Era director de desarrollo de negocio en una empresa de gestión on line del patrimonio de ahorradores. De un día para otro le despidieron, y él decidió vengarse. Provocó el caos en cuestión de horas, anulando las claves de acceso a las cuentas en el servicio publicitario Google Adwords y remitiendo mails a los clientes con información falsa y maliciosa sobre el estado económico de la empresa. Ahora la Audiencia Provincial de Madrid le absuelve del delito de daños informáticos porque no pueden probarse y cuantificarse los daños, pero mantiene su condena por injurias, por el que deberá indemnizar a su ex empresa con 3.000 euros.
La Audiencia Provincial de Madrid estima parcialmente (Sentencia 23/2017, de 10 de enero; Recurso 1555/2016) el recurso de apelación interpuesto por el condenado contra la sentencia del Juzgado de lo Penal núm. 25 de Madrid. El tribunal revoca dicho fallo en el único sentido de absolver al acusado de un delito de daños informáticos. Confirma sin embargo el fallo condenatorio por un delito de injurias graves, con la atenuante de dilaciones indebidas, y absolutorio por un delito de revelación de secretos.
La empresa para la que trabajaba funcionaba solo en internet
Según los hechos el acusado, Director de Desarrollo del Negocio para la entidad Comunitae, S.L., como represalia por su despido anuló, el mismo día de su cese, las contraseñas de acceso a las cuentas en el servicio publicitario Google Adwords de su empresa, dedicada a gestionar el patrimonio de ahorradores, y que funcionaba exclusivamente por internet. Así mismo ordenó el barrido masivo de toda la información y campañas de publicidad de la empresa y del servicio de gestión de proyectos Uinfudle. Las contraseñas de ambas plataformas pudieron ser recuperadas horas más tarde, y restaurados los servicios.
El mismo día de autos también envió de forma masiva un correo electrónico a varias decenas de clientes de la empresa, firmando como director de la misma, informando falsamente de que ésta entraba en situación de concurso de acreedores por falta de viabilidad, circunstancia que era totalmente falsa.
Finalmente, el día siguiente al despido, utilizando la cuenta de correo electrónico de la empresa, envió un email a 68 usuarios de la compañía adjuntando un listado de clientes en los que figuraba nombre, apellidos, dirección de email, teléfono, saldo de su cuenta y morosidad de la inversión.
Criterios jurisprudenciales para apreciar el "grave daño" en el tipo penal de delito informático
En su fundamentación jurídica la Audiencia justifica la revocación de la condena por delito de daños informáticos en la falta de acreditación por la acusación –sobre quien pesaba la carga de la prueba- de que la conducta del barrido masivo de información haya acarreado un daño grave, elemento exigido por el tipo del art. 264 CP.
Afirma la Sala que el resultado grave de los daños causados en los datos informáticos debe ser analizado caso por caso atendiendo a criterios que permitan apreciar esa gravedad, criterios como puede ser la posibilidad o no de recuperar los datos informáticos, la pérdida definitiva de los mismos o la posibilidad de recuperación y, en este último caso, el coste económico de la reparación del daño causado, la complejidad técnica de los trabajos de recuperación, la duración de las tareas de recuperación, el valor del perjuicio causado al titular de los datos, bien como lucro cesante o como daño emergente.
Sin embargo, en el caso, se ignora el valor de la cuantía de los daños, bien sea en su versión de coste de reparación o de perjuicios causados a la titular de los datos informáticos. Los datos borrados fueron recuperados en un tiempo no determinado, en todo caso sí se sabe con certeza que se pudo restablecer el acceso a Google Adwords unas tres horas y media después de que el apelante le revocara su permiso.
Confirma la condena por injurias
Por lo que respecta al delito de injurias, derivado del envío del correo electrónico a decenas de clientes comunicando que la sociedad se veía obligada a presentar concurso de acreedores, tal actuación sí integra plenamente el delito de injurias, cuya condena se confirma por la Audiencia porque el acusado era plenamente conocedor de la falsedad de la imputación sobre la inviabilidad económica de la empresa.
Así como en el delito informático no se apreciaron daños, no puede decirse lo mismo del delito de injurias, pues la falsa imputación sin duda ocasiona un daño evidente a la buena fama yl prestigio profesional de la sociedad, cuya actividad es la intermediación en la inversión financiera de pequeños ahorradores. El hecho de que el correo fuera abierto por muy pocos de sus destinatarios, que fuera rechazado como spam por otros o que no fuera apto para causar perjuicio alguno en la marcha del negocio son circunstancias que no desvirtúan su naturaleza delictiva.
¿Hubo descubrimiento y revelación de secretos?
Finalmente, la Sala confirma la absolución apreciada en instancia por el supuesto acceso ilegítimo a los datos de los clientes calificado como delito de revelación de secretos. Lo que solicita la acusación al tribunal superior es una nueva valoración de la prueba relativa a la concurrencia de los elementos del delito penado en el art.197.2 CP que requiere inmediación, no fiscalizable por los órganos que conocen en vía de recurso sin merma de garantías constitucionales. Esta circunstancia está vedada por la doctrina sobre la “reformatio in peius” y los límites de la revisión por el juez ad quem de sentencias absolutorias.
En definitiva la Audiencia reitera la existencia de una duda razonable sobre la ausencia de autorización del acusado derivada del posible acceso legítimo a los datos de los clientes y a la cuenta de correo en el ejercicio de sus funciones, que juega en favor del reo.
