Story Transcript
CUESTIONES PROCESALES RELATIVAS A LA INVESTIGACIÓN DE LOS DELITOS EN RED Roberto Valverde Megías Delegado de Criminalidad Informática de la Fiscalía Provincial de Barcelona
1
RESUMEN La generalización del uso de los equipos informáticos e Internet ha supuesto un desafío para las estructuras procesales de persecución de los delitos, que se han visto obligadas a superar fronteras formativas, técnicas y reales. Las primeras han forzado a los operadores jurídicos a extender sus conocimientos más allá de lo legislativo y dotarse de unas nociones indispensables para poder continuar ejerciendo sus correspondientes funciones. Las segundas han obligado a los Estados a dotarse de instrumentos normativos que garanticen la conservación e inmutabilidad de los volátiles rastros del delito, de cuerpos policiales especializados que no queden un paso por detrás de los delincuentes y de equipos de análisis forense de la inconmensurable cantidad de información que se reúne. Este proceso de reconfiguración y desarrollo de los procedimientos de instrucción hace preciso el examen de las actuaciones que, sobre la legislación vigente, pueden llevarse a cabo, sus limitaciones y la incidencia en los derechos fundamentales, así como la necesidad crear nuevas figuras o medidas que completen el conjunto de facultades del instructor a través de reformas entre las que destaca de forma sobresaliente la reforma de la Ley de Enjuiciamiento Criminal a través de la Ley Orgánica de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica. .
SUMARIO: 1.- INTRODUCCIÓN. DIFICULTADES GENERALES DE LA INVESTIGACIÓN PROCESAL. 2.- INVESTIGACIÓN. 2.1.- FUENTES DE CONOCIMIENTO DEL HECHO DELICTIVO. 2.2.- INVESTIGACIÓN DE FUENTES ABIERTAS: OPEN SOURCE INTELLIGENCE (OSINT). 2.3.INVESTIGACIÓN DE DATOS PROTEGIDOS. LEY 25/2007, DE 18 DE OCTUBRE, DE CONSERVACIÓN DE DATOS. 2.3.1.- Exigencia de autorización judicial. 2.3.2.- Exigencia de gravedad. 2.3.3.- Sentencia del Tribunal de Justicia de la Unión Europea de 8 de abril de 2014. 2.3.4.- Reforma de la Ley de Enjuiciamiento Criminal en materia de datos de tráfico. 2.4.- REGISTRO DE DISPOSITIVOS. 2.5.AGENTE ENCUBIERTO INFORMÁTICO. 2.6.- ENTRADAS Y REGISTROS. INFORMES PERICIALES. 3. MEDIDAS ACCESORIAS A LA INSTRUCCIÓN. 3.1.- SOBRE LOS DATOS. 3.2.- SOBRE LOS CONTENIDOS. 3.2.1.- Problemas prácticos del bloqueo de contenidos. 3.3.- SOBRE LAS PERSONAS.
1.- INTRODUCCIÓN. DIFICULTADES INVESTIGACIÓN PROCESAL.
GENERALES
DE
LA
El primer obstáculo al que se enfrenta la investigación de la delincuencia informática no radica en la mayor o menor adecuación de nuestras normas procedimentales sino en la propia complejidad técnica que deriva de la vinculación entre delitos a sistemas y redes informáticos. A su vez, de la relativa complejidad técnica de la materia deriva una consecuencia indeseable en todo proceso judicial como es la dilación de las actuaciones, en este caso, a causa de la demora en la tramitación del proceso. No es infrecuente en la 2
práctica diaria que la instrucción de estos asuntos devenga en un ir y venir de mandamientos, oficios y propuestas entre los Juzgados, las Fuerzas Policiales investigadoras, las partes y las empresas prestadoras de servicios. Por otro lado, las dificultades técnicas que se plantean en sede de instrucción se trasladan posteriormente a la fase de enjuiciamiento, en la que nuevamente Jueces, Fiscales y Letrados deberían tener unos mínimos conocimientos que les permitan eludir planteamientos o conclusiones incorrectas a la hora de sostener la acusación o planificar la estrategia de defensa (ni que decir tiene que, con mayor motivo, a la hora de fundamentar el fallo), así como aligerar el acto del juicio de pruebas testificales y periciales prolijas que versen no ya sobre el objeto del proceso en el caso concreto sino sobre nociones elementales que permitan la comprensión de los elementos más básicos. Otro obstáculo que de forma constante se plantea en los delitos cometidos por medio de Internet es la transfronterización del conflicto, esto es, la conexión del hecho delictivo con el espacio y la soberanía de diferentes Estados como consecuencia de la vinculación espacial con los mismos del hecho delictivo, lo que puede producirse por la colaboración de varios autores ubicados en diferentes Estados, la diferente localización de los servidores, la utilización de proxys en la navegación, la atomización de los resultados,… Ello plantea en la investigación diversos problemas como la determinación de la competencia internacional o la diversidad de legislaciones aplicables. Por último, cabe destacar en esta primera aproximación a la problemática que plantea la delincuencia informática la volatilidad de los datos digitales. Si bien la actuación criminal en Internet da una falsa apariencia de anonimato lo cierto es que en la mayoría de las ocasiones la actuación deja rastros que pueden ser trazados hasta la identificación del origen del ataque. Estos rastros, sin embargo, son notablemente frágiles, por lo que el instructor corre el riesgo de que hayan desaparecido en el momento de pretender acceder a ellos o bien que, al intentar recomponer la cadena de pasos y conexiones realizadas por el delincuente hasta su origen tales pasos hayan sido eliminados de manera automatizada.
2.- INVESTIGACIÓN.
2. 1.- FUENTES DE CONOCIMIENTO DEL HECHO DELICTIVO.
Es frecuente que la primera noción que se tiene de la comisión de un delito por medio de las Tecnologías de la Información y la Comunicación proceda de la misma víctima, que comparece en sede policial o judicial para exponer los hechos, acompañando tal declaración de la aportación de documentos o de la misma exhibición del dispositivo a través del cual ha tenido conocimiento de los hechos. Así, acaba por no resultar infrecuente que la aportación de documentos o informes a las actuaciones venga desde el primer momento afectada por carencias que podrían llegar a afectar al curso del procedimiento, como la unión a la denuncia de una impresión directa (“pantallazo”) de 3
correos electrónicos o conversaciones en programas de mensajería instantánea de los que resulte la comisión del delito: asumiendo que tales correos electrónicos son documentos, no debería bastar la unión de una mera copia sin garantías, siendo exigible que, como mínimo, el Secretario Judicial realice el oportuno cotejo, si no acudir directamente a la fuente en que se aloja el correo (el equipo en caso de almacenamiento local, los servidores remotos en caso de clientes de correo electrónico) para interesar la aportación íntegra y exacta. En ausencia de estas formalidades, habrá de recurrirse para hacer valer la existencia de delito a la aportación de testificales que corroboren el contenido de la copia aportada y su correspondencia con el original. A esto se ha referido la STS 300/2015, de 19 de mayo (Pte: Marchena Gómez) al indicar que «la prueba de una comunicación bidireccional mediante cualquiera de los múltiples sistemas de mensajería instantánea debe ser abordada con todas las cautelas. La posibilidad de una manipulación de los archivos digitales mediante los que se materializa ese intercambio de ideas, forma parte de la realidad de las cosas. El anonimato que autorizan tales sistemas y la libre creación de cuentas con una identidad fingida, hacen perfectamente posible aparentar una comunicación en la que un único usuario se relaciona consigo mismo. De ahí que la impugnación de la autenticidad de cualquiera de esas conversaciones, cuando son aportadas a la causa mediante archivos de impresión, desplaza la carga de la prueba hacia quien pretende aprovechar su idoneidad probatoria. Será indispensable en tal caso la práctica de una prueba pericial que identifique el verdadero origen de esa comunicación, la identidad de los interlocutores y, en fin, la integridad de su contenido».
2.2.- INVESTIGACIÓN DE FUENTES ABIERTAS: OPEN SOURCE INTELLIGENCE (OSINT)
La investigación de un delito informático deberá iniciarse con el examen de los resultados y los medios lesivos para, a partir de los mismos, avanzar en la identificación del autor y las circunstancias del delito. Ahora bien, dicho examen no necesariamente vendrá subordinado a la previa existencia de habilitación judicial puesto que son muchos los datos que pueden averiguarse y aportarse al proceso sin que ello suponga una limitación de derechos fundamentales: En primer lugar, los datos pueden ser aportados voluntariamente al proceso por los propios perjudicados al venir referidos a comunicaciones en las que han sido interlocutores1, si bien con las prevenciones anticipadas en el inciso anterior respecto a las garantías de las que pueden carecer los documentos o archivos que contengan tales datos aportados. 1
Ello deriva de no resultar exigible el deber de secreto de las comunicaciones a los interlocutores de la propia comunicación. Así, STC 114/1984, de 29 de noviembre de 1984: «debe afirmarse que no constituye contravención alguna del secreto de las comunicaciones la conducta del interlocutor en la conversación que graba ésta (que graba también, por lo tanto, sus propias manifestaciones personales». En el mismo sentido, la STS 710/2000, de 6 de julio, dispone que «En consecuencia, no cabe apreciar, en principio, que la grabación de una conversación por un interlocutor privado implique la violación de un derecho constitucional, que determine la prohibición de valoración de la prueba así obtenida».
4
De esta forma, en caso de que el medio para la comisión del delito haya sido el envío de correos electrónicos podrá procederse a identificar en la cabecera técnica del mensaje la dirección IP de envío, que permitiría localizar a la postre al remitente, sin que ello implique vulneración del secreto de las comunicaciones. De la misma manera, si lo recibido son documentos digitales tales como archivos de imagen puede obtenerse relevante información no sólo a partir del estudio directo de las imágenes en sí que puedan visionarse, sino también de los metadatos asociados. No sólo a través de ellos podremos ubicar el momento exacto de creación del archivo (pudiendo ser o no el de la captación de la fotografía) o la máquina o dispositivo con que se ha realizado, sino que del cotejo on line de la imagen puede, por ejemplo, revelar coincidencias con otras imágenes que permitan orientar la investigación (por ejemplo, con imágenes publicadas en redes sociales). También el estudio de los metadatos asociados a documentos ofimáticos puede revelar información de interés para la investigación tales como el nombre de usuario o de la empresa a que pertenezca el equipo en que ha sido redactado, el sistema operativo y la aplicación utilizada para su confección2. Tratándose de páginas web, del estudio de las mismas podrá obtenerse datos como la geolocalización de su dirección IP o los resultantes de la consulta de los datos asociados al dominio. Especialmente destacado desde hace ya años resulta para una primera aproximación a la identidad del delincuente el estudio de las redes sociales, de la actividad del mismo en ellas, sus contactos o relaciones con otros individuos3.
2.3.- INVESTIGACIÓN DE DATOS PROTEGIDOS. LEY 25/2007, DE 18 DE OCTUBRE, DE CONSERVACIÓN DE DATOS.
