el registro de dispositivos de almacenamiento masivo de información
TRANSCRIPT
1
EL REGISTRO DE DISPOSITIVOS DE ALMACENAMIENTO MASIVO DE
LA INFORMACIÓN
Ana María Martín Martín de la Escalera
Fiscal adscrita a la Fiscal de Sala contra la criminalidad Informática
2
Resumen: La especial naturaleza de los delitos cometidos con apoyo o al amparo de
las nuevas tecnologías origina una serie de peculiaridades en su investigación
determinadas por el hecho de que esta forma de delincuencia no deja huellas físicas,
sino evidencias electrónicas cuya obtención requiere la incautación, intervención y
acceso a los equipos o dispositivos informáticos relacionados con la actividad delictiva,
mediante la adopción de medidas con un alto grado de injerencia en los derechos
fundamentales de la persona investigada.
Hasta la reciente reforma, operada por LO 13/2015 de 5 de octubre muchos de los
instrumentos legales necesarios para esta clase de investigaciones no se encontraban
específicamente regulados en nuestro ordenamiento jurídico, generando serias
dificultades para el esclarecimiento de los hechos. Aun cuando muchas de estas
carencias venían siendo suplidas por una consolidada doctrina del Tribunal Supremo y
del Tribunal Constitucional que adaptaba a las nuevas situaciones preceptos de la
Ley previstos para otros supuestos de hecho, la reciente STC nº145/2015 de 22 de
septiembre - destacando la importancia de la reserva de Ley como garantía de la
seguridad jurídica en el ámbito de los derechos fundamentales- obligaba a una
regulación inaplazable de tales medidas.
En respuesta a esta necesidad, la LO 13/2015 de 5 de octubre, ha abordado la
regulación de distintas medidas de investigación tecnológica entre las cuales se
encuentra el registro de dispositivos de almacenamiento masivo, al que dedica el
Capítulo VIII del Título VII del Libro II. El presente trabajo se dirige a analizar
distintos aspectos y cuestiones relacionados con esta nueva medida que, por otro lado,
ha supuesto la incorporación al texto legal de la doctrina elaborada por el Tribunal
Supremo y el Tribunal Constitucional, interpretándolos precisamente a la luz de esa
doctrina jurisprudencial.
SUMARIO: 1.- INTRODUCCIÓN. 2.- OBJETO MATERIAL SOBRE EL QUE
RECAE LA MEDIDA. III.- SUPUESTOS PREVISTOS EN LA LEY. 3.1.-
Incautación y acceso a dispositivos con ocasión de un registro domiciliario. 4.- LA
AUTORIZACIÓN JUDICIAL COMO PRESUPUESTO HABILITANTE. 5.-
EXCEPCIONES A LA NECESIDAD DE AUTORIZACIÓN JUDICIAL. a)
consentimiento del investigado. b) supuestos de urgencia. 6.- VOLCADO DE LA
INFORMACIÓN CONTENIDA EN LOS DISPOSITIVOS Y CADENA DE
CUSTODIA. 7.- ACCESO A SISTEMAS INFORMÁTICOS EXTERNOS. 8.- DEBER
DE COLABORACIÓN.
3
1.- INTRODUCCIÓN
La especial naturaleza de los delitos tecnológicos da lugar a una serie de
peculiaridades en su investigación que la hacen más compleja. El objetivo perseguido
en la instrucción de estos delitos va a ser el mismo que el de cualquier otra
investigación criminal pero, en la mayoría de los casos, su esclarecimiento, mediante
la obtención de evidencias concernientes a los hechos y a su autoría, no va a poder
llevarse a cabo mediante el uso de las técnicas tradicionales de investigación.
Porque la ciberdelincuencia es una forma de criminalidad que no deja huellas
físicas sino evidencias electrónicas, conformadas por todo aquella información que
habiendo sido generada, almacenada o transmitida por o a través de dispositivos
electrónicos tiene potencial aptitud para acreditar el hecho investigado. La obtención
de estas evidencias electrónicas va a requerir la incautación u ocupación de los equipos
informáticos o dispositivos de almacenamiento masivo de datos, relacionados con la
actividad delictiva investigada, para poder acceder a la información contenida en los
mismos, y a tal fin va a ser precisa la adopción de medidas que resultan altamente
invasivas en diversos derechos fundamentales objeto de protección constitucional:
usualmente la intimidad, el secreto de las comunicaciones y el derecho a la protección
de datos. Medidas que han de ser llevadas a cabo con todas las garantías legalmente
establecidas a fin de que no exista duda alguna sobre la validez de la pruebas que
obtenidas en el curso de la instrucción.
Sin embargo, hasta la reciente reforma efectuada por LO 13/2015 de 5 de octubre
de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las
garantías procesales y la regulación de las medidas de investigación tecnológica, en
vigor desde el pasado 6 de diciembre, muchas de estas medidas no se encontraban
específicamente reguladas en nuestra norma procesal, lo que ha venido constituyendo
uno de los principales escollos para llevar adelante esta clase investigaciones. Es verdad
que muchas carencias legislativas fueron suplidas gracias al encomiable esfuerzo
efectuado tanto por el Tribunal Supremo como por el Tribunal Constitucional mediante
la elaboración de un consolidado cuerpo jurisprudencial que adaptaba la regulación
prevista en nuestra LECrim para otros supuestos, especialmente la relativa a la
intervención de las comunicaciones, a las necesidades de investigación requeridas por
la delincuencia tecnológica, pero lo cierto es que de esta manera no se solucionaba la
falta de cobertura legal específica para unos supuestos que el legislador del siglo XIX
no pudo siquiera soñar.
La Sentencia nº 145/2014 dictada por la Sala 2º del TC el 22 de septiembre de
2014 supuso la piedra de toque que evidenció la imperiosa necesidad de afrontar una
reforma legislativa por la que se regulasen específicamente las concretas medidas de
investigación que son precisas para el esclarecimiento de estos, ya no tan nuevos,
delitos vinculados a las Tecnologías de la Comunicación y la Información. La referida
STC marcó un punto de no retorno al estimar parcialmente un recurso de amparo
interpuesto por falta de garantías constitucionales, declarando que no existía
habilitación legal para llevar a cabo las escuchas a unos detenidos, practicadas en los
calabozos que estos ocupaban, pese a que las mismas contaban con autorización
judicial otorgada mediante auto acordando la instalación "artificios técnicos de escucha,
grabación de sonido e imagen". En su resolución, el TC reflexiona sobre la importancia
de la reserva de Ley como garantía de la seguridad jurídica en el ámbito de los derechos
4
fundamentales y libertades públicas – de forma que cualquier medida invasiva en estos
derechos haya de estar fundamentada en una ley que exprese todos los presupuestos y
condiciones de la intervención - 1 y en ésta concreta materia colige que el art. 579.2 de
la LECrim, que regulaba las intervenciones telefónicas y sobre el que se venía apoyando
la asentada jurisprudencia dictada en ésta materia mediante su adaptación a la nuevas
formas de comunicación nacidas al abrigo del desarrollo tecnológico, no habilita la
intervención de otras comunicaciones diferentes a las telefónicas, como en el caso de las
comunicaciones orales mantenidas en los calabozos que dio pie al referido
pronunciamiento.
En definitiva, se concluye que la doctrina elaborada por el Tribunal Constitucional
y por la Sala 2ª del Tribunal Supremo sobre la insuficiencia de la regulación legal (en
materia de comunicaciones telefónicas) y la posibilidad de suplir los defectos de la Ley,
no puede ser trasladada a un escenario de injerencia en el secreto de las
comunicaciones en el que no exista previsión legal alguna, o en el que, cuando menos,
tal regulación no se corresponde con la que se identifica y cita en las resoluciones
recurridas…..al no ser el art. 579.2 LCrim. la disposición jurídica a considerar, no
puede otorgar tampoco esa norma garantía alguna frente a posibles abusos, ni aportar
al individuo una protección adecuada contra la arbitrariedad
La respuesta a esta exigencia se produce precisamente a través de la LO 13/2015
de 5 de octubre, cuyo preámbulo se refiere expresamente a la Sentencia del TC,
anteriormente comentada, manifestando al respecto: el Tribunal Constitucional ha
apuntado el carácter inaplazable de una regulación que aborde las intromisiones en la
privacidad del investigado en un proceso penal. Hoy por hoy, carecen de cobertura y su
subsanación no puede obtenerse acudiendo a un voluntarista expediente de integración
analógica que desborda los límites de lo constitucionalmente aceptable. Solo así se
podrá evitar la incidencia negativa que el actual estado de cosas está proyectando en
relación con algunos de los derechos constitucionales que pueden ser objeto de
limitación en el proceso penal.
El legislador, a través de la citada iniciativa legislativa, aborda la regulación,
entre otras medidas de investigación tecnológica, del registro de los dispositivos de
almacenamiento masivo de la información, destinando a ésta concreta materia el
capítulo VIII del Título VIII de la Ley de Enjuiciamiento Criminal rubricado Registro
de dispositivos de almacenamiento masivo de información, y desarrollando en los
artículos 588 sexies a) a 588 sexies c), que lo componen, los diversos aspectos
relacionados con esta medida de investigación tecnológica.
1 Así se recuerda que la STC 169/2001, 16 de julio sostuvo, con abundante cita de Sentencias del
Tribunal Europeo de Derechos Humanos, en cuanto a las características exigidas por la seguridad jurídica
respecto de la calidad de la ley habilitadora de las injerencias, que la ley debe definir las modalidades y
extensión del ejercicio del poder otorgado con la suficiente claridad para aportar al individuo una
protección adecuada contra la arbitrariedad. Esa reserva de ley a la que, con carácter general, somete la
Constitución la regulación de los derechos fundamentales y libertades públicas reconocidos en su Título
I, también el del art. 18.3 CE, desempeña una doble función; a saber: de una parte, asegura que los
derechos que la Constitución atribuye a los ciudadanos no se vean afectados por ninguna injerencia
estatal no autorizada por sus representantes; y, de otra, en un Ordenamiento jurídico como el nuestro en
el que los Jueces y Magistrados se hallan sometidos "únicamente al imperio de la Ley" y no existe, en
puridad, la vinculación al precedente, constituye, adicionalmente, el único modo efectivo de garantizar
las exigencias de seguridad jurídica en el ámbito de los derechos fundamentales y las libertades públicas
5
Ha de recordarse, no obstante, que al registro de dispositivos de almacenamiento
masivo, al igual que a las demás medidas de investigación tecnológica reguladas en los
capítulos V a XIX del propio título VIII - concernientes a la interceptación de
comunicaciones telefónicas y telemáticas, captación y grabación de comunicaciones
orales mediante la utilización de dispositivos electrónicos, utilización de dispositivos
técnicos de seguimiento, localización y captación de la imagen y registros remotos
sobre equipos informáticos - le son de aplicación las disposiciones comunes recogidas
en el capítulo IV del mismo título que, entre otras cuestiones, desarrolla detalladamente
los principios rectores que han de inspirar su adopción. Quedando todas ellas sometidas
al principio general de necesaria habilitación judicial con las excepciones, en supuestos
de urgencia y en las condiciones y con los requisitos legalmente establecidos, a las que
luego haremos referencia.
2.- OBJETO MATERIAL SOBRE EL QUE RECAE LA MEDIDA
Aun cuando los supuestos previstos en el capítulo VIII del Título VIII aparecen
regulados bajo la rúbrica común “Registro de dispositivos de almacenamiento masivo
de la información” el articulado que los desarrolla se refiere a la aprehensión y acceso
al contenido de ordenadores, instrumentos de comunicación telefónica o telemática o
dispositivos de almacenamiento masivo de información digital o el acceso a
repositorios telemáticos de datos (expresamente los artículos 588 sexies a. y 588 sexies
b. y por remisión el 588 sexies c.)
De la redacción de los preceptos mencionados se desprende que la regulación del
registro de dispositivos de almacenamiento masivo de la información no se dirige
únicamente al establecimiento de las garantías necesarias para el acceso a lo que en
sentido estricto constituye un dispositivo de almacenamiento masivo de la información,
entendiendo por tales aquellos instrumentos informáticos cuya función y efecto es
precisamente la de guardar o registrar información del usuario a largo plazo tales como
discos externos, USBs, pendrives, CDs, DVDs, memorias digitales…etc. Por el
contrario, tal normativa es de aplicación al acceso a cualquier tipo de dispositivo
electrónico que tenga capacidad de guardar información, aun cuando sea de modo
temporal y de forma secundaria a las funciones que constituyen su objetivo primario, tal
sería el caso de los teléfonos móviles, tablets….etc En base a lo cual cualquier
dispositivo o instrumento tecnológico que, sin tener porqué constituir en sí mismo un
dispositivo de almacenamiento masivo, pueda contener o proporcionar datos de los que
extraer las evidencias electrónicas relacionadas con la actividad delictiva puede ser
objeto material de esta medida.
La terminología utilizada por el legislador es tan amplia que en ella encuentran
cabida dispositivos tales como los GPS - diseñados para facilitar la localización - o los
routers - cuya función es proporcionar al usuario la conectividad a la red-.
Efectivamente, en principio no parece existir obstáculo alguno para entender que estos
aparatos tienen cabida entre los instrumentos de comunicación telemática referidos en
los artículos 588 sexies a) y b). Así, en los dos casos arriba mencionados a título de
ejemplo, el examen de los dispositivos puede llevar a conocer datos de indudable
relevancia para la investigación criminal, pues de un router se puede extraer
información relativa a los dispositivos que a él se han conectado, por su parte el análisis
de un dispositivo GPS puede ser decisivo para la determinación de la secuencia de los
6
hechos investigados, lo que en los medios informáticos se conoce como obtención del
time-line en el desarrollo de la actividad delictiva.
Así entendido podrían también ser objeto de esta medida los dispositivos o
sistemas a que se refiere el artículo 197 bis.2 del CP incorporado por LO 1/2015 del
CP, desde, hacia o entre los cuales se producen las transmisiones no públicas de datos
de forma automática y sin intervención humana o aquellos que generan emisiones
electromagnéticas, pues de dichos datos también se puede extraer información relevante
para la investigación.
3.- SUPUESTOS PREVISTOS EN LA LEY
3.1 Incautación y acceso a dispositivos con ocasión de un registro
domiciliario
El artículo 588 sexies a. 1) se refiere a este supuesto al disponer que cuando con
ocasión de la práctica de un registro domiciliario sea previsible la aprehensión de
ordenadores, instrumentos de comunicación telefónica o telemática o dispositivos de
almacenamiento masivo de información digital o el acceso a repositorios telemáticos de
datos, la resolución del juez de instrucción habrá de extender su razonamiento a la
justificación, en su caso, de las razones que legitiman el acceso de los agentes
facultados a la información contenida en tales dispositivos.
En atención a ello, el acceso a la información contenida en estos instrumentos
queda sometido a la extensión previa y vinculante de una autorización judicial
específica. De forma que, ante una intervención policial donde sea previsible la
incautación de los dispositivos informáticos utilizados por el sospechoso, no bastará
con la motivación genérica de la resolución judicial que habilite el registro domiciliario,
apoyándose en los indicios racionales que fundamentan tal intromisión, sino que, por el
contrario, será precisa una motivación individualizada referida al acceso a la
información almacenada en los dispositivos que puedan ser hallados con motivo u
ocasión del registro domiciliario.
Si de la información y datos técnicos obtenidos por la policía en el curso de la
investigación, que son aportados en la solicitud dirigida a la Autoridad Judicial, se
desprende la necesidad de acceder a datos contenidos en los dispositivos relacionados
en el artículo 588 sexies a), la motivación y autorización judicial de entrada y registro
deberá hacerse extensiva a la posibilidad de que la fuerza actuante lleve a efecto el
análisis in situ – que al efectuarse en el curso de un registro domiciliario se efectuará a
presencia del Letrado de la Administración de Justicia por aplicación de lo dispuesto en
el inciso tercero del artículo 569 de la LECr - de los dispositivos de tal naturaleza que
puedan ser hallados en el transcurso del registro domiciliario y en su caso, como se
analizará más adelante, también al acceso a los servicios y plataformas utilizados por el
investigado que pudieran tener relación con los hechos investigados.
Con ello se solventan las discrepancias doctrinales y jurisprudenciales que
existían en relación con esta concreta cuestión. Pues, con anterioridad a esta previsión
legal, un sector doctrinal había venido manteniendo que la apertura y acceso a los
dispositivos informáticos no requerían el dictado de resoluciones complementarias al
auto que autorizaba la entrada y registro en el domicilio, fundamentando tal postura en
7
que la propia autorización judicial de entrada y registro domiciliario presuponía la de
ocupación de todo cuerpo delictivo referido a la investigación que se encuentre en el
lugar. Esta postura, como recuerda la reciente STS nº 864/2015, ha sido mantenida en
no pocas ocasiones por la jurisprudencia (V.G. STS 691/2009, 5 de junio) haciendo
extensiva la habilitación judicial concedida para la intromisión domiciliaria a la
aprehensión de todos aquellos soportes de información que pudieran encontrarse en el
interior de la vivienda. No obstante ello, es de reconocer que en la práctica, cada vez
con más frecuencia y con el fin de evitar cualquier posible duda respecto a la legalidad
de tales accesos, la policía judicial ya venía incorporando a su solicitud de entrada y
registro domiciliaria una petición específica referida tanto a la incautación de efectos
informáticos como al acceso en "caliente" a su contenido, cuando ello fuera
técnicamente posible, justificando su petición adecuadamente.
En cualquier caso la cuestión queda definitivamente zanjada tras la reforma pues
del tenor literal del apartado 1 del artículo 588 sexies a) se desprende claramente la
exigencia de una motivación individualizada, sin perjuicio, eso sí, de que formalmente
la Autoridad judicial puede efectuar ese juicio de ponderación específico en la misma
resolución por la que autoriza la diligencia de entrada y registro domiciliario.
El apartado 2 del propio artículo 588 sexies a. reincide en éste mismo criterio al
disponer taxativamente que la simple incautación de cualquiera de los dispositivos a los
que se refiere el apartado anterior, practicada durante el transcurso de la diligencia de
registro domiciliario, no legitima el acceso a su contenido, sin perjuicio de que dicho
acceso pueda ser autorizado ulteriormente por el juez competente dejando claro, por
tanto, que en aquellos supuestos donde no existe una previa autorización
individualizada será necesaria la solicitud de una segunda autorización judicial con la
finalidad de obtener el acceso al contenido del dispositivo.
En la reciente sentencia nº 382/2015 de 21 de mayo de la sección 17ª de la
Audiencia Provincial de Madrid se analiza esta exigencia de motivación
individualizada, en un supuesto donde la defensa planteaba la nulidad de la diligencia
de volcado de los datos contenidos en los "pen-drives" intervenidos al acusado,
basándose en la inexistencia de una resolución específica autorizándolo. El caso objeto
de estudio resulta especialmente interesante porque examina la cuestión en relación con
distintas situaciones de hecho, ya que en el caso de autos, aun cuando la mayoría de los
dispositivos fueron incautados en el transcurso de una diligencia de entrada y registro,
uno de los pen-drives fue aprehendido en un momento posterior, cuando se practicó la
detención del investigado.
La Audiencia, proclamando que en cualquier caso resulta necesaria la
autorización judicial, considera que respecto de los dispositivos incautados en el
domicilio del investigado existió tal habilitación y que el volcado de la información
contenida en los mismos contó con la correspondiente cobertura judicial, ya que, a
petición policial, se dictó una resolución judicial autorizando el volcado de la
información contenida en los soportes informáticos bajo fe pública del secretario y con
entrega de copia a la fuerza actuante para la realización de la pericia.
Sin embargo entiende que ha de darse distinto tratamiento al examen efectuado
sobre el contenido del pendrive que fue incautado tiempo después con motivo de la
detención del acusado. Al respecto afirma que dicho acceso no contaba con ninguna
cobertura judicial puesto que su incautación se produjo con posterioridad a la concesión
de la autorización inicial y en ningún momento se solicitó su ampliación para el análisis
8
del nuevo dispositivo. Concluye el Tribunal que, tratándose efectivamente de una
medida restrictiva de la intimidad, la autorización no puede entenderse tácitamente
concedida y ello determina que, en el caso objeto de análisis, se estime improcedente
la valoración de la pericia llevada a cabo sobre el contenido del referido pendrive que
quedó al margen del efectivo control judicial
De todo ello se desprende que la falta de autorización judicial específica para que
los agentes comisionados para la entrada y registro accedan a los dispositivos de
almacenamiento masivo relacionados con la actividad delictiva investigada, que puedan
ser hallados en el domicilio, va a determinar la nulidad de dicho acceso. Ello sin
perjuicio de que la autorización para el examen de los dispositivos electrónicos hallados
en el transcurso de la entrada y registro pueda ser concedida por el Juez con
posterioridad a la autorización inicial de entrada domiciliaria.
Para concluir este apartado resulta muy ilustrativa la reflexión efectuada en la STS
nº 864/2015 de 10 de diciembre, en relación con éste aspecto de la reforma, al afirmar
que en el artículo 588 sexies a) se lleva a cabo una regulación rupturista, que pretende
abandonar prácticas en las que la autorización judicial para la entrada en el domicilio
del investigado amparaba cualquier otro acto de injerencia, incluso cuando desbordara
el contenido material del derecho reconocido en el art. 18.2 de la CE . Lo que el
legislador pretende, por tanto, es que el Juez de instrucción exteriorice de forma
fiscalizable las razones que justifican la intromisión en cada uno de los distintos
espacios de exclusión que el ciudadano define frente a terceros.
3.2 Incautación de dispositivos fuera del contexto domiciliario
El artículo 588 sexies b) somete al mismo régimen establecido para la aprehensión
de ordenadores, instrumentos de comunicación, dispositivos de almacenamiento masivo
de datos con motivo de la diligencia de entrada y registro los supuestos en los la
aprehensión se produce fuera del contexto domiciliario.
Ciertamente el artículo 588 sexies b) al igual que el 588 sexies a) se refiere
también al acceso a repositorios telemáticos de datos - a mi entender refiriéndose con
ello a los archivos alojados fuera del propio dispositivo en la nube, o en cualquier otro
sistema que preste servicios al usuario como puede ser un banco, una entidad
médica…etc.- no obstante ello, habrá que tener en cuenta que el acceso a tales
repositorios telemáticos requerirá a su vez el previo acceso al dispositivo incautado
desde el cual se conecta el investigado con la información alojada en tales repositorios.
En estos casos por tanto, y salvo que concurran las razones de urgencia referidas
en el artículo 588 sexies c) apartado 4º, a las que posteriormente me referiré, será
igualmente preceptiva la habilitación judicial previa, debiendo la fuerza actuante poner
en conocimiento del Juez la incautación de tales efectos y si éste considera
indispensable el acceso a la información albergada en su contenido, otorgará la
correspondiente autorización.
4.- LA AUTORIZACIÓN JUDICIAL COMO PRESUPUESTO
HABILITANTE
El legislador ha llevado a efecto la regulación del registro de dispositivos de
almacenamiento masivo mediante la incorporación a la norma procesal de la
consolidada doctrina elaborada, en relación con ésta materia, por el Tribunal Supremo
9
y el Tribunal Constitucional que se hace extensiva a las injerencias en cualquier medio
de comunicación telemática, lógica o virtual cuando resulten necesarias para la
investigación del delito y su castigo.
El principio que preside esta nueva regulación, ya se trate de dispositivos
incautados con ocasión de un registro domiciliario ya de los aprehendidos fuera del
mismo, es el de que tales medidas van a requerir siempre, como presupuesto
habilitante, de una autorización judicial que efectúe una motivación individualizada
respecto de la misma.
En tal sentido la reciente Sentencia de la Sala 2º del TS nº 204/2016 de10 de
marzo, pone de relieve que por lo que se refiere al registro de dispositivos de
almacenamiento masivo de información, que incluyen los instrumentos de
comunicación telefónica y, en consecuencia, los terminales de telefonía móvil, el nuevo
capítulo VIII del Título octavo de la Lecrim establece una regulación específica
presidida por el principio de la necesidad de autorización judicial.
En la misma resolución el TS recuerda que la razón de ser de esta exigencia de
carácter generalizado reside en la consideración de estos instrumentos como lugar de
almacenamiento de una serie compleja de datos que afectan de modo muy variado a la
intimidad del investigado (comunicaciones a través de sistemas de mensajería, por
ejemplo, tuteladas por el art 18 3º CE, contactos o fotografías, por ejemplo, tuteladas
por el art 18 1º CE que garantiza el derecho a la intimidad, datos personales y de
geolocalización, que pueden estar tutelados por el derecho a la protección de datos, art
18 4º CE). La diversa naturaleza de los datos que pueden alojarse en estos dispositivos
- que constitucionalmente tienen otorgado un distinto grado de protección - han sido
causa de que por el Legislador se otorgue un tratamiento unitario a los datos contenidos
en los ordenadores y teléfonos móviles, reveladores del perfil personal del investigado,
configurando un derecho constitucional de nueva generación que es el derecho a la
protección del propio entorno virtual.
Por ello, la ponderación judicial de las razones que justifican, en el marco de una
investigación penal, el sacrificio de los derechos de los que es titular el usuario del
ordenador, ha de hacerse sin perder de vista la multifuncionalidad de los datos que se
almacenan en aquel dispositivo. Incluso su tratamiento jurídico puede llegar a ser más
adecuado si los mensajes, las imágenes, los documentos y, en general, todos los datos
reveladores del perfil personal, reservado o íntimo de cualquier encausado, se
contemplan de forma unitaria. Y es que, más allá del tratamiento constitucional
fragmentado de todos y cada uno de los derechos que convergen en el momento del
sacrificio, existe un derecho al propio entorno virtual. En él se integraría, sin perder su
genuina sustantividad como manifestación de derechos constitucionales de nomen iuris
propio, toda la información en formato electrónico que, a través del uso de las nuevas
tecnologías, ya sea de forma consciente o inconsciente, con voluntariedad o sin ella, va
generando el usuario, hasta el punto de dejar un rastro susceptible de seguimiento por
los poderes públicos. Surge entonces la necesidad de dispensar una protección
jurisdiccional frente a la necesidad del Estado de invadir, en las tareas de investigación
y castigo de los delitos, ese entorno digital
El derecho a la protección del propio entorno virtual no es un concepto novedoso,
pues al mismo ya se había referido el TS con anterioridad a la reforma legal destacando
esta particularidad que forma parte de la propia naturaleza y funcionamiento de los
dispositivos electrónicos. Así, la STS nº 246/2014 de 2 abril que, con apoyo en la STS.
10
342/2013 de 17.4 – afirma que “el ordenador y, con carácter general, los dispositivos
de almacenamiento masivo, son algo más que una pieza de convicción que, una vez
aprehendida, queda expuesta en su integridad al control de los investigadores. El
contenido de esta clase de dispositivos no puede degradarse a la simple condición de
instrumento recipiendario de una serie de datos con mayor o menor relación con el
derecho a la intimidad de su usuario. En el ordenador coexisten, es cierto, datos
técnicos y datos personales susceptibles de protección constitucional en el ámbito del
derecho a la intimidad y la protección de datos (art. 18.4 de la CE). Pero su contenido
también puede albergar -de hecho, normalmente albergará- información esencialmente
ligada al derecho a la inviolabilidad de las comunicaciones.
.........
En consecuencia, el acceso a los contenidos de cualquier ordenador por los
agentes de policía, ha de contar -a falta de consentimiento de su propietario o usuario-
con el presupuesto habilitante de una autorización judicial. Esta resolución ha de
dispensar una protección al imputado frente al acto de injerencia de los poderes
públicos. Son muchos los espacios de exclusión que han de ser garantizados. No todos
ellos gozan del mismo nivel de salvaguarda desde la perspectiva constitucional. De ahí
la importancia de que la garantía de aquellos derechos se haga efectiva siempre y en
todo caso, con carácter anticipado, actuando como verdadero presupuesto habilitante
de naturaleza formal”
Recientemente la Sentencia nº 786/2015 de la Sala 2ª del TS, de 4 de diciembre,
vuelve a esgrimir los mismos argumentos, refiriéndose a la doctrina jurisprudencial
asentada en esta materia y al hecho de que la misma, en esencia, ha quedado
corroborada con la regulación otorgada al registro de dispositivos informáticos en el
nuevo artículo 588 sexies a) de la LECr. En relación con ello recuerda que la
jurisprudencia de la Sala ha remarcado en múltiples ocasiones la necesidad de que
exista una resolución jurisdiccional habilitante para la invasión del derecho al entorno
digital de todo investigado con un contenido propio, explicativo de las razones por las
que, además de la inviolabilidad domiciliaria, se alza la intimidad reflejada en el
ordenador. Nuestro sistema no tolera el sacrificio de los derechos proclamados en los
apartados 3 y 4 del art. 18 de la CE a partir de una legitimación derivada, de suerte
que lo que justifica un sacrificio se ensanche hasta validar implícitamente otra
restricción. Esta idea tiene ya un reflejo normativo en el art.588 sexies a) 1º de la
LECrim…...
