Por Luis Gerez | Director Jurídico de Sweet Water Group, S.L. | Mayo 2026
El Tribunal Superior de Justicia de Navarra acaba de confirmar una condena que ha sorprendido a muchos: 8 años de prisión y 16.800 euros de multa para una administrativa de un centro de salud que, entre mayo de 2021 y mayo de 2024, accedió sin autorización en 1.329 ocasiones al historial clínico de su hija y de sus tres nietos menores de edad.
Lo que podría parecer un conflicto familiar es, en realidad, un delito penal grave con consecuencias devastadoras. Y la sentencia manda un mensaje muy claro a cualquier persona que trabaje con datos personales ajenos: tener acceso técnico a un sistema no es lo mismo que tener autorización para usarlo.
Los hechos: 1.329 accesos en tres años
Durante tres años, la funcionaria consultó en 677 ocasiones el historial médico de su hija y en más de 650 ocasiones los de sus tres nietos. Además, imprimió informes médicos en 122 ocasiones. Todo ello desde su puesto de trabajo, usando sus credenciales profesionales para fines completamente ajenos a su labor.
El tribunal consideró acreditado que los accesos se realizaron «por motivos ajenos a sus funciones profesionales, sin justificación asistencial y sin contar con autorización». Y lo que agravó especialmente la condena es que la funcionaria no solo accedió a esos datos: los difundió a terceras personas.
Ese detalle fue clave. La defensa intentó alegar un trastorno disociativo que anulaba su capacidad de comprender sus actos, pero el tribunal lo descartó precisamente porque quien difunde datos actúa con conciencia de lo que hace.
Además de los 8 años de prisión, la condenada no podrá acercarse ni comunicarse con su hija ni sus nietos en un radio de 200 metros durante 20 años, y deberá indemnizarles con 55.000 euros en concepto de daño moral. La sentencia puede ser recurrida ante el Tribunal Supremo.
¿Por qué es un delito penal y no solo una infracción administrativa?
Es la pregunta que más se repite cuando se explica este caso. La respuesta está en el artículo 197 del Código Penal, que tipifica el delito de revelación de secretos.
Este delito protege el derecho fundamental a la intimidad recogido en el artículo 18 de la Constitución Española. Y se aplica con especial contundencia cuando los datos afectados son datos de salud, que tienen la categoría de datos especialmente protegidos tanto por el Código Penal como por el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos española.
La diferencia entre una sanción administrativa de la AEPD y un delito penal está, principalmente, en dos factores: la intencionalidad y la difusión de los datos. Cuando ambas se acreditan, las consecuencias son penales, no solo económicas.
Situaciones cotidianas que muchos no saben que pueden ser delito
Este caso no es un supuesto aislado ni extraordinario. Hay situaciones mucho más comunes que pueden incurrir en el mismo tipo penal:
- Un trabajador sanitario que consulta historiales de pacientes por curiosidad, aunque sean familiares o conocidos, fuera de su función asistencial.
- Un empleado de empresa que accede a datos personales de compañeros o clientes sin justificación laboral.
- Cualquier persona que obtiene información privada de otra de forma no autorizada y la comparte con terceros, aunque sea en un contexto familiar o de confianza.
La clave no es si la persona tenía acceso técnico al sistema. La clave es para qué lo usó.
¿Qué puede hacer la víctima?
Si alguien ha accedido sin tu consentimiento a tus datos personales —especialmente datos de salud— tienes tres vías de actuación que no son excluyentes entre sí:
Vía penal: Denuncia por delito de revelación de secretos ante la Fiscalía o la Policía. Si se acredita el acceso no autorizado y la difusión, las penas pueden ser muy elevadas, como demuestra esta sentencia.
Vía civil: Reclamación de indemnización por daños morales. En este caso, las víctimas recibirán 55.000 euros. La cuantía depende de la gravedad del acceso y del daño demostrable.
Vía administrativa (AEPD): Reclamación ante la Agencia Española de Protección de Datos, que puede imponer sanciones millonarias a las empresas o instituciones que no hayan protegido adecuadamente los datos de sus usuarios o empleados.
Lo que esta sentencia cambia para las empresas y los profesionales
Más allá del caso concreto, esta sentencia refuerza un principio que muchas organizaciones todavía subestiman: el control de acceso a los datos no es solo una cuestión técnica, es una obligación legal.
Las empresas que gestionan datos sensibles —clínicas, hospitales, despachos, aseguradoras, gestorías— tienen la obligación de garantizar que sus empleados solo acceden a los datos que necesitan para su función. Si no lo hacen y se produce un acceso indebido, la responsabilidad puede alcanzar también a la organización.
El RGPD y la LOPD exigen auditorías de acceso, registros de actividad y protocolos de control. No tenerlos no exime de responsabilidad; en muchos casos, la agrava.
¿Necesitas asesoramiento en protección de datos o defensa penal?
En Sweet Water Group contamos con abogados especializados en Defensa Penal y en Auditoría Legal Digital para empresas y particulares. Si crees que alguien ha accedido sin tu permiso a tus datos personales, o si tu empresa necesita revisar sus protocolos de protección de datos para evitar responsabilidades, analizamos tu caso sin compromiso.
📞 911 86 80 99
✉️ info@sweetwatergroup.es
🌐 Reserva tu consulta gratuita aquí
Fuente: Sentencia del Tribunal Superior de Justicia de Navarra, Sala de lo Civil y Penal, confirmada el 8 de mayo de 2026. Fuente CGPJ. Este artículo tiene carácter informativo y no constituye asesoramiento jurídico individualizado.
