miembro de la Unión Europea de la reclamación formulada ante la
misma, cuando la Agencia Española de Protección de Datos tuviese la condición de autoridad
de control principal para la tramitación de un procedimiento conforme a lo dispuesto en los arts.
56 y 60 del Reglamento (UE) 2016/679:
- Si el procedimiento se refiere a la falta de atención de una solicitud de ejercicio de los
derechos establecidos en los arts. 15 a 22 del Reglamento (UE) 2016/679.
- Si el procedimiento tiene por objeto la determinación de la posible existencia de una
infracción de lo dispuesto en el Reglamento (UE) 2016/679.
El procedimiento tendrá una duración máxima de 9 meses a contar desde la fecha del
acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese plazo se
producirá su caducidad, y en consecuencia, el archivo de actuaciones.
Los plazos de tramitación, así como los plazos de admisión a trámite (art. 9) y los de las actuaciones
previas de investigación (art. 11), quedarán automáticamente suspendidos cuando deba recabarse
información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de
la UE o de una o varias autoridades de control de los Estados miembros, por el tiempo que medie entre la
solicitud y la notificación del pronunciamiento a la Agencia Española de Protección de Datos.
2.2.7.2.2. Admisión a trámite de las reclamaciones
Cuando se presentase ante la Agencia Española de Protección de Datos una reclamación, esta
deberá evaluar su admisibilidad a trámite.
- Inadmitirá las reclamaciones presentadas cuando no versen sobre cuestiones de protección de datos de
carácter personal, carezcan de fundamento, sean abusivas o no aporten indicios racionales de la existencia
de una infracción.
- Podrá inadmitir la reclamación cuando el responsable del tratamiento, previa advertencia formulada
por la Agencia, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible
incumplimiento de la legislación de protección de datos y concurra alguna de las siguientes circunstancias:
a) Que no se haya causado perjuicio al afectado.
b) Que el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas.
Antes de resolver sobre la admisión a trámite de la reclamación:
- La Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección
de datos para la aplicación de los códigos de conducta, a fin de que den respuesta a la reclamación en el
plazo de 1 mes.
- La Agencia Española de Protección de Datos podrá remitir la misma al responsable o
encargado del tratamiento cuando no se hubiera designado un delegado de protección de
datos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación también en el
plazo de 1 mes.
La admisión o inadmisión a trámite, deberá notificarse al reclamante en el plazo de tres meses.
Si, transcurrido este plazo, no se produjera dicha notificación, se entenderá que prosigue la tramitación.
2.2.7.2.3. Determinación del alcance territorial
Salvo en los supuestos a los que se refiere el art.8.3 del RD Ley 5/2018, la Agencia Española de
Protección de Datos deberá determinar el carácter nacional o transfronterizo del procedimiento a seguir.
Si la Agencia considera que no tiene la condición de autoridad para la tramitación del procedimiento
remitirá, sin más trámite, la reclamación formulada a la Autoridad de control principal.
2.2.7.2.4. Actuaciones previas de investigación
Antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación
si la hubiese, la Agencia Española de Protección de Datos podrá llevar a cabo actuaciones previas de
investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la
tramitación del procedimiento. Las actuaciones previas se someterán a lo dispuesto en el capítulo I y no
podrán tener una duración superior a 12 meses a contar desde la fecha del acuerdo de admisión
a trámite o de la fecha del acuerdo por el que se decida su iniciación
www.elrincondelpolicia.com página 43 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
2.2.7.2.5. Acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora
Corresponde al Director de la Agencia Española de Protección de Datos, cuando así proceda, dictar
acuerdo de inicio de procedimiento para el ejercicio de la potestad sancionadora, en que se concretarán
los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la infracción
que hubiera podido cometerse y su posible sanción.
Si la Agencia Española de Protección de Datos ostente la condición de autoridad de control principalà
procedimiento previsto en el art. 60 del Reglamento (UE) 2016/679.
2.2.7.2.6. Medidas provisionales
Durante la realización de las actuaciones previas de investigación o iniciado un procedimiento para el
ejercicio de la potestad sancionadora, la Agencia Española de Protección de Datos podrá acordar
motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho
fundamental a la protección de datos.
Si la continuación del tratamiento de los datos de carácter personal, un menoscabo grave del derecho a la
protección de datos de carácter personal, podrá ordenar a los responsables o encargados de los
tratamientos el bloqueo de los datos y la cesación de su tratamiento y, caso de incumplirse por estos
dichos mandatos, proceder a su inmovilización.
Si se presenta una reclamación referida a la falta de atención en plazo de los derechos establecidos en los
arts. 15 a 22 del Reglamento (UE) 2016/679, la Agencia Española de Protección de Datos podrá acordar
en cualquier momento, (incluso antes de la iniciación del procedimiento) mediante resolución motivada y
previa audiencia del responsable del tratamiento, la obligación de atender el derecho solicitado,
prosiguiéndose el procedimiento en cuanto al resto de las cuestiones objeto de la reclamación.
2.2.7.2.7. Procedimiento en relación con las competencias atribuidas a la Agencia Española de Protección de Datos por otras
leyes
Lo dispuesto será de aplicación a los procedimientos que la Agencia Española de Protección de Datos
hubiera de tramitar en ejercicio de las competencias que le fueran atribuidas por otras leyes.
www.elrincondelpolicia.com página 44 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las
acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la
Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus
datos personales.
En todo caso, esta novedad supone una garantía adicional a los ciudadanos europeos.
En cuanto a las herramientas de control que poseen los ciudadanos con respecto a sus datos personales, el
reglamento general introduce nuevos elementos, como son el derecho de supresión («derecho al
olvido»), derecho a la limitación y el derecho a la portabilidad, que mejoran la capacidad de
decisión y control de los ciudadanos sobre los datos personales que confían a terceros.
El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a
solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando,
entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se
haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.
El derecho a la limitación del tratamiento, supone que el interesado tendrá derecho a obtener una
limitación del tratamiento de sus datos siempre que el interesado haya ejercido los derechos de
rectificación u oposición y el responsable está en proceso de determinar si procede atender a la solicitud,
cuando el tratamiento es ilícito, lo que determinaría el borrado de los datos, pero el interesado se opone a
ello o si los datos ya no son necesarios para el tratamiento, que también determinaría su borrado, pero el
interesado solicita la limitación porque los necesita para la formulación, el ejercicio o la defensa de
reclamaciones.
Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus
datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos
datos en un formato que le permita su traslado a otro responsable. Cuando ello sea
técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable
designado por el interesado.
2.3.3. Consentimiento
Una de las bases fundamentales para tratar datos personales es el consentimiento. El reglamento exige
que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para cumplir
con esta última característica del consentimiento, el reglamento requiere que haya una declaración de los
interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede
deducirse del silencio o de la inacción de los ciudadanos.
Las empresas deberían revisar cómo obtienen y registran el consentimiento actualmente, pues lo que
conocemos como «consentimiento tácito», aceptado bajo la actual normativa, dejará de serlo cuando el
reglamento sea de aplicación.
Además de los requisitos anteriores, el reglamento también prevé que el consentimiento haya de ser
explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un
requisito todavía más estricto, ya que el consentimiento no podrá entenderse como concedido
implícitamente mediante algún tipo de acción positiva.
Hay que advertir que el consentimiento tiene que ser verificable y que quienes recaben datos personales
tienen que poder demostrar que el afectado les otorgó su consentimiento.
www.elrincondelpolicia.com página 45 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
En el caso de las empresas que recaben datos personales de menores, es importante advertir que el
consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que
los menores puedan entender.
Uno de los aspectos importantes del reglamento es que se basa en la prevención por parte de las
organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas
tienen que adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los
principios, derechos y garantías que el reglamento establece. El reglamento entiende como insuficiente la
estrategia de actuar solo cuando ya se ha producido una infracción, puesto que dicha infracción puede
causar daños a los interesados, que pueden ser muy difíciles de reparar. Con el fin de prevenir las
infracciones, el reglamento prevé determinadas medidas a tener en cuenta:
(1). Protección de datos desde el diseño.
(2). Protección de datos por defecto.
(3). Medidas de seguridad.
(4). Mantenimiento de un registro de tratamientos.
(5). Realización de evaluaciones de impacto sobre la protección de datos.
(6). Nombramiento de un delegado de protección de datos o DPO.
(7). Notificación de violaciones de la seguridad de los datos.
(8). Promoción de códigos de conducta y esquemas de certificación.
A este respecto, el reglamento general supone un mayor compromiso por parte de las organizaciones, ya
sean públicas o privadas, con la protección de datos.
En todos los casos, el reglamento prevé que la obligación de estas medidas, o el modo en que se vayan a
aplicar, va a depender de factores tales como el tipo de tratamiento, los costes de implantación de las
medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos.
Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus
tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo.
2.3.5. Mecanismo de ventanilla única
El mecanismo de ventanilla única es un sistema pensado para que los responsables establecidos en
varios Estados miembros o que, estando en un solo Estado miembro, hagan tratamientos que afecten
significativamente a ciudadanos en varios Estados de la UE, tengan una única autoridad de
protección de datos como interlocutora. Esto implica que cada autoridad de protección de datos
europea, en lugar de analizar una denuncia o autorizar un tratamiento a nivel estrictamente nacional, a
partir de la aplicación del reglamento valorará si el supuesto tiene carácter transfronterizo, en cuyo caso
habrá que abrir un procedimiento de cooperación entre todas las autoridades afectadas,
buscando una solución aceptable para todas ellas. Si hay discrepancias insalvables, el caso puede elevarse
al Comité Europeo de Protección de Datos, organismo de la Unión integrado por los directores de
todas las autoridades de protección de datos de la Unión (creado por este reglamento), el cual resolverá la
controversia o discrepancia mediante decisiones vinculantes para las autoridades implicadas.
La ventanilla única, en todo caso, no afectará a empresas que solo estén en un Estado miembro y que
realicen tratamientos que afecten únicamente a interesados en ese Estado.
Las normas sobre la autoridad de control principal y el mecanismo de ventanilla única, no deben
aplicarse cuando el tratamiento sea realizado por autoridades públicas u organismos privados en interés
público. En tales casos, la única autoridad de control competente, debe ser la autoridad de control del
Estado miembro en el que estén establecidos la autoridad pública o el organismo privado.
www.elrincondelpolicia.com página 46 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
Será posible la creación de ficheros comunes, de carácter general o sectorial, en los que sean objeto de
tratamiento los datos de carácter personal que resulten necesarios para evitar el envío de comunicaciones
comerciales a los interesados que manifiesten su negativa u oposición a recibir publicidad.
A tal efecto, los citados ficheros podrán contener los mínimos datos imprescindibles para identificar al
afectado.
Cuando el afectado manifieste ante un concreto responsable, su negativa u oposición a que sus datos sean
tratados con fines de publicidad o prospección comercial, aquel deberá ser informado de la existencia de
los ficheros comunes de exclusión generales o sectoriales, así como de la identidad de su responsable, su
domicilio y la finalidad del tratamiento.
El afectado podrá solicitar su exclusión respecto de un fichero o tratamiento concreto o su inclusión en
ficheros comunes de excluidos de carácter general o sectorial.
Quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección
comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación, a fin
de evitar que sean objeto de tratamiento los datos de los afectados que hubieran manifestado su oposición
o negativa a ese tratamiento.
encontramos, y sobre todo tras las últimas reformas de, entre otras, las Leyes de Enjuiciamiento Civil y de
Enjuiciamiento Criminal (pretendiendo la incorporación del llamado expediente electrónico y regulando
detalladamente las medidas de investigación criminal limitativas de los derechos reconocidos en el art.
18 de la Constitución), adquiere especial relevancia el tratamiento en nuestro ordenamiento jurídico de
los soportes electrónicos y su valor probatorio.
En la nueva regulación de la LeCrim, se confiere sustantividad propia a otras formas de comunicación
telemática que han carecido de tratamiento normativo en la ley procesal. El nuevo texto autoriza la
intervención y registro de las comunicaciones de cualquier clase que se realicen a través del
teléfono o de cualquier otro medio o sistema de comunicación telemática, lógica o virtual. Pero somete la
interceptación de todas ellas –en su propia y diferenciada instrumentalidad– a los principios generales que
el texto proclama. Se pretende con ello que sea el propio juez, ponderando la gravedad del hecho que
está siendo objeto de investigación, el que determine el alcance de la injerencia del Estado en las
comunicaciones particulares. La resolución habilitante, por tanto, deberá precisar el ámbito objetivo y
subjetivo de la medida. Es decir, tendrá que motivar, a la luz de aquellos principios, si el sacrificio de las
comunicaciones telefónicas no es suficiente y si la investigación exige, además, la interceptación de los
SMS, MMS o cualquier otra forma de comunicación telemática de carácter bidireccional.
La reforma establece un plazo de tres meses como duración máxima inicial de la
intervención, plazo que es susceptible de ampliación y prórroga por periodos sucesivos de igual o
inferior duración hasta el plazo máximo de dieciocho meses. «Se busca así un equilibrio entre la
necesidad de valerse de estas diligencias para la investigación de los delitos más graves para la sociedad y
la importancia de definir unos límites cronológicos que no prolonguen de forma innecesaria la
interferencia de los poderes públicos en la privacidad de los ciudadanos».
Las comunicaciones habituales a través de redes sociales, correos electrónicos o teléfonos móviles
ocasionan diariamente numerosos conflictos probatorios que están dando lugar a una jurisprudencia no
del todo uniforme. No obstante, lo cierto es que progresivamente el derecho y la jurisprudencia, van
aclarando y desarrollando criterios de interpretación cada vez más precisos, en consonancia también con
la normativa europea más reciente, de la que es ejemplo el Reglamento (UE) nº 910/2014, de 23 de julio,
relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el
mercado interior –que deroga la Directiva 1999/93/CE que en nuestro ordenamiento fue traspuesta
mediante la vigente Ley 59/2003, de 19 de diciembre, de firma electrónica-. También la jurisprudencia
aporta cada vez con mayor frecuencia novedosas interpretaciones y, en este sentido, es un ejemplo el
contenido de la reciente sentencia de 12 de enero de 2016, del Tribunal Europeo de Derechos Humanos,
sobre las comunicaciones electrónicas en el ámbito laboral.
La Ley de Enjuiciamiento Criminal había quedado especialmente desfasada en lo relativo a las medidas
de investigación. Los cambios que se han producido en las comunicaciones desde que se promulgó la
norma en el siglo XIX se suplían hasta ahora con la jurisprudencia del Tribunal Supremo y del Tribunal
Constitucional; pero su regulación legislativa ya resultaba inaplazable. De hecho, el Tribunal
Constitucional ha apuntado en varias ocasiones la necesidad urgente de una regulación que aborde las
intromisiones en la privacidad del investigado en el proceso penal.
Por ello, el art. 579 LeCrim se complementará con una nueva redacción del título VIII del libro II de
dicha norma en el que se incluyen las nuevas tecnologías.
A este respecto, la Ley Orgánica 13/2015 ha modificado la rúbrica del título VIII del libro II de la
LeCrim, quedando redactada como «De las medidas de investigación limitativas de los
derechos reconocidos en el artículo 18 de la Constitución». De este modo, se han agrupado los
diferentes artículos y se han añadido otros en nuevos capítulos como son:
- Capítulo I: «De la entrada y registro en lugar cerrado». (arts. 545 a 572).
- Capítulo II: «Del registro de libros y papeles» (arts. 573 a 578).
- Capítulo III: «De la detención y apertura de la correspondencia escrita y telegráfica» (arts. 579 a
588).
- Capítulo IV: «Disposiciones comunes a la interceptación de las comunicaciones telefónicas y
telemáticas, la captación y grabación de comunicaciones orales mediante la utilización de
dispositivos electrónicos, la utilización de dispositivos técnicos de seguimiento, localización y
captación de la imagen, el registro de dispositivos de almacenamiento masivo de información y los
registros remotos sobre equipos informáticos» (arts. 588.bis.a) a 588.bis.k)).
www.elrincondelpolicia.com página 48 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
- Capítulo V: «Iinterceptación de las comunicaciones telefónicas y telemáticas» (arts. 588.ter.a) a
588.ter.m).
- Capítulo VI: «Captación y grabación de comunicaciones orales e imágenes mediante la utilización
de dispositivos electrónicos» (arts. 588.quater.a) a 588.quater.e).
- Capítulo VII: «Utilización de dispositivos técnicos de captación de la imagen, de seguimiento y de
localización» (arts. 588.quinquies.a) a 588.quinquies.c)).
- Capítulo VIII: «Registro de dispositivos de almacenamiento masivo de información» (arts.
588.sexies a) a 588.sexies.c))
- Capítulo IX: «Registros remotos sobre equipos informáticos» (arts. 588.septies.a) a 588.septies.c)).
- Capítulo X: «Medidas de aseguramiento» (arts. 588.octies).
www.elrincondelpolicia.com página 49 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
sujeto a la ley. Por otra, resulta complejo informar al titular de los datos y hacerlo con criterios
homogéneos, comprensibles y fácilmente identificables.
Este tipo de grabaciones ha merecido un tratamiento especial, tanto legislativo (parcialmente) como
jurisprudencial. Es la fuente más usual de video-grabaciones aportadas al proceso penal, por lo que
merece este tratamiento especial, en el que hemos de hacer una diferenciación capital, que es la que
discrimina la actividad de las fuerzas y cuerpos seguridad, video-grabando con fines genéricos de
prevención del delito y para garantizar la seguridad ciudadana, de la video-grabación de hechos de
naturaleza delictiva con fines de investigación criminal.
Nos encontramos ante un medio de investigación criminal que es de primer orden, en cuanto a la eficacia
probatoria que tiene para formar la convicción de un juez o tribunal, sobre la existencia del hecho y sobre
la identidad de sus autores o partícipes, y de hecho lo ha sido o está siendo en fenómenos delictivos como
los desórdenes públicos, delincuencia juvenil de fin de semana, terrorismo y sus distintas dimensiones
como la llamada kale borroka, estafas y delitos contra la propiedad en entidades bancarias, delitos contra la
propiedad y otros en centros de trabajo, etc.
Es fácil vaticinar un incremento en la instalación de sistemas de seguridad de video-grabación,
consecuencia de la sensación de inseguridad pública que existe, sobre todo en determinadas zonas del
Estado, lo que unido al desarrollo incesante de canales televisivos, la mayor presencia de informadores de
los medios de comunicación social provistos de medios de video-grabación, y la popularización y masiva
venta de aparatos de video-grabación portables en cualquier momento, lleva a considerar que la
captación de un hecho de naturaleza penal por un sistema de video-grabación está llamado a
incrementarse notablemente en el futuro. Así mismo sería deseable que el mecanismo de investigación por
captación de imágenes, utilizado con absoluta pulcritud jurídica, tuviese una mayor implantación en la
práctica policial y judicial dada la eficacia probatoria que tiene para el esclarecimiento de los hechos.
A diferencia de la videovigilancia desarrollada por las fuerzas y cuerpos de seguridad, que cuenta con
legislación específica que la regula (Ley Orgánica 4/1997 de 4 de agosto, por la que se regula la
utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos y RD 596/1999,
de 16 de abril, por el que se aprueba el Reglamento de desarrollo y ejecución de esta ley), la regulación
existente actualmente en el ámbito privado, se ciñe a la Ley 5/2014, de 4 de abril, de Seguridad Privada y
a la Ley 4/2015, de 30 de marzo, de protección de la seguridad ciudadana.
Hace mención a los servicios de videovigilancia, el art. 42 de la Ley de Seguridad Privada 5/2014,
estableciendo que: «1. Los servicios de videovigilancia consisten en el ejercicio de la vigilancia a través de
sistemas de cámaras o videocámaras, fijas o móviles, capaces de captar y grabar imágenes y sonidos,
incluido cualquier medio técnico o sistema que permita los mismos tratamientos que estas.
Cuando la finalidad de estos servicios sea prevenir infracciones y evitar daños a las personas o bienes
objeto de protección o impedir accesos no autorizados, serán prestados necesariamente por vigilantes de
seguridad o, en su caso, por guardas rurales».
No tendrán la consideración de servicio de videovigilancia la utilización de cámaras o
videocámaras cuyo objeto principal sea la comprobación del estado de instalaciones o bienes, el control
de accesos a aparcamientos y garajes, o las actividades que se desarrollan desde los centros de control y
otros puntos, zonas o áreas de las autopistas de peaje. Estas funciones podrán realizarse por personal
distinto del de seguridad privada.
2. No se podrán utilizar cámaras o videocámaras con fines de seguridad privada para tomar
imágenes y sonidos de vías y espacios públicos o de acceso público, salvo en los supuestos y en los
términos y condiciones previstos en su normativa específica, previa autorización administrativa por el
órgano competente en cada caso. Su utilización en el interior de los domicilios requerirá el
consentimiento del titular.
3. Las cámaras de videovigilancia que formen parte de medidas de seguridad obligatorias o de sistemas de
recepción, verificación y, en su caso, respuesta y transmisión de alarmas, no requerirán autorización
administrativa para su instalación, empleo o utilización.
4. Las grabaciones realizadas por los sistemas de videovigilancia no podrán destinarse a un uso
distinto del de su finalidad. Cuando las mismas se encuentren relacionadas con hechos delictivos o
que afecten a la seguridad ciudadana, se aportarán, de propia iniciativa o a su requerimiento, a las fuerzas
y cuerpos de seguridad competentes, respetando los criterios de conservación y custodia de las mismas
www.elrincondelpolicia.com página 50 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
para su válida aportación como evidencia o prueba en investigaciones policiales o judiciales.
