Resumen: Se analiza el difícil equilibrio entre
seguridad y privacidad, partiendo de la propuesta de modificación de la Regla
41 de las Reglas Federales de Procedimiento Penal en EE UU, y del artículo 588
septies de la LECRIM, modificado por la LO 13/2015, de 5 de octubre.
Autor del artículo
|
Colaboración
|
|
José Luis Colom Planas
|
||
Actualizado
|
2 de agosto
de 2016
|
|
Índice
1. Derechos fundamentales en juego.
Introducción
2. El eterno dilema de seguridad
respecto a privacidad
3. Metodología
4.
Carta abierta de Apple
5. USA. Propuesta de modificación de la
Regla 41
5.1 El Sistema procesal
penal de los EE.UU.
5.2 En que consiste la
propuesta
6. España. Reforma de la LECRIM
(Registros remotos)
6.1 Medida muy invasiva
6.2 Falta de taxatividad
6.3 Colaboración de
terceros
6.4
Extensión de la investigación. Cloud Computing
7. Tabla comparativa entre EE UU y
España
8. Algunas conclusiones
9. Bibliografía consultada
9. Bibliografía consultada
9. Control de cambios del artículo
10. Derechos de autor
1. Derechos fundamentales en juego. Introducción
En consecuencia, su único objetivo es informar para que cada cual saque sus propias conclusiones respecto a la ponderación entre derechos fundamentales: En España el derecho a la Integridad física (artículo 15 CE), por un lado, y los derechos a la Protección de Datos y a la Intimidad (ambos en el artículo 18 CE), por otro, todos ellos recogidos en la Constitución.
Si con mayor amplitud de
miras consultamos además la Declaración Universal de los Derechos Humanos
(DUDH), que es un documento declarativo adoptado por la Asamblea General de las
Naciones Unidas en su Resolución 217 A (III), el 10 de diciembre de 1948 en
París, vemos que su artículo 3 dispone que “todo individuo tiene derecho a la vida, a la libertad y a la seguridad
de su persona”, mientras que en su artículo 12 se refiere a que “nadie será objeto de injerencias arbitrarias
en su vida privada, su familia,
su domicilio o su correspondencia, ni de ataques a su honra o a su reputación.
Toda persona tiene derecho a la protección de la ley contra tales injerencias o
ataques”.
Ya se intuye que dicha
ponderación entre dos derechos fundamentales no ha de ser una cuestión
pacífica.
Así las cosas, y como
catalizador para decidirme finalmente a escribir este artículo, es que el mes
de julio de 2016 recibo un e-mail con el siguiente contenido:
“Hola, Me
conecto contigo porque veo que eres uno de los pocos sitios web que
apoyan la privacidad en línea. VPNMentor
en conexión con la organización EFF están creando conciencia en el cambio
de la Regla 41, la cual el Gobierno de Estados Unidos de América está
promoviendo. Con este cambio, EE UU podría acceder ilegalmente o
hackear computadoras y teléfonos afuera de los Estados Unidos que
usan los navegadores VPNs o Tor.
Hemos traducido la página
original de la protesta en Spanish. Tu puedes copiar/pegar el contenido y
compartir el URL con los usuarios de tu página y en las redes
sociales https://es.vpnmentor.com/blog/fight-rule-41/
Muchas gracias por ayudarnos a
pelear esta importante lucha. Saludos”.
Es práctica habitual de este
blog no publicar nada que no haya sido debidamente contrastado y analizado, por
lo que me limité a prometerle que aprovecharía las vacaciones estivales para
redactar un artículo sobre el tema, con visión imparcial, y cuyo resultado es
precisamente el que se expone aquí.
2. El eterno dilema de seguridad respecto a privacidad
En una sociedad ampliamente
digitalizada, la práctica de la prueba en la fase de instrucción del
procedimiento penal, basada en los rastros que las nuevas tecnologías van
evidenciando, [5] pueden ayudar a dar con su presunto autor, o
a un acercamiento a su autoría, y a descubrir el modus operandi, analizando las trazas tecnológicas que se hayan
podido dejar.
En España la Ley Orgánica
6/1985, de 1 de julio, del Poder Judicial, adopta una solución garantista
respecto a la dicotomía entre seguridad y libertad, como se deduce del artículo
11.1 y 11.2 LOPJ: “1. En todo tipo de procedimiento se respetarán las reglas de la buena
fe. No surtirán efecto las pruebas obtenidas, directa o indirectamente,
violentando los derechos o libertades fundamentales.
2. Los Juzgados y Tribunales rechazarán
fundadamente las peticiones, incidentes y excepciones que se formulen con
manifiesto abuso de derecho o entrañen fraude de ley o procesal”.
Como dice el Magistrado Eloy
Velasco, [5] “La sociedad debe defenderse del delito, pero no a costa de poner a los
agentes investigadores públicos –singularmente el Ministerio Fiscal y los
Cuerpos Policiales- a la altura del transgresor, del delincuente mismo,
permitiendo usar “atajos” o “trampas”, que, cosificando a los investigados, les
priven de sus derechos fundamentales”.
