Aplicado al ámbito del peritaje informático, este plazo siempre ha sido muy corto. En numerosas ocasiones, cuando se presenta la necesidad de realizar un informe pericial informático sobre, por ejemplo, unos accesos no autorizados a una cuenta de correo electrónico o, en general, una intrusión en un sistema informático, en la que siempre se posee la dirección IP desde la cual se ha perpetrado el acceso indebido, era necesario realizar la pericial informática e interponer la querella con la máxima premura, al objeto de que el juez pudiera oficiar, con la máxima brevedad, a la operadora, para determinar la identidad del titular de dicha dirección IP en el instante del acceso no autorizado. En la mayoría de las ocasiones, se trabajaba en vano, pues no se llegaba a tiempo (la Administración de Justicia es demasiado lenta), y cuando el juez solicitaba el oficio a la operadora, ya había transcurrido el plazo de doce meses y la operadora ya no disponía de los datos.
Bien es cierto que, desde este despacho de peritaje informático, se han realizado periciales informáticas que han demostrado una intrusión desde una dirección IP (porque, por ejemplo, esa dirección IP de acceso indebido a una cuenta de correo de Outlook se correspondía con la dirección de envío de un correo electrónico recibido en dicha cuenta), se ha realizado un informe pericial informático, se ha solicitado oficio judicial a la operadora y, finalmente, con la aquiescencia del fiscal y finalmente del juez, se ha practicado orden de entrada y registro en el domicilio del intruso, para intervenir sus dispositivos informáticos y ser analizados por las Fuerzas y Cuerpos de Seguridad del Estado, pero esto no es lo habitual y, normalmente, no se trabaja con tanta premura. En otras ocasiones, también se ha llegado a tiempo, pero ciertamente la dirección IP pertenecía a un locutorio, a un hotel o similar, con lo que la investigación derivó a otras vías.
En esta reciente sentencia, como señala un artículo de Confilegal, el TJUE señala que la Directiva sobre privacidad de las comunicaciones electrónicas “no se limita a regular el acceso a esos datos mediante garantías dirigidas a prevenir los abusos, sino que consagra, en particular, el principio de prohibición de almacenamiento de los datos de tráfico y de localización”. La conservación de esos datos constituye, como apunta el TJUE, “por un lado, una excepción a dicha prohibición de almacenamiento y, por otro, una injerencia en los derechos fundamentales al respeto de la vida privada y a la protección de los datos de carácter personal”.
La justicia europea considera que las medidas que limitan derechos y obligaciones con fines de lucha contra la delincuencia grave deben respetar el principio de proporcionalidad, es decir, deben cumplir con los requisitos de aptitud y necesidad respecto del objetivo perseguido.
Además, el TJUE subraya que los poderes públicos son los encargados de establecer una ponderación equilibrada entre el interés general y los derechos de los ciudadanos, comprobando al mismo tiempo que la importancia de dicho objetivo guarde relación con la gravedad de la injerencia que supone la medida.
La sentencia desestima la argumentación según la cual la delincuencia grave podría asimilarse a una amenaza para la seguridad nacional, real y actual o previsible (futura) y que, por tanto, pueda, por un tiempo limitado, justificar una medida de conservación generalizada e indiferenciada de los datos de tráfico y de localización.
Sin embargo, el TJUE aporta una serie de indicaciones en las que el derecho europeo admite excepciones y medidas legislativas que establezcan conservación de datos a efectos de la lucha contra la delincuencia grave y de la prevención de amenazas graves contra la seguridad pública.
En primer lugar, la jurisprudencia del TJUE permite una conservación selectiva de los datos de tráfico y de localización en función de las categorías de personas afectadas o mediante un criterio geográfico. Por ejemplo, esta medida de conservación podría aplicarse referida a lugares como aeropuertos o estaciones de ferrocarril, frecuentados regularmente por un número muy elevado de personas, puesto que permitiría a las autoridades competentes obtener información sobre la presencia de las personas que utilizan medios de comunicación electrónicos y extraer conclusiones sobre su presencia y su actividad a efectos de la lucha contra la delincuencia grave.
En segundo lugar, el tribunal también permite una conservación generalizada e indiferenciada de los datos relativos a la identidad civil de los usuarios de medios de comunicación electrónicos. El TJUE no se opone a que una normativa nacional exija que la compra de un medio de comunicación electrónico (como puede ser una tarjeta SIM de prepago), esté supeditada a la comprobación de documentos oficiales que acrediten la identidad del comprador y a su registro por el vendedor. De esta manera, la información obtenida por tal vía podrá ser requerida al vendedor por las autoridades nacionales y el vendedor estará obligado a facilitársela.
