lunes, 1 de agosto de 2016

El difícil equilibrio entre la seguridad de los ciudadanos y su privacidad


Resumen: Se analiza el difícil equilibrio entre seguridad y privacidad, partiendo de la propuesta de modificación de la Regla 41 de las Reglas Federales de Procedimiento Penal en EE UU, y del artículo 588 septies de la LECRIM, modificado por la LO 13/2015, de 5 de octubre.

Autor del artículo
Colaboración
José Luis Colom Planas

Actualizado

2 de agosto de 2016




Índice

1. Derechos fundamentales en juego. Introducción

2. El eterno dilema de seguridad respecto a privacidad

3. Metodología

4.  Carta abierta de Apple

5. USA. Propuesta de modificación de la Regla 41

5.1 El Sistema procesal penal de los EE.UU.

5.2 En que consiste la propuesta

6. España. Reforma de la LECRIM (Registros remotos)

6.1 Medida muy invasiva

6.2 Falta de taxatividad

6.3 Colaboración de terceros

6.4 Extensión de la investigación. Cloud Computing

7. Tabla comparativa entre EE UU y España

8. Algunas conclusiones

9. Bibliografía consultada

9. Control de cambios del artículo

10. Derechos de autor



1. Derechos fundamentales en juego. Introducción


Con este artículo no pretendo tomar partido por ninguna opción, entre otras razones porque mis áreas de práctica son ambas: Por un lado la privacidad y la protección de datos y, por otro, el Derecho penal, como última ratio o línea de defensa respecto a la seguridad de las personas, entendida ésta en sentido amplio.  


En consecuencia, su único objetivo es informar para que cada cual saque sus propias conclusiones respecto a la ponderación entre derechos fundamentales: En España el derecho a la Integridad física (artículo 15 CE), por un lado,  y los derechos a la Protección de Datos y a la Intimidad (ambos en el artículo 18 CE), por otro, todos ellos recogidos en la Constitución.

Si con mayor amplitud de miras consultamos además la Declaración Universal de los Derechos Humanos (DUDH), que es un documento declarativo adoptado por la Asamblea General de las Naciones Unidas en su Resolución 217 A (III), el 10 de diciembre de 1948 en París, vemos que su artículo 3 dispone que “todo individuo tiene derecho a la vida, a la libertad y a la seguridad de su persona, mientras que en su artículo 12 se refiere a que “nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”.

Ya se intuye que dicha ponderación entre dos derechos fundamentales no ha de ser una cuestión pacífica.

Así las cosas, y como catalizador para decidirme finalmente a escribir este artículo, es que el mes de julio de 2016 recibo un e-mail con el siguiente contenido:

Hola,  Me conecto contigo porque veo que eres uno de los pocos sitios web  que apoyan la privacidad en línea.  VPNMentor en conexión con la organización  EFF están creando conciencia en el cambio de la Regla 41, la cual el Gobierno de Estados Unidos de América  está promoviendo. Con este cambio, EE UU  podría acceder ilegalmente o hackear  computadoras y teléfonos afuera de los Estados Unidos  que usan los navegadores  VPNs o Tor.
Hemos  traducido la página original de la protesta en Spanish. Tu puedes copiar/pegar el contenido y compartir el URL   con los usuarios de tu página y en las redes sociales https://es.vpnmentor.com/blog/fight-rule-41/ 

Muchas gracias por ayudarnos a pelear esta importante lucha. Saludos”.

Es práctica habitual de este blog no publicar nada que no haya sido debidamente contrastado y analizado, por lo que me limité a prometerle que aprovecharía las vacaciones estivales para redactar un artículo sobre el tema, con visión imparcial, y cuyo resultado es precisamente el que se expone aquí.


2. El eterno dilema de seguridad respecto a privacidad

En una sociedad ampliamente digitalizada, la práctica de la prueba en la fase de instrucción del procedimiento penal, basada en los rastros que las nuevas tecnologías van evidenciando, [5] pueden ayudar a dar con su presunto autor, o a un acercamiento a su autoría, y a descubrir el modus operandi, analizando las trazas tecnológicas que se hayan podido dejar.

En España la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, adopta una solución garantista respecto a la dicotomía entre seguridad y libertad, como se deduce del artículo 11.1 y 11.2 LOPJ: “1. En todo tipo de procedimiento se respetarán las reglas de la buena fe. No surtirán efecto las pruebas obtenidas, directa o indirectamente, violentando los derechos o libertades fundamentales.

2. Los Juzgados y Tribunales rechazarán fundadamente las peticiones, incidentes y excepciones que se formulen con manifiesto abuso de derecho o entrañen fraude de ley o procesal”.