Abundando es esta idea es
que la STS Nº: 79/2012 de la Sala de lo Penal en la causa especial Nº:
20716/2009 respecto a D. Baltasar Garzón Real, en su fundamento del Derecho 7º,
cita: “la pretensión
legítima del Estado en cuanto a la persecución y sanción de las conductas
delictivas, solo debe ser satisfecha dentro de los límites impuestos al
ejercicio del poder por los derechos que corresponden a los ciudadanos en un
Estado de derecho. Nadie discute seriamente en este marco que la búsqueda de la
verdad, incluso suponiendo que se alcance, no justifica el empleo de cualquier
medio. La justicia obtenida a cualquier precio termina no siendo Justicia”.
De todo ello es que se
deduce la necesidad de la Ley Orgánica 13/2015, de 5 de octubre, de modificación de la LECRIM para el
fortalecimiento de las garantías procesales y la regulación de las medidas de
investigación tecnológica, sustituyendo a la vigente hasta entonces que
databa de 1882, época muy anterior a la propia existencia de las TIC.
Como dispone el apartado 1
del (artículo 588 bis a).1 LECRIM -Principios rectores- “1. Durante la
instrucción de las causas se podrá acordar alguna de las medidas de
investigación reguladas en el presente capítulo siempre que medie autorización
judicial dictada con plena sujeción a los principios de especialidad,
idoneidad, excepcionalidad, necesidad y proporcionalidad de la medida”.
A efecto de clarificar,
repaso que significa cada uno de esos cinco principios:
- Especialidad. En este caso es el propio (artículo 588 bis a).2 el que recuerda que este principio exige que la medida esté relacionada con la investigación de un delito concreto. No podrán autorizarse medidas de investigación tecnológica que tengan por objeto prevenir o descubrir delitos o despejar sospechas sin base objetiva.
- Idoneidad. El Juez únicamente puede autorizar medidas en las que se motive claramente su necesidad para obtener un fin concreto. Se argumentará el objeto o sistema a injerir, el sujeto afectado y la duración estimada de la medida para que resulte útil a efectos de obtención de la prueba.
- Excepcionalidad. Se trata de evidenciar que los fines que se pretenden alcanzar solicitando dicha medida que afecta a derechos fundamentales, no podrían ser alcanzados mediante medidas menos invasivas, con las mismas o parecidas garantías de éxito.
- Necesidad. Debe haber acuerdo en que otras medidas serían mucho más complejas o dificultosas, minimizándose las pretendidas garantías de éxito, por lo que existe una necesidad procesal de aplicarlas.
- Proporcionalidad. Consiste en ponderar el derecho que se va a afectar, o conculcar, al afectado, respecto al beneficio que para el interés público va a suponer la resolución procesal de la investigación, por lo que debe basarse en las concretas circunstancias del caso y no puede ser objeto de estandarización generalizada.
3. Metodología
Estudiaré el cambio a la
Regla 41 de las Reglas Federales de Procedimiento Penal, impulsado por el
Departamento de Justicia de Estados Unidos (se estima podría aprobarse en
diciembre de 2016) y, sin ir más lejos, lo compararé en España con el artículo
588 septies de Ley Orgánica 13/2015, de 5 de octubre, de modificación de la
LECRIM para el fortalecimiento de las garantías procesales y la regulación
de las medidas de investigación tecnológica.
Intentaré evaluar los
posibles riesgos de injerencia sobre la privacidad de las referidas normas, que
legitiman actuaciones remotas a través de Internet, y repasaré también como
está regulada jurídicamente en España la actividad del Centro Nacional de
inteligencia (CNI) dentro del marco establecido por la Ley Orgánica 2/2002, de
6 de mayo, reguladora del control judicial previo del Centro Nacional de
Inteligencia.
4. Carta abierta de Apple
Es bien conocida la defensa
a ultranza por parte de Apple de la privacidad de sus clientes, y en este
sentido ha mantenido un difícil pulso con el FBI estadounidense que les reclama
desactiven el borrado del iPhone tras introducir mal la contraseña diez veces,
evitándose así ataques denominados de
fuerza bruta. La agencia norteamericana lo reclama para poder acceder al
iPhone 5c del terrorista implicado en el atentado de San Bernardino.
También existe la pretensión,
por parte del FBI, de que Apple programe una puerta trasera para obviar la
seguridad en los sistemas operativos de los i-Phone, a su disposición.
A continuación la carta
referente a su postura, con la que se justifica Apple:
Un mensaje a nuestros clientes:
El Gobierno de EE UU ha exigido a Apple que
tome una medida sin precedentes que amenaza la seguridad de nuestros clientes.
Nos oponemos a esta orden, que tiene consecuencias que van mucho más allá del
proceso judicial que nos ocupa.
Este momento requiere un debate público, y
queremos que nuestros clientes y que la gente de todo el país entienda lo que
está en juego.
La necesidad de la codificación
Los smartphones, con el iPhone a la cabeza,
se han convertido en un elemento fundamental de nuestras vidas. La gente los
usa para almacenar una increíble cantidad de información personal, desde
conversaciones privadas hasta fotos, música, notas, calendarios y contactos,
información financiera y datos sanitarios, e incluso dónde ha estado y a dónde
va a ir.
Toda esta información tiene que protegerse
de los piratas informáticos y de los delincuentes que quieren acceder a ella,
robarla y usarla sin nuestro conocimiento o permiso. Los clientes esperan que
Apple y otras empresas tecnológicas hagan todo lo que esté en su mano para
proteger su información personal, y en Apple estamos profundamente
comprometidos en salvaguardar sus datos.
No podemos encontrar ningún precedente en
el que se obligue a una empresa estadounidense a exponer a sus clientes a un
mayor riesgo de ataque. Durante años, los expertos en codificación y los
expertos en seguridad nacional han prevenido de los peligros de debilitar la
codificación.
El hecho de poner en peligro la seguridad
de nuestra información personal puede acabar poniendo en peligro nuestra
seguridad personal. Es la razón por la cual la codificación se ha vuelto tan
importante para todos nosotros.
Durante muchos años, hemos usado la
codificación para proteger los datos personales de nuestros clientes porque
creemos que es la única manera de mantener segura su información. Incluso hemos
puesto esos datos fuera de nuestro alcance, porque creemos que el contenido de
su iPhone no es asunto nuestro.
El caso de San Bernardino
El mortal atentado terrorista en San
Bernardino el pasado mes de diciembre nos conmocionó y nos indignó. Lamentamos
la pérdida de vidas y queremos justicia para todos aquellos cuyas vidas se
vieron afectadas. El FBI nos pidió ayuda en los días posteriores al ataque, y
hemos trabajado mucho para apoyar los esfuerzos del Gobierno por solucionar
este horrible crimen. No sentimos ninguna simpatía por los terroristas.
Cuando el FBI nos ha pedido los datos que
tenemos, se los hemos facilitado. Apple acata las citaciones y las órdenes de
registro válidas, como las del caso de San Bernardino. También hemos puesto a
los ingenieros de Apple a disposición del FBI para asesorarlo, y hemos ofrecido
nuestras mejores ideas en una serie de opciones de investigación.
El hecho de poner en peligro la seguridad
de nuestra información personal puede acabar poniendo en peligro nuestra
seguridad personal. Es la razón por la cual la codificación
se ha vuelto tan importante para todos nosotros.
Sentimos un gran respeto por los
profesionales del FBI, y creemos que sus intenciones son buenas. Hasta este
momento, hemos hecho todo lo que está en nuestra mano y dentro de la ley para
ayudarles. Pero ahora el Gobierno estadounidense nos ha pedido algo que
simplemente no tenemos, y es algo cuya creación creemos que es demasiado
peligrosa. Nos han pedido que creemos una puerta trasera para el iPhone.
Concretamente, el FBI quiere que hagamos
una nueva versión del sistema operativo del iPhone, saltándonos algunos
elementos de seguridad importantes, y que lo instalemos en un iPhone recuperado
durante la investigación. En las manos equivocadas, este programa – que
actualmente no existe – podría desbloquear cualquier iPhone que alguien posea
físicamente.
El FBI puede utilizar diferentes palabras
para describir esta herramienta, pero no se lleven a engaño: crear una versión
del iOS que se salte la seguridad de esta manera crearía, sin lugar a dudas,
una puerta trasera. Y aunque el Gobierno puede sostener que su uso se
limitaría a este caso, no hay ninguna manera de garantizar dicho control.
La amenaza para la seguridad de los datos
Algunos sostendrán que crear una puerta
trasera solo para un iPhone es una solución sencilla y clara, pero ignoran los
principios básicos de la seguridad digital y el significado de lo que el
Gobierno exige en este caso.
En el mundo digital actual, la “llave” de
un sistema codificado es una información que desbloquea los datos, y solo es
segura hasta el punto en que lo son las protecciones que existen a su
alrededor. Una vez que se conoce la información, o que se revela una manera de
burlar el código, cualquiera que tenga ese conocimiento puede descifrar la
codificación.
El Gobierno afirma que esta herramienta
solo se podría usar una vez, en un teléfono. Pero eso, sencillamente, no es
verdad. Una vez que se cree la técnica, podría usarse una y otra vez, en
cualquier aparato. En el mundo físico, sería el equivalente a una llave
maestra, capaz de abrir centenares de millones de cerraduras, desde
restaurantes y bancos hasta tiendas y casas. Eso no le parecería aceptable a
ninguna persona razonable.
El Gobierno le está pidiendo a Apple que
piratee a sus propios usuarios y socave décadas de avances en seguridad que
protegen a nuestros clientes – entre ellos decenas de millones de ciudadanos
estadounidenses – de los piratas informáticos y los ciberdelincuentes
sofisticados. A los mismos ingenieros que diseñaron una codificación segura en
el iPhone para proteger a nuestros usuarios se les ordenaría, irónicamente, que
debilitasen esa protección y que desprotegiesen a nuestros usuarios.