En tercer lugar, el derecho europeo permite una conservación rápida de los datos de tráfico y de localización de las distintas personas sospechosas de haber planeado o cometido un delito grave o un atentado contra la seguridad nacional, siempre que esos datos puedan, sobre la base de elementos objetivos y no discriminatorios, contribuir a la investigación de tal delito o de tal atentado contra la seguridad nacional, como los datos de la propia víctima y de su entorno social o profesional.
Estas medidas, junto a la conservación generalizada e indiferenciada de las direcciones IP atribuidas al origen de una de una conexión, pueden aplicarse conjuntamente “según la elección del legislador nacional y siempre que se respeten los límites de lo estrictamente necesario”, agrega la sentencia.
Por último, el Tribunal de Justicia recuerda que, conforme al principio de autonomía procesal de los Estados miembros, la admisibilidad de las pruebas obtenidas mediante esta conservación se rige por el Derecho nacional, sin perjuicio del respeto, entre otros, de los principios de equivalencia y efectividad.
En un excelente artículo publicado en la Tribuna del número 10058, correspondiente al día 28 de abril de 2022, del Diario La Ley (en el que este profesional ha publicado también numerosos artículos), el Magistrado titular del Juzgado de Instrucción número 4 de Córdoba, Don José Luis Rodríguez Laínz, realiza un excelente resumen del “estado del arte” de la citada jurisprudencia, efectuando un recordatorio de las distintas sentencias en este ámbito dictadas por el TJUE, sobre cómo ha ido la jurisprudencia modificándose, así como también analiza las directivas comunitarias de aplicación a dicho respecto. El Magistrado resume que, en principio, el TJUE era muy reticente a conservar este tipo de información sobre comunicaciones, en virtud de la Directiva 2002/58/CE, pero que, actualmente, el TJUE se ha visto obligado a permitir un cierto grado de conservación de estos datos en casos muy excepcionales y tasados (que el magistrado explica), con objeto de que no reine el caos, la impunidad y el delito en las comunicaciones telefónicas y cibernéticas.
El artículo reseña la contradicción en el articulado de la Directiva 2002/58/CE (concretamente, entre los artículos 1.3 y 15 de dicha Directiva, refiriendo que la jurisprudencia europea se ha ido acomodando para dar cumplimiento a este último artículo), reseñando también la anulación de la Directiva 2006/24/CE, que modificaba la primera. Así, el Magistrado señala que, en virtud de ciertas sentencias ya anteriores a la analizada, el juez nacional encargado de autorizar algún tipo de intervención judicial para la conservación de datos de comunicaciones, deberá dejar sin efecto cualquier tipo de legislación nacional inspirada en la Directiva 2006/24/CE, sin que deba esperar a que dicha legislación se elimine por vía parlamentaria o constitucional, aplicando la Directiva 2002/58/CE, en vigor, en virtud de la primacía del Derecho de Unión. La jurisprudencia originada en virtud de la anulada Directiva 2006/24/CE, como la STS 721/2020, de 23 de marzo de 2021, también habrían perdido su razón de ser y deberían ser reconsideradas, según resalta el Magistrado.
Según el Magistrado, pues, el artículo 15, apartado 1, de la Directiva 2002/58, en su versión modificada por la Directiva 2009/136, es una excepción a la prohibición de almacenamiento de estos datos relativos a las comunicaciones, siendo que “no puede convertirse esta regla excepcional en regla general”, teniendo dicho artículo “un carácter exhaustivo; no admitiendo interpretaciones extensivas”, y todas las medidas tomadas para conservar esos datos de manera excepcional, habrán de someterse “tanto a los principios generales del Derecho de la Unión, con especial mención del principio de proporcionalidad, como al respeto los derechos fundamentales garantizados por la Carta de Derechos Fundamentales de la Unión Europea”.
