En su sentencia número 849/2025 de fecha 16 de octubre de 2025 el Pleno de la Sala de lo Penal del Tribunal Supremo ha confirmado la sentencia de dos años, seis meses y un día impuesta por la Audiencia Provincial de Cáceres al director-gerente de una residencia por haber accedido al ordenador que usaba la enfermera de forma habitual y que contenía también información personal tras robar su contraseña, al considerar que un identificador del/la titular que permite el acceso a toda la información que pueda existir en el dispositivo es un dato personal reservado y protegido por el artículo 197.2 del Código Penal: «El profesional que, con incumplimiento de su obligación de sigilo o reserva, divulgue los secretos de otra persona, será castigado con la pena de prisión de uno a cuatro años, multa de doce a veinticuatro meses e inhabilitación especial para dicha profesión por tiempo de dos a seis años».
En el caso enjuiciado la enfermera usaba el ordenador de modelos de plantillas de los usuarios de la residencia, lo que para la sala «entra en el radio de la acción de delito contra la intimidad» y según la doctrina reiterada del Alto Tribunal, este concepto hace referencia a «toda información sobre una persona física identificada o identificable», ya que la ley no establece distinciones en su protección, equiparando claves, contraseñas o identificadores telemáticos a datos personales reservados, porque permiten el acceso a servicios o espacios de información vinculados directamente a una persona.
Aplicando esta doctrina al caso, el Alto Tribunal determina que la clave de un ordenador personal es un dato personal protegido: «la obtención fraudulenta de la clave del ordenador ya es de por sí un acceso no consentido a un dato personal reservado de la denunciante. La clave que es un identificador de su titular, permite el acceso a toda la información que pueda existir en el ordenador, y que, por lo mismo, constituye per se un dato personal reservado protegido por el artículo 197.2 del CP», reforzando de ese modo que el mero acceso no autorizado, aunque no se llegue a leer o copiar información, constituye un atentado contra la intimidad digital, y le impone al director–gerente la condena de dos años y seis meses como autor de un delito de descubrimiento de secretos.