En este sentido se ha pronunciado nuestro Tribunal Supremo a través de la Sentencia nº 987/2012, de fecha 3 de diciembre (Recurso 2429/2011 , sala segunda, sección primera).
Esta sentencia además de arrojar luz a un tema que no estaba nada claro, ha supuesto y va a suponer una revolución en cuanto a la problemática y divergencias en la interpretación de si una dirección IP es o no un dato de carácter personal y cómo debe ser tratada.
Volviendo a la resolución que nos ocupa, el Tribunal Supremo acuerda haber lugar al recurso planteado por el acusado y, por tanto, lo absuelve de un delito de estafa informática, anulando así, la Sentencia de la Audiencia Provincial de San Sebastián, de fecha 28 de octubre de 2011, que lo había condenado.
Así, el Tribunal Supremo argumenta que para desvirtuar el derecho fundamental a la presunción de inocencia es preciso que se den los siguientes requisitos:
- La validez de los medios de prueba.
- Pueda asumirse objetivamente la veracidad de las afirmaciones de la imputación (inexistencia de vacío probatorio y coherencia lógica)
- Inexistencia de dudas razonables sobre la veracidad de la acusación
- Cuando se trate de prueba indiciaria, es necesario que ésta vaya unida a otras pruebas (premisas fácticas) a partir de las cuales el juez pueda, siguiendo cánones de lógica y experiencia, inferir la comisión del delito por parte del acusado.
Lo que no ocurre en el supuesto que se enjuicia ya que, la única prueba que inculpa al acusado, y lo posiciona como autor de los hechos delictivos, es que la transacción fraudulenta se hizo desde su equipo informático según la dirección IP del mismo. Y, a este respecto, el Tribunal Supremo ha sido claro:
Fundamento de Derecho Tercero: (…) Para justificar tales conclusiones la sentencia (Audiencia Provincial) parte del informe policial, confeccionado a partir de la denuncia de quien luego fue coacusado, y que acredita que la orden telemática dirigida a la entidad bancaria se emitió utilizando una IP que había sido adjudicada a un equipo terminal que usaba una línea telefónica de la que era titular el recurrente.
La sentencia enfatiza la validez de la indagación policial.
Y concluye: el acusado era el usuario del ordenador usado en dicha comunicación. Y, a partir de tal dato básico infiere que él fue el que impartió la orden.Son las afirmaciones inferidas a partir de ahí las refutadas y ello por ilógicas y en exceso abierta. Todo ello a partir de la ostensible insuficiencia del trato retórico dado a la prueba pericial aportada. La sentencia omite todo análisis crítico de tal informe y lo desautoriza partiendo de un dato, tampoco discutido, que, sin embargo, hace poco razonable tal rechazo (…)En efecto el propio informe advierte que su objetivo y alcance se reduce a poner en evidencia que la inferencia que vincula ser usuario de un ordenador y línea telefónica no lleva necesariamente a la conclusión de que ese usuario sea el autor de toda utilización telemática de esa infraestructura informática. Y tal desautorización se hace desde premisas acreditadas y cuya obtención no exige el examen del equipo informático. En el caso, además de no desmentidos por el informe pericial, el perito indica que dispuso de los datos premisa de sus conclusiones desde la factura emitida por el servidor.
En esencia el informe pone de manifiesto que, al tiempo en que los hechos tuvieron lugar el entorno usado era Windows XP Professional edición 32 bits, con antivirus de licencia gratuita y con conexión a través de modem (no router). Ello implicaba una información a internet de los puertos que estaban disponibles en el PC, lo que es un factor de vulnerabilidad cognoscible por otros usuarios de la red. De éstos un atacante malicioso puede aprovechar aquella vulnerabilidad para utilizar el equipo ajeno quedando su uso registrado como si fuera el auténtico titular el que utiliza la IP en esa manipulación del equipo, sin más condición que la de que el equipo del titular verdadero se encuentre encendido. Y ello sin que este titular pueda ni siquiera percatarse de ese uso malicioso y ajeno de su equipo.
El informe avala sus conclusiones con experiencias que relata y advierte de que ni siquiera tal posibilidad exige una muy cualificada formación en el invasor que incluso dispone de herramientas de ayuda en la misma red. Al respecto facilita un amplio elenco de links en que se puede obtener tutoriales paso a paso para hacerse con el control de otro ordenador (…)
Por este motivo, el Tribunal Supremo entiende y establece que el titular de una dirección IP, asociada a un terminal informático, no tiene por que ser el autor de los hechos o transacciones que se hayan llevado a cabo a través de ese ordenador, puesto que, un mismo ordenador puede ser utilizado por diferentes personas y una misma dirección IP puede abarcar a más de un terminal informático.
Ahora, habrá que esperar a ver si esta Sentencia nos orienta o es un inicio, para aclarar si una dirección IP es o no un dato de carácter personal que identifica a la persona que está detrás de ella.