Resumen: Se analiza el difícil equilibrio entre seguridad y privacidad, partiendo de la propuesta de modificación de la Regla 41 de las Reglas Federales de Procedimiento Penal en EE UU, y del artículo 588 septies de la LECRIM, modificado por la LO 13/2015, de 5 de octubre.
Autor del artículo Colaboración
José Luis Colom Planas
Actualizado
2 de agosto
de 2016
Índice
1. Derechos fundamentales en juego. Introducción
2. El eterno dilema de seguridad respecto a privacidad
3. Metodología
4.Carta abierta de Apple
5. USA. Propuesta de modificación de la Regla 41
5.1 El Sistema procesal penal de los EE.UU.
5.2 En que consiste la propuesta
6. España. Reforma de la LECRIM (Registros remotos)
6.1 Medida muy invasiva
6.2 Falta de taxatividad
6.3 Colaboración de terceros
6.4 Extensión de la investigación. Cloud Computing
7. Tabla comparativa entre EE UU y España
8. Algunas conclusiones
9. Bibliografía consultada
9. Control de cambios del artículo
10. Derechos de autor
1. Derechos fundamentales en juego. Introducción
En consecuencia, su único
objetivo es informar para que cada cual saque sus propias conclusiones respecto
a la ponderación entre derechos fundamentales: En España el derecho a la
Integridad física (artículo 15 CE), por un lado,y los derechos a la Protección de Datos
y a la Intimidad (ambos en el artículo 18 CE), por otro, todos ellos recogidos
en la Constitución.
Si con mayor amplitud de
miras consultamos además la Declaración Universal de los Derechos Humanos
(DUDH), que es un documento declarativo adoptado por la Asamblea General de las
Naciones Unidas en su Resolución 217 A (III), el 10 de diciembre de 1948 en
París, vemos que su artículo 3 dispone que “todo individuo tiene derecho a la vida, a la libertad y a la seguridad
de su persona”, mientras que en su artículo 12 se refiere a que “nadie será objeto de injerencias arbitrarias
en su vida privada, su familia,
su domicilio o su correspondencia, ni de ataques a su honra o a su reputación.
Toda persona tiene derecho a la protección de la ley contra tales injerencias o
ataques”.
Ya se intuye que dicha
ponderación entre dos derechos fundamentales no ha de ser una cuestión
pacífica.
Así las cosas, y como
catalizador para decidirme finalmente a escribir este artículo, es que el mes
de julio de 2016 recibo un e-mail con el siguiente contenido:
“Hola, Me
conecto contigo porque veo que eres uno de los pocos sitios web que
apoyan la privacidad en línea. VPNMentor
en conexión con la organización EFF están creando conciencia en el cambio
de la Regla 41, la cual el Gobierno de Estados Unidos de América está
promoviendo. Con este cambio, EE UU podría acceder ilegalmente o
hackear computadoras y teléfonos afuera de los Estados Unidos que
usan los navegadores VPNs o Tor.
Hemos traducido la página
original de la protesta en Spanish. Tu puedes copiar/pegar el contenido y
compartir el URL con los usuarios de tu página y en las redes
sociales https://es.vpnmentor.com/blog/fight-rule-41/
Muchas gracias por ayudarnos a
pelear esta importante lucha. Saludos”.
Es práctica habitual de este
blog no publicar nada que no haya sido debidamente contrastado y analizado, por
lo que me limité a prometerle que aprovecharía las vacaciones estivales para
redactar un artículo sobre el tema, con visión imparcial, y cuyo resultado es
precisamente el que se expone aquí.
2. El eterno dilema de seguridad respecto a privacidad
En una sociedad ampliamente
digitalizada, la práctica de la prueba en la fase de instrucción del
procedimiento penal, basada en los rastros que las nuevas tecnologías van
evidenciando, [5] pueden ayudar a dar con su presunto autor, o
a un acercamiento a su autoría, y a descubrir el modus operandi, analizando las trazas tecnológicas que se hayan
podido dejar.
En España la Ley Orgánica
6/1985, de 1 de julio, del Poder Judicial, adopta una solución garantista
respecto a la dicotomía entre seguridad y libertad, como se deduce del artículo
11.1 y 11.2 LOPJ: “1. En todo tipo de procedimiento se respetarán las reglas de la buena
fe. No surtirán efecto las pruebas obtenidas, directa o indirectamente,
violentando los derechos o libertades fundamentales.
2. Los Juzgados y Tribunales rechazarán
fundadamente las peticiones, incidentes y excepciones que se formulen con
manifiesto abuso de derecho o entrañen fraude de ley o procesal”.