Como dice el Magistrado Eloy Velasco, [5] La sociedad debe defenderse del delito, pero no a costa de poner a los agentes investigadores públicos –singularmente el Ministerio Fiscal y los Cuerpos Policiales- a la altura del transgresor, del delincuente mismo, permitiendo usar “atajos” o “trampas”, que, cosificando a los investigados, les priven de sus derechos fundamentales”.

Abundando es esta idea es que la STS Nº: 79/2012 de la Sala de lo Penal en la causa especial Nº: 20716/2009 respecto a D. Baltasar Garzón Real, en su fundamento del Derecho 7º, cita:  “la pretensión legítima del Estado en cuanto a la persecución y sanción de las conductas delictivas, solo debe ser satisfecha dentro de los límites impuestos al ejercicio del poder por los derechos que corresponden a los ciudadanos en un Estado de derecho. Nadie discute seriamente en este marco que la búsqueda de la verdad, incluso suponiendo que se alcance, no justifica el empleo de cualquier medio. La justicia obtenida a cualquier precio termina no siendo Justicia”.

De todo ello es que se deduce la necesidad de la Ley Orgánica 13/2015, de 5 de octubre, de modificación de la LECRIM para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica, sustituyendo a la vigente hasta entonces que databa de 1882, época muy anterior a la propia existencia de las TIC.  

Como dispone el apartado 1 del (artículo 588 bis a).1 LECRIM -Principios rectores- “1. Durante la instrucción de las causas se podrá acordar alguna de las medidas de investigación reguladas en el presente capítulo siempre que medie autorización judicial dictada con plena sujeción a los principios de especialidad, idoneidad, excepcionalidad, necesidad y proporcionalidad de la medida”.

A efecto de clarificar, repaso que significa cada uno de esos cinco principios:

  • Especialidad. En este caso es el propio (artículo 588 bis a).2 el que recuerda que este principio exige que la medida esté relacionada con la investigación de un delito concreto. No podrán autorizarse medidas de investigación tecnológica que tengan por objeto prevenir o descubrir delitos o despejar sospechas sin base objetiva.
  • Idoneidad. El Juez únicamente puede autorizar medidas en las que se motive claramente su necesidad para obtener un fin concreto. Se argumentará el objeto o sistema a injerir, el sujeto afectado y la duración estimada de la medida para que resulte útil a efectos de obtención de la prueba.
  • Excepcionalidad. Se trata de evidenciar que los fines que se pretenden alcanzar solicitando dicha medida que afecta a derechos fundamentales, no podrían ser alcanzados mediante medidas menos invasivas, con las mismas o parecidas garantías de éxito.
  • Necesidad. Debe haber acuerdo en que otras medidas serían mucho más complejas o dificultosas, minimizándose las pretendidas garantías de éxito, por lo que existe una necesidad procesal de aplicarlas.
  • Proporcionalidad. Consiste en ponderar el derecho que se va a afectar, o conculcar, al afectado, respecto al beneficio que para el interés público va a suponer la resolución procesal de la investigación, por lo que debe basarse en las concretas circunstancias del caso y no puede ser objeto de estandarización generalizada.



3. Metodología

Estudiaré el cambio a la Regla 41 de las Reglas Federales de Procedimiento Penal, impulsado por el Departamento de Justicia de Estados Unidos (se estima podría aprobarse en diciembre de 2016) y, sin ir más lejos, lo compararé en España con el artículo 588 septies de Ley Orgánica 13/2015, de 5 de octubre, de modificación de la LECRIM para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica.

Intentaré evaluar los posibles riesgos de injerencia sobre la privacidad de las referidas normas, que legitiman actuaciones remotas a través de Internet, y repasaré también como está regulada jurídicamente en España la actividad del Centro Nacional de inteligencia (CNI) dentro del marco establecido por la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia.



4.  Carta abierta de Apple

Antes de empezar, y como ejemplo ilustrativo de resistencia de una empresa privada multinacional americana ante presiones que atentan a la privacidad,  comenzaré con el asunto que dio lugar a la conocida carta abierta de Tim Cook (Consejero Delegado de Apple), el 16 de febrero de 2016, respecto a las exigencias del FBI en relación al caso de terrorismo de San Bernardino.

Es bien conocida la defensa a ultranza por parte de Apple de la privacidad de sus clientes, y en este sentido ha mantenido un difícil pulso con el FBI estadounidense que les reclama desactiven el borrado del iPhone tras introducir mal la contraseña diez veces, evitándose así ataques denominados de fuerza bruta. La agencia norteamericana lo reclama para poder acceder al iPhone 5c del terrorista implicado en el atentado de San Bernardino.

También existe la pretensión, por parte del FBI, de que Apple programe una puerta trasera para obviar la seguridad en los sistemas operativos de los i-Phone, a su disposición.

A continuación la carta referente a su postura, con la que se justifica Apple:

Un mensaje a nuestros clientes:

El Gobierno de EE UU ha exigido a Apple que tome una medida sin precedentes que amenaza la seguridad de nuestros clientes. Nos oponemos a esta orden, que tiene consecuencias que van mucho más allá del proceso judicial que nos ocupa.

Este momento requiere un debate público, y queremos que nuestros clientes y que la gente de todo el país entienda lo que está en juego.

La necesidad de la codificación

Los smartphones, con el iPhone a la cabeza, se han convertido en un elemento fundamental de nuestras vidas. La gente los usa para almacenar una increíble cantidad de información personal, desde conversaciones privadas hasta fotos, música, notas, calendarios y contactos, información financiera y datos sanitarios, e incluso dónde ha estado y a dónde va a ir.

Toda esta información tiene que protegerse de los piratas informáticos y de los delincuentes que quieren acceder a ella, robarla y usarla sin nuestro conocimiento o permiso. Los clientes esperan que Apple y otras empresas tecnológicas hagan todo lo que esté en su mano para proteger su información personal, y en Apple estamos profundamente comprometidos en salvaguardar sus datos.

No podemos encontrar ningún precedente en el que se obligue a una empresa estadounidense a exponer a sus clientes a un mayor riesgo de ataque. Durante años, los expertos en codificación y los expertos en seguridad nacional han prevenido de los peligros de debilitar la codificación.

El hecho de poner en peligro la seguridad de nuestra información personal puede acabar poniendo en peligro nuestra seguridad personal. Es la razón por la cual la codificación se ha vuelto tan importante para todos nosotros.

Durante muchos años, hemos usado la codificación para proteger los datos personales de nuestros clientes porque creemos que es la única manera de mantener segura su información. Incluso hemos puesto esos datos fuera de nuestro alcance, porque creemos que el contenido de su iPhone no es asunto nuestro.

El caso de San Bernardino

El mortal atentado terrorista en San Bernardino el pasado mes de diciembre nos conmocionó y nos indignó. Lamentamos la pérdida de vidas y queremos justicia para todos aquellos cuyas vidas se vieron afectadas. El FBI nos pidió ayuda en los días posteriores al ataque, y hemos trabajado mucho para apoyar los esfuerzos del Gobierno por solucionar este horrible crimen. No sentimos ninguna simpatía por los terroristas.

Cuando el FBI nos ha pedido los datos que tenemos, se los hemos facilitado. Apple acata las citaciones y las órdenes de registro válidas, como las del caso de San Bernardino. También hemos puesto a los ingenieros de Apple a disposición del FBI para asesorarlo, y hemos ofrecido nuestras mejores ideas en una serie de opciones de investigación.

El hecho de poner en peligro la seguridad de nuestra información personal puede acabar poniendo en peligro nuestra seguridad personal. Es la razón por la cual la codificación se ha vuelto tan importante para todos nosotros.

Sentimos un gran respeto por los profesionales del FBI, y creemos que sus intenciones son buenas. Hasta este momento, hemos hecho todo lo que está en nuestra mano y dentro de la ley para ayudarles. Pero ahora el Gobierno estadounidense nos ha pedido algo que simplemente no tenemos, y es algo cuya creación creemos que es demasiado peligrosa. Nos han pedido que creemos una puerta trasera para el iPhone.

Concretamente, el FBI quiere que hagamos una nueva versión del sistema operativo del iPhone, saltándonos algunos elementos de seguridad importantes, y que lo instalemos en un iPhone recuperado durante la investigación. En las manos equivocadas, este programa – que actualmente no existe – podría desbloquear cualquier iPhone que alguien posea físicamente.

El FBI puede utilizar diferentes palabras para describir esta herramienta, pero no se lleven a engaño: crear una versión del iOS que se salte la seguridad de esta manera crearía, sin lugar a dudas, una puerta trasera. Y aunque el Gobierno puede sostener que su uso se limitaría a este caso, no hay ninguna manera de garantizar dicho control.

La amenaza para la seguridad de los datos

Algunos sostendrán que crear una puerta trasera solo para un iPhone es una solución sencilla y clara, pero ignoran los principios básicos de la seguridad digital y el significado de lo que el Gobierno exige en este caso.

En el mundo digital actual, la “llave” de un sistema codificado es una información que desbloquea los datos, y solo es segura hasta el punto en que lo son las protecciones que existen a su alrededor. Una vez que se conoce la información, o que se revela una manera de burlar el código, cualquiera que tenga ese conocimiento puede descifrar la codificación.

El Gobierno afirma que esta herramienta solo se podría usar una vez, en un teléfono. Pero eso, sencillamente, no es verdad. Una vez que se cree la técnica, podría usarse una y otra vez, en cualquier aparato. En el mundo físico, sería el equivalente a una llave maestra, capaz de abrir centenares de millones de cerraduras, desde restaurantes y bancos hasta tiendas y casas. Eso no le parecería aceptable a ninguna persona razonable.

El Gobierno le está pidiendo a Apple que piratee a sus propios usuarios y socave décadas de avances en seguridad que protegen a nuestros clientes – entre ellos decenas de millones de ciudadanos estadounidenses – de los piratas informáticos y los ciberdelincuentes sofisticados. A los mismos ingenieros que diseñaron una codificación segura en el iPhone para proteger a nuestros usuarios se les ordenaría, irónicamente, que debilitasen esa protección y que desprotegiesen a nuestros usuarios.

No podemos encontrar ningún precedente en el que se obligue a una empresa estadounidense a exponer a sus clientes a un mayor riesgo de ataque. Durante años, los expertos en codificación y los expertos en seguridad nacional han prevenido de los peligros de debilitar la codificación. El hacerlo perjudicaría a los ciudadanos bien intencionados y respetuosos con la ley que confían en empresas como Apple para proteger sus datos. Los delincuentes y los malhechores seguirán codificando, usando herramientas que pueden conseguir fácilmente.

Un precedente peligroso

En vez de pedir medidas legislativas a través del Congreso, el FBI propone que se haga un uso sin precedentes de la ley llamada All Writs Act [que autoriza a emitir todos los mandatos judiciales necesarios] de 1789 para justificar un incremento de su autoridad.

El Gobierno nos obligaría a eliminar algunos elementos de seguridad y a añadir nuevas funciones al sistema operativo que permitiesen introducir una contraseña electrónicamente. Eso haría que fuese más fácil desbloquear un iPhone por la “fuerza bruta”, probando miles de millones de combinaciones con la velocidad de un ordenador moderno.

Las consecuencias de las exigencias del Gobierno son aterradoras. Si el Gobierno puede usar esta ley para que sea más fácil desbloquear su iPhone, tendría la capacidad de entrar en el aparato de cualquiera para obtener sus datos. El Gobierno podría aumentar esta vulneración de la privacidad y exigir que Apple cree un programa de vigilancia para interceptar sus mensajes, acceder a sus historiales médicos o a sus datos financieros, averiguar dónde se encuentra, o incluso para acceder al micrófono o a la cámara de su teléfono sin su conocimiento.

El rechazo de esta orden no es algo que nos tomemos a la ligera. Creemos que debemos decir lo que pensamos ante lo que consideramos que es una extralimitación del Gobierno estadounidense.

Nos oponemos a las exigencias del FBI con el mayor respeto hacia la democracia estadounidense y por amor a nuestro país. Creemos que lo mejor para todo el mundo sería dar marcha atrás y pensar en las consecuencias.

Aunque creemos que las intenciones del FBI son buenas, el Gobierno haría mal en obligarnos a crear una puerta trasera en nuestros productos. Y, en última instancia, tememos que esta exigencia ponga en peligro precisamente las libertades que se supone que nuestro Gobierno tiene que proteger.



5. USA. Propuesta de modificación de la Regla 41

5.1 El Sistema procesal penal de los EE.UU.





El Sistema procesal federal [1], además de en las disposiciones expresas de la Constitución federal, fundamenta los derechos de los inculpados en los procesos penales federales en otras dos fuentes principales:


  • La interpretación de la Constitución federal por los tribunales, que da lugar a derechos constitucionales implícitos, pero vinculantes.
  • El código procesal penal federal, denominado Reglas Federales del Proceso Penal - Federal Rules of Criminal Procedure (FRCP) -, promulgado por la Corte Suprema de Estados Unidos, según autorización del Congreso (28 United States Code Service 2071 (2003)).  

A pesar de la existencia de 50 sistemas estatales distintos, hay un estándar mínimo federal para los derechos de los inculpados en los procesos estatales.

Resulta de la interpretación judicial de la Constitución federal, por la cual todos los derechos constitucionales federales del inculpado en el proceso penal federal son aplicables a los procesos penales estatales, por la amplia interpretación judicial del concepto del debido proceso legal en la enmienda 14. El respeto de tales derechos es por consiguiente vinculante para los 50 estados, de acuerdo con la cláusula de supremacía de la Constitución federal, según la cual la Constitución federal (más las leyes federales y tratados internacionales) es la suprema ley del país y todos los jueces de cada estado estarán obligados a observarlos, a pesar de cualquier cosa en contrario que se encuentre en la Constitución o las leyes de cualquier estado” (artículo 6, cl. 2).


5.2 En que consiste la propuesta

La propuesta de modificación de la Regla 41 de las Reglas Federales de Procedimiento Penal, impulsado por el Departamento de Justicia de EE.UU, concede al FBI muchos privilegios para poder introducirse legalmente en cualquier ordenador del país, y quizá del mundo, mediante una única orden de registro autorizada por un juez de Estados Unidos.

Se pretende también evitar la limitación de jurisdicción para aumentar el alcance de las investigaciones de delitos a lo que es Internet.

Traducida del inglés, la Regla 41 [2] se pretende que disponga:

Regla 41. Registro y confiscación

(B) Autoridad para emitir una orden. A petición de un agente de la ley federal o un abogado del gobierno.

(6) un juez de primera instancia con autoridad en cualquier distrito donde se hayan producido las actividades relacionadas con un delito tiene autoridad para emitir una orden para emplear el acceso remoto en la búsqueda de medios electrónicos de almacenamiento y de aprovechar o copiar la información almacenada electrónicamente, situada dentro o fuera de ese distrito, si :

·        (A) el distrito donde se encuentran los medios de comunicación y la información que ha sido ocultada a través de medios tecnológicos; o

·        (B) en una investigación de una violación de 18 USC § 1030 (a) (5), los medios eran ordenadores protegidos que han sido dañados sin autorización y están ubicados en cinco o más distritos.

(F) Ejecución y devolución de la orden

(…) Mediante una orden que autorice el acceso remoto a la búsqueda de medios electrónicos de almacenamiento y permita aprovechar o copiar la información almacenada electrónicamente, el oficial debe hacer esfuerzos razonables para entregar una copia de la orden a la persona cuya propiedad fue registrada o cuya información fue capturada o copiada. El servicio puede ser realizado por cualquier medio, incluyendo medios electrónicos, razonablemente considerados para llegar a esa persona.


Sin embargo, cada vez más grupos de libertades civiles y empresas de tecnología intentan detener su puesta en marcha criticando la reforma de dicha Regla 41, alegando que es un atentado a la Cuarta Enmienda que permitiría a los agentes federales y demás policía en EE.UU entrar de forma remota a ordenadores y teléfonos inteligentes de personas en todo el mundo.

Para muchos, y pese a que se le designe con otras palabras, se trata de legitimar un hackeo en toda regla ya que, a diferencia del artículo 588 septies LECRIM en España, la Regla 41 no especifica que el Juez deba conocer con detalle el fin, el alcance, los motivos, los objetos, los medios… necesarios para llevar a cabo la investigación.  Salvo que cambien mucho las cosas y el Congreso vete los cambios, estos entrarán en vigor a partir del 1 de diciembre de este mismo año 2016. La cercanía de la entrada en vigor ha puesto en marcha a muchas empresas que se han unido para pedir la retirada de los cambios,  entre las que encontramos a Google, EFF, Demand Progress, FightForTheFuture, TOR y Proveedores VPN como Private Internet Access, Golden Frog y Hide My Ass.

Esto significa que todos los usuarios de los servicios para cifrar comunicaciones pueden llegar a ser vulnerables, sin importar cuál es la herramienta que se está utilizando, incluyendo TOR, VPNs, y proxies. También podría extenderse a los usuarios que niegan el acceso a información de su geolocalización en las aplicaciones de teléfonos inteligentes,  que no desean compartir su ubicación por cuestiones de privacidad.


6. España. Reforma de la LECRIM (Registros remotos)

Tomaré como hilo conductor el informe de la FGE de fecha 23 de enero de 2015. El Consejo Fiscal elaboró ese informe [3] respecto al anteproyecto de ley orgánica de modificación de la ley de enjuiciamiento criminal para la agilización de la justicia penal, el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológicas. Los registros remotos son tratados en el apartado 5.17 del referido informe “Registros remotos sobre equipos informáticos”. Pese a tratarse en el momento de su redacción de un informe respecto a un anteproyecto, sus observaciones siguen siendo válidas  una vez aprobada la Ley Orgánica 13/2015, de 5 de octubre, de modificación de la LECRIM, especialmente en relación al artículo 588 septies del Capítulo IX “Registros remotos sobre equipos informáticos”.

El Consejo Fiscal incide en el carácter totalmente novedoso con el que se aborda la regulación de la diligencia de registro remoto sobre equipos informáticos. Según la fiscalía, “con carácter previo debe aplaudirse la iniciativa frente a la total orfandad normativa sobre la materia que hacía cuestionable la posibilidad de practicar esta diligencia”.


6.1 Medida muy invasiva

También coincide con el legislador en que se exija autorización judicial previa entendiéndose, a la vista de que se trata de una medida muy invasiva, de una exigencia indispensable. Concretamente el apartado 2 del artículo (588 LECRIM septies a) “Presupuestos”, actualmente dispone:

“2. La resolución judicial que autorice el registro deberá especificar:
a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios informáticos de almacenamiento de datos o bases de datos, datos u otros contenidos digitales objeto de la medida.

b) El alcance de la misma, la forma en la que se procederá al acceso y aprehensión de los datos o archivos informáticos relevantes para la causa y el software mediante el que se ejecutará el control de la información.
c) Los agentes autorizados para la ejecución de la medida.

d) La autorización, en su caso, para la realización y conservación de copias de los datos informáticos.
e) Las medidas precisas para la preservación de la integridad de los datos almacenados, así como para la inaccesibilidad o supresión de dichos datos del sistema informático al que se ha tenido acceso.

La fiscalía entendía  imprescindible que se limitara  su práctica a delitos de especial gravedad cómo los siguientes:

  • Delitos cometidos en el seno de organizaciones criminales.
  • Delitos de terrorismo.
  • Delitos cometidos contra menores o personas con capacidad modificada judicialmente.
  • Delitos contra la Constitución, de traición y relativos a la defensa nacional.


Es más, entiende que podría mejorarse y racionalizarse la redacción de este inciso, proponiéndose la siguiente: “(…) y persiga la investigación de un delito de especial gravedad, atendiendo a los criterios de necesidad, adecuación y proporcionalidad en función de la naturaleza y características del hecho investigado. En todo caso se entenderán de especial gravedad, a los efectos previstos en este artículo: (…)”.


6.2 Falta de taxatividad

Al final, en texto que se aprobó para el apartado 1 del artículo (588 LECRIM  septies a) “Presupuestos”, se suprime toda referencia abierta a delitos graves, dejando un numerus clausus de clases (que no de tipos) de delitos a los que se ha añadido aquellos cometidos a través de las TIC, con el siguiente redactado:

“1. El juez competente podrá autorizar la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos, siempre que persiga la investigación de alguno de los siguientes delitos:
a) Delitos cometidos en el seno de organizaciones criminales.
b) Delitos de terrorismo.
c) Delitos cometidos contra menores o personas con capacidad modificada judicialmente.
d) Delitos contra la Constitución, de traición y relativos a la defensa nacional.
e) Delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación o servicio de comunicación.

Esta última  clase es para algunos demasiado genérica, en un mundo tecnológico como el actual, obviando el principio de taxatividad que debería regir siempre la elaboración de leyes, especialmente penales. Aquí es donde, para una medida tan invasiva, se encuentra a faltar la opinión del Consejo Fiscal de que el intenso grado de injerencia que implica su adopción justifica que incluso se refuerce el ámbito objetivo de la medida, exigiendo que el delito investigado sea de especial gravedad.

Como inciso, debo recordar en relación a la gravedad delictiva la consolidada doctrina jurisprudencial (por ejemplo la STC de 27 de septiembre de 1999, la STC de 11 de diciembre de 2000 y la STC de 18 de septiembre de 2002) según la cual la gravedad trasciende lo dispuesto en los artículos 13.1 CP y 33.2 CP, pudiendo incluir delitos menos graves en base a considerar la relevancia social y el bien jurídico afectado.

Sigue el informe diciendo que “podría entenderse que esta diligencia no es más invasiva que la de grabación de conversaciones, por lo que desde esta perspectiva no tendría que restringirse su ámbito más de lo que se restringe esta otra diligencia. En todo caso, debiera introducirse alguna modulación para graduar las exigencias atendiendo a la intensidad del acceso remoto, pues por ejemplo la monitorización de un dispositivo electrónico a los solos efectos de geolocalización de su usuario, no tendría por qué restringirse a delitos especialmente graves dado su reducido nivel de afectación a derechos de carácter personal”. En este punto concreto no puedo más que discrepar a título personal, dado que la monitorización continuada de registros procedentes de la geolocalización puede llegar a tener un alto impacto respecto a la privacidad de una persona afectada, al permitir revelar (en función de los lugares frecuentados), aspectos concretos de su personalidad en base a usos y costumbres. Podría incluso denotar su confesión religiosa (asistencia a lugares de culto), sexual (asistencia a determinados clubs de alterne), política (asistir a manifestaciones políticas), etc.

6.3 Colaboración de terceros

Uno de los inconvenientes de infiltrar “troyanos” o software espía en ordenadores de terceros sujetos a investigación [6] es que éstos pueden ser detectados por sistemas “antivirus”.

Una alternativa sería solicitar la colaboración de los proveedores de antivirus para programar que respetaran determinados “troyanos” legales. Esto sería posible en España en base al artículo 588 septies b) LECRIM “1. Los prestadores de servicios y personas señaladas en el artículo 588 ter e y los titulares o responsables del sistema informático o base de datos objeto del registro están obligados a facilitar a los agentes investigadores la colaboración precisa para la práctica de la medida y el acceso al sistema. Asimismo, están obligados a facilitar la asistencia necesaria para que los datos e información recogidos puedan ser objeto de examen y visualización.

2. Las autoridades y los agentes encargados de la investigación podrán ordenar a cualquier persona que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que facilite la información que resulte necesaria para el buen fin de la diligencia”.

Como siempre hay que recordar que esta medida es equivalente a las ya comentadas “puertas traseras” que abrirían la caja de pandora respecto a potenciales ciberdelincuentes. Tampoco obligarían a fabricantes de antivirus en otras jurisdicciones.


6.4 Extensión de la investigación. Cloud Computing

El apartado 3 del artículo (588 LECRIM  septies a) “Presupuestos”, prevé: “3. Cuando los agentes que lleven a cabo el registro remoto tengan razones para creer que los datos buscados están almacenados en otro sistema informático o en una parte del mismo, pondrán este hecho en conocimiento del juez, quien podrá autorizar una ampliación de los términos del registro”.

Según el Consejo Fiscal esta previsión parece orientada a dar cumplimiento al art. 19.2 del Convenio de Budapest [4] que se refiere a que el ordenamiento ha de contemplar la posibilidad de que las autoridades competentes procedan a ampliar rápidamente el registro o forma de acceso similar al otro sistema. Concretamente dicho artículo 19.2 CB dispone: “Cada parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para asegurarse de que, cuando, de conformidad con el apartado 1 a), sus autoridades registren o tengan acceso de un modo similar a un sistema informático específico o a una parte del mismo y tengan motivos para creer que los datos buscados se hallan almacenados en otro sistema informático o en otra parte del mismo situado en su territorio, y que dichos datos son legítimamente accesibles a partir del sistema inicial, o están disponibles por medio de dicho sistema inicial, puedan extender rápidamente el registro o el acceso de un modo similar al otro sistema”.

En relación al acceso a contenidos almacenados en la Nube, el informe, en su apartado 5.17.6, recuerda que el registro remoto sólo podrá ser autorizado cuando los datos se encuentren almacenados en un sistema informático o en una parte del mismo situado en territorio sobre el que se extienda la jurisdicción española. En otro caso, se instarán las medidas de cooperación judicial internacional en los términos establecidos por la Ley, los Tratados y Convenios internacionales aplicables y el derecho de la Unión Europea.

El Consejo Fiscal entiende que, “a la vista de las enormes dificultades para ubicar físicamente dónde se encuentran los archivos en los supuestos de utilización de prestadores de Cloud Computing, debiera preverse la posibilidad de que el acceso a información contenida en sistemas en la Nube se autorice por las autoridades judiciales españolas siempre que nuestros tribunales tengan jurisdicción para conocer de la causa que se está investigando. Podría defenderse que, en tanto en cuanto se tiene acceso al material desde España por un imputado situado en nuestro territorio, el mismo se posee en España, y, consiguientemente, las autoridades españolas tendrían jurisdicción para acceder al mismo. Así por ejemplo, si se está investigando a un ciudadano residente en España por delitos relacionados con la pornografía infantil y se tiene sospechas de que ha almacenado material delictivo en la nube, una vez se toma conocimiento de la clave, o una vez se habilita otra vía de acceso, debería ser admisible que las autoridades judiciales españolas conocieran los contenidos archivados en la nube sin necesidad de acudir a los mecanismos de cooperación judicial internacional”.

NOTA DEL EDITOR: Debe recordarse, no obstante, que la tramitación efectiva de una comisión rogatoria para otro país puede requerir más de un año de espera, plazo que la convierte en ineficaz en el mundo digital, donde los repositorios de contenido se crean y desaparecen en horas.


7. Tabla comparativa entre EE UU y España

Se presenta a continuación una tabla comparativa entre la propuesta de modificación de la Regla 41 de las Reglas Federales de Procedimiento Penal de EE UU, la LECRIM española en relación al artículo 588 septies “Registros remotos sobre equipos informáticos” y la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia [7].

NOTA DEL EDITOR: En relación al CNI, y también sobre otras leyes USA en esta línea, como la “Patriot ACT”, puede consultarse en este mismo blog el artículo titulado “Cloud Computing y el día que se declaró inválida la Decisión 2000/520/CE por el TJUE” de fecha 8 de octubre de 2018. Acceso al artículo



Aspecto a contemplar
Modificación de la Regla 41 (EE UU)
Artículo 588 LECRIM
LO 2/2002 reguladora control judicial previo CNI
Autoridad para emitir una orden o resolución.
El Juez de Instrucción [Magistrate Judge].


Regla 41 (6)
El Juez de Instrucción competente.


(Art. 588 sexties c).1
El Magistrado del Tribunal Supremo competente.

Art. 1.1 LO 2/2002
Quién puede solicitar una orden.
·         Agente de la Ley federal.
·         Abogado del gobierno.
Autoridades y agentes encargados de la investigación.

(Art. 588 sexties c).5
El Secretario de Estado director del CNI.

Art. 1.1 LO 2/2002
Jurisdicción territorial
Dentro o fuera del propio distrito, bajo dos condicionantes.


(Regla 41 (6) -(A) y (B)
Únicamente si los datos se encuentran en territorio dónde se extienda la jurisdicción española.

N.C.
Qué debe especificar la orden o resolución judicial y, en consecuencia, la solicitud.
N.C.
Los ordenadores y demás sistemas objeto de investigación, el alcance y forma de proceder, los archivos relevantes, el software que se empleará, los agentes autorizados, la autorización, o no, para hacer copias y cómo se preservará la integridad.


(Art. 588 septies A).2
Las medidas que se solicitan, hechos en que se apoyan, fines que la motivan, razones que aconsejan las medidas, personas afectadas, lugar dónde deben practicarse y duración de las medidas solicitadas.

Art. 1.2 LO 2/2002
Duración de las investigaciones.
N.C.
La medida tendrá una duración máxima de un mes, prorrogable por idénticos períodos hasta un máximo de tres meses.

(Art. 588 septies C)
Las medidas no podrán exceder de tres meses, prorrogables por igual período.


Art. 1.2 d) LO 2/2002

(N.C.) = No se tiene conocimiento de este aspecto concreto, o no se contempla.


8. Algunas Conclusiones

Conclusiones
La sociedad debe defenderse de los delitos, pero no a costa de privar sistemáticamente a los investigados, y quizá a la sociedad misma, de alguno de sus derechos fundamentales.
La justicia obtenida a cualquier precio, termina no siendo justicia (STS 79/2012)
Exigir indiscriminadamente a los prestadores de servicios de la sociedad de la información, y a otros fabricantes TIC, que programen “puertas traseras”, pone en peligro precisamente las libertades que se supone un gobierno tiene que proteger.
No queda clara en la modificación de la Regla 41 la limitación de la jurisdicción, ya que da la sensación de llevar implícita una extraterritorialidad de alcance global.
Debe analizarse el sistema jurídico federal de EE UU, ya que a priori no se deduce de la Regla 41 exigencias para formular y que sea aceptada la solicitud de autorización para determinada investigación, a diferencia del artículo Art. 588 septies A.2 de la LECRIM española.
Se encuentra a faltar en ambas jurisdicciones territoriales (EE UU y España) la restricción de las investigaciones únicamente para los delitos graves, apreciándose una falta de taxatividad y concreción en relación a los delitos cometidos a través de las TIC.
La tramitación efectiva de una comisión rogatoria para otro país puede requerir más de un año de espera, plazo que la convierte en ineficaz en el mundo digital, donde los repositorios de contenido se crean y desaparecen en horas. Debería buscarse y consensuarse a nivel internacional una solución a este problema.


9. BIBLIOGRAFÍA CONSULTADA

- [1] Douglass CASSEL. (Professor of Law, Notre Dame Law School. “EL SISTEMA PROCESAL PENAL DE ESTADOS UNIDOS”. Biblioteca Jurídica Virtual. Instituto de Investigaciones Jurídicas. Universidad Nacional Autónoma de México (UNAM).

- [2] “Federal Rules of Criminal Procedure (Reglas Federales de Procedimiento Penal)”. PDF conteniendo el detalle en inglés de las modificaciones. Páginas de la 338 a la 342.
Texto de la modificación de la Regla 41

- [3] Fiscalía General del Estado. Consejo Fiscal. “Informe respecto al anteproyecto de ley orgánica de modificación de la ley de enjuiciamiento criminal para la agilización de la justicia penal, el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológicas”. 23 de enero de 2015.
Informe FGE modificación LECRIM

- [4] Consejo de Europa. “Convenio sobre la Ciberdelincuencia”. Budapest, 23 de noviembre de 2001.
Convenio de Budapest

- [5] Eloy Velasco Núñez. “Delitos tecnológicos: definición, investigación y prueba en el proceso penal”. Editorial jurídica SEPIN, SL. Madrid, 2016.

- [6] Ruth Sala Ordoñez. “Troyanos: Registro Remoto por la Policía, ¿es viable?”. Blog de Legalconsultors. Junio de 2015.
Troyanos

- [7] Jefatura del Estado. “Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia”.  Publicado en «BOE» núm. 109, de 7 de mayo de 2002, páginas 16439 a 16440.
LO 2/2002 CNI



- [8] Eduard Chaveli Donet. “La protección de datos en la reforma de la LECRIM. Parte II”. Capítulo 3 “REGISTROS REMOTOS SOBRE EQUIPOS INFORMÁTICOS”. Blog de GOVERTIS. 20 de enero de 2016.

10. Control de cambios del artículo

Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.

Fecha
Cambio
Responsable
01/08/2016
Redacción inicial del artículo
Autor
02/08/2016
Se añade el apartado 8 “Algunas Conclusiones”
Autor















11. Derechos de autor

Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog.

Tablas creadas por el autor.



La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.



Sobre el autor:



José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.

A nivel de especialización técnica, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.

También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.


.