I. Convenio de Budapest contra la Cibercriminalidad y su Segundo Protocolo
Para los menos iniciados en esta materia, hay que destacar la enorme importancia del Convenio de Budapest contra la cibercriminalidad (2001) para fijar las bases de la lucha contra la este tipo de delincuencia y para la obtención de prueba digital de todos los delitos, por dos razones: a) por las obligaciones penales y procesales asumidas por los Estados y que han sido desarrolladas en sus normativas internas; y b) por la introducción de instrumentos de cooperación internacional porque, a falta de tratado más específico, este Convenio puede servir de base para peticiones de asistencia mutua y para solicitudes de extradición.
| El Convenio de Budapest contra la Cibercriminalidad ha sido ratificado por 66 Estados de todos los continentes, de tal forma que se ha convertido en la referencia mundial contra la cibercriminalidad |
Tras el intenso trabajo de más de 600 expertos de 75 países, el pasado 12 de mayo de 2022, ha tenido lugar en Estrasburgo la firma por 22 Estados del Segundo Protocolo Adicional a la Convención sobre la Cibercriminalidad relativo al reforzamiento de la cooperación y de la entrega de pruebas electrónicas. De esta manera, queda abierto el proceso de ratificación por parte de los países, de tal manera que el convenio entrará en vigor cuando se ratifique por cinco Estados. En este sentido, el Consejo de la Unión Europea ha adoptado con fecha 5 de abril de 2022 una decisión por la que se autoriza a los Estados miembros a firmar, en interés de la UE, el Segundo Protocolo Adicional.
| El Segundo Protocolo responde a la necesidad de mejorar los mecanismos de cooperación ante las dificultades para la obtención de prueba digital en su dimensión internacional |
II. Dimensión internacional de la prueba digital
En la prueba digital concurren con frecuencia elementos internacionales, que generan importantes dificultades para la investigación y prueba en los procesos judiciales (1) : los proveedores de servicios y sus bases de datos se encuentran frecuentemente fuera de nuestro territorio nacional (Apple, Facebook, Instagram, Twitter, WhatsApp….), y en concreto los sistemas de almacenamiento cloud suelen localizar sus servidores en otros países; existen casos en los que el autor del acto ilícito está en un país, mientras que las víctimas se encuentran en otro u otros Estados (2) ; los autores buscan en ocasiones alojar los datos en servidores sometidos a legislaciones más permisivas en la materia, beneficiándose de las posibles lagunas de punibilidad que pueden existir en ciertos países (transnacionalidad); los actos ilícitos pueden desplegar efectos en un Estado sin que el autor se encuentre físicamente presente en el territorio sometido a su jurisdicción y/o encontrándose los datos en servidores localizados en otro país,…
La obtención de una prueba digital en otro Estado no solamente aporta elementos de gran complejidad técnica y jurídica, sino que también puede resultar contraria a los propios intereses nacionales del Estado requerido, ya sean legítimos como la defensa de su soberanía, ya tengan menos legitimidad como ocurre con los paraísos de impunidad tecnológica (3) . Por ello, una estrategia que aborde adecuadamente estos problemas ha de establecer mecanismos de mejora de la cooperación judicial y policial internacional.
En estos supuestos, hay que acudir al convenio internacional (bilateral o multilateral) de cooperación judicial general aplicable. Sin embargo, todos estos instrumentos internacionales se han demostrado insuficientes para facilitar una respuesta suficientemente rápida, incluido el instrumento más evolucionado en materia de asistencia judicial internacional, como es la Orden Europea de Investigación en la Unión Europea (4) ; lo que dificulta enormemente la investigación (dificultades formales, dilación en la respuesta…), especialmente se tiene en cuenta la frecuente volatibilidad de la huella digital.
Para la obtención de datos almacenados por proveedores que prestan servicio o están situados en otro Estado, las autoridades judiciales están acudiendo con frecuencia al envío de la solicitud a la filial del proveedor localizada en propio país, e incluso la remisión directa al proveedor de servicios situado en otro país (utilizando mecanismos policiales), lo que en ocasiones es contestado con éxito. Sin embargo, la elección de esta última vía determina en la práctica el sometimiento a las condiciones de la política de privacidad de la empresa destinataria, de forma contraria a lo que debería ser: el sometimiento a normas de obligado cumplimiento por la empresa.
Así las cosas, existen varias iniciativas internacionales para mejorar la situación. En la Unión Europea, cabe destacar la propuesta de Reglamento sobre Órdenes Europeas de Producción y Preservación de Evidencias Electrónicas en materia criminal (llamado Reglamento E-Evidence); y en el seno del Consejo de Europa, el Segundo Protocolo del Convenio de Budapest sobre la cibercriminalidad. Estas normas avanzan hacia el reconocimiento de la posibilidad de una solicitud directa de la autoridad judicial al proveedor de servicios, aunque este tenga su sede fuera del país, regulando su obligatoriedad y condiciones; sin que la autoridad remitente deba someterse a las políticas de privacidad de la compañía destinataria.
III. Reglamento E-Evidence
La Comisión Europea aprobó el 17 de abril de 2018 una propuesta de Reglamento del Parlamento Europeo y del Consejo relativa a la Órdenes Europeas de Producción y Preservación de Evidencias Electrónicas en materia criminal (llamada E-Evidence) (5) , que se refiere a aquellas evidencias almacenadas en forma electrónica por o en nombre de un proveedor de servicios al momento de recibir una orden de producción o preservación, que consiste en datos almacenados de suscriptores, datos de acceso, datos transaccionales y datos de contenido.
Esta propuesta de Reglamento establece las normas en virtud de las cuales una autoridad de un Estado miembro podrá ordenar a un proveedor que ofrezca servicios en la Unión, que entregue o conserve pruebas electrónicas, con independencia de la ubicación de los datos. La propia propuesta define pruebas electrónicas como aquellas pruebas almacenadas en formato electrónico por un proveedor de servicios o en nombre del mismo en el momento de la recepción de un certificado de orden europea de entrega o de un certificado de orden europea de conservación, consistentes en datos de los abonados, datos relativos al acceso, datos de transacciones y datos de contenido almacenados (artículo 2.5).
El elemento esencial de este nuevo sistema radica en que la autoridad judicial del Estado emisor puede remitir directamente la solicitud al proveedor de serviciossituado en cualquier Estado de la Unión Europea, en concreto al representante que dicho proveedor haya designado a estos efectos, con el criterio inspirador del principio de reconocimiento mutuo (6) . Como afirma la Exposición de Motivos de la propuesta de Reglamento, una autoridad del país en el que esté establecido el destinatario de la orden no tendrá que intervenir directamente en la notificación y ejecución de la orden, salvo si existe incumplimiento, en cuyo caso se exigirá la ejecución y entonces intervendrá la autoridad competente del país en el que esté establecido el representante. Por ello, el instrumento requiere una serie de sólidas salvaguardias y disposiciones, como la validación por una autoridad judicial en cada caso.
Cabe señalar la existencia de un instrumento normativo complementario: la propuesta de Directiva relativa a la designación de representantes legales para recabar pruebas en procesos penales. Establece normas para la designación de representantes legales de los proveedores de servicios cuyo papel será recibir y responder a dichas órdenes.
A pesar de la relevancia de estos instrumentos para mejorar el acceso a la prueba digital en el ámbito de la IE, existe un amplio debate que cuestiona, entre otros aspectos, la necesidad de fijar unos plazos tan ajustados, la ausencia de autoridad judicial en el país al que se destina la orden —podría provocar la incertidumbre jurídica de los proveedores o la indefensión de los acusados— o dificultades de interoperabilidad jurídica en la fase de ejecución de las órdenes de producción entre países en razón de los diferentes marcos jurídicos nacionales (7) .
IV. Segundo Protocolo Adicional a la Convención sobre la Cibercriminalidad
Es importante destacar que esta normativa no es solamente aplicable a las investigaciones o procedimientos penales específicos por delitos relativos a datos y sistemas informáticos, sino también a la obtención de pruebas digitales sobre cualquier delito —no solamente en materia de cibercriminalidad— (artículo 2.1 del Segundo Protocolo).
Una primera parte del Segundo Protocolo se refiere a una serie de medidas de cooperación reforzada en relación con datos informáticos almacenados en otro Estado:
- • Procedimientos que mejoran la cooperación directa con proveedores y entidades que prestan servicio en el territorio de otro Estado parte.
El Segundo Protocolo establece mecanismos que permitan la relación directa entre la autoridad penal competente de un Estado y el proveedor que presta servicio en el territorio de otro Estado parte: informaciones para identificar o contactar a la persona que registró un nombre de dominio (artículo 6); y para acceso a datos relativos a los abonados (artículo 7)
- • Procedimientos que mejoran la cooperación internacional entre autoridades para la entrega de datos informáticos almacenados
Para dar efecto a los mandatos judiciales de otra Parte que ordenan la entrega acelerada de información sobre abonados y datos de tráfico (artículo 8); así como para la entrega acelerada de datos informáticos almacenados específicos en caso de urgencia (artículo 9)
Una segunda parte regula con carácter general la asistencia judicial urgente (artículo 10), contemplando varias posibilidades:
- • Entre autoridades centrales
Cada Parte podrá solicitar asistencia judicial recíproca por el medio más rápido cuando considere que concurre urgencia, que ha de ser contestada por los medios más rápidos; admitiéndose la remisión electrónica de la solicitud.
- • Entre autoridades judiciales
El Segundo Protocolo permite la trasmisión directa entre autoridades judiciales, si así lo declara cada Parte al firmar el Protocolo (o posteriormente al depositar la ratificación)
- • Remisión por la vía de la cooperación policial
Cada Parte podrá declarar que estas solicitudes también pueden ser remitidas directamente por sus autoridades judiciales, o a través de la Organización Policía Criminal Internacional (INTERPOL) o el punto de contacto 24/7 establecido bajo artículo 35 de la Convención.
Una tercera parte contempla dos instrumentos de cooperación internacional específicos en caso de ausencia de convenios internacionales aplicables.
- • Regulación de la videoconferencia (artículo 11)
Para la declaración de un testigo o un perito; aunque puede ser utilizada para fines distintos, incluso para identificar personas u objeto; o para la audiencia de un sospechoso o acusado, si lo admite la Parte requerida. Admite la remisión electrónica de la solicitud entre las autoridades centrales. Los procedimientos para la realización de la videoconferencia especificados por la Parte Requirente serán de aplicación a menos que sean incompatibles con la legislación interna de la Parte requerida. Cuando una Parte requerida opte por permitir la audiencia de un sospechoso o acusado, podrá solicitar condiciones y garantías específicas en cuanto a la recogida de testimonios o la declaración de la persona, o prever notificaciones o solicitudes de medidas procesales sobre esta persona. El Segundo Protocolo también permite la posibilidad de aplicar estas disposiciones a la audioconferencia (artículo 11.7)
- • Equipos conjuntos de investigación e investigaciones comunes (artículo 12)
De conformidad con la organización y funcionamiento que sean objeto de un acuerdo específico entre las autoridades competentes afectadas.
Por último, también contiene una serie de normas destinadas a garantizar los derechos humanos y las garantías procesales, especialmente en materia de protección de datos personales (artículo 14). Cada Parte se asegurará de que el establecimiento, ejecución y aplicación de las facultades y procedimientos previstos en el presente Protocolo están sometidos a las condiciones y garantías previstas por su derecho interno, el cual debe asegurar la protección derechos humanos y libertades adecuados (artículo 13)