Con independencia de la información que puede obtenerse de las circunstancias y autoría del delito mediante el examen de datos disponibles en fuentes de información abiertas de acuerdo con lo ya expuesto, lo cierto es que la investigación de los delitos informáticos precisará en la mayoría de los supuestos la práctica de diligencias de investigación sólo susceptibles de ser acordadas por la autoridad judicial y en la primera línea de estas diligencias se encuentra la cesión de datos “generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o redes públicas de 2
Como se puso de manifiesto en, la investigación de la trama Gürtel, en que tres empresas habrían efectuado los pagos a Orange Market, la sociedad de la trama que organizaba los actos electorales y, estudiadas las facturas y la documentación relativa a las mismas, resultó que los presupuestos habían sido fechados en momentos diferentes (25 de enero, 6 de febrero, 17 de abril y 2 de julio de 2007), pero fueron redactados consecutivamente entre las 18.46 y las 18.49 del 17 de julio de 2007 (http://ccaa.elpais.com/ccaa/2012/06/11/valencia/1339444907_683693.html). 3
Así, recuérdese que saltaron a los medios de comunicación la información del perfil social de A. Arístegui y J. R. Palenzuela, con antecedentes por kale borroka y colaborar con ETA, y fotografías de ambos posando con la camiseta de la selección española («http://www.elmundo.es/elmundo/2010/02/17/ espana/1266441847.html» o «http://www.abc.es/20100217/nacional-terrorismo/etarra-rosales-aparecefacebook-201002172150.html»).
5
comunicación” (artículo 1 de la L25/2007, de Conservación de Datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones). Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, responde a la necesidad de trasponer a nuestro ordenamiento jurídico la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de marzo, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones Los datos que son objeto de regulación por esta Ley son, conforme a su artículo 3 y en relación al acceso a internet, son: a.- Los datos necesarios para rastrear e identificar el origen y destino de una comunicación: esto es, los datos del abonado (identificación, dirección y línea telefónica) a que corresponden las IPs en el momento de la comunicación. b.- Los datos necesarios para determinar el destinatario de la comunicación: identificación del usuario o abonado y su dirección. c.- Los datos necesarios para determinar la fecha, hora y duración de una comunicación: fecha y hora de conexión y desconexión, así como dirección IP. d.- Los datos necesarios para identificar el tipo de comunicación: el servicio de Internet utilizado. e.- Los datos necesarios para identificar el equipo de comunicación de los usuarios: tipo de conexión (ADSL,…). f.- Datos necesarios para identificar la localización del equipo. La L25/2007 establece la obligación de los operadores de servicios de conservar los datos necesarios para rastrear el origen y destino de las comunicaciones, duración, fecha y hora, localización e identificación del equipo utilizado en la comunicación durante un plazo general de un año (art. 5 L25/2007), en concordancia con las exigencias derivadas de la Directiva 2006/24/CE, que fijaba un período de tiempo no inferior a seis meses ni superior a dos años. Esta obligación de conservación habilita, por lo tanto, un período de un año desde que tenga lugar el proceso comunicativo que se debe investigar para que el Juez de Instrucción pueda autorizar la cesión de los datos relativos al mismo a las Fuerzas y Cuerpos de Seguridad del Estado, con arreglo a lo dispuesto en el artículo 6 de la Ley. Ahora bien, no todas las empresas y operadores de internet están obligados a la conservación de datos y, anudada a ella, la obligación de cesión sujeta a autorización judicial que veremos. Tan solo serán exigibles tales previsiones respecto de aquellos operadores que, tal como dispone el artículo 2, presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones, en los términos establecidos en la Ley General de Telecomunicaciones. La Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones ha sido sustituida por la Ley 9/2014, de 9 de mayo, de Telecomunicaciones, que define en su Anexo II al “operador” como “26. Operador: persona física o jurídica que explota redes públicas de comunicaciones electrónicas o presta servicios de comunicaciones electrónicas disponibles al público y ha notificado al Ministerio de Industria, Energía y Turismo el inicio de su actividad o está inscrita en el Registro de operadores”.
6
Consiguientemente y en tanto no resulte aprobada definitivamente y entre en vigor la reforma de la Ley de Enjuiciamiento Criminal en materia de garantías procesales y la regulación de las medidas de investigación tecnológica, cabría sostener que aquellas personas físicas o jurídicas que, actuando en internet, no tengan la consideración de “operadores”a los efectos indicados, en tanto no están sujetos a la Ley 25/2007, no están sujetos a las obligaciones en ella establecidas; y, de haberse procedido a conservar datos, puesto que los mismos no se encontrarán entre los que son objeto de afectación por dicha Ley, su aportación al proceso no necesariamente requeriría de autorización judicial, conforme a lo que se desarrollará en el siguiente.
2.3.1.- Exigencia de autorización judicial
La Ley 25/2007 supuso la exclusión del Ministerio Fiscal como autoridad facultada para requerir a las operadoras la cesión de estos datos, así como la derogación expresa del artículo 12 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico que, en su apartado 3º, disponía que “Los datos se conservarán para su utilización en el marco de una investigación criminal o para la salvaguardia de la seguridad pública y la defensa nacional, poniéndose a disposición de los Jueces o Tribunales o del Ministerio Fiscal que así los requieran. La comunicación de estos datos a las Fuerzas y Cuerpos de Seguridad se hará con sujeción a lo dispuesto en la normativa sobre protección de datos personales”. La exigencia de autorización judicial para la cesión de datos (art. 1 y 6 de la L25/2007), sin embargo, ha sido cuestionada por la doctrina por haber supuesto la extensión de las garantías constitucionales establecidas para la protección del derecho al secreto de las comunicaciones del artículo 18.3 de la Constitución Española a elementos que quedan fuera de esta tutela y corresponden al derecho a la intimidad del artículo 18.1, que no prevé reserva de previa resolución judicial. Si bien es cierto que, con arreglo a la doctrina sentada por el Tribunal Europeo de Derechos Humanos en el caso Malone (STDH de 2 de agosto de 1984), el Tribunal Constitucional ha venido estableciendo que el secreto de las comunicaciones ampara no solo al contenido de la comunicación sino también a los datos relativos a la misma que permitan determinar su duración o identificar a los interlocutores o su localización4, también se ha afirmado que concluido el proceso comunicativo cesa la protección del derecho al secreto de las comunicaciones, como dispone el propio Tribunal Constitucional en la Sentencia 70/2002, de 3 de abril: “La protección del derecho al secreto de las comunicaciones alcanza al proceso de comunicación mismo, pero finalizado el proceso en que la comunicación consiste, la protección constitucional de lo recibido se realiza en su caso a través de las normas que tutelan la intimidad u otros derechos”. Consiguientemente, desaparecida la protección del secreto de las comunicaciones, desaparece igualmente la exigencia constitucional de autorización judicial previa, no prevista en el artículo 18.1. De lo expuesto derivaría que la cesión de datos de tráfico, que generalmente tendrá lugar una vez concluido el proceso 4
Sentencias del Tribunal Constitucional 114/1984, de 29 de noviembre, 70/2002, de 3 de abril, 123/2002, de 20 de mayo, entre otras.
7
comunicativo en que tales datos se han generado, no debería considerarse dentro del ámbito de protección del derecho a las comunicaciones como argumenta la Exposición de Motivos de la L25/2007 (precisamente haciendo referencia a la doctrina resultante de la jurisprudencia constitucional ahora citada), sino al del derecho a la intimidad. En relación a esta cuestión y el alcance de la exigencia de autorización judicial, el Pleno de la Sala Segunda del Tribunal Supremo tuvo oportunidad de pronunciarse en Acuerdo de 23 de febrero de 2010 estableciendo que «Es necesaria la autorización judicial para que los operadores que prestan servicios de comunicaciones electrónicas o de redes públicas de comunicación cedan los datos generados o tratados con tal motivo. Por lo cual, el Ministerio Fiscal precisará de tal autorización para obtener de los operadores los datos conservados que se especifican en el art. 3 de la Ley 25/2007, de 18 de octubre». Ahora bien, la STS 247/2010, de 18 de marzo, arroja un matiz extremadamente importante sobre la cuestión en el sentido de convalidar la actividad investigadora del Ministerio Fiscal al solicitar como diligencia de investigación la cesión de los datos asociados a una dirección IP antes de la vigencia de la L25/2007, considerando la sentencia que tales datos, concluida la comunicación, quedan bajo la protección del derecho a la intimidad5 y que por tanto la investigación de los mismos quedaría dentro del ámbito de investigaciones descrito en los artículos 5 del Estatuto Orgánico del Ministerio Fiscal y 773.2 de la Ley de Enjuiciamiento Criminal de no existir la limitación resultante del artículo 6 de la L25/2007. Y, consiguientemente, la necesidad de resolución judicial previa responde a una cuestión de legalidad ordinaria y no a una exigencia constitucional, lo que implicaría que la ausencia de resolución judicial, aun después de la vigencia de la L25/2007, no conllevaría la nulidad de toda la prueba derivada de conformidad con el artículo 11 de la Ley Orgánica del Poder Judicial6. A pesar de este último razonamiento defendido por algunos autores, las peticiones de cesiones de datos realizadas por Ministerio Fiscal sin autorización judicial posteriores a la entrada en vigor de la L25/2007 (noviembre de 2007) han dado lugar a pronunciamientos en que se han considerado vulneradoras del derecho al secreto de las 5
“En el caso concernido es patente que los datos cuyo obtención se pretende por el Fiscal no tienen relación ni afectan ni interceptan ni descubren ni tratan de descubrir una comunicación concreta, sino que por ser preciso para la acción investigadora el conocimiento del domicilio, número de teléfono o identidad del titular del terminal informático que opera en la Red (I.P.), la solicita a la operadora, al objeto de pedir del juez un mandamiento de entrada y registro con fines indagatorios o de investigación de un posible delito, acerca del que se conocen datos indiciarios. El Mº Fiscal se hallaba en el ejercicio de sus funciones, entre otras, promover la acción de la justicia (art. 126 C.E. y art. 3 de su Estatuto Orgánico) y también investigando los hechos delictivos, dentro del marco de unas diligencias preprocesales de naturaleza criminal (art. 773-2 L.E.Cr. ). CUARTO.- Tal proceder del Mº Fiscal no afecta al secreto de las comunicaciones sino que se desenvuelve en el marco del derecho a la intimidad, más concretamente dada la escasa intensidad en que es efectuada, la cuestión se proyectaría sobre la obligación que establece la Ley Orgánica de Protección de Datos de no publicar los datos personales de los usuarios que un servidor de Internet posee, los cuales no pueden cederse sin el consentimiento del titular, pero la ley establece diversas excepciones. Así el art. 11.2 d) de la Ley Orgánica 15/1999 de 13 de diciembre nos dice que el consentimiento del interesado a que se refiere el párrafo anterior no será necesario.... d) "Cuando la comunicación que deba efectuarse tenga por destinatario el Defensor del Pueblo, el Ministerio Fiscal, los Jueces o Tribunales o el Tribunal de Cuentas en el ejercicio de las funciones que tienen atribuidas. 6
Diaz Cappa, José. “Confidencialidad, secreto de las comunicaciones e intimidad en el ámbito de los delitos informáticos”. Diario La Ley, nº7666, 5 de julio de 2011 (LA LEY 12753).
8
comunicaciones (así, Auto de 25 de febrero de 2011, de AP Las Palmas, declara su nulidad y las de las diligencias que de la identificación se realizaron).
2.3.1.- Exigencia de gravedad Otro problema que se plantea en relación a la aportación al proceso de estos datos se produce por la exigencia de gravedad que recoge el artículo 1 de la Ley de Conservación de Datos cuando se refiere a la “cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales”. Teniendo en cuenta que el Código Penal establece en su artículo 13.1 que “Son delitos graves las infracciones que la ley castiga con pena grave” y que el art. 33 considera penas graves las de prisión superior a cinco años (entre otras de distinta naturaleza), no en pocas ocasiones se han denegado la práctica de las diligencias necesarias para la investigación de un delito informático por ausencia de este requisito. Así, por Auto de 26 de marzo de 2012, la Sección 3ª de la AP Barcelona, desestimando recurso contra denegación de la práctica de la diligencia que fue acordado por el Juzgado de Instrucción nº7 de Cerdanyola del Vallès. Esta cuestión ha sido abordada por la Jurisprudencia Constitucional, que ha desarrollado qué debe tenerse en cuenta para valorar si el delito es grave a estos efectos, considerando no sólo la pena señalada por el Código Penal sino también la importancia del bien jurídico protegido, la relevancia social de los hechos, bien por afectar a un importante número de personas o bien porque sea un ataque reducido pero infamante o intolerable y potencialidad lesiva por el uso de elementos informáticos para la comisión del delito, tanto por la gran difusión que alcanza el delito a través de internet como por la dificultad en la investigación. Así, STC 104/2006, de 3 de abril, recoge que “En efecto, la trascendencia social y la relevancia jurídico-penal de los hechos, a efectos de legitimar el recurso a la limitación del derecho fundamental al secreto de las comunicaciones, deriva en el caso de la potencialidad lesiva del uso de instrumentos informáticos para la comisión del delito (…) ha de añadirse otro elemento consistente en las dificultades en la persecución del delito por otras vías” No obstante, las resoluciones del Tribunal Constitucional que se han pronunciado en este sentido son anteriores a la Ley de Conservación de Datos de 2007, por lo que se puede mantener que esta línea interpretativa ha sido superada por la propia legislación, particularmente considerando que la L25/2007 proviene de la trasposición a nuestro ordenamiento de la Directiva 2006/24/CE del Parlamento Europeo y del Consejo de 15 de marzo de 2006 sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, que expresamente se refería en su artículo 1º a “la detección y enjuiciamiento de delitos graves, tal como se definen en la legislación nacional de cada Estado miembro”. La literalidad del texto llevaría a que sólo en casos de que las penas de prisión asociadas a los delitos que hayan de ser objeto de investigación superen los cinco años de duración (entre otras) estaría satisfecha la exigencia legal y el juez de instrucción 9
habilitado para la solicitud a las empresas proveedoras de servicios de unos datos que, por los expuesto anteriormente, más participan de la naturaleza de datos relativos a la intimidad que al secreto de las comunicaciones del artículo 18.3 de la Constitución. Con ello, quedaría excluida de las posibilidades de investigación (y frecuentemente abortada, en definitiva, toda investigación) en la gran mayoría de los innumerables delitos cometidos por medio de internet, tales como el descubrimiento y revelación de secretos (salvo la concurrencia de circunstancias cualificadoras y fines lucrativos del apartado 6º del artículo 197 in fine), destacando especialmente los supuestos de intrusiones en sistemas informáticos ajenos del artículo 197 bis, que resultaría casi de imposible investigación; acoso o embaucamiento de menores por medio de tecnologías de la información del 183 ter; las estafas que no alcanzasen las circunstancias calificadoras del artículo 250 del Código Penal, haciendo especial hincapié en las estafas informáticas, en que toda investigación pasará por la aportación al proceso de estos datos; daños informáticos no cualificados del art. 264 y 264bis.1, … Otro contrasentido de la interpretación estricta de la literalidad de la Ley 25/2007 es que mientras para conocer datos como la línea telefónica que en un momento pasado correspondió a una dirección IP conocida o la identidad del titular contractual de una línea telefónica sería necesario que el delito a investigar tuviese señalada pena superior a cinco años de prisión, para acordar la intervención de las comunicaciones del investigado, con escucha y grabación de conversaciones y contenido de correos electrónicos o mensajes entrantes y salientes, no se precisa este límite sino los requisitos desarrollados jurisprudencialmente de necesidad y proporcionalidad. Más allá del recurso a la jurisprudencia constitucional citada, a la hora de argumentar una interpretación racional del artículo 1 de la L25/2007 cabría poner de manifiesto la posibilidad de acudir al artículo 3 del Código Civil como norma básica de los criterios interpretativos (“Las normas se interpretarán según el sentido propio de sus palabras, en relación con el contexto, los antecedentes históricos y legislativo y la realidad social del tiempo en que han de ser aplicadas atendiendo fundamentalmente al espíritu y finalidad de aquéllas”) y el artículo 10.2 de la Constitución Española (“Las normas relativas a los derechos fundamentales y a las libertades que la Constitución reconoce se interpretarán de conformidad con la Declaración Universal de Derechos Humanos y los tratados y acuerdos internacionales sobre las mismas materias ratificados por España”) para, a partir de estas normas, poner en relación con el controvertido artículo 1 de la Ley 25/2007 la interpretación que el Consejo de Europa ha dado al término “delitos graves”, concretamente en la Decisión Marco del Consejo de 26 de junio de 2001 relativa al blanqueo de capitales, la identificación, seguimiento, embargo, incautación y decomiso de los instrumentos y productos del delito, en cuyo artículo 1 establece como que entre los delitos graves “deben incluirse en todo caso los delitos que lleven aparejada una pena privativa de libertad o medida de seguridad de duración máxima superior a un año o, en los Estados en cuyo sistema jurídico exista un umbral mínimo para los delitos, aquellos que lleven aparejada una pena privativa de libertad o medida de seguridad de duración mínima superior a seis meses”. A esta materia se ha referido también la Circular 1/2013 de la Fiscalía General del Estado, sobre intervención de las comunicaciones, indicando que «al margen de que los Sres. Fiscales defiendan de lege data la interpretación superadora de la literalidad del precepto, es a todas luces aconsejable de lege ferenda la modificación de la Ley 10
25/2007 para sustituir la expresión “delito grave” por otra que delimite el perímetro de aplicación de la Ley en términos más amplios y razonables». A pesar de estos argumentos y en tanto no entre en vigor la reforma de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica, lo cierto es que sigue sin existir una posición jurisprudencial unánime. Así , la Sección 4ª de la Audiencia Provincial de Madrid en Auto 131/2015, de 25 de febrero, opta por considerar que «no son exclusivamente los delitos castigados con pena superior a cinco años, sino que también han de incluirse en tal expresión aquellos otros delitos castigados con pena inferior y que, por tanto, tienen la calificación legal de "delitos menos graves", pero que merezcan la consideración de graves en atención a otros parámetros, tales como la importancia del bien jurídico protegido, la trascendencia social de los efectos que el delito genera o la inexistencia de medios alternativos, menos gravosos, que permitan su investigación y esclarecimiento. En este punto no puede desconocerse que los efectos socialmente nocivos de determinados hechos delictivos pueden verse incrementados exponencialmente desde el momento en que se alcanza la convicción social de su impunidad, con el consiguiente fracaso de los fines preventivos que su tipificación penal persigue» afirmando que «hasta que el legislador no aborde la necesaria tarea de fijar, con la exigible precisión, los requisitos y límites a los que han de sujetarse las medidas restrictivas del derecho fundamental a la intimidad y al secreto de las comunicaciones, entre ellas la investigación tecnológica a que se refiere la Ley 25/2007, los órganos judiciales tendrán que seguir operando, a la hora de adoptar sus decisiones en ese campo, con los parámetros ya fijados por el Tribunal Constitucional». Pero junto a ella, encontramos Autos como el 304/2014, de 3 de junio, de la Sección 3ª de la Audiencia Provincial de Girona, que se manifiesta en sentido diametralmente opuesto indicando que «Tal como ya expusimos en el AAP de Girona, Sección 4ª, dictado en el Rollo de Apelación 217/2012, si bien es cierto que la regulación española podía haber sido menos restrictiva a la hora de establecer el elenco de los delitos que permitirían la cesión de datos por las operadoras (véase que en la Sentencia del Tribunal de Justicia de 19-4-2012, Caso Bonnier, se concluye que el derecho nacional puede facultar, incluso, a los jueces civiles para recabar datos personales de internet para la protección de los derechos de autor), no lo es menos que limita expresamente dicha cesión a la detección, investigación y enjuiciamiento de delitos graves (…) esta Sala debe concluir que únicamente procederá hacer uso de las facultades de petición de datos que otorga la ley 25/2007 en los casos que se investiguen delitos graves, entendido este último término en el sentido legal estricto previsto en nuestra legislación penal ( art. 33.2 CP)».
2.3.1.- Sentencia del Tribunal de Justicia de la Unión Europea de 8 de abril de 2014. Dentro del estudio de la incidencia de la Ley 25/2007 en la investigación de la delincuencia informática mención propia merece la Sentencia del Tribunal de Justicia de la Unión Europea de 8 de abril de 20147 en cuanto la misma ha supuesto la anulación 7
Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (http://www.boe.es/doue/2006/105/L00054-00063.pdf).
11
de la Directiva 2006/24/CE8 cuya trasposición al ordenamiento jurídico español motivó, como se ha indicado, la aprobación de la Ley 25/2007. Tal Directiva establecía la necesidad de que los Estados miembros adoptasen las medidas necesarias para garantizar la conservación, durante un períodos de entre 6 meses y dos años, de los datos generados o tratados en el curso de las comunicaciones electrónicas así como su entrega a las autoridades nacionales competentes “con fines de investigación, detección y enjuiciamiento de delitos graves, tal como se definen en la normativa nacional de cada Estado miembro” (Considerando 21), dejando a cada Estado miembro libertad para determinar la forma y procedimiento de atender a estas obligaciones. Motivada por sendas peticiones de decisión prejudicial planteadas por Irlanda y Austria (C-293/12 y C-594/12, respectivamente), la sentencia de 8 de abril de 2014 declaró inválida la Directiva 2006/24/CE entendiendo que la misma no respectaba el principio de proporcionalidad precisamente por la falta de concreción de procedimiento, forma y tiempo de conservación y control así como el carácter general de la obligación de conservación (extensivo a toda comunicación y, por ende, a todos los ciudadanos) y la imprecisión respecto a la seguridad de los datos conservados. Cabría cuestionarse si los argumentos que justificaron la declaración de invalidez de la Directiva pueden prosperar en una cuestión previa planteada en un procedimiento penal español en que hayan sido objeto de conservación y aportación al proceso datos de tráfico de conformidad con las previsiones establecidas por la Ley 25/2007, aun cuando la sentencia indicada no ha dado lugar a la anulación de la Ley de trasposición. Al respecto, sin embargo, debe tenerse en cuenta que la Ley de Conservación de datos de 2007, per se, da cobertura a algunas de las deficiencias apuntadas por la sentencia de 2014, de tal manera que no podrá admitirse con carácter general una pretensión general de nulidad de toda diligencia practicada de conformidad con la legislación vigente cuando en la práctica de la misma no sólo se ha respetado la legislación nacional en materia de conservación de datos y aportación al procedimiento sino que además no resultarían aplicables el grueso de las objeciones desgranadas en la sentencia del TJUE. Así, el plazo de conservación en España está concretado en un año, la aportación al proceso penal se lleva a cabo conforme a un procedimiento legalmente tasado que incluye el control de la gravedad de los delitos que se investiga y la necesidad de previa autorización judicial, que obligará a ponderar si en el caso concreto se dan los presupuestos habilitantes necesarios para acordar una medida que habrá de afectar a derechos fundamentales.
2.3.4.- Reforma de la Ley de Enjuiciamiento Criminal en materia de datos de tráfico. Tras dos proyectos de Código Procesal Penal que no llegaron a ver la luz, a la fecha del presente trabajo han sido aprobados por el Senado el Proyecto de Ley de modificación de la Ley de Enjuiciamiento Criminal para la agilización de la justicia penal y el fortalecimiento de las garantías procesales9 y el Proyecto de Ley Orgánica de 8 9
http://curia.europa.eu/juris/celex.jsf?celex=62012CJ0293&lang1=es&type=TXT&ancre= http://www.senado.es/legis10/publicaciones/pdf/senado/bocg/BOCG_D_10_597_4118.PDF
12
modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica10. Esta última dota al ordenamiento jurídico procesal penal de una regulación (ya inaplazable) de determinadas diligencias que, por afectar o precisar la intervención de dispositivos tecnológicos, habían carecido de una auténtica cobertura legal hasta la fecha. En relación al acceso a datos de tráfico, debe partirse de las disposiciones generales que regulan la interceptación de las comunicaciones telefónicas y telemáticas y concretamente, en relación al problema desarrollado más arriba sobre los delitos que justifican el acceso a los mismos y la gravedad de los mismos, el artículo 588 ter.a establece como presupuesto de la interceptación que se trate de alguno de los delitos recogidos en el artículo 579.1 (dolosos con pena máxima de al menos 3 años de prisión, organizaciones o grupos criminales y terrorismo) “o delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación”. Por su parte, el artículo 588 ter.j del Proyecto regula la aportación al proceso penal disponiendo que «1.Los datos electrónicos conservados por los prestadores de servicios o personas que faciliten la comunicación en cumplimiento de la legislación sobre retención de datos relativos a las comunicaciones electrónicas o por propia iniciativa por motivos comerciales o de otra índole y que se encuentren vinculados a procesos de comunicación, solo podrán ser cedidos para su incorporación al proceso con autorización judicial. 2. Cuando el conocimiento de esos datos resulte indispensable para la investigación, se solicitará del juez competente autorización para recabar la información que conste en los archivos automatizados de los prestadores de servicios, incluida la búsqueda entrecruzada o inteligente de datos, siempre que se precisen la naturaleza de los datos que hayan de ser conocidos y las razones que justifican la cesión». Se observa, por tanto, que el principio establecido es la previa autorización judicial, de forma coincidente con lo ahora regulado en la Ley 25/2007. Ahora bien, esta necesidad de autorización judicial se generaliza a todo dato de tráfico conservado, ya sea en virtud de las obligaciones dispuestas en la Ley 25/2007 o por cualquier otro motivo. Consiguientemente, la entrada en vigor de esta reforma excluirá definitivamente el debate de si la aportación de los datos de tráfico conservados por quienes no se encuentran sujetos a la Ley 25/2007 precisa también de forma indispensable de autorización judicial. El artículo 588 ter.j se completa con el 588 ter.k, relativo a la “identificación mediante número IP”, aclarando que la necesidad de autorización judicial se extiende también a la cesión de datos vinculados a una dirección IP de la que se hubiera tenido conocimiento que es utilizada para la comisión del delito, esto es, los datos que las proveedoras de acceso a internet conservarán y que indicarán la línea asociada a la conexión identificada. Vemos que, nuevamente, la demanda de autorización judicial no dependerá de la sujeción de la proveedora de acceso a la Ley 25/2007. Aunque de la dicción literal de este artículo, que se refiere a la “cesión de los datos que permitan la identificación y localización del terminal o del dispositivo de 10
http://www.senado.es/legis10/publicaciones/pdf/senado/bocg/BOCG_D_10_597_4138.PDF
13
conectividad y la identificación del sospechoso” podría llegarse a la conclusión de que la exigencia de autorización judicial se extiende no sólo a la identificación por la empresa proveedora de la línea a la que se asocia la dirección IP de la conexión averiguada, sino también a la titularidad de dicha línea puesto que tal titularidad es también un dato que llevará a la “identificación del sospechoso”. Sin embargo, el artículo 588 ter.k se debe completar con el artículo 588 ter.m, que de forma expresa dispensa esta exigencia judicial entendiendo que dicha titularidad es un dato contractual que debe quedar excluido de cualquier protección dispensada al secreto de las comunicaciones, por lo que tanto el Ministerio Fiscal como la Policía Judicial podrán dirigirse directamente a los prestadores de servicios de telecomunicaciones, de acceso a una red de telecomunicaciones o de servicios de la sociedad de la información cuando “necesiten conocer la titularidad de un número de teléfono o de cualquier otro medio de comunicación, o, en sentido inverso, precisen el número de teléfono o los datos identificativos de cualquier medio de comunicación” En esta línea se sitúa también el art. 588 ter.m, relativo a la utilización por la Policía Judicial de dispositivos que permitan conocer “la numeración IMSI o IMEI y, en general, de cualquier medio técnico que, de acuerdo con el estado de la tecnología, sea apto para identificar el equipo de comunicación utilizado o la tarjeta utilizada para acceder a la red de telecomunicaciones”, sin que se establezca en este caso necesidad de previa autorización judicial (y sin perjuicio de que esta devenga después necesaria para intervenir las comunicaciones, en cuyo caso habrá de hacerse constar en la solicitud de intervención formulada el empleo del recurso técnico indicado).
2.4.- REGISTRO DE DISPOSITIVOS.
Los conflictos generados por la línea en ocasiones desdibujada entre el derecho a la intimidad y el derecho al secreto de las comunicaciones no son patrimonio exclusivo del acceso a los datos de tráfico. También en el caso del acceso a la información contenida en los dispositivos electrónicos que permiten tanto la comunicación como el almacenamiento de información se ha planteado la posible vulneración del derecho al secreto de las comunicaciones por haberse accedido a los mismos sin previa autorización judicial para obtener información necesaria para la averiguación de la identidad del sospechoso o el conocimiento mismo de la actividad ilícita. En este sentido, el Tribunal Constitucional, en sentencia 115/2013, de 9 de mayo, tuvo ocasión de pronunciarse sobre la posible afectación del derecho al secreto de las comunicaciones consagrado en el artículo18.3 de la Constitución en un supuesto en que la policía, en el curso de una actuación policial, encontró dos teléfonos móviles de los sospechosos y, tras acceder a las agendas de contactos telefónicos, llegó a la identificación de uno de ellos –recurrente en amparo-. Al respecto, la citada sentencia dispuso que «El acceso policial al teléfono móvil del recurrente se limitó exclusivamente a los datos recogidos en la agenda de contactos telefónicos del terminal —entendiendo por agenda el archivo del teléfono móvil en el que consta un listado de números identificados habitualmente mediante un nombre—, por lo que debe concluirse que dichos datos “no forman parte de una comunicación actual o consumada, ni 14
proporcionan información sobre actos concretos de comunicación pretéritos o futuros” (STC 142/2012, FJ 3), de suerte que no cabe considerar que en el presente caso la actuación de los agentes de la Policía Nacional en el ejercicio de sus funciones de investigación supusiera una injerencia en el ámbito de protección del art. 18.3 CE». Sentado esto, pasa el Tribunal Constitucional a valorar si, en el caso concreto, se daban los requisitos de urgencia, necesidad y proporcionalidad que, respecto de las limitaciones al derecho a la intimidad, excepcionan la exigencia de autorización judicial, entendiéndose que «el acceso policial a la agenda de contactos de los teléfonos móviles que encontraron encendidos en el lugar de los hechos constituye una diligencia urgente y necesaria para tratar de averiguar la identidad de alguna de las personas que huyeron cuando fueron sorprendidas, in fraganti, custodiando un importante alijo de droga, evitando así que pudieran sustraerse definitivamente a la acción de la Justicia». Estas conclusiones, que llevaron a la denegación del amparo solicitado, se completa en la misma sentencia con un razonamiento obiter dicta el en que el Tribunal se plantea la hipótesis, no contemplada en los hechos probados, de que «el acceso policial lo hubiera sido a cualquier otra función del teléfono móvil que pudiera desvelar procesos comunicativos, supuesto en el que tal acceso solo resultaría constitucionalmente legítimo si media consentimiento del propio titular del terminal o autorización judicial, dada la circunstancia indubitada de que un teléfono móvil es un instrumento cuyo fin esencial es la participación en un proceso comunicativo protegido por el derecho al secreto de las comunicaciones ex art. 18.3 CE, como también advertimos en la citada STC 142/2012». Resultaría así que el acceso a los registros de llamadas recibidas, realizadas o perdidas, en tanto identifican el número de teléfono del otro interlocutor, así como la fecha y hora –pretéritas- de tales llamadas, tal como ya había recogido el mismo Tribunal Constitucional en Sentencia 230/2007, de 5 de noviembre: «debe concluirse, conforme también interesa el Ministerio Fiscal, que se ha vulnerado al recurrente el derecho al secreto de las comunicaciones (art. 18.3 CE), en tanto que, acreditado y reconocido por las resoluciones judiciales el presupuesto fáctico del acceso policial al registro de llamadas del terminal móvil intervenido al recurrente sin su consentimiento ni autorización judicial, dicho acceso no resulta conforme a la doctrina constitucional reiteradamente expuesta sobre que la identificación de los intervinientes en la comunicación queda cubierta por el secreto de las comunicaciones garantizado por el art. 18.3 CE y, por tanto, que resulta necesario para acceder a dicha información, en defecto de consentimiento del titular del terminal telefónico móvil intervenido, que se recabe la debida autorización judicial». Dichas fundamentaciones, en todo caso, pueden dar lugar a dificultades interpretativas de pronunciamiento previos como el ya señalado en Sentencia 70/2002, de 3 de abril, esto es, que “finalizado el proceso en que la comunicación consiste, la protección constitucional de lo recibido se realiza en su caso a través de las normas que tutelan la intimidad u otros derechos”. Resulta también de interés la STC 173/2011, de 7 de noviembre, en la que se analiza el descubrimiento casual de material pedófilo en un ordenador portátil que había sido entregado por su titular en un establecimiento de informática para sustituir una grabadora, puesto después en conocimiento de la Policía Nacional, que procedió a la intervención del portátil. Dicha sentencia desestimó la petición de amparo formulada por el titular del ordenador condenado entendiendo, respecto del responsable del establecimiento, que no hubo extralimitación del mandato recibido para la reparación con advertencia de que el ordenador no tenia contraseña y «sin pretender adentrarse en otras carpetas respecto de las que, por hallarse más ocultas o por expresarlo así el título 15