Como dice el Magistrado Eloy
Velasco, [5]“La sociedad debe defenderse del delito, pero no a costa de poner a los
agentes investigadores públicos –singularmente el Ministerio Fiscal y los
Cuerpos Policiales- a la altura del transgresor, del delincuente mismo,
permitiendo usar “atajos” o “trampas”, que, cosificando a los investigados, les
priven de sus derechos fundamentales”.
Abundando es esta idea es
que la STS Nº: 79/2012 de la Sala de lo Penal en la causa especial Nº:
20716/2009 respecto a D. Baltasar Garzón Real, en su fundamento del Derecho 7º,
cita: “la pretensión
legítima del Estado en cuanto a la persecución y sanción de las conductas
delictivas, solo debe ser satisfecha dentro de los límites impuestos al
ejercicio del poder por los derechos que corresponden a los ciudadanos en un
Estado de derecho. Nadie discute seriamente en este marco que la búsqueda de la
verdad, incluso suponiendo que se alcance, no justifica el empleo de cualquier
medio. La justicia obtenida a cualquier precio termina no siendo Justicia”.
De todo ello es que se
deduce la necesidad de la Ley Orgánica 13/2015, de 5 de octubre, de modificación de la LECRIM para el
fortalecimiento de las garantías procesales y la regulación de las medidas de
investigación tecnológica, sustituyendo a la vigente hasta entonces que
databa de 1882, época muy anterior a la propia existencia de las TIC.
Como dispone el apartado 1
del (artículo 588 bis a).1 LECRIM -Principios rectores- “1. Durante la
instrucción de las causas se podrá acordar alguna de las medidas de
investigación reguladas en el presente capítulo siempre que medie autorización
judicial dictada con plena sujeción a los principios de especialidad,
idoneidad, excepcionalidad, necesidad y proporcionalidad de la medida”.
A efecto de clarificar,
repaso que significa cada uno de esos cinco principios:
- Especialidad. En este caso es el propio (artículo 588 bis a).2 el que recuerda que este principio exige que la medida esté relacionada con la investigación de un delito concreto. No podrán autorizarse medidas de investigación tecnológica que tengan por objeto prevenir o descubrir delitos o despejar sospechas sin base objetiva.
- Idoneidad. El Juez únicamente puede autorizar medidas en las que se motive claramente su necesidad para obtener un fin concreto. Se argumentará el objeto o sistema a injerir, el sujeto afectado y la duración estimada de la medida para que resulte útil a efectos de obtención de la prueba.
- Excepcionalidad. Se trata de evidenciar que los fines que se pretenden alcanzar solicitando dicha medida que afecta a derechos fundamentales, no podrían ser alcanzados mediante medidas menos invasivas, con las mismas o parecidas garantías de éxito.
- Necesidad. Debe haber acuerdo en que otras medidas serían mucho más complejas o dificultosas, minimizándose las pretendidas garantías de éxito, por lo que existe una necesidad procesal de aplicarlas.
- Proporcionalidad. Consiste en ponderar el derecho que se va a afectar, o conculcar, al afectado, respecto al beneficio que para el interés público va a suponer la resolución procesal de la investigación, por lo que debe basarse en las concretas circunstancias del caso y no puede ser objeto de estandarización generalizada.
3. Metodología
Estudiaré el cambio a la Regla 41 de las Reglas Federales de Procedimiento Penal, impulsado por el Departamento de Justicia de Estados Unidos (se estima podría aprobarse en diciembre de 2016) y, sin ir más lejos, lo compararé en España con el artículo 588 septies de Ley Orgánica 13/2015, de 5 de octubre, de modificación de la LECRIM para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica.
Intentaré evaluar los posibles riesgos de injerencia sobre la privacidad de las referidas normas, que legitiman actuaciones remotas a través de Internet, y repasaré también como está regulada jurídicamente en España la actividad del Centro Nacional de inteligencia (CNI) dentro del marco establecido por la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia.
4. Carta abierta de Apple
Es bien conocida la defensa a ultranza por parte de Apple de la privacidad de sus clientes, y en este sentido ha mantenido un difícil pulso con el FBI estadounidense que les reclama desactiven el borrado del iPhone tras introducir mal la contraseña diez veces, evitándose así ataques denominados de fuerza bruta. La agencia norteamericana lo reclama para poder acceder al iPhone 5c del terrorista implicado en el atentado de San Bernardino.
