Hoy en día la página web de una entidad es su carta de presentación por excelencia y mayor reflejo de su fiabilidad. De ahí la importancia de tener el control sobre la misma y mantenerla siempre actualizada. Prácticas contrarias podrían suponer un gran daño reputacional para la empresa e, incluso, ser susceptible de un delito indemnizable.
Precisamente es el caso de esta sentencia dictada por la Audiencia Provincial que ha venido a confirmar la condena emitida por el Juzgado de lo Penal en la que se castigó al encargado del mantenimiento de una página web de una entidad a un delito de daños informáticos.
Efectivamente, el Juzgado de lo Penal dictó sentencia en 2019 que declaraba probados los siguientes hechos:
- El acusado, administrador de INFORWEB MULTIMEDIA ESPAÑA, fue contratado por Magullo S.L. en 2007 y, posteriormente, en 2010 por OSAN HOSTELERA S.L. (titular del establecimiento Venta Magullo) para que se encargara del servicio de mantenimiento de la página web.
- Rescindida la relación laboral entre el acusado y OSAN HOTELERA S.L., el acusado ha venido activando y desactivando la página web a su discreción, negándose a facilitar las contraseñas de la página web, bloqueando la posibilidad de descarga de correos de potenciales clientes y modificando la página web al introducir teléfonos erróneos, todo ello con el propósito de perjudicar a la entidad.
- En ningún caso estaba el acusado autorizado por parte de los titulares de la mercantil, dando lugar a que la entidad, en aras de evitar mayores perjuicios y pérdida de clientes, crease una nueva página web.
A consecuencia de las alteraciones producidas por el acusado en la página web de inicio, se fija el lucro cesante, según prueba pericial, en 54.166 euros y el daño emergente en 9.014 euros. Igualmente se condena al acusado como autor de un delito continuado de daños telemáticos previsto en el artículo 264.1 y 74 del Código Penal. A este respecto, el artículo 264.1 del Código Penal castiga con pena de prisión al que, por cualquier medio, sin autorización y de manera grave, borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave.
Contra la sentencia del Juzgado de lo Penal se interpuso recurso de apelación por parte del acusado ante la Audiencia Provincial.
A priori, se alega por parte del apelante en el recurso un error de hecho en la apreciación de la prueba. Según él, la prueba de cargo de la resolución recurrida solo es indiciaria, pues solo arroja meras sospechas o conjeturas y, por tanto, es insuficiente para enervar su presunción de inocencia.
Por parte del Tribunal se considera que lo único que se advierte en el extenso y abigarrado recurso es aislar algunos datos procedentes de las declaraciones de testigos y de peritos, descontextualizándolos, para utilizarlos en su favor.
Para desgranar esta aseveración sobre el error en la apreciación de la prueba, vamos a exponer todos los argumentos del apelante al respecto y la respuesta del Tribunal a los mismos:
- El apelante hace constar como comienzo de la relación profesional con la empresa OSAN HOSTELERA S.L. el mes de octubre de 2010, cuando dice que realmente tuvo lugar en el 2009. A este respecto el Tribunal mantiene que este error es irrelevante y responde a una equivocación material, pues lo trascendente es la fecha en que cesó la relación contractual del acusado con la entidad, ya que es a partir de ese momento cuando comienza el deficiente funcionamiento de la página web a consecuencia de la manipulación del acusado.
- Asimismo, el apelante manifiesta que se confunde el término de relación laboral entre las partes y que esta no concurre. En este sentido, el Tribunal señala que es intrascendente que se niegue la existencia de relación laboral pues cuando en la sentencia se hace mención a una relación laboral entre las partes, es obvio que no se refiere a una relación laboral ordinaria y jerarquizada por cuenta ajena, sino a una relación profesional. Desde el punto de vista de protección de datos, asume la figura de encargado de tratamiento, es decir, aquel que trata los datos personales por cuenta del responsable del tratamiento que, en este caso, es OSAN HOSTELERA S.L.
- Además, el apelante estima que la entidad podía acceder a la página web porque, en realidad, las claves de acceso las tenían ellos. Por el contrario, aprecia el Tribunal, que de la prueba práctica e incluso de la declaración del acusado, resulta que quien tenía el dominio funcional de la página, por ser quien tenía a su disposición las claves de acceso para la gestión del dominio y del correo electrónico, era el apelante pues, de no haber sido así, no tendría explicación razonable que la entidad le requiriera constantemente para la entrega de las claves. Igualmente, tampoco presenta una interpretación racional que hasta que no se produce la resolución de la relación contractual, no se detecta problema alguno en el funcionamiento de la página web.
- El apelante manifiesta que, si no facilitaba las claves, era porque los anteriores propietarios del negocio estaban enfrentados con los nuevos titulares. De esta aserción, considera el Tribunal, que se desprende, efectivamente, que el único que podía modificar la página web era él, lo que es signo manifiesto de que era él quien poseía las claves. De hecho, un testigo relata que, al contactar con el acusado para interesarse por la desactivación de la web, éste le comenta que es una de las consecuencias de haber roto la relación contractual con él.
También se alega por parte del apelante, partiendo de su premisa de que se ha valorado la prueba erróneamente, que se ha vulnerado su derecho a la presunción de inocencia por no existir prueba de cargo bastante para demostrar que interviniese en los hechos enjuiciados. A ello le responde el Tribunal que, lógicamente, desvirtuado el motivo del error de hecho en la apreciación de la prueba, este argumento ha de merecer la misma suerte desestimatoria.
Como tercer motivo, el apelante también sugiere vulneración sobre la retroactividad de las leyes penales que favorecen al reo, estipulación prevista en el artículo 2.2. del Código Penal. En este sentido, precisa el Tribunal que al tratarse de un delito continuado del artículo 74 del Código Penal, la pena a imponer es la correspondiente al hecho más grave, que se impondrá en su mitad superior. La pena, por tanto, es legal y no cabe modificarla.
Por último, el apelante critica el informe pericial que ha calculado los perjuicios sufridos por la entidad. El informe, según el Tribunal, hay que darlo por correcto, ya que el perito judicial ha contemplado dos escenarios, uno más restrictivo y otro más amplio, inclinándose por el más restrictivo y señalando, además, que el apelante tenía la oportunidad de presentar un informe de contraste y no lo ha aprovechado.
Con todo, la Audiencia Provincial señala que nada debe reprocharse al Juzgado “a quo” cuando concluye que el acusado, al ser el poseedor de las claves y disponer de conocimientos informáticos muy especializados, se prevalió de esta situación de dominio telemático sobre la empresa y manipuló y modificó la página web en perjuicio de la entidad.
Por tanto y, en virtud de todas las alegaciones vertidas, concluye el Tribunal con la desestimación del recurso de apelación interpuesto contra la sentencia dictada por el Juzgado de lo Penal y con la confirmación íntegra de dicha resolución.
Desde el punto de vista de protección de datos y, en la medida en que una contraseña es un dato de carácter personal, el encargado del tratamiento, en este caso y, como hemos adelantado, el acusado, debió atender el requerimiento del responsable del tratamiento (OSAN HOTELERA S.L.), de devolver las contraseñas oportunas, dado que el artículo 28.3.g) del Reglamento General de Protección de Datos establece que, a elección del responsable, el encargado suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento.
Por tanto, de esta resolución podemos extraer que tener el control de nuestros datos personales no deja de ser imprescindible. De hecho, en esta otra entrada del blog, se nos muestra, de una forma detallada, la necesidad de contar con diligencia debida a la hora de custodiar las contraseñas de acceso.