Antes de comenzar a leer el artículo, ¿te has planteado en ayudar a su autor? Tienes varias formas de poder hacerlo, una es pinchando sobre la publicidad que aparece junto a él, y otra es haciendo una donación completamente voluntaria y de cualquier cuantía al número de cuanta: ES65 2100 2577 0513 0076 9904. Con respecto a las donaciones existen dos límites, uno de cinco euros por persona y artículo, y otro, que impide donar a las personas que he denunciado. ¡Muchas gracias!
El Capítulo IX del Título VIII del Libro II de la Ley de Enjuiciamiento Criminal (LECrim), es titulado Registros remotos sobre equipos informáticos. Al encontrarse dentro del Título VIII, que tiene por objeto aquellas medidas de investigación que afectan a alguno de los derechos del artículo 18 de la Constitución (CE), en seguida concluimos, lógicamente, que esta medida de investigación afectará a alguno de esos derechos, aunque no tiene que ser una consecuencia inmediata, podemos mencionar el ejemplo del artículo 588 quinquies a que regula la captación de imágenes en lugares o espacios públicos, y que de acuerdo a la Exposición de Motivos de la LO 13/2015 no afectaría a ningún derecho de los reconocidos en el art. 18 CE.
El registro remoto sobre equipos informáticos, se trata de una medida de investigación, consistente en el acceso a la información contenida en un dispositivo de almacenamiento masivo de información a través de internet. En consecuencia, el dispositivo de almacenamiento masivo de información deberá tener la capacidad de conectarse a ella, como por ejemplo ordenadores, tabletas, o smartphones. El resto de dispositivos de almacenamiento masivo de información, sin conexión directa a internet, como un disco duro externo o una memoria usb, sólo podrán ser registrados en tanto el aparato al que estén conectados, a su vez, esté conectado a internet, por lo que para este tipo de registro remoto, normalmente se emplearan programas informáticos como Troyanos, keylogger, etc. especialmente diseñados para este tipo de servicios. Y en esta definición todavía nos hemos dejado algo, porque el acceso a la información del investigado puede hacerse mediante el uso de claves, por ejemplo que permitan el acceso a su correo electrónico.
Por el tipo de medida de investigación policial, vemos que en este caso, enseguida quedan disipadas cualquiera de las dudas que pudiéramos tener en cuanto a una posible afectación de los derechos reconocidos en el art. 18 CE. Es claro, que el registro remoto de equipos informáticos invadirá esferas de privacidad amparadas por el derecho a la intimidad (art. 18.1 CE), el derecho al secreto de las comunicaciones (art. 18.3 CE), y el derecho a la protección de datos o autodeterminación informativa (art. 18.4 CE). En este punto, vemos como el registro remoto de equipos informáticos es muy similar al registro de equipos de almacenamiento masivo de información, con la salvedad de que como ya dijimos anteriormente el equipo informativo deberá de estar conectado a internet, a no ser que se acceda a la información mediante el uso de claves. Aunque en este caso, la invasión que sufre la intimidad personal del sujeto afectado es mucho más intensa, porque existen dos notas esenciales que concurren en los registros remotos y no en los registros directos, que distinguen ambos tipos de medidas de investigación tecnológica: la clandestinidad y el carácter dinámico del registro (Circular 5/2019, de 6 de marzo, de la Fiscal General del Estado, sobre sobre registro de dispositivos y equipos informáticos, en adelante Circular 5/2019). La clandestinidad porque se tiene acceso a información sin que el investigado se percate de ello, y el carácter dinámico del registro, porque el acceso a la información se lleva a cabo de forma constante desde el momento que es autorizada judicialmente (art. 588 septies a) y ejecutada, lo que la asemeja a otras medidas de investigación con afectación del art. 18 CE, como la interceptación de comunicaciones telefónicas y telemáticas, y el legislador ha decidido limitarla temporalmente (art. 588 septies c).
Antes de continuar es importante tener claro el alcance de cada uno de los derechos afectados, y como han evolucionado jurisprudencialmente dada la forma en que se encuentran interrelacionados en el aparato electrónico registrado. El derecho a la intimidad (art. 18.1 CE), garantiza al individuo un ámbito reservado de su vida \»vedando que terceros, sean particulares o poderes públicos, decidan cuales sea los lindes de nuestra vida privada, pudiendo cada persona reservarse un espacio resguardado de la curiosidad ajena, sea cual sea lo contenido en ese espacio\» ( SSTC 127/2003, de 30 de junio , 89/2006 ,. de 27 de marzo ). La protección de ese ámbito reservado confiere a la persona el poder exigir a terceros el deberde abstenerse de toda intromisión en la esfera íntima y la prohibición de hacer uso de lo así conocido (AAP B 3095/2021).
En cambio, el derecho al secreto de las comunicaciones (art. 18.3 CE) tiene un ámbito de protección más específico, viene indicando el Tribunal Constitucional, entre otras, en la STC 115/13 que :\» debemos recordar que este Tribunal ha reiterado (entre otras, SSTC 281/2006, de 9 de octubre , FJ 4 ; 230/2007, de 5 de noviembre , FJ 2 ; 142/2012, de 2 de julio, FJ 3 , y 241/2012, de 17 de diciembre , FJ 4) que el derecho al secreto de las comunicaciones ( art. 18.3 CE ) consagra tanto la interdicción de la interceptación como el conocimiento antijurídico de las comunicaciones ajenas, por lo que dicho derecho puede resultar vulnerado no sólo por la interceptación en sentido estricto – aprehensión física del soporte del mensaje, con conocimiento o no del mismo, o captación, de otra forma, del proceso de comunicación- sino también por el conocimiento antijurídico de lo comunicado, como puede suceder, sin ánimo de exhaustividad, en los casos de apertura de la correspondencia ajena guardada por su destinatario o de un mensaje emitido por correo electrónico o a través de telefonía móvil. Igualmente se ha destacado que el derecho al secreto de las comunicaciones protege no sólo el contenido de la comunicación, sino también otros aspectos de la misma, como la identidad subjetiva de los interlocutores, por lo que queda afectado por este derecho tanto la entrega de los listados de llamadas telefónicas por las compañías telefónicas como el acceso al registro de llamadas entrantes y salientes grabadas en un teléfono móvil (por todas, SSTC 123/2002 , FJ 6 ; 56/2003 , FJ 3 ; 230/2007 , FJ 2 ; 142/2012, FJ 3 , y 241/2012, FJ 4; así como las Sentencias del Tribunal Europeo de Derechos Humanos de 2 de agosto de 1984, caso Malone c . Reino Unido, § 84, y, de 3 de abril de 2007, caso Copland c. Reino Unido, § 43) (AAP B 3095/2021).
Por su parte, el derecho a la protección de datos (art. 18.4 CE), El Tribunal Constitucional señaló en su Sentencia 94/1998, de 4 de mayo, que nos encontramos ante un derecho fundamental a la protección de datos por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados; de esta forma, el derecho a la protección de datos se configura como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distintos a aquel que justificó su obtención. Por su parte, en la Sentencia 292/2000, de 30 de noviembre, lo considera como un derecho autónomo e independiente que consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso (Preambulo I de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales). Y el artículo 4 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, ha definido datos personales como: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, unidentificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Los tres derechos comparten ubicación dentro del artículo 18 de la CE, y aunque el derecho al secreto de las comunicaciones (art. 18.3 CE) y el derecho a la protección de datos (art. 18.4 CE), pueden considerarse derecho derivados del derecho más general a la intimidad (art. 18.1 CE), se tratan todos de derecho autónomos con una protección constitucional diferente. De los tres que hemos analizado, el único que está protegido expresamente por la garantía de una resolución judicial que autorice cualquier injerencia de los poderes públicos, es el derecho al secreto de las comunicaciones (art. 18.3 CE). Esto no significa que los otros dos estén carentes de toda protección, lo que pasa que ha sido la jurisprudencia la que se ha encargado de desarrollarla, al menos con respecto al derecho a la intimidad (art. 18.1 CE). El derecho a la intimidad ha sido ampliamente desarrollado por los tribunales españoles, que han sido los que se han encargado de establecer sus limites, en este sentido han dicho que no se trata de un derecho absoluto (como no lo es ningún derecho), pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el límite que aquél haya de experimentar se revele como necesario para lograr un fin constitucionalmente legítimo y sea proporcionado (AAP B 3972/2020). Como un interés constitucional legítimo se ha considerado el interés público propio de la prevención e investigación del delito, y, más en concreto, la determinación de hechos relevantes para el proceso penal (AAP B 3972/2020). En estos supuestos, se ha entendido lícita por la jurisprudencia una intervención policial que afecte al derecho a la intimidad sin necesidad de autorización judicial, pero siempre y cuando, se cumplan otros tres requisitos, 1) que exista una habilitación legal previa, como es la que encontramos en el art. 282 LECrim, 2) que se cumpla con el principio de proporcionalidad concretado, a su vez, en las tres siguientes condiciones: \»si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)\» ( STC 89/2006, de 27 de marzo) (SAP GI 1882/2020), y 3) que la policía actué en un supuesto de urgencia, pues como nos recuerda la STS 2368/2021: La exigencia de autorización judicial es aplicable a la restricción del derecho al secreto de las comunicaciones, pero no lo es con la misma intensidad respecto del derecho a la intimidad, que es posible en ocasiones, sin necesidad de tal autorización, cuando tenga un apoyo legal, concurran razones de urgencia y la restricción sea proporcional al fin perseguido.
En esta diferenciación de la protección constitucional otorgada a cada uno de los derechos es donde surge el problema. En un aparato electrónico capaz de almacenar todo tipo de información, como un ordenador o un smartphone, la linea que limita cada uno de los derechos bajo los cuales esa información es protegida, es muy difusa (documentos, imágenes, números de teléfono, estarían protegidos por el derecho a la intimidad, los registros de llamadas entrantes y salientes o emails no abiertos por el derecho al secreto de las comunicaciones, y los datos de posicionamiento o cookies por el derecho a la protección de datos) . En un principio, los tribunales españoles se esforzaron en establecer esos límites, así se dijo que el acceso a datos de una agenda de contactos del teléfono móvil no se vulnera un derecho al secreto de las comunicaciones ex art. 18,3 CE sino se vería afectado el derecho a la intimidad personal del art. 18,1 CE, en cambio el registro de llamadas entrantes y salientes si que estaría amparado por el derecho al secreto de las comunicaciones (art. 18.3 CE), y por tanto sí exigiría autorización judicial (STC 115/2013, de 9 de mayo , al examinar el supuesto de acceso policial, sin consentimiento del afectado y sin autorización judicial, a la agenda de contactos telefónicos de un móvil, que si contraria o no el derecho a la intimidad o/y el secreto de las comunicaciones), lo mismo pasaba con un correo electrónico, se decía que si dicho correo electrónico no había sido abierto, y por tanto el proceso de comunicación no había sido agotado, continuaba protegido por el derecho al secreto de las comunicaciones, en cambio su apertura suponía que pasaba a ser protegido por el derecho a la intimidad. Uno de los puntos de inflexión que cambian está interpretación confusa de los derechos del art. 18 CE en su aplicación práctica, es la renombrada y famosa sentencia del Tribunal Supremo 342/2013, 17 de abril (RJ 2013, 3296), porque en ella se da forma al llamado derecho al propio entorno virtual, un derecho que no es más que una amalgama de los tres derechos que hemos visto antes por separado, en el que se han eliminado las barreras que diferenciaban los unos de los otros, esta sentencia decía: \»… el acceso de los poderes públicos al contenido del ordenador de un imputado, no queda legitimado a través de un acto unilateral de las fuerzas y cuerpos de seguridad del Estado. El ordenador y, con carácter general, los dispositivos de almacenamiento masivo, son algo más que una pieza de convicción que, una vez aprehendida, queda expuesta en su integridad al control de los investigadores. El contenido de esta clase de dispositivos no puede degradarse a la simple condición de instrumento recipiendario de una serie de datos con mayor o menor relación con el derecho a la intimidad de su usuario. En el ordenador coexisten, es cierto, datos técnicos y datos personales susceptibles de protección constitucional en el ámbito del derecho a la intimidad y la protección de datos ( art. 18.4 de la CE ). Pero su contenido también puede albergar -de hecho, normalmente albergará- información íntimamente ligada al derecho a la inviolabilidad de las comunicaciones. El correo electrónico y los programas de gestión de mensajería instantánea no son sino instrumentos tecnológicos para hacer realidad, en formato telemático, el derecho a la libre comunicación entre dos o más personas. Es opinión generalizada que los mensajes de correo electrónico, una vez descargados desde el servidor, leídos por su destinatario y almacenados en alguna de las bandejas del programa de gestión, dejan de integrarse en el ámbito que sería propio de la inviolabilidad de las comunicaciones. La comunicación ha visto ya culminado su ciclo y la información contenida en el mensaje es, a partir de entonces, susceptible de protección por su relación con el ámbito reservado al derecho a la intimidad, cuya protección constitucional es evidente, aunque de una intensidad distinta a la reservada para el derecho a la inviolabilidad de las comunicaciones.
En consecuencia, el acceso a los contenidos de cualquier ordenador por los agentes de policía, ha de contar con el presupuesto habilitante de una autorización judicial. Esta resolución ha de dispensar una protección al imputado frente alacto de injerencia de los poderes públicos. Son muchos los espacios de exclusión que han de ser garantizados. No todos ellos gozan del mismo nivel de salvaguarda desde la perspectiva constitucional. De ahí la importancia de que la garantía de aquellos derechos se haga efectiva siempre y en todo caso, con carácter anticipado, actuando como verdadero presupuesto habilitante de naturaleza formal.
La ponderación judicial de las razones que justifican, en el marco de una investigación penal, el sacrificio de los derechos de los que es titular el usuario del ordenador, ha de hacerse sin perder de vista la multifuncionalidad de los datos que se almacenan en aquel dispositivo. Incluso su tratamiento jurídico puede llegar a ser más adecuado si los mensajes, las imágenes, los documentos y, en general, todos los datos reveladores del perfil personal, reservado o íntimo de cualquier encausado, se contemplan de forma unitaria. Y es que, más allá del tratamiento constitucional fragmentado de todos y cada uno de los derechos que convergen en el momento del sacrificio, existe un derecho al propio entorno virtual. En él se integraría, sin perder su genuina sustantividad como manifestación de derechos constitucionales de nomen iuris propio, toda la información en formato electrónico que, a través del uso de las nuevas tecnologías, ya sea de forma consciente o inconsciente, con voluntariedad o sin ella, va generando el usuario, hasta el punto de dejar un rastro susceptible de seguimiento por los poderes públicos. Surge entonces la necesidad de dispensar una protección jurisdiccional frente a la necesidad del Estado de invadir, en las tareas de investigación y castigo de los delitos, ese entorno digital\».\»
Por tanto, el derecho afectado con el registro remoto sobre equipos informáticos será el derecho al propio entorno virtual, que no es más que un derecho que aglutina, borrando las fronteras interpretativas que los diferencian, el derecho a la intimidad (art. 18.1 CE), el derecho al secreto de las comunicaciones (art. 18.3 CE), y el derecho a la protección de datos (art. 18.4 CE).