asignado a las mismas, pudiera presumirse un mayor revestimiento de protección y reserva». A su vez, respecto de la actuación policial, que llevó a cabo un examen del contenido del ordenador sin previa autorización judicial habilitante, dispone la sentencia que «nos encontramos ante uno de los supuestos excepcionados de la regla general, que permite nuestra jurisprudencia, pues existen y pueden constatarse razones para entender que la actuación de la Policía era necesaria, resultando, además, la medida de investigación adoptada razonable en términos de proporcionalidad (…) los expresados agentes pretendían, con la conveniente celeridad que requerían las circunstancias, comprobar la veracidad de lo ya descubierto por este ciudadano, así como constatar si existían elementos suficientes para la detención de la persona denunciada. Hemos de valorar, además, que la investigación se circunscribía de manera específica a un delito de distribución de pornografía infantil, lo que resulta relevante, no sólo por la modalidad delictiva y la dificultad de su persecución penal al utilizarse para su comisión las nuevas tecnologías e Internet, sino fundamentalmente en atención a la gravedad que estos hechos implican». Concluye esta exposición el argumento (sorprendente, tratándose de un equipo informático físicamente en poder de la policía) de que «hay que tener en cuenta que la persona denunciada no estaba detenida cuando se practica la intervención, por lo que tampoco aparece como irrazonable intentar evitar la eventualidad de que mediante una conexión a distancia desde otra ubicación se procediese al borrado de los ficheros ilícitos de ese ordenador o que pudiera tener en la “nube” de Internet». El registro de dispositivos que permitan el almacenamiento tales como teléfonos y ordenadores son también contemplados en la reforma de la LECrim. relativa a la regulación de las medidas de investigación tecnológica. Así, el artículo 588 sexies las posibilidades de acceso a tales dispositivos estableciendo una regulación común tanto si permiten comunicaciones (teléfonos, ordenadores, tablets, …) como si tan sólo permiten el almacenamiento masivo de información (discos duros externos, memorias USB,…), lo cual llama la atención teniendo en cuenta la tajante separación que parecía hacer hasta ahora el Tribunal Constitucional no ya entre tales dispositivos sino incluso dentro de las aplicaciones de los mismos que fueran accedidas. Como regla general, los artículos 588 sexies.a, b y c establecen la exigencia de autorización judicial expresa para acceder a los dispositivos, sean incautados o no en el curso de una entrada y registro, esto es, no se tendrá por autorizado el acceso a tales equipos de forma implícita por la mera autorización judicial para la práctica de una entrada y registro sino que será preciso pronunciamiento ad hoc debidamente justificado. Tal autorización judicial no se circunscribirá exclusivamente a la procedencia del acceso sino que, además, deberá establecer conforme al artículo 588 sexies.c “los términos y el alcance del registro”, la posibilidad (o no) de realizar copias y “las condiciones necesarias para asegurar la integridad de los datos y las garantías de su preservación”. Es previsible que habrá de ser la jurisprudencia la que en última instancia dibuje el nivel de concreción que sobre estos puntos haya de exigirse a estos autos habilitantes. Finalmente, se establece la posibilidad de solicitar una ampliación del registro autorizado cuando hubiera “razones fundadas para considerar que los datos buscados están almacenados en otro sistema informático o en una parte de él” y tal registro ampliado pudiera llevarse a cabo por medio del sistema inicialmente autorizado, precisión que tendrá especial incidencia, a nuestro entender, en el caso de que en el curso del acceso a un equipo informático en el curso de una entrada y registro se
16
detectase la posibilidad imprevista de acceder a sistemas de almacenamiento en nube o perfiles en redes de interés para la investigación. No obstante, sentada esta regla general, el propio artículo 588 sexies c, apartados 3 y 4, articula la excepción permitiendo que los accesos a dispositivos –o las ampliaciones de registros inicialmente autorizados judicialmente- se lleven a cabo sin previa autorización judicial “en los casos de urgencia en que se aprecie un interés constitucional legítimo que haga imprescindible la medida”, siempre comunicándolo motivadamente en un plazo no superior a 24 horas al juez competente, que confirmará o revocará tal actuación. La inclusión de esta excepción por motivo de urgente necesidad parece suponer todo un posicionamiento del legislador respecto a los derechos fundamentales en cuestión: claramente se ha articulado una norma que recoge los pronunciamientos constitucionales respecto a la protección del derecho a la intimidad en los términos ya expuestos y tales previsiones se extienden a todos los dispositivos en que hay o puede haber datos relativos a comunicaciones ya concluidas. Habrá que ver si en la futura aplicación de este precepto, no obstante, surgirán matizaciones jurisprudenciales que exceptúen del régimen legal establecido los datos referentes a registros de llamadas, correos electrónicos ya abiertos o mensajería y entiendan que la reforma que ahora se aprueba no contiene en realidad una revisión de la naturaleza de tales comunicaciones pasadas sino una laguna en su exposición.
2.5.- EL AGENTE ENCUBIERTO INFORMÁTICO.
En la investigación de determinados tipos delictivos cometidos mediante Tecnología de la Información y la Comunicación, particularmente en materia de pornografía infantil, puede ser esencial la utilización de figuras de investigación como el agente encubierto. El uso de redes P2P para la difusión de este material resulta aún muy común si bien los usuarios de las mismas en principio carecen de una relación personal, de manera que entre ellos no suele existir otra comunicación que la automatizada entre los pares conectados a las redes, y no hay otro acuerdo que el implícito entre quien ofrece de forma genérica archivos con pornográfico infantil y quien ordena al programa la descarga de los archivo ignorando completamente de quién o quiénes está descargando el mismo. Sin embargo, frente a esta vía de difusión encontramos grupos cerrados de usuarios con relación entre sí que se las ingenian de muy distintas formas para que, a través de la red y asegurando la clandestinidad de sus comunicaciones, solicitan y comparten tal material. Se trata de una forma delictiva mucho más peligrosa, dado que las propias relaciones estables que se establecen entre los delincuentes llevan a una conducta más activa para la búsqueda o creación de nuevos contenidos y un estímulo para pasar del consumo de videos o fotografías al abuso directo sobre menores puesto que la actividad de unos dota de justificación a la de los otros. Asimismo, estos grupos se dotan de fuertes medidas de seguridad para garantizar su anonimato e impunidad, organizándose en grupos cerrados y estructurados internamente a los que sólo se puede 17
acceder por invitación de uno de los miembros y previa aportación de material pornográfico. Es precisamente en esta segunda forma en la que resulta útil la figura del agente encubierto, puesto que la introducción del mismo en el foro o grupo es la forma idónea de tener conocimiento de sus actividades y poner de manifiesto los ilícitos que se estén desarrollando. El recurso al agente encubierto –tradicional, no el informático al que nos referiremos a continuación-, hasta ahora tenía cabida teórica en la redacción del artículo 282 bis de la Ley de Enjuiciamiento Criminal puesto que nos hallamos en el marco de investigaciones que afectarán a “actividades propias de la delincuencia organizada” en los términos que el propio artículo establece “asociación de tres o más personas para realizar, de forma permanente o reiterada, conductas que tengan como fin cometer alguno o algunos de los delitos siguientes…Delitos relativos a la prostitución previstos en los arts. 187 a 189 del Código Penal” (282 bis, .4.d)); y los hechos que se pretenda investigar serían susceptibles de tipificarse con arreglo al artículo 189.2.f) del Código Penal, esto es, pertenencia a una a una organización o asociación, incluso de carácter transitorio, que se dedicare a la realización de actividades de elaboración, distribución y demás conductas relacionadas con la pornografía infantil. Dicho esto, sin embargo debe admitirse que la redacción del artículo 282bis de la Ley de Enjuiciamiento Criminal presenta carencias importantes a la hora de aplicarse a la persecución de delitos relacionados con la pornografía infantil: En primer lugar, por las peculiaridades de la organización virtual resultante de la interacción de los criminales en internet, frecuentemente más difusa que una organización criminal no virtual, con métodos no acostumbrados de imposición coactiva de disciplina (por ejemplo, bannear al usuario desobediente), escasos –por innecesariosmedios y efectos al servicio de la organización y finalidades en principio ajenas a todo beneficio económico. Así, si se realizase una interpretación restrictiva del concepto de organización se estaría realizando una exigencia de complejidad en la estructuración que excedería la resultante de la mayoría de los supuestos de comunidades virtuales Esta es la línea que fue sostenida por la STS 913/2006, de 20 de septiembre, que excluyó la agravación por pertenencia a organización en un supuesto de aportación de material pornográfico a una comunidad virtual considerando inadecuada la agravación tanto por falta de estructura jerarquizada: «“Los autores de hechos como el que estamos examinando casi siempre actuarán en función de sus instintos sexuales y nunca por medio de órdenes, instrucciones o cualquier otra tarea previamente convenida») como por responder a una desproporción en la respuesta penal (no puede obviarse a la hora de entender los razonamientos que llevan a excluir la consideración de organización que en la sentencia el Ponente afirma que a la acción «se le da una inconmensurable extensión de tal manera que la satisfacción de un placer sexual solitario se convierte en delito. No está claro que la vía de la protección del bien jurídico sea la más adecuada» y critica la inclusión en el Código Penal de la organización en relación a estos delitos, considerándola «decisión de los órganos legislativos en el conjunto de una campaña mundial contra esta clase de conductas»). Frente a este criterio restrictivo, encontramos sin embargo el punto de vista contrario en la STS 1444/04, de 10 de diciembre que, por hechos esencialmente iguales, aportación de material pornográfico a una comunidad virtual privada, sí aprecia la agravación de pertenencia a organización. 18
En segundo lugar, plantea dudas el artículo 282.bis en cuanto a este tipo de grupos por las facultades que pueda tener el agente encubierto y en particular la posibilidad de intercambiar o proporcionar pornografía infantil a la comunidad, punto esencial puesto que si el requisito de entrada es la aportación de material difícilmente podrá tener ningún recorrido la investigación del agente encubierto que no logra el ingreso en ella. La posibilidad puede considerarse implícita en el artículo 282bis.5), que declara la exención de responsabilidad criminal por las “actuaciones que sean consecuencia necesaria del desarrollo de la investigación, siempre que guarden la debida proporcionalidad con la finalidad de la misma y no constituyan una provocación al delito”. En este punto, no obstante, la falta de desarrollo legislativo que ha existido hasta ahora planteaba un debate sobre la admisibilidad de esta práctica, sosteniéndose de una parte que no puede admitirse una actuación policial que de tal manera incida sobre la dignidad de la infancia como medio para el desarrollo de una investigación. Por el contrario, quienes han defendido esta posibilidad se amparaban en la exigencia de debida proporcionalidad referida en el artículo 282.bis.5 de manera que resultaría admisible previa ponderación de la finalidad que se persigue y el acto concreto de distribución de pornografía infantil, autorizado judicialmente y referido a materiales relativos a adolescentes sin carácter particularmente degradante que hayan tenido una difusión generalizada en internet. Algunas de estas cuestiones han sido particularmente contempladas por el Tribunal Supremo en la Sentencia 767/2007, de 3 de octubre, en un supuesto en que se detectó por la Guardia Civil un chat en que se abordaba el tema de las relaciones sexuales con menores. Los agentes, sin revelar su condición, establecieron contacto con uno de sus usuarios y éste les envió archivos con pornografía infantil y comentó la existencia de un grupo de pedófilos en internet denominado “la gran familia” que se reunían con sus hijos menores para mantener relaciones sexuales con ellos. A partir de aquí, por Decreto del Fiscal de Pontevedra, fue autorizado a actuar el agente encubierto (autorización que ratificó el Juzgado Instructor). Entre las conclusiones que se extraen de esta sentencia destacan: a.- expresamente declara que los delitos relacionados con la pornografía infantil tienen cabida en los supuestos que legalmente justifican la utilización de la figura del agente encubierto. b.- pese a que no se llegó a determinar suficientemente la existencia de la organización “la gran familia”, la sentencia convalida el recurso del agente encubierto puesto que la existencia de organización constituye un juicio de valor “ex ante” que no puede interpretarse a la vista del resultado final. c.- convalida igualmente la actuación policial previa a la autorización como agente encubierto ocultando su condición de agente (“Tampoco cabe hacer objeción alguna al primer material grabado que le remite al agente de la guardia civil, antes de su nombramiento como infiltrado”). El agente encubierto informático es una de las nuevas figuras desarrolladas en la reforma de la LECrim. relativa a la regulación de las medidas de investigación tecnológica. Así, el artículo 282 bis .6 regula lo que a nuestro entender, y por las peculiaridades que presenta, es en realidad una figura nueva y autónoma del agente encubierto “ordinario” desarrollado en los apartados anteriores del mismo artículo.
19
Comenzando por los presupuestos, vemos que el artículo 288 bis .6 amplía el catálogo de delitos que permiten el uso de la figura, de manera que a los ya indicados en el 282 bis .4 se añaden los delitos previstos en el artículo 588 ter .a, esto es, delitos dolosos con pena máxima de al menos 3 años de prisión, organizaciones o grupos criminales y terrorismo (por remisión al 579.1) “o delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación”. Queda con ello resuelto el conflicto antes expuesto sobre la catalogación jurídica de los grupos cerrados y clandestinos de distribución de pornografía infantil de usuarios. Una segunda diferencia la hallamos en la propia autorización, dado que exclusivamente contempla la posibilidad de que tal autorización sea concedida por el Juez de Instrucción. Sorprende, por tanto, que el agente encubierto “ordinario” pueda ser autorizado bien por el Juez de Instrucción competente o bien por el Ministerio Fiscal, en este caso, dando cuenta inmediata al Juez mientras que el agente encubierto informático no puede ser autorizado por el Ministerio Fiscal, a pesar de que los supuestos que se incorporan al catálogo de delitos objeto de la investigación no son de más gravedad que los que ya estaban listados en el 282 bis.4 y el listado de facultades, aun con las diferencias que veremos, no justifican la exclusión del Fiscal como autorizante. Examinando los términos en que se describe la función esencial prevista para el agente encubierto informático, vemos que se prevé la de «actuar bajo identidad supuesta en comunicaciones mantenidas en canales cerrados de comunicación». A sensu contrario, por tanto, debemos entender que si los canales de comunicación no son cerrados no será preciso el recurso a la figura, lo que se encuentra en línea con la concepción jurisprudencial de que no se precisa de autorización judicial para conseguir lo que es público, de manera que las actividades públicas realizadas en internet, susceptibles de ser conocidas por tanto también por la policía no se hallan protegidas por el art. 18.1 ni por el 18.3 de la Constitución (Así, STS 249/08, 630/08, 776/08, 940/08, 960/08, 40/09, 688/09 o 921/09). La duda que queda abierta a partir de la redacción del artículo 282 bis .6 es qué debemos considerar por canal de comunicación “cerrado” o, más concretamente, qué barreras de exclusión o exigencias de privacidad cualifican un canal de comunicación. A falta de desarrollo jurisprudencial, entendemos que un dato esencial que debe orientar la interpretación de si, en cada caso, cabe o no considerar cerrado el canal de comunicación, se encuentra en la participación activa y voluntaria del interlocutor consintiendo en admitir en su círculo de contactos a quien pretende intervenir en ese canal de comunicación. Así, por ejemplo, aun cuando para ver los contenidos de una red social (vg. Facebook) es necesaria la creación de un perfil que será dado de alta, lo cierto es que dicha incorporación a la red responde a una operación automatizada y, una vez incorporado, todos los contenidos que el resto de los usuarios no hayan restringido a sus propios contactos seleccionados podrán ser visualizados; sin embargo, una vez dentro de la red, debería considerarse canal cerrado aquél que precise que el sospechoso activamente autorice o consienta la inclusión del perfil del agente investigador entre sus contactos, puesto que los contenidos o comunicaciones a los que así se pudiera llegar estaban por el sospechoso excluidos del carácter público general y sólo habrán estado disponibles al haber mediado un engaño, puesto que razonablemente el sospechoso no habría autorizado como contacto de confianza al agente de haber sabido quién era y cuál era su finalidad.
20
Pasando ya al examen de las concretas facultades reconocidas al agente encubierto informático, encontramos como primera y destacada la posibilidad de enviar o intercambiar con autorización específica «archivos ilícitos por razón de su contenido y analizar los resultados de los algoritmos aplicados para la identificación de dichos archivos ilícitos». Es de resaltar la mejora técnica que ha supuesto el paso por el Senado de estas funciones puesto que en la versión inicialmente proyectada no se hacía mención alguna a la necesidad de autorización específica de tal manera que legalmente no existía control previo para esta actividad; y, asimismo, se hacía referencia tan solo a “analizar los algoritmos asociados”, lo que había sido duramente criticado por la impropiedad de la expresión utilizada ya que, evidentemente, de lo que se trata es de analizar y cotejar el resultado de la aplicación de tales algoritmos para constatar la identidad de archivos, no de que la Policía Judicial haya de revisar si los algoritmos diseñados para el cálculo de estas funciones son correctos. Finalmente, el apartado .7 del artículo 282 bis recoge la posibilidad de captación de imágenes y grabación de conversaciones entre agente encubierto e investigado, aun cuando se desarrollen en el interior de un domicilio, para lo cual será precisa expresa autorización judicial. Ha de tenerse en cuenta que esta previsión no se refiere al “agente encubierto informático” sino al “agente encubierto” y, de hecho, para garantizar la claridad expositiva en este sentido durante el paso del Proyecto por el Senado se ha reubicado la facultad de intercambio de archivos del informático, antes en este inciso, en el apartado .6. Ahora bien, la posibilidad de que las conversaciones entre un agente encubierto informático y un investigado puedan desarrollarse más allá del mero intercambio de mensajes o correos y llegar a establecerse, por ejemplo, videoconferencias obliga a tener en cuenta la posibilidad de que también en este caso sea precisa la expresa autorización judicial ya que, de encontrarse en su domicilio el investigado y grabarse policialmente la videoconferencia, se produciría la captación de imágenes del mismo.
2.5.- ENTRADAS Y REGISTROS. INFORMES PERICIALES.
La entrada y registro constituye un paso más en la investigación del delito informático que presupone la previa identificación del imputado o, cuanto menos, de la ubicación desde la que se ha operado para la ejecución del delito, resultando aplicable a su práctica la doctrina general en la materia. Ahora bien, la especialidad de la delincuencia informática obliga a realizar determinadas precisiones: En primer lugar, debe tenerse en cuenta la posibilidad nada remota de que la localización, generalmente resultante de la averiguación de los datos asociados a una dirección IP, no necesariamente habrá de conducir a la identidad exacta del imputado, sino que la identificación resultante llevará a la persona que haya contratado con la compañía correspondiente la prestación del servicio y la dirección asociada a dicho contrato. Por lo tanto, pueden entrar en juego varios factores que distorsionen el resultado de la investigación y que obliguen a la práctica de ulteriores diligencias de instrucción, como la existencia de equipos y redes de compartido, lo que habrá de conducir a la averiguación de la persona que se servía del terminal en el momento 21
exacto de la conexión para la comisión del delito. Finalmente, debe también tomarse en consideración la posibilidad de que el ordenador cuya conexión ha sido identificada y trazada haya sido a su vez víctima de un ataque y se encuentre bajo el control a distancia del delincuente mediante alguna herramienta de acceso remoto, de manera que el equipo encontrado en la entrada y registro sería simplemente un equipo infectado de malware que ha servido como pantalla o puente para la comisión del delito sin que su titular haya llegado a tener el menor conocimiento. En todo caso, cuando se practique una entrada y registro en la que se espere la ocupación de equipos informáticos de los que puedan extraerse datos o contenidos relevantes para la investigación, será necesario que la misma sea efectuada por profesionales de las Fuerzas y Cuerpos de Seguridad del Estado especializados en análisis forense informático para que el examen de los equipos encontrados sea correcto y no se produzca la pérdida accidental de datos por una inadecuada manipulación de los equipos, sea como consecuencia del borrado accidental de archivos o como consecuencia de operaciones que aparentemente pudieran ser inocuas como encender el ordenador apagado para examinarlo o apagar el encendido para trasladarlo (lo que conllevaría la pérdida de datos o claves alojados en la memoria RAM del equipo). Esta intervención especializada, además, permite que el examen “en caliente” del equipo sea suficientemente completo como para obtener, cuanto menos, una primera aproximación a la existencia del delito y las características del mismo, evitando que un análisis superficial pueda llevar a pasar por alto datos que tengan relevancia para la investigación (piénsese en la posibilidad de que el imputado hubiera ocultado imágenes o vídeos comprometidos mediante la simple modificación de las extensiones de los archivos y ubicación en una subcarpeta oculta del sistema). Otra de las vicisitudes que puede plantearse durante la entrada y registro es la negativa del imputado a proporcionar sus datos de usuario y claves, para lo cual se encuentra amparado por el derecho a no declarar contra sí mismo y no confesarse culpable del artículo 520.2.b) de la Ley de Enjuiciamiento Criminal y el artículo 24 de la Constitución, circunstancia que bien in situ o bien en el momento del análisis forense del sistema para la elaboración del correspondiente informe pericial podrá ser resuelta mediante el empleo de técnicas de descubrimiento de claves como ataques de “fuerza bruta”, que tendrían amparo en el artículo 568 de la Ley de Enjuiciamiento Criminal. El papel del Secretario Judicial durante la entrada y registro será el de dar fe de las actuaciones que se realicen, levantando “acta del resultado, de la diligencia y de sus incidencias”, tal como prevé con carácter general el artículo 569 de la Ley de Enjuiciamiento Criminal. Sin perjuicio de la lógica exigencia de exactitud en el acta que se deberá extender, es necesario que en la misma se consignen de manera clara las operaciones y búsquedas realizadas sobre los equipos. Asimismo, el acta será complementada con la fe pública del Secretario Judicial sobre los “pantallazos”, es decir, impresiones directas de la pantalla del equipo que documentarán el proceso de búsqueda y los hallazgos encontrados. En relación al papel del Secretario Judicial, debe hacerse especial hincapié en el debate que se ha suscitado en relación al papel que el mismo debe jugar en la apertura de equipos informáticos para extraer los discos duros y en el clonado de los mismos. Cierto es que la presencia del Secretario Judicial garantizará desde el punto de vista teórico la exactitud de estas operaciones y la ausencia de manipulación. Ahora bien, no podemos ignorar que estas operaciones, particularmente el clonado, tienen carácter 22
técnico y son ejecutadas de manera automatizadas por lo que más allá de la intervención formal en el acta del proceso difícilmente el Secretario Judicial podrá dar fe de que el proceso se ejecuta correctamente, limitándose a consignar lo que se le dice por los agentes técnicos que se está realizando. En este sentido, la STS 1599/1999, de 15 de noviembre, indicó que «En lo que se refiere a lo que se denomina "volcaje de datos", su práctica se llevó a cabo con todas las garantías exigidas por la ley. En primer lugar, la entrada y registro se realizó de forma correcta y con la intervención del Secretario Judicial que cumplió estrictamente con las previsiones procesales y ocupó los tres ordenadores, los disquetes y el ordenador personal. Lo que no se puede pretender es que el fedatario público esté presente durante todo el proceso, extremadamente complejo e incomprensible para un profano, que supone el análisis y desentrañamiento de los datos incorporados a un sistema informático. Ninguna garantía podría añadirse con la presencia del funcionario judicial al que no se le puede exigir que permanezca inmovilizado durante la extracción y ordenación de los datos, identificando su origen y procedencia”. En el mismo sentido, Sentencia del Tribunal Supremo 480/2009, de 22 de mayo. A pesar de estos dos pronunciamientos, lo cierto es que este debate ha subsistido y ha llegado a tener su reflejo en la Comisión Nacional de Coordinación de la Policía Judicial, que el 16 de octubre de 2014 recogió entre el orden del día el Punto “VOLCADOS INFORMATICOS : Apertura o volcado del disco duro y memoria de almacenamiento de datos de los equipos informáticos ante la presencia del Secretario Judicial” acordando por unanimidad y de conformidad con la propuesta del Comité Técnico «no ser necesaria la presencia, del Secretario Judicial para la apertura, volcado de disco duro y memoria de almacenamiento de datos de los equipos informáticos». Tal acuerdo, por el foro en que es adoptado y su carácter unánime tiene relevancia como criterio orientador. En todo caso, no puede dejar de criticarse que en la plasmación del acuerdo se hayan recogido impropiedades como hacer referencia a la “apertura de discos duros” cuando a lo que entendemos que se pretendía hacer referencia es a la apertura de los equipos informáticos en los que dichos discos duros están instalados. No parece que la apertura de la carcasa exterior de un disco duro interno sea especialmente útil o necesaria en la mayoría de las investigaciones, especialmente teniendo en cuenta que la retirada de la carcasa no hará más accesibles los datos a clonar y en cambio sí se corre un gravísimo riesgo de dañar los soportes de almacenamiento del disco original. En cambio, sí es práctica común la apertura del ordenador para extraer del mismo el disco duro, que tendrá su propia marca y modelo y su propio número de serie identificador e individualizador. Si en algún punto del proceso de obtención y examen de evidencias técnicas puede aportar algo el Secretario Judicial es precisamente, a nuestro entender, este momento de extracción física del disco duro, pudiendo por sí mismo el Secretario comprobar y consignar en el acta el número de serie del dispositivo que se incauta y remite a los laboratorios de análisis. Sin embargo, y a pesar de lo poco acertado de la plasmación en el acuerdo, compartimos que efectivamente al proceso de clonado o volcado poco o nada aporta su presencia. Y, en todo caso, no debemos olvidar la finalidad de la diligencia que se practica, que no es otra que la de crear una copia idéntica a la del original que se conserva por lo que si alguna de las partes, aportado el correspondiente informe pericial, cuestiona sus conclusiones entendiendo que puede haberse producido una supuesta manipulación en el proceso de clonado nada impide acudir nuevamente al original conservado y cotejar
23
las posibles discrepancias o manipulaciones o incluso obtener una nueva copia para segundo análisis. Recientemente ha tenido el Tribunal Supremo nueva oportunidad de pronunciarse sobre este particular, exponiendo en Sentencia 187/2015, de 14 de abril, que «La jurisprudencia establece que la presencia de este fedatario en el acto del volcado de datos no actúa como presupuesto de validez (STS 480/2009). Lo decisivo es despejar cualquier duda sobre la integridad de los datos que contenía, garantizar la correlación entre la información aprehendida en el acto de intervención del dispositivo y la que se obtiene en la diligencia de acceso al aparato. La incorporación de los soportes informáticos debe hacerse en condiciones que preserven su identidad plena y la integridad del contenido de lo intervenido (STC 170/2003), aunque no hay duda de que el secretario judicial es una instancia formal de garantía, la jurisprudencia aconseja no sobrevalorar su mediación, por su propia condición de profano en materia de conocimientos informáticos (STS 256/2008)». Los sistemas ocupados a partir de la entrada y registro, según las circunstancias del caso, podrán precisar de ser analizados de forma tan minuciosa como sea necesaria para la elaboración de un informe pericial del que cabe que se obtengan datos e informaciones de muy distinta índole, como elementos que corroboren las comunicaciones investigadas o en el marco de las cuales se ha cometido el delito, historiales y registros del equipo para su posterior procesamiento o la configuración del equipo (que, por ejemplo, podrá denotar unos conocimientos avanzados de informática incompatibles con alegaciones defensivas de ignorancia). Asimismo, el análisis forense podrá llevar a cabo la recuperación de archivos borrados o la desencriptación de los especialmente protegidos por el imputado. En todo caso, cabe recordar que tal búsqueda de datos deberá estar referida al delito sobre el que versa la investigación, de manera que la búsqueda no podrá ser prospectiva si bien, en caso de localizarse vestigios de delito diferente del que es objeto de instrucción, habrá de procederse de conformidad con la doctrina jurisprudencial elaborada para los casos de hallazgos casuales en los que se ponga de manifiesto una nota de flagrancia11. 11
En este sentido, Sentencia del Tribunal Supremo de 23 diciembre 2010 “…esta Sala Segunda ha venido marcando las diferencias existentes en la diligencia de intervención telefónica y en el registro domiciliario en los supuestos en que es descubierto un objeto delictivo distinto al que hubiera motivado la respectiva diligencia Así en las sentencias 22.3.99 y 981/2003 de 3.7 se recuerda como esta Sala ha tenido oportunidad en diversas ocasiones de pronunciarse sobre el extremo que nos ocupa y viene sentando una doctrina consolidada en la que, resumiendo anteriores argumentos, se afirma que: “Es cierto que esta Sala, trasladando su doctrina sobre las escuchas telefónicas a la entrada y registro, resolvió algunos supuestos bajo un denominado principio de especialidad, concepto, a su vez, trasladado de la extradición. La jurisprudencia más reciente abandona dicha interpretación jurisprudencial destacando las diferencias existentes entre la intervención telefónica y la entrada y registro, tanto por la distinta afectación de una y otra diligencia sobre la intimidad, verdaderamente más intensa y directa en la intervención telefónica, como por la prolongación temporal de una y otra injerencia, pues la entrada y registro tiene acotada su duración temporal en una jornada y se desarrolla en unidad de acto, en tanto que la intervención telefónica tiene una duración que se prolonga a un mes susceptible de ampliación y, consecuentemente, con unas facultades de control judicial distintos (SSTS 28-4-1995 y 7-6-1997), que ya se señaló que si en la práctica del registro aparecen objetos constitutivos de un cuerpo de posible delito distinto a aquel para cuya investigación se extendió el mandamiento habilitante, tal descubrimiento se instala en la nota de flagrancia por lo que producida tal situación la inmediata recogida de las mismas no es sino consecuencia de la norma general contenida en el art. 286 de la Ley Procesal". En igual sentido, la reciente STS 167/2010 de 24.2, recoge la doctrina de otras sentencias precedentes como la 315/2003 de 4.3 que, admitió la validez de la diligencia cuando, aunque el registro se dirigiera a la investigación de un delito se
24
Finalmente, es de reseñar que en la práctica diaria la saturación de los laboratorios de análisis forense informático como consecuencia del incremento constante de procedimientos en los que resulta necesario el examen de dispositivos electrónicos ha dado lugar a la necesidad de restringir estos análisis sólo a los casos en que sea indispensable para el buen fin de la investigación, mientras que en otros supuestos podrá considerarse que el acta de la diligencia de entrada y registro y la documentación de la inspección “en caliente” del equipo en su ubicación mediante las impresiones de pantalla realizadas en presencia del Secretario Judicial podrán ser consideradas como indicios suficientes del delito, su autoría y circunstancias.
3. MEDIDAS ACCESORIAS A LA INSTRUCCIÓN.
3.1.- SOBRE LOS DATOS. Ya se ha puesto de manifiesto la importancia esencial de los datos de tráfico como vía de investigación de los delitos informáticos, así como el escaso plazo de conservación de los mismos. A fin de evitar la pérdida, cabe dirigir petición de retención directamente a los mismos operadores obligados a su conservación general de conformidad con las previsiones de la L25/2007, sin que hasta ahora la Ley de Enjuiciamiento Criminal hubiese contemplado de forma específica tal medida aun cuando la misma tuviera encaje en las “primeras diligencias” tendentes a “consignar las pruebas del delito que puedan desaparecer, la de recoger y poner en custodia cuanto conduzca a su comprobación y a la identificación del delincuente”, conforme expone el artículo 13 de la propia Ley. No obstante, la falta de referencia expresa suscitaba dudas y necesidad de determinar si su naturaleza jurídica es de medida cautelar, cuestión de relevancia práctica esencial en la tramitación de Diligencias de Investigación del Ministerio Fiscal, dado que el artículo 5 del Estatuto Orgánico del Ministerio Fiscal veta su adopción. Si bien esta diligencia participa de gran medida de las notas que caracterizan las medidas cautelares, como son la temporalidad, el carácter accesorio o la necesidad de que exista una situación de riesgo a que subvenir con la misma, lo cierto es que no puede considerarse que la diligencia afecte al derecho a la intimidad y menos aún al secreto de las comunicaciones puesto que no tendrá por finalidad la revelación de dato alguno sino sólo de preservarlo hasta que sea judicialmente requerida su cesión. encontraran efectos o instrumentos de otro que pudiera entenderse como delito flagrante. La teoría de la flagrancia ha sido, pues, una de las manejadas para dar cobertura a los hallazgos casuales , y también la de la regla de la conexidad de los arts. 17.5 y 300 LECrim, teniendo en cuenta que no hay novación del objeto de la investigación sino simplemente "adición", y la STS. 742/2003 de 22.5 que expresa que la autorización judicial para la entrada y registro se concreta en actividades delictivas concretas, ello, sin embargo, no supone que el hallazgo de efectos o instrumentos que se refieren a conductas delictivas distintas queden desamparados de la autorización judicial que cubre la intromisión en la esfera privada que entraña un domicilio. Se ha impuesto en la doctrina de esta Sala una posición favorable a la licitud de la investigación de aquellas otras conductas delictivas que nacen de los hallazgos acaecidos en un registro judicialmente autorizado”.
