Sky y el agujero negro probatorio: Reflexiones sobre un juicio
Recientemente hemos participado en la defensa de uno de los catorce acusados a los que el Ministerio Fiscal solicitaba un total de 167 años de prisión por delitos de tráfico de drogas y organización criminal.
La acusación sostenía las imputaciones sobre la única base de la desencriptación de la telefonía Sky y con lo así obtenido le bastaba para acusarlos de una operación de tráfico de 1.650 kg de cocaína, llevada a cabo en el puerto de Valencia en agosto de 2020.
Ninguna otra información existía que corroborase las acusaciones de la Fiscalía Especial Antidrogas de Valencia.
El juicio quedó visto para sentencia el 23 de diciembre pasado.
La importancia estriba en si, la sección tercera de la Audiencia Provincial de Valencia dará por buena las evidencias remitidas desde Francia mediante OEI emitida por el juzgado de Instrucción nº uno de Valencia, o si por contrario, admitirá los planteamientos de las defensas impugnado su valor probatorio.
Ante la trascendencia de este juicio, posiblemente el primero que se practica en España, en el que no existe ninguna evidencia más que el propio desencriptado, queremos aportar nuestras reflexiones sobre lo acontecido en esta vista y durante la instrucción de esta causa y en general sobre el alcance y la repercusión en los derechos de los investigados de cómo se están tramitando este tipo de OEI’s.
CUESTIONES PREJUDICIALES
Nuestro primer planteamiento ha sido mantener nuestra petición anterior e interesar que se eleven cuestiones prejudiciales al Tribunal de Justicia de la Unión Europea (TJUE) en virtud del artículo 267 del Tratado de Funcionamiento de la Unión Europea (TFUE), en relación con la interpretación y aplicación de la Directiva 2014/41/UE relativa a la orden europea de investigación en materia penal, así como de la normativa europea sobre protección de datos personales y los principios fundamentales de la Carta de Derechos Fundamentales de la Unión Europea.
Básicamente las prejudiciales estriban sobre varios temas esenciales, entre otros:
I. La primacía del respeto de los derechos fundamentales y el proceso justo en la cooperación judicial europea sobre el principio de reconocimiento mutuo.
II. Sobre la individualización y proporcionalidad de las medidas de injerencia en la desencriptación.
III. Sobre la obligación de compartir toda información obtenida por el Estado requerido sin selección previa, ni cribado parcial y sesgado.
IV. Garantías reforzadas para la admisión de evidencia digital transfronteriza y el control judicial durante la investigación.
V. Sobre la autorización previa y la exclusión de datos en relación con el artículo 31 c de la Directiva: principio de territorialidad. Efectos de la falta de notificación al Estado afectado en la actuación transfronteriza sobre terminales telefónicos e inadmisión de prueba por incumplimiento del Anexo C del artículo 31 de la Directiva 2014/41/UE
VI. Distinción entre inteligencia policial y prueba procesal
VII. Cooperación y control judicial reforzados en la transmisión de datos entre países miembros
VIII. Motivación reforzada e interoperabilidad técnica y protección de derechos.
IX. Garantía de los derechos de protección de datos del investigado. Sobre la protección de datos y ejercicio de estos derechos frente a Eurojust
X. Responsabilidad compartida y obligación de cooperación.
XI. Notificación al afectado de los recursos. Derecho al recurso efectivo en el país que desarrolla la injerencia.
XII. Sobre la validez de la prueba en España cuando el afectado no ha podido recurrir en Francia
XIII. Sobre el control de equivalencia y su primacía sobre el reconocimiento mutuo.
Al margen de cuestiones prejudiciales que veremos si el Tribunal decide tramitar, o quizá no lo considere necesario, o lo posponga para que lo reiteremos en una última instancia ante el Tribunal Supremo, nuestro análisis de la cuestión probatoria de Sky quedaría resumida en los siguientes argumentos:
Con carácter antecedente, ¿QUÉ ES UNA OEI Y SU RAZÓN DE SER?
Con el pretexto de la necesidad de luchar contra la delincuencia transnacional, los Estados miembros de la Unión Europea implementaron un sistema general de obtención y transmisión de pruebas transfronterizas sustentado en el principio de aceptación de que los países presumen que lo practicado en otro país miembro satisface los estándares de calidad y cumplimiento de la legalidad exigible en el país requirente del auxilio.
En primer lugar, hemos de entender que se trata de una presunción iuris tantum y no de un acto de fe ciego e irreflexivo. En consecuencia, admite la refutación que, no solo puede ser realizada por las autoridades judiciales del país requirente o emisor, en nuestro caso España, sino, y muy importante, debe permitirse a las defensas poder ejercer con plena libertad ese derecho a la refutación.
En segundo lugar, la OEI jamás se ideó como una excusa para no valorar si se han respetado los derechos de los afectados por las medidas adoptadas, y menos aún para obtener información que, de ninguna otra manera, hubiera sido posible conseguir en países más exigentes y garantistas que, a la postre, ha demostrado ser Francia.
Esta idea comportó la creación de instrumentos de cooperación judicial internacional en materia penal cimentados en el principio de confianza mutua sobre la presunción de que los Estados miembros cumplen con esos estándares respetuosos con el Derecho de la Unión Europea y, especialmente, con los derechos fundamentales: el llamado principio de reconocimiento mutuo.
Pero para evitar la tentación de convertirlo en una patente de corso que reviviese el principio maquiavélico de que “el fin justifica los medios” los Estados miembros crearon el instrumento de la OEI (Orden Europea de Investigación) alejada en su génesis del concepto de escudo protector validador de cualquier actuación judicial transfronteriza que, en la práctica y por delegación, además, se pudiese convertir en la aceptación tácita de que la dirección del proceso se atribuye a la autoridad policial tan dada, por otra parte, a actuar bajo el indeseable sesgo de confirmación.
Por tanto, la OEI es un instrumento de cooperación judicial que permite a las autoridades de un Estado miembro de la UE solicitar la práctica de diligencias de investigación en otro Estado miembro o bien, la transmisión de evidencias ya existentes en otro país, ideado bajo los principios de reconocimiento mutuo y principio de confianza reflejados en el considerando segundo de la Directiva 2014/41/CE del Parlamento europeo y del Consejo de 3 de abril de 2014, relativa a la orden europea de investigación en materia penal (OEI), principios acogidos por España en la Ley 23/2014 de reconocimiento mutuo de resoluciones penales de la Unión Europea.
Los legisladores fijaron para su utilización dos claros límites establecidos en la propia OEI, por un lado, la prohibición de que se utilice para la vulneración de derechos fundamentales, y por otra, el absoluto respeto a las garantías legales que prevé la propia OEI.
Sin embargo, en su aplicación, una de las consecuencias indeseables es el abuso del principio de no indagación cuya finalidad es evitar que el juez nacional deba realizar un examen de la regularidad formal de la obtención de la prueba conforme a la legalidad procesal de otro Estado miembro.
En la práctica, el uso de los datos obtenidos mediante la desencriptación de los mensajes cifrados enviados a través de la aplicación Sky ECC arrastra un fallo de origen, que resulta fundamental para entender porque levanta tantas ampollas: inicialmente, esta información se compartió entre cuerpos de seguridad como simples paquetes de inteligencia policial.
No se trata de que esto no sea posible, ya que esta labor de inteligencia se desarrolló al amparo de la llamada iniciativa sueca, y posteriormente, las autoridades policiales españolas, tras un análisis preliminar, solicitaron a la autoridad judicial española competente que formalizara el uso de dichos datos mediante la emisión de la correspondiente Orden Europea de Investigación (OEI).
Sin embargo, las OEI, realmente se tramitaron como un mero elemento convalidador de la investigación policial.