El resumen de la sentencia es que, salvo casos muy excepcionales, sólo se podrá almacenar información de comunicaciones mediante orden judicial, especialmente en los casos que atañen a particulares anónimos, o por parte de una entidad administrativa independiente previa (que, para garantizar la independiente de dicha autoridad, no podrá ser el Ministerio Fiscal, porque dicha visión de entidad administrativa independiente sería incompatible con su ulterior ejercicio de la acusación pública, como bien recuerda el Magistrado Rodríguez Laínz en el artículo reseñado anteriormente). Respecto a estos “casos muy excepcionales”, la sentencia refiere textualmente que el artículo 15, apartado 1, de la Directiva 2002/58/CE, no se opone, por ejemplo, a “una conservación generalizada e indiferenciada de las direcciones IP atribuidas al origen de una conexión, para un período temporalmente limitado a lo estrictamente necesario”, por lo que estos datos se podrán seguir almacenando con objeto de luchar contra la delincuencia grave, específicamente contra la producción y distribución de pornografía infantil, siendo dicho régimen de conservación, según reconoce la sentencia, el único medio efectivo para poder encontrar a los criminales.
Los datos conservados con motivos comerciales por las operadoras, tampoco podrán utilizarse para otros fines distintos a dichas razones comerciales, con la excepción de su “conservación rápida” (que permite, según el artículo citado del Magistrado Martínez Laínz, “dar respuesta a la necesidad concreta de expandir la conservación de los datos más allá del momento en que procedería su expiración conforme a la ley nacional; y ello para atender a concretas necesidades de investigación de delitos graves o atentados contra la seguridad nacional”), mediante decisión motivada de la autoridad competente, sujeta a control jurisdiccional efectivo, “de los datos de tráfico y de localización de que dispongan estos proveedores de servicios, siempre que dichas medidas garanticen, mediante normas claras y precisas, que la conservación de los datos en cuestión está supeditada al respeto de las condiciones materiales y procesales correspondientes y que las personas afectadas disponen de garantías efectivas contra los riesgos de abuso”.
La sentencia, asimismo, se pronuncia en el sentido en que existe un “principio de jerarquía” (como también recuerda el Magistrado en su artículo), en virtud del cual, los datos conservados de forma generalizada con motivo de la prevención de los delitos contra la seguridad nacional, no podrían ser utilizados para la investigación prospectiva contra la delincuencia grave, porque ello significaría, de forma efectiva, dejar sin efecto la prohibición de conservación indiscriminada de datos de comunicaciones. Este “principio de jerarquía” funcionaría de manera inversa, de tal forma que sólo se aplicaría “si la importancia del objetivo perseguido por el acceso fuera mayor que la del objetivo que justificó la conservación”. Sin embargo, la sentencia no se pronuncia sobre la validez procesal de la información si, en el tratamiento de datos conservados para la salvaguardia de una finalidad concreta relacionada con la seguridad nacional, se produce un hallazgo de información relevante para la lucha contra la delincuencia grave.
Finalmente, la sentencia se pronuncia dos cuestiones adicionales.
La primera, es que el artículo 15, apartado 1, de la Directiva 2002/58, en su versión modificada por la Directiva2009/136, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos Fundamentales, “debe interpretarse en el sentido de que se opone a una normativa nacional en virtud de la cual el tratamiento centralizado de una solicitud de acceso a datos conservados por los proveedores de servicios de comunicaciones electrónicas, procedente de la Policía en el marco de la investigación y la persecución de delitos graves, corresponde a un funcionario de la Policía asistido por una unidad integrada en este mismo cuerpo, con cierto grado de autonomía en el ejercicio de sus funciones y cuyas decisiones pueden ser objeto de un control jurisdiccional ulterior”, ya que no se percibe como autoridad independiente, en tanto en cuanto participa de las investigaciones criminales subordinada a otras autoridades que tampoco serían independientes, como el Ministerio Fiscal.
La segunda, es que “El Derecho de la Unión debe interpretarse en el sentido de que se opone a que un órgano jurisdiccional nacional limite en el tiempo los efectos de una declaración de invalidez que le corresponde efectuar, en virtud del Derecho nacional, con respecto a una normativa nacional que impone a los proveedores de servicios de comunicaciones electrónicas una conservación generalizada e indiferenciada de los datos de tráfico y de localización, en razón de la incompatibilidad de esa normativa con el artículo 15, apartado 1, de la Directiva 2002/58, en su versión modificada por la Directiva 2009/136, a la vista dela Carta de los Derechos Fundamentales. Conforme al principio de autonomía procesal de los Estados miembros, la admisibilidad de las pruebas obtenidas mediante tal conservación se rige por el Derecho nacional, sin perjuicio del respeto en particular de los principios de equivalencia y efectividad”, lo que significa que ninguna normativa nacional inspirada por la anulada Directiva 2006/24/CE, puede ser prorrogada temporalmente.
Fuente: este post proviene de perito informatico colegiado, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado: