El ‘whistleblower’ de Adicae
● Un juzgado archiva la querella de la asociación de usuarios de bancos contra un trabajador que denunció que la entidad inflaba el número de socios para lograr subvenciones públicas
UNA juez de Sevilla ha archivado la causa contra un trabajador de la Asociación de Usuarios de Bancos, Cajas de Ahorro y Seguros (Adicae) que actuó como whistleblower o alertador de la corrupción, al facilitar a la Policía los datos de más de 600.000 usuarios de la entidad, lo que ha servido para abrir una investigación a los directivos de Adicae por un delito de fraude de subvenciones, al haber inflado presuntamente el número de socios para percibir casi 700.000 euros en ayudas de la Junta de Andalucía.
Adicae presentó una querella contra el trabajador, al que atribuía delitos de revelación de secretos relacionados con la cesión no autorizada de ficheros con los datos de los asociados entre los años 1988 y 2013. El trabajador, defendido por la letrada Ana Vigneron, descargó esos datos en su ordenador y se los entregó en un pendrive a la Policía en enero de 2019, sin que se los entregara a nadie más.
Esa información motivó una investigación de la Unidad de Delincuencia Económica y Fiscal (Udef) de la Policía Nacional y la apertura de unas diligencias previas por parte del Juzgado de Instrucción número 20 de Sevilla, que investiga al presidente y fundador de Adicae, Manuel Pardos Vicente, y otros directivos de la asociación por delitos de falsedad documental y fraude de subvenciones.
La juez de Instrucción número 17 de Sevilla, Carmen Ruiz, ha decidido archivar la causa después de que la Fiscalía presentara un escrito en el que solicitaba el sobreseimiento de las actuaciones, al considerar que los hechos denunciados no constituían ningún delito por parte del trabajador de Adicae y denunciante del fraude. El informe elaborado por el fiscal delegado de Criminalidad Informática de Sevilla, Gabriel González, concluye que en este caso no hay indicios de un acceso a los datos vulnerando los sistemas de seguridad dela base de datos de la asociación–éste accedió con su usuario y contraseña –,“ni un do lo en revelar su contenido, puesto que el único fin era denunciar un posible hecho delictivo, correspondiendo a los dos órganos jurisdiccionales a los que se ha remitido esa documentación adoptar las medidas de reserva ante la naturaleza de la información entregada”.
El fiscal pidió el archivo al estimar que la actuación del trabajador tiene una justificación. “Este Ministerio Público entiende que no resulta debidamente justificada la perpetración del delito, interesando el sobreseimiento provisional de la causa, toda vez que el querellado procedió a la obtención de la información obrante en la base de datos de Adicae sin que conste acreditado un acceso distinto al ordinario (usuario/contraseña), cediendo dicha información a las Fuerzas y Cuerpos de Seguridad para la investigación de un delito como es el fraude de subvenciones, por lo que concurriría una causa de justificación que legitimarían el quebrantamiento del sigilo y la cesión de la información a un tercero institucional encargado de la investigación de delitos, sin que pueda advertirse ningún móvil espurio o cualquier otro que no sea el tendente a colaborar con la Administración de Justicia y evitar una presunta conducta criminal que afectaría a los intereses de la sociedad al manipular, en beneficio propio, la distribución equitativa de los recursos públicos en un sistema regulado, ordenado y justo de las subvenciones o desgravaciones”, asevera el fiscal delegado de Criminalidad Informática.
La juez ha asumido este argumento de la Fiscalía y ha archivado la querella contra el trabajador de Adicae en un auto en el que va más allá incluso, al asegurar que Adicae “carece de legitimación” para ejercitar la acción penal en relación con el delito de revelación de secretos, por cuanto la asociación no puede tener la condición de “ofendido” por el delito en relación con el “apoderamiento o utilización del listado y datos de los socios de Adicae dados de alta desde 1988 hasta 2013”.
Dice la magistrada que la condición de persona agraviada deberá predicarse “únicamente de aquellos cuyos secretos o intimidad se revela”. El ofendido por el delito es el “titular del bien jurídico protegido ya lesionado, ya puesto en peligro por la acción, mientras que perjudicado es todo aquel que haya sufrido un perjuicio como consecuencia directa de la comisión del hecho delictivo”. Y en este sentido, prosigue el auto, aun cuando Adicae “pudiere llegar a sufrir un perjuicio por la conducta que considera incardinada” en el delito de revelación de secretos, “no es ofendida por el delito y no puede ejercitar la acción penal, limitándose al ejercicio de la acción civil”.
Añade la juez que los datos incluidos en los listados y base de datos de los socios cedidos por el querellado “sí que se encuadrarían en los datos reservados de carácter personal o familiar objeto de protección por la norma”, pero no consta denuncia de los agraviados –de los 611.0090 socios cuyos datos fueron descargados–, pero en cualquier caso el Ministerio Fiscal ha solicitado el archivo al considerar justificada la causa, argumento que asume plenamente la instructora.
En esta causa se presentaron dos informes periciales, uno de los cuales acusaba al trabajador de haber realizado un “ataque” al sistema informático de Adicae para obtener esos datos, mientras que otro perito restó credibilidad al anterior informe, al señalar que el mismo era “parcialmente ilegible, que no existe ninguna cadena de custodia, no se aportan ni ubican evidencias digitales, no se demuestra la configuración de permisos de un usuario concreto, no se demuestra la vulnerabilidad del sistema de Adicae y no se ha demostrado que los accesos hayan sido o no practica habitual”.
Tras analizar ambos informes periciales, el fiscal sostiene que los mismos “no reflejan indicios sólidos de un ‘hackeo’ de las bases de datos, por lo que siguiendo la teoría de la navaja de Ockham [principio que establece que en “igualdad de condiciones, la explicación más sencilla suele ser la correcta”], “lo lógico es pensar que el trabajador no se valió de ningún artificio informático para obtener los datos controvertidos, una explicación distinta no se acredita ni siquiera indiciariamente”.
El trabajador, añade, tenía su usuario y contraseña, y la cancelación de los permisos por parte de Adicae para su acceso se produjo “con posterioridad” a la cesión de los datos por el denunciante a la Fuerzas y Cuerpos de Seguridad del Estado y al inicio de la causa penal contra los responsables de Adicae.
El empleado se hizo con los datos de más de 600.000 socios y se los entregó a la Policía
La Fiscalía concluye que no hubo ningún hackeo del sistema informático de la asociación