Por Alberto Llana
Entre los datos reservados de carácter personal protegidos por ley existen algunos con una salvaguarda especial, los denominados 'datos sensibles'. El Tribunal Supremo aclara cuáles son esos datos en un Fallo datado el pasado 20 de enero de 2022. Estas son sus explicaciones: «...con cita de lo observado en nuestra sentencia número 1328/2009, de 30 de diciembre, la resolución que se comenta pone de manifiesto la necesidad de diferenciar, dentro de esos datos reservados de carácter personal (o familiar) incorporados a ficheros informáticos o a cualquier clase de registro público o privado, entre los que pueden calificarse como 'datos sensibles' de aquellos otros que carecerían de dicha condición. Dicha relevante distinción tiene su referente normativo más inmediato en lo prevenido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. El Reglamento diferencia entre datos personales y datos sensibles. Se refiere a estos últimos en los considerandos (51) y siguientes a los que atribuye especial protección debido a que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. En armonía con ello, en el artículo 9.1 indica que los datos sensibles merecen una protección especial, bien por su naturaleza o bien por su relación con los derechos y libertades fundamentales de las personas. De esta manera prohíbe su tratamiento con determinadas excepciones. Se trata de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o a la orientación sexual de una persona.
En la sentencia de cuyos razonamientos nos servimos aquí, se observa al respecto: “como datos sensibles pueden identificarse los que, en la redacción del precepto, justifican una especial protección y dan lugar a la agravación prevista en el apartado 6, actualmente 5, del artículo 197, es decir, los relativos a ideología, religión, creencias, salud, origen racial o vida sexual. En el artículo 9 de la actual LOPDP, Ley Orgánica 3/2018, de 5 de diciembre, se consideran una categoría especial de datos los relativos a ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. Datos a los que ya se hacía referencia, junto con algunos otros, en el artículo 7 de la anterior Ley Orgánica de Protección de Datos, LO 15/1999”.
Y a partir de la referida distinción entre datos de carácter personal o familiar que pueden ser calificados como sensibles y aquellos otros que no merecen dicha consideración, se remata: “cuando se trata de datos sensibles, el perjuicio consiste en su mero conocimiento derivado del simple acceso. Se actúa así 'en perjuicio' cuando se accede a los datos que merezcan esa calificación, sin que sea necesario un perjuicio añadido a ese mero conocimiento... En los demás casos, el perjuicio pretendido debe justificarse suficientemente. En definitiva, el mero acceso no integraría delito, salvo que se acreditara perjuicio para el titular de los datos o que este fuera ínsito, por la naturaleza de los descubiertos, como es el caso de los datos sensibles”.
El término 'en perjuicio', según se refiere en la STS 40/2016, de 3 de febrero, informa la conducta de quien accede y de quien altera o utiliza, los datos protegidos. Pero, cuando no se trata de datos sensibles, debe estar integrado por una consecuencia negativa que suponga algo más que el efecto propio del mero acceso, o de cualquiera de las otras acciones típicas. Aunque en alguna sentencia se ha dicho (STS nº 312/2019, de 17 de junio) que “el perjuicio se refiere al peligro de que los datos albergados en las bases de datos protegidas puedan llegar a ser conocidos por personas no autorizadas”, esa posibilidad se produce en todo caso desde que se ha producido el acceso no autorizado y los datos afectados ya no permanecen solamente en el fichero donde se encontraban. Será necesario, pues, identificar alguna otra consecuencia negativa para el titular o para un tercero del hecho de que el autor haya accedido a aquellos, los haya alterado o los utilice.
En este sentido decíamos en la STS nº 234/1999, de 18 de febrero y en la STS nº 803/2017, de 11 de diciembre, que “Parece razonable que no todos los datos reservados de carácter personal o familiar puedan ser objeto del delito contra la libertad informática. Precisamente porque el delito se consuma tan pronto el sujeto activo 'accede' a los datos, esto es, tan pronto los conoce y tiene a su disposición (pues sólo con eso se ha quebrantado la reserva que los cubre), es por lo que debe entenderse que la norma requiere la existencia de un perjuicio añadido para que la violación de la reserva integre el tipo”».-