Posiblemente debido al gran interés que suscitaba la información, a la escasa experiencia en la tramitación de datos obtenidos de forma tan novedosa, o al simple afán persecutorio, los jueces instructores españoles solicitantes no ejercieron como verdaderos jueces de garantías. No impusieron condiciones, ni verificaciones a las autoridades francesas sobre el origen y la legalidad de la interceptación, ni exigieron el cumplimiento de los estándares de calidad que nuestro ordenamiento jurídico prevé para la transmisión de datos reservados.
Como consecuencia, las autoridades francesas, siguiendo la misma dinámica meramente burocrática, respondieron a las OEI autorizando la transmisión de los datos que los agentes españoles ya habían analizado previamente como inteligencia policial.
Una vez recibida la OEI autorizante junto con el paquete de información, el juez instructor español lo entregó de nuevo a la autoridad policial para su análisis «oficial». Este procedimiento resultó ser un «paripé», ya que se retornó al punto de partida original con la pretendida excusa de haberle añadido una especie de vitola de «garantizado por intervención judicial» vistiendo el santo de la forma más apropiada para confirmar las sesgadas conjeturas y prejuicios de los investigadores.
Esta actuación deja en un vacío procedimental absoluto la obligación del juez instructor de verificar si la obtención de los datos cumplía con los estándares judiciales españoles.
Se enarbola la bandera del principio de reconocimiento mutuo y el principio de confianza, pero surge la duda: ¿dónde quedan las exigencias y garantías del respeto de los derechos fundamentales del investigado cuando la desencriptación llevada a cabo por autoridades extranjeras fue indiscriminada y prospectiva?
¿Dónde queda la obligación del juez instructor español de respetar las exigencias del artículo 31 anexo C de la directiva, especialmente cuando, en el momento de la captación de la información, había terminales telefónicos en territorio nacional español y no se informó de ello?
VULNERACIÓN DEL DERECHO A UN PROCESO CON TODAS LAS GARANTÍAS Y A LA TUTELA JUDICIAL EFECTIVA
Resulta patente que, en el ámbito de la cooperación judicial y policial transfronteriza en materia penal dentro del espacio europeo, un instrumento tan potente y goloso que pone a disposición de las autoridades información privada de miles de afectados debe tener como contrapartida un nivel de exigencia y control reforzado que limite situaciones de abuso.
Ambas cuestiones, serían las dos caras de la misma moneda, a mayor capacidad de injerencia en la intimidad de las personas, la contrapartida debería ser mayores garantías en su uso, adecuado y respetuoso con los derechos fundamentales del individuo y el correspondiente control efectivo de estas garantías por parte de las autoridades judiciales implicadas.
Sin embargo, en la obtención y transmisión de las evidencias digitales procedentes de la plataforma SKY ECC mediante una Orden Europea de Investigación y su transmisión a España, concurren graves deficiencias irreconciliables con las exigencias de un juicio justo que, quedaron claramente expuestas en el juicio ante la sección tercera de la Audiencia Provincial de Valencia mediante la labor de la defensa y los peritos de parte.
FISURA EN EL SISTEMA DE CONTROL JUDICIAL Y RESPONSABILIDAD COMPARTIDA
La utilización del material desencriptado y remitido por las autoridades francesas nace del agujero negro probatorio en que Francia nos tiene inmersos y supone simplemente, no facilitar información a la defensa sobre la evidencia original conseguida mediante la interceptación de los teléfonos encriptados que debe provocar la expulsión del procedimiento penal de los datos así obtenidos.
En los casos de cooperación judicial y policial transfronteriza, como este, la responsabilidad sobre la protección de los derechos fundamentales de los afectados es compartida entre el Estado emisor (España) y el Estado ejecutor (Francia).
Sin embargo, se ha producido una auténtica fisura en el sistema de garantías, por cuanto:
▪️ La autoridad judicial francesa no ejerció, en origen, un control efectivo sobre la licitud de la obtención de las evidencias obtenidas de la desencriptación, al menos el control exigible en una Estado democrático miembro de la Unión Europea.
▪️ Tampoco respetó el principio de territorialidad en la intervención de comunicaciones de personas ubicadas en territorio español que suponía la obligación de comunicación a las autoridades españolas de esta circunstancia.
▪️ La autoridad judicial española tampoco ejerció un control posterior sobre la originalidad, integridad, autenticidad y licitud de la evidencia recibida, admitiendo automáticamente su validez basándose exclusivamente en el principio de reconocimiento mutuo, usándolo como un mero escudo protector frente a las exigencias de los abogados defensores de que se nos permitiera refutar las evidencias originales.
Esta corruptela generó, a la espera de lo que suceda con la sentencia, una clara indefensión a nuestro cliente y al resto de los acusados porque, en una sociedad democrática no todo vale para tapar las vergüenzas de un proceder policial y acusatorio, opaco y auto justificado en una directiva europea, la 2014/41 y su transposición española, utilizada de forma torticera para dotar a la policía europea de una patente de corso que les permita apropiarse del procedimiento penal.
Ha costado mucho crear un sistema de garantías para que ahora resucitemos el principio maquiavélico de que el fin justifica los medios o para hacer uso de información que nuestro ordenamiento jurídico no permitiría obtener de la manera que Francia lo ha hecho.
LÍMITES DEL PRINCIPIO DE RECONOCIMIENTO MUTUO
El principio de reconocimiento mutuo, creado como piedra angular de la cooperación judicial europea, no es absoluto, ni puede aplicarse de forma automática, cuando su aplicación suponga una vulneración de derechos fundamentales, pero también cuando incumpla las propias garantías establecidas en la Directiva.
El Tribunal de Justicia de la Unión Europea, en sentencias como Aranyosi y Căldăraru (C-404/15 y C-659/15 PPU) y LM (Celmer) (C-216/18 PPU), ha establecido que este principio debe ceder cuando existan indicios de vulneración de derechos fundamentales. Doctrina confirmada y desarrollada en sentencias posteriores, como Staatsanwaltschaft Aachen contra M.D., Dumitru-Tudor Dorobantu y X and Y v Openbaar Ministerie, donde el TJUE ha reiterado que el principio de reconocimiento mutuo puede ceder en circunstancias excepcionales para salvaguardar los derechos fundamentales (Staatsanwaltschaft Aachen contra M.D., 9 de noviembre de 2023; Dumitru-Tudor Dorobantu, 15 de octubre de 2019; X and Y v Openbaar Ministerie, 22 de febrero de 2022
En el presente caso, la aplicación automática del principio de reconocimiento mutuo y no indagación ha servido de excusa, al menos hasta ahora, para que la autoridad judicial española hiciese una dejación de funciones en el control efectivo sobre la evidencia digital obtenida en el extranjero, lo que ha provocado:
▪️ La imposibilidad de verificar la licitud en su obtención.
▪️ La ausencia de control sobre la integridad, originalidad y autenticidad de la prueba digital
▪️ La inadmisión, durante la instrucción, de diligencias periciales solicitadas para verificar la autenticidad.
Esto último, se ha podido subsanar en parte con la admisión in extemis de la pericial de parte, que ha permitido clarificar la aberración procesal cometida al aceptar unas evidencias digitales que jamás deberían haber superado el estándar de exigencias de un estado democrático y de derecho.
Absoluta falta de control y garantías en la transmisión de los datos desencriptados.
▪️ Tratar la transmisión de la información obtenida por la autoridad judicial española mediante OEI como un simple traslado de prueba obtenida en el extranjero y hacer dejación de las obligaciones garantistas sobre cómo se obtuvo esa información, es un fraude al sistema judicial español y una vulneración de los derechos del investigado afectado por la medida.
CONTROL DE EQUIVALENCIA Y EL PRINICIPIO DE RECONOCIMIENTO MUTUO
El control de equivalencia que debe realizar la autoridad judicial española sobre la medida adoptada en Francia (u otro Estado miembro) es una condición previa y esencial para la aceptación de las evidencias en España.
Este control de equivalencia, se sitúa en un plano de superioridad normativa respecto al principio de reconocimiento mutuo y confianza, ya que es una condición sine qua non para la validez de una OEI, e impone al juez español la obligación inexcusable de verificar, si lo que se pretende en la OEI es admisible en el derecho español.
A ello le obliga el artículo 6 en relación con el 1⁰ de la directiva 2014/41 y su transposición al ordenamiento jurídico español.
Dos son los límites fundamentales que rigen el mecanismo de la OEI:
Uno de ellos, es el principio de especialidad, que limita el uso de las pruebas obtenidas a los fines, objeto, procedimientos y personas expresamente solicitados y posteriormente autorizados por la autoridad de ejecución del Estado requerido.
A tenor del artículo 1 de la Directiva 2014/41, la OEI es una resolución judicial emitida o validada por una autoridad judicial de un Estado miembro («el Estado de emisión») para llevar a cabo lo siguiente:
I.- una o varias medidas de investigación en otro Estado miembro («el Estado de ejecución») con vistas a obtener pruebas con arreglo a la presente Directiva.
II.- También se podrá emitir una OEI para obtener pruebas que ya obren en poder de las autoridades competentes del Estado de ejecución.
Y el otro límite, consecuencia del anterior, es el previsto en el artículo 6, apartado 1, letra b), de la Directiva relativa a la OEI que establece como condiciones para la emisión de una OEI, que las medidas solicitadas sean necesarias, proporcionadas y aplicables en un asunto interno similar.
OBJETO Y ALCANCE DE LA OEI: principio de especialidad
En el caso que nos ocupa llaman la atención tres aspectos:
El primero, se refiere al objeto de la emisión de la OEI, la cual se refería a los chats desencriptados de un listado de usuarios con un código Pin determinado.
Así se solicitó por el Edoa, así se refrendó por la fiscalía y así se autorizó por el juez instructor.
Sin embargo, el posterior informe policial confeccionado a la vista de la información recibida de Francia, incorporaba carpetas de chat de Pines de usuarios los cuales no fueron incluidos en el listado de Pines solicitados.
Por supuesto, Francia no remitió un archivo con los datos de los pines no incluidos, ni tampoco autorizó su uso.
El segundo, también en relación con el propio objeto de la OEI consistía en “solicitar la autorización para utilizar la información” ya conocida por inteligencia policial, en ningún caso se solicitaba la transmisión de los datos conservados en Francia.
El tercero, la OEI emitida por el Juez de Instrucción nº Uno de Valencia se dirigía solo a la autoridad judicial francesa. Sin embargo, esta, sin nueva OEI o instrumento similar, solicitó, del responsable del tratamiento de los datos personales -la autoridad policial holandesa- que se los remitiese a la autoridad judicial francesa y esta los reenvió a España, pese a que solo se solicitaba autorización para utilizar lo ya conocido por inteligencia policial.
Respecto a la ausencia del PIN inexistente, en particular el de nuestro defendido, el Ministerio Fiscal solventó la cuestión con el argumento de que se obtuvo la información al analizar la comunicación bidireccional (chats) con uno de los investigados del que sí se había incluido su PIN en el listado.
El principio de especialidad, tal como se aplica en el contexto de la OEI, exige que las evidencias obtenidas solo puedan ser utilizadas para los fines, procedimientos y personas especificados en la solicitud original y autorizados por la autoridad de ejecución. Este principio, aunque originado en el derecho de extradición, ha sido expresamente reconocido y adaptado al ámbito de la cooperación judicial en materia penal en la Unión Europea, especialmente en lo relativo a la transmisión y utilización de pruebas.
HALLAZGO CASUAL
Frente estos argumentos la fiscalía defiende que la información relativa al SkyPIN de una persona que no fue incluida, ni autorizada en la OEI inicial, ni, por tanto, autorizado el uso de ningún dato o información de este, puede, sin embargo, ser utilizada para incriminarle al haberse extraído de la conversación de chat con otro investigado, cuyo Pin sí había sido incluido en la OEI emitida por España.
Esta cuestión no es tan simple de resolver, ya que para que esta información, no solicitada, tal y como pretendía el Ministerio Fiscal, pueda ser utilizada válidamente como prueba en el procedimiento penal debe someterse a una interpretación y esto puede llevarnos a la solución por dos vías distintas:
1.- Estricta: Al tratarse de información derivada de una OEI tenemos irreversiblemente que acudir de forma exclusiva a lo previsto en la Directiva, o,
2.- Ampararse en una interpretación laxa y extrapolada de lo que nuestro ordenamiento jurídico establece cuando en el curso de una medida de intromisión en la intimidad o secreto de las comunicaciones aparece información no solicitada o de persona no incluida en la medida.
En el primer camino, la respuesta es clara, a tenor del principio de especialidad cualquier solución a la información obtenida, pero no solicitada, debe remitirnos a la solución prevista en la Directiva reguladora de la OEI que no es otra que la emisión de una OEI complementaria.
El segundo de los caminos, lleva a la tentación de buscar alternativas que permitan subsanar un flagrante defecto, ya en origen, de la OEI y podría ser la de considerar la extracción de la información relativa a un identificador de mensajería cifrada no solicitada como un hallazgo casual o imprevisible.
Sin embargo, este concepto de hallazgo casual ha sido tratado jurisprudencialmente y cubierto legalmente con la reforma introducida por la Ley Orgánica 13/2015, de 5 de octubre y resulta clave en este análisis, ya que incorpora el artículo 579 bis a la Ley de Enjuiciamiento Criminal, regulando expresamente el uso de hallazgos casuales en procesos penales.
El artículo 579 bis, establece que, cuando en el curso de una medida de investigación autorizada judicialmente se obtenga información relevante para otro proceso penal distinto, será necesario un nuevo auto judicial que convalide la utilización de dicha información en el nuevo procedimiento. Esta previsión, se extiende a todos los hallazgos casuales derivados de medidas de investigación tecnológica, como la intervención de comunicaciones electrónicas, y sirve de pauta general para la utilización de pruebas obtenidas incidentalmente.
Este régimen, se aplica tanto a los denominados hallazgos casuales como a la continuación de la medida en el nuevo proceso.
La finalidad de esta exigencia es doble: por un lado, garantizar el respeto a los derechos fundamentales de las personas afectadas por la medida, y por otro, asegurar la legalidad y validez de la futura prueba en el proceso penal.
DILIGENCIA Y PREVISIBILIDAD DEL HALLAZGO
El uso de hallazgos casuales en el proceso penal está sujeto a límites estrictos en cuanto a la diligencia y previsibilidad del descubrimiento.
La doctrina y la práctica judicial exigen que el hallazgo sea verdaderamente casual y, por tanto, que no fuera previsible, ni buscado deliberadamente por los investigadores en el momento de solicitar la medida inicial. Si la persona a la que se atribuye el SkyPIN era ya conocida y sospechosa en el momento de solicitar la OEI, y aun así no fue incluida en la solicitud, ni se pidió posteriormente una OEI complementaria, queda excluida la naturaleza verdaderamente casual del hallazgo.
La exigencia de diligencia implica que, si los investigadores tenían motivos fundados para sospechar de la implicación de nuestro defendido, aunque ciertamente no hubiesen encontrado ninguna indicio consistente de su participación en el hecho delictivo, pero sí se le conocía con anterioridad y se le relacionaba con el hecho investigado y, era por tanto, más que previsible la hipotética relevancia de su identificador de mensajería cifrada, debieron incluirlo en la OEI inicial o al menos los datos personales conocidos para intentar una confirmación o descarte de su participación o, al menos, solicitar una OEI complementaria, tan pronto como tuvieran conocimiento de la información relevante derivada de la información extraída de su interlocutor.
Puede parecer baladí la cuestión, pero desde luego no lo es, si se analiza desde el prisma de una cuestión accesoria, pero fundamental como es el hecho de que al haber sido investigado inicialmente y si se le hubiera otorgado el estatus de investigado desde el primer momento, su imputación hubiera quedado fuera del plazo previsto en el artículo 324 de la Lecrim lo que, aun hubiera quedado más patente si se hubiera incluido su Pin en el listado inicial, y debería haber conllevado su exclusión del proceso penal como así hemos reclamado.
Esta actuación fraudulenta es otra cuestión que excluye la aplicación de la teoría del hallazgo casual.
En cualquier caso, todos los acusados eran conocidos de los investigadores policiales, como incluso reconocieron los agentes y a mayor abundamiento habían sido identificados con los intercambios de inteligencia policial. Nulo hallazgo casual puede admitirse en este proceder.
INTERVENCIÓN JUDICIAL Y VALIDEZ DE LA PRUEBA
La intervención judicial es un requisito esencial para la validez de la evidencia obtenida incidentalmente.
El proceder correcto desde luego era la emisión de una OEI complementaria, que nunca se llegó a hacer, pero si se pretende su introducción como hallazgo casual el artículo 579 bis exige que, una vez descubierto el hallazgo, la autoridad judicial debe valorar su relevancia y autorizar expresamente su utilización en el proceso penal dictando para ello un auto que convalide la situación incidental y permita que la información pueda ser empleada válidamente como prueba en el proceso. Auto ausente también en este proceso.
En ausencia de esta autorización judicial, como es el caso, la evidencia obtenida incidentalmente carece de la cobertura legal necesaria y debe ser excluida del proceso por vulneración de derechos fundamentales, en particular el derecho a la tutela judicial efectiva y a la intimidad.
LÍMITES Y CONDICIONES DE LA AUTORIDAD DE EJECUCIÓN
La autoridad de ejecución del Estado requerido (en este caso, Francia) es la que determina los límites y condiciones bajo los cuales se autoriza la transmisión y utilización de las EVIDENCIAS solicitadas mediante la OEI. Estos límites pueden referirse tanto al objeto de la prueba (por ejemplo, archivos de chat de un PIN concreto) como a las personas o procedimientos respecto de los cuales se autoriza su uso.
El respeto a estos límites es esencial para garantizar la legalidad de la utilización de la prueba en el Estado emisor (España).
Si la OEI no incluyó una autorización expresa para la utilización de los archivos de chat de un PIN concreto, la utilización de esos datos en España es contraria al principio de especialidad y, por tanto, no válida como prueba.
La existencia de comunicación bidireccional entre el PIN autorizado y el no autorizado no altera esta conclusión, ya que la autorización debe ser expresa y específica respecto de cada elemento de prueba y no puede interpretarse de manera extensiva para incluir elementos no mencionados en la OEI o en la autorización de la autoridad de ejecución.
Además, la propia Directiva reguladora de la OEI prevé, como ya se ha expuesto, la posibilidad de subsanar la omisión mediante una OEI complementaria conforme a lo dispuesto en el artículo 188 de la Ley 23/2014, de 20 de noviembre.
Esta es la contrapartida para tener acceso a un instrumento tan potente de injerencia en los derechos fundamentales de las personas, no solo va a ser tener al alcance los medios coercitivos de los Estados, en definitiva, en la aplicación y respeto de la legalidad no puede haber atajos.
Uno de estos “atajos” fue la creación ad hoc por el Edoa de una carpeta de chats en la que se recogían las conversaciones de nuestro defendido, “ficción” ocultada durante la instrucción y que, solo durante el interrogatorio, se nos admitió, a preguntas nuestras, que esa carpeta no había sido remitida por Francia por medio de la OIE y que fue creada en España por los propios agentes, algo que calificaron como un “error” al no informar de ello.
Otro “atajo” significativo fue el reconocer la inexistencia en los archivos remitidos desde Francia de una carpeta que, el informe policial denominaba “agenda.xlsx” y que supuestamente, identificaba los códigos alfanuméricos de los Pines con los usuarios.
También se calificó por el instructor policial de un error.
ESPECIAL CONSIDERACIÓN SOBRE CUAL ERA EL OBJETO DE LA OEI Y SU ANÁLISIS DE CONFORMIDAD CON EL CASO: AUSENCIA DE CONTROL JUDICIAL
La utilización del instrumento de la OEI debe ser validada por una autoridad judicial competente del Estado de emisión, asegurándose de que cumpla con los requisitos establecidos en la Directiva, especialmente las condiciones del artículo 6, apartado 1.
Esto implica un control judicial previo que garantiza que la OEI se emita de manera adecuada y conforme a la ley.
El objeto de la OEI en relación con el listado de Pines de Sky Ecc mencionados en la OEI era la “solicitud de autorización para utilizar” los datos personales que ya obraban por intercambio de inteligencia policial en poder del Edoa.
Se nos argumentaba por el Edoa y el Ministerio Fiscal que se trataba de un simple error, otro más de los muchos que se observan en la tramitación de la OEI, pero incluso aunque fueran “errores” ello demuestra una absoluta dejadez y falta de control judicial, que tiene la guinda en el propio auto judicial autorizando la emisión de la OEI de 13 de octubre, dictado por el juzgado de instrucción nº uno de Valencia, el cual indica que se autoriza la emisión de la OEI para la interceptación de la comunicaciones de conformidad con lo previsto en el 588 BIS DE la lecrim, aunque la parte dispositiva se refiriese a la autorización para utilizar los datos desencriptados.
EL PRINICIPIO DE RECONOCIMIENTO MUTUO ES UNA VÍA DE DOBLE SENTIDO
El reparto de competencias entre la autoridad de emisión y la autoridad de ejecución, constituye un elemento esencial de la confianza mutua que debe regir las relaciones entre los Estados miembros que participan en un procedimiento de investigación europeo previsto en la Directiva 2014/41.
Precisamente por esto, si la autoridad de ejecución pudiese subsanar el incumplimiento de las condiciones de emisión de una orden europea de investigación, establecidas en el artículo 6, apartado 1, de la antedicha Directiva, el equilibrio del sistema de la orden europea de investigación basado en la confianza mutua se vería puesto en entredicho.
Esto equivaldría a reconocer a la autoridad de ejecución una facultad de control de las condiciones de fondo de la emisión de tal orden. En consecuencia, frente al uso indiscriminado del principio de reconocimiento mutuo como escudo protector para no indagar en la actuación judicial de otro Estado miembro, hemos de afirmar que, en consecuencia, tampoco Francia, podía subsanar las carencias de la OEI emitida por España y entregar aquello que no se le había solicitado.
El reconocimiento mutuo es predicable en las dos direcciones, también en estas circunstancias y Francia no podía otorgar lo que no se le pidió y tampoco solicitó una aclaración formal, aunque sí es cierto que Eurojust, por email, le indicó al juez español que su OEI tenía errores claros que debía subsanar, a lo que hizo caso omiso. Otro error más.
CONTROL DE EQUIVALENCIA Y ASUNTO INTERNO SIMILAR
En el cumplimiento de las tres exigencias previstas en el artículo 6, apartado 1, letra b), de la Directiva relativa a la OEI (que las medidas solicitadas sean necesarias, proporcionadas y aplicables en un asunto interno similar) la norma no distingue entre los dos tipos de medidas que se mencionan en su artículo 1 y, por tanto, las condiciones de cumplimiento previstas en el artículo 6, apartado 1, letra b), de esta Directiva se aplican también a las OEI emitidas con el objeto de que se trasladen evidencias ya existentes en otro Estado miembro:
Artículo 6 Condiciones para la emisión y transmisión de una OEI
1. La autoridad de emisión únicamente podrá emitir una OEI cuando:
a)la emisión de la OEI sea necesaria y proporcionada a los fines de los procedimientos a que se refiere el artículo 4 teniendo en cuenta los derechos del sospechoso o acusado,
y b) la medida o medidas de investigación requeridas en la OEI podrían haberse dictado en las mismas condiciones para un caso interno similar.
2. Las condiciones a que se refiere el apartado 1 serán evaluadas por la autoridad de emisión en cada caso.
3.Cuando la autoridad de ejecución tuviera razones para creer que no se han cumplido las condiciones a que se refiere el apartado 1, podrá consultar a la autoridad de emisión sobre la importancia de la ejecución de la OEI. Tras esta consulta, la autoridad de emisión podrá decidir la retirada de la OEI.
Cuando se emite una OEI para el traslado de evidencias que ya obran en poder de otro Estado, la referencia a un caso interno similar que figura en el artículo 6, apartado 1, letra b), de la Directiva relativa a la OEI requiere que, la autoridad de emisión determine si la legislación nacional aplicable permite el traslado de evidencias obtenidas mediante intervención de comunicaciones entre procesos penales internos y en qué condiciones lo permite.
ANÁLISIS DEL ASUNTO INTERNO SIMILAR
Para poder extrapolar la normativa aplicable en España a la transmisión de evidencias entre procesos penales dentro de nuestro territorio, debemos acudir a lo previsto en el artículo 588 bis i, puesto en relación con el art. 579 bis, ambos de la LECrim que regulan la utilización de la información obtenida en un procedimiento distinto y los descubrimientos casuales.
Para empezar, el artículo 579 bis establece que, para que la información obtenida en otro procedimiento pueda ser utilizado como medio de investigación o prueba en otro, debe deducirse testimonio de los particulares necesarios para acreditar la legitimidad de la injerencia y el juez competente valorará la diligencia en la actuación.
Si este proceder es exigible entre procedimientos seguidos en España, más debe serlo cuando la información proviene de procedimientos seguidos en otro Estado y más aún a la vista de lo resuelto en la propia sentencia del TJUE C-670/22 de 30 de abril de 2024, que concluye que, las injerencias o transmisión de datos obtenidos que se hayan desarrollado al margen de la normativa nacional y europea para la adopción de este tipo de medidas de intromisión que afectan los derechos fundamentales y en aplicación de la jurisprudencia del derecho de la Unión Europea debe, conducir a la expulsión de los procesos penales de toda esa información masiva obtenida con vulneración de los derechos fundamentales.
Si nos centramos en analizar la utilización de una evidencia digital o una documental electrónica en un proceso español y la transmisión a otro proceso español de dichas evidencias, podemos confirmar que no pasarían el estándar del artículo 588 ter y 579 bis de la Lecrim y, es a esto a lo que se refiere el artículo 6 de la directiva europea cuando se remite al artículo 1.
El juez español emisor de la OEI cumpliendo con su obligación de control de equivalencia, debe valorar el traslado de dicha evidencia desde Francia a España y compararlo con las exigencias de nuestro proceso penal para un asunto interno similar, y esto permite afirmar que el control de equivalencia, en lo que a la valoración de la transmisión de la evidencia sería exigible en España, la convierte en inadmisible según el derecho español y por tanto, inaceptable también vía OEI.
En consecuencia, la autoridad judicial española no solo puede, sino que debe, ejercer ese control de equivalencia antes de admitir la evidencia obtenida en otro Estado miembro.
Si la medida no cumple los estándares de proporcionalidad, necesidad y legalidad exigibles en España, debe rechazarse su admisión, con independencia de que haya sido autorizada en el Estado de origen.
Esto garantiza, que el principio de reconocimiento mutuo no se convierta en un mecanismo de validación automática de evidencias obtenidas con vulneración de derechos fundamentales, y refuerza la protección del proceso justo y de las garantías constitucionales en el ámbito de la cooperación judicial europea.
La consecuencia es, que estas evidencias, resultan ineficaces para inferir razonablemente cada uno de los hechos definidores del tipo penal y la participación del acusado, vulnerando el derecho constitucional a la presunción de inocencia que regula la prueba en el proceso penal, al haberse obtenido sin el respeto a las garantías legales, tanto constitucionales, en especial los derechos fundamentales, como procesales, que establece nuestro ordenamiento jurídico que exigen que la prueba de cargo haya sido constitucionalmente obtenida, legalmente practicada y debidamente incorporada al procedimiento.
El CONTROL JUDICIAL de la fuente de prueba, fue excluido de la adopción de la medida de intromisión e injerencia de las autoridades francesas que implicó una obtención de la información INDISCRIMINADA y nos permite identificar el comportamiento realizado por las autoridades francesas en Sky ECC dentro de las denominadas INVESTIGACIONES PROSPECTIVAS que son nulas, tal y como establece nuestra Ley de Enjuiciamiento Criminal ( 588 bis a 2) o ha establecido la jurisprudencia del Tribunal Supremo español, Tribunal Constitucional y el TEDH.
Además, de la actuación INDISCRIMINADA y PROSPECTIVA de la autoridades policiales europeas se nos ha vedado el acceso a elementos esenciales en la actuación policial necesarios para el adecuado análisis de si, tales medidas de interceptación y desencriptado superan los estándares de calidad que se exigen es nuestro país, de tal modo que, la utilización de la información remitida por las autoridades francesas supone una vulneración de los derechos fundamentales de los investigados por incumplimiento de los principios que regulan la adopción de las medidas y que implican la obtención y el uso de los datos almacenados que según nuestra legislación están sujetos a estrictas limitaciones que se contienen en los artículos 588 bis a) y siguientes de la LECrim, entre las que destacamos:
(i) La utilización de datos está sujeta al principio de especialidad, de forma que sólo podrá autorizarse cuando la injerencia esté relacionada con un delito concreto.
(ii) No pueden autorizarse injerencias prospectivas, es decir, que tengan por objeto prevenir o descubrir delitos de forma indiscriminada o sin base objetiva.
(iii) La injerencia debe definir su ámbito objetivo y subjetivo conforme al principio de idoneidad.
(iv) La injerencia está también sujeta a los principios de excepcionalidad, proporcionalidad y necesidad y sólo puede acordarse si no existen otras medidas menos gravosas y sólo cuando sea imprescindible.
LOS CRITERIOS DE APLICACIÓN DCTRINAL SOBRE LA EVIDENCIA DIGITAL Y SU UTILIZACIÓN COMO PRUEBA TAMBIÉN SON CLAROS
Incluso si solo nos ceñimos a los criterios doctrinales para la utilización de los mensajes de chat y su admisión como prueba en un procedimiento judicial en España, podemos observar que la Ley de Enjuiciamiento Civil reconoce expresamente la posibilidad de aportar mensajes de chat como prueba documental o electrónica en juicio, siempre que se respete el marco general de admisión de pruebas, que exige pertinencia, utilidad y respeto a los derechos fundamentales.
La autenticidad y la integridad del mensaje son requisitos esenciales de modo que, si la parte contraria impugna la veracidad o autoría del chat, corresponde a quien lo aporta acreditar su autenticidad, como se ha hecho en este caso debiendo soportar el Ministerio Fiscal la carga de aportar la evidencia en debida forma.
La regulación principal sobre la admisión de mensajes de chat como prueba en procedimientos judiciales en España se encuentra en la Ley de Enjuiciamiento Civil (Ley de Enjuiciamiento Civil (Ley 1/2000, de 7 de enero). El artículo 299 de esta ley establece que los medios de prueba admisibles en juicio incluyen los documentos privados y los medios de reproducción de la palabra, el sonido y la imagen, así como los instrumentos que permiten archivar y reproducir datos relevantes para el proceso. Esta redacción abarca expresamente los mensajes de chat, que pueden considerarse tanto documentos privados como medios de reproducción de la palabra y datos.
Y, finalmente en relación con el control de las medidas previstas en el artículo 588 ter de la Ley adjetivas nos remitimos al apartado f:
“En cumplimiento de lo dispuesto en el artículo 588 bis g, la Policía Judicial pondrá a disposición del juez, con la periodicidad que este determine y en soportes digitales distintos, la transcripción de los pasajes que considere de interés y las grabaciones íntegras realizadas. Se indicará el origen y destino de cada una de ellas y se asegurará, mediante un sistema de sellado o firma electrónica avanzado o sistema de adveración suficientemente fiable, la autenticidad e integridad de la información volcada desde el ordenador central a los soportes digitales en que las comunicaciones hubieran sido grabadas”
Por si quedara duda, debemos poner en relación el artículo 588 ter f con el 588 ter i de modo que, tanto las transcripciones y las grabaciones, tal y como se especifica en dicho texto, por tanto, nuestro derecho en asunto interno similar reclama que las evidencias sea auténticas, íntegras, verificadas y aseguradas mediante un sistema de sellado o firma electrónica o sistema de adveración y deberán ser entregadas a las partes, distinguiendo como ya se ha dicho entre transcripciones y grabaciones:
588 ter i 1. Alzado el secreto y expirada la vigencia de la medida de intervención, se entregará a las partes copia de las grabaciones y de las transcripciones realizadas.
Finalmente, para acreditar la originalidad, autenticidad e integridad el documento electrónico requiere han de ser observados ciertos protocolos que deben respetar, además de la firma digital y huella de tiempo, no vivimos en una orfandad de información que nos haga ignorantes a los avances tecnológicos, por ejemplo, entre otros nos remitimos a la Norma ISO15489: 2001 Information and Documentation. Records Management, por ejemplo, o los Guidelines del FBI sobre el tratamiento de la evidencia digital:
Entre otros podemos resaltar los siguientes extremos:
1º) La forma y la estructura en que se deben crear e incorporar los documentos electrónicos al sistema de archivo o conservación.
2º) Los metadatos que deben crearse junto al documento para su protección y control.
3º) Los requisitos de recuperación, uso y transmisión de documentos por los posibles usuarios.
4º) La forma de conservación de los documentos de manera que se asegure su integridad y accesibilidad a lo largo del tiempo.
5º) Las garantías a observar en los procesos de transferencia de datos.
En cualquier caso, no solo la parte tiene derecho al acceso a la evidencia digital y su posterior peritación tecnológica, sino que, además, este debe incorporarse al proceso respetando los criterios de autenticidad e integridad siendo necesario para ello que dicho documento digital esté adverado de modo que la copia entregada coincida bit a bit con el original obrante en el juzgado paso previo e insoslayable para comprobar si se cumplen los estándares de admisibilidad exigibles.
Sin embargo, en el presente procedimiento no contamos con archivos digitales originales, y por ende, ni auténticos, ni íntegros, únicamente con soportes de apoyo no confiables con la pretendida excusa de facilitar el “mejor conocimiento” y manejo de la información con ausencia total de elementos de seguridad propios de una evidencia digital definidos por nuestro ordenamiento jurídico, especialmente un sistema de sellado o firma electrónica o sistema de adveración fiable mediante hash identificador, máxime cuando la información obtenida mediante la desencriptación de la mensajería Sky utilizó la técnica MitM ( Man in the Middle) de intercepción de datos que por su propio actuación supone una alteración de la información, el almacenamiento de la misma en un servidor informático policial y la captación y manejo de las contraseñas de modo que la información obtenida, conservada y transmitida finalmente a las autoridades españolas, tras la selección sesgada policial adolece de los requisitos de originalidad, autenticidad e integridad no resultando en consecuencia una evidencia confiable.
EVIDENCIA DIGITAL O PRUEBA DOCUMENTAL
Las fiscalías, de común acuerdo vienen planteando la tesis de que nos encontramos ante una mera transmisión de pruebas documentales obtenidas en otro país y esto les lleva a obtener dos conclusiones interesadas, la primera de ellas, como ya hemos dicho, es que no podemos analizar el modo en que se han obtenido y que al tratarse de documentos transmitidos desde otro Estado miembro no se refiere a una injerencia en la comunicaciones sino, “simplemente”, de documental conservada y obtenida tras una injerencia y desencriptado y su consecuencia es que no se vulnera ningún derecho fundamental.
Esta tesis es tan absurda como acudir a sacar agua de un pozo cuyas aguas estuvieran contaminadas y por el hecho de sacarla en un cubo afirmar que se puede regar un huerto sin riesgo alguno de contaminación, permítasenos el símil, pero no se me ocurre otro para describir la simpleza del argumento.
Vaya por delante que resulta obvio que nos encontramos ante una evidencia digital.
Aunque no existe una definición única, quizá la que mejor resume, a nuestro modo de ver, los distintos elementos en juego, sería la que define la evidencia digital como cualquier información o dato electrónico, informático o telemático, producida, contenida o transmitida por un medio electrónico que podría ser utilizada para acreditar la existencia de un hecho demostrable, y caso de plantearse en el marco de un proceso penal, la definiríamos como evidencia digital judicial.
Esta evidencia digital se compone de tres elementos, uno físico o material, que sería el hardware o continente de la información, (terminal telefónico, PC, USB, GPS, AIS Transponder, etc), otro, intangible, como es el software en el cual se encuentran los archivos o metadatos y que requiere de un análisis pericial para garantizar su integridad, originalidad y confiabilidad y permita acreditar la existencia del elemento esencial que sería mensaje ideal o elemento de la vida real contenido en el archivo.
Entre las evidencias digitales más comunes en los procesos penales se encuentran los documentos electrónicos, correos electrónicos, mensajes de texto, grabaciones de audio o video, registros de llamadas telefónicas, fotografías digitales, grabaciones de audio o video, historial de navegación web, RRSS, recorridos y posicionamientos de ubicación, entre otros.
DISTINCIÓN ENTRE EVIDENCIA Y PRUEBA
Es necesario aclarar que en español coloquial es habitual utilizar el concepto “evidencia” como sinónimo de “evidente” “verdad” “prueba irrefutable” o al menos de “indicio contundente” influenciados por una mala interpretación del término anglosajón “evidence” interpretado como prueba clara o manifiesta, entendida como perceptible y cierta.
Sin embargo, el auténtico significado de evidencia se entiende mejor cuando se contrapone al concepto prueba.
La evidencia se refiere simplemente a la información que se presenta durante un juicio, para respaldar o contradecir una afirmación y es fundamental para el proceso de toma de decisiones, en juicio para acreditar o refutar un hecho preexistente. Habitualmente se recopila durante el proceso de investigación con la finalidad de convencer al juzgador sobre la existencia o no del hecho.
Sin embargo, la prueba, como tal, implica un concepto jurídico distinto que comporta el respeto a una serie de garantías que pueden elevar el material indiciario, la evidencia, a categoría de prueba, susceptible, en su caso, de desvirtuar la presunción de inocencia, previa valoración del órgano enjuiciador.
Esto, en términos de evidencia digital referida a la prueba electrónica, digital, informática, ePrueba o, como se quiera llamar, implica que hablamos de un todo que incluye, no solo la evidencia digital (hardware, software (código binario) y mensaje ideal y en su caso transmisión) sino todo el proceso por el cual ese dato o información adquiere valor suficiente para acreditar un hecho demostrable y se incorpora al proceso mediante una investigación o uso de medios tecnológicos y con el respecto de los elementos del proceso que permiten elevarla a categoría de prueba.
ELEMENTOS QUE COMPONEN UNA EVIDENCIA DIGITAL
Para entender el tránsito desde una evidencia digital a una prueba digital hemos de tener claros cuatro elementos, los tres primeros ya se han señalado:
1.- El soporte material (hardware), de entre estos debemos distinguir aquellos soportes electrónicos que sirven para crear y también pueden conservar el contenido electrónico o digital y otros soportes en los que se guarda la información a través de un dispositivo de registro y que, a su vez, necesitan de otro elemento para su lectura o comunicación.
2.- El lenguaje o código en que se escribe, graba o fija la información.
3.- El mensaje ideal o elemento de la vida real contenido.
El siguiente elemento es necesario entenderlo para comprender con más facilidad el manejo de la evidencia digital y su transformación en prueba digital:
4.- La transmisión directa de la información requiere de medios telemáticos.
Requisitos técnicos de la evidencia obtenida de una comunicación digital.
Como hemos visto uno de los elementos inherentes a la evidencia digital es la transmisión digital de la información porque, además, suele ser una de las situaciones de la vida real en la que se puede dar a conocer esa evidencia digital, bien en la transmisión o bien en la posterior conservación del archivo digital transmitido.
De forma muy simple y solo a modo de aproximación hemos de aclarar que la comunicación digital se refiere al intercambio de información a través de señales digitales en lugar de señales analógicas, esto, a nivel probatorio implica la codificación y decodificación de datos utilizando técnicas digitales y dispositivos electrónicos.
La comunicación digital de forma resumida implica la codificación de la información en forma de bits, la modulación de la señal digital, la transmisión a través de un medio de comunicación, la recepción y demodulación de la señal, la decodificación de los datos y, si es necesario, el procesamiento de errores.
Estos procesos permiten la transferencia confiable y eficiente de información digital entre dispositivos y sistemas de comunicación.
Una vez expuesto esto queda claro que la evidencia digital, una vez sometida a los principios del proceso penal que pueda validarla como prueba digital, se sitúa en una zona de contacto entre el mundo lógico y el mundo digital y desde luego, es un recurso importante en el proceso penal.
Su admisibilidad dependerá de la adecuación y cumplimiento de los requisitos legales establecidos por la Lecrim, con el objetivo de regular la obtención, conservación y valoración de la información digital que puede ser relevante en un procedimiento judicial y al tiempo garantizar la protección de los derechos fundamentales de los involucrados.
Esto que supone una colisión de intereses que deriva en el eterno conflicto entre la sanción penal, el uso de medios para la investigación del hecho cometido y el respeto de la legalidad y proporcionalidad de los medios empleados.
Si a esto añadimos, además, la desencriptación de las evidencias digitales obtenidas de Sky Ecc para posteriormente presentarlas en juicio con la finalidad de probar la existencia de un hecho sometiendo la evidencia al proceso probatorio del juicio oral con el respeto a los principio de inmediación, contradicción, oralidad y publicidad resulta patente que el proceso es complejo y no se resuelve con el simplista método de utilizarla como “prueba documental” consistente, en la mayoría de los casos de simples documentos editables en formato Excel.
Un documento digital se construye en un lenguaje binario, que se traduce en lenguaje alfabético común. Por lo que, entre lo conservado y lo exteriorizado no existe identidad, pues el archivo se conserva en sistema binario, mientras que el texto exteriorizado es fruto de la transformación de ese sistema binario en forma de escritura con letras del alfabeto.
En definitiva, la evidencia digital necesita ser “tratada” de modo especial para su observación lo que implica una intervención tecnológica de la misma para la comprobación de su integridad y autenticidad y las partes, en el proceso de transformación en prueba digital, tienen derecho a someter a contradicción y verificación estas evidencias digitales.
En consecuencia, en modo alguno nos encontramos con una evidencia documental, ni su proceso de transformación en material probatorio se puede solventar con el proceso de incorporación al proceso de una documental al uso, sino que nos encontramos ante una evidencia digital y requiere de un proceso tecnológico para ser elevada a categoría de prueba digital.
Valor del documento electrónico para desvirtuar la presunción de inocencia.
En cualquier caso, ni tanto sea considerada como lo que es, una evidencia digital, o si por el contrario el debate se centra en si nos encontramos ante una evidencia documentada, las evidencias analizadas en este juicio, similar a la mayoría de los casos de Sky tramitados en todo el mundo, no superan, ni de lejos, los estándares de exigencia de nuestro sistema legal, ya que, nuestro ordenamiento jurídico es claro en esto y simplemente tenemos que remitirnos al artículo 230 de la LOPJ en relación con la utilización de archivos digitales y su tratamiento, incluso si se pretende su utilización como simple evidencia documental:
“Los documentos emitidos por los medios anteriores, cualquiera que sea su soporte, gozarán de la validez y eficacia de un documento original siempre que quede garantizada su autenticidad e integridad y el cumplimiento de los requisitos exigidos por las leyes procesales.”
La Ley 18/2011, de 5 de julio, reguladora del uso de las tecnologías de la información y la comunicación en la administración de Justicia, Capítulo II sobre los Derechos y deberes de los profesionales de la justicia en sus relaciones con la Administración de Justicia por medios electrónicos también aclara:
Artículo 6. Derechos y deberes de los profesionales del ámbito de la justicia.
1. Los profesionales de la justicia tienen el derecho a relacionarse con la misma a través de medios electrónicos
b) A obtener copias electrónicas de los documentos electrónicos que formen parte de procedimientos en los que sean representantes procesales de la parte personada o acrediten interés legítimo, en los términos establecidos en la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, y en las leyes procesales.
c) A la conservación en formato electrónico por la Administración de Justicia de los documentos electrónicos que formen parte de un expediente según la normativa vigente en materia de archivos judiciales.
Y a mayor abundamiento el artículo 29 sobre el archivo electrónico de documentos recoge que:
1. Podrán almacenarse por medios electrónicos todos los documentos utilizados en las actuaciones judiciales.
3. Los medios o soportes en que se almacenen documentos deberán contar con medidas de seguridad que garanticen la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos almacenados y ajustarse a los requerimientos que garanticen la compatibilidad e interoperabilidad de los sistemas informáticos. En particular, asegurarán la identificación de los usuarios y el control de accesos, el cumplimiento de las garantías previstas en la legislación de protección de datos, así como lo previsto en los artículos 234 y 235 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, y en las leyes procesales.
Y finalmente la necesidad de dotar de seguridad a los documentos electrónicos se refleja en la sección 2.ª sobre la seguridad judicial electrónica
Artículo 53. Elementos básicos de la seguridad judicial electrónica.
2. Son dimensiones de la seguridad judicial electrónica:
a) Autenticidad.
c) Integridad.
Podemos hacer un simple recorrido por nuestro ordenamiento jurídico para ver referencias al documento electrónico, por ejemplo, el art. 24.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico, el art. 3 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, la Circular 5/2019, de 6 de marzo, sobre registro de dispositivos y equipos informáticos, en definitiva, no hace falta hacer novedosas interpretaciones del derecho para reconocer la presencia desde hace años de conceptos sobre el documento electrónico que fijan las exigencias que deben contener para entenderlos válidos como prueba.
DEFICIENCIAS TÉCNICAS Y PROCESALES EN LA OBTENCIÓN Y TRATAMIENTO DE LA EVIDENCIA DIGITAL
A modo de resumen significativo las deficiencias más resaltables serían:
Ausencia de entrega de las evidencias originales
La evidencia digital aportada a la causa presenta graves deficiencias que afectan a su validez como prueba de cargo. En concreto:
• No se han entregado los archivos originales encriptados, en formato PCAP, ni las claves de desencriptación, ni tampoco los archivos desencriptados en formato JSON, sino únicamente transcripciones presuntamente desencriptadas, en formato editable (Excel/CSV), lo que impide verificar la autenticidad, integridad y confiabilidad de la evidencia digital.
• Los archivos entregados carecen de firma electrónica avanzada, sellado de tiempo o hash, incumpliendo los requisitos legales y técnicos exigidos en España para garantizar la integridad y autenticidad de la evidencia digital, conforme a la Ley 1/2000, de Enjuiciamiento Civil y la Ley 18/2011, de 5 de julio, reguladora del uso de las tecnologías de la información y la comunicación en la Administración de Justicia.
• Se ha denegado la práctica de una copia forense (bit a bit) de los soportes originales conservados en origen (Paises Bajos) y la realización de una pericial contradictoria en sede judicial, realizada sobre dichos archivos vulnerando el derecho a la defensa y al principio de contradicción.
Deficiencias en la cadena de custodia
La cadena de custodia de la evidencia digital presenta graves deficiencias que afectan a su validez como prueba de cargo ya desde su inicio por inexistencia en si misma de la cadena de custodia por ausencia de archivo original, integro, auténtico y verificable lo que convierte en absurdo simplemente valorar si se ha cumplido o no algo inexistente y además:
• No existe documentación que permita reconstruir la cadena de custodia desde la obtención de los datos en Francia hasta su entrega a la defensa.
• No se ha documentado técnicamente el proceso de desencriptación y transcripción de los mensajes y archivos multimedia, ni quién lo realizó, cuándo, cómo y bajo qué control judicial.
• Se aprecian incongruencias temporales entre la fecha de interceptación de los mensajes y la fecha de creación/modificación de los archivos entregados a la defensa, lo que provoca serias dudas sobre la integridad de la prueba.
CONSIDERACIÓN ESPECIAL A LA UBICACIÓN DE LOS TERMINALES Y CONSECUENCIAS JURÍDICAS
En relación con la obtención de las pruebas de SKY ECC, es determinante considerar el momento en que las autoridades conocieron la ubicación territorial de los terminales intervenidos.
De la documentación obrante en autos se desprende que, desde el mismo momento en que los terminales telefónicos entran en conexión se transmite en los datos brutos la ubicación geográfica de los terminales por medio de su conexión con las antenas, y desde luego, menos en el momento de la desencriptación y procesamiento de los datos, la ubicación geográfica de los terminales era conocida por las autoridades encargadas del análisis.
Es más, ahora sabemos que desde que la policía holandesa y la fiscalía de aquel país iniciaron su investigación en el 2019 ya solicitaron la geolocalización de los terminales y notificaron de ello a los servidores de telefonía de los distintos países, entre ellos España.
Estas circunstancias son cruciales porque, conforme a la normativa europea y española, el deber de notificación y control judicial nacional se activa en el momento en que se constata que las comunicaciones afectan a personas situadas en territorio nacional.
Por tanto, desde el momento en que se tuvo conocimiento de que los terminales operaban en territorio español, debió haberse activado el mecanismo de control judicial español previsto en el artículo 31 anexo C de la Directiva con todas las garantías que ello implica.
VULNERACIÓN DEL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS PERSONALES.
El Ministerio Fiscal sostiene que ningún derecho fundamental se vulnera en la transmisión de documentos de un país a otro, planteamiento a todas luces erróneo ya que lo que se transmite son datos personales e íntimos protegidos a nivel europeo y nacional como derecho fundamental a la intimidad y al entorno personal virtual.
En el contexto europeo, la transmisión de información entre países miembros para fines de investigación penal se realiza habitualmente mediante la Orden Europea de Investigación (OEI). Este instrumento no solo facilita la cooperación judicial, sino que, en la práctica, implica la transferencia de datos personales entre autoridades nacionales. Es fundamental recordar que el dato personal está protegido como derecho fundamental
Sin embargo, la herramienta europea para la transmisión de datos personales en el marco de una OEI se encuentra regulada por directivas europeas específicas: la Directiva (UE) 2016/680, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales y la Directiva 2002/58 relativa al tratamiento de datos personales y a la protección de la intimidad. que protege los datos personales tratados por autoridades competentes en materia penal.
Ambas establecen que la transmisión y el tratamiento de datos personales deben realizarse bajo los principios de licitud, finalidad, proporcionalidad y seguridad, garantizando los derechos de las personas afectadas.
En relación con la Directiva 2002/58 se pronunció el TJUE afirmando categóricamente que los datos personales tenían categoría de derecho fundamental consagrados en el artículo 7 y 8 de la Carta europea de derechos humanos, otorgándole ese nivel de protección incluso a las direcciones IP “ya que pueden permitir extraer conclusiones precisas sobre la vida privada” C-140/20 de 5 de abril de 2022 TJUE.
Estos derechos encuentran su fundamento en el artículo 8 del Convenio Europeo de Derechos Humanos (CEDH), que reconoce el derecho al respeto de la vida privada y familiar, y en el artículo 18 de la Constitución Española, que protege el derecho fundamental a la protección de datos personales. Así, cualquier transferencia de información en el marco de una OEI debe respetar estos estándares, asegurando que los datos solo se utilicen para los fines autorizados y que se salvaguarden los derechos fundamentales de los afectados.
Las exigencias del control de equivalencia antes citado, también impiden admitir en España la chapucera transmisión de datos personales que hemos tenido que padecer en este, y otros procedimientos similares.
La peculiaridad del manejo de datos personalísimos, nos lleva a traer a colación sentencias como la STJUE de 16 de julio de 2020 (PrivacyShield), que se pronuncia acerca del deber de los órganos jurisdiccionales de revisar la validez de las normas de protección de datos con independencia de la opinión sostenida por las autoridades de control independientes, reforzando con ello la obligación de los órganos jurisdiccionales y su sensible papel en la protección de los derechos fundamentales de los ciudadanos europeos.
En consecuencia, el juez penal nacional tiene la obligación de examinar las condiciones en las que se han obtenido los datos y si su obtención y su transmisión es compatible con el Derecho de la Unión y así evitar que las informaciones y pruebas que se han obtenido o transmitido de manera ilegal perjudiquen indebidamente a una persona sospechosa de haber cometido delitos.
Por último, la consecuencia es que deben excluirse las informaciones y las pruebas obtenidas incumpliendo lo dispuesto en el Derecho de la Unión. El juez nacional debe apreciar el riesgo que la admisibilidad de dichas informaciones y evidencias supone para el respeto del principio de contradicción y, por lo tanto, del derecho a un juicio justo (ver sentencia de 10 de abril de 2003, Steffensen, C-276/01, apartados 76y 77).
TRATAMIENTO DE LOS DATOS A NIVEL EUROPEO
La doctrina del TJUE ha reforzado de forma constante la protección de los derechos a la vida privada, a la protección de datos y a la libertad de expresión, estableciendo que los datos conservados «considerados en su conjunto, pueden permitir extraer conclusiones muy precisas sobre la vida privada de las personas cuyos datos se han conservado, como los hábitos de vida cotidiana, los lugares de residencia permanentes o temporales, los desplazamientos diarios u otros, las actividades realizadas, sus relaciones sociales y los medios sociales que frecuentan» ( STJUE de la Gran Sala de 8 de abril de 2014- Caso Digital Rights- 27.
En el mismo sentido, el Tribunal Supremo en su sentencia 342/2013, de 17 de abril después de recoger que en un ordenador (está claro que la referencia al mismo puede extenderse a un terminal telefónico) no sólo existen datos como mayor o menor relación con