Hasta aquí, las semejanzas con la medida de investigación regulada en los artículos 588 sexies de la LECrim, son abismales, si bien ya hemos dicho algo antes que las diferencia, dijimos que la clandestinidad y el carácter dinámico del registro hace que esta medida de investigación sea especialmente intrusiva. Esta circunstancia, ha hecho que el registro remoto de equipos informáticos esté limitado a unos tipos determinado de delitos, cosa que no ocurre con la medida de investigación de los artículos 588 sexies. No obstante, no nos podemos dejar guiar solamente por estos tipos de delitos a la hora de determinar la posibilidad de aplicar esta medida de investigación, es importante que, como con el resto de medidas reguladas en el Título VIII del Libro II de la LECrim, tengamos claro que también le aplican los artículos 588 bis de la LECrim, y más concretamente los principios del art. 588 bis LECrim, lo que significa, que es indispensable una valoración previa de la medida de investigación en relación al supuesto concreto donde será aplicada, para determinar si está es especialmente conforme al principio de proporcionalidad, así como con el resto de principios regulados, especialidad, idoneidad, necesidad y excepcionalidad.
Artículo 588 septies a. Presupuestos.
1. El juez competente podrá autorizar la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos, siempre que persiga la investigación de alguno de los siguientes delitos:
a) Delitos cometidos en el seno de organizaciones criminales.
b) Delitos de terrorismo.
c) Delitos cometidos contra menores o personas con capacidad modificada
judicialmente.
d) Delitos contra la Constitución, de traición y relativos a la defensa nacional.
e) Delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología
de la información o la telecomunicación o servicio de comunicación.
2. La resolución judicial que autorice el registro deberá especificar:
a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios informáticos de almacenamiento de datos o bases de datos, datos u otros contenidos digitales objeto de la medida.
b) El alcance de la misma, la forma en la que se procederá al acceso y aprehensión de los datos o archivos informáticos relevantes para la causa y el software mediante el que se ejecutará el control de la información.
c) Los agentes autorizados para la ejecución de la medida.
d) La autorización, en su caso, para la realización y conservación de copias de los datos informáticos.
e) Las medidas precisas para la preservación de la integridad de los datos almacenados, así como para la inaccesibilidad o supresión de dichos datos del sistema informático al que se ha tenido acceso.
3. Cuando los agentes que lleven a cabo el registro remoto tengan razones para creer que los datos buscados están almacenados en otro sistema informático o en una parte del mismo, pondrán este hecho en conocimiento del juez, quien podrá autorizar una ampliación de los términos del registro.
Artículo 588 septies b. Deber de colaboración.
1. Los prestadores de servicios y personas señaladas en el artículo 588 ter e y los titulares o responsables del sistema informático o base de datos objeto del registro están obligados a facilitar a los agentes investigadores la colaboración precisa para la práctica de la medida y el acceso al sistema. Asimismo, están obligados a facilitar la asistencia necesaria para que los datos e información recogidos puedan ser objeto de examen y visualización.
2. Las autoridades y los agentes encargados de la investigación podrán ordenar a cualquier persona que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que facilite la información que resulte necesaria para el buen fin de la diligencia.
Esta disposición no será aplicable al investigado o encausado, a las personas que están dispensadas de la obligación de declarar por razón de parentesco, y a aquellas que, de conformidad con el artículo 416.2, no pueden declarar en virtud del secreto profesional.
3. Los sujetos requeridos para prestar colaboración tendrán la obligación de guardar secreto acerca de las actividades requeridas por las autoridades.
4. Los sujetos mencionados en los apartados 1 y 2 de este artículo quedarán sujetos a la responsabilidad regulada en el apartado 3 del artículo 588 ter e.
Artículo 588 septies c. Duración.
La medida tendrá una duración máxima de un mes, prorrogable por iguales períodos
hasta un máximo de tres meses.
Víctor López Camacho.
Si te ha gustado sígueme en Twitter: @victorsuperlope.