Aspectos TIC en la reforma de la LECRIM (Parte II)

LA PROTECCIÓN DE DATOS

 EN LA REFORMA DE LA LECRIM

 

PARTE II

Lecrim2_1

Eduard Chaveli Donet

@eduardchaveli

 

  1. INTRODUCCIÓN

 El presente artículo es una continuación del anterior en el que empezamos a analizar algunos de los aspectos TIC derivados de la reciente reforma de la LECRIM que se ha operado con la aprobación de la Ley 41/2015, de 5 de octubre y – particularmente y por lo que respecta a la materia de la que estamos hablando –  la Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica.

En el anterior artículo, además de una breve introducción sobre la estructura de la reforma, ya abordamos varios aspectos reformados relacionados con la interceptación de las comunicaciones telefónicas y telemáticas. En concreto analizamos sendas medidas:

  1. La incorporación al proceso de datos electrónicos de tráfico o asociados.
  2. Y el acceso a datos necesarios para la identificación de usuarios, terminales y dispositivos de conectividad.

En este segundo artículo vamos a continuar analizando otras medidas:

  1. El registro de dispositivos de almacenamiento masivo de información.
  2. Los registros remotos sobre equipos informáticos.
  3. Y, por último, la figura del agente encubierto.

No se han analizado todos los aspectos por razón del espacio dedicado, pero sí algunos de los más relevantes a nuestro entender.

  1. REGISTRO DE DISPOSITIVOS DE ALMACENAMIENTO MASIVO DE INFORMACIÓN

2.1. REFERENCIA AL “REGISTRO DOMICILIARIO” Y A OTROS SUPUESTOS DE REGISTRO

La distinción entre el registro domiciliario y otras clases de registro no existía en todas las versiones del texto reformado. Se añadió en la versión de la reforma del 2013.

El registro domiciliario no es la única posibilidad de registro, pues este se puede efectuar en otros lugares diferentes al propio domicilio y además cabe la posibilidad técnica (ahora también habilitada por Ley) del registro remoto.

Lecrim2_2

No obstante es cierto y lógico que, el registro domiciliario, no sólo o no tanto por ser el más habitual sino por poder afectar a otros derechos fundamentales, ha generado mucha “literatura”.

El artículo contempla dos supuestos de aprehensión de ordenadores en el marco de un registro domiciliario:

   a) Cuando la aprehensión de los ordenadores sea previsible.

   b) Cuando ella se ponga de relieve o su necesidad aparezca en el transcurso del registro domiciliario.

La solución adoptada por la ley es muy garantista, pues exige motivación individualizada. Veámoslo.

Por lo que respecta al primer supuesto el artículo 588 sexies a, dispone:

“1. Cuando con ocasión de la práctica de un registro domiciliario sea previsible la aprehensión de ordenadores, instrumentos de comunicación telefónica o telemática o dispositivos de almacenamiento masivo de información digital o el acceso a repositorios telemáticos de datos, la resolución del juez de instrucción habrá de extender su razonamiento a la justificación, en su caso, de las razones que legitiman el acceso de los agentes facultados a la información contenida en tales dispositivos.”

En cuanto al segundo supuesto (el relativo al registro vinculado o derivado de un registro domiciliario) la ley establece lo siguiente:

“2. La simple incautación de cualquiera de los dispositivos a los que se refiere el apartado anterior, practicada durante el transcurso de la diligencia de registro domiciliario, no legitima el acceso a su contenido, sin perjuicio de que dicho acceso pueda ser autorizado ulteriormente por el juez competente”.

Como hemos dicho, la solución adoptada es muy garantista, más que la postura de la JURISPRUDENCIA DEL TS (STS de 14 de mayo de 2008):

“La habilitación para el acceso a la información que consta en los soportes informáticos está implícita en la diligencia que acuerda la entrada y registro, llegando a admitir la falta de necesidad de autorización alguna en supuestos de flagrancia delictiva cuando razones de urgencia, necesidad o inmediatez requieran la actuación policial inmediata (vid. STC 70/2002, de 3 de abril)”

2.2. SOBRE LAS GARANTÍAS DE INTEGRIDAD Y AUTENTICIDAD DE LO INCAUTADO

Otro aspecto importante de la reforma en esta medida es la inclusión de un artículo que se preocupa por abordar lo relativo a las garantías de integridad y preservación de la información. No se llena así de forma correcta una deficiente regulación, que aún persiste, sobre la cadena de custodia en nuestra legislación adjetiva. Pero – al menos – supone una semilla para lo que esperamos sea un desarrollo mejorado y más completo posterior.

