Análisis y alcance de los criterios del TJUE sobre el desencriptado de Encrochat

Julio-Sanchez-Abogados-Encrochat-Sentencia

Análisis y alcance de los criterios del TJUE sobre el desencriptado de Encrochat

Aplicaciones de la sentencia C-670/22 del 30 de abril de 2024 del Tribunal de Justicia de la Unión Europea.

Para el análisis del alcance de la sentencia C-670/22 del Tribunal de Justicia de la Unión Europea del pasado 30 de abril y lo que es más importante, cómo deberían actuar las autoridades judiciales y la fiscalía de lo distintos Estados miembros y en particular y en lo que más nos afecta, las autoridades españolas, procederemos a situarnos previamente en el contexto legal de la cuestión:

ANTECEDENTES LEGALES:

I.- El mecanismo de la cuestión prejudicial está regulado en el artículo 267 del Tratado de Funcionamiento de la Unión Europea (TFUE) el cual establece la competencia del Tribunal de Justicia de la Unión Europea para pronunciarse, con carácter prejudicial, sobre la interpretación del Derecho de la Unión y sobre la validez de los actos adoptados por las instituciones, órganos u organismos de la Unión.

II.El TJUE ya afirmó la primacía del Derecho comunitario, desde la sentencia Van Gend en Loos en 1962 y Costa en 1964, criterio, a su vez, recogido por el Tribunal Constitucional español que tiene declarado que “el principio de primacía del Derecho de la Unión Europea forma parte del acervo comunitario incorporado a nuestro ordenamiento” (entre otras en la STC nº 145/2012, de 2 de julio) y finalmente, fue elevado a rango legal, a través de la LO 7/2015, de 21 de julio de modificación de la LOPJ que introdujo el artículo 4 bis, estableciendo en su apartado primero que los Jueces y Tribunales aplicarán el Derecho de la Unión Europea de conformidad con la jurisprudencia del TJUE.

III.- En aplicación de la jurisprudencia del derecho de la Unión Europea, las injerencias en las comunicaciones o la transmisión de los datos así obtenidos que se hayan desarrollado al margen de la normativa española y europea prevista para la adopción de medidas de intromisión que afectan a los derechos fundamentales debe conducir a la expulsión de los procesos penales de toda esa información masiva obtenida con vulneración de los derechos fundamentales.

IV.- Las OEI’s cuestionadas por las autoridades judiciales alemanas y que dieron lugar al planteamiento de las cuestiones prejudiciales resueltas en la sentencia C-670/22 se enmarcan dentro de lo previsto en la Directiva 2014/41/CE relativa a la Orden Europea de Investigación en materia penal y en concreto en lo previsto en el artículo 1 párrafo 2º “para obtener pruebas que ya obren en poder de las autoridades competentes del Estado de ejecución” y en consecuencia, sometidas de forma imperativa a lo previsto en el artículo 6.1 a) “La autoridad de emisión únicamente podrá emitir una OEI cuando la emisión de la OEI sea necesaria y proporcionada a los fines de los procedimientos a que se refiere el artículo 4 teniendo en cuenta los derechos del sospechoso o acusadoy esto último se encuentra así definido porque no se trata de una mera actuación policial, sino de una actuación judicial en el seno de un proceso penal y bajo las garantías legales previstas en el ordenamiento jurídico europeo y en particular en el del Estado emisor de la OEI y completadas y definidas jurisprudencialmente.

V.- La propia Directiva reguladora de la OEI, en su artículo 14.7 establece que () “sin perjuicio de las normas procesales internas, los Estados miembros velarán por que, en los procesos penales en el Estado de emisión, se respeten los derechos de la defensa y la equidad del proceso al evaluar las pruebas obtenidas a través de la OEI” afirmación rotunda que se vincula con lo previsto en el apartado 1 del mismo artículo “los Estados miembros velarán por que las vías de recurso equivalentes a las existentes en un caso interno similar sean aplicables a las medidas de investigación indicada en la OEI

VI.- El cifrado de mensajería es un sistema de comunicación perfectamente legal, y, en consecuencia, su utilización, por sí mismo, no implica un derecho estatal a la intromisión en la intimidad, secreto de las comunicaciones y obtención de datos que se encuentran protegidos legalmente, a nivel internacional y nacional.

ANÁLISIS DE LA SENTENCIA C-670/22 DEL TJUE, SUS DIRECTRICES DE INTERPRETACIÓN Y PRINCIPIOS PRÁCTICOS DE APLICACIÓN.

En el contexto de conflicto de interpretación del alcance del control que, un Estado emisor de una OEI tiene sobre lo obtenido por el Estado de ejecución de la misma, el pasado 30 de abril, el Tribunal de Justicia de la Unión Europea -causa C-670/22-, dictó sentencia sobre las cuestiones prejudiciales planteadas, con arreglo al artículo 267 TFUE, por el Landgericht Berlin (Alemania), mediante resolución de 19 de octubre de 2022, recibida en el Tribunal de Justicia el 24 de octubre de 2022.

Esta petición de decisión prejudicial tiene por objeto la interpretación del art. 2 lit. c, del artículo 6, apartado 1, y del artículo 31 de la Directiva 2014/41/UE del Parlamento Europeo y del Consejo de 3 de abril de 2014, relativa a la orden europea de investigación en materia penal (DO 2014, L 130, p. 1) y a los principios de equivalencia y eficiencia.

()…..
Con carácter antecedente la sentencia citada sitúa el sustento fáctico en los puntos 19, 20 y ss:

  1. En el marco de una investigación llevada a cabo por las autoridades francesas, se descubrió que los sospechosos utilizaban teléfonos móviles criptográficos que operaban con una licencia denominada “EncroChat” para cometer delitos principalmente en el ámbito de los estupefacientes. Mediante un software especial y un hardware modificado, estos teléfonos móviles permitían una comunicación cifrada de extremo a extremo a través de un servidor situado en Roubaix (Francia), que no podía controlarse con los métodos de investigación convencionales (en lo sucesivo, el servicio EncroChat).
  2. Con autorización judicial, la policía francesa logró obtener datos de este servidor en 2018 y 2019. Estos datos permitieron el desarrollo de un software troyano por parte de un equipo conjunto de investigación en colaboración con expertos neerlandeses. Este software se instaló en el citado servidor con la autorización del Tribunal correctionnel de Lille (Francia) y desde allí se instaló en los teléfonos móviles mediante una actualización simulada. Un total de 32.477 usuarios (de un total de 66.134 usuarios registrados) de 122 países se habrían visto afectados por este software, entre ellos unos 4.600 usuarios en Alemania.
    ()…..

BREVE EXTRACTO DE LA SENTENCIA:

PRIMERA DE LAS CUESTIONES PREJUDICIALES.

SOBRE LA AUTORIDAD COMPETENTE PARA SOLICITAR EL TRASLADO DE PRUEBAS.

El Tribunal responde a la siguiente pregunta en orden a la interpretación de los artículos 2, letra c) y 6 apartado 1 de los artículos 1, apartado 1, y 2, letra c) Directiva 2014/41:

“si una orden europea de investigación para el traslado de pruebas que ya obran en poder de las autoridades competentes del Estado de ejecución debe ser dictada necesariamente por un juez cuando, con arreglo al Derecho del Estado de emisión, no es necesaria la obtención original de dichas pruebas en un procedimiento puramente judicial”

RESPUESTA: “Procede responder a la primera cuestión que los artículos 1, apartado 1, y 2, letra c), de la Directiva 2014/41 deben interpretarse en el sentido de que una orden europea de investigación para el traslado de pruebas que ya obran en poder de las autoridades competentes del Estado de ejecución no tiene necesariamente que ser dictada por un juez si, con arreglo al Derecho del Estado de emisión, en un procedimiento puramente interno en ese Estado, la obtención original de esas pruebas debería haber sido ordenada por un juez, pero un fiscal es competente para ordenar el traslado de esas pruebas”

Esta cuestión supedita el fondo de la cuestión a las competencias establecidas en cada país al respecto de la solicitud de transmisión de pruebas sin mayor alcance, ni trascendencia sobre el fondo de la cuestión.

SEGUNDA Y TERCERA CUESTIONES PREJUDICIALES.

SOBRE EL RESPETO AL DERECHO DE DEFENSA Y AL JUICIO JUSTO.

A ello se refiere en las PREGUNTAS 2 a) y 2 b): Estas cuestiones por estar interrelacionadas se contestan conjuntamente en los apartados a) y b).

El TJUE expone lo siguiente en orden a la interpretación del artículo 1 párr. 1 y art. 2 lit. c de la Directiva 2014/41/UE.

Con carácter previo a resolver ambas cuestiones, el TJUE establece, como ya hemos anticipado, que las OEI’s en cuestión se expidieron de conformidad con el artículo 1 párrafo 2º de la Directiva 2014/41/CE para la transmisión de pruebas que ya obraban en poder de las autoridades competentes del Estado de ejecución.