De todo lo expuesto se desprende que la utilización de dispositivos informáticos o
vinculados a las tecnologías de la información y/o la comunicación en el desarrollo de
la dinámica delictiva, da lugar a que en su investigación puedan verse afectados
derechos de distinta naturaleza que, a su vez , pueden tener distinto rango de protección,
por lo que aun cuando, como se verá, existen excepciones en las que cabe soslayar la
autorización judicial, la regla general será la que marca el carácter preceptivo de tal
presupuesto habilitante.
La adopción de esta medida por parte de la Autoridad Judicial ha de someterse a
los principios rectores que han sido desarrollados en el artículo 588 bis a) de la LECr. El
Legislador ha estimado oportuno, y así lo recuerda en el preámbulo de la propia LO
13/2015 de 6 de octubre, efectuar una proclamación normativa de los principios que el
Tribunal Constitucional ha venido definiendo como determinantes de la validez del acto
de injerencia. De tal forma que la adopción de cualquiera de las medidas tecnológicas,
11
referidas en los capítulos V a XIX del título VIII de la Ley, habrá de responder a los
principios de especialidad, idoneidad, excepcionalidad, necesidad y proporcionalidad.
La concurrencia de tales principios deberá justificarse adecuadamente en la resolución
judicial que autorice la injerencia en la que se deberá ponderar los intereses en conflicto,
como reiteradamente ha venido proclamando el TC, la resolución judicial ha de
expresar por sí misma todos los elementos necesarios para considerar fundamentada la
medida limitativa del derecho fundamental.
Los parámetros que han de inspirar la autorización de estas medidas limitativas de
derechos fundamentales han sido objeto de estudio en otras ponencias de esta misma
actividad formativa y ello nos exime de la necesidad de efectuar un estudio
pormenorizado de los mismos. No obstante ha de resaltarse, por la incidencia que tiene
en el tema objeto de estudio, la referencia expresa en el artículo el apartado 5 del
artículo 588 bis a) al ámbito tecnológico de producción del delito como uno de los
criterios a tener en cuenta para valorar la concurrencia del interés público al efectuar la
ponderación de los intereses en conflicto que permitan reputar la medida
proporcionada. Tal previsión permitirá la investigación de no pocos delitos cometidos a
través de las TIC que tan solo pueden ser esclarecidos mediante la utilización de
técnicas de investigación que injieren en derechos fundamentales de las personas, y,
aun cuando no es este el único criterio que deberá ser manejado por la Autoridad
Judicial , tal circunstancia no podrá ser olvidada al efectuar su valoración sobre la
procedencia o denegación de la medida, ya que podría dificultar extraordinariamente el
esclarecimiento del delito, cuando no impedirlo.
En esta línea el Tribunal Supremo ha puesto de relieve en diversas resoluciones
que en la valoración de la proporcionalidad de la medida de incautación y examen de
los dispositivos informáticos ha de tomarse en consideración la especial naturaleza de
los delitos tecnológicos afirmando al respecto que cuando las infracciones son
cometidas mediante la utilización de equipos informáticos la diligencia tendente a su
ocupación y examen de su contenido ha de estimarse proporcionada, no tanto en
función de la pena eventualmente aplicable como de la propia naturaleza del hecho
investigado, su dinámica comisiva y las inevitables necesidades para su ulterior
probanza ( STS nº 811/2015 de 24 de noviembre y nº 811/2015 de 9 de diciembre)
Las propias características de esta forma de delincuencia inciden por otro lado en
la delimitación de cuál ha de ser el alcance de los elementos que debe ofrecer la policía
a la Autoridad Judicial para justificar la autorización de la medida, así en la STS
811/2015 de 9 de diciembre se rechaza la necesidad de que la misma alcance tal grado
de certeza que haga innecesaria la propia diligencia en sí argumentando que en esta
clase de delitos la posible volatilidad de las pruebas documentales puede aconsejar
claramente en numerosos asuntos una rápida intervención tendente a mas pronta
ocupación sin las demoras que produciría una investigación más amplia, cuando, como
se ha dicho, las solventes sospechas acerca de la actividad ilícita llevada a cabo
mediante los equipos ubicados en la vivienda objeto de registro venían avaladas por la
concretas y autorizadas referencias de las que disponía la policía.
5.- EXCEPCIONES A LA NECESIDAD DE AUTORIZACIÓN JUDICIAL
a) consentimiento del investigado
12
Como se ha expuesto en el anterior apartado el criterio general es que la medida
de acceso a dispositivos informáticos y de almacenamiento masivo requiere
autorización judicial de forma que solo, concurriendo la misma, pueden llevarse a cabo
injerencias en el ámbito de este derecho fundamental. No obstante la ausencia de
autorización judicial para el acceso al contenido de un dispositivo informático no tiene
porqué implicar necesariamente la nulidad de actuaciones, pudiendo soslayarse en los
supuestos en que concurre el consentimiento del investigado para la inmisión en su
derecho a la intimidad.
El valor del consentimiento, cuando supone intromisión en la intimidad, ha sido
examinado en diversas resoluciones del TS. Recientemente la STS nº 786/15 de 4 de
diciembre se refiere a ello al analizar un supuesto en el que la acusada consintió el
acceso a su ordenador entregando a la fuerza actuante los equipos informáticos y
facilitando las claves de acceso a los mismos.
La Sala recuerda la doctrina emanada del TC en relación con el valor del
consentimiento conforme a la cual el consentimiento eficaz del sujeto particular
permite la intromisión en su derecho a la intimidad, ya que corresponde a cada persona
acotar el ámbito de intimidad personal y familiar que reserva al conocimiento, pudiendo
revocar el consentimiento en cualquier momento. Tal consentimiento, que puede ser
expreso o tácito, cuando se deriva de la realización de actos concluyentes que revelen la
voluntad del titular del derecho, no impide sin embargo que se pueda entender
vulnerado el derecho a la intimidad cuando se subviertan los términos y alcance para el
que se otorgó (SSTC 83/2002, de 22 de abril ; 196/2006, de 3 de julio,70/2009 de 23
de marzo, 159/2009, de 29 de junio, 173/2011, 7 de noviembre…etc.).
Bajo estos parámetros el TS entiende que la anuencia de la afectada actuó como
presupuesto habilitante que puede sustituir la autorización judicial 2 afirmando en contra
2 Afirma la citada resolución que la ponderación judicial de las razones que justifican, en el marco de
una investigación penal, el sacrificio de los derechos de los que es titular el usuario del ordenador, ha de
hacerse sin perder de vista la multifuncionalidad de los datos que se almacenan en aquel dispositivo .
Incluso su tratamiento jurídico puede llegar a ser más adecuado si los mensajes, las imágenes, los
documentos y, en general, todos los datos reveladores del perfil personal, reservado o íntimo de
cualquier encausado, se contemplan de forma unitaria. Y es que, más allá del tratamiento constitucional
fragmentado de todos y cada uno de los derechos que convergen en el momento del sacrificio, existe un
derecho al propio entorno virtual. En él se integraría, sin perder su genuina sustantividad como
manifestación de derechos constitucionales de nomen iuris propio, toda la información en formato
electrónico que, a través del uso de las nuevas tecnologías, ya sea de forma consciente o inconsciente,
con voluntariedad o sin ella, va generando el usuario, hasta el punto de dejar un rastro susceptible de
seguimiento por los poderes públicos. Surge entonces la necesidad de dispensar una protección
jurisdiccional frente a la necesidad del Estado de invadir, en las tareas de investigación y castigo de los
delitos, ese entorno digital".
Y no existe en la causa dato alguno que permita albergar la sospecha de que el consentimiento de Susana
fue utilizado por los agentes para adentrarse en contenidos amparados por el derecho a la inviolabilidad
de las comunicaciones y, como tales, no franqueables mediante la simple anuencia de la afectada ( art.
18.3 CE (EDL 1978/3879)). Ningún proceso de comunicación fue interceptado. No existe constancia de
que la Policía llegara a apoderarse de información vinculada a procesos de comunicación en marcha. Ni
siquiera llegó a disponer de contenidos procedentes de comunicaciones ya concluidas, pero todavía
desconocidas por alguno de sus destinatarios. Por el contrario, todas las imágenes voluntariamente
ofrecidas por Susana, así como los diálogos mantenidos en fechas pasadas con el ahora recurrente, eran
accesibles consintiendo la afectada la intromisión en su espacio virtual. Y esto fue, precisamente, lo que
aconteció. Así se declara en el apartado 4º del hecho probado, cuando se señala que la procesada, "...
una vez detenida confesó los hechos a las autoridades, entregando los equipos informáticos y facilitando
13
de lo argumentado por la defensa – que mantenía que la entrega de las cuentas y claves
no suponía autorización expresa para acceder al contenido del ordenador y
concretamente al correo electrónico – que el consentimiento para legitimar el acceso
al contenido documentado de comunicaciones a las que ya se ha puesto término y que,
en consecuencia, desbordan la protección constitucional que dispensa el art. 18.3 de la
CE , puede ser otorgado mediante actos concluyentes. Y bien elocuente de la voluntad
de la acusada eran los actos de identificación de las cuentas y entrega de las claves. La
legitimación del acto de injerencia estatal en la intimidad de la afectada no puede
ponerse en cuestión.
También la STS nº 864/2015 de 10 de diciembre, mantiene la validez del
consentimiento prestado por el acusado – que contó en todo momento con asistencia
letrada - tanto para la entrada y registro en su domicilio como para recoger el material
informático o de otro tipo que en el domicilio pudiera existir, afirmando que no existe
en éste caso vulneración del derecho a la intimidad puesto que resulta incuestionable
que la autorización para recoger conlleva el análisis del contenido que en dicho
material informático se encuentre3.