No podemos encontrar ningún precedente en
el que se obligue a una empresa estadounidense a exponer a sus clientes a un
mayor riesgo de ataque. Durante años, los expertos en codificación y los expertos
en seguridad nacional han prevenido de los peligros de debilitar la
codificación. El hacerlo perjudicaría a los ciudadanos bien intencionados y
respetuosos con la ley que confían en empresas como Apple para proteger sus
datos. Los delincuentes y los malhechores seguirán codificando, usando
herramientas que pueden conseguir fácilmente.
Un precedente peligroso
En vez de pedir medidas legislativas a
través del Congreso, el FBI propone que se haga un uso sin precedentes de la
ley llamada All Writs Act [que autoriza a emitir todos los mandatos judiciales
necesarios] de 1789 para justificar un incremento de su autoridad.
El Gobierno nos obligaría a eliminar
algunos elementos de seguridad y a añadir nuevas funciones al sistema operativo
que permitiesen introducir una contraseña electrónicamente. Eso haría que fuese
más fácil desbloquear un iPhone por la “fuerza bruta”, probando miles de
millones de combinaciones con la velocidad de un ordenador moderno.
Las consecuencias de las exigencias del
Gobierno son aterradoras. Si el Gobierno puede usar esta ley para que sea más
fácil desbloquear su iPhone, tendría la capacidad de entrar en el aparato de
cualquiera para obtener sus datos. El Gobierno podría aumentar esta
vulneración de la privacidad y exigir que Apple cree un programa de vigilancia
para interceptar sus mensajes, acceder a sus historiales médicos o a sus datos
financieros, averiguar dónde se encuentra, o incluso para acceder al micrófono
o a la cámara de su teléfono sin su conocimiento.
El rechazo de esta orden no es algo que nos
tomemos a la ligera. Creemos que debemos decir lo que pensamos ante lo que
consideramos que es una extralimitación del Gobierno estadounidense.
Nos oponemos a las exigencias del FBI con
el mayor respeto hacia la democracia estadounidense y por amor a nuestro país.
Creemos que lo mejor para todo el mundo sería dar marcha atrás y pensar en las
consecuencias.
Aunque creemos que las intenciones del FBI
son buenas, el Gobierno haría mal en obligarnos a crear una puerta trasera en
nuestros productos. Y, en última instancia, tememos que esta exigencia ponga
en peligro precisamente las libertades que se supone que nuestro Gobierno tiene
que proteger.
5. USA. Propuesta de modificación de la Regla 41
5.1 El Sistema procesal penal de los EE.UU.
El Sistema procesal federal [1], además de en las disposiciones expresas de
la Constitución federal, fundamenta los derechos de los inculpados en los
procesos penales federales en otras dos fuentes principales:
- La interpretación de la Constitución federal por los tribunales, que da lugar a derechos constitucionales implícitos, pero vinculantes.
- El código procesal penal federal, denominado Reglas Federales del Proceso Penal - Federal Rules of Criminal Procedure (FRCP) -, promulgado por la Corte Suprema de Estados Unidos, según autorización del Congreso (28 United States Code Service 2071 (2003)).
A pesar de la existencia de
50 sistemas estatales distintos, hay un estándar mínimo federal para los
derechos de los inculpados en los procesos estatales.
Resulta de la interpretación
judicial de la Constitución federal, por la cual todos los derechos
constitucionales federales del inculpado en el proceso penal federal son
aplicables a los procesos penales estatales, por la amplia interpretación
judicial del concepto del debido proceso legal en la enmienda 14. El respeto de
tales derechos es por consiguiente vinculante para los 50 estados, de acuerdo
con la cláusula de supremacía de la Constitución federal, según la cual la
Constitución federal (más las leyes federales y tratados internacionales) es la
suprema ley del país y todos los jueces de cada estado estarán obligados a
observarlos, a pesar de cualquier cosa en contrario que se encuentre en la
Constitución o las leyes de cualquier estado” (artículo 6, cl. 2).
5.2 En que consiste la propuesta
Se pretende también evitar
la limitación de jurisdicción para aumentar el alcance de las investigaciones
de delitos a lo que es Internet.
Traducida del inglés, la
Regla 41 [2] se
pretende que disponga:
Regla 41. Registro y confiscación
(B) Autoridad
para emitir una orden. A petición de un agente de la ley federal o un
abogado del gobierno.
(6) un juez de primera instancia con
autoridad en cualquier distrito donde se hayan producido las actividades
relacionadas con un delito tiene autoridad para emitir una orden para emplear
el acceso remoto en la búsqueda de medios electrónicos de almacenamiento y de
aprovechar o copiar la información almacenada electrónicamente, situada dentro
o fuera de ese distrito, si :
·
(A) el distrito donde se encuentran los
medios de comunicación y la información que ha sido ocultada a través de medios
tecnológicos; o
·
(B) en una investigación de una violación
de 18 USC § 1030 (a) (5), los medios eran ordenadores protegidos que han sido
dañados sin autorización y están ubicados en cinco o más distritos.
(F) Ejecución y devolución de la orden
(…) Mediante una orden que autorice el
acceso remoto a la búsqueda de medios electrónicos de almacenamiento y permita aprovechar
o copiar la información almacenada electrónicamente, el oficial debe hacer
esfuerzos razonables para entregar una copia de la orden a la persona cuya propiedad
fue registrada o cuya información fue capturada o copiada. El servicio puede
ser realizado por cualquier medio, incluyendo medios electrónicos,
razonablemente considerados para llegar a esa persona.
Sin embargo, cada vez más grupos de libertades civiles y empresas de tecnología intentan detener su puesta en marcha criticando la reforma de dicha Regla 41, alegando que es un atentado a la Cuarta Enmienda que permitiría a los agentes federales y demás policía en EE.UU entrar de forma remota a ordenadores y teléfonos inteligentes de personas en todo el mundo.
Para muchos, y pese a que se
le designe con otras palabras, se trata de legitimar un hackeo en toda regla ya
que, a diferencia del artículo 588 septies LECRIM en España, la Regla 41 no
especifica que el Juez deba conocer con detalle el fin, el alcance, los motivos,
los objetos, los medios… necesarios para llevar a cabo la investigación. Salvo que cambien mucho las cosas y el
Congreso vete los cambios, estos entrarán en vigor a partir del 1 de diciembre
de este mismo año 2016. La cercanía de la entrada en vigor ha puesto en marcha
a muchas empresas que se han unido para pedir la retirada de los cambios, entre las que encontramos a Google, EFF, Demand Progress,
FightForTheFuture, TOR y Proveedores VPN como Private Internet Access, Golden
Frog y Hide My Ass.
Esto significa que todos los
usuarios de los servicios para cifrar comunicaciones pueden llegar a ser
vulnerables, sin importar cuál es la herramienta que se está utilizando,
incluyendo TOR, VPNs, y proxies. También podría extenderse a los usuarios que
niegan el acceso a información de su geolocalización en las aplicaciones de
teléfonos inteligentes, que no desean
compartir su ubicación por cuestiones de privacidad.
6. España. Reforma de la LECRIM (Registros remotos)
El Consejo Fiscal incide en el carácter totalmente novedoso con el que se
aborda la regulación de la diligencia de registro remoto sobre equipos
informáticos. Según la fiscalía, “con carácter previo debe aplaudirse
la iniciativa frente a la total orfandad normativa sobre la materia que hacía
cuestionable la posibilidad de practicar esta diligencia”.
6.1 Medida muy
invasiva
También coincide con el legislador en que se exija autorización judicial
previa entendiéndose, a la vista de que se trata de una medida muy invasiva,
de una exigencia indispensable. Concretamente el apartado 2 del artículo (588 LECRIM
septies a) “Presupuestos”, actualmente dispone:
“2.
La resolución judicial que autorice el registro deberá especificar:
a)
Los ordenadores, dispositivos electrónicos, sistemas informáticos o
parte de los mismos, medios informáticos de almacenamiento de datos o bases de
datos, datos u otros contenidos digitales objeto de la medida.
b)
El alcance de la misma, la forma en la que se procederá al acceso y
aprehensión de los datos o archivos informáticos relevantes para la causa y el
software mediante el que se ejecutará el control de la información.
c)
Los agentes autorizados para la ejecución de la medida.
d)
La autorización, en su caso, para la realización y conservación de copias
de los datos informáticos.
e)
Las medidas precisas para la preservación de la integridad de los datos
almacenados, así como para la inaccesibilidad o supresión de dichos datos
del sistema informático al que se ha tenido acceso.
La fiscalía entendía imprescindible
que se limitara su práctica a delitos de especial gravedad cómo los siguientes:
- Delitos cometidos en el seno de organizaciones criminales.
- Delitos de terrorismo.
- Delitos cometidos contra menores o personas con capacidad modificada judicialmente.
- Delitos contra la Constitución, de traición y relativos a la defensa nacional.
Es más, entiende que podría mejorarse y racionalizarse la redacción de este
inciso, proponiéndose la siguiente: “(…) y persiga la investigación de
un delito de especial gravedad, atendiendo a los criterios de necesidad,
adecuación y proporcionalidad en función de la naturaleza y características del
hecho investigado. En todo caso se entenderán de especial gravedad, a los
efectos previstos en este artículo: (…)”.
6.2 Falta de
taxatividad
Al final, en texto que se aprobó para el apartado 1 del artículo (588
LECRIM septies a) “Presupuestos”, se
suprime toda referencia abierta a delitos graves, dejando un numerus clausus de clases (que no de
tipos) de delitos a los que se ha añadido aquellos cometidos a través de las
TIC, con el siguiente redactado:
“1.
El juez competente podrá autorizar la utilización de datos de identificación y
códigos, así como la instalación de un software, que permitan, de forma remota
y telemática, el examen a distancia y sin conocimiento de su titular o usuario
del contenido de un ordenador, dispositivo electrónico, sistema informático,
instrumento de almacenamiento masivo de datos informáticos o base de datos,
siempre que persiga la investigación de alguno de los siguientes delitos:
a) Delitos cometidos en el seno de organizaciones
criminales.b) Delitos de terrorismo.
c) Delitos cometidos contra menores o personas con capacidad modificada judicialmente.
d) Delitos contra la Constitución, de traición y relativos a la defensa nacional.
e) Delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación o servicio de comunicación.
Esta última clase es para algunos
demasiado genérica, en un mundo tecnológico como el actual, obviando el
principio de taxatividad que debería regir siempre la elaboración de leyes,
especialmente penales. Aquí es donde, para una medida tan invasiva, se
encuentra a faltar la opinión del Consejo Fiscal de que el intenso grado de
injerencia que implica su adopción justifica que incluso se refuerce el ámbito
objetivo de la medida, exigiendo que el delito investigado sea de especial
gravedad.
Como inciso, debo recordar en relación a la gravedad delictiva la consolidada
doctrina jurisprudencial (por ejemplo la STC de 27 de septiembre de 1999, la
STC de 11 de diciembre de 2000 y la STC de 18 de septiembre de 2002) según la
cual la gravedad trasciende lo dispuesto en los artículos 13.1 CP y 33.2 CP,
pudiendo incluir delitos menos graves en base a considerar la relevancia social
y el bien jurídico afectado.
Sigue el informe diciendo que “podría entenderse que esta
diligencia no es más invasiva que la de grabación de conversaciones, por lo que
desde esta perspectiva no tendría que restringirse su ámbito más de lo que se
restringe esta otra diligencia. En todo caso, debiera introducirse alguna
modulación para graduar las exigencias atendiendo a la intensidad del acceso
remoto, pues por ejemplo la monitorización de un dispositivo electrónico a los
solos efectos de geolocalización de su usuario, no tendría por qué restringirse
a delitos especialmente graves dado su reducido nivel de afectación a derechos
de carácter personal”. En este punto concreto no puedo más que
discrepar a título personal, dado que la monitorización continuada de registros
procedentes de la geolocalización puede llegar a tener un alto impacto respecto
a la privacidad de una persona afectada, al permitir revelar (en función de los
lugares frecuentados), aspectos concretos de su personalidad en base a usos y
costumbres. Podría incluso denotar su confesión religiosa (asistencia a lugares
de culto), sexual (asistencia a determinados clubs de alterne), política
(asistir a manifestaciones políticas), etc.
6.3 Colaboración de
terceros
Una alternativa sería solicitar la colaboración de los proveedores de
antivirus para programar que respetaran determinados “troyanos” legales. Esto
sería posible en España en base al artículo 588 septies b) LECRIM “1. Los prestadores de servicios y personas señaladas en el artículo 588
ter e y los titulares o responsables del sistema informático o base de datos
objeto del registro están obligados a facilitar a los agentes investigadores la
colaboración precisa para la práctica de la medida y el acceso al sistema.
Asimismo, están obligados a facilitar la asistencia necesaria para que los
datos e información recogidos puedan ser objeto de examen y visualización.
2.
Las autoridades y los agentes encargados de la investigación podrán ordenar a
cualquier persona que conozca el funcionamiento del sistema informático o las
medidas aplicadas para proteger los datos informáticos contenidos en el mismo
que facilite la información que resulte necesaria para el buen fin de la
diligencia”.
Como siempre hay que recordar que esta medida es equivalente a las ya
comentadas “puertas traseras” que abrirían la caja de pandora respecto a
potenciales ciberdelincuentes. Tampoco obligarían a fabricantes de antivirus en
otras jurisdicciones.
6.4 Extensión de la
investigación. Cloud Computing
El apartado 3 del artículo (588 LECRIM
septies a) “Presupuestos”, prevé: “3. Cuando los agentes que lleven a
cabo el registro remoto tengan razones para creer que los datos buscados están
almacenados en otro sistema informático o en una parte del mismo, pondrán este
hecho en conocimiento del juez, quien podrá autorizar una ampliación de los
términos del registro”.
Según el Consejo Fiscal esta previsión parece orientada a dar
cumplimiento al art. 19.2 del Convenio de Budapest [4] que se refiere a que el ordenamiento ha de
contemplar la posibilidad de que las autoridades competentes procedan a ampliar
rápidamente el registro o forma de acceso similar al otro sistema.
Concretamente dicho artículo 19.2 CB dispone: “Cada parte adoptará
las medidas legislativas y de otro tipo que resulten necesarias para asegurarse
de que, cuando, de conformidad con el apartado 1 a), sus autoridades registren
o tengan acceso de un modo similar a un sistema informático específico o a una
parte del mismo y tengan motivos para creer que los datos buscados se hallan
almacenados en otro sistema informático o en otra parte del mismo situado en su
territorio, y que dichos datos son legítimamente accesibles a partir del
sistema inicial, o están disponibles por medio de dicho sistema inicial, puedan
extender rápidamente el registro o el acceso de un modo similar al otro
sistema”.
En relación al acceso a contenidos almacenados en la Nube, el
informe, en su apartado 5.17.6, recuerda que el registro remoto sólo podrá ser autorizado cuando los datos se
encuentren almacenados en un sistema informático o en una parte del mismo
situado en territorio sobre el que se extienda la jurisdicción española. En
otro caso, se instarán las medidas de cooperación judicial internacional en los
términos establecidos por la Ley, los Tratados y Convenios internacionales
aplicables y el derecho de la Unión Europea.
El Consejo Fiscal entiende que, “a la vista de las enormes
dificultades para ubicar físicamente dónde se encuentran los archivos en los
supuestos de utilización de prestadores de Cloud Computing, debiera preverse la
posibilidad de que el acceso a información contenida en sistemas en la Nube se
autorice por las autoridades judiciales españolas siempre que nuestros
tribunales tengan jurisdicción para conocer de la causa que se está
investigando. Podría defenderse que, en tanto en cuanto se tiene acceso al
material desde España por un imputado situado en nuestro territorio, el mismo
se posee en España, y, consiguientemente, las autoridades españolas tendrían
jurisdicción para acceder al mismo. Así por ejemplo, si se está investigando a
un ciudadano residente en España por delitos relacionados con la pornografía
infantil y se tiene sospechas de que ha almacenado material delictivo en la
nube, una vez se toma conocimiento de la clave, o una vez se habilita otra vía
de acceso, debería ser admisible que las autoridades judiciales españolas
conocieran los contenidos archivados en la nube sin necesidad de acudir a los
mecanismos de cooperación judicial internacional”.
NOTA DEL EDITOR: Debe recordarse, no
obstante, que la tramitación efectiva de una comisión rogatoria para otro país puede
requerir más de un año de espera, plazo que la convierte en ineficaz en el mundo
digital, donde los repositorios de contenido se crean y desaparecen en horas.
7. Tabla comparativa
entre EE UU y España
Se presenta a continuación una tabla comparativa entre la propuesta de
modificación de la Regla 41 de las Reglas Federales de Procedimiento Penal de
EE UU, la LECRIM española en relación al artículo 588 septies “Registros
remotos sobre equipos informáticos” y la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del
Centro Nacional de Inteligencia [7].
NOTA DEL EDITOR: En relación al CNI, y también sobre otras leyes USA en esta
línea, como la “Patriot ACT”, puede consultarse en este mismo blog el artículo titulado
“Cloud Computing y el día que se declaró inválida la Decisión 2000/520/CE por
el TJUE” de fecha 8 de octubre de 2018. Acceso
al artículo
Aspecto a contemplar
|
Modificación de la Regla 41 (EE UU)
|
Artículo 588 LECRIM
|
LO 2/2002 reguladora control judicial previo CNI
|
Autoridad para emitir una orden o
resolución.
|
El Juez de Instrucción [Magistrate
Judge].
Regla 41 (6)
|
El Juez de Instrucción competente.
(Art. 588 sexties
c).1
|
El
Magistrado del Tribunal Supremo competente.
Art. 1.1 LO 2/2002
|
Quién
puede solicitar una orden.
|
·
Agente de la Ley federal.
·
Abogado del gobierno.
|
Autoridades
y agentes encargados de la investigación.
(Art. 588 sexties
c).5
|
El
Secretario de Estado director del CNI.
Art. 1.1 LO 2/2002
|
Jurisdicción territorial
|
Dentro o fuera del propio distrito, bajo dos condicionantes.
(Regla 41 (6) -(A) y (B)
|
Únicamente si los datos se encuentran
en territorio dónde se extienda la jurisdicción española.
|
N.C.
|
Qué
debe especificar la orden o resolución judicial y, en consecuencia, la
solicitud.
|
N.C.
|
Los
ordenadores y demás sistemas objeto de investigación, el alcance y forma de
proceder, los archivos relevantes, el software que se empleará, los agentes
autorizados, la autorización, o no, para hacer copias y cómo se preservará la
integridad.
(Art. 588 septies A).2
|
Las
medidas que se solicitan, hechos en que se apoyan, fines que la motivan,
razones que aconsejan las medidas, personas afectadas, lugar dónde deben
practicarse y duración de las medidas solicitadas.
Art. 1.2 LO 2/2002
|
Duración
de las investigaciones.
|
N.C.
|
La
medida tendrá una duración máxima de un mes, prorrogable por idénticos
períodos hasta un máximo de tres meses.
(Art. 588 septies C)
|
Las
medidas no podrán exceder de tres meses, prorrogables por igual período.
Art. 1.2 d) LO 2/2002
|
(N.C.) = No se tiene conocimiento de este
aspecto concreto, o no se contempla.
8. Algunas
Conclusiones
Conclusiones
|
La sociedad debe defenderse de los
delitos, pero no a costa de privar sistemáticamente a los investigados, y
quizá a la sociedad misma, de alguno de sus derechos fundamentales.
|
La justicia obtenida a cualquier
precio, termina no siendo justicia (STS 79/2012)
|
Exigir indiscriminadamente a los
prestadores de servicios de la sociedad de la información, y a otros
fabricantes TIC, que programen “puertas traseras”, pone en peligro
precisamente las libertades que se supone un gobierno tiene que proteger.
|
No queda clara en la modificación
de la Regla 41 la limitación de la jurisdicción, ya que da la sensación de
llevar implícita una extraterritorialidad de alcance global.
|
Debe analizarse el sistema
jurídico federal de EE UU, ya que a priori no se deduce de la Regla 41
exigencias para formular y que sea aceptada la solicitud de autorización para
determinada investigación, a diferencia del artículo Art. 588 septies A.2 de
la LECRIM española.