Además, fija como aspecto trascendental, en resolución de las cuestiones prejudiciales, el hecho de que “que los autos de investigación europeos controvertidos en el litigio principal tienen por objeto que la Fiscalía de Fráncfort obtenga de las autoridades de instrucción francesas datos recogidos en teléfonos móviles equipados con el servicio EncroChat y utilizados por usuarios alemanes. Estos datos fueron recogidos por dichas autoridades previa autorización de un juez francés”

Este análisis jurídico resulta aplicable, pues, tanto a la transmisión de datos obtenidos en otro país como la circunstancia esencial de que estos datos han sido obtenidos de teléfonos de ciudadanos españoles en cuya intromisión no participó, ni tuvo conocimiento alguno ninguna autoridad española, aplicable, como hemos dicho, también a la aplicación SKY.

Para la resolución de esta cuestión prejudicial el TJEU exige, a tenor del artículo 14, apartado 7, de la Directiva 2014/41 que los Estados miembros velen por que, en los procesos penales en el Estado de emisión, se respeten los derechos de la defensa y se garantice un juicio justo al valorar las pruebas obtenidas mediante un exhorto europeo de investigación.

SOBRE ACTUACIONES CON INDICIOS CONCRETOS DIRIGIDOS A PERSONAS CONCRETAS.

PREGUNTA: La segunda cuestión, letra a), versa en esencia sobre, si: para cumplir los requisitos de necesidad y proporcionalidad establecidos en el artículo 6, apartado 1, letra a), de la Directiva 2014/41, la expedición de una orden europea de investigación para el traslado de pruebas que ya obran en poder de las autoridades competentes del Estado de ejecución debe, entre otras cosas, supeditarse a la existencia de indicios concretos de infracciones penales graves contra cada una de las personas de que se trate en el momento en que se dicte dicha orden europea de investigación, o si pueden bastar a este respecto indicios de la existencia de varias infracciones cometidas por personas que aún no han sido identificadas.

SOBRE LA OBLIGACIÓN DE QUE LOS DATOS OBTENIDOS MEDIANTE LA INTERCEPTACIÓN SEAN VERIFICABLES POR LA DEFENSA.

PREGUNTA: La segunda cuestión, letra b), se refiere al principio de proporcionalidad en relación con el derecho a un proceso equitativo y si este es contrario a que se dicte una orden europea de investigación cuando la integridad de los datos obtenidos mediante la medida de interceptación no puede verificarse debido a la confidencialidad de las bases técnicas que hicieron posible dicha medida y, por tanto, el acusado puede no estar en condiciones de declarar eficazmente sobre dichos datos en el proceso penal posterior.

SOBRE EL RESPETO A LA LEGALIDAD REVISABLE POR ESTADO DE EMISIÓN.

PREGUNTA 3 a) y b): Y la tercera cuestión también desglosada en apartados a) y b), expone lo siguiente en orden a la interpretación del artículo 6, apartado 1, letra b), de la Directiva 2014/41. (b) de la Directiva 2014/41
“si, en general, o al menos cuando esos datos han sido recabados por las autoridades competentes del Estado de ejecución en el territorio del Estado de emisión y en interés de éste, la expedición de una orden europea de investigación para la transmisión de pruebas que ya obran en poder de las autoridades competentes del Estado de ejecución está sujeta a los mismos requisitos sustantivos que los aplicables en el Estado de emisión a la obtención de tales pruebas en una situación puramente interna

El TJUE responde de forma conjunta a estas cuestiones, 2) Y 3) que:

RESPUESTA 2 a) y 2 b y 3 a) y 3 b) : “Habida cuenta de lo anterior, procede responder a las cuestiones segunda y tercera que el artículo 6, apartado 1, de la Directiva 2014/41 1 de la Directiva 2014/41 debe interpretarse en el sentido de que no se opone a que una orden europea de investigación dirigida a la transmisión de pruebas que ya obran en poder de las autoridades competentes del Estado de ejecución sea dictada por un fiscal cuando dichas pruebas se hayan obtenido como resultado de la interceptación, por dichas autoridades en el territorio del Estado de emisión, de las telecomunicaciones de todos los usuarios de teléfonos móviles que permiten la comunicación cifrada de extremo a extremo mediante programas informáticos especializados y equipos modificados, siempre que dicha orden cumpla todas las condiciones establecidas, en su caso, por el Derecho del Estado de emisión para la transmisión de dichas pruebas en un asunto puramente interno

CUARTA CUESTIÓN PREJUDICIAL: Interpretación del artículo 31 de la Directiva 2014/41

SOBRE LA AUSENCIA DE COMUNICACIÓN.

Esta cuarta cuestión se desglosa a su vez en las letras 4 a), 4 b) y 4 c) y versa sobre si el artículo 31 de la Directiva 2014/41.

PREGUNTA 4 a) y 4 b): “debe interpretarse en el sentido de que constituye una “medida de interceptación de datos” una medida relativa a la infiltración de equipos terminales con el fin de obtener datos de tráfico, de localización y de comunicaciones de un servicio de comunicaciones por Internet, en el sentido previsto en el artículo 31 de la que se informará a un juez del Estado miembro en cuyo territorio se encuentre el objeto de la interceptación

RESPUESTA 4 a) y b): Habida cuenta de lo anterior, procede responder a la cuarta cuestión, letras a) y b), que el artículo 31 de la Directiva 2014/41 “debe interpretarse en el sentido de que una medida relativa a la infiltración de equipos terminales con el fin de sustraer datos de tráfico, localización y comunicación de un basado en Internet constituye “interceptación de las comunicaciones” en el sentido de dicho artículo, de la que debe ser informada la autoridad designada por el Estado miembro en cuyo territorio se encuentre la persona objeto de la intervención.

SOBRE LA APLICACIÓN DE LAS EXIGENCIAS DE LA DIRECTIVA, TANTO A LA INTERCEPTACIÓN DE COMUNICACIONES COMO A LA TRANSMISIÓN DE DATOS.

PREGUNTA 4 c): Mediante la cuarta cuestión, letra c), el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 31 de la Directiva 2014/41: “debe interpretarse en el sentido de que tiene por objeto proteger los derechos de los usuarios afectados por una medida de “interceptación de las telecomunicaciones” en el sentido de dicho artículo y que esa protección se extiende también a la utilización de los datos así recogidos a efectos de persecución penal en el Estado miembro informado

RESPUESTA 4 c): Habida cuenta de lo anterior, procede responder a la cuarta cuestión, letra c), que el artículo 31 de la Directiva 2014/41 “debe interpretarse en el sentido de que también tiene por objeto proteger los derechos de las personas afectadas por una medida del “interceptación de telecomunicaciones” en el sentido del presente artículo

QUINTA CUESTIÓN PREJUDICIAL.

EXCLUSIÓN DE LAS PRUEBAS CONSECUENCIA DEL INCUMPLIMIENTO DE LA LEGALIDAD EUROPEA Y NACIONAL APLICABLES. Interpretación del artículo 14, apartado 7, de la Directiva 2014/41.

PREGUNTA 5: El órgano jurisdiccional remitente de la pregunta requiere instrucciones al TJUE sobre: los efectos del principio de efectividad y si obliga al juez penal nacional, en el marco de un proceso penal contra una persona sospechosa de haber cometido infracciones penales, a no tener en cuenta la información y las pruebas obtenidas infringiendo las disposiciones del Derecho de la Unión.

RESPUESTA: El artículo 14, apartado 7, de la Directiva 2014/41 debe interpretarse en el sentido de que obliga al órgano jurisdiccional penal nacional, en un proceso penal contra una persona sospechosa de haber cometido infracciones penales, a no tener en cuenta la información y las pruebas cuando dicha persona no esté en condiciones de pronunciarse adecuadamente sobre esa información y esas pruebas puedan influir significativamente en la apreciación de los hechos.

CONCLUSIONES PRÁCTICAS

PRIMERA.- La sentencia C-670 del Tribunal de Justicia de la Unión Europea del pasado 30 de abril resulta de una gran relevancia ya que expone pautas de obligado cumplimiento al amparo de las cuales se puede reivindicar la nulidad de las fuentes de prueba directa e indirectamente derivadas de la transmisión de datos llevada a cabo por las autoridades francesas desde el punto de vista de nuestro ordenamiento interno, tanto en el hackeo de las aplicaciones Encrochat y Sky como de otras aplicaciones de mensajería encriptada.

SEGUNDA.- AUSENCIA DE CONOCIMIENTO PREVIO.

El Tribunal de Justicia de la Unión Europea, en la sentencia analizada, concluye que los Estados miembros deben notificar formalmente a los otros Estados miembros cuando intercepten comunicaciones en su jurisdicción, aspecto que Francia omitió al no notificar la operación de hackeo de los terminales a España, ni a otros Estados miembros como lo exige la ley de la UE.

Los Juzgados de Instrucción españoles, aplicable a otros Estados de emisión, no han contado con el conocimiento previo de la intromisión en las comunicaciones, ni lo más importante si quiera se les brindó la oportunidad de poder otorgar o denegar la pertinente autorización judicial para investigar los teléfonos o líneas telefónicas que utilizaban los aplicativos Encrochat/Sky ECC y que afectaba a los investigados residentes en el Estado emisor en sus derechos fundamentales.

Esta ausencia de control judicial de la medida de injerencia en el secreto de las comunicaciones que afectaba a ciudadanos residentes en nuestro país supone, ya de inicio, una de las mayores vulneraciones de derechos que se puede producir al sustraer al juez instructor del control de las garantías exigibles a este tipo de medidas, que sacrifican de forma grave los derechos de los afectados. Y no solo estuvieron ausentes del desarrollo de estas injerencias, sino que ni siquiera España a nivel orgánico policial, fue informada o participó de los procesos de injerencia.

Esta vulneración de los derechos de los afectados ya implica la nulidad de plano de la fuente de prueba porque, si un Estado miembro desea interceptar el tráfico de telecomunicaciones de personas que se encuentran en territorio español, debe informar de ello a la autoridad española competente, antes de que comience la medida (o en cuanto tenga conocimiento del paradero de la persona) (Art. 31 apartado 1 Directiva 2014/41/UE). De modo que Francia estaba obligada a notificar a las autoridades judiciales españolas la interceptación de teléfonos con los aplicativos Encrochat/Sky de ciudadanos residentes en nuestro país, naciendo desde ese momento, la oportunidad legal de oponerse a la operación en un plazo de 96 horas.

Esta notificación debería haber contenido detalles de los objetivos identificados por número de teléfono, dirección IP o correo electrónico, la identidad de las personas atacadas, incluida su dirección, fecha de nacimiento y números de seguridad social, así como una descripción del delito cometido, según un modelo de notificación incluido en la directiva OEI.

El artículo 31 de la Directiva dice:

Notificación al Estado miembro en el que se encuentre la persona que sea objeto de los procedimientos penales y cuya asistencia técnica no sea necesaria

  1. Cuando, a efectos de llevar a cabo una medida de investigación, la autoridad competente de un Estado miembro (el Estado que realiza la intervención) autorice la intervención de telecomunicaciones, y se utilice la dirección de comunicaciones de la persona que sea objeto de los procedimientos penales que figura en la orden de intervención en el territorio de otro Estado miembro («el Estado notificado») cuya asistencia técnica no se necesite para llevar a cabo dicha intervención, el Estado que realiza la intervención deberá notificar a la autoridad competente del Estado notificado de dicha intervención.

El formulario previsto a tal efecto en el anexo C de la Directiva exige, entre otras cosas, “toda la información necesaria, incluida una descripción del caso (…), para que la autoridad notificadora pueda evaluar si la interceptación estaría autorizada en un caso nacional similar y si el material obtenido en el curso de la interceptación puede utilizarse en un procedimiento judicial”.

Si, sobre la base de esta información, la autoridad española llega a la conclusión de que la medida no se autorizaría en un caso nacional similar, debe oponerse a ella en un plazo de 96 horas.

En ese caso, la medida extranjera no debía llevarse a cabo, ni continuarse; los datos ya recogidos no pueden ser utilizados por el Estado solicitante o sólo pueden utilizarse en determinadas condiciones.

Esto recoge el anexo C citado:

• Si la notificación se emite antes, durante o después de que se haya producido la interceptación;
Fecha prevista de inicio y finalización de la interceptación;
Objetivo de la interceptación identificado por número de teléfono, dirección IP o correo electrónico;
Identidad de la persona sometida a vigilancia, incluido el nombre, el sexo, la nacionalidad y el número de identidad o el número de la seguridad social, la fecha de nacimiento, el lugar de nacimiento, la dirección o la última dirección conocida;
• En el caso de una empresa u otra entidad jurídica sujeta a vigilancia, el número de registro, el nombre comercial, la dirección, el nombre y el contacto del representante de la organización;
• Una descripción del caso, detalles de la ofensiva, el código legal pertinente e información que permita al país notificado evaluar:
a) Si se autorizaría la interceptación en un caso similar en el país notificado y si el material interceptado podría utilizarse en procedimientos judiciales en el país notificado.
b) Cuando ya se haya producido la interceptación, si el material puede utilizarse en procedimientos judiciales.
• El país notificado dispone de 96 horas para oponerse a la interceptación o utilización del material interceptado una vez que ya se haya obtenido tras la recepción de la notificación.

En caso similar la sentencia del Tribunal Regional de Berlín (525 KLs) 254 Js 592/20 (10/21) de 1 de julio de 2021 recoge que “la copia de los datos de los usuarios del EncroChat (aplicable a Sky) en territorio alemán se llevó a cabo haciendo caso omiso de las normas de asistencia jurídica de protección individual y sin la sospecha concreta y necesaria de la existencia de un delito con arreglo a las normas pertinentes de la legislación alemana. Esto conduce a imposibilidad de utilizar los datos”.

En España es imposible el manejo de estos datos con valor incriminatorio alguno a tenor de lo establecido en el art. 588 bis i, puesto en relación con el art. 579 bis, ambos de la LECrim, en cuanto a la utilización de la información obtenida en un procedimiento distinto y descubrimientos casuales, pues el art. 579 bis LECrim establece que para que la información obtenida en un procedimiento pueda ser utilizado como medio de investigación o prueba en otro, debe deducirse testimonio de los particulares necesarios para acreditar la legitimidad de la injerencia y el juez competente valorará la diligencia en la actuación. Si este proceder es exigible entre procedimientos seguidos en España, más debe serlo cuando la información proviene de procedimientos seguidos en otro estado y más aún a la vista de lo ahora resuelto en la propia sentencia del TJUE C-670/22 de 30 de abril de 2024.

TERCERA.- AUSENCIA DE CONTROL JUDICIAL ESPAÑOL DE LA INJERENCIA, ACTUACIÓN INDISCRIMINADA Y PROSPECTIVA, AUSENCIA DE POSIBILIDAD DE VERIFICACIÓN DEL PROCESO DE INTROMISIÓN.

Los jueces instructores españoles no conocieron, ni en tiempo real, ni a posteriori, qué resoluciones adoptaron las autoridades judiciales francesas, en qué plazos se concedió la injerencia, cómo se controló, si hubo ceses de la medida de injerencia, cuáles fueron esos motivos, cuándo se inició la cadena de custodia de esas supuestas evidencias digitales o esencialmente cómo se hizo el hackeo masivo y con qué herramientas informáticas se llevó a cabo, entre otras muchas flagrantes ausencias inadmisibles en nuestro ordenamiento jurídico.

Debe respetarse las garantías legales que protegen el tratamiento de datos, especialmente cuando se trata de la recopilación masiva de datos de comunicaciones que interfieren en varios derechos humanos, sobre todo el derecho a la privacidad (artículo 8 del Convenio Europeo de Derechos Humanos (CEDH) y el derecho personal virtual incumpliendo los deberes de transparencia al imposibilitar a la defensa el acceso a información esencial para garantizar a la defensa el derecho a un juicio justo en los procesos penales (artículo 6 del CEDH).

Además, la peculiaridad del manejo de datos personalísimos, nos permite traer a colación sentencias anteriores como la STJUE de 16 de julio de 2020 (PrivacyShield), que se pronuncia “acerca del deber de los órganos jurisdiccionales de revisar la validez de las normas de protección de datos con independencia de la opinión sostenida por las autoridades de control independientes, reforzando con ello la obligación de los órganos jurisdiccionales y su sensible papel en la protección de los derechos fundamentales de los ciudadanos europeos.

El juez penal nacional tiene la obligación de examinar las condiciones en las que se han obtenido los datos y si su obtención es compatible con el Derecho de la Unión y así evitar que las informaciones y pruebas que se han obtenido de manera ilegal perjudiquen indebidamente a una persona sospechosa de haber cometido delitos.

Por último, la consecuencia es que deben excluirse las informaciones y las pruebas obtenidas incumpliendo lo dispuesto en el Derecho de la Unión. El juez nacional debe apreciar el riesgo que la admisibilidad de dichas informaciones y pruebas supone para el respeto del principio de contradicción y, por lo tanto, del derecho a un juicio justo (ver sentencia de 10 de abril de 2003, Steffensen, C-276/01, apartados 76y 77)

En conclusión, el CONTROL JUDICIAL de la fuente de prueba, por parte del Estado emisor de la OEI, en relación con la adopción de la medida de intromisión e injerencia de las autoridades francesas y Europol, brilla por su ausencia, circunstancia agravada ya que la intromisión supuso la obtención de información INDISCRIMINADA y permite identificar el comportamiento realizado por las autoridades francesas, tanto en la injerencia en dispositivos Encrochat, como Sky Ecc, dentro de las denominadas INVESTIGACIONES PROSPECTIVAS que son nulas, tal y como ha establecido la jurisprudencia del Tribunal Supremo español, Tribunal Constitucional español y el TEDH.

CUARTA.- VULNERACIÓN DEL DERECHO A LA CONTRADICCIÓN DE LA PRUEBA, A LA DEFENSA Y AL JUICIO JUSTO.

Además, de la actuación indiscriminada y prospectiva, en la obtención y transmisión de datos mediante el hackeo de las aplicaciones de mensajería encriptada y la falta de comunicación a los jueces españoles en tiempo real de cómo se estaba desarrollando la injerencia en los derechos fundamentales de los afectados, se suma que se está impidiendo a la defensa conocer esta información a posteriori, vedándonos el derecho a EJERCER LA CONTRADICCIÓN, ocultándonos el acceso a elementos esenciales en la actuación policial necesarios para el adecuado análisis de si, tales medidas de interceptación y desencriptado superan los estándares de calidad que se exigen en nuestro país, de tal modo que, la utilización de la información remitida por las autoridades francesas supone una vulneración de los derechos fundamentales de los investigados por incumplimiento de los principios que regulan la adopción de las medidas y que implican la obtención y el uso de los datos almacenados que según nuestra legislación están sujetos a estrictas limitaciones que se contienen en los artículos 588 bis a) y siguientes de la LECrim, entre las que destacamos:

(i) La utilización de datos está sujeta al principio de especialidad, de forma que sólo podrá autorizarse cuando la injerencia esté relacionada con un delito concreto.
(ii) No pueden autorizarse injerencias prospectivas, es decir, que tengan por objeto prevenir o descubrir delitos de forma indiscriminada o sin base objetiva.
(iii) La injerencia debe definir su ámbito objetivo y subjetivo conforme al principio de idoneidad.
(iv) La injerencia está también sujeta a los principios de excepcionalidad y necesidad sólo puede acordarse si no existen otras medidas menos gravosas y sólo cuando sea imprescindible

QUINTA.- ABUSO DEL PRINCIPIO DE RECONOCIMIENTO MUTUO, CONFIANZA Y NO INDAGACIÓN.

INAPLICABILIDAD DEL PRINCIPIO DE RECONOCIMIENTO MUTUO Y NO INDAGACIÓN: VULNERACIÓN DEL PROCESO JUSTO POR OCULTACIÓN DE ELEMENTOS ESENCIALES DE LA EVIDENCIA DIGITAL.

El TJUE ha dejado claro, negro sobre blanco, la inaplicabilidad del principio de reconocimiento mutuo cuando ellos supone una clara vulneración de los derechos de los afectados, no solo cuando se produjo la injerencia masiva e indiscriminada, sino cuando se impide a la defensa la verificación y contradicción de las supuestas evidencias digitales, su proceso de obtención y cadena de custodia vulnerando el derecho al proceso justo.

Este agujero negro probatorio en que Francia, alegando el “secreto de estado”, pretende que caigamos, supone simplemente no facilitar información a la defensa de cómo se obtuvo la evidencia de interceptación de los teléfonos encriptados y el desconocimiento de cómo se han realizado estas injerencias supone una vulneración del derecho a un proceso justo y deben provocar la expulsión de los datos del procedimiento penal. No sirviendo de excusa la alegación del principio de reconocimiento mutuo, fundamentalmente porque nuestra legislación no lo permite, no teniendo encaje en el artículo 588 septies de la LECrim.

La utilización como escudo del principio de reconocimiento mutuo y el principio de no indagación de los Tribunales españoles tiene un límite claro establecido en la propia OEI y que se centra en la existencia de flagrantes vulneraciones de derechos fundamentales, como los que se han dado en el caso Encrochat o Sky Ecc entre otros, ya que, pese a que en términos generales, entre estados miembros de la Unión Europea imperan los referidos principios, cuestión que se refleja en el considerando segundo de la Directiva 2014/41/CE del Parlamento europeo y del Consejo de 3 de abril de 2014 relativa a la orden europea de investigación en materia penal, no es menos cierto que tales principios no son absolutos como también nos recuerda el Tribunal Supremo, estableciendo a tal respecto en la sentencia n° 807/2022, de 7 de octubre que:

Al juez español no le incumbe verificar un previo proceso de validación de la prueba practicada conforme a normas procesales extranjeras, si bien esta regla anclada en el principio “locus regit actum”, no puede convertirse en un trasnochado adagio al servicio de la indiferencia de los órganos judiciales españoles frente a flagrantes vulneraciones de derechos fundamentales, lo que resultaría incompatible con algunos de los valores constitucionales comprometidos en el ejercicio de la función jurisdiccional”.

Las autoridades judiciales españolas y la fiscalía, aplicable en mayor o menor medida a las autoridades igualmente implicadas en los demás Estados miembros, tienden a responder con poca valentía a los retos que implican la radicalidad de reconocer que, un evidente defecto de procedimiento, que supone una vulneración de los derechos fundamentales de las personas debe conllevar el reconocimiento de la nulidad de los resultados obtenidos.

Esto les lleva a menudo a ponerse de perfil y no asumir sus responsabilidades y a dar por bueno aquello que es inaceptable o en el menor de los casos, a sostener vivo un procedimiento esperando que llegue el momento de tomar una decisión que posponen a ver si, de un modo u otro, aparecen vientos mejores para el mantenimiento de un mal entendido statu quo, como si el respeto de la legalidad no fuera un pilar de los valores fundacionales de la Unión Europa y uno de los elementos esenciales de nuestro ordenamiento jurídico.

En este contexto suele ser habitual el abuso de los principios de reconocimiento mutuo y confianza en las resoluciones dictadas en cualquiera de los Estados miembros.

En particular, y en relación con la obtención y transmisión de pruebas, el principio de reconocimiento mutuo de las sentencias y resoluciones judiciales dictadas en un Estado distinto del que debe hacer uso de las pruebas obtenidas, se enarbola como la base de la cooperación judicial en materia penal y se cimenta en los principios de confianza mutua y en la presunción de que los Estados miembros respetan el Derecho de la Unión Europea y, especialmente, los derechos fundamentales de los ciudadanos.

Estos principios de reconocimiento mutuo y confianza, alimentaron la creación de un sistema general de obtención de pruebas transfronterizas que, sin embargo, en la práctica, los tribunales nos tienen acostumbrados a utilizarlos como un escudo protector dispuesto a convalidar cualquier actuación judicial transfronteriza, de la que no tienen conocimiento previo de cómo se desarrolla, ni tienen posibilidad de verificar en tiempo real como se ejecuta, ni han dado consentimiento para que esta investigación afecte a ciudadanos, que en el momento de la injerencia en sus derechos, se encuentran en el territorio del Estado emisor.

Esto conlleva por delegación la atribución a la autoridad policial de una patente de corso que revive el principio maquiavélico de que “el fin justifica los medios” impidiendo cualquier indagación por parte de la defensa sobre el procedimiento de obtención de las evidencias y, en consecuencia, obviando que la propia jurisprudencia europea y en nuestro caso particular, el propio Tribunal Supremo, afirman que estos principios no son una excusa para no velar por el cumplimiento de los derechos fundamentales.

SEXTA.- EXCLUSIÓN DE LA PRUEBA.

El TJUE, en la sentencia en la causa C-670/22, es claro y tajante al expresar en la interpretación del artículo 14, apartado 7, de la Directiva 2014/41 sobre las consecuencias que debe acarrear el oscurantismo en la obtención y práctica de la intromisión y su posterior transmisión de datos que resuelve en la PREGUNTA CINCO aclarando que “ello obliga al órgano jurisdiccional penal nacional, en un proceso penal contra una persona sospechosa de haber cometido infracciones penales, a no tener en cuenta la información y las pruebas”.

El uso de las OEI’s para la obtención y/o transmisión de datos desde un Estado miembro combinado con el paraguas de los principios de reconocimiento mutuo y de confianza suele comportar una vulneración del derecho a la defensa, al principio de contradicción, del derecho a verificar la evidencia que se pretende convertir en prueba en el plenario, en definitiva el derecho al proceso justo con las debidas garantías, al margen de las que la propia medida de injerencia pueda cercenar, como puede ser entre otras, el derecho al secreto de las comunicaciones o a la dignidad de la persona.

Finalmente, la situación actual, tras esta sentencia, nos genera dudas sobre cuál será el proceder de las autoridades correspondientes en cada país: hasta dónde están dispuestos a mantener y no enmendar su posición, si tanto los tribunales como la fiscalía, están dispuestos a alargar la situación e incluso a dictar condenas con semejante dislate jurídico, preferirán remar y morir en la orilla o esperarán que sea al final el TEDH el que vaya tumbando hipotéticas condenas con este vergonzoso bagaje.

En fin, el tiempo nos lo dirá, pero desde luego desde Julio Sánchez.-Abogados seguimos luchando en defensa de los intereses de nuestros clientes y que esto, más pronto que tarde, se convierta en una pesadilla legal que abra una nueva fase. La de las demandas por responsabilidad por anormal funcionamiento de la Justicia.

Julio Sánchez Martínez .- Abogado

Artículos relacionados:
El TJUE ha dictado sentencia sobre el hackeo de ENCROCHAT
SKY ECC: ¿El fin justifica los medios?