1. El Convenio sobre la Ciberdelincuencia y sus actualizaciones. Introducción
El Convenio n.o 185 del Consejo de Europa sobre la Ciberdelincuencia, habitualmente conocido como Convenio de Budapest, —por el lugar de su firma el 23 de noviembre de 2001, en vigor desde el 1 de julio de 2004, y ratificado por España en 2010—, todos coincidimos, tiene como aspectos muy positivos que:
- — afecta a una materia muy cambiante, pero que por su contenido ha sabido sobrevivirla, en parte porque acepta el sistema de actualizaciones a través de sus Protocolos Adicionales,
- — ha concitado numerosas adhesiones, mucho más allá de las meramente europeas, pese a ser su institución anfitriona el Consejo de Europa, extramuros del cual lo han suscrito países, muy desarrollados tecnológicamente, que no forman parte de él (1) y
- — que en su pretensión armonizadora internacional, no sólo ha pautado aplicaciones legales sustantivas —regulación de los ciberdelitos y delitos cometidos por medio de Internet (2) , con alcance a la responsabilidad penal de las personas jurídicas— sino también procesales —medios tecnológicos de investigación (3) y jurisdicciones para hacerlo—, y, dado el carácter transnacional de la materia que abarca, la cooperación internacional penal relacionada (4) .
Después de que el primer Protocolo Adicional, firmado en Estrasburgo en 2003 y ratificado por España en 2015, añadiese como delitos cibernéticos a armonizar los referidos a la lucha contra el racismo, la discriminación racial, la xenofobia y la intolerancia a través de medios tecnológicos,
El segundo Protocolo Adicional al Convenio, adoptado por el Comité de Ministros del Consejo de Europa el 17 de noviembre de 2021, cuyo contenido vamos a analizar de urgencia en el presente artículo, afecta a la cooperación reforzada y la revelación de pruebas electrónicas, y avanza, puede parecer que lentamente, pero de manera que pueda continuar siendo aceptado por una muy amplia mayoría de la Comunidad internacional, con mucho realismo en ámbitos que, a la vez que permiten una mayor transnacionalidad en un campo, el tecnológico, hace mucho tiempo ya sin fronteras, potencian la eficacia en el combate al que es ya el más rentable de los delitos a nivel mundial (5) .
2. Objeto y ámbito de aplicación del Protocolo Adicional segundo
El segundo Protocolo adicional al Convenio de Ciberdelincuencia que, obviamente, pretende complementarlo, se aplica (Art. 2 PA2CC (6) ) a:
- — investigaciones y procesos penales relativos a delitos relacionados con datos y sistemas informáticos —acceso e interceptación ilícita; ataques a la integridad de datos y sistemas; abuso de dispositivos; falsificación y fraude informáticos; los relacionados con la pornografía infantil o con la propiedad intelectual (Arts. 2 (LA LEY 1/1889)-10 CC (LA LEY 1/1889)) y derechos afines y los vinculados al racismo, xenofobia y justificación del genocidio o crímenes contra la humanidad por medios electrónicos (Arts. 3-6 PA1CC)—,
- — a la obtención de pruebas electrónicas de cualquier delito (Art. 2.1 in fine PA2CC).
3. Concretas medidas de cooperación internacional reforzada
Parte principal del contenido del Protocolo, abarca los siguientes epígrafes y contenidos, sujetos al principio de doble tipicidad conforme se describe en el Art. 5.6 PA2CC —lo investigado, los hechos, han de ser delito, cualquiera sea su descripción, ubicación o denominación en el país reclamado de colaboración—:
- 3.1. Reforzamiento de la cooperación directa con Proveedores y entidades en el territorio de otra Parte Se trata de una sección, en la que con independencia de que haya o no Convenio específico o genérico penal que afecte a los países concernidos en la materia, mucho más si son signatarios del Convenio y del Protocolo, se debe permitir a la Autoridad competente en la investigación de delitos, sean o no informáticos —normalmente Fiscales o Jueces— que puedan pedir información motivadamente —y dirigirse, incluso por medios electrónicos, si son seguros y auténticos— directamente —sin intermediarios—:
- a) Referida a datos obrantes sobre registro de nombres de dominio: (Art 6 PA2CC) a la entidad de otro país que preste servicios de registro de nombres de dominio y que obre o esté bajo su poder para «hallar» —lo que implica también identificar— o contactar al registrante de uno de ellos.
- b) Referida a abonados: (Art. 7 PA2CC) a un proveedor de servicios tecnológicos de otro país, para que le ceda información que tenga almacenada relativa a sus abonados si es necesaria para investigarle —aunque puede condicionarse en el país requerido a que lo ordene o supervise un Fiscal u otra Autoridad judicial y a que no entorpezca investigaciones propias—.
Como se ve, la novedad radica en que caben los requerimientos de información en esas dos materias —que versan sobre datos de vinculación, asociación o identificación, pero que no permiten cesión de los de tráfico ni contenido— que directamente dirija una Autoridad investigadora penal a una empresa o corporación extranjera sobre la que no tiene soberanía.
Si en 30 días la Proveedora tecnológica extranjera requerida no informara del abonado al país requirente, podrá este acudir a otras formas de cooperación mutua incluidas las del siguiente punto 3.2.
- 3.2. Reforzamiento de la cooperación entre Autoridades a efectos de revelación de datos informáticos almacenados Se trata de una sección, en la que con independencia de que haya o no Convenio específico o genérico penal que afecte a los países implicados en la materia, el país requerido debe permitir a la Autoridad competente para requerir que la entidad proveedora de servicios tecnológicos radicada en su territorio aporte directa e incluso electrónicamente
- a) Información referida a abonados y datos de tráfico: (Art. 8 PA2CC) información específica que tenga almacenada sobre abonados y sobre datos de tráfico, que tenga u obren en su poder y sean necesarios para investigaciones penales.
- b) Información en caso de emergencia: (Art. 9 PA2CC) para que sus puntos de contacto de la red 24/7, en caso de emergencia —esto es, cuando haya riesgo significativo e inminente para la vida o seguridad de alguna persona— se transitan/reciban solicitudes de asistencia inmediata —no las ordinarias—, para que el Proveedor tecnológico extranjero requerido le ceda rápidamente datos informáticos (7) específicos —no indica la norma cuáles, luego no se excluye ninguno— almacenados o en su poder.
En este epígrafe el Protocolo del Convenio, que en todo momento posibilita a sus signantes oponer reservas, permite recabar, de operadoras tecnológicas extranjeras, datos no sólo referidos a identidades, sino también de tráfico (8) , y, en caso de afección a la vida o seguridad de una o más personas, sin solicitud formal de OEI o comisión rogatoria formal, pero a través del contacto nacional de la red 24/7, incluso datos de contenido.
- 3.3. Procedimientos de asistencia mutua en situaciones de emergencia Se trata de una sección, en la que con independencia de que haya o no Convenio específico o genérico penal que afecte a los países concernidos en la materia, se permite (Art. 10 PA2CC), en casos de emergencia, por estarse afectado a la vida o seguridad de una o más personas —que debe justificarse junto con la descripción los hechos investigados—, una rápida asistencia jurídica mutua, que incluye el formato electrónico si se ejecuta de forma auténtica y segura.
La versatilidad sobre el tipo de diligencia investigadora —que abarca a cualquiera— y la no descripción de lo que debe ser una respuesta «rápida», va a hacer de este cauce uno de los más útiles, flexibles y usados en la cooperación jurídica internacional penal que, a partir de la fecha, se precise o vehiculice a través de la informática.
- 3.4. Procedimientos de cooperación internacional a falta de acuerdo (videoconferencia y equipos/investigaciones conjuntas) Se trata de una sección, a diferencia de las tres anteriores (Art. 5.5 PA2CC), sólo aplicable cuando no haya Convenio específico o genérico en la materia, que, salvo declaración en contra, articula la cooperación jurídica entre cualquiera de los países signatarios en la ejecución de:
- — dos pruebas tradicionales la testifical y la pericial, —pues la declaración al investigado, que no se excluye, se condiciona más en el párrafo 8— a través de una tecnología ya muy extendida como es la videoconferencia (Art. 11 PA2CC), en la que los detalles mutuos de ejecución (presidencia, juramento, identificación, presencia de partes, garantías, tramitación, traducción… se pactan directamente entre las Autoridades competentes de los países concernidos, y que el Protocolo —párrafo 7— extiende a las audioconferencias y a los reconocimientos de identificación de personas u objetos, o,
- — una diligencia de investigación muy eficaz —que sólo tiene de tecnológica las herramientas que pueda usar—, como es la de los equipos o investigaciones internacionales conjuntas (Art. 12 PA2CC), que permiten su actuación conjunta en el territorio de un país extranjero —para la parte desplazada— siempre que sea de «especial utilidad» —nuevamente un concepto indeterminado que permitirá gran flexibilidad— y que igualmente se rige (fin, composición, funciones, duración, organización, ubicación, reglas de participación…) por los pactos concretos que se acuerden entre países afectados.
4. Condiciones y salvaguardas
La aplicación del Protocolo no empece ni debe obstaculizar (Art. 13 PA2CC) el cumplimiento de las condiciones y salvaguardas del Derecho interno del país afectado ni la protección de los derechos humanos y sus libertades reconocidas.
Ni tampoco la protección de los datos de carácter personal (Art. 14 PA2CC) afectados por la aplicación de este instrumento internacional, especialmente en lo que se refiere a su transferencia transnacional y en lo que afecte a los fines de prevenir, detectar, investigar y enjuiciar infracciones penales.
Ocupándose de mencionar aspectos vinculados a la protección del dato personal en materia tan invasiva como los referidos a su:
- — finalidad y utilización
- — calidad e integridad
- — datos delicados
- — períodos de conservación
- — decisiones automatizadas
- — seguridad y a la de los incidentes que la afecten
- — llevanza de registros
- — retransferencias
- — transparencia y notificación
- — consulta y rectificación
- — recursos
- — supervisión y
- — consulta y suspensión.