Esta última sentencia analiza también la validez del acceso por parte de una madre
al contenido de los dispositivos informáticos de su hija menor – ante las sospechas de
que estaba siendo objeto de una actividad criminal - mediante la utilización de las
contraseñas que eran por ella conocidas, y la posterior comunicación de dicho contenido
a la policía. La Sala equipara el supuesto a aquellos en los que el interlocutor revela lo
que se le comunica por otro bajo compromiso expreso o tácito de confidencialidad o en
las claves de acceso y colaboró efectivamente con ello a la identificación del coprocesado D. Carlos
Francisco”.
En consecuencia, mal puede hablarse de prueba ilícita a partir del análisis de la forma en que las
imágenes y demás contenidos accedieron a la causa. No deben incluirse en ese concepto los
descubrimientos efectuados de forma casual por un ciudadano -en este caso, el hallazgo del técnico al
que fue encargada la reparación del ordenador- que, en el momento de su obtención, carece de toda
voluntad de hacerse con una fuente de prueba. Es evidente que no puede obtener el mismo tratamiento
jurídico la accidental apertura de un sobre introducido por error en un buzón que no es el de su
destinatario - equivocación que permite el descubrimiento de un hecho de relieve penal-, frente a la
fractura intencionada del buzón de un vecino con la finalidad de acceder a su correspondencia y
vulnerar así su intimidad.
Tampoco puede predicarse la ilicitud probatoria del hecho de que los agentes de Policía accedieran sin
autorización judicial a las imágenes y diálogos generados mediante la utilización de los programas de
mensajería instantánea a los que se refiere el factum. Y no sólo porque los citados agentes no se
inmiscuían en un proceso de comunicación en marcha, además de contar con el consentimiento de la
titular, sino porque su propia intimidad debía quedar desplazada ante la concurrencia de un fin
constitucionalmente legítimo, en este caso, la investigación y descubrimiento de delitos de incuestionable
gravedad, que tenían en este caso como víctimas a dos niñas de cinco y ocho años de edad. La simple
posibilidad de que esas imágenes pudieran llegar a convertirse, de una u otra forma, en contenidos
difundibles en la red, intensificando de forma irreparable el daño ocasionado a las dos menores, era un
riesgo que había de ser ponderado en el momento del juicio de necesidad y proporcionalidad.
3 En el supuesto de hecho afirma la sala que el consentimiento para acceder a la información almacenada
en diversos elementos informáticos, entendiendo tanto los propios ordenadores y el teléfono móvil, que
no tienen solo la utilidad de realizar y recibir llamadas telefónicas sino también la de recibir o enviar
mensajería telemática, y tras ser leída poder almacenarla en el mismo, implicala autorización para acceder
a toda la información que en los mismos se encuentra sin que por tanto se produzca vulneración alguna a
su derecho a la intimidad. Cabría aquí mencionar, que también se estaba autorizando el acceso a la
información existente sobre los mensajes de facebook entre él mismo y la menor que se pudiera
encontrar en las carpetas de almacenaje.
14
los que se viola el deber natural de confidencialidad por parte del receptor de una carta
privada que desvela la comisión de un delito, afirmando que no se puede hablar aquí de
prueba inutilizable. Si la afectación a la intimidad proviene de un particular que está
autorizado para acceder a ese ámbito de privacidad, que desvela, aunque abuse de la
confianza concedida, no se activa la garantía reforzada del art. 11.1 LOPJ..4.
b) Supuestos de urgencia
Esta excepción al principio general de habilitación judicial se encuentra prevista
en el apartado 4 del artículo 588 sexies c) en los siguientes términos:
En los casos de urgencia en que se aprecie un interés constitucional legítimo que
haga imprescindible la medida prevista en los apartados anteriores de este artículo, la
Policía Judicial podrá llevar a cabo el examen directo de los datos contenidos en el
dispositivo incautado, comunicándolo inmediatamente, y en todo caso dentro del plazo
máximo de veinticuatro horas, por escrito motivado al juez competente, haciendo
constar las razones que justificaron la adopción de la medida, la actuación realizada,
la forma en que se ha efectuado y su resultado. El juez competente, también de forma
motivada, revocará o confirmará tal actuación en un plazo máximo de 72 horas desde
que fue ordenada la medida.
Se prevé por tanto la posibilidad de que, sin autorización judicial, se pueda
acceder al contenido de los dispositivos incautados cuando concurran razones de
urgencia en las que se aprecie un interés constitucional legítimo, debiendo efectuar la
autoridad Judicial a posteriori la supervisión y control de lo actuado.
El precepto merece ser objeto de una reflexión pausada puesto que, como se ha
venido diciendo, el contenido de un dispositivo informático puede ser muy diverso. Hoy
en día en la mayor parte de estas actuaciones van a recaer sobre dispositivos
electrónicos en los que, en palabras del TS, coexisten junto a los datos técnicos y datos
personales susceptibles de protección constitucional en el ámbito del derecho a la
intimidad y la protección de datos (art. 18.4 de la CE ) otros datos que pueden
albergar -de hecho, normalmente albergará- información íntimamente ligada al
derecho a la inviolabilidad de las comunicaciones. Los avances tecnológicos han dado
paso a la aparición de instrumentos o dispositivos electrónicos que multifuncionales,
que sirven tanto para la recopilación y almacenamiento de datos como para el
mantenimiento de comunicaciones entre personas predeterminadas - a través de
llamadas de teléfono, comunicaciones de carácter bidireccional cerradas a otros
usuarios en internet, aplicaciones de mensajería tipo WhatsApp etc.5- . Esta
4 Añade la citada resolución “Además estamos hablando de la madre -y no cualquier otro particular-. Es
titular de la patria potestad concebida no como poder sino como función tuitiva respecto de la menor. Es
ella quien accede a esa cuenta ante signos claros de que se estaba desarrollando una actividad
presuntamente criminal en la que no cabía excluir la victimización de su hija. No puede el ordenamiento
hacer descansar en los padres unas obligaciones de velar por sus hijos menores y al mismo tiempo
desposeerles de toda capacidad de controlar en casos como el presente en que las evidencias apuntaban
inequívocamente en esa dirección. La inhibición de la madre ante hechos de esa naturaleza, contrariaría
los deberes que le asigna por la legislación civil. Se trataba además de actividad delictiva no agotada,
sino viva: es objetivo prioritario hacerla cesar. Tienen componentes muy distintos las valoraciones y
ponderación a efectuar cuando se trata de investigar una actividad delictiva ya sucedida, que cuando se
trata además de impedir que se perpetúe, más en una materia tan sensible como esta en que las víctimas
son menores.) 5 En tal sentido recordar que, como pone de relieve la circular 1/2013 de la FGE en relación con los chats
o foros de internet que permiten comunicarse a varias personas simultánea y públicamente y en tiempo
15
característica implica que, cuando se produce el acceso al dispositivo, pueden verse
afectados distintos derechos fundamentales de carácter autónomo que, por otro lado,
cuentan con un diferente nivel de protección constitucional.
Y es que, dependiendo del archivo o aplicación del dispositivo sobre el que se
produzca el acceso, así como de las funciones prestadas por los mismos, la injerencia
puede afectar a la intimidad, al honor, al derecho a la protección de datos o al secreto de
las comunicaciones. Como pone de relieve la STC Pleno 9 de mayo de 2013 ello
implica que el parámetro de control a proyectar sobre la conducta de acceso a dicho
instrumento deba ser especialmente riguroso, tanto desde la perspectiva de la
existencia de norma legal habilitante, incluyendo la necesaria calidad de la ley, como
desde la perspectiva de si la concreta actuación desarrollada al amparo de la ley se ha
ejecutado respetando escrupulosamente el principio de proporcionalidad.
No obstante el propio TC se ha pronunciado reiteradamente en el sentido de
admitir la legitimidad constitucional en determinados casos, con la suficiente y precia
habilitación legal, de injerencias leves en la intimidad de las personas sin previa
autorización judicial cuando concurran razones de urgencia, necesidad y
proporcionalidad. Manteniendo al respecto que el derecho a la intimidad no es absoluto
-como no lo es ningún derecho fundamental-, pudiendo ceder ante intereses
constitucionalmente relevantes, siempre que el límite que aquél haya de experimentar
se revele como necesario para lograr un fin constitucionalmente legítimo y sea
proporcionado.
Ya se recordaba al respecto en la circular 1/2013 de la FGE que la apertura de
archivos de un disco duro o de unidades externas de almacenamiento no tiene por qué
afectar al secreto de las comunicaciones por lo que no en todo caso va a resultar
imprescindible la autorización judicial, en tal sentido afirma que los documentos no
integrados en un proceso de comunicación y almacenados en archivos informáticos
bien en teléfonos móviles, ordenadores o asimilados, tendrían la consideración de
simples documentos y, por tanto, sólo resultarían, en su caso protegidos por el derecho
a la intimidad (STS nº 782/2007, de 3 de octubre) de forma que en estos casos no
plantea dudas que la fuerza actuante pueda intervenir y acceder al soporte electrónico en
los casos de urgencia y cuando concurre un interés legítimo, pronunciándose en éste
mismo sentido la STC nº 173/2011, de 7 de noviembre.