También existe la pretensión, por parte del FBI, de que Apple programe una puerta trasera para obviar la seguridad en los sistemas operativos de los i-Phone, a su disposición.
A continuación la carta referente a su postura, con la que se justifica Apple:
Un mensaje a nuestros clientes:
El Gobierno de EE UU ha exigido a Apple que tome una medida sin precedentes que amenaza la seguridad de nuestros clientes. Nos oponemos a esta orden, que tiene consecuencias que van mucho más allá del proceso judicial que nos ocupa.
Este momento requiere un debate público, y queremos que nuestros clientes y que la gente de todo el país entienda lo que está en juego.
La necesidad de la codificación
Los smartphones, con el iPhone a la cabeza, se han convertido en un elemento fundamental de nuestras vidas. La gente los usa para almacenar una increíble cantidad de información personal, desde conversaciones privadas hasta fotos, música, notas, calendarios y contactos, información financiera y datos sanitarios, e incluso dónde ha estado y a dónde va a ir.
Toda esta información tiene que protegerse de los piratas informáticos y de los delincuentes que quieren acceder a ella, robarla y usarla sin nuestro conocimiento o permiso. Los clientes esperan que Apple y otras empresas tecnológicas hagan todo lo que esté en su mano para proteger su información personal, y en Apple estamos profundamente comprometidos en salvaguardar sus datos.
No podemos encontrar ningún precedente en el que se obligue a una empresa estadounidense a exponer a sus clientes a un mayor riesgo de ataque. Durante años, los expertos en codificación y los expertos en seguridad nacional han prevenido de los peligros de debilitar la codificación.
El hecho de poner en peligro la seguridad de nuestra información personal puede acabar poniendo en peligro nuestra seguridad personal. Es la razón por la cual la codificación se ha vuelto tan importante para todos nosotros.
Durante muchos años, hemos usado la codificación para proteger los datos personales de nuestros clientes porque creemos que es la única manera de mantener segura su información. Incluso hemos puesto esos datos fuera de nuestro alcance, porque creemos que el contenido de su iPhone no es asunto nuestro.
El caso de San Bernardino
El mortal atentado terrorista en San Bernardino el pasado mes de diciembre nos conmocionó y nos indignó. Lamentamos la pérdida de vidas y queremos justicia para todos aquellos cuyas vidas se vieron afectadas. El FBI nos pidió ayuda en los días posteriores al ataque, y hemos trabajado mucho para apoyar los esfuerzos del Gobierno por solucionar este horrible crimen. No sentimos ninguna simpatía por los terroristas.
Cuando el FBI nos ha pedido los datos que tenemos, se los hemos facilitado. Apple acata las citaciones y las órdenes de registro válidas, como las del caso de San Bernardino. También hemos puesto a los ingenieros de Apple a disposición del FBI para asesorarlo, y hemos ofrecido nuestras mejores ideas en una serie de opciones de investigación.
El hecho de poner en peligro la seguridad de nuestra información personal puede acabar poniendo en peligro nuestra seguridad personal. Es la razón por la cual la codificación se ha vuelto tan importante para todos nosotros.
Sentimos un gran respeto por los profesionales del FBI, y creemos que sus intenciones son buenas. Hasta este momento, hemos hecho todo lo que está en nuestra mano y dentro de la ley para ayudarles. Pero ahora el Gobierno estadounidense nos ha pedido algo que simplemente no tenemos, y es algo cuya creación creemos que es demasiado peligrosa. Nos han pedido que creemos una puerta trasera para el iPhone.
Concretamente, el FBI quiere que hagamos una nueva versión del sistema operativo del iPhone, saltándonos algunos elementos de seguridad importantes, y que lo instalemos en un iPhone recuperado durante la investigación. En las manos equivocadas, este programa – que actualmente no existe – podría desbloquear cualquier iPhone que alguien posea físicamente.
El FBI puede utilizar diferentes palabras para describir esta herramienta, pero no se lleven a engaño: crear una versión del iOS que se salte la seguridad de esta manera crearía, sin lugar a dudas, una puerta trasera. Y aunque el Gobierno puede sostener que su uso se limitaría a este caso, no hay ninguna manera de garantizar dicho control.
La amenaza para la seguridad de los datos
Algunos sostendrán que crear una puerta trasera solo para un iPhone es una solución sencilla y clara, pero ignoran los principios básicos de la seguridad digital y el significado de lo que el Gobierno exige en este caso.
En el mundo digital actual, la “llave” de un sistema codificado es una información que desbloquea los datos, y solo es segura hasta el punto en que lo son las protecciones que existen a su alrededor. Una vez que se conoce la información, o que se revela una manera de burlar el código, cualquiera que tenga ese conocimiento puede descifrar la codificación.
El Gobierno afirma que esta herramienta solo se podría usar una vez, en un teléfono. Pero eso, sencillamente, no es verdad. Una vez que se cree la técnica, podría usarse una y otra vez, en cualquier aparato. En el mundo físico, sería el equivalente a una llave maestra, capaz de abrir centenares de millones de cerraduras, desde restaurantes y bancos hasta tiendas y casas. Eso no le parecería aceptable a ninguna persona razonable.
El Gobierno le está pidiendo a Apple que piratee a sus propios usuarios y socave décadas de avances en seguridad que protegen a nuestros clientes – entre ellos decenas de millones de ciudadanos estadounidenses – de los piratas informáticos y los ciberdelincuentes sofisticados. A los mismos ingenieros que diseñaron una codificación segura en el iPhone para proteger a nuestros usuarios se les ordenaría, irónicamente, que debilitasen esa protección y que desprotegiesen a nuestros usuarios.
No podemos encontrar ningún precedente en el que se obligue a una empresa estadounidense a exponer a sus clientes a un mayor riesgo de ataque. Durante años, los expertos en codificación y los expertos en seguridad nacional han prevenido de los peligros de debilitar la codificación. El hacerlo perjudicaría a los ciudadanos bien intencionados y respetuosos con la ley que confían en empresas como Apple para proteger sus datos. Los delincuentes y los malhechores seguirán codificando, usando herramientas que pueden conseguir fácilmente.
Un precedente peligroso
En vez de pedir medidas legislativas a través del Congreso, el FBI propone que se haga un uso sin precedentes de la ley llamada All Writs Act [que autoriza a emitir todos los mandatos judiciales necesarios] de 1789 para justificar un incremento de su autoridad.
El Gobierno nos obligaría a eliminar algunos elementos de seguridad y a añadir nuevas funciones al sistema operativo que permitiesen introducir una contraseña electrónicamente. Eso haría que fuese más fácil desbloquear un iPhone por la “fuerza bruta”, probando miles de millones de combinaciones con la velocidad de un ordenador moderno.
Las consecuencias de las exigencias del Gobierno son aterradoras. Si el Gobierno puede usar esta ley para que sea más fácil desbloquear su iPhone, tendría la capacidad de entrar en el aparato de cualquiera para obtener sus datos. El Gobierno podría aumentar esta vulneración de la privacidad y exigir que Apple cree un programa de vigilancia para interceptar sus mensajes, acceder a sus historiales médicos o a sus datos financieros, averiguar dónde se encuentra, o incluso para acceder al micrófono o a la cámara de su teléfono sin su conocimiento.
El rechazo de esta orden no es algo que nos tomemos a la ligera. Creemos que debemos decir lo que pensamos ante lo que consideramos que es una extralimitación del Gobierno estadounidense.
Nos oponemos a las exigencias del FBI con el mayor respeto hacia la democracia estadounidense y por amor a nuestro país. Creemos que lo mejor para todo el mundo sería dar marcha atrás y pensar en las consecuencias.
Aunque creemos que las intenciones del FBI son buenas, el Gobierno haría mal en obligarnos a crear una puerta trasera en nuestros productos. Y, en última instancia, tememos que esta exigencia ponga en peligro precisamente las libertades que se supone que nuestro Gobierno tiene que proteger.
5. USA. Propuesta de modificación de la Regla 41
5.1 El Sistema procesal penal de los EE.UU.
- La interpretación de la Constitución federal por los tribunales, que da lugar a derechos constitucionales implícitos, pero vinculantes.
- El código procesal penal federal, denominado Reglas Federales del Proceso Penal - Federal Rules of Criminal Procedure (FRCP) -, promulgado por la Corte Suprema de Estados Unidos, según autorización del Congreso (28 United States Code Service 2071 (2003)).
A pesar de la existencia de 50 sistemas estatales distintos, hay un estándar mínimo federal para los derechos de los inculpados en los procesos estatales.
Resulta de la interpretación judicial de la Constitución federal, por la cual todos los derechos constitucionales federales del inculpado en el proceso penal federal son aplicables a los procesos penales estatales, por la amplia interpretación judicial del concepto del debido proceso legal en la enmienda 14. El respeto de tales derechos es por consiguiente vinculante para los 50 estados, de acuerdo con la cláusula de supremacía de la Constitución federal, según la cual la Constitución federal (más las leyes federales y tratados internacionales) es la suprema ley del país y todos los jueces de cada estado estarán obligados a observarlos, a pesar de cualquier cosa en contrario que se encuentre en la Constitución o las leyes de cualquier estado” (artículo 6, cl. 2).
5.2 En que consiste la propuesta
Se pretende también evitar la limitación de jurisdicción para aumentar el alcance de las investigaciones de delitos a lo que es Internet
Traducida del inglés, la Regla 41 [2]se pretende que disponga:
Regla 41. Registro y confiscación
(B) Autoridad para emitir una orden. A petición de un agente de la ley federal o un abogado del gobierno.
(6) un juez de primera instancia con autoridad en cualquier distrito donde se hayan producido las actividades relacionadas con un delito tiene autoridad para emitir una orden para emplear el acceso remoto en la búsqueda de medios electrónicos de almacenamiento y de aprovechar o copiar la información almacenada electrónicamente, situada dentro o fuera de ese distrito, si :
· (A) el distrito donde se encuentran los medios de comunicación y la información que ha sido ocultada a través de medios tecnológicos; o
· (B) en una investigación de una violación de 18 USC § 1030 (a) (5), los medios eran ordenadores protegidos que han sido dañados sin autorización y están ubicados en cinco o más distritos.
(F) Ejecución y devolución de la orden
(…) Mediante una orden que autorice el acceso remoto a la búsqueda de medios electrónicos de almacenamiento y permita aprovechar o copiar la información almacenada electrónicamente, el oficial debe hacer esfuerzos razonables para entregar una copia de la orden a la persona cuya propiedad fue registrada o cuya información fue capturada o copiada. El servicio puede ser realizado por cualquier medio, incluyendo medios electrónicos, razonablemente considerados para llegar a esa persona.
Para muchos, y pese a que se le designe con otras palabras, se trata de legitimar un hackeo en toda regla ya que, a diferencia del artículo 588 septies LECRIM en España, la Regla 41 no especifica que el Juez deba conocer con detalle el fin, el alcance, los motivos, los objetos, los medios… necesarios para llevar a cabo la investigación. Salvo que cambien mucho las cosas y el Congreso vete los cambios, estos entrarán en vigor a partir del 1 de diciembre de este mismo año 2016. La cercanía de la entrada en vigor ha puesto en marcha a muchas empresas que se han unido para pedir la retirada de los cambios,entre las que encontramos a Google, EFF, Demand Progress, FightForTheFuture, TOR y Proveedores VPN como Private Internet Access, Golden Frog y Hide My Ass.
Esto significa que todos los usuarios de los servicios para cifrar comunicaciones pueden llegar a ser vulnerables, sin importar cuál es la herramienta que se está utilizando, incluyendo TOR, VPNs, y proxies. También podría extenderse a los usuarios que niegan el acceso a información de su geolocalización en las aplicaciones de teléfonos inteligentes, que no desean compartir su ubicación por cuestiones de privacidad.
6. España. Reforma de la LECRIM (Registros remotos)
El Consejo Fiscal incide en el carácter totalmente novedoso con el que se aborda la regulación de la diligencia de registro remoto sobre equipos informáticos. Según la fiscalía, “con carácter previo debe aplaudirse la iniciativa frente a la total orfandad normativa sobre la materia que hacía cuestionable la posibilidad de practicar esta diligencia”.
6.1 Medida muy invasiva
También coincide con el legislador en que se exija autorización judicial previa entendiéndose, a la vista de que se trata de una medida muy invasiva, de una exigencia indispensable. Concretamente el apartado 2 del artículo (588 LECRIM septies a) “Presupuestos”, actualmente dispone:
“2. La resolución judicial que autorice el registro deberá especificar: a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios informáticos de almacenamiento de datos o bases de datos, datos u otros contenidos digitales objeto de la medida.
b) El alcance de la misma, la forma en la que se procederá al acceso y aprehensión de los datos o archivos informáticos relevantes para la causa y el software mediante el que se ejecutará el control de la información. c) Los agentes autorizados para la ejecución de la medida.
d) La autorización, en su caso, para la realización y conservación de copias de los datos informáticos. e) Las medidas precisas para la preservación de la integridad de los datos almacenados, así como para la inaccesibilidad o supresión de dichos datos del sistema informático al que se ha tenido acceso.
La fiscalía entendíaimprescindible que se limitara su práctica a delitos de especial gravedad cómo los siguientes:
- Delitos cometidos en el seno de organizaciones criminales.
- Delitos de terrorismo.