5. La monitorización, grabación, tratamiento y registro de imágenes y sonidos por parte de los sistemas de
videovigilancia estará sometida a lo previsto en la normativa en materia de protección de datos de
carácter personal, y especialmente a los principios de proporcionalidad, idoneidad e intervención
mínima». Por todo ello, y con la finalidad de adecuar estos tratamientos a la Ley Orgánica 15/1999, se
dictó la Instrucción 1/2006, de 8 de noviembre, de la Agencia española de Protección de Datos, sobre el
tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.
«6. En lo no previsto en la presente ley y en sus normas de desarrollo, se aplicará lo dispuesto en la
normativa sobre videovigilancia por parte de las fuerzas y cuerpos de seguridad».
A este respecto, la Ley 4/2015 de 30 de marzo, de protección de la seguridad ciudadana señala, en su
artículo 22, que: «la autoridad gubernativa y, en su caso, las fuerzas y cuerpos de seguridad
podrán proceder a la grabación de personas, lugares u objetos mediante cámaras de videovigilancia fijas o
móviles, legalmente autorizadas de acuerdo con la legislación vigente en la materia».
3.3.1. Procedimiento de instalación de videocámaras por parte de las FCS en lugares
públicos
www.elrincondelpolicia.com página 51 de 52
Tema 33. Delitos informáticos, protección de datos de carácter personal y prueba digital
horas, mediante un informe motivado, al máximo responsable provincial de las fuerzas y cuerpos de
seguridad y a la comisión aludida.
En el supuesto de que los informes de la comisión previstos fueran negativos, la autoridad encargada de la
custodia de la grabación procederá a su destrucción inmediata.
La comisión será informada quincenalmente de la utilización que se haga de videocámaras móviles y
podrá recabar en todo momento el soporte de las correspondientes grabaciones y emitir un informe al
respecto.
3.3.1.2.1. Principios de utilización de las videocámaras
La utilización de videocámaras estará presidida por el principio de proporcionalidad, en su doble
versión de idoneidad y de intervención mínima.
o La idoneidad determina que solo podrá emplearse la videocámara cuando resulte adecuado, en una
situación concreta, para el mantenimiento de la seguridad ciudadana, de conformidad con lo
dispuesto en esta Ley.
o La intervención mínima exige la ponderación, en cada caso, entre la finalidad pretendida y la
posible afectación por la utilización de la videocámara al derecho al honor, a la propia imagen y a la
intimidad de las personas.
La utilización de videocámaras exigirá la existencia de un razonable riesgo para la seguridad ciudadana,
en el caso de las fijas, o de un peligro concreto, en el caso de las móviles.
3.3.1.3. Aspectos procedimentales (art. 7 LO 4/1997)
Realizada la filmación de acuerdo con los requisitos establecidos en la ley, si la grabación captara la
comisión de hechos que pudieran ser constitutivos de ilícitos penales, las fuerzas y cuerpos de seguridad
pondrán la cinta o soporte original de las imágenes y sonidos en su integridad a disposición judicial, con la
mayor inmediatez posible y, en todo caso, en el plazo máximo de setenta y dos horas desde su
grabación. De no poder redactarse el atestado en tal plazo, se relatarán verbalmente los hechos a la
autoridad judicial, o al Ministerio Fiscal, junto con la entrega de la grabación.
Si la grabación captara hechos que pudieran ser constitutivos de infracciones administrativas relacionadas
con la seguridad ciudadana, se remitirán al órgano competente, igualmente de inmediato, para el inicio
del oportuno procedimiento sancionador.
Establece asimismo el artículo 743.1 de la LeCrim, que «el desarrollo de las sesiones del juicio oral se
registrará en soporte apto para la grabación y reproducción del sonido y de la imagen. El Letrado de la
Administración de Justicia (LAJ) deberá custodiar el documento electrónico que sirva de soporte a la
grabación. Las partes podrán pedir, a su costa, copia de las grabaciones originales».
También la Ley de Enjuiciamiento Civil regula los medios de prueba de que se podrá hacer uso en juicio,
enumerando su artículo 299 los distintos medios probatorios admitidos en derecho, entre los cuales y
según indica su apartado segundo: «los medios de reproducción de la palabra, el sonido y la imagen, así
como los instrumentos que permiten archivar y conocer o reproducir palabras, datos, cifras y operaciones
matemáticas llevadas a cabo con fines contables o de otra clase, relevantes para el proceso».
www.elrincondelpolicia.com página 52 de 52