Distinto será cuando la intervención puede afectar al derecho fundamental al
secreto de las comunicaciones por cuanto el mismo es objeto de especial protección en
el artículo 18.3 de la Constitución que reserva cualquier injerencia en tal derecho a la
previa resolución judicial. En relación con este derecho el TC ha afirmado
reiteradamente que no solo protege el contenido de lo comunicado sino también otros
aspectos de la comunicación tales como la identidad subjetiva de los interlocutores, la
propia existencia de la comunicación, así como la confidencialidad de las circunstancias
o datos externos de la conexión telefónica: su momento, duración y destino, de forma
que este derecho puede verse afectado cuando se produce el acceso a datos
real afirma En estos casos, cuando las conversaciones o comunicaciones son accesibles para cualquier
usuario de Internet, las mismas no pueden tener la consideración de conversaciones privadas. Por ello,
estas modalidades no pueden considerarse comprendidas dentro del ámbito del derecho fundamental al
secreto de las comunicaciones, por lo que no precisan de autorización judicial para su grabación u
observación.
16
almacenados en un dispositivo referidos a un proceso de comunicación emitido o
recibido a través del mismo.6
Cabría plantearse si el tenor literal de la excepción regulada en el apartado 4 del
artículo 588 sexies c), admitiendo el examen directo de los datos contenidos en el
dispositivo en los casos de urgencia donde se aprecie un interés constitucional legítimo,
sin distinguir por razón del derecho fundamental que puede verse afectado, supone una
revisión de la doctrina plasmada en la STC 115/2013 de 9 de mayo o 230/2007 de 5 de
noviembre 7; sin embargo, no parece que ésta sea la interpretación que ha de darse a este
precepto. En este sentido se pronuncia Cándido Conde Pumpido Tourón afirmando que
si se trata de comunicaciones ya concluidas, como correos electrónicos o mensajería
ya abiertos puede comprenderse la extensión, siempre dentro del principio de
proporcionalidad. Pero pueden suscitarse problemas con los datos referentes a
registros de llamadas, o mensajería no leída, que quizás exijan alguna limitación por
vía jurisprudencial, por afectar al núcleo del derecho fundamental a secreto de las
comunicaciones, cuya vulneración exige constitucionalmente autorización judicial. 8
Tal limitación ya parece desprenderse de algunas de las resoluciones de la Sala 2º
del TS que, si bien se refieren a supuestos acaecidos con anterioridad a la entrada en
vigor de la reforma, han sido dictadas con posterioridad a la publicación de la LO
13/2015 y al analizar alguna de las novedades introducidas en la nueva normativa no
parecen despegarse de los criterios que en ésta concreta materia se han venido
sosteniendo por la jurisprudencia del TS y del TC. Tal es el caso de la S nº 786/2015 de
4 de diciembre, que valida el consentimiento otorgado para el acceso al dispositivo
informático afirmando que no existe en la causa dato alguno que permita albergar la
sospecha de que el consentimiento de Susana fue utilizado por los agentes para
adentrarse en contenidos amparados por el derecho a la inviolabilidad de las
comunicaciones y, como tales, no franqueables mediante la simple anuencia de la
afectada (art. 18.3 CE). Ningún proceso de comunicación fue interceptado. No existe
constancia de que la Policía llegara a apoderarse de información vinculada a procesos
de comunicación en marcha. Ni siquiera llegó a disponer de contenidos procedentes de
comunicaciones ya concluidas, pero todavía desconocidas por alguno de sus
destinatarios. En la misma línea se pronuncia la S 864/2015 de 10 de diciembre cuando
afirma taxativamente que lo que es insoslayable para una intromisión inconsentida del
secreto de las comunicaciones o la inviolabilidad domiciliaria (autorización judicial)
puede no serlo cuando hablamos solo de intimidad o de privacidad y no de esas
manifestaciones específicas.
En cualquier caso como se recuerda por el TS, entre otras en las recientes
Sentencias nº 204/16 de 10 de marzo y 311/15 de 27 de mayo, al hilo de este precepto,
el acceso efectuado por los agentes de la policía judicial no exime de la necesaria
concurrencia de los requisitos constitucionales propios de la afectación a este derecho
fundamental. Así, la injerencia ha de encontrarse " justificada con arreglo a los criterios
de urgencia y necesidad y que se cumpla el requisito de proporcionalidad al ponderar
6 Este mismo criterio se mantiene por la FGE en la consulta 1/1999 de 22 de enero sobre tratamiento
automatizado de datos personales en el ámbito de las telecomunicaciones y es ratificado en la Circular
1/3013 sobre intervención de comunicaciones telefónicas 7 Roberto Valverde Megías, Memoria de la Fiscalía contra la Criminalidad informática de Barcelona
8 La reforma procesal. Registro de sistemas informáticos, ampliación del registro a otros sistemas. El
registro remoto de dispositivos informáticos. Centro de estudios Jurídicos, Jornadas de especialistas en
materia de criminalidad informática 2016.
17
los intereses en juego en el caso concreto", criterio sostenido por la jurisprudencia que
ha sido recogido en similares términos en el párrafo cuarto del nuevo art 588 sexies c.
A la concurrencia del interés constitucionalmente legítimo se refiere la Circular
1/2013 que recuerda que del artículo 8.2 del CEDH se desprende que, para la
admisibilidad de la injerencia de la autoridad pública en el derecho a la vida privada, es
necesario que tal medida responda a alguna de las siguientes finalidades: la seguridad
nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la
prevención del delito, la protección de la salud o de la moral, o la protección de los
derechos y libertades de los demás. De entre ellas la lucha contra el delito dará
normalmente cobertura a la actuación policial.
Tal es igualmente el criterio sostenido por el TC que al referirse al interés
constitucionalmente legítimo considera como tal el interés público propio de la
prevención e investigación del delito y, más en concreto, la determinación de hechos
relevantes para el proceso penal.
La concurrencia de éste requisito habrá de ser examinada por el juez competente
al efectuar el control a posteriori de la injerencia efectuada en cada caso concreto,
normalmente la urgencia y necesidad se producen en supuestos de flagrante delito
donde es necesaria una actuación policial inmediata.
6.- VOLCADO DE LA INFORMACIÓN CONTENIDA EN LOS
DISPOSITIVOS Y CADENA DE CUSTODIA
Una vez establecido en los artículos precedentes el carácter preceptivo de la
autorización judicial para la práctica de esta medida, el artículo 588 sexies c) desarrolla
en 5 apartados diversos aspectos relacionados con el alcance y contenido de tal
resolución, forma de ejecución, supuestos de excepción a la misma, y colaboración de
terceros para su adecuado cumplimiento.
El apartado 1º establece que en la resolución judicial autorizando esta medida se
habrán de fijar los términos y el alcance del registro y que se podrá autorizar la
realización de copias de los datos informáticos, en su caso, debiendo establecer las
condiciones necesarias para asegurar la integridad de los datos y las garantías de su
preservación para hacer posible, en su caso, la práctica de un dictamen pericial.
El primer inciso de este apartado redunda en lo ya dispuesto en el artículo 588 bis
c) - integrado entre las disposiciones comunes del capítulo IV y por tanto, como ya se
ha dicho, aplicable a esta y a las demás medidas tecnológicas reguladas en éste título -
que se refiere a la resolución judicial que autoriza la injerencia en los siguientes
términos:
1. El juez de instrucción autorizará o denegará la medida solicitada mediante
auto motivado, oído el Ministerio Fiscal. Esta resolución se dictará en el plazo máximo
de veinticuatro horas desde que se presente la solicitud.
2. Siempre que resulte necesario para resolver sobre el cumplimiento de alguno
de los requisitos expresados en los artículos anteriores, el juez podrá requerir, con
interrupción del plazo a que se refiere el apartado anterior, una ampliación o
aclaración de los términos de la solicitud.
3. La resolución judicial que autorice la medida concretará al menos los
siguientes extremos:
18
a) El hecho punible objeto de investigación y su calificación jurídica, con
expresión de los indicios racionales en los que funde la medida.
b) La identidad de los investigados y de cualquier otro afectado por la medida,
de ser conocido.
c) La extensión de la medida de injerencia, especificando su alcance así como
la motivación relativa al cumplimiento de los principios rectores establecidos en el
artículo 588 bis a.
d) La unidad investigadora de Policía Judicial que se hará cargo de la
intervención.
e) La duración de la medida.
f) La forma y la periodicidad con la que el solicitante informará al juez sobre
los resultados de la medida.
g) La finalidad perseguida con la medida.
h) El sujeto obligado que llevará a cabo la medida, en caso de conocerse, con
expresa mención del deber de colaboración y de guardar secreto, cuando proceda, bajo
apercibimiento de incurrir en un delito de desobediencia.
Al tiempo se prevé la posibilidad de que en la misma resolución se pueda
autorizar la realización de copias de los datos informáticos analizados en el registro. En
realidad este apartado se encuentra íntimamente relacionado con lo dispuesto en el
apartado nº 2 - conforme al cual salvo que constituyan el objeto o instrumento del delito
o existan otras razones que lo justifiquen, se evitará la incautación de los soportes
físicos que contengan los datos o archivos informáticos, cuando ello pueda causar un
grave perjuicio a su titular o propietario y sea posible la obtención de una copia de
ellos en condiciones que garanticen la autenticidad e integridad de los datos - pues será
en estos supuestos, en que los dispositivos no son incautados porque concurren las
razones que se especifican en el propio artículo, cuando la Autoridad Judicial deberá de
autorizar además la realización de copias de los datos o archivos informáticos que, en
los demás casos, se realizará fuera del domicilio registrado, bien en sede judicial bien en
las dependencias policiales.
Tal previsión encuentra su razón de ser principalmente en aquellos supuestos en
los que el equipo o dispositivo informático vinculado a la comisión del delito forma
parte de un sistema utilizado en un ámbito normalmente laboral o mercantil donde la
incautación puede paralizar la normal actividad de la empresa causando graves
perjuicios a personas ajenas a la comisión del delito. No obstante, aun en éste caso,
cuando el dispositivo constituye el objeto o instrumento del delito o cuando hay otras
razones que lo justifican, procederá la incautación del dispositivo de que se trate.
En lo que concierne a la realización de copias de los datos informáticos, se refiere
a la autorización para llevar a cabo el proceso de clonado o volcado de la información.
El clonado supone la realización de una copia bit a bit del contenido del
dispositivo, supone una operación de copiado de la información contenida en el
dispositivo tal y como se encuentra en el momento de la entrada y registro, como de
forma muy descriptiva expone Eloy Velasco, lo que en la realidad virtual supone algo
19
equivalente a lo que en el soporte papel suponen las fotocopias o en el audio las copias
de cds, y en el video las de dvd9.
De hecho el análisis informático forense de la información contenida en los
dispositivos suele comenzar precisamente con esta operación de volcado, de forma que
el análisis no se efectúa sobre el contenido original sino sobre la copia espejo de la
misma
El volcado de la información en la mayoría de las ocasiones supone un proceso
lento, cuya duración aumenta de forma directamente proporcional a la capacidad de
almacenamiento del soporte de que se trate, por ello su realización puede dilatarse en
el tiempo, conllevando horas e incluso días, lo que puede dificultar en gran medida el
cumplimiento de lo previsto en el apartado 2º del artículo 588 sexies c) en lo que
concierne a su no incautación.
Se establece igualmente que el Juez habrá de fijar también las condiciones
necesarias para asegurar la integridad de los datos y las garantías de su preservación
para hacer posible, en su caso, la práctica de un dictamen pericial. (588 sexies c) 1
último inciso)
Como afirma Joaquín Delgado Martín10
uno de los mayores problemas que
plantea la evidencia electrónica es precisamente el relacionado con la cadena de
custodia. Ciertamente, tratándose de evidencias electrónicas, más fácilmente destruibles,
alterables o manipulables – aun de forma involuntaria- resulta absolutamente necesario
garantizar que los datos o contenidos que, como evidencias electrónicas, van a ser
sometidos al órgano de enjuiciamiento, se corresponden exactamente con los que se
encontraban almacenados en los dispositivos incautados.
Por esta razón el tratamiento y análisis de tales contenidos no se efectúa sobre el
soporte original sino sobre la copia. De tal forma que, una vez se haya efectuado la
copia o clonado, normalmente a presencia del Letrado de la Administración de
Justicia11
, el original habrá de ser precintado y quedar a disposición del Juzgado,
garantizando de esta forma la cadena de custodia de la prueba y la posibilidad de que,
ante cualquier duda que pueda plantearse en el proceso sobre alteración de la prueba,
pueda solventarse contrastando la copia sobre la cual se ha trabajado con el original a
custodiado en el Juzgado.
La garantía de que la copia sobre la que trabaja el perito se corresponde
exactamente con el original la proporciona la función hash que otorga al contenido
exacto de un archivo un valor numérico único e irrepetible.
9 En su ponencia Pericias informáticas: aspectos procesales
10 Investigación del entorno virtual: el registro de dispositivos digitales tras la reforma por LO 13/2015.
Diario la Ley nº 8693 11
En tal sentido sin desconocer que en varias ocasiones la jurisprudencia se ha pronunciado en el sentido
de no invalidar operaciones de volcado en las que no ha estado presente el secretario, la cuestión siempre
ha sido planteada desde un punto de vista meramente formal, sin entrar a discutir la integridad de la
prueba. Pero ante la posibilidad de que lo que se discuta sea la alteración de los originales resultará
esencial que el Letrado de la Administración de Justicia esté presente al menos en la operación de
precintado y desprecintado del disco intervenido o del dispositivo electrónico en su caso, así como en el
inicio del proceso de clonado o volcado del mismo. Son precisamente estas circunstancias las que
determinan que en términos generales, y en tanto no se establezcan otros procedimientos que permitan
garantizar la integridad de la evidencia, la presencia del LAJ resulte necesaria.
20
7.- ACCESO A SISTEMAS INFORMÁTICOS EXTERNOS
El apartado 3º del artículo 588 sexies c) dispone que:
Cuando quienes lleven a cabo el registro o tengan acceso al sistema de
información o a una parte del mismo conforme a lo dispuesto en este capítulo, tengan
razones fundadas para considerar que los datos buscados están almacenados en otro
sistema informático o en una parte de él, podrán ampliar el registro, siempre que los
datos sean lícitamente accesibles por medio del sistema inicial o estén disponibles para
este. Esta ampliación del registro deberá ser autorizada por el juez, salvo que ya lo
hubiera sido en la autorización inicial. En caso de urgencia, la Policía Judicial o el
fiscal podrán llevarlo a cabo, informando al juez inmediatamente, y en todo caso dentro
del plazo máximo de veinticuatro horas, de la actuación realizada, la forma en que se
ha efectuado y su resultado. El juez competente, también de forma motivada, revocará
o confirmará tal actuación en un plazo máximo de setenta y dos horas desde que fue
ordenada la interceptación.
La generalización en el uso de los sistemas de externalización de la información
en la comúnmente denominada “nube” ha determinado que cada vez con más
frecuencia, en el curso de las investigaciones digitales, resulte preciso el acceso a
información que no se encuentra almacenada en los propios dispositivos físicos del
investigado. El fenómeno denominado como cloud computing 12
o almacenamiento en
la nube ha supuesto para los usuarios de internet la posibilidad de guardar cualquier
dato o información en espacios virtuales a los que puede acceder desde cualquier lugar
físico y en cualquier momento con la única condición de disponer un ordenador o
dispositivo informático con capacidad para conectarse a la red.
Hasta la reforma efectuada por LO 13/2015 esta circunstancia añadía un plus de
complejidad a la problemática que, ya de por sí, planteaba la ausencia de regulación del
registro de dispositivos informáticos en nuestra legislación procesal debido
principalmente a que la información almacenada en estos espacios virtuales puede estar
ubicada físicamente en una jurisdicción diferente, a aquella donde se encuentra la
autoridad judicial que autoriza la medida, o, lo que es aún más usual, ni tan siquiera se
sabe dónde se encuentra localizada, resultando prácticamente imposible determinar en
qué país se aloja el servidor que almacena la información.
El hecho es que los proveedores de estos servicios pueden estar ubicados en
cualquier lugar, distinto de aquél en el que se encuentra el usuario al que presta el
servicio, y ello desde una concepción tradicional basada en los límites territoriales no
deja de suponer un importante obstáculo para la investigación ya que el acceso a tal
información puede ser fuente de discrepancias entre Estados. La necesidad de acudir a
solicitudes de cooperación internacional para acceder a la información colisiona con la
eficacia de la investigación y, además, suele enfrentarse a la respuesta de las compañías
proveedoras de servicio de que han de someterse la Ley nacional del país donde radica
su sede central, generando dilaciones que a veces redundan en la pérdida de la prueba.
El legislador español, consciente de esta realidad, prevé la posibilidad de que
cuando toda o parte de la información se encuentra alojada en servicios de
12
DropBox, iCloud o Drive…etc
21
almacenamiento externos, el registro pueda ampliarse accediendo a estos últimos. Si
bien se establece en el precepto una doble limitación:
1) Es necesario que los datos sean lícitamente accesibles por medio del sistema
inicial o estén disponibles para éste
A este respecto habrá que tener en cuenta las diferentes situaciones que pueden
plantearse en el curso de la diligencia de entrada y registro:
a. Que el ordenador o dispositivo se encuentre abierto y sea posible
acceder al contenido almacenado en la nube sin necesidad de utilizar las claves y
contraseñas del usuario.
b. Que se conozcan las claves y contraseñas que permiten el acceso al
dispositivo y en su caso a la nube porque se han obtenido por distintas vías: las
ha proporcionado voluntariamente el propio imputado, se han obtenido en el
curso de la investigación previa, se han conocido mediante el empleo de técnicas
de ingeniería social, o se extraen del análisis técnico o forense del ordenador o
dispositivo incautado. No es infrecuente que en el transcurso de los análisis
técnico-forenses de los terminales incautados se encuentren las credenciales de
acceso a los servicios utilizados por el investigado, dando paso a que se solicite
la correspondiente autorización judicial para acceso y copiado de la información
que se encuentre almacenada en los mismos. En estos supuestos se accederá al
servidor como si fueran los propios titulares del servicio haciendo innecesaria la
intervención técnica de la empresa en la que se aloja el servidor.
c. Que no se disponga del ID y password que permite acceder a la
información almacenada.
En los dos primeros casos, al amparo de lo dispuesto en el artículo 588 sexies 3,
existiendo autorización judicial para ello, no habrá obstáculo para el acceso a la
información. El acceso será posible en la medida en que la intervención está autorizada
sin entrar a valorar el lugar donde se encuentra ubicado físicamente el servidor al que se
está accediendo. El legislador se decanta por tanto por el criterio de ubicación de la
terminal desde la cual se accede a la información, siempre que esté en el espacio físico
cubierto por la orden de entrada y registro, y la circunstancia de que la información se
encuentre alojada en un servidor de un país extranjero se considera irrelevante y no
viola el principio de territorialidad.
En ambos supuestos, con la debida autorización judicial, se puede efectuar el
acceso en "caliente" al dispositivo, lo que en el argot policial se denomina “live
forensic" que posibilita conocer la información almacenada. Normalmente esta
actividad llevará aparejada la solicitud al Juez para que autorice el cambio de
contraseñas de acceso a los servicios y plataformas electrónicas que son gestionadas por
el sospechoso y que puedan contener información relacionada con el hecho
investigado (acceso a cuentas de correo, a servidores, a monederos digitales, etc...). De
esta forma se asegurará que, a partir de ese momento, la información queda bajo control
del Juzgado y, por su autorización, de la policía, evitando operaciones de modificación
o borrado que pudieran llevarse a efecto desde el exterior bien por el propio investigado
bien por terceras personas.
El cambio de contraseñas para garantizar la inmutabilidad de la prueba no exime
de la necesidad de llevar a cabo la operación de descarga del contenido almacenado,
22
normalmente a presencia del Letrado de la Administración de Justicia, como forma de
preservar la integridad de la prueba en el órgano judicial correspondiente.
En cualquier caso, tanto el análisis en caliente como el cambio de contraseñas,
cuando se efectúe en el contexto de un registro domiciliario se habrá de efectuar en
presencia de Letrado de la Administración de Justicia – por aplicación del artículo 569
párrafo 3º de la LEcrim- al que corresponderá consignar en el acta de entrada y registro
tanto la apertura in situ de los archivos como cualquier dato relativo a los mismos y
resumir tanto las actuaciones practicadas como los hallazgos realizados. En los demás
supuestos - cuando la incautación se efectúa con independencia de un registro
domiciliario- el legislador ha dejado en manos de la Autoridad Judicial la fijación de las
condiciones necesarias para asegurar la integridad de los datos y las garantías de su
preservación, por lo que, aun cuando lo deseable sería contar con la presencia del
letrado en la operación de copiado para garantizar la integridad del proceso, su
asistencia no resulta en principio preceptiva y dependerá de lo que, al respecto, acuerde
el Juez competente.
Tales actuaciones por razones evidentes, y por aplicación de lo previsto en el
artículo 588 bis d) se habrán de efectuar bajo secreto, de forma que la nueva contraseña
se mantiene en sobre cerrado a disposición judicial siendo solo conocida por el Juzgado
y en su caso el Fiscal.
En lo que concierne al tercero de los escenarios planteados, cuando se desconocen
las claves o contraseñas de acceso, habrá que tener en cuenta que la exigencia legal de
que los datos almacenados en otro sistema sean lícitamente accesibles desde el sistema
inicial, o estén disponibles para él, ha de conducir a una solución diferente. Es evidente
que, por razón de esta limitación, queda excluida la posibilidad de acceso a la
información contenida en el sistema externo mediante el uso de técnicas de hacking o
craking o, en su caso, el empleo de herramientas o instrumentos destinados a tal fin de
tan frecuente oferta en el mercado tecnológico, tampoco será factible acudir a la ayuda
de hackers profesionales que desarrollen esta labor. Por tanto, en estos supuestos, si la
información se encuentra alojada en servidores ubicados fuera de territorio nacional no
quedará más solución que la de acudir a los medios de cooperación internacional, a
salvo aquellos casos, excepcionales, en que la empresa que gestiona el servidor
mantiene acuerdos formales o informales con el sector público y presta su colaboración
de motu propio permitiendo el acceso a la información sin intervención de las
autoridades del Estado donde se encuentran alojados los datos.
2) La ampliación del registro precisa autorización judicial salvo que ya estuviera
prevista en la autorización inicial
La obtención de estas evidencias supone, al igual que las que se extraen con el
registro de los dispositivos incautados, una importante injerencia en el derecho
fundamental a la intimidad del investigado, por ello el acceso a la información
almacenada en la nube requiere autorización judicial. Solo la autorización habilitante
permitirá llevar a efecto, tras la incautación de los ordenadores y demás dispositivos
informáticos - dentro de los cuales el móvil es el medio más usado por los usuarios para
acceder a la nube -, a través de los cuales el sujeto sospechoso se conecta a la nube y el
posterior análisis forense de la información almacenada en los mismos. Ni que decir
tiene que dicha autorización ha de estar apoyada en la concurrencia de los
23
presupuestos legal y constitucionalmente establecidos, que ya han sido objeto de
análisis.
No obstante en los casos de urgencia tanto la Policía Judicial como el Fiscal
podrán llevar a cabo el registro ampliado si bien con la obligación de informar al juez
inmediatamente y en todo caso dentro del plazo máximo de veinticuatro horas, de la
actuación realizada, la forma en que se ha efectuado y su resultado. El juez competente,
también de forma motivada, revocará o confirmará tal actuación en un plazo máximo de
setenta y dos horas desde que fue ordenada la interceptación.
Esta excepción prevista para los supuestos de urgencia resulta plenamente
ajustada a derecho. La información almacenada en los dispositivos de almacenamiento
masivo externo no se encuentra integrada en procesos de comunicación y por tanto el
derecho fundamental que se ve afectado con esta medida es el derecho a la intimidad.
En este sentido ya se pronunció la circular de la FGE 1/2013, haciéndose eco de la
doctrina emanada del TC a raíz de su famosa sentencia 173/2011 cuando al referirse a
la posibilidad de que en supuestos de urgencia, y existiendo un interés
constitucionalmente legítimo, por parte de las fuerzas de seguridad se intercepte un
móvil o dispositivo electrónico accediendo a un disco duro aun cuando se pueda ver
afectado el derecho a la intimidad (al amparo de la habilitación legal conferida por el
artículo 282 de la Ley de Enjuiciamiento Criminal, 11.1 de la Ley Orgánica de Fuerzas
y Cuerpos de Seguridad y 547 de la LOPJ) entiende que esta doctrina es perfectamente
aplicable a las unidades de almacenamiento externo
8.- DEBER DE COLABORACIÓN
Las autoridades y agentes encargados de la investigación podrán ordenar a
cualquier persona que conozca el funcionamiento del sistema informático o las medidas
aplicadas para proteger los datos informáticos contenidos en el mismo que facilite la
información que resulte necesaria, siempre que de ello no derive una carga
desproporcionada para el afectado, bajo apercibimiento de incurrir en delito de
desobediencia. (588 sexies c.5)
Como ya se puso de relieve en el informe al proyecto de reforma de la Ley de
Enjuiciamiento Criminal elaborado por el Consejo Fiscal esta previsión encuentra su
razón de ser en el artículo 118 de la CE que establece el deber de prestar la colaboración
requerida por Jueces y Tribunales y supone, al tiempo, dar cumplimiento a lo
establecido en el artículo 19.4 de la Convención de Budapest en cuanto que insta a los
Estados parte a adoptar las medidas legislativas o de otro tipo que se estimen necesarias
a fin de habilitar a sus autoridades competentes para ordenar a cualquier persona, que
conozca el funcionamiento de un sistema informático o las medidas aplicadas
para proteger los datos informáticos que contiene, que proporcione todas las
informaciones razonablemente necesarias, para permitir la aplicación de las medidas
previstas en los párrafos 1 y 2 (referidas estas a los registros informáticos)
Esta obligación se prevé también respecto de otras medidas de investigación
tecnológica previstas en la Ley tras la reforma, y más concretamente para los supuestos
de interceptación de las comunicaciones telefónicas y telemáticas, en el artículo 588 ter
e), obligando a los prestadores de servicios, operadores de comunicaciones o cualquier
persona que contribuya a facilitar las comunicaciones, en los supuestos de utilización
de dispositivos o medios técnicos de seguimiento y localización , regulada en el artículo
588 quinquies b.3 obligando a los mismos mencionados en el 588 ter, y en los
supuestos relativos a registros remotos, si bien en éste caso extendida también a los
24
responsables del sistema o base de datos que son objeto de la medida en el artículo 588
septies b)
En lo que concierne al registro de dispositivos de almacenamiento masivo, objeto
de estudio, obliga a cualquier persona que conozca el funcionamiento del sistema
informático que se pretende registrar las personas o las medidas de seguridad o
protección aplicadas al mismo para impedir el acceso a los datos contenidos está
obligada a informar a la Policía sobre su funcionamiento o sobre las medidas que
existan para proteger la información.
El requerido, salvo en los supuestos que a continuación se relacionan,
expresamente excluidos por el legislador, tendrá la obligación de colaborar, con el
apercibimiento de incurrir en caso contrario en delito de desobediencia, salvo que ello
le suponga una carga desproporcionada – lo que no deja de ser un concept
indeterminado de difícil concreción que obligará a valorar cada caso en particular a la
espera de un cuerpo jurisprudencial que delimite que ha de entenderse por tal -. Llama
la atención por otro lado que, a diferencia de los otros supuestos más arriba
mencionados, no se prevea en este caso una obligación de guardar secreto sobre la
información requerida .
Habrá de plantearse por otro lado si la referencia expresa a proporcionar las
medidas aplicadas para proteger los datos informáticos implica una obligación de
colaborar respecto de quienes disponen de las claves para el desencriptado de los datos
informáticos protegidos por este sistema.
El propio apartado 5 establece que esta disposición no será aplicable al
investigado o encausado, a las personas que están dispensadas de la obligación de
declarar por razón de parentesco y a aquellas que, de conformidad con el artículo
416.2, no pueden declarar en virtud del secreto profesional.
Exclusión que por lo que se refiere al investigado responde a su derecho a no
declarar y no declararse culpable, sin perjuicio de la posible utilización de su negativa
como contraindicio, e igualmente es acorde con la dispensa establecida en el artículo
416.2 respecto de personas vinculadas al investigado por el parentesco especificado en
el propio artículo o por razón de su obligación de guardar secreto profesional.
Se ha planteado por algún autor13
la problemática que plantea este deber de
colaboración en situaciones tales como aquella en que el obligado, sin ser investigado
propiamente dicho, puede verse afectado por la información contenida en el dispositivo
cuyo acceso se pretende con su colaboración. Ciertamente entiendo que esta situación
entraría de lleno en la exclusión prevista en el apartado 5 respecto de los investigados
por cuanto conllevaría una vulneración del derecho a no declarar contra sí mismo, y por
tanto a realizar ninguna actividad que pueda provocar una autoincriminación,
reconocido en el artículo 24 de la CE y en el artículo 520 de la propia LECr.
13
Juan María Bañon: ¿Ese «todavía no imputado» formalmente tendría la obligación legal de dar una
información que va en su contra y le va a convertir en imputado? Si no da la información, podría ser
acusado de desobediencia, y sólo podría eximirse inculpándose a sí mismo y convirtiéndose en imputado.