25
Avalaba esta interpretación, por un lado, que la reserva de jurisdicción del artículo 6 de la L25/2007. Esta orden de conservación ha sido específicamente contemplada en la reforma de la LECrim. relativa a la regulación de las medidas de investigación tecnológica. Así, el artículo 588 octies autoriza al Ministerio Fiscal o la Policía Judicial para requerir la conservación y protección de estos u otros datos informáticos por un plazo máximo de 90 días (prorrogables sólo una vez) hasta que se obtenga la autorización judicial para la cesión.
3.2.- SOBRE LOS CONTENIDOS. Siguiendo con la finalidad de salvaguardar el bien jurídico protegido de un ataque delictivo que puede prolongarse en el tiempo, puede resultar necesario adoptar en el procedimiento medidas que tiendan a eliminar o impedir el acceso a los contenidos ilícitos mediante su retirada o suspensión a través de mandamiento judicial dirigido a las empresas que alojen los mismos. Esta vía, sin embargo, puede quedar cerrada en aquellos casos en que las empresas que alojen los contenidos queden fuera del alcance de la jurisdicción española. En tales casos la vía adecuada para la exclusión del contenido será la orden judicial de oscurecimiento o bloqueo del acceso al nombre de dominio dirigida a los proveedores de servicio. La articulación de esta medida hasta la entrada en vigor de la Ley Orgánica 1/2015 de reforma del Código Penal hubo de realizarse sobre el artículo 8 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, que prevé tal posibilidad para “la salvaguarda del orden público, la investigación penal, la seguridad pública y la defensa nacional” (artículo 8.1.a)). Tal medida, una vez aplicada, supondrá que las empresas proveedoras de acceso a Internet impedirán que se acceda a través suyo a las páginas web cuyos nombres de dominio hayan sido identificados en la resolución judicial, de manera que las mismas, con todos sus contenidos, quedarían fuera del alcance de los usuarios de Internet clientes de las compañías afectadas por la medida. El bloqueo y retirada de contenidos ha tenido entrada en el Código Penal como decíamos en virtud de la reforma introducida por la Ley Orgánica 1/2015, pero no como una medida que con carácter general sea aplicable como consecuencia accesoria a cualquier delito sino tan solo se contempla en relación a determinadas tipologías. Así, en materia de pornografía infantil (art. 189.8 CP), delitos contra la propiedad intelectual (art. 270.3 CP), delitos de promoción de odio y discriminación, negación o enaltecimiento del genocidio (y demás figuras recogidas en el artículo 510.6 CP). Y sólo en el caso de la pornografía infantil se recoge la posibilidad de que la medida sea adoptada con carácter cautelar a petición del Ministerio Fiscal. Fuera de estos casos no se contempla el bloqueo o retirada de contenidos, lo que plantea ahora si tratándose de otros delitos la jurisdicción penal tiene vetada la aplicación de estas medidas precisamente porque el legislador ha optado deliberadamente por no hacer una previsión general o bien cabe aún el recurso de adoptar estas medidas a través del artículo 8 de la 34/2002, de 11 de julio, de servicios de la sociedad de la información.
26
La subsistencia de la posibilidad podría defenderse a partir de los artículos 8 y 11 de la Ley de Servicios de la Sociedad de Información: el artículo 8 de la Ley encomienda la labor de ordenar la interrupción de la prestación de servicios al órgano competente para la protección de los principios enumerados en el propio artículo entre los que se encuentran la salvaguarda del orden público, la seguridad pública, el respeto a la dignidad de la persona y protección de la juventud y de la infancia. Por tanto, si entendemos que el órgano judicial penal puede ser competente por tener materialmente encomendadas estas funciones quedaría así habilitado para ordenar bloqueos cautelarmente o más allá de la firmeza de la sentencia, debiendo por su parte los proveedores de acceso a internet destinatarios de la orden judicial de bloqueo colaborar en la aplicación de la medida en virtud de las obligaciones que el artículo 11.1 de la Ley le impone al respecto
3.2.1.- Problemas prácticos del bloqueo de contenidos.
La retirada directa de contenidos puede, en ocasiones, quedar fuera del alcance de la autoridad española. Así, cuando el material ilícito no se encuentre alojado en servidores ubicados en España ni su difusión dependa de prestadores de servicio sometidos a la jurisdicción española y la vía de la cooperación internacional no resulte fructífera el medio adecuado para la impedir, al menos dentro de las fronteras españolas, la difusión de esos contenidos, pasa por ordenar el bloqueo de estas páginas. Se trata, en definitiva, de cortar las vías de los internautas españoles para conectarse a las páginas afectadas por la medida. El efecto, por tanto, no será propiamente la supresión del contenido ilícito, que seguirá estando disponible a todo individuo que no resulte afectado por la medida o logre burlar los medios técnicos empleados para este bloqueo. La forma de llevar a cabo el denominado bloqueo por DNS, o también oscurecimiento o bloqueo del acceso al nombre de dominio, a grandes rasgos, consiste en interferir la asociación de los nombres de dominio a direcciones IP, de tal manera que, aplicada la medida, el usuario de internet que intente conectarse a la página web introduciendo su nombre de dominio o enlazando con ella vería frustrada la conexión porque el servidor DNS no realizaría la operación de traducción. Por tanto, será necesario expedir un mandamiento dirigido a las empresas que gestionan los servidores DNS que realizan esta función de traducción para que en el caso concreto de los nombres de dominio que se indiquen en la resolución judicial no ejecuten la operación de relación. Pese a lo expuesto, la medida presenta algunos problemas prácticos que derivan de las ideas fundamentales en que descansan los presupuestos de la medida: 1.- “Casi todo el mundo contrata el acceso a internet con las mismas empresas”. Pese a ello, existen en realidad un elevado número de empresas que ofrecen los servicios de acceso a internet. Aunque la gran mayoría de los usuarios de Internet efectivamente tienen contratada la prestación del servicio con un número muy limitado de proveedores, si el mandamiento se dirige sólo a las proveedoras de acceso mayoritarias quien contrate con las restantes compañías podría seguir accediendo a las
27
páginas afectadas por el bloqueo, mientras que la pretensión de cobertura total puede conllevar una notable complejidad a la hora de llevar a la práctica la medida12. 2.- “Casi nadie sabe las direcciones IP de las páginas que quiere visitar”. Efectivamente así sucede en la mayoría de las ocasiones, pero si el usuario de internet en lugar de intentar acceder a la página web con contenidos ilícitos mediante su nombre de dominio lo hiciese escribiendo directamente la dirección IP de la página afectada por la medida podría acceder a ella porque el paso afectado por la medida es el de la asociación de nombres a direcciones, no el de conexión con esas direcciones. 3.- “Casi todo el mundo utiliza los servidores DNS de las mismas compañías de acceso a internet con las que ha contratado”. En efecto, la mayoría de los usuarios de internet se sirven en su navegación de los valores establecidos por defecto y, por tanto, de los servidores DNS de sus propias proveedoras de acceso afectadas por la medida, pero si el usuario edita esta opción en las propiedades de conexión a internet y se establece un servidor DNS distinto (libre), se estaría eludiendo la medida de bloqueo puesto que el ordenador realizaría la consulta necesaria para asociar el nombre de dominio a la dirección IP a un servidor (“traductor”) no afectado por la resolución judicial de bloqueo.
3.3.- SOBRE LAS PERSONAS.
Junto a las medidas cautelares personales tradicionales (prisión provisional, prohibición de acercamiento,…) cabe plantearse si puede adoptarse en el seno del proceso penal la medida cautelar de prohibición de acceder a Internet, de acceder a sistemas o equipos informáticos o alguna otra forma de impedir al imputado el uso de Internet. Al respecto, desde el punto de vista legal, cabe articular tal medida a través del artículo 48.1 del Código Penal (prohibición de acudir al lugar –virtual- de comisión del delito) o a través del 56.3 (privación al penado de “cualquier otro derecho”) o como forma de libertad vigilada (art. 106.i. “La prohibición de desempeñar determinadas actividades que puedan ofrecerle o facilitarle la ocasión para cometer hechos delictivos de similar naturaleza”) Aun cuando la prohibición total de la utilización de Internet, a priori, pudiera resultar coherente con el tipo de delito cometido, su adopción efectiva plantearía una reducción de las facultades personales, sociales y profesionales del individuo de tal magnitud que difícilmente puede justificarse siquiera como medida amparada en la libertad vigilada en caso de condena. Por ello, debe tenerse en cuenta la posibilidad de que tal prohibición no sea indiscriminada sino que se restrinja a determinadas formas de acceso, sitios o servicios dentro de la red. Así, por ejemplo, la prohibición de contratación con empresas proveedoras de acceso a internet sería una forma más 12
Como ejemplo de adopción de esta medida cautelar en el curso de un proceso penal cabe citar el Auto de 17 de diciembre de 2007 del Juzgado de Instrucción nº 32 de Barcelona. Dicho Auto, tras una notable fundamentación jurídica de las bases legales de la medida que adopta, acaba disponiendo de forma dirigir el mandamiento a “los diferentes proveedores de servicios de Internet que operan en España y que dispongan de DNS para sus clientes, por el que se les requiera a todos y cada uno de ellos, a fin de que procedan al bloqueo de cualquier resolución a nivel DNS del dominio nikebrother.com”.
28
ajustada de concretar la restricción que una mera referencia genérica; la prohibición de acudir a lugares de acceso público a internet (tales como cibercafés o redes wifi abiertas) supone una discriminación de la forma de acceso que afectaría a la posibilidad de que el imputado realizase conexiones anónimas o de muy difícil rastreo para la comisión de nuevos delitos; y, especialmente, la prohibición general de utilización de determinadas redes sociales o determinados programas de comunicación o intercambio de archivos, atenderían a una restricción discriminada por el tipo de delito cometido (pudiendo concretarse en la solicitud de prohibición de utilización de chats informáticos o telefónicos, redes sociales y redes peer to peer de intercambio de ficheros). Esta consideración, que responde a la finalidad de prevención de nuevos delitos de idéntica naturaleza a que responde el artículo 48.1, ha sido objeto de estudio en las Jornadas de Especialistas organizadas por la Fiscalía de Sala de Criminalidad Informática de 4 y 5 de marzo de 2013 (Sesión de Trabajo sobre imposición de reglas de conducta en ejecución de las sentencias relacionadas con hechos ilícitos cometidos a través de la red), siendo recogido por la Fiscalía de Sala el criterio de consideración de las prohibiciones descritas amparadas por los artículos indicados. Aun cuando estos planteamientos han sido aceptados por la jurisprudencia menor (sentencia de 12 de noviembre de 2014, de la Sección Novena de la Audiencia Provincial de Barcelona; sentencia 127/2013, de 12 de febrero, de la Sección Tercera de la Audiencia Provincial de Barcelona; sentencias 70/2009, de 6 de octubre, de la Sección 23ª de la Audiencia Provincial de Madrid o 138/2009, de 25 de marzo, de la Sección 6ª de la Audiencia Provincial de Madrid) podemos encontrar, sin embargo, voces discordantes en cuanto a si estas medidas, a falta de expresa mención en el catálogo penológico, carecen de viabilidad, como expone la sentencia de 6 de mayo de 2015 de la Sección 21ª de la Audiencia Provincial de Barcelona.
29