|
Se encuentra a faltar en ambas
jurisdicciones territoriales (EE UU y España) la restricción de las
investigaciones únicamente para los delitos graves, apreciándose una falta de
taxatividad y concreción en relación a los delitos cometidos a través de las
TIC.
|
La tramitación efectiva de una
comisión rogatoria para otro país puede requerir más de un año de espera,
plazo que la convierte en ineficaz en el mundo digital, donde los
repositorios de contenido se crean y desaparecen en horas. Debería buscarse y
consensuarse a nivel internacional una solución a este problema.
|
9. BIBLIOGRAFÍA CONSULTADA
- [2] “Federal
Rules of Criminal Procedure (Reglas Federales de Procedimiento Penal)”. PDF
conteniendo el detalle en inglés de las modificaciones. Páginas de la 338 a la
342.
Texto
de la modificación de la Regla 41
- [3] Fiscalía General del Estado. Consejo
Fiscal. “Informe respecto al anteproyecto de ley orgánica de modificación
de la ley de enjuiciamiento criminal para la agilización de la justicia penal,
el fortalecimiento de las garantías procesales y la regulación de las medidas
de investigación tecnológicas”. 23 de enero de 2015.
Informe
FGE modificación LECRIM
-
[4] Consejo
de Europa. “Convenio sobre la Ciberdelincuencia”.
Budapest, 23 de noviembre de 2001.
Convenio
de Budapest
-
[5] Eloy
Velasco Núñez. “Delitos tecnológicos: definición,
investigación y prueba en el proceso penal”. Editorial jurídica SEPIN, SL.
Madrid, 2016.
-
[6] Ruth
Sala Ordoñez. “Troyanos: Registro Remoto por la Policía,
¿es viable?”. Blog de Legalconsultors. Junio de 2015.
Troyanos
-
[7] Jefatura
del Estado. “Ley Orgánica 2/2002, de
6 de mayo, reguladora del control judicial previo del Centro Nacional de
Inteligencia”. Publicado en «BOE» núm.
109, de 7 de mayo de 2002, páginas 16439 a 16440.
LO 2/2002 CNI
- [8]
Eduard Chaveli Donet. “La
protección de datos en la reforma de la LECRIM. Parte II”. Capítulo 3 “REGISTROS
REMOTOS SOBRE EQUIPOS INFORMÁTICOS”. Blog de GOVERTIS. 20 de enero de 2016.
10. Control de cambios del artículo
Siguiendo voluntariamente
las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se
incorpora el control de cambios a los artículos de este Blog permitiendo
conocer la trazabilidad de los mismos una vez han sido publicados por primera
vez. Todo ello en concordancia con el último párrafo de la cláusula general de
exclusión de responsabilidad del Blog.
Fecha
|
Cambio
|
Responsable
|
01/08/2016
|
Redacción inicial del artículo
|
Autor
|
02/08/2016
|
Se añade el apartado 8 “Algunas Conclusiones”
|
Autor
|
11. Derechos de autor
Tablas creadas por el autor.
La presente obra y su título
están protegidos por el derecho de autor. Las denominadas obras derivadas, es
decir, aquellas que son el resultado de la transformación de ésta para generar
otras basadas en ella, también se ven afectadas por dicho derecho.
Sobre
el autor:
José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC.
A
nivel de especialización técnica, ha cursado Ingeniería
técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT
(Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es
Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por
AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301
by BSI (British Standards Institution). Auditor del esquema de
certificación STAR para prestadores de servicios de Cloud Computing (BSI +
Cloud Security Alliance). Ha obtenido la certificación internacional CISA
(Certified Information Systems Auditor) by ISACA (Information Systems Audit and
Control Association). Dispone de las certificaciones ISO 20000 PMI (Process
Management Improvement) e ITIL Service Management by EXIN (Examination
Institute for Information Science).
Desempeña su labor profesional en la entidad de certificación AUDERTIS como Director de Auditoría y Cumplimiento Normativo. También colabora con la entidad certificadora British Standards Institution (BSI) como auditor jefe de certificación e impartiendo formación para la obtención de la acreditación como lead auditor, en diferentes marcos normativos, incluidas las especificaciones del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento respecto a cumplimiento normativo, privacidad y gestión de la seguridad de la información. Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado. Anteriormente ha ostentado la posición de Director de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.
Desempeña su labor profesional en la entidad de certificación AUDERTIS como Director de Auditoría y Cumplimiento Normativo. También colabora con la entidad certificadora British Standards Institution (BSI) como auditor jefe de certificación e impartiendo formación para la obtención de la acreditación como lead auditor, en diferentes marcos normativos, incluidas las especificaciones del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento respecto a cumplimiento normativo, privacidad y gestión de la seguridad de la información. Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado. Anteriormente ha ostentado la posición de Director de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.
Es importante adquirir una de las mejores VPN para Estados Unidos, solamente así se puede conseguir un poco de privacidad. https://anonymster.com/es/mejores-vpn-para-estados-unidos-usa/
ResponderEliminar