En este supuesto, se ha declarado, como hechos probados, que el acusado presta servicios como médico especialista en el Servicio de Cardiología del Complejo Hospitalario de Navarra. Asimismo, consta acreditado que se realizaron diversos accesos no autorizados, a través del usuario y contraseña del acusado, a la historia clínica del afectado.
No obstante lo anterior, se indica en la Sentencia que, si bien los accesos se efectuaron mediante el usuario del acusado, no consta que este fuera la persona que efectuó dichos accesos, puesto que se ha podido comprobar que, durante los mismos (según la programación del Hospital), este se encontraba en quirófano o en distintas reuniones. En este sentido, se hace constar que una vez iniciada la sesión, “la misma puede permanecer abierta y acceder otra persona distinta del usuario a la historia clínica”, siendo una práctica general que el facultativo dejara la aplicación abierta y entrase a realizar cualquier intervención, “circunstancia esta que puede ser aprovechada por cualquier persona para realizar cualquier consulta a través de otro usuario”.
Ello se debía al ambiente de plena confianza existente en el Hospital que hacía que incluso existiese “una relajación en relación al cumplimiento de las instrucciones informáticas de cierre de sesión”, lo que cambió a partir de 2020, una vez se tuvo constancia de estos accesos indebidos.
La Sentencia de la Audiencia Provincial declara que se “exige la prueba concluyente, con la certeza absoluta para desvirtuar el derecho a la presunción de inocencia, de que el acusado accedió a la historia clínica del querellante sin autorización”. Así, si bien la prueba relativa a que los accesos no autorizados se efectuaron desde las sesiones informáticas abiertas con el usuario y contraseña del acusado es un “indicio de singular potencia acreditativa”, ella no supone “una presunción de que el autor fuera el acusado”.
Y ello es así debido a que los indicios probatorios relativos a las horas de los accesos y de las distintas programaciones del Hospital, así como las declaraciones testificales (en las que se puso de manifiesto que las horas de inicio y finalización de las intervenciones se controlan mediante un botón, por lo que “aun cuando pudiera en algún caso existir una discrepancia entre las horas fijadas y las reales, lo cierto es que dicha duda debe resolverse siempre a favor del reo”), implican que no se “puede alcanzar la conclusión de que se ha desvirtuado la presunción de inocencia”, existiendo una duda razonable.
Entre otras cuestiones, esta Sentencia permite probar que, aunque exista un ambiente de confianza en la compañía, se debe recordar a todos los empleados la necesidad de dar cumplimiento a las obligaciones y protocolos de seguridad informática respecto a sus dispositivos profesionales.
Puede acceder a la resolución de la Audiencia Provincial de Navarra aquí.