- Delitos cometidos contra menores o personas con capacidad modificada judicialmente.
- Delitos contra la Constitución, de traición y relativos a la defensa nacional.
Es más, entiende que podría mejorarse y racionalizarse la redacción de este inciso, proponiéndose la siguiente: “(…) y persiga la investigación de un delito de especial gravedad, atendiendo a los criterios de necesidad, adecuación y proporcionalidad en función de la naturaleza y características del hecho investigado. En todo caso se entenderán de especial gravedad, a los efectos previstos en este artículo: (…)”.
6.2 Falta de taxatividad
Al final, en texto que se aprobó para el apartado 1 del artículo (588 LECRIMsepties a) “Presupuestos”, se suprime toda referencia abierta a delitos graves, dejando un numerus clausus de clases (que no de tipos) de delitos a los que se ha añadido aquellos cometidos a través de las TIC, con el siguiente redactado:
“1. El juez competente podrá autorizar la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos, siempre que persiga la investigación de alguno de los siguientes delitos: a) Delitos cometidos en el seno de organizaciones criminales.
b) Delitos de terrorismo.
c) Delitos cometidos contra menores o personas con capacidad modificada judicialmente.
d) Delitos contra la Constitución, de traición y relativos a la defensa nacional.
e) Delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación o servicio de comunicación.
Esta últimaclase es para algunos demasiado genérica, en un mundo tecnológico como el actual, obviando el principio de taxatividad que debería regir siempre la elaboración de leyes, especialmente penales. Aquí es donde, para una medida tan invasiva, se encuentra a faltar la opinión del Consejo Fiscal de que el intenso grado de injerencia que implica su adopción justifica que incluso se refuerce el ámbito objetivo de la medida, exigiendo que el delito investigado sea de especial gravedad.
Como inciso, debo recordar en relación a la gravedad delictiva la consolidada doctrina jurisprudencial (por ejemplo la STC de 27 de septiembre de 1999, la STC de 11 de diciembre de 2000 y la STC de 18 de septiembre de 2002) según la cual la gravedad trasciende lo dispuesto en los artículos 13.1 CP y 33.2 CP, pudiendo incluir delitos menos graves en base a considerar la relevancia social y el bien jurídico afectado.
Sigue el informe diciendo que “podría entenderse que esta diligencia no es más invasiva que la de grabación de conversaciones, por lo que desde esta perspectiva no tendría que restringirse su ámbito más de lo que se restringe esta otra diligencia. En todo caso, debiera introducirse alguna modulación para graduar las exigencias atendiendo a la intensidad del acceso remoto, pues por ejemplo la monitorización de un dispositivo electrónico a los solos efectos de geolocalización de su usuario, no tendría por qué restringirse a delitos especialmente graves dado su reducido nivel de afectación a derechos de carácter personal”. En este punto concreto no puedo más que discrepar a título personal, dado que la monitorización continuada de registros procedentes de la geolocalización puede llegar a tener un alto impacto respecto a la privacidad de una persona afectada, al permitir revelar (en función de los lugares frecuentados), aspectos concretos de su personalidad en base a usos y costumbres. Podría incluso denotar su confesión religiosa (asistencia a lugares de culto), sexual (asistencia a determinados clubs de alterne), política (asistir a manifestaciones políticas), etc.
6.3 Colaboración de terceros
Una alternativa sería solicitar la colaboración de los proveedores de antivirus para programar que respetaran determinados “troyanos” legales. Esto sería posible en España en base al artículo 588 septies b) LECRIM “1. Los prestadores de servicios y personas señaladas en el artículo 588 ter e y los titulares o responsables del sistema informático o base de datos objeto del registro están obligados a facilitar a los agentes investigadores la colaboración precisa para la práctica de la medida y el acceso al sistema. Asimismo, están obligados a facilitar la asistencia necesaria para que los datos e información recogidos puedan ser objeto de examen y visualización.
2. Las autoridades y los agentes encargados de la investigación podrán ordenar a cualquier persona que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que facilite la información que resulte necesaria para el buen fin de la diligencia”.
Como siempre hay que recordar que esta medida es equivalente a las ya comentadas “puertas traseras” que abrirían la caja de pandora respecto a potenciales ciberdelincuentes. Tampoco obligarían a fabricantes de antivirus en otras jurisdicciones.
6.4 Extensión de la investigación. Cloud Computing
El apartado 3 del artículo (588 LECRIMsepties a) “Presupuestos”, prevé: “3. Cuando los agentes que lleven a cabo el registro remoto tengan razones para creer que los datos buscados están almacenados en otro sistema informático o en una parte del mismo, pondrán este hecho en conocimiento del juez, quien podrá autorizar una ampliación de los términos del registro”.
Según el Consejo Fiscal esta previsión parece orientada a dar cumplimiento al art. 19.2 del Convenio de Budapest [4]que se refiere a que el ordenamiento ha de contemplar la posibilidad de que las autoridades competentes procedan a ampliar rápidamente el registro o forma de acceso similar al otro sistema. Concretamente dicho artículo 19.2 CB dispone: “Cada parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para asegurarse de que, cuando, de conformidad con el apartado 1 a), sus autoridades registren o tengan acceso de un modo similar a un sistema informático específico o a una parte del mismo y tengan motivos para creer que los datos buscados se hallan almacenados en otro sistema informático o en otra parte del mismo situado en su territorio, y que dichos datos son legítimamente accesibles a partir del sistema inicial, o están disponibles por medio de dicho sistema inicial, puedan extender rápidamente el registro o el acceso de un modo similar al otro sistema”.
En relación al acceso a contenidos almacenados en la Nube, el informe, en su apartado 5.17.6, recuerda que el registro remoto sólo podrá ser autorizado cuando los datos se encuentren almacenados en un sistema informático o en una parte del mismo situado en territorio sobre el que se extienda la jurisdicción española. En otro caso, se instarán las medidas de cooperación judicial internacional en los términos establecidos por la Ley, los Tratados y Convenios internacionales aplicables y el derecho de la Unión Europea.
El Consejo Fiscal entiende que, “a la vista de las enormes dificultades para ubicar físicamente dónde se encuentran los archivos en los supuestos de utilización de prestadores de Cloud Computing, debiera preverse la posibilidad de que el acceso a información contenida en sistemas en la Nube se autorice por las autoridades judiciales españolas siempre que nuestros tribunales tengan jurisdicción para conocer de la causa que se está investigando. Podría defenderse que, en tanto en cuanto se tiene acceso al material desde España por un imputado situado en nuestro territorio, el mismo se posee en España, y, consiguientemente, las autoridades españolas tendrían jurisdicción para acceder al mismo. Así por ejemplo, si se está investigando a un ciudadano residente en España por delitos relacionados con la pornografía infantil y se tiene sospechas de que ha almacenado material delictivo en la nube, una vez se toma conocimiento de la clave, o una vez se habilita otra vía de acceso, debería ser admisible que las autoridades judiciales españolas conocieran los contenidos archivados en la nube sin necesidad de acudir a los mecanismos de cooperación judicial internacional”.
NOTA DEL EDITOR: Debe recordarse, no obstante, que la tramitación efectiva de una comisión rogatoria para otro país puede requerir más de un año de espera, plazo que la convierte en ineficaz en el mundo digital, donde los repositorios de contenido se crean y desaparecen en horas.
7. Tabla comparativa entre EE UU y España
Se presenta a continuación una tabla comparativa entre la propuesta de modificación de la Regla 41de las Reglas Federales de Procedimiento Penal de EE UU, la LECRIM española en relación al artículo 588 septies “Registros remotos sobre equipos informáticos” y la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia [7].
NOTA DEL EDITOR: En relación al CNI, y también sobre otras leyes USA en esta línea, como la “Patriot ACT”, puede consultarse en este mismo blog el artículo titulado “Cloud Computing y el día que se declaró inválida la Decisión 2000/520/CE por el TJUE” de fecha 8 de octubre de 2018. Acceso al artículo
Aspecto a contemplar Modificación de la Regla 41 (EE UU) Artículo 588 LECRIM LO 2/2002 reguladora control judicial previo CNI
Autoridad para emitir una orden o
resolución.
El Juez de Instrucción [Magistrate
Judge].
Regla 41 (6)
El Juez de Instrucción competente.
(Art. 588 sexties
c).1
El
Magistrado del Tribunal Supremo competente.
Art. 1.1 LO 2/2002
Quién
puede solicitar una orden.
·
Agente de la Ley federal.
·
Abogado del gobierno.
Autoridades
y agentes encargados de la investigación.
(Art. 588 sexties
c).5
El
Secretario de Estado director del CNI.
Art. 1.1 LO 2/2002
Jurisdicción territorial
Dentro o fuera del propio distrito, bajo dos condicionantes.
(Regla 41 (6) -(A) y (B)
Únicamente si los datos se encuentran
en territorio dónde se extienda la jurisdicción española.
N.C.
Qué
debe especificar la orden o resolución judicial y, en consecuencia, la
solicitud.
N.C.
Los
ordenadores y demás sistemas objeto de investigación, el alcance y forma de
proceder, los archivos relevantes, el software que se empleará, los agentes
autorizados, la autorización, o no, para hacer copias y cómo se preservará la
integridad.
(Art. 588 septies A).2
Las
medidas que se solicitan, hechos en que se apoyan, fines que la motivan,
razones que aconsejan las medidas, personas afectadas, lugar dónde deben
practicarse y duración de las medidas solicitadas.
Art. 1.2 LO 2/2002
Duración
de las investigaciones.
N.C.
La
medida tendrá una duración máxima de un mes, prorrogable por idénticos
períodos hasta un máximo de tres meses.
(Art. 588 septies C)
Las
medidas no podrán exceder de tres meses, prorrogables por igual período.
Art. 1.2 d) LO 2/2002
(N.C.) = No se tiene conocimiento de este aspecto concreto, o no se contempla.
8. Algunas Conclusiones
Conclusiones
La sociedad debe defenderse de los delitos, pero no a costa de privar sistemáticamente a los investigados, y quizá a la sociedad misma, de alguno de sus derechos fundamentales.
La justicia obtenida a cualquier precio, termina no siendo justicia (STS 79/2012)
Exigir indiscriminadamente a los prestadores de servicios de la sociedad de la información, y a otros fabricantes TIC, que programen “puertas traseras”, pone en peligro precisamente las libertades que se supone un gobierno tiene que proteger.
No queda clara en la modificación de la Regla 41 la limitación de la jurisdicción, ya que da la sensación de llevar implícita una extraterritorialidad de alcance global.
Debe analizarse el sistema jurídico federal de EE UU, ya que a priori no se deduce de la Regla 41 exigencias para formular y que sea aceptada la solicitud de autorización para determinada investigación, a diferencia del artículo Art. 588 septies A.2 de la LECRIM española.
Se encuentra a faltar en ambas jurisdicciones territoriales (EE UU y España) la restricción de las investigaciones únicamente para los delitos graves, apreciándose una falta de taxatividad y concreción en relación a los delitos cometidos a través de las TIC.
La tramitación efectiva de una comisión rogatoria para otro país puede requerir más de un año de espera, plazo que la convierte en ineficaz en el mundo digital, donde los repositorios de contenido se crean y desaparecen en horas. Debería buscarse y consensuarse a nivel internacional una solución a este problema.
9. BIBLIOGRAFÍA CONSULTADA
- [2]“Federal Rules of Criminal Procedure (Reglas Federales de Procedimiento Penal)”. PDF conteniendo el detalle en inglés de las modificaciones. Páginas de la 338 a la 342. Texto de la modificación de la Regla 41
- [3]Fiscalía General del Estado. Consejo Fiscal. “Informe respecto al anteproyecto de ley orgánica de modificación de la ley de enjuiciamiento criminal para la agilización de la justicia penal, el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológicas”.23 de enero de 2015. Informe FGE modificación LECRIM
- [4] Consejo de Europa. “Convenio sobre la Ciberdelincuencia”. Budapest, 23 de noviembre de 2001. Convenio de Budapest
- [5] Eloy Velasco Núñez. “Delitos tecnológicos: definición, investigación y prueba en el proceso penal”. Editorial jurídica SEPIN, SL. Madrid, 2016.
- [6] Ruth Sala Ordoñez. “Troyanos: Registro Remoto por la Policía, ¿es viable?”. Blog de Legalconsultors. Junio de 2015. Troyanos
- [7] Jefatura del Estado. “Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia”. Publicado en «BOE» núm. 109, de 7 de mayo de 2002, páginas 16439 a 16440. LO 2/2002 CNI
- [8] Eduard Chaveli Donet. “La protección de datos en la reforma de la LECRIM. Parte II”. Capítulo 3 “REGISTROS REMOTOS SOBRE EQUIPOS INFORMÁTICOS”. Blog de GOVERTIS. 20 de enero de 2016. P.D. en reforma de la LECRIM
10. Control de cambios del artículo
Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.
Fecha Cambio Responsable
01/08/2016 Redacción inicial del artículo Autor
02/08/2016
Se añade el apartado 8 “Algunas Conclusiones”
Autor
11. Derechos de autor
Tablas creadas por el autor.
La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.
Sobre el autor:
A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificaciónCDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.
A nivel de especialización técnica, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).
Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad y gestión de la seguridad de la información. Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.
También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.