TEMA 31

1. Delitos informáticos.

1.1 Conceptos generales.

1.2 Tipos de amenazas.

1.3 Terminología de la delincuencia tecnológica.

2. Protección de datos.

2.1 Datos de carácter personal.

2.2 Ámbito de aplicación de la LOPD.

2.3 Principios de la protección de datos.

2.4 Derechos reconocidos a las personas.

3. Especial consideración al derecho a la intimidad.

4. La prueba digital en el proceso penal.

4.1 Grabación videográfica y fotográfica.

4.2 La grabación de conversaciones.

CURSO ONLINE DE TEST Y ORTOGRAFÍA PARA ESCALA BÁSICA

Inicio: 1 de junio.

Sin matrícula ni permanencia.

Precio: 50 €/mes

Mas info en contacto@jurispol.com o en www.jurispol.com

Dispondrás de un tutor online para todas tus dudas, videos explicativos de los temas, esquemas,
preguntas cortas, más de 2.000 preguntas de test cada mes, exámenes por bloques a medida que
avances, todos los ejercicios posibles de ortografía y de la máxima dificultad…

La plataforma de jurispol no cierra nunca, así que podrás prepararte a tu ritmo en cualquier momento.

©Propiedad intelectual registrada. Todos los derechos reservados

Página | 1
1. DELITOS INFORMÁTICOS.

1.1 Conceptos generales: el desarrollo de las TICS (Tecnologías de la Información y la Comunicación) ha

propiciado la aparición de una delincuencia ligada íntimamente a su utilización, que encuentra dentro de las
nuevas tecnologías y concretamente en la informática un nuevo método con el que realizar la actividad
criminal tradicional, e incluso la creación de nuevas técnicas delictivas en las que la informática no solo es el
medio, sino también el fin mismo del delito.

El Consejo de Europa en el Convenio sobre la ciberdelincuencia, Budapest, 23 de noviembre de 2001,

ratificado por España el 20 de mayo de 2010, establecido la necesidad de prevenir los actos dirigidos contra
la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos,
así como el abuso de dichos sistemas, redes y datos.

En la actividad delictiva, internet posee unas características que hacen que su utilización sea muy rentable:

 No existen límites territoriales: una persona desde el otro lado del planeta puede cometer delitos
cibernéticos de la misma forma que si estuviera en las proximidades.
 Capacidad de comunicación desde y con cualquier lugar, gracias al uso de terminales móviles
(smartphones, tablets, etc.).
 Anonimato. Cualquier usuario conectado a la red está identificado únicamente por una dirección IP,
la cual no singulariza necesariamente al PC utilizado, ni a la persona que lo utiliza, ni tampoco
permite ubicarle necesariamente (anonimizadores, cibercafés, proxys, etc.).
 Multiplicidad de usuarios y equipos interconectados: la red se convierte en un elemento de
comunicación de masas en las que, además, los propios usuarios no son solo receptores pasivos de
información, sino que intervienen de forma activa en la misma.
 Ocultación y/o encriptación del contenido: las comunicaciones a través de la red se pueden cifrar y/u
ocultar, haciendo en ocasiones imposible el acceso a su contenido.
 Dificultad de persecución: debido a diversas trabas judiciales a la hora de perseguir los delitos
(autorizaciones judiciales, comisiones rogatorias, etc.).

Dada la implantación a nivel mundial de Internet y su utilización por millones de personas, no es de extrañar
que se puedan cometer en la red la práctica totalidad de los delitos tipificados en el Código Penal, con las
consiguientes dificultades que supone para los investigadores el anonimato de sus autores y la
transnacionalización de los delitos cometidos; características vinculadas estrechamente a la propia definición
y uso de Internet.

Las actividades delictivas que con mayor frecuencia suelen darse a través de Internet son:

 Delitos contra la libertad e indemnidad sexual, art. 189.

 Delitos contra la libertad: amenazas, art. 169.
 Defraudaciones de fluido en telecomunicaciones, art.255.
 Delitos contra el honor: calumnias, art. 205; injurias, art. 208.
 La apología o enaltecimiento del terrorismo, del racismo y la xenofobia, arts. 18, 571 a 578; y delitos
de genocidio, art. 607.
 Delitos de estafa, art. 248.
 Delitos de falsedad documental, arts. 390 y ss.
 Delitos de daños y específicamente daños informáticos, arts. 263 y 264.
©Propiedad intelectual registrada. Todos los derechos reservados

Página | 2
  Delitos de descubrimiento y revelación de secretos, art. 197.
 Descubrimiento de secretos de empresa, art.278.
 Delitos contra la propiedad intelectual, art. 270.

1.2 Tipos de amenazas:

a) PHISHING: es el robo de información personal y/o financiera de un usuario de servicios telemáticos a

través de la falsificación de un ente de confianza, ante el cual el usuario cree estar operando. Estos datos
personales que facilita el usuario, realmente, son ofrecidos directamente al atacante.

Las formas y métodos con los que se desarrolla este tipo de estafa son muy diversos:

 Utilización por parte del delincuente de una identidad usurpada a una fuente de confianza
(empresas, entidades financieras, sitios de gestión de pagos electrónicos, etc.).
 Envío de una comunicación a múltiples usuarios con la esperanza de que alguno "pique". El término
phishing deriva del ingles "fishing" = pesca; se lanzan miles de anzuelos con la intención de pescar
algo.
 La comunicación simula provenir de la entidad de confianza utilizándose en su confección rasgos
propios de la empresa (logos, diseños, lenguaje, etc.).
 A través del mensaje se insta al usuario a enviar datos confidenciales, los cuales va a compartir en la
creencia de que el remitente ya los posee y únicamente forman parte de un protocolo de seguridad
para verificar su identidad.
 Existencia de un mecanismo de envío al estafador de los datos confidenciales proporcionados por el
usuario.

Para detectar y prevenir el phishing se debe tener en cuenta:

 Análisis del mensaje recibido: que el contenido sea lógico, coherente, esté escrito con un lenguaje
correcto, no contenga faltas de ortografía, etc.
 Que el nombre del dominio y el del primer nivel, se correspondan con los de la página original.
 Existencia de protocolo de seguridad https.
 Petición de datos personales o contraseñas.

b) PHARMING: técnica de hackeo que comparte con el phishing la creación de una página web destinada a
suplantar a la original. Lo que diferencia a la técnica del pharming es que en lugar de redirigir al usuario
mediante un enlace en un correo electrónico (tal y como ocurre con el phishing), en este caso la redirección
la realizan los Servidores de nombres i de Dominio (DNS), el fichero host o el router.

Las páginas webs de todo el mundo se encuentran alojadas en distintas máquinas llamadas servidores y cada
una tiene una dirección IP única. Una dirección IP está formada por 4 números, separados por un punto (.), y
cada uno de ellos puede tener un valor comprendido entre 0 y 255. Los equipos de red que difunden
nuestras peticiones de conexión, entienden únicamente de direcciones IP y no de nombres de páginas web.
De forma que cuando un usuario quiere acceder a una página web (por ejemplo www.jurispol.com),
realmente a lo que accede es a la página que hay alojada en una dirección IP determinada.

©Propiedad intelectual registrada. Todos los derechos reservados

Página | 3
Comoquiera que de cara al usuario es más sencillo recordar el nombre de una página que su dirección IP, el
PC del usuario, de forma automática, consulta el nombre de la página web a un servidor llamado DNS
(sistema de nombres de dominio) cuya función es traducir el nombre de la página web a la que se quiere
acceder por su dirección IP, y devuelve ese emparejamiento al navegador de Internet del usuario, quien esta
vez ya si que enlaza con el lugar solicitado utilizando dicha dirección IP. Los Servidores DNS son comúnmente
suministrados por el proveedor de Internet del usuario.

Cuando se realiza pharming (deriva del término inglés farm = granja, en relación a grupos de servidores de
DNS conocidos como granjas), el hacker lo que realiza es un ataque al servidor DNS, accediendo a sus bases
de datos y cambiando el emparejamiento original nombre de dominio-dirección IP, por una nueva dirección
IP que es la página web falsa que suplanta a la genuina.

Otra técnica de pharming que ataca de forma individual consistiría en modificar (ya sea directamente
mediante hacking o a través de un virus) un archivo de configuración del sistema operativo en el PC del
usuario, llamado archivo "host", en el cual se puede establecer una conversión de nombres a IPs. Ante la
solicitud de un sitio web en el navegador de Internet, el sistema operativo consulta primero su archivo host y
si este le facilita la IP correspondiente, no se realizará la consulta al servidor de DNS, sino que enlaza
directamente con la IP ofrecida por el fichero host (que ha podido ser manipulado para reflejar un
emparejamiento falso). Este tipo de ataque es la forma de pharming más habitual al ser la más fácil de
realizar por el delincuente.

Una última vía de realizar pharming consistiría en el ataque de los routers o firewalls. Normalmente cuando
navegamos por internet lo hacemos utilizando un router que suele facilitar la compañía que provee el
servicio de internet. El router queda configurado de forma que al acceder a internet las consultas a los
distintos dominios son dirigidas hacia un servidor de DNS de la compañía, la cual resuelve las distintas
direcciones de dominios.

En este caso el hacker cambia la dirección IP del servidor de DNS preestablecido en el router y la sustituye
por la de un servidor que tiene bajo su control.

Para detectar y prevenir el pharming:

 Visualizar el contenido del fichero host, analizando los posibles emparejamientos IP-nombre de
página web.
 Acceder a la configuración del router y comprobar que los servidores DNS coinciden con los que
ofrece la empresa que da suministro de internet.
 Utilizar antivirus.

c) BOTNET: sistema basado en programas informáticos maliciosos instalados en varios PC´s y permite a un
atacante tomar el control de esos terminales infectados sin que los propietarios tengan conocimiento. Los
botnets son también llamados redes zombis o robots.

Las vías por las que un PC puede infectarse con un bot suelen ser:

 Mediante un troyano que a través de internet se introduce en un sistema aprovechando

vulnerabilidades del mismo (puertos no protegidos, aplicaciones con acceso a internet, etc.).

©Propiedad intelectual registrada. Todos los derechos reservados

Página | 4
  Por medio de cualquier archivo adjunto que haya llegado, se ejecute por el usuario y contenga el
software malicioso (correo electrónico, redes sociales, etc.).

Los propósitos para los que se utilizan los botnets son:

 Envío de correos electrónicos no deseados (spam).

 Ataques a servidores online (sitios webs, servidores de mensajería instantánea, etc), para provocar
denegaciones de servicio (DoS). Consiste en realizar múltiples conexiones de acceso a un sitio web,
produciendo un colapso en ese servidor web, el cual no es capaz de atender a tantas peticiones y
finalmente deja de funcionar.
 Captación de datos confidenciales de los usuarios infectados, utilizando software que capta las
pulsaciones del teclado (Keyloggers) pasa conocer datos de interés como las claves y contrasenas.
 Acceder a páginas webs publicitadas que son remuneradas en función de las visitas recibidas.
 Ataques a sitios webs protegidos con contraseñas "débiles" mediante técnicas de fuerza bruta.

Para detectar y prevenir los bots:

 Utilizar antivirus.
 Configurar correctamente el firewall

d) SPAM: llamado también correo basura, es la recepción de mensajes no deseados de forma electrónica,
siendo la más común generalmente mediante correos electrónicos, pero no descartando otros medios como
mensajes en el teléfono móvil, mensajería instantánea o chat.

El propósito fundamental del spam es el envío de publicidad, lo cual como se realiza de forma masiva
perjudica la capacidad del tráfico en la red.

El spam está relacionado directamente como medio de propagación de otros ataques cibernéticos citados
con anterioridad, como sería el phishing y/o los botnets. Además, un ataque spam contra un servidor de
correo electrónico puede, en determinados casos, producir denegaciones de servicio y la consiguiente caída
del servidor.

Relativamente reciente es la utilización de spam en las redes sociales (facebook, twitter, MySpace, etc.), en
las cuales se insertan enlaces para promocionar sitios webs, o bien para desprestig ¡arios, enlazándolos con
contenidos no deseados.

Para realizar spam se requiere una base de datos con miles de registros de direcciones de correo electrónico
a los que enviar los mensajes, y generalmente los métodos utilizados para adquirir esos registros no suelen
ser por la inscripción voluntaria de los interesados, sino robados de mensajes existentes con multitud de
destinatarios (llamados hoaxes o cadenas de e-mails) o sustraídos de las bases de datos de usuarios de sitios
webs.

e) Estafas:

 Compra de productos y servicios mediante la utilización de números de tarjetas de crédito válidos

("carding"). Estos números pueden pertenecer a titulares y ser obtenidos ilegalmente o bien ser
generados por distintos programas informáticos.
©Propiedad intelectual registrada. Todos los derechos reservados

Página | 5
  Transferencias en banca "on-line" (“phising”, "pharmingll, ataques XSS tienen como objeto conseguir
claves de cuentas bancarias o pin de tarjetas.
 Subastas y ventas ficticias, "e-commerce" (comercio electrónico): usando páginas de venta donde el
cliente realiza el pago por cualquier medio pero no obtiene el producto a cambio.
 En distintas épocas del año se dan estafas en los alquileres de pisos o apartamentos, como al
comienzo del verano o del curso universitario, igualmente en la venta de productos en Navidad o en
la campaña de declaración de la renta.
 El envío de malware a través de botnets: de esta manera, utilizando fundamentalmente correos
electrónicos con archivos adjuntos, introducen ejecutables con troyanos o spyware que facilitará
información a los delincuentes sobre cuentas bancarias, correo de la víctima y otros datos
personales, pudiendo incluso solicitar dinero para "liberar" al ordenador.
 También se dan estafas mediante ofertas de empleo ficticio, solicitando pagos para gestionarlas, o
pagos anticipados para diversas gestiones (viajes, gestión de documentos, mula phising), y otras
como las cartas nigerianas, pirámides financieras, juegos y casinos virtuales, nazarenos, etc.

Redes de distribución de material pornográfico infantil, mediante difusión de contenidos y descargas de

archivos en foros, programas p2p, que deben ser detectadas, investigadas y localizadas.

 El "grooming" es un fenómeno consistente en acosar a menores a través de Internet para obtener

fotos o videos de ellos desnudos o en actitudes de carácter sexual, mediante chats, redes sociales,
páginas de exhibición física y mensajería instantánea; un el adulto, haciéndose pasar por menor y
ganándose la confianza de este, consigue estos propósitos.
 Las injurias, calumnias, amenazas, y ataques contra la intimidad personal, se realizan a través de
foros, redes sociales, chats, sms, etc.

f) Uso fraudulento de las telecomunicaciones: la principal problemática existente en esta materia procede
de las líneas de tarificación adicional creadas para dar respuesta a un determinado grupo de profesionales,
que cobran sus servicios precisamente a través de la facturación telefónica. El usuario realiza la llamada a un
número especial, su compañía le factura por el tiempo consumido y transfiere entre el 60 y 75% del importe
pagado por aquel a la empresa anunciadora y el resto lo percibe la operadora telefónica. Las principales
mercantiles que utilizan este tipo de líneas son aquellas relacionadas con el juego on-line, el tarot, videntes y
el sexo.

Las métodos empleados por estas organizaciones son:

 Tarjetas prepago: la persona que tiene instalada una línea de tarificación adicional, falsifica o clona
tarjetas prepago y las entrega a otras personas para que llamen a su teléfono. Hacen las llamadas
con cargo al saldo ficticio y la compañía telefónica les abona el importe.
 De la misma manera que años atrás se pinchaban las cajas distribuidoras para utilizar la línea de un
particular y realizar llamadas a teléfonos de tarificación adicional, hoy en día se roba la señal del
ADSL del vecino con el mismo fin o se usurpa la señal Wi-Fi.
 Anuncios en páginas webs con ofertas de empleo falsas, venta de productos fraudulentos, falsos
servicios de asistencia técnica en los que el teléfono de contacto es de tarificación adicional. Cuando
una persona llama, se le entretiene para que la facturación suba sin tener en cuenta el servicio o el
producto que supuestamente era ofertado. Resulta habitual que estos anuncios estén vinculados a
compañías ubicadas en países que no colaboran con las investigaciones.

©Propiedad intelectual registrada. Todos los derechos reservados

Página | 6
  Envíos de mensajes SMS a los teléfonos móviles incitándoles a llamar a un teléfono de tarificación
adicional con la excusa de un premio, un contacto, sorteo de teléfonos móviles, un fin de semana de
vacaciones pagadas, la entrega de un paquete, etc. El teléfono que se indica, al ser de tarificación
adicional, se disimula, por ejemplo, en vez del 806.12.34.56, figura el 80- 612.34.56.
 También se ha detectado fraude a través de llamadas telefónicas a países denominados "sumidero",
muchos de ellos del África subsahariana; utilizando el rooming se genera un importante tráfico de
llamadas que genera grandes beneficios que son cobrados por empresas ficticias.
 Otros fraudes detectados en las telecomunicaciones son los relacionados con las plataformas
digitales, que consisten en:
o Codificación y falsificación de las tarjetas descodificadoras de las señales de televisión.
o Programación, venta y distribución a través de Internet de las tarjetas descodificadoras.
o Fabricación, manipulación y venta de aparatos descodificadores de señales digitales.

1.3.- Terminología de la delincuencia tecnológica:

Anonimizador: aplicaciones informáticas, sitios webs o sistemas operativos que permiten que cualquier
acceso a la red sea anónimo por parte del usuario... Generalmente se realiza enrutando las conexiones por
caminos indirectos (cuanto más indirectos más anónimos). Muchos navegadores de internet cuentan con
sistemas de navegación oculta o anónima. Es un referente en este tema el software “TOR” que es un
programa que utiliza una red distribuida de ordenadores conectados qué actúan como enrutadores del el
tráfico web, es decir, todos aquellos ordenadores que tienen instalado ese software pueden actuar como
enlaces intermedios a la hora de conectar con una página web.

Ransomware o ataques criptovirales: forma de ciberextorsión por la que en un PC se instalan virus sin
consentimiento del propietario, dando al delincuente la capacidad de bloquear o encriptar ciertos datos del
equipo desde una ubicación remota (generalmente afecta a archivos importantes para el usuario como
documentos, fotografías, vídeos, etc.). Aunque generalmente, tras la instalación del virus se ejecuta de
forma automática la encriptación o bloqueo. La víctima recibe un mensaje que indica que ya no podrá
acceder a sus archivos e informaciones a no ser que realice un pago para que se le proporcione un código
que permitirá la desencriptación y posterior lectura de los mismos. Un caso conocido fue el del "falso
mensaje del CNP".

White hat o Black hat: personas con alto grado de conocimiento técnico informático (hackers), el cual es
utilizado en el primer caso para asegurar y proteger los sistemas de las TICS, y en el segundo caso para fines
maliciosos, como romper sistemas de seguridad o infectar equipos.

Bomba lógica: son piezas de código de una aplicación que permanecen inactivas en un ordenador infectado,
hasta que se cumple una determinada condición que las hace activarse y ejecutar la acción maliciosa para la
que está programada. La condición detonante puede ser muy variada: que se encienda el ordenador en
determinada fecha, o que se teclee una palabra concreta en un procesador de textos por ejemplo.

Ciberterrorismo: es el ataque a las TICS, o utilización de las mismas con fines terroristas. De esta definición
debe entenderse internet como herramienta TIC fundamental y elemento casi imprescindible en la mayoría
de los ataques ciberterroristas, es decir, utilizar la red de comunicación de sistemas informáticos extendida a
nivel mundial como medio para cometer actos terroristas o como fin en sí mismo de los atentados.

©Propiedad intelectual registrada. Todos los derechos reservados

Página | 7
Defacer: consistiría en el ataque a una página web para desfigurarla visualmente, cambiar su apariencia con
el fin de hacer público cualquier tipo de mensaje, ya sea reivindicativo, propagandístico, informativo, etc. En
varias de las acciones del grupo Anonymous, como las de apoyo a Wikileaks o contra Israel, en las páginas
webs atacadas aparecían mensajes explicativos de la acción realizada.

Domainer: persona que especula con la compra y posterior venta de nombres de dominio. Compra muchos
dominios, invirtiendo en ellos con el fin de vender en un futuro esos nombres de dominio a empresarios
relacionados con el sector del nombre registrado. El domainer estaría relacionado con el cibersquatting, en
el cual se compra un dominio con un nombre comercial que ya existe en el mundo físico o muy parecido a
este, pero que no estaba registrado como nombre de dominio. Cuando la persona legítima propietaria de
una marca pretende registrar un dominio con su nombre, se encuentra con que ya existe y debe pagar una
suma de dinero considerable por que le cedan los derechos. El cibersquatting contraviene las normas de
registro de la mayoría de registradores oficiales de dominios.

Grooming (child grooming): consiste en que un adulto intenta establecer lazos personales con menores y
adolescentes a través de Internet, haciéndose pasar por uno de ellos. Una vez establecida cierta relación,
mediante técnicas de ingeniería social, se irá ganando la confianza de la víctima para poder obtener
cualquier contenido audiovisual de carácter sexual del menor, y con ello en su poder, iniciar una serie de
chantajes que continúen satisfaciendo su perversión sexual.

Técnicas de ingeniería social: se llaman así a una serie de técnicas que pretenden obtener, a través del
engaño a usuarios legítimos, información privada sobre su entorno, y así poder realizar ataques más
sofisticados sobre el mismo, como acceso a los sistemas, fraude o robo de información entre otros. Uno de
los ingenieros sociales más famosos de los últimos tiempos estableció los cuatro principios sobre los que se
asienta

 Todos queremos ayudar.

 El primer movimiento es siempre de confianza hacia el otro.
 No nos gusta decir no.
 A todos nos gusta que nos alaben.

Hacker: persona con conocimientos avanzados en informática. Actualmente se asocia al hacker con accesos
no autorizados a computadoras y redes de computadoras. La finalidad de esos ataques no autorizados es
muy diversa: ánimo de lucro, destrucción de sistemas o de información, descubrimiento de vulnerabilidades,
reivindicación de ideologías... Cuando hacker utiliza sus conocimientos de forma maliciosa es denominado
Cracker.

Phreaker es un hacker que basa su actuación en cualquier cosa relacionada con la telefonía móvil (tanto
redes como equipos).

Sniffer: software utilizado para "escuchar" el tráfico de datos de una red informática, tanto basada en
ethernet (por cable) como wifi (inalámbrica). Una vez capturados los paquetes de datos que circulan por una
red, se almacenan y analizan con el objeto de descubrir contraseñas, datos personales, etc. También pueden
ser usados como herramienta de análisis forense de una red para detectar fallos en la misma o medir
distintos parámetros del tráfico de datos.
©Propiedad intelectual registrada. Todos los derechos reservados

Página | 8
Spyware: también llamado software espía son programas que se instalan en un PC sin conocimiento
(aparente) del usuario. El objetivo de estos programas es captar la información a la que accede un ordenador
cuando está encendido para recopilar todos esos datos y enviarlos a una entidad externa con determinados
propósitos. Se pueden utilizar para establecer tendencias de consumo, actuar como keyloggers y enviar
secuencias correspondientes a claves, contraseñas, números de cuentas, etc.

Trolls y provocadores en la red: en el ámbito de Internet es un usuario que publica en sitios de opinión
mensajes o de otra forma participa buscando intencionadamente molestar a otros usuarios y lectores,
creando controversia y provocando reacciones predecibles. Los sitios en los que se producen las acciones de
los trolls suelen ser en foros, chats, blogs o sitios webs. Su motivación suele ser la diversión, cambiar los
temas de conversación o enfrentar entre sí a los otros participantes.

2. PROTECCIÓN DE DATOS.

El art. 18 de la CE, reconoce el derecho fundamental "al honor, a la intimidad personal y familiar y a la propia
imagen" y dispone para su garantía, que "la ley' limite "el uso de la informática" (arts. 18.1 y 4 CE,
respectivamente).

El contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y control
sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un
tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que permite al individuo saber
quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso.

El haz de garantías que permite el respeto al contenido esencial del derecho fundamental a la protección de
datos de carácter personal, comprende una serie de facultades reconocidas a los interesados:

 Consentir la recogida, la obtención y el acceso a los datos personales.

 Consentir el almacenamiento y tratamiento de datos personales.
 Consentir el uso de datos personales.
 Conocer quién dispone de los datos personales y a qué uso los está sometiendo.
 Instar la rectificación y oposición a la posesión y uso de datos personales.
 No obstante, este derecho no es absoluto y encuentra sus límites en los restantes derechos
fundamentales y en los bienes jurídicos constitucionalmente protegidos.

En cumplimiento del art. 18.4 CE, la LO 15/1999, de 13 de diciembre, de Protección de datos de carácter
personal (LOPD), adapta nuestro ordenamiento a lo dispuesto por la normativa europea relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales, teniendo presente
los riesgos que pueden surgir en una sociedad tecnológicamente avanzada. El desarrollo reglamentario de la
LOPD se concretó a través del RD 1720/2007, de 21 de diciembre (RLOPD).

El art.1 de la LOPD declara que el objeto de la norma es "garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, tanto automatizado, como no automatizado, las libertades públicas y
los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y
familiar", con la finalidad de hacer frente a los riesgos que para los derechos de la personalidad pueden
suponer el acopio y tratamiento de datos personales.

©Propiedad intelectual registrada. Todos los derechos reservados

Página | 9
2.1.- Datos de carácter personal: se entiende por dato de carácter personal, cualquier información
concerniente a personas físicas identificadas o identificables (art. 3.a LOPD).

 Cualquier información, sea de carácter numérico, alfabético, gráfico, fotográfico, acústico o de otro
tipo, sin que se pueda reducir únicamente a los datos de carácter íntimo. De forma ilustrativa, se
pueden mencionar:
o Datos de carácter identificativo (nombre, apellidos, firma, características físicas, huella,
imagen, voz, dirección,...).
o Datos relativos a circunstancias personales (estado civil, filiación, sexo, nacionalidad, lengua
materna,...).
o Datos especialmente protegidos (ideología, afiliación política o sindical, religión, creencias,
origen racial o étnico, datos de salud, vida sexual,...).
o Datos relativos a circunstancias académicas, sociales, económicas y profesionales (nivel de
estudios, situación familiar, patrimonio, estilos de vida, aficiones, profesión, experiencia,...).
 Concerniente a personas físicas, no incluyendo por lo tanto bajo el ámbito de aplicación de la norma,
los datos referidos a las personas, jurídicas.
 Personas físicas identificadas o identificables, considerando que una persona física no será
identificable si su identificación, a partir de los datos con los que se cuenta, requiere plazos o
actividades desproporcionadas.

Sobre el concepto de dato personal, la LOPD define "fichero" como el conjunto organizado de datos de
carácter personal y considera el "tratamiento de datos" como las operaciones y procedimientos técnicos de
carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación,
bloqueo y cancelación, así como las cesiones de datos. Asimismo, se entiende que la "cesión o comunicación
de datos" es toda revelación de datos realizada a una persona distinta del interesado.

2.2.- Ámbito de aplicación de la LOPD: los datos de carácter personal serán objeto de protección cuando se
encuentren registrados en un soporte físico, de forma que se hagan susceptibles de tratamiento y ante toda
modalidad de uso posterior, tanto por el sector público o privado.

La propia LOPD contempla supuestos en los que no se aplica el régimen de protección que establece.
Estos ficheros excluidos son:

 Los mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o

domésticas. Solo se considerarán relacionados con actividades personales o domésticas, los
tratamientos relativos a las actividades que se inscriben en el marco de la vida privada o familiar de
los particulares.
 Los sometidos a la normativa sobre protección de materias clasificadas.
 Los establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.
No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del
mismo, sus características generales y su finalidad a la Agencia Española de Protección de Datos (en
adelante AEPD).

El RLOPD matiza el ámbito de aplicación de la protección que establece, excluyendo expresamente:

 El tratamiento de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los
datos de las personas físicas que presten sus servicios a personas jurídicas, consistentes únicamente
©Propiedad intelectual registrada. Todos los derechos reservados

Página | 10
 en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o
electrónica, teléfono y número de fax profesionales.
 Los datos relativos a empresarios individuales cuando hagan referencia en su calidad de
comerciantes, industriales o navieros. Si la recogida y el tratamiento de los datos se produjera en
ámbitos personales, esta actividad quedaría plenamente sometida a las disposiciones de la LOPD. La
distinción entre ambos planos, no siendo siempre sencilla, se sirve de dos criterios complementarios:
por un lado, la clase y naturaleza de los datos tratados ypor otro, la finalidad del tratamiento y las
circunstancias en las que se desarrolla.
 Los datos referidos a personas fallecidas.

La LOPD también reconoce la singularidad de determinadas materias, al declarar su aplicación subsidiaria

respecto de la normativa específica que regula los tratamientos de datos personales seguidamente
enumerados:

 Los ficheros regulados por la legislación de régimen electoral.

 Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o
autonómica sobre la función estadística pública.
 Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de
calificación a que se refiere la legislación del régimen del personal de las Fuerzas Armadas.
 Los derivados del Registro Civil y del Registro Central de penados y rebeldes.
 Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las
FFCCS, de conformidad con la legislación sobre la materia (LO 4/1997, de 4 de agosto, por la que se
regula la utilización de videocámaras por las FFCCS en lugares públicos).
Dado que la videovigilancia resulta un medio particularmente invasivo, la captación de imágenes, y
en su caso la grabación, mediante la instalación de cámaras fijas por particulares, entra dentro del
tratamiento de datos personales cuando afecta a personas identificadas o identificables. Con la
finalidad de adecuar estos tratamientos a la LOPD, la AEPD, dictó la Instrucción 1/2006, de 8 de
noviembre sobre "Tratamiento de datos personales con fines de vigilancia a través de sistemas de
cámaras o videocámaras".

La AEPD es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada,
a la que la LOPD asigna, entre otras, las funciones de: "velar por el cumplimiento de la legislación sobre
protección de datos y controlar su aplicación", "dictar [...] instrucciones para adecuar los tratamientos",
"atender las peticiones y reclamaciones" y "ejercer la potestad sancionadora".

2.3.- Principios de la protección de datos:

a) Calidad de datos: los datos de carácter personal solo se podrán recoger para su tratamiento, así como
someterlos a este proceso, cuando sean "adecuados, pertinentes y no excesivos", en relación con el ámbito y
las finalidades determinadas, explícitas y legítimas para las que se hayanobtenido, estando expresamente
prohibida la recogida de datos por medios fraudulentos, desleales o ilícitos.

Los datos inexactos, incompletos o innecesarios en relación con la finalidad para la que fueron recabados,
deben ser cancelados y sustituidos de oficio.

b) Derecho de información en la recogida de datos: para hacer efectiva la protección que dispensa la LOPD,
todos los interesados tienen derecho a ser informados de modo expreso, preciso e inequívoco de:
©Propiedad intelectual registrada. Todos los derechos reservados

Página | 11
  La existencia de un fichero o tratamiento de datos, de la finalidad de la recogida de estos y de los
destinatarios de la información.
 El carácter obligatorio o facultativo de las respuestas planteadas.
 Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
 La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
 La identificación del responsable del tratamiento de los datos.

c) Consentimiento del afectado: el tratamiento de los datos de carácter personal requiere el consentimiento
inequívoco del afectado, salvo que la ley disponga lo contrario. No obstante, no será preciso dicho
consentimiento, cuando:

 Los datos se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el
ámbito de sus competencias.
 Los datos se refieran a las partes de un contrato o precontrato de una relación negocia¡, laboral o
administrativa y sean necesarios para su mantenimiento o cumplimiento.
 El tratamiento de los datos tenga por finalidad proteger un interés vital del interesado (prevención o
diagnóstico médico, prestación de asistencia sanitaria o gestión de servicios sanitarios, realizado por
un profesional sanitario sujeto a secreto profesional).
 Los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción
del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se
comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del
interesado.

Las fuentes accesibles al público son ficheros cuya consulta puede ser realizada por cualquier persona, no
impedida por una norma limitativa, sin más exigencia que, en su caso, el abono de una contraprestación.
Exclusivamente tienen esta consideración:

 El censo promocional.
 Los repertorios telefónicos de acuerdo con su normativa específica.
 Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos
de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al
grupo.
 Los diarios y boletines oficiales.
 Los medios de comunicación.

d) Datos especialmente protegidos: la LOPD prohibe los ficheros creados con la exclusiva finalidad de
almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen
racial o étnico o vida sexual.

Según el art. 16.2 CE: "Nadie podrá ser obligado a declarar sobre su ideología, religión o creencias". En este
sentido, y con carácter general, solo con el consentimiento expreso y por escrito del afectado podrán ser
objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y
creencias.

Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual, solo podrán
ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el
©Propiedad intelectual registrada. Todos los derechos reservados

Página | 12
afectado consienta expresamente. Por dato de carácter personal relacionado con la salud hay que entender
la información concerniente a la salud pasada, presente y futura, física o mental del individuo, incluyendo la
referida al porcentaje de su discapacidad y a su información genética. La AEPD también ha considerado
como "datos de salud" los test psicológicos y psicotécnicos.

La LOPD habilita el tratamiento de datos especialmente protegidos cuando resulte necesario para la
prevención o el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión
de servicios sanitarios, siempre que se realicen por un profesional sujeto a una obligación de secreto.
También, podrán ser tratados estos datos cuando fuera necesario para salvaguardar el interés vital del
afectado, o de otra persona que esté física o jurídicamente incapacitado para prestar su consentimiento.

Entre los "datos especialmente protegidos", la LOPD incluye también "los datos de carácter personal
relativos a la comisión de infracciones penales o administrativas", disponiendo que solo podrán ser incluidos
en ficheros de las Administraciones Públicas competentes, en los supuestos previstos en las respectivas
normas reguladoras.

e) Seguridad de los datos: los ficheros en los que se almacenan los datos de carácter personal deben estar
provistos de las medidas de índole técnica y organizativas necesarias que garanticen su seguridad y eviten su
alteración, pérdida, tratamiento o acceso no autorizado.

La LOPD dispone que no se registren datos de carácter personal en ficheros que no reúnan las condiciones
de seguridad necesarias.

f) Deber de secreto: tanto el responsable del fichero como quienes intervengan en cualquier fase del
tratamiento de los datos, están obligados al secreto profesional respecto de los mismos, obligaciones que
subsistirán aún después de finalizar sus relaciones con el titular del fichero.

g) Comunicación o cesión de datos: es un modo de tratamiento de datos que implica la revelación de datos,
realizada a una persona distinta del interesado.

Los datos de carácter personal únicamente se podrán comunicar a terceros para el cumplimiento de fines
directamente relacionados con las funciones legítimas del cedente y el cesionario, con el previo
consentimiento del interesado. Según la LOPD, este consentimiento no será preciso cuando:

 La cesión esté autorizada en una ley.

 Se trate de datos recogidos de fuentes accesibles al público.
 El tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo,
cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de
terceros.
 La comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo (o institución
autonómica análoga), el Ministerio Fiscal, los Jueces o Tribunales o el Tribunal de Cuentas (o
institución autonómica análoga), en el ejercicio de las funciones que tienen atribuidas.
 Se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos
con fines históricos, estadísticos o científicos.
 La cesión de datos de carácter personal relativos a la salud, sea necesaria para solucionar una
urgencia o para realizar los estudios epidemiológicosen los términos establecidos en la legislación
sobre sanidad estatal o autonómica.

©Propiedad intelectual registrada. Todos los derechos reservados

Página | 13
En relación con los ficheros de titularidad pública, la regla general es que salvo que la comunicación tuviera
por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos, los datos no
serán comunicados a otras Administraciones Públicas para el ejercicio de competencias diferentes o de
competencias que versen sobre materias distintas. No obstante, sí que podrán ser objeto de comunicación
los datos que una Administración pública obtenga o elabore con destino a otra. En ambos supuestos,
tampoco es preciso el consentimiento del afectado.

El RLOPD establece que, con carácter general y salvo que la Ley disponga la asistencia de los titulares de la
patria potestad o tutela, los mayores de 14 años pueden prestar su consentimiento para que sus datos de
carácter personal puedan ser objeto de tratamiento. En el caso de los menores de 14 años se requerirá el
consentimiento de los padres o tutores.

h) Acceso a los datos por cuenta de terceros: el acceso de un tercero a los datos cuando el mismo fuera
necesario para la prestación de un servicio al responsable del tratamiento no se considera comunicación de
datos. La realización de tratamientos por cuenta de terceros en estas circunstancias, deberá estar regulada
en un contrato que ofrezca las garantías necesarias para la salvaguarda de los datos.

2.4.- Derechos reconocidos a las personas: la LOPD recoge un conjunto de facultades que permiten a los
ciudadanos controlar el uso que se hace de sus datos de carácter personal y defenderlos ante un uso
inadecuado.

a) Impugnación de valoraciones: supone que los ciudadanos tienen derecho a no verse sometidos a una
decisión con efectos jurídicos que les afecte de manera significativa, que se base únicamente en un
tratamiento de datos destinados a evaluar determinados aspectos de su personalidad. De esta forma, el
afectado puede impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su
comportamiento fundamentado únicamente en un tratamiento de datos de carácter personal que ofrezca
una definición de sus características o personalidad.

b) Derecho de consulta al Registro General de Protección de Datos: integrado en la AEPD, este Registro es en
el que se inscriben entre otros, los ficheros y los datos necesarios que permiten el ejercicio de los derechos
de información, acceso, rectificación, cancelación y oposiciónA través de este Registro, de forma pública y
gratuita, cualquier persona puede conocer, la existencia de tratamientos de datos de carácter personal, sus
finalidades y la identidad del responsable del tratamiento.

c) Derecho de acceso, rectificación, cancelación y oposición ("derechos ARCO"): los derechos de acceso,
rectificación, cancelación y oposición son derechos independientes, de tal forma que no puede entenderse
que el ejercicio de ninguno de ellos sea requisito previo para el ejercicio de otro.

Tienen la consideración de derechos personalísimos que el afectado podrá ejercer directamente o a través
de representante legal o voluntario.

Para el ejercicio de estos derechos, los responsables de los ficheros deben conceder al interesado un medio
sencillo y gratuito, sin que se pueda exigir el envío de cartas certificadas o semejantes, la utilización de
servicios de telecomunicaciones que implique una tarificación adicional al afectado o cualesquiera otros
medios que impliquen un coste excesivo para el interesado.

©Propiedad intelectual registrada. Todos los derechos reservados

Página | 14
El responsable del fichero deberá atender la solicitud de acceso, rectificación, cancelación u oposición
ejercida por el afectado, aun cuando el mismo no hubiese utilizado el procedimiento establecido
específicamente al efecto por aquel.

Acceso: el interesado tiene derecho a solicitar y obtener gratuitamente información de sus datos de carácter
personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que
se prevén hacer de los mismos.

Esta información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización o la
indicación de los datos que son objeto de tratamiento.

El derecho de acceso solo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el
interesado acredite un interés legítimo al efecto.

Rectificación y cancelación: serán rectificados o cancelados los datos cuyo tratamiento no se ajuste a lo
dispuesto en la LOPD, particularmente cuando resulten inexactos o incompletos.

El ejercicio del derecho de cancelación dará lugar al bloqueo de los datos, de forma que el responsable del
fichero cesa en el uso de los datos, conservándose únicamente a disposición de las Administraciones
Públicas, Jueces y Tribunales.

Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del
tratamiento deberá notificar la rectificacióno cancelación efectuada a quien se haya comunicado, en el caso
de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación.

Oposición: es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter
personal o se cese en el mismo en los siguientes supuestos:

 Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la

concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo
justifique, siempre que una Ley no disponga lo contrario (art. 6.4 LOPD).
 Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y
prospección comercial (art. 30.4 LOPD).

d) Tutela de derechos: las actuaciones contrarias a lo dispuesto en la LOPD pueden ser objeto de
reclamación por los interesados ante la AEPD.

El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso,
rectificación o cancelación, podrá ponerlo en conocimiento de la AEPD, que deberá asegurarse de la
procedencia o improcedencia de la denegación.

Contra las resoluciones de la AEPD se podrá interponer recurso contencioso-administrativo.

e) Derecho a indemnización: los interesados que, como consecuencia del incumplimiento de lo dispuesto en
la LOPD por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos,
tienen derecho a ser indemnizados.

©Propiedad intelectual registrada. Todos los derechos reservados

Página | 15
2.5.- Los ficheros como almacén de datos: un fichero es un conjunto organizado de datos de carácter
personal, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso.
La mera acumulación de datos sin criterio u orden establecido, no podrá tener la consideración de fichero.

Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará
previamente a la AEPD, procediéndose a su inscripción en el RGPD.

De acuerdo con la LOPD, los ficheros pueden clasificarse en:

a) Ficheros automatizados y no automatizados: todo conjunto de datos de carácter personal, organizado de

forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que
permitanacceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquel centralizado,
descentralizado o repartido de forma funcional o geográfica.

En relación con los ficheros no automatizados, la AEPD sostiene que la simple ordenación de documentos
por fecha no constituye un "fichero a los efectos de la LOPU, al no estar estructurado conforme a criterios
relativos a las personas físicas, siempre que impida acceder a los datos personales incorporados en los
documentos, o exija esfuerzos desproporcionados para ello.

b) Ficheros de titularidad pública: aquellos de los que sean responsables los órganos constitucionales o con
relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las
Administraciones Públicas territoriales, así como las entidades u organismos vinculados o dependientes de
las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de
derecho público, y de titularidad privada: los ficheros de los que sean responsables las personas, empresas o
entidades de derecho privado, así como los ficheros de los que sean responsables las corporaciones de
derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de
potestades de derecho público que a las mismas atribuye su normativa específica.

La creación, modificación o supresión de los ficheros de las Administraciones Públicas solo podrán hacerse
por medio de disposición general publicada en el BOE o Diario oficial correspondiente.

Sin embargo, la LOPD prevé la creación de ficheros de titularidad privada que contengan datos de carácter
personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o
entidad titular y se respeten las garantías legales para la protección de las personas.

3. ESPECIAL CONSIDERACIÓN AL DERECHO A LA INTIMIDAD.

El término “intimidad” proviene del vocablo latino intimus que significa “lo más interior”. Hace referencia a
una esfera de la persona estrictamente privada a la cual no puede acceder nadie sin su autorización, ni los
particulares ni el Estado.

Según la LO 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar
y a la propia imagen,

El derecho al honor, a la intimidad personal y familiar y a la propia imagen es errenunciable, inalienable e

imprescriptible. La renuncia a la protección prevista en esta ley será nula, sin perjuicio de los supuestos de
autorización o consentimiento a que se refiere el artículo segundo de esta ley.
©Propiedad intelectual registrada. Todos los derechos reservados

Página | 16
No se apreciará la existencia de intromisión ilegítima en el ámbito protegido cuando estuviere expresamente
autorizada por ley o cuando el titular del derecho hubiese otorgado al efecto su consentimiento expreso,
ahora bien, el consentimiento será revocable en cualquier momento, pero habrán de indemnizarse en su
caso, los daños y perjuicios causados, incluyendo en ellos las expectativas justificadas.

¿Cómo tiene que ser ese consentimiento? el consentimiento habrá de otorgarse mediante escrito por su
representante legal, quien estará obligado a poner en conocimiento previo del Ministerio Fiscal el
consentimiento proyectado. Si en el plazo de ocho días el Ministerio Fiscal se opusiere, resolverá el Juez. El
consentimiento de los menores e incapaces deberá prestarse por ellos mismos si sus condiciones de
madurez lo permiten, de acuerdo con la legislación civil.

Tendrán la consideración de intromisiones ilegítimas en el ámbito de la intimidad:

− El emplazamiento en cualquier lugar de aparatos de escucha, de filmación, de dispositivos ópticos o

de cualquier otro medio apto para grabar o reproducir la vida íntima de las personas.
− La utilización de aparatos de escucha, dispositivos ópticos, o de cualquier otro medio para el
conocimiento de la vida íntima de las personas o de manifestaciones o cartas privadas no destinadas
a quien haga uso de tales medios, así como su grabación, registro o reproducción.
− La divulgación de hechos relativos a la vida privada de una persona o familia que afecten a su
reputación y buen nombre, así como la revelación o publicación del contenido de cartas, memorias u
otros escritos personales de carácter íntimo.
− La revelación de datos privados de una persona o familia conocidos a través de la actividad
profesional u oficial de quien los revela.
− La captación, reproducción o publicación por fotografía, filme, o cualquier otro procedimiento, de la
imagen de una persona en lugares o momentos de su vida privada o fuera de ellos, salvo los casos
previstos en el artículo octavo, dos.
− La utilización del nombre, de la voz o de la imagen de una persona para fines publicitarios,
comerciales o de naturaleza análoga.
− La divulgación de expresiones o hechos concernientes a una persona cuando la difame o la haga
desmerecer en la consideración ajena.

No se reputará intromisiones ilegítimas las actuaciones autorizadas o acordadas por la Autoridad

competente de acuerdo con la ley, ni cuando predomine un interés histórico, científico o cultural relevante.

El derecho a la propia imagen no impedirá:

− Su captación, reproducción o publicación por cualquier medio cuando se trate de personas que
ejerzan un cargo público o una profesión de notoriedad o proyección pública y la imagen se capte
durante un acto público o en lugares abiertos al público.
− La utilización de la caricatura de dichas personas, de acuerdo con el uso social.
− La información gráfica sobre un suceso o acaecimiento público cuando la imagen de una persona
determinada aparezca como meramente accesoria.

Nuestro Código penal, castiga determinadas intromisiones a la intimidad como por ejemplo las siguientes:

a) El descubrimiento y revelación de secretos: protegido en el art. 197 CP y siguientes. El art. 197 tiene 7
apartados, con un tipo básico con tres conductas, y varios subtipos agravados.
©Propiedad intelectual registrada. Todos los derechos reservados

Página | 17
El art. 201 CP establece determinadas condiciones de procedibilidad, pudiendo adelantar que nos
encontramos ante un delito semiprivado pues exige denuncia del ofendido para su persecución, pero el
mismo puede perdonar al ofensor, art. 201.3 CP.

Tipo básico, apoderamiento para descubrir o interceptación de las comunicaciones: art. 197.1 CP “El que,
para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles,
cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus
telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido
o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a
cuatro años y multa de doce a veinticuatro meses”.

El objeto de protección es la intimidad de las personas. Si hay consentimiento del titular del bien jurídico
protegido, el mismo es relevante, y constituye una causa de exclusión del tipo pues tendríamos una causa de
justificación (exclusión de la antijuridicidad).

Por secreto ha de entenderse:

– El conocimiento reservado a un número limitado de personas y oculto a otras.

– No debemos confundirlo con el concepto vulgar de secreto.
– Secreto será todo conocimiento reservado que el sujeto activo no conozca, o no esté seguro de
conocer, y que el sujeto pasivo no quiera que conozca.
– Será irrelevante que, una vez descubierto el secreto, el sujeto activo ya lo conociera previamente: la
confirmación del mismo constituye una conducta típica.

Lo relevante no es la apertura de la correspondencia, sino el apoderamiento de su contenido sin

consentimiento, que es lo que constituye la conducta típica sancionada.

Se consuma el delito con el mero apoderamiento para descubrir, es decir, la aprehensión u obtención ilícita,
así como la retención de lo recibido por error.

Objeto del delito han de ser «papeles, cartas, mensajes de correo electrónico o cualesquiera otros
documentos o efectos personales». No cualquier contenido documental está amparado por el art. 197.1 sino
sólo aquellos que incorporen secretos o se refieran a la intimidad de otro, lo que hace preciso examinar qué
se entiende por secretos o intimidad protegida penalmente.

La segunda de las conductas indicadas del 197.1 era la de la interceptación de las comunicaciones.

Además del sonido, se refiere también el artículo a la imagen, a la utilización de «artificios técnicos de
escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de
comunicación». Por ello, el pegar la oreja a la pared para escuchar los secretos de tus vecinos, o estar todo el
día mirando por la mirilla, lo que hacen los demás, no encaja en este delito, siendo atípica su comisión.

Ejemplo del 197.1 CP: Eloy, aprovechando las facultades de dirección que ejercía de hecho en el Hotel Mora Park de Móra
la Nova, decidió instalar en las habitaciones núms. 115 y 116 sendas cámaras de vídeo en miniatura de las denominadas
"pinhole" camufladas dentro de unos soportes sensores de movimiento de alarma, conectadas a un circuito cerrado de
televisión, que permitían al acusado observar las actividades realizadas por los huéspedes que se alojaban en dichas
habitaciones.

©Propiedad intelectual registrada. Todos los derechos reservados

Página | 18
Delitos cometidos a través de los medios informáticos: art. 197.2 CP “Las mismas penas se impondrán al que,
sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter
personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o
telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a
quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio
del titular de los datos o de un tercero”.

Las conductas consisten en apoderarse, utilizar o modificar, «en perjuicio de tercero», los datos reservados.
Tienen que ser datos reservados de carácter personal o familiar, donde el sujeto activo, sin estar autorizado,
accediere por cualquier medio a tales datos y a quienes los altere o utilice en perjuicio de su titular o de un
tercero.

¿Qué se entiende por «datos reservados»? parte de la doctrina considera que todos los datos incorporados a
un soporte informático son reservados (se basan en la LO 15/1999 que otorga igual protección a todos los
datos informatizados).

La entrada inconsentida en la aplicación de correo electrónico de otra persona y el recorrido por las
diferentes bases de datos que el sistema contiene, incluso sin abrir ningún mensaje, puede ser penalmente
típica ya que con ella se está produciendo una intromisión en la intimidad y susceptible de facilitar una toma
de conocimiento de datos muy sensibles y reservados.

Otro tipo básico de difusión, revelación o cesión de los datos reservados y las imágenes captadas a terceros
con su anuencia: art. 197.7 CP “Será castigado con una pena de prisión de tres meses a un año o multa de
seis a doce meses el que, sin autorización de la persona afectada, difunda, revele o ceda a terceros imágenes
o grabaciones audiovisuales de aquélla que hubiera obtenido con su anuencia en un domicilio o en cualquier
otro lugar fuera del alcance de la mirada de terceros, cuando la divulgación menoscabe gravemente la
intimidad personal de esa persona.

La pena se impondrá en su mitad superior cuando los hechos hubieran sido cometidos por el cónyuge o por
persona que esté o haya estado unida a él por análoga relación de afectividad, aun sin convivencia, la víctima
fuera menor de edad o una persona con discapacidad necesitada de especial protección, o los hechos se
hubieran cometido con una finalidad lucrativa”.

Veamos los tipos agravados:

Difusión, revelación o cesión de los datos reservados y las imágenes captadas a terceros: art. 197.3 CP “Se
impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos
descubiertos o las imágenes captadas a que se refieren los números anteriores.

Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con
conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta
descrita en el párrafo anterior.

Por el especial deber del sujeto activo: art. 197.4 CP “Los hechos descritos en los apartados 1 y 2 de este
artículo serán castigados con una pena de prisión de tres a cinco años cuando:

©Propiedad intelectual registrada. Todos los derechos reservados

Página | 19
 a) Se cometan por las personas encargadas o responsables de los ficheros, soportes informáticos,
electrónicos o telemáticos, archivos o registros; o

b) se lleven a cabo mediante la utilización no autorizada de datos personales de la víctima.

Si los datos reservados se hubieran difundido, cedido o revelado a terceros, se impondrán las penas en su
mitad superior.”.

Datos sensibles o que afecten a menores o personas con discapacidad necesitadas de especial protección:
art. 197.5 CP “Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de
carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima
fuere un menor de edad o una persona con discapacidad necesitada de especial protección, se impondrán las
penas previstas en su mitad superior”.

Ánimo de lucro: art. 197.6 CP “Si los hechos se realizan con fines lucrativos, se impondrán las penas
respectivamente previstas en los apartados 1 al 4 de este artículo en su mitad superior. Si además afectan a
datos de los mencionados en el apartado anterior, la pena a imponer será la de prisión de cuatro a siete
años”.

Aquí se distingue la pena según afecte a datos sensibles o no.

Recordatorio: la grabación que un particular haga de sus propias conversaciones, telefónicas o de otra
índole, no suponen el atentado al secreto de las comunicaciones. Las cintas grabadas no infringen ningún
derecho, en particular el art. 18.3 C.E., debiendo distinguir entre grabar una conversación de otros y
grabar una conversación con otros. Pues no constituye violación de ningún secreto la grabación de un
mensaje emitido por otro cuando uno de los comunicantes quiere que se perpetúe.

¿Qué sucede si “a” le cede a “b” unas imágenes íntimas y “b” las difunde sin permiso de “a”? art. 197.7 CP
“Será castigado con una pena de prisión de tres meses a un año o multa de seis a doce meses el que, sin
autorización de la persona afectada, difunda, revele o ceda a terceros imágenes o grabaciones audiovisuales
de aquélla que hubiera obtenido con su anuencia en un domicilio o en cualquier otro lugar fuera del alcance
de la mirada de terceros, cuando la divulgación menoscabe gravemente la intimidad personal de esa
persona.

La pena se impondrá en su mitad superior cuando los hechos hubieran sido cometidos por el cónyuge o por
persona que esté o haya estado unida a él por análoga relación de afectividad, aun sin convivencia, la víctima
fuera menor de edad o una persona con discapacidad necesitada de especial protección, o los hechos se
hubieran cometido con una finalidad lucrativa”.

Organización o grupos criminales: art. 197 quater CP “Si los hechos descritos en los apartados anteriores se
cometiesen en el seno de una organización o grupo criminales, se aplicarán respectivamente las penas
superiores en grado”.

Cuando se comete por autoridad o funcionario público: art. 198 CP “La autoridad o funcionario público que,
fuera de los casos permitidos por la Ley, sin mediar causa legal por delito, y prevaliéndose de su cargo,
realizare cualquiera de las conductas descritas en el artículo anterior, será castigado con las penas

©Propiedad intelectual registrada. Todos los derechos reservados

Página | 20
respectivamente previstas en el mismo, en su mitad superior y, además, con la de inhabilitación absoluta por
tiempo de seis a doce años”.

El secreto profesional: art. 199 CP “1. El que revelare secretos ajenos, de los que tenga conocimiento por
razón de su oficio o sus relaciones laborales, será castigado con la pena de prisión de uno a tres años y multa
de seis a doce meses.

2. El profesional que, con incumplimiento de su obligación de sigilo o reserva, divulgue los secretos de otra
persona, será castigado con la pena de prisión de uno a cuatro años, multa de doce a veinticuatro meses e
inhabilitación especial para dicha profesión por tiempo de dos a seis años”.

Los requisitos de procedibilidad: art. 201 CP “1. Para proceder por los delitos previstos en este capítulo será
necesaria denuncia de la persona agraviada o de su representante legal. Cuando aquélla sea menor de edad,
persona con discapacidad necesitada de especial protección o una persona desvalida, también podrá
denunciar el Ministerio Fiscal.

2. No será precisa la denuncia exigida en el apartado anterior para proceder por los hechos descritos en el
art. 198 de este Código, ni cuando la comisión del delito afecte a los intereses generales o a una pluralidad de
personas.

3. El perdón del ofendido o de su representante legal, en su caso, extingue la acción penal sin perjuicio de lo
dispuesto en el segundo párrafo del número 5.º del apartado 1 del art. 130”.

b) La inviolabilidad del domicilio: entramos en el estudio de los arts. 202 y ss. del CP, donde se regula la
inviolabilidad del domicilio.

El art. 18.2 CE reconoce como derecho fundamental la inviolabilidad del domicilio. El domicilio es el espacio
en el cual el individuo vive sin estar sujeto necesariamente a los usos y convenciones sociales y ejerce su
libertad más íntima. En la vertiente penal es más amplio el concepto, dadas las referencias a despacho
profesional o establecimientos mercantiles abiertos al público, donde parece que la razón de la norma es
más bien el buen funcionamiento de tales establecimientos que la intimidad.

Tipo básico, allanamiento de morada: art. 202.1 CP “El particular que, sin habitar en ella, entrare en morada
ajena o se mantuviere en la misma contra la voluntad de su morador, será castigado con la pena de prisión
de seis meses a dos años”.

Sujeto activo, solo puede ser un particular. Si fuera cometido por autoridad o funcionario público estaríamos
aplicando los arts. 204 o 534 cuando medie causa por delito y no se respeten las garantías constitucionales.

Tipo agravado: 202.2 CP “Si el hecho se ejecutare con violencia o intimidación la pena será de prisión de uno
a cuatro años y multa de seis a doce meses”.

c) Allanamiento de domicilio de personas jurídicas: art. 203 CP “1. Será castigado con las penas de prisión
de seis meses a un año y multa de seis a diez meses el que entrare contra la voluntad de su titular en el
domicilio de una persona jurídica pública o privada, despacho profesional u oficina, o en establecimiento
mercantil o local abierto al público fuera de las horas de apertura.

©Propiedad intelectual registrada. Todos los derechos reservados

Página | 21
2. Será castigado con la pena de multa de uno a tres meses el que se mantuviere contra la voluntad de su
titular, fuera de las horas de apertura, en el domicilio de una persona jurídica pública o privada, despacho
profesional u oficina, o en establecimiento mercantil o local abierto al público.

3. Será castigado con la pena de prisión de seis meses a tres años, el que con violencia o intimidación entrare
o se mantuviere contra la voluntad de su titular en el domicilio de una persona jurídica pública o privada,
despacho profesional u oficina, o en establecimiento mercantil o local abierto al público”.

Respecto de locales abiertos al público, debemos de entender, todo aquel donde se accede libremente por
el público con independencia de las actividades a que se destinen, pudiendo ser recreativas, religiosas,
culturales u otras.

– Si se entra fuera de horas de apertura, será delito.

– Si se mantiene en los domicilios contra la voluntad del titular, fuera de las horas de apertura, será un
delito leve del apartado 2 de este artículo.
– Entrar en los domicilios de las personas jurídicas dentro de las horas de apertura queda excluido de
este artículo, siendo lícita la conducta de quien se niega a abandonar esos locales en horas de
apertura.

4. LA PRUEBA DIGITAL EN EL PROCESO PENAL.

4.1 Grabación videográfica y fotográfica: la LOFCS (art. 11, e) y la LECrim. (art. 282) indican que la actuación
policial consistente en grabaciones videográficas y fotográficas en el curso de investigaciones criminales es
legal.

Estas grabaciones son un medio de investigación consistente en la captación de imágenes y sonidos de

personas sospechosas, recogidos mediante sistemas de grabación videográfica o fotográfica.

El objetivo que pretenden es registrar y documentar en soporte videográfico o fotográfico hechos de interés
para la investigación de infracciones penales.

La LECrim no regila esta forma de investigación pero la jurisprudencia del TS, admite la validez de las
filmaciones videográficas realizadas por la Policía Judicial, eso sí, siempre que la filmación se efectúe en el
curso de una investigación criminal y que se desarrolle en espacios públicos.

Las grabaciones en domicilios o en lugares afectos a la intimidad de las personas, como por ejemplo los
aseos públicos, no están admitidas salvo que cuenten con la oportuna resolución judicial.

Veamos los requisitos de la grabación:

− Existencia de una investigación criminal.

− La filmación no puede vulnerar ningún derecho esencial como la intimidad o la dignidad de la
persona afectada por la filmación.
− No se necesita autorización judicial en los espacios, lugares, locales libres y públicos,
establecimientos oficiales, bancarios o empresariales.
− Se necesita autorización judicial si es en domicilio o lugar privado, por ejemplo, los lugares
reservados de los aseos públicos.

©Propiedad intelectual registrada. Todos los derechos reservados

Página | 22
 − Proporcionalidad y necesidad de la restricción del derecho a la intimidad, frente a la importancia de
la investigación.
− Conservación del soporte original de imágenes y sonidos con la entrega en su integridad al Juzgado,
en caso de que se hayan captado secuencias de la comisión de hechos delictivos.
− Certificación de cintas originales e identificación de los funcionarios policiales que han realizado la
grabación, reseñando la intervención de cada uno de ellos en las fases de grabación.

La norma básica que regula esta materia es la LO 4/1997, de 4 de agosto, por la que se regula la utilización
de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos.

El art. 104.1 CE indica que las Fuerzas y Cuerpos de Seguridad tienen como misión proteger el libre ejercicio
de los derechos y libertades y garantizar la seguridad ciudadana.

La prevención de actos delictivos, la protección de las personas y la conservación y custodia de bienes que se
encuentren en situación de peligro, y especialmente cuando las actuaciones perseguidas suceden en
espacios abiertos al público, lleva a los miembros de las Fuerzas y Cuerpos de Seguridad al empleo de medios
técnicos cada vez más sofisticados. Por ello, el legislador ha considerado oportuno regular el uso de medios
de grabación de imágenes y sonidos que vienen siendo utilizados por las FFCCS, introduciendo las garantías
precisas (autorización previa, destrucción en el plazo de un mes –salvo infracción penal o administrativa–,
información al público, etc.) y aprobó la LO 4/1997, de 4 de agosto, por la que se regula la utilización de
videocámaras por las FFCCS en lugares públicos.

La captación, reproducción y tratamiento de imágenes y sonidos en los términos previstos en la Ley 4/1997
no se considerarán intromisiones ilegítimas en el derecho al honor, a la intimidad personal y a la propia
imagen.

Su finalidad es contribuir a asegurar la convivencia ciudadana, la erradicación de la violencia, la utilización

pacífica de las vías y espacios públicos, la prevención de actos delictivos, la protección de personas y la
conservación y custodia de bienes en situación de peligro.

La Ley distingue entre instalaciones fijas y videocámaras móviles:

a) Instalaciones fijas: la instalación de videocámaras o de cualquier medio técnico análogo está sujeta a
régimen de autorización, previo informe de un órgano colegiado, Comisión de garantías de Videovigilancia,
presidido por el Presidente del TSJ correspondiente y en cuya composición no serán mayoría los miembros
dependientes de la Administración autorizante.

Esta regulación no será de aplicación a las instalaciones fijas de videocámaras que realicen las Fuerzas
Armadas y las Fuerzas y Cuerpos de Seguridad en sus inmuebles, siempre que éstas se dediquen
exclusivamente a garantizar la seguridad y protección interior o exterior de los mismos (art. 2.1 RD
596/1999).

¿Quién lo autoriza? las instalaciones fijas de videocámaras por las FFCCSE y de las Corporaciones Locales
serán autorizadas por el Delegado del Gobierno, previo informe de una Comisión.

©Propiedad intelectual registrada. Todos los derechos reservados

Página | 23
¿Cómo se solicita? la solicitud de instalación de una videocámara fija, debe dirigirse al Delegado del
Gobierno en la Comunidad Autónoma de que se trate.

La solicitud debe contener (art. 3.2 RD 596/1999):

− La identificación del solicitante.

− Los motivos que la justifican.
− La definición genérica del ámbito físico susceptible de ser grabado.
− La necesidad o no de grabar sonido con sujeción a las limitaciones legalmente establecidas en
concreto la prohibición de tomar sonidos, excepto cuando concurra un riesgo concreto y preciso.
− La cualificación de las personas encargadas de la explotación del sistema de tratamiento de las
imágenes y sonidos.
− El tipo de cámara y sus condiciones técnicas.
− El período de tiempo en el que se pretenda efectuar las grabaciones.

¿Quién puede solicitarlo? (art. 3.1 RD 596/1999):

− El Subdelegado del Gobierno en la provincia donde no radique la sede de la Delegación del

Gobierno.
− El Jefe de la Comisaría Provincial de Policía y el Jefe de la Comandancia de la Guardia Civil en sus
respectivas demarcaciones, por conducto del Subdelegado del Gobierno. En las provincias donde los
responsables policiales mencionados anteriormente no existan o sean miembros de las Comisiones
de Garantías de la Videovigilancia, la solicitud será formulada por sus inmediatos inferiores a través
de los mismos cauces procedimentales previstos.
− El Alcalde o, en su caso, el concejal competente en materia de seguridad ciudadana, respecto a la
policía local de su municipio.

La resolución autorizante será motivada, precisará el ámbito físico susceptible de ser grabado, la duración de
la autorización (máximo de un año, prorrogable), la prohibición de tomar sonidos, etc.

b) Videocámaras móviles:

Si queremos usarlas en lugares donde se hallan autorizado las instalaciones fijas, podrán utilizarse
simultáneamente videocámaras móviles (toma de imagen y sonido) si concurre un peligro concreto.

En los restantes lugares públicos: podrán utilizarse con autorización por resolución motivada del máximo
responsable provincial de las FFCCS. Tal resolución se comunicará en el plazo máximo de 72 h. a la Comisión.

La autorización de dicho uso corresponderá al máximo responsable provincial de las Fuerzas y Cuerpos de
Seguridad. La resolución debe ser al igual que en las instalaciones fijas, motivada y se debe poner en
conocimiento de la correspondiente Comisión de Garantías de Videovigilancia, en el plazo máximo de
setenta y dos horas, pudiendo recabar el soporte físico de la grabación a efectos de emitir el
correspondiente informe.

En casos excepcionales de urgencia máxima se podrán obtener imágenes y sonidos con videocámaras
móviles, dando cuenta en 72 h. mediante un informe motivado al máximo responsable provincial de las
FFCCS y a la Comisión.
©Propiedad intelectual registrada. Todos los derechos reservados

Página | 24
En el supuesto de que los informes de la Comisión fueran negativos, la autoridad encargada de la custodia de
la grabación procederá a su destrucción inmediata.

La Comisión de Garantías de la Videovigilancia debe ser informada quincenalmente de la utilización que se

haga de videocámaras móviles y puede recabar en todo momento el soporte de las correspondientes
grabaciones y emitir un informe al respecto.

¿Quién puede solicitar la utilización de videocámaras móviles? pueden solicitar la instalación de cámaras
móviles, los mandos operativos de las FCSE por el conducto reglamentario y el Alcalde o el concejal
competente en materia de seguridad ciudadana, respecto a la policía local de su municipio. La solicitud debe
acreditar la necesidad e idoneidad del uso de este tipo de videocámaras.

4.2 La grabación de conversaciones: puede entenderse admisible adoptar con autorización judicial como
diligencia de investigación la grabación de las conversaciones privadas entre dos o más personas por medio
de micrófonos ocultos o direccionales, ante hechos graves frente a los que no se disponga de otras líneas de
investigación, siempre cumpliendo mutatis mutandis las exigencias requeridas para las investigaciones
telefónicas.

No puede considerarse vulneración del secreto de las comunicaciones la escucha, sin utilización de ningún
artificio, de una conversación telefónica o directa por hallarse el que las oye en las inmediaciones del lugar
en que se produce.

©Propiedad intelectual registrada. Todos los derechos reservados

Página | 25