I. Breve comentario a la STS, Sala 2ª, 15/2023, de 19 de enero
La STS, Sala 2ª, 15/2023, de 19 de enero (LA LEY 3357/2023), aborda un interesantísimo ejemplo de deleznable utilización de herramientas electrónicas para imponer a una víctima de violencia de género un humillante escenario de control sobre los más profundos entresijos de su intimidad, una vez rota la relación de pareja (1) . El relato de hechos probados, y así se reconoce en la propia sentencia que vamos a analizar, es parco en detalles sobre cómo se desarrollaron los hechos; y ello incluso llegará a repercutir de forma negativa sobre los intereses jurídicos de quien finalmente es sometido a una severísima pena principal de cuatro años de prisión. Y es que, así hemos de reconocerlo, el delito de descubrimiento de secretos llega a tensar, como refiere la propia defensa del acusado en su recurso de casación, la ponderación de parámetros de proporcionalidad, y más en relación con otros bienes jurídicos protegidos por normas penales, conforme vamos avanzando en su redacción y empiezan a desplegarse las modalidades cualificadas, como sucede en el supuesto de autos, con aplicación de la cualificación de utilización no autorizada de datos personales de la víctima.
El relato de hechos de la sentencia describe cómo el acusado, no mucho antes del 8 de febrero de 2018, había roto la relación de pareja con la perjudicada. Sin embargo, pese a la ruptura, ambos mantenían una cierta relación de confianza que llevara a la perjudicada a pedirle a éste que se quedara en su propio domicilio al cuidado de un hijo que tenían en común. El relato de hechos no especifica número ni duración de tales estancias. Esa parquedad de información que aporta la descripción fáctica de los hechos probados comienza ya a destacarse cuando no se llega a hacer una mención explícita al carácter ocasional, esporádico o habitual de tal circunstancia, que habría tenido un especial significado a la hora de analizar el nudo mismo de la controversia jurídica a la que nos enfrenta la sentencia. En un margen de tiempo de dos meses y medio, con comienzo probablemente el primer día en que el acusado acudió para atender al hijo común en ausencia de la madre, el 5 de febrero de 2018, instaló aquél una cámara de vigilancia oculta en el interior de la rejilla del aparato de aire acondicionado ubicado en el dormitorio de la perjudicada; teniendo orientada la lente precisamente hacia el lugar donde se encontraba la cama, lógicamente con la finalidad de controlar la vida íntima de su expareja. Como era de esperar, con el tiempo, y más ante la sospecha de la perjudicada de que el acusado había aprovechado su estancia en el domicilio para instalarle un programa que le permitía monitorizar cuanta información manejaba su ordenador portátil, ésta descubre la existencia de la cámara oculta y decide denunciar los hechos, así como cambiar la clave deacceso al router.
El dispositivo de grabación de imágenes, susceptible, es de imaginar, de ser controlado remotamente por el acusado, estaba conectado a Internet a través de la red Wi-Fi del domicilio, de la que éste conservaba la clave privada de acceso. La falta de información de la que claramente adolece la sentencia de instancia nos lleva a no poder determinar si la perjudicada llegó a variar la clave de acceso a la red privada, pese a que se la facilitó al acusado, o, lo que es más lógico pensar, era la misma que tenía antes y había sido compartida por ambos durante la convivencia de pareja que había durado durante cuatro años; pero el desarrollo posterior de la sentencia de casación parece dar por sentada esta segunda opción.
Ese carácter neutro de la descripción del modo en que el acusado tuvo conocimiento de cuál era esta clave se convertirá en un obstáculo insalvable para la defensa para poder argüir cualquier forma de consentimiento expreso o presunto para el uso de la red privada que permitiera superar esa expectativa razonable de privacidad que pudiera favorecer a la víctima. Nótese cómo la propia confianza existente entre ambas partes, como consecuencia del acuerdo por el cual la perjudicada consentía a su pareja permanecer en su propio domicilio al cuidado del hijo común, podría haber servido sin duda como base para poder dar forma a una duda razonable sobre la existencia de un consentimiento de la perjudicada para que el acusado pudiera continuar usando la red Wi-Fi del domicilio, como habría estado haciendo sin duda durante los cuatro años de convivencia. Sin embargo, el Alto Tribunal destaca cómo cualquier intento de ahondar sobre esa cuestión, dada la limitación propia de la vía de casación elegida, recurso de casación por infracción de ley del art. 847.1,b) de la LECRIM (LA LEY 1/1882), chocaba con el muro de la inalterabilidad del relato de hechos probados. Habría sido, de hecho, en la sede del recurso de apelación contra la sentencia dictada en la instancia, el lugar adecuado para tratar de enmendar esa aparente opacidad y parquedad en la redacción del relato de hechos probados que tanta repercusión tendría finalmente en el sentido del fallo condenatorio.
La sentencia dictada por el Juzgado de lo Penal llegó a considerar que el acceso a la red Wi-Fi privada de la perjudicada para manejar el uso de la cámara debía ser considerado un uso de datos de carácter personal de la víctima, como elemento cualificador del tipo penal del descubrimiento de secretos a que se refiere la letra b) del art. 197.4 del CP (LA LEY 3996/1995): cuando los hechos descritos en el apartado 1 (colocación de dispositivos de grabación de la imagen, para descubrir los secretos o la intimidad de otro) «se lleven a cabo mediante la utilización no autorizada de datos personales de la víctima»; a la que se añadió la circunstancia agravante mixta de parentesco del art. 23 del CP. (LA LEY 3996/1995) Interpuesto recurso de apelación, la Audiencia Provincial lo desestimó.
A salvo cuestiones formales que llevaron al Tribunal Supremo a rechazar el examen de tres de los cuatro motivos en los que se basó el recurso de casación interpuesto por la defensa del acusado, el mismo se centra en analizar ese único motivo que salvó el control de admisibilidad. El recurso de casación planteaba su duda sobre qué clase de datos personales de la supuesta víctima habría utilizado su cliente sin su autorización, distintos de las imágenes que pudieran haberse captado del interior de la vivienda. Consideraba, de hecho, la existencia de un consentimiento de la perjudicada en cuanto atañía al acceso a la clave de la red privada, como consecuencia de haber compartido vivienda durante varios años.
La limitación en el relato de hechos probados, así como las consecuencias derivadas de la falta de detalle en su redacción tendrán una pronta presencia en el discurso jurídico de la resolución objeto de comentario. La sentencia saca de tal descripción fáctica la conclusión que la clave Wi-Fi era una clave privada de la perjudicada («Para conectarse al router de Carmela, y así poder activar el funcionamiento de la clave de vigilancia, el acusado utilizó la contraseña privada que Carmela tenía para acceder al funcionamiento del mismo»). Efectivamente, tal descripción no permite deducir, ni siquiera entra en ello, si pudo haber o no un consentimiento presunto al uso de la red doméstica de la perjudicada; si quiera un posible no acogimiento de ésta a expectativa razonable de privacidad enfocado en concreto al uso de dicha red que facilitaba el router doméstico, consecuencia del tiempo de convivencia en común y del permiso de la perjudicada para que su expareja estuviera en su domicilio al cuidado del hijo común. Abordar esta cuestión, entiende la sentencia, supondría forzar una enmienda o modificación del relato de hechos probados; y eso que podría haberse considerado una cuestión de valoración jurídica la determinación de si, en base a tal relato fáctico, realmente neutro, podría determinarse la existencia o no de una renuncia al poder de exclusión sobre el uso, que no conocimiento, del dato.
Realmente la descripción fáctica solamente entra a describir el carácter privado de la clave; no a si el investigado llegó a usarla con un consentimiento expreso o presunto de la perjudicada. De hecho, la propia sentencia de instancia, ya en su fundamentación jurídica, habla de una revocación tácita de la autorización que existía de uso de clave de acceso a la red Wi-Fi como consecuencia de la ruptura de la relación de pareja; revocación que afectaría a la posibilidad de que el acusado pudiera conectar la videovigilancia, así como su móvil y un Pc para acceder a través del router a la red. Añade, como argumento adicional, la circunstancia de que la actividad del acusado hubiera cesado una vez cambiada la clave. Que en este sentido se hubiera entrado a cuestionar la existencia o no del consentimiento expreso o presunto para que el acusado pudiera continuar haciendo uso de la red Wi-Fi de la perjudicada, gracias al conocimiento previo que tenía de su clave como consecuencia de la convivencia previa truncada, no debería, al menos en mi modesta opinión, haber cerrado de forma irreversible cualquier cuestionamiento sobre esta conclusión a la que llega la sentencia. El hecho se describe en forma neutra; y por tanto daba juego a poder considerar la existencia o no de ese consentimiento presunto, derivado de la circunstancia del no cambio de la clave de Wi-Fi y la autorización para permanecer en el domicilio de la víctima durante el tiempo en que estuvo cuidando del hijo común (2) . Un uso torticero o ilícito de una autorización expresa o presunta no transmuta ésta en inexistente; sino en ilícitamente empleada.
Sí hemos de compartir la aclaración que hace el Tribunal Supremo de que la agravación que se aplica nada tiene que ver con las imágenes captadas de la perjudicada. Es la utilización que se define como no consentida de la clave de rúter la que justificaría la aplicación de la modalidad cualificada de uso de datos personales. La sola captación de las imágenes ya tendría su reflejo en la descripción típica del art. 197.1 del CP. (LA LEY 3996/1995) Y resulta claro que cualquier consideración de la imagen captada como dato personal objeto de uso supondría una doble punición de la propia conducta básica.
La pregunta que se hace la sentencia seguidamente centra igualmente a la perfección el objeto del debate jurídico: «Se impone, por consiguiente, dar respuesta a la cuestión de si la utilización de una clave personal representa un plus de gravedad en el ataque a la esfera de privacidad de cualquier persona, en la medida en que implica un apoderamiento añadido de un dato de carácter personal». Otra cosa será determinar si podemos hablar realmente de tal apoderamiento añadido y si la clave Wi-Fi merece la calificación jurídica de dato personal.
La respuesta del Alto Tribunal ya se está anticipando en sentido positivo. Frente al parco tratamiento de la cuestión que se atribuye a las sentencias de instancia y apelación (prácticamente se limitan ambas a tildar la clave de acceso como dato personal, sin justificación adicional alguna), la sentencia de casación opta por acudir al referente del Reglamento (UE) 2016/679 (LA LEY 6637/2016) (3) —RGPD—; y en concreto a la definición auténtica de datos personales que se recoge en su art. 4.1: «toda información sobre una persona física identificada o identificable ("el interesado")».
Ahora bien, la mención expresa al concepto de persona física identificable («se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona») que acto seguido se hace, anticipa igualmente la aplicación de la norma del Derecho de la Unión que propone la sentencia. En el párrafo siguiente al que se hace cita de tal precepto relaciona la clave Wi-Fi con un identificador personal; y, más concretamente, continúa afirmando, «...un identificador en línea», como dato personal susceptible de protección. La conclusión a la que llega no puede ser más clarificadora en esta línea argumentativa: «De ahí que toda serie numérica o alfanumérica que permita acceder a cualquier servicio prestacional de carácter telemático es un dato de una persona no identificada, pero perfectamente identificable».
Pero la sentencia va incluso más allá: Si estamos considerando la clave de acceso a una red Wi-Fi, que no al dispositivo router, como un dato personal en su modalidad de información sobre persona física identificable, «…esa numeración capaz de proporcionar una respuesta habilitante para el acceso a un servicio automatizado» estaría sustituyendo «…la identificación física por una identificación virtual, asociada a esa clave de titularidad exclusiva». Considerar por ello que la utilización indebida de esta clave fue la que, «…como se expresa en la sentencia de instancia, permitió al acusado la obtención de las imágenes que comprometían la intimidad de la víctima», y por tanto base para la calificación del hecho como de la modalidad cualificada del art. 197.4,b) del CP (LA LEY 3996/1995), podría tener un encaje jurídico perfectamente razonable en tal sentido.
Pero hemos de plantearnos seriamente si esa clave de red privada, como llave que abre las puertas para la utilización de la misma para establecer una conexión privada a Internet, puede ser considerada, tanto desde el punto de vista técnico como jurídico, como dato personal afectante a persona física identificable y, en concreto, como identificador en línea; y si la verdadera naturaleza jurídica de ese dato puede tener un encaje en esa definición tan inconcreta de uso no autorizado de datos personales de la víctima que utiliza el Código Penal en su art. 197.4 (LA LEY 3996/1995),b). Dedicaremos los dos siguientes apartados de este trabajo a ahondar en ambas cuestiones; no sin antes preguntarme si no habría sido adecuado en este supuesto concreto haber acudido al planteamiento de una cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea; ante el carácter realmente novedoso de la cuestión y la no consideración de interpretación precisamente clara de la relación existente entre la clave de acceso a red Wi-Fi y la noción de dato personal que se contiene en el art. 4.1 del Reglamento (UE) 2016/679 (LA LEY 6637/2016).
II. En torno a la naturaleza técnica de la clave de acceso a una red Wi-Fi doméstica
Cualquier acercamiento del Derecho al complejo y constantemente en evolución universo de las nuevas tecnologías debería partir siempre de una metodología que tuviera por punto de arranque la comprensión de la naturaleza, funcionamiento y alcance del objeto tecnológico objeto de valoración jurídica. Resulta arriesgado acometer un análisis jurídico de una determinada herramienta tecnológica si no tenemos una comprensión clara de qué significa ésta, cómo se comporta en su aplicación o funcionamiento y cuál es su potencialidad real de acceso, manejo y explotación de datos personales. Solamente a partir de este conocimiento habríamos de atrevernos a dar el paso de ponderar las consecuencias jurídicas que se derivan, tanto desde el punto de vista ontológico como de la ponderación de las consecuencias derivadas de su funcionamiento. Obrar de otro modo puede llevarnos a planteamientos sesgados, si no confusos.
Por poner un solo ejemplo, la falta del adecuado conocimiento técnico sobre el funcionamiento de la herramienta conocida como IMSI catcher, llevó a la STS, Sala Segunda, 130/2007, de 19 de enero, a deducir la existencia de una grave conculcación del derecho al secreto de las comunicaciones de una persona sometida a vigilancia discreta en el desvelo del IMSI correspondiente a una tarjeta de telefonía prepago; de considerar que la policía habría empleado una herramienta capaz de adentrarse en los entresijos de una concreta comunicación interceptada sin una previa autorización judicial, para tener acceso a dicha información. Un elemental análisis desde el punto de vista técnico de la herramienta empleada habría permitido deducir fácilmente que la información sobre el identificador IMSI del dispositivo electrónico objeto de introspección se obtenía no como consecuencia de la captación de una comunicación electrónica, sino del aprovechamiento de una vulnerabilidad en el funcionamiento de la telefonía móvil; de suerte que se forzaba al terminal objeto de seguimiento, mediante la emulación de la señal de una estación BTS, a exponer la numeración IMSI de la tarjeta por obvias necesidades de conectividad, sin necesidad para ello de adentrarse ni interceptar ni contenidos ni datos de tráfico del tránsito de comunicaciones que tuvieran como origen o destino tal terminal.
La voz Wi-Fi no es sino una denominación comercial, certificación, creada por un consorcio de empresas denominado Wireless Ethernet Compatibility Alliance —WECA—, con la única intención de crear un estándar de compatibildad entre los distintos productos y dispositivos que existían y se crearan en un futuro inmediato. De este modo, se creó en 1999 una norma técnica, la IEEE 802.11b, que garantizaba la interoperabilidad entre fabricantes; consiguiendo al mismo tiempo una significativa reducción de los costes y abaratamiento del precio de los dispositivos para el usuario final. El estándar Wi-Fi, regido actualmente por una versión actualizada, la correspondiente a la letra j, garantiza la interoperabilidad entre dispositivos electrónicos, a nivel de configuración, protocolos y modos de funcionamiento (4) .
Una red Wi-Fi no es sino una red doméstica que permite una conexión inalámbrica a Internet a través de una herramienta física, conocida como router; que a su vez conecta con una red pública de comunicaciones vía inalámbrica o por cable
Una red Wi-Fi no es sino una red doméstica que permite una conexión inalámbrica a Internet a través de una herramienta física, conocida como router; que a su vez conecta con una red pública de comunicaciones vía inalámbrica o por cable. Efectivamente, la conexión Wi-Fi parte de un router al que la correspondiente operadora de telecomunicaciones asigna una dirección IP pública, normalmente dinámica, y una máscara de red (5) ; clave esencial para poder utilizar el protocolo TCP/IP —Transmission Control Protocol/Internet Protocol—. El router funciona a modo de punto de acceso o AP —Access Point—, a través del cual se conectarán dispositivos electrónicos inalámbricos (Pcs portátiles, tablets, smartphones, teléfonos móviles con acceso a Internet, …), llamados estaciones cliente; a las cuales el AP les asigna una IP privada, conocida como DHCP —Dynamic Host Configuration Protocol—, a los efectos de organizar el envío y recepción de paquetes de datos. Es de este modo como se consigue discriminar la atribución y reparto de paquetes entre los distintos usuarios que eventualmente pudieran encontrarse a la vez conectados a un mismo punto de acceso. Aparte de la IP privada propia, que por definición es fija, invariable, por ser la pasarela o puerta de enlace hacia Internet, el router, como punto de acceso de las estaciones cliente, se identifica con un nombre, el SSID (6) —Service Set Identifier—. A su vez, los terminales que actúan como estaciones cliente se identifican por la IP privada que les es asignada por el punto de acceso en cada conexión; y, además, por un identificador fijo correspondiente a la tarjeta o interfaz de red del terminal o host: El MAC —Medium Access Control—; con el que también está dotado el punto de acceso. El MAC no es sino un identificador numérico o alfanumérico que se asigna a toda tarjeta de red con la que cuentan los soportes físicos de los dispositivos de comunicaciones electrónicas; el equivalente al número de IMEI de la telefonía móvil.
El router cuenta con su clave propia de acceso; que permitirá la manipulación o programación de sus parámetros de forma inalámbrica. Ha sido este uno de los puntos vulnerables a través de los que piratas informáticos o simples usuarios que querían acceder gratis a una red doméstica para conectarse a Internet conseguían penetrar en una red Wi-Fi sin conocimiento de su titular. Conociendo nombre de usuario y clave de acceso al router, lo cual venía favorecido por el carácter abierto del primer dato y la configuración estandarizada de numerosos modelos de router que se ofrecían en el mercado, accesibles a través de páginas web que las publicitaban (7) , podía accederse a Internet a través de la red privada captada sin conocimiento de su titular. Conocer mediante este manejo remoto la propia contraseña de la red Wi-Fi o incluso cambiarla, era por ello relativamente sencillo.
La clave de Wi-Fi opera, sin embargo, con una finalidad de imponer la exclusión del uso de la red por aquellos usuarios que no tuvieran conocimiento de la misma; no tanto para preservar la privacidad de titularidades y usuarios autorizados. Por supuesto que una entrada no autorizada a una red Wi-Fi abre el camino al empleo de herramientas que como los programas del tipo spoofers o wire-sharks permiten emular la clave MAC de un dispositivo portátil conectado a una determinada red doméstica para acceder así a la información que éste recibe, o incluso, aplicando el conocido como modo promiscuo, hacer permeable cualquier información que se reciba por cualesquiera dispositivos conectados. Sin embargo, ello supone una subida de escalón que requiere de la posesión de las adecuadas herramientas y conocimiento para su manejo. Es la protección de la red frente a utilizaciones que merman la eficiencia del tránsito de información por sobrecarga de intercambio de datos, o ponen en riesgo autorizaciones de uso, lo que realmente está detrás de la finalidad específica de la clave de acceso a red Wi-Fi.
Ningún dispositivo de comunicaciones puede acceder a Internet a través de una Wi-Fi privada si no es introduciendo su clave de acceso. Es esta clave un elemento esencial para superar el protocolo de conexión; que, a su vez, de forma ya muy extendida, viene acompañado de herramientas de encriptación cada vez más avanzadas que pretenden evitar el acceso ilícito a la información que transita por la red privada (por ejemplo, la WPA3, con un estándar de protección mediante cifrado de desde 128 bites (8) ).
Esta clave de acceso juega un papel esencial en el protocolo de conexión a Internet a través de una red Wi-Fi privada. Una vez que se ha iniciado un protocolo preambular de detección y contacto inicial entre el dispositivo móvil y la red privada (9) , el protocolo de autenticación hace que se active el intercambio automático de determinados paquetes de datos, conocidos como de solicitud y respuesta de asociación —association request & association response—; que son los que permiten que una conexión se lleve a efecto. La estación cliente detecta el SSID del punto de acceso y envía un paquete solicitando respuesta, en el que hace permeable su dirección MAC (MAC Adress); y éste, a su vez, asigna provisionalmente un espacio de memoria para su cliente; generando el punto de acceso un paquete en el que le envía una primera respuesta afirmativa o negativa a la asociación, con asignación provisional de la IP privada. El siguiente paso vendría representado por el paquete de autenticación; el cual solamente interactúa cuando la red Wi-Fi tiene activados mecanismos de seguridad en orden a procesos de autenticación de quien está detrás de la solicitud de conexión; y que evidentemente no está presente en las redes públicas. Es aquí donde entre en juego la clave de acceso a la red: El pretendido usuario debe introducir la clave para poder acceder a la red privada; y solo entonces superará el procedimiento de autenticación. Por regla general, establecida esta primera conexión, el dispositivo móvil conservará automáticamente la clave para futuras conexiones.
Una cámara web, tanto las cámaras que se instalan privadamente por el propio usuario, como las asociadas a un servicio externo de alarmas, puede conectarse, al igual que otros dispositivos, por cable —el conector RJ-45— o de forma inalámbrica a través de una red Wi-Fi (10) . Pero, a su vez, este tipo de dispositivos suelen programarse para su manejo remoto a través de los servidores de las empresas fabricantes o que prestan el servicio propio de la videocámara. La cámara intercambia paquetes de datos con el servidor, y entre ellos los mensajes de video; y el usuario accede a las imágenes y da órdenes de funcionamiento concreto a la cámara a través precisamente del servidor.
El cambio de IP dinámica asignada a un router da lugar a la necesidad de la variación en determinados dispositivos móviles de la referencia/correlación de la nueva IP asignada. Los servidores de servicios DNS —DDNS— facilitan la información, bien de forma automática, bien con programas específicos que se encargan de realizar el cambio en los dispositivos conectados; tanto lo haga a través de programas que identifican al dispositivo bajo su nombre de usuario, como realizando los cambios adecuados conforme se va detectando la variación en la IP pública. De hecho, el funcionamiento de cámaras de seguridad suele llevarse a efecto, una vez establecida obviamente la relación entre el punto de acceso a la red y el dispositivo a través de la Wi-Fi o por cable, mediante la asignación del nombre de dominio o usuario —Domain Name— y el nombre identificador del servidor DNS que le presta el servicio.
El acceso a la red privada no es obviamente a nivel de usuario persona física, sino por dispositivo móvil; por lo que cualquier intento de conectar a la red dispositivos propios habrá de pasar por la superación de un nuevo protocolo de autenticación, incluida la inserción de la clave de Wi-Fi. Resulta evidente, eso sí, que la facilitación por el titular o usuario autorizado a un tercero de la clave de acceso a la red, al presuponer la apertura de la red a un determinado dispositivo mientras no se cambie la clave Wi-Fi, genera una indiscutible autorización presunta al uso de la red como puerta de acceso a una conexión a Internet a través del router, sin duda de presente, pero con eventual proyección de futuro.
¿Puede entonces considerarse una clave de red privada Wi-Fi un dato personal indirecto de naturaleza identitaria? La verdad es que no. La clave de Wi-Fi no identifica a su usuario. Son la SSID y MAC del router los elementos identificadores del punto de terminación de red asociado a un determinado titular de contrato de acceso a Internet. Ni de forma directa ni indirecta podemos asociar una determinada identidad física ni electrónica a una clave Wi-Fi que, en este sentido, tiene un cometido prácticamente equiparable al candado que protege el uso de una bicicleta de personas no autorizadas. La clave Wi-Fi no participa en modo alguno en procesos comunicativos de intercambio de datos; ni siquiera se hace visible en las cabeceras de los paquetes de datos que circulan por la red privada; tampoco son accesibles a los operadores de servicios de Internet. Sería la IP pública asignada al punto de acceso a la red unida a su identificador electrónico y, en su caso, las IPs privadas generadas por éste a los diversos dispositivos móviles que conectan a través suya, el verdadero dato que permite la identificabilidad indirecta de una persona. La clave solo abre la posibilidad de conectarnos a Internet a través de la red privada (11) . Cualquier intento de acceso a información privada, datos personales, de un tercero a través de tal conexión requiere del empleo de mecanismos, procedimientos o herramientas que trascienden plenamente de lo que supone una utilización de la red, amparada o no por un consentimiento previo expreso o presunto, para una finalidad no consentida.
La clave Wi-Fi no es un nombre de usuario, ni un número de identificación de usuario físico o electrónico; no permite la localización de usuario alguno, ni menos facilita información alguna sobre un identificador en línea
La clave Wi-Fi no es un nombre de usuario, ni un número de identificación de usuario físico o electrónico; no permite la localización de usuario alguno, ni menos facilita información alguna sobre un identificador en línea. En este último sentido, la clave Wi-Fi no aporta ninguna información sobre la identidad del titular de la red privada; pero tampoco sobre los usuarios que están conectados a la misma. El acceso a información privada que circule a través de la red doméstica depende del manejo de otras herramientas o datos que nada tienen que ver con el desvelo y uso no concretamente autorizado de la red privada. La clave Wi-Fi solamente permite hacer uso de la red; no acceder a la información sobre una concreta persona determinada o determinable. Hablar por ello de que la clave Wi-Fi constituye un identificador en línea no parece atender ni a su funcionalidad tecnológica ni a un concreto cometido identificador derivado de su naturaleza y funcionalidad.
III. ¿Puede realmente considerarse la clave de red Wi-Fi doméstica un dato personal a los efectos de lo establecido en el art. 197.4,b) del Código Penal?
En nuestra legislación interna podemos encontrar un concepto técnico jurídico que nos acerca a la idea de identificador en línea al que se refiere la sentencia objeto de comentario. Ni la Directiva 2013/40/UE (LA LEY 13365/2013) (12) ni el RGPD recogen un concepto genuino de identidad electrónica. Habríamos de acudir, para ello, al análisis conjunto de los arts. 84.i) (LA LEY 687/2005) y 90 del Real Decreto 424/2005, de 15 de abril (LA LEY 687/2005), por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios. Ambas normas atañen al régimen de interceptación legal de comunicaciones, pero aportan una idea clara del concepto técnico de identidad electrónica que nos permite avanzar en su comprensión; a la vez que ahondar en esa visión dinámica que está detrás del concepto de dato personal identificador en línea. El primero de los preceptos define a la identidad electrónica, identidad, como «etiqueta técnica que puede representar el origen o el destino de cualquier tráfico de comunicaciones electrónicas, en general identificada mediante un número de identidad de comunicaciones electrónicas físico (tal como un número de teléfono) o un código de identidad de comunicaciones electrónicas lógico o virtual (tal como un número personal) que el abonado puede asignar a un acceso físico caso a caso» (13) . El art. 3 de la Ley 25/2007, de 18 de octubre (LA LEY 10470/2007), de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones —LCDCE— ya nos avanzaba igualmente en los conceptos de sujeto objeto de interceptación, manejando ese mismo concepto amplio a la hora de determinar la información que habría de ser objeto de conservación por imperativo legal.
Esta definición ya nos avanza una doble opción a la hora de determinar una concreta identidad electrónica: Un dato o identificación de naturaleza física, como sería el número de teléfono, como identificador de éste; y una forma lógica o virtual de identificación, que se define como código de identidad. Es precisamente este último el que representa un mayor interés; pues en él puede tener que verse plasmada la intervención del usuario en su conformación (v.g.r. nombre y clave de usuario). El art. 90, en sus apartados c), d) y e) desarrolla esta segunda acepción de la voz identidad. Esta norma describe, hablándonos de punto de terminación de red o de terminal, la identificación del acceso a la red del abonado al que el proveedor da servicio; pero también de código de identificación, «…en caso de que sea el usuario el que active el terminal para la comunicación», cerrando el círculo definitorio con la cláusula abierta de cualquier otra identidad que se adaptara al anterior concepto manejado por el art. 84.i).
El nuevo art. 58.5,a) de la Ley 11/2022, de 28 de junio, General de Telecomunicaciones (LA LEY 14695/2022) —LGT— avanza precisamente en esa dimensión tecnológica del concepto de identidad electrónica; distinguiendo en su párrafo segundo los conceptos de identificadores permanentes e identificadores del dispositivo empleado para la comunicación. Al primero asigna la cualidad de atribuir de forma inequívoca a un concreto usuario la prestación de un concreto servicio. Y cuando las asignaciones de identidades fueran de carácter temporal, la norma prevé en el párrafo siguiente la posibilidad de establecer una correlación entre el identificador permanente y esta asignación temporal.
Con esta configuración de la voz identidad, comprenderemos que la idea de identidad en línea recogida en el RGPD nos lleva irremisiblemente a la consideración de que la identidad electrónica atañe a la posibilidad de identificar a quién participa o ha participado en un determinado tráfico de comunicaciones a través de Internet; o, al menos, quien es el titular, persona física o jurídica, que está detrás de un determinado componente que, bien en forma física, bien en forma virtual, accede a Internet. En tanto en cuanto pudiéramos asociar un dato electrónico a un determinado usuario o abonado, estaríamos adentrándonos en ese concepto de dato personal que identifica o permite identificar a una determinada persona.
Pero resulta que el dato de la clave de acceso a una red doméstica tipo Wi-Fi nada aporta al respecto. No es un dato en modo alguno manejado por las operadoras de comunicaciones para prestar un determinado servicio de comunicaciones electrónicas; ni menos cumple el cometido de ser identificador del dispositivo empleado para la comunicación, al que se refiere el párrafo segundo del apartado a) del número 5 del art. 58 de la LGT. IP dinámica asignada, número de abonado telefónico asociado al router, SSID o numeración MAC correspondiente a este dispositivo físico sí participarían de esta condición de dato personal en su variante de identificabilidad. La clave de Wi-Fi se limita a facilitar el acceso a la red doméstica; y los usuarios, autorizados o no, que accedan a ésta podrían ser objeto de identificabilidad. Pero lo serían no por haber tenido un conocimiento o acceso/utilización no autorizados de la clave, sino por el hecho de navegar a través de esta red interna que facilita la conexión vía punto de acceso de su titular. Incluso esos mismos datos de usuarios que están conectados a una red doméstica pueden ser perfectamente individualizados con solo rastrear el espectro radioeléctrico en abierto por el que circula la información que se canaliza a través de la red doméstica.
Desde un punto de vista técnico-jurídico concebir la clave de Wi-Fi como un identificador en línea se muestra, por ello, como un planteamiento manifiestamente discutible. Más, si tenemos en cuenta que esa idea de en línea nos acerca más a la de identificador de dispositivo empleado para la comunicación a que antes hemos hecho referencia. Es la correlación entre dato personal y posibilidad de identificación del mismo a través de él lo que configura realmente al dato identitario; y ello no puede encontrarse en la simple utilización de la clave de acceso a una red Wi-Fi.
Es claro que el Tribunal Supremo plantea una aplicación de ese concepto de dato personal que se recoge en art. 4.1 del RGPD (LA LEY 6637/2016) (14) ; y ello pese a que el art. 2.2 del mismo excluye de su marco normativo al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente domésticas (15) . Pero, pese a ello, no deberíamos extraer la fácil conclusión de que el Alto Tribunal hubiera errado a la hora de hacer una aplicación directa del RGPD. Es evidente que cuando el art. 197.4,b) del CP (LA LEY 3996/1995) habla de «…utilización no autorizada de datos personales de la víctima», aunque su redacción, introducida por la Ley Orgánica 1/2015 (LA LEY 4993/2015) fuera anterior a la publicación del RGPD, se estaba inspirando en ese mismo concepto ya manejado por el legislador comunitario (16) . La norma utiliza el concepto; pero lo desarraiga de un régimen jurídico que tiene a unos destinatarios distintos a los particulares que realizan un tratamiento doméstico de los datos. En este mismo sentido de utilización del concepto se pronunció la Circular de la Fiscalía General del Estado 3/2017, de 21 de septiembre; relacionando el dato identificador con números tales como el DNI, teléfono, número de afiliación a institución pública o privada, dirección postal, apartado de correos, etc. (17)
La difícil convivencia que se anticipaba entre el concepto datos reservados de carácter personal o familiar de la versión original del precepto y el evolucionado concepto de datos personales que se utiliza en la modalidad cualificada pasa a convertirse en algo casi anecdótico. La jurisprudencia que precediera a la STS 15/2023 (LA LEY 3357/2023) no encontraba el más mínimo reparo en advertirnos del carácter neutro, objetivo, del dato que está detrás de la protección penal que brinda el tipo básico del art. 197.2 del CP. (LA LEY 3996/1995) Así se podía apreciar de la lectura de las SSTS 725/2004 (LA LEY 1787/2004), de 1 de junio; 358/2007, de 30 de abril; 634/2019, de 19 de diciembre, y 374/2020, de 8 de junio, entre otras; que consideraran la necesidad de distinguir entre los verdaderos datos sensibles, descritos en el apartado 5, de la modalidad básica de los datos reservados de dicho apartado 2. La más reciente STS 112/2023, de 20 de febrero (LA LEY 18099/2023), concluye afirmando de forma taxativa que: «Los datos personales protegidos por el art. 197 del CP (LA LEY 3996/1995) no pueden confundirse con datos sensibles o secretos; ni son los que integran el núcleo duro del derecho a la intimidad». El solo hecho de ser dato personal ya le confiere la condición de dato reservado.
La introducción de la nueva agravación de la utilización no autorizada de datos personales de la víctima entra peligrosamente en conflicto con el tipo básico del apartado 2; donde entre los distintos verbos que describen la acción se encuentra la utilización no autorizada de datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro archivo o registro público o privado. Es decir: servirá para agravar tanto la modalidad primera (interceptación de comunicaciones o apoderamiento de documentos personales), en sí de correcta factura, al hacerse sin duda merecedora la utilización de datos personales ajenos para acceder a comunicaciones o documentos de un tercero de un mayor reproche punitivo; como la segunda del apoderamiento, utilización o modificación de datos personales en perjuicio de tercero. Pero en este último supuesto podríamos estar sobrevalorando una misma conducta típica; lo cual supone una seria incoherencia interna, a no ser que se quiera interpretar que la acción de utilización de datos personales ajenos no consentidos pudiera convertirse en herramienta vehicular, en el mecanismo a través del cual se realiza la acción de apoderamiento, utilización o modificación de tales datos reservados (el autor consigue a través de un phising datos personales de la víctima, su ex-esposa, gracias a los cuales puede tener acceso a su historia clínica custodiada en archivos de su centro de salud, y los usa en un procedimiento de modificación de medidas de divorcio en su contra).
Esta idea del carácter vehicular de la comentada agravación aparenta tener una relación con el art. 9.5 de la Directiva 2013/40/UE (LA LEY 13365/2013), cuando se hace expresa mención de la utilización de datos previamente captados mediante la generación de confianza en la víctima o en un tercero, para causar daño a aquélla (18) ; y es la que puede dar sentido a la agravación. En la modalidad básica el objeto mismo de la infracción es el apoderamiento, utilización o modificación del dato; que se convierte en el objeto en sí mismo del delito. Sin embargo, en la cualificación son esos datos los que se emplean para la consecución de un fin diverso de entre los dos definidos en los dos primeros apartados del art. 197. En el supuesto que estamos analizando, la diferenciación se hace mucho más clara: el objetivo del empleo de datos personales de la víctima lo es para acceder a sus secretos vulnerar su intimidad; y gracias a ello debe producirse un apoderamiento de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, interceptar sus comunicaciones o hacer uso de artificios técnicos que permitan la escucha, transmisión, grabación o reproducción del sonido o de la imagen, o cualquier señal de comunicación.
Si ya hemos visto cómo la clave de Wi-Fi difícilmente podría encajar en el concepto de dato personal identitario, ni de forma directa ni indirecta, ni menos en el de identificador en línea, la posibilidad de concebir ese mismo dato como un componente vehicular para la consecución del fin de atentar contra la intimidad de la víctima ofrecería, igualmente, serias dudas. Acceder a una red doméstica solamente sirve para poder interactuar en Internet. La red Wi-Fi no es un sistema informático que pudiera permitir una calificación jurídica conforme al tipo penal del art. 197 bis.1 del CP (LA LEY 3996/1995); quien conecta un dispositivo a la red, por conocer previamente u obtener información sobre la clave de acceso, ni accede ni interfiere en un sistema de información ajeno. Se trata de un acto neutro de conexión a la red. La comisión del delito contra la intimidad se llevará a efecto mediante la utilización de un artificio concreto que no necesitará de dato personal alguno de la víctima. Sí lo sería el apoderamiento de datos de dispositivos de la víctima que permitieran una monitorización de datos personales afectantes a su intimidad (se obtiene el dominio remoto de la webcam para captar imágenes íntimas de la víctima). Pero aquí estamos hablando del simple acceso a la red Wi-Fi para conectar el dispositivo de vigilancia empleado por el investigado, así como obtener su manejo remoto.
Además, tomándonos la licencia de superar los estrechos márgenes marcados por el concreto relato de hechos probados de la sentencia, pues el trabajo pretende trascender el cometido de simple comentario o glosa de una concreta resolución judicial, deberíamos reflexionar seriamente sobre si de lo que aquí estamos hablando es de una falta de consentimiento para utilizar una determinada red Wi-Fi como forma de acceso a Internet, o el uso concreto que el autorizado, de forma al menos presunta, hiciera de la misma. Si yo autorizo a alguien a que acceda a Internet a través de mi red doméstica y no establezco limitaciones concretas a tal acceso en lo sucesivo, no podría entenderse en modo alguno que se estuviera haciendo un uso no autorizado de la red y, por ende, de la clave de acceso a la misma, si éste la emplea para ejecutar un acto en perjuicio mío. Realmente la contravención lo es de la confianza que yo pudiera albergar en la persona autorizada en un uso correcto de la red; pudiera derivarse de ello o no un perjuicio directo o indirecto (19) . Pero este uso no autorizado no tendría por qué ser de la clave como pretendido dato personal, sino de la confianza en el buen uso de la red por parte del sujeto autorizado de forma implícita o explícita. Obviamente, quien acude al domicilio de la expareja para cuidar al hijo común, y ha compartido durante varios años la clave de acceso a la red Wi-Fi del domicilio, debería entenderse que contaría con autorización para conectarse a Internet a través de esa red doméstica. Pero la contravención en este sentido, aunque fuera con la conexión de un nuevo dispositivo del tipo cámara de vigilancia, no debería ir más allá del principio de confianza en el correcto uso de la red; lo cual sería ajeno a la finalidad de la modalidad cualificada del art. 197.4,b) del CP (LA LEY 3996/1995)