Sobre la cadena de custodia y las TIC y su relación con la desconocida ISO, hacemos referencia al capítulo del libro “Fraude Electrónico: su gestión Penal y Civil“  (1) en el que hacíamos una aportación en este punto.

Para poner en su justo sitio la crítica al vacío en este punto en nuestra legislación procesal, hay que decir que en Europa son pocos países los que disponen de procedimientos específicos. Tal es el caso de Gran Bretaña y Rumanía donde existe un procedimiento para la obtención de pruebas electrónicas formado por las reglas internas de la policía (2).

Fuera de Europa podemos citar el caso de Australia en el que existe una guía, la HB171 -2003 Guidelines for the Management of IT Evidence. Se trata de una Guía creada por la Academia, Industria y Administración de  Justicia, Gobierno y Entes Locales.

Más conocidas son las guías NIST (el Instituto Nacional de Normas y Tecnología NIST, perteneciente al Departamento de Comercio de los Estados Unidos). La serie 800 del NIST (3) son una serie de documentos de interés general sobre Seguridad de la Información, entre las que en concreto hay que mencionar por tratar este tema la Forensic Examination of Digital Evidence: A Guide for Law Enforcement, Electronic Crime Scene Investigation: A Guide form First Responders, Second Edition.

Ya con un alcance global hemos de referirnos a la ISO/IEC 27037:2012 “Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence”, que creemos debería ser tomada como referente – incluso directo – por parte de la legislación procesal como predicábamos en dicho capítulo.

Hablando ya del texto propuesto hay que decir que la modificación nos parece acertada, en lo relativo al cambio de la expresión “herramientas” por “condiciones” que se operó en la versión del 2013.

El actual texto del artículo 588 sexies c (que se refiere a la resolución que autoriza el acceso) dispone lo siguiente:

“1. La resolución del juez de instrucción mediante la que se autorice el acceso a la información contenida en los dispositivos a que se refiere la presente sección, fijará los términos y el alcance del registro y podrá autorizar la realización de copias de los datos informáticos. Fijará también las condiciones necesarias para asegurar la integridad de los datos y las garantías de su preservación para hacer posible, en su caso, la práctica de un dictamen pericial”. Lecrim2_3

También en la línea de ese “embrión” o regulación mínima, de parte de la cadena de custodia (su fase inicial o aprehensión) y de garantías sobre el material incautado, se enmarca el segundo párrafo del mismo artículo. Este predica, como regla general, el trabajo con copia siempre que se garanticen las condiciones de integridad y autenticidad que establece:

Salvo que constituyan el objeto o instrumento del delito o existan otras razones que lo justifiquen, se evitará la incautación de los soportes físicos que contengan los datos o archivos informáticos, cuando ello pueda causar un grave perjuicio a su titular o propietario y sea posible la obtención de una copia de ellos en condiciones que garanticen la autenticidad e integridad de los datos”.

 

2.3. AMPLIACIÓN DE REGISTROS 

Otro aspecto a destacar de la regulación del registro de dispositivos de almacenamiento masivo de la información es la posibilidad de ampliación de los registros, que se recoge en el párrafo 3 del artículo 588 sexies c.

Los requisitos que exige la citada regulación son los siguientes:

  1. Que existan razones fundadas para considerar que los datos buscados están almacenados en otro sistema informático o en una parte de él.
  2. Que los datos sean lícitamente accesibles por medio del sistema inicial o estén disponibles para este.
  3. Que sea autorizada por el juez

No obstante, esta última exigencia se exceptúa en 2 supuestos:

  1. a) Cuando ya lo hubiera sido en la autorización inicial.
  2. b) Y en casos de urgencia, en los que podrán llevarla a cabo la Policía Judicial o el fiscal, informando al juez inmediatamente (en un plazo máximo de 24 horas) de la actuación realizada, la forma en que se ha efectuado y su resultado. En este caso el juez revocará o confirmará (72 horas).

 

  1. REGISTROS REMOTOS SOBRE EQUIPOS INFORMÁTICOS

Esta posibilidad de registro remoto (existente en otros ordenamientos jurídicos) se añade en la versión del 2013 y ha generado “mucha polémica”. A veces –sinceramente – llegando a críticas que – en mi modesta opinión – excesivas e infundadas. Otra quizá al menos han sido más fundamentadas o al menos razonadas aunque en algún caso se refieran a versiones anteriores que no apliquen a algún aspecto. (4 y 5)

Lecrim2_4

Debido al elevado grado de posible afectación que pueda suponer en derechos fundamentales del ámbito de la privacidad, el actual artículo 588 septies establece unos claros presupuestos para que se pueda llevar a cabo:

  1. La necesidad de autorización judicial.

“El juez competente podrá autorizar la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos…” Y

  1. Y que se refiera a una serie de delitos “concretos”.

Los delitos sobre los que se puede adoptar dicha medida son los que se relacionan. La anterior redacción hacía referencia a “delitos de especial gravedad” expresión “extraña” al código penal que habla de delios graves y muy graves y en ningún caso de los delitos de especial gravedad.

Ahora – en un acierto de mejora en la redacción– se concretan los delitos:

a) Delitos cometidos en el seno de organizaciones criminales.

b) Delitos de terrorismo.

c) Delitos cometidos contra menores o personas con capacidad modificada judicialmente.

d) Delitos contra la Constitución, de traición y relativos a la defensa nacional.

e) Delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación o servicio de comunicación.

  1. Duración

En este punto se ha optado por establecer una duración máxima de un mes, prorrogable por iguales períodos hasta un máximo de tres meses.

  1. EL AGENTE ENCUBIERTO INFORMÁTICO

El agente encubierto “en general” (no el informático) ya venía regulado en la LECRIM y tiene su origen en la Ley Orgánica 5/1999, de 13 de enero, en materia de “perfeccionamiento de la acción investigadora relacionada con el tráfico ilegal de drogas y otras actividades ilícitas graves”, que crea un art. 282 bis en el Título III del Libro II. Pero esta regulación no daba solución a las necesidades del “factor” informático.

La actual regulación del agente encubierto informático atiende a la siguiente sistemática:

  1. Delitos a los que se refiere.

La anterior regulación se refería sólo a supuestos de delincuencia organizada con lo que muchos tipos penales cuya comisión se realiza a través de redes telemáticas quedaban fuera de dicha medida.

El artículo 588 ter a amplia la posibilidad de dicha medida a los siguientes delitos:

 “delitos a que se refiere el artículo 579.1 de esta ley o delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación”

Los delitos a los que se refiere el artículo 579.1 son los siguientes:

  1.º Delitos dolosos castigados con pena con límite máximo de, al menos, tres años de prisión.

  2.º Delitos cometidos en el seno de un grupo u organización criminal.

  3.º Delitos de terrorismo.

  1. Necesidad de autorización cuando se trate de espacios cerrados.

La medida, aplicada a espacios públicos, no plantea problemas y no requiere de la autorización judicial. Un ejemplo de ello lo podemos ver en la STS 767/2007 que indica que es posible adoptar dicha medida en espacios púbicos “sin necesidad de autorización judicial o del Ministerio Fiscal. En este caso “el uso del nickname se llevó a efecto en espacios públicos y en funciones generales de prevención de la delincuencia”.

La novedad de la regulación en este punto es la posibilidad de su adopción, en canales cerrados de comunicación, pero con autorización judicial.

  1. Operaciones

Por lo que respecta a las operaciones que puede realizar el agente encubierto (con autorización) se mencionan las siguientes:

a) Intercambiar o enviar, por sí mismo, archivos ilícitos por razón de su contenido y analizar los resultados de los algoritmos aplicados para la identificación de dichos archivos ilícitos.

b) La obtención de imágenes y la grabación de las conversaciones que puedan mantenerse en los encuentros previstos entre el agente y el investigado, aun cuando se desarrollen en el interior de un domicilio.

Un aspecto interesante y que también ha generado literatura, pero que no es objeto de desarrollo aquí, es la distinción entre el agente informático o agente infiltrado y el agente provocador (en relación con el delito provocado). En este sentido  recomiendo la lectura de este interesante artículo de María Victoria Rodríguez Caro (6).

 

BIBLIOGRAFÍA:

  1. Http://www.tirant.com/editorial/libro/fraude-electronico-su-gestion-penal-y-civil-carolina-sanchis-crespo-9788490865569
  2. En Gran Bretaña los procedimientos de la “Association of Chef Police Officers”; Y en el caso de Rumanía las Directrices conocidas como “Operational procedure to be followed for search of computers”
  3. Se pueden consultar en la siguiente url: http://csrc.nist.gov/publications/PubsSPs.html.
  4. Http://derechoynormas.blogspot.com.es/2013/06/troyanos-e-investigacion-remota-de.html
  5. Http://www.internautas.org/html/8833.html
  6. Http://noticias.juridicas.com/conocimiento/articulos-doctrinales/10222-la-infiltracion-policial:-en-el-limite-del-estado-de-derecho-el-inminente-agente-encubierto-informatico/

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *