Acceso a los ordenadores de empresa por sospechas de delito

Imagen: Expansion.mx

La Sentencia del Tribunal Supremo 489/2018 de 23 de octubre de 2018, cuyo ponente es el magistrado D. Antonio del Moral García, STS 3754:2018, casó la Sentencia de la Audiencia Provincial de Bilbao de 1 de junio de 2017 que condenaba por delito continuado de apropiación  indebida a la pena de cinco años de prisión, inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de la condena y 33.000 euros de multa, con aplicación de la responsabilidad personal subsidiaria prevista en el artículo 53 del Código Penal en caso de impago a un apoderado de la empresa TRIMARINE SPAIN de Bilbao. Asimismo se le condenaba al pago en concepto de responsabilidad civil a favor de dicha entidad de la suma de 5.035.907, 60 euros y al pago de las costas incluidas las de la acusación particular. El Supremo, en consecuencia, ha anulado la sentencia de apelación y ha ordenado su repetición.

TRIMARINE INTERNATIONAL SPAIN S.L.U fue constituida en el año 2004 teniendo por objeto la comercialización de toda clase de pescados y mariscos con sede en Bilbao. El acusado desde el 8 de julio de 2004 desempeñó los cargos de apoderado y secretario del consejo de administración de esa sociedad y desde el día 28 de mayo de 2007 desempeñó además el cargo de gerente en virtud de un contrato de alta dirección, cesando en el año 2011 al haber sido despedido por la sociedad. El desempeño de estos cargos entre las fechas indicadas, hicieron del acusado el único gestor real de la mercantil, decidiendo todos los aspectos de la actividad de ésta y en concreto facturación, la determinación de los proveedores y clientes y los precios a los que se efectuaban las compras y las ventas que le permitió apropiarse de ingentes cantidades de dinero que se relatan en la querella.

El 17 de junio de 2011 con presencia notarial, un perito a instancia de esa mercantil se personó en sus oficinas y obtuvo copia espejo del ordenador que utilizaba “El examen se realizó a través de un programa informático que permitía seleccionar, por su contenido, correos electrónicos sin necesidad de abrirlos (vid. STC 26/2018, de 3 de marzo). Según referencias de los peritos, se seleccionaron 20.722 documentos y/o correos electrónicos con esa metodología. A la postre, solo 113 de ellos proporcionaron información relevante para los fines buscados… El día anterior, 16 de junio, se había procedido al despido del ahora recurrente (por tanto, antes del examen del ordenador) al detectarse actuaciones que despertaban vehementes sospechas de deslealtad vinculada a su participación en empresas dedicadas a la misma actividad que su principal”.

“Entre los correos finalmente seleccionados (113), algunos serían ajenos a las relaciones comerciales de Trimarine. Se referían a otras empresas; justamente aquéllas en las que el acusado mantenía intereses. El acusado no había asumido, al menos de forma explícita, la obligación de usar el ordenador en exclusiva para actividades o comunicaciones de la empresa. No existía prohibición de comunicaciones ajenas a sus funciones como gerente. Tampoco había sido advertido de una hipotética reserva por parte de la empresa de su facultad para examinar tal dispositivo. Ni expresa ni tácitamente autorizó que la empresa pudiese acceder a las cuentas de correo usadas por él. No ha quedado fehacientemente demostrado que el ordenador fuese de la titularidad de la empresa. Este dato -hay que apostillar- es irrelevante, como aclara incidentalmente con acierto la sentencia: lo importante a los efectos que ahora interesan no es la titularidad real, sino quién sea el usuario (y si lo era o no con exclusividad; hay que presumir que sí: nadie ha insinuado un uso compartido)”.

“El examen del ordenador usado por el acusado (también, según se deduce de las actuaciones, se revisó el contenido del disco duro del dispositivo de otra empleada sin que conste ni su anuencia ni su oposición, y sin que esté delimitado si del mismo se obtuvo algún rendimiento probatorio), se llevó a cabo mediante una herramienta informática que, según explicaron los peritos, resultaba metódica y selectiva: solo se accedió a los archivos en los que aparecían unas palabras clave previamente acotadas. Eso permitía discriminar entre unos archivos y otros para acceder exclusivamente a aquéllos relacionados con tales «chivatos». Asimismo se adoptaron cautelas para asegurar la fidelidad del copiado y mantener los efectos a disposición de quien pudiese recabar una nueva pericial para contrastar que se había llevado a cabo con las garantías necesarias para preservar la autenticidad.”

El alto tribunal determinó “la nulidad del examen efectuado del ordenador personal del acusado y, consiguientemente, la inutilizabilidad de todas las pruebas derivadas de ese escrutinio en el que se pudo acceder -se dice- a miles de correos electrónicos del acusado. Estaríamos ante pruebas afectadas por la prohibición consagrada en el art. 11.1 LOPJ y, por tanto, inaptas para fundar una condena”…”La información obrante en tal ordenador, de uso habitual de Maximiliano, recurrente, y obtenida mediante el análisis no consentido del mismo, constituiría la base que sustenta el informe que daría lugar a la querella y en último término a la condena”.

Según el Tribunal Supremo Esta es la clave que nos permite resolver este asunto. Podrían existir razones fundadas para sospechar y entender que el examen del ordenador era una medida proporcionada para esclarecer la conducta desleal y evaluar los perjuicios. Se buscó, además, una fórmula lo menos invasiva posible. Pero faltaba un prius inexcusable”.

“Si existiese esa expresa advertencia o instrucción en orden a la necesidad de limitar el uso del ordenador a tareas profesionales, (de la que en podría llegar a derivarse una anuencia tácita al control o, al menos, el conocimiento de esa potestad de supervisión) y/o además alguna cláusula conocida por ambas partes autorizando a la empresa a medidas como la aquí llevada a cabo; o, si se hubiese recabado previamente el consentimiento de quien venía usando de forma exclusiva el ordenador (en caso de negativa, nada impedía recabar la autorización necesaria) pocas dudas podrían albergarse sobre la legitimidad de la actuación indagatoria llevada a cabo por la empresa. Pero en las circunstancias en que se llevó a cabo hay que afirmar que el ordenamiento ni consiente, ni consentía en la fecha de los hechos, tal acción intrusiva por ser lesiva de derechos fundamentales.”

Y añade que “Lo que vicia la prueba es el acceso no legítimo.Es indiferente a esos efectos que luego no aparezcan datos vinculados materialmente a la intimidad; o que todo lo que se examinase careciese de calidad para ser protegido por su enlace directo con actividades delictivas; o incluso que se tratase en su totalidad de información que tuviese derecho a conocer la querellante, como titular del negocio. Las comunicaciones y determinados espacios de privacidad (el domicilio, los aparatos de almacenamiento masivo de datos) se blindan legalmente con murallas que constituyen la materialización de la protección del derecho fundamental, abstracción hecha de que en concreto se identifique una violación material de la intimidad. Hay violación del derecho al secreto de la correspondencia cuando se abre una carta enviada postalmente, aunque luego en la misma solo figuren, v.gr., los resultados conocidos de la última jornada liguera o un inocuo folleto publicitario de un juego de sartenes; o cuando se accede ilegítimamente a un ordenador ajeno y solo aparecen videojuegos infantiles; o se penetra en el domicilio de una persona y allí solo se encuentra el catre donde duerme (o, únicamente, su cadáver); o se intercepta un teléfono y no se llega a conocer ninguna conversación; o tan solo alguna totalmente inofensiva desde el punto de vista de la intimidad (encuesta sobre el funcionamiento del servicio de telefonía, v.gr.).Esa muralla solo cede en virtud del consentimiento del afectado (actual o anticipado, v. gr. ha dejado las llaves de su domicilio al vecino o al portero de la finca) o de autorización judicial.

La evaluación de si ha existido vulneración ha de realizarse mediante un juicio ex ante: no depende de que efectivamente se hayan obtenido elementos sensibles desde el punto de vista de la privacidad. Y se protege aunque ex post se compruebe que solo se han descubierto comunicaciones o efectos a los que debía tener acceso el promotor de la intromisión: que se invada el ordenador usado por una persona y se descubra que solo contiene fotos de quien accede ilegítimamente a él; o que se entre sin autorización en el domicilio del supuesto ladrón para recuperar el móvil sustraído con un método -llamadas al número específico para localizarlo- que va a permitir acceder en exclusiva al efecto que es de titularidad del invasor, no convierte en legítima la intromisión.

El alto tribunal se interroga ¿Se puede entrar en un domicilio particular sin consentimiento del titular ni autorización judicial cuando se sabe no ocupado en ese momento y con el único fin de recuperar un efecto robado tiempo antes que está a la vista? No. Sin matices. ¿Se puede acceder a un dispositivo de almacenamiento masivo usado por un empleado con la firme y decidida finalidad de acceder en exclusiva a los archivos relacionados con la empresa? En principio no. Tan solo cuando haya precedido un consentimiento expreso o derivado implícita e inequívocamente del compromiso asumido previamente por el trabajador, será legítima esa actuación. El empleo de una herramienta de filtrado del tipo búsqueda «ciega» no legitima por sí sola la injerencia (vid. voto particular STC 23/2018; la sentencia mayoritaria no aborda esa cuestión).

La ilegitimidad no deriva del contenido obtenido, ni de la forma de acceso más o menos intrusiva, sino del mismo acceso inconsentido y no advertido previamente, afirmando que se produjo la violación, quizás bienintencionada, y derivada de no extremar el máximo de diligencia o las precauciones exigibles ante una materia muy sensible y una situación normativa y jurisprudencial de cierta incertidumbre.”

El Tribunal Supremo se interroga también “si tal actuación queda afectada por la prohibición contenida en el art. 11.1 LOPJ. En caso afirmativo, determinar si la supresión de las pruebas que han de ser invalidadas (en este caso los correos electrónicos o archivos extraídos de ese ordenador, así como las pruebas vinculadas a esa de una forma tan directa y jurídicamente relevante que pueda hablarse de una conexión de antijuricidad) nos arrastra a un vacío probatorio o, si, por el contrario, existen pruebas convalidables por ser desconectables o por emanar de fuentes independientes”.

Y añade que “la penuria normativa y los zigzagueos jurisprudenciales podrían haber hecho creer a la empresa que esa modalidad investigadora en defensa de sus intereses y ejercida de forma comedida se ajustaba al ordenamiento”… “En el caso presente, a la vista de la jurisprudencia existente y predominante en el momento de la actuación empresarial cuya licitud fiscalizamos ahora, se podía y debía haber extremado la cautela: no existiendo advertencia de que el ordenador había de ser usado exclusivamente para los fines de la empresa y no constando al empleado que la empresa se reservaba la potestad de su examen, por mucho que se utilizasen métodos informáticos especialmente poco invasivos y selectivos, constituía un cierto atrevimiento (una indiligencia), no recabar antes el consentimiento del titular o, en su defecto, la autoridad judicial. Regía ya un cuerpo de doctrina jurisprudencial que alertaba sobradamente sobre la dudosa legalidad de esa actuación. Algo de osadía se aprecia en la iniciativa adoptada por la empresaY concluye manifestando que “La prueba no es rescatable; no puede utilizarse”.

Y la conclusión que podríamos obtener del resultado de esta causa judicial consiste en reconocer la falta de diligencia que se produjo en el enfoque de la denuncia inicial de este procedimiento penal por delito de apropiación indebida y que acertadamente aclara el Tribunal Supremo. Si hubiera existido constancia formal en la empresa de que los ordenadores y dispositivos que emplean todos sus empleados son de la entidad y además cuando se tuvo conocimiento de las irregularidades contables y financieras del querellado, previa comprobación de su contenido a presencia notarial, se hubiese precintado este y planteado la denuncia en sede policial y la unidad que la tramitase hubiera solicitado a la Autoridad Judicial la recogida del terminal informático sospechoso que pudiera contener toda la información con las garantías procesales a presencia del Letrado de la Administración de Justicia y el propio denunciado y Letrado designado para su posterior análisis pericial oficial, el resultado hubiera sido distinto al no declararse su nulidad máxime teniendo en cuenta que la base de la acusación se centrada en la documentación hallada en el citado ordenador.

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información básica sobre protección de datos
Responsable Adolfo de la Torre +info...
Finalidad Gestionar y moderar tus comentarios. +info...
Legitimación Consentimiento del interesado. +info...
Destinatarios Automattic Inc., EEUU para filtrar el spam. +info...
Derechos Acceder, rectificar y cancelar los datos, así como otros derechos. +info...
Información adicional Puedes consultar la información adicional y detallada sobre protección de datos en nuestra página de política de privacidad.