Acceso Ilícito al Historial Clínico y Datos de Salud

Defensa penal en el acceso, uso o cesión no autorizada de datos de salud e historiales clínicos (Art. 197.2 y 197.5 CP), con penas agravadas por tratarse de datos especialmente protegidos.

call91 078 65 74

Última actualización: 22 de junio de 2026

Claves de la Defensa: Acceso Ilícito al Historial Clínico y Datos de Salud

El acceso, uso, modificación o cesión no autorizada de datos personales reservados en ficheros se castiga en el Art. 197.2 CP con prisión de uno a cuatro años y multa de doce a veinticuatro meses.
El funcionario o autoridad que accede al historial clínico fuera de los casos permitidos por la ley responde por el Art. 198 CP, con inhabilitación de seis a doce años.
Cuando los datos afectados son de salud, las penas se imponen en su mitad superior por el Art. 197.5 CP, al tratarse de datos especialmente protegidos.
Si el autor es el responsable o encargado del fichero sanitario, se aplica el subtipo agravado del Art. 197.4 CP.
El simple acceso o 'curiosidad' sobre el historial de un paciente, sin autorización ni finalidad asistencial, ya consuma el tipo: no se exige difusión posterior.
La vía penal es compatible con el expediente sancionador de la Agencia Española de Protección de Datos, lo que exige una defensa coordinada en ambos frentes.

Qué protege el Art. 197.2 CP

El artículo 197.2 del Código Penal protege la intimidad frente al tratamiento ilícito de datos personales reservados que constan en ficheros o soportes informáticos, electrónicos o telemáticos. Castiga a quien, sin estar autorizado, se apodere, utilice o modifique datos reservados de carácter personal o familiar de otro registrados en cualquier tipo de archivo, así como a quien, sin autorización, acceda a ellos por cualquier medio o los altere o utilice en perjuicio del titular o de un tercero. La pena prevista es de prisión de uno a cuatro años y multa de doce a veinticuatro meses, la misma que el tipo básico de descubrimiento de secretos del Art. 197.1 CP.

El historial clínico es el ejemplo paradigmático de fichero protegido por este precepto. Acceder al registro sanitario de un paciente sin relación asistencial, consultar el sistema de información hospitalario por curiosidad o por motivos personales, o extraer datos de un fichero laboral de salud sin autorización, son conductas que encajan en el Art. 197.2 CP. No se exige que los datos lleguen a difundirse: el mero acceso o uso no autorizado consuma el delito.

El agravante de datos de salud (Art. 197.5 CP)

La nota distintiva de estos casos es que el historial clínico contiene datos especialmente protegidos. El artículo 197.5 CP dispone que, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o una persona con discapacidad necesitada de especial protección, las penas se imponen en su mitad superior. Tratándose de datos de salud, este agravante se aplica de forma prácticamente automática, elevando el marco penal del Art. 197.2 CP.

Si además concurre ánimo de lucro y los hechos afectan a datos del Art. 197.5 CP, el Art. 197.6 CP eleva la pena a prisión de cuatro a siete años. La frontera entre el acceso por curiosidad y el acceso con finalidad de obtener un beneficio o de perjudicar a un tercero resulta, por ello, decisiva para la calificación.

Penas y subtipos agravados

El sistema del Art. 197 CP se completa con varios subtipos relevantes en el ámbito sanitario y laboral. El Art. 197.3 CP castiga con prisión de dos a cinco años la difusión, revelación o cesión a terceros de los datos descubiertos. El Art. 197.4 CP agrava la pena cuando los hechos los comete la persona o entidad encargada o responsable del fichero —típicamente, personal sanitario o administrativo con acceso legítimo al sistema que lo utiliza para fines ajenos a su función— o cuando se difunden los datos.

Cuando el acceso lo realiza una autoridad o funcionario público prevaliéndose de su cargo y fuera de los casos permitidos por la ley, se aplica el Art. 198 CP, que impone las penas respectivas en su mitad superior y, además, inhabilitación absoluta por tiempo de seis a doce años. Este precepto es especialmente relevante para personal de hospitales públicos, mutuas, servicios de inspección o administraciones con acceso a datos de salud.

Junto a la responsabilidad penal, el acceso indebido al historial clínico suele dar lugar a un expediente sancionador ante la Agencia Española de Protección de Datos (AEPD) conforme al RGPD y la LOPDGDD. Ambos procedimientos pueden coexistir, por lo que la estrategia de defensa debe contemplar el conjunto. En este terreno conviene articular la defensa con la de los delitos de revelación de secretos y, en su caso, con el acceso ilícito a sistemas informáticos del Art. 197 bis CP, cuyo encaje es distinto.

Elementos del delito y líneas de defensa

La defensa parte siempre del análisis del título de acceso: si existía relación asistencial, consentimiento del titular, habilitación legal o una finalidad amparada por la normativa sanitaria, la conducta puede quedar extramuros del tipo. El elemento subjetivo es esencial: el Art. 197.2 CP exige un acceso consciente y no autorizado, de modo que los accesos accidentales, los amparados en protocolos internos o los necesarios para la asistencia no integran el delito. El despacho de Alonso Sala, con sede en Velázquez 27, Madrid, asume tanto la defensa de profesionales sanitarios y administrativos investigados como la acusación particular de pacientes cuyo historial ha sido vulnerado. Para una valoración del caso puede contactar en el 91 078 65 74.

balance

Penas y Consecuencias: Acceso Ilícito al Historial Clínico y Datos de Salud

Tipo / Supuesto	Consecuencia Penal
Tipo básico (Art. 197.2 CP)	Acceso, uso, modificación o cesión no autorizada de datos personales reservados en ficheros: prisión de uno a cuatro años y multa de doce a veinticuatro meses.
Agravante de datos de salud (Art. 197.5 CP)	Cuando afecta a datos de salud u otros especialmente protegidos, las penas se imponen en su mitad superior; con ánimo de lucro sobre estos datos, el Art. 197.6 CP eleva la pena a prisión de cuatro a siete años.
Funcionario público (Art. 198 CP)	La autoridad o funcionario que accede fuera de los casos legales prevaliéndose del cargo responde con las penas en su mitad superior e inhabilitación absoluta de seis a doce años.

* Las penas indicadas son orientativas. La pena concreta depende de las circunstancias del caso, atenuantes y agravantes aplicables.

shield_lock

Estrategia de Defensa: Acceso Ilícito al Historial Clínico y Datos de Salud

gavel01

Análisis del título de acceso

Examinamos si existía relación asistencial, consentimiento del titular o habilitación legal que ampare la consulta del historial, lo que puede excluir la tipicidad del Art. 197.2 CP desde el inicio.

gavel02

Defensa del elemento subjetivo

El tipo exige un acceso consciente y no autorizado. Acreditar que el acceso fue accidental, necesario para la asistencia o amparado en protocolos internos puede determinar la atipicidad de la conducta.

gavel03

Coordinación con la vía administrativa

Articulamos la defensa penal con el expediente sancionador ante la AEPD, evitando declaraciones o reconocimientos en un procedimiento que perjudiquen la posición en el otro.

Guía de Defensa en Ciberdelincuencia: Hacking, Phishing y Daños Informáticos

La ciberdelincuencia abarca el acceso ilegal a sistemas informáticos (Art. 197 bis CP), los daños informáticos y ransomware (Art. 264 CP), el phishing y fraude digital (Art. 249.1.a CP), y la producción o distribución de herramientas de hacking (Art. 197 ter). La persecución de la ciberdelincuencia en España se ha intensificado con unidades especializadas como la Brigada de Investigación Tecnológica (BIT) de la Policía Nacional y el Grupo de Delitos Telemáticos (GDT) de la Guardia Civil. La defensa requiere una combinación única de conocimiento jurídico penal y pericia técnica avanzada.

Cuadro de Penas: Ciberdelincuencia

Delito	Artículo	Descripción	Pena
Acceso ilegal a sistemas	Art. 197 bis	Acceso no autorizado vulnerando medidas de seguridad	6 meses – 2 años
Interceptación de datos	Art. 197 bis.2	Interceptación de transmisiones de datos no públicas	3 meses – 2 años
Producción/distribución de herramientas	Art. 197 ter	Crear o distribuir programas diseñados para ciberdelitos	6 meses – 2 años
Daños informáticos (básico)	Art. 264.1	Borrar, dañar o hacer inaccesibles datos	6 meses – 3 años
Daño agravado (infraestructura crítica)	Art. 264.2	Afectar servicios esenciales o infraestructura crítica	2 – 5 años prisión
Fraude informático (phishing)	Art. 249.1.a	Manipulación informática para obtener transferencia patrimonial	6 meses – 3 años

Estrategias Clave de Defensa en Ciberdelincuencia

Impugnación de atribución IP

Una dirección IP no identifica a una persona. Redes Wi-Fi compartidas, VPN, nodos de salida Tor y configuraciones NAT permiten que múltiples usuarios compartan una IP. La acusación debe probar que el acusado fue el usuario real en el momento relevante.

Cadena de custodia digital

La evidencia digital es extremadamente frágil. Si la policía no clonó el disco con un bloqueador de escritura, si los valores hash no coinciden o si la evidencia fue manipulada, la defensa puede solicitar la exclusión de toda la cadena de evidencia digital.

Pruebas de seguridad autorizadas

El hacking ético y las pruebas de penetración realizadas con autorización del propietario del sistema son legales. Si el acusado tenía un contrato de auditoría, acuerdo de bug bounty o política de revelación responsable, no hay delito.

Ausencia de 'vulneración de medidas de seguridad'

El Art. 197 bis exige que se vulneraran medidas de seguridad. Si el sistema no tenía contraseña, ni firewall, o el punto de acceso era público, puede faltar el elemento de 'vulneración de seguridad', negando el tipo penal.

gavel

¿Por Qué Elegirnos?

¿Necesita un abogado penalista para este tipo de delito? Así trabajamos:

check

Ausencia de acceso no autorizadoSi el profesional contaba con habilitación de acceso por su función asistencial o administrativa, o el titular prestó consentimiento, no se cumple el presupuesto del Art. 197.2 CP.

check

Inexistencia de doloLos accesos accidentales o derivados de la configuración del sistema, sin voluntad de conocer datos ajenos a la función, carecen del elemento intencional que exige el tipo.

check

Cuestionamiento de la prueba de trazabilidadLos registros de logs y trazas de acceso deben acreditar de forma fiable la identidad del autor y la efectiva visualización de los datos; su debilidad técnica abre vías de defensa.

workspace_premium

+15 Años de ExperienciaEquipo dedicado en exclusiva al derecho penal ante juzgados y tribunales.

support_agent

Atención DirectaSu caso lo lleva directamente un abogado titular del despacho.

Consultar Mi Casoarrow_forward

quiz

Preguntas Frecuentes

¿Es delito consultar el historial clínico de un paciente por curiosidad?expand_more

Sí. El Art. 197.2 CP castiga el acceso no autorizado a datos personales reservados en ficheros, y el historial clínico lo es. Consultar el sistema sin relación asistencial ni finalidad amparada por la normativa consuma el delito, aunque la información no se difunda después.

¿Qué pena tiene el acceso ilícito a datos de salud?expand_more

El tipo básico del Art. 197.2 CP prevé prisión de uno a cuatro años y multa de doce a veinticuatro meses. Al tratarse de datos de salud, el Art. 197.5 CP impone esas penas en su mitad superior por ser datos especialmente protegidos.

¿Por qué se agravan las penas cuando se trata de datos de salud?expand_more

Porque el Art. 197.5 CP considera los datos de salud, junto con los relativos a ideología, religión, creencias, origen racial o vida sexual, como datos especialmente protegidos. Su afectación obliga a imponer las penas en su mitad superior.

¿Es necesario que los datos se difundan para que haya delito?expand_more

No. El Art. 197.2 CP se consuma con el acceso, uso o modificación no autorizada de los datos. La difusión o cesión posterior a terceros constituye un subtipo agravado distinto, el del Art. 197.3 CP, con prisión de dos a cinco años.

¿Qué ocurre si el acceso lo realiza un funcionario público?expand_more

Si una autoridad o funcionario público accede a los datos prevaliéndose de su cargo y fuera de los casos permitidos por la ley, se aplica el Art. 198 CP, que impone las penas en su mitad superior y, además, inhabilitación absoluta de seis a doce años.

¿Comete el delito el sanitario que tiene acceso legítimo al sistema?expand_more

Tener acceso legítimo por la función no autoriza a consultar cualquier historial. Si el profesional utiliza su acceso para fines ajenos a la asistencia, puede aplicarse el subtipo agravado del Art. 197.4 CP, previsto para quien está encargado o es responsable del fichero.

¿Puede haber proceso penal y sanción de la AEPD a la vez?expand_more

Sí. El acceso indebido al historial clínico puede dar lugar tanto a responsabilidad penal por el Art. 197 CP como a un expediente sancionador ante la Agencia Española de Protección de Datos por infracción del RGPD y la LOPDGDD. Por eso la defensa debe coordinarse en ambos frentes.

¿Qué líneas de defensa existen frente a esta acusación?expand_more

Las principales son acreditar la existencia de un título de acceso (relación asistencial, consentimiento o habilitación legal), la ausencia de dolo en accesos accidentales y el cuestionamiento de la fiabilidad de los registros de trazabilidad que pretenden identificar al autor.

¿Diferencia entre este delito y el acceso ilícito a sistemas informáticos?expand_more

El Art. 197.2 CP castiga el acceso a datos personales reservados en ficheros, mientras que el Art. 197 bis CP sanciona el acceso no autorizado a un sistema de información vulnerando medidas de seguridad. Su encaje y penas son distintos, aunque a menudo los hechos se solapan.

¿Quién puede ejercer la acusación particular?expand_more

El paciente titular de los datos cuyo historial ha sido vulnerado puede personarse como acusación particular para reclamar la condena y la indemnización por los daños morales sufridos por la intromisión en su intimidad.

También actuamos en

Madrid Alicante Marbella Sevilla Málaga Bilbao Zaragoza

Ver todas las localidades →

listÍndice de Contenidos

shieldClaves de la Defensa: Acceso Ilícito al Historial Clínico y Datos de Salud

El acceso, uso, modificación o cesión no autorizada de datos personales reservados en ficheros se castiga en el Art. 197.2 CP con prisión de uno a cuatro años y multa de doce a veinticuatro meses.
El funcionario o autoridad que accede al historial clínico fuera de los casos permitidos por la ley responde por el Art. 198 CP, con inhabilitación de seis a doce años.
Cuando los datos afectados son de salud, las penas se imponen en su mitad superior por el Art. 197.5 CP, al tratarse de datos especialmente protegidos.
Si el autor es el responsable o encargado del fichero sanitario, se aplica el subtipo agravado del Art. 197.4 CP.
El simple acceso o 'curiosidad' sobre el historial de un paciente, sin autorización ni finalidad asistencial, ya consuma el tipo: no se exige difusión posterior.
La vía penal es compatible con el expediente sancionador de la Agencia Española de Protección de Datos, lo que exige una defensa coordinada en ambos frentes.

gavelElementos del Delito

check_circleDatos reservados en ficheroDebe tratarse de datos de carácter personal o familiar registrados en un fichero o soporte (en estos casos, el historial clínico o un fichero sanitario o laboral de salud).
check_circleAcceso o uso no autorizadoLa conducta consiste en apoderarse, acceder, utilizar, modificar o ceder los datos sin autorización, en perjuicio del titular o de un tercero. No se exige difusión posterior.
check_circleNaturaleza especialmente protegida del datoQue el dato afectado sea de salud activa el agravante del Art. 197.5 CP, que impone las penas en su mitad superior por la especial sensibilidad de la información.

gavelConsecuencias Penales

Tipo básico (Art. 197.2 CP)

Acceso, uso, modificación o cesión no autorizada de datos personales reservados en ficheros: prisión de uno a cuatro años y multa de doce a veinticuatro meses.

Agravante de datos de salud (Art. 197.5 CP)

Cuando afecta a datos de salud u otros especialmente protegidos, las penas se imponen en su mitad superior; con ánimo de lucro sobre estos datos, el Art. 197.6 CP eleva la pena a prisión de cuatro a siete años.

Funcionario público (Art. 198 CP)

La autoridad o funcionario que accede fuera de los casos legales prevaliéndose del cargo responde con las penas en su mitad superior e inhabilitación absoluta de seis a doce años.

articleArtículos Relacionados

linkServicios Relacionados

account_treePrivacidad e Intimidad

Explorar todas las áreas de prácticaarrow_forward

¿Necesita Asistencia Legal Especializada?

El sistema judicial es complejo. Contamos con la especialización penal y los recursos técnicos necesarios para asumir la defensa.

Contacte con Alonso Sala

Llamar: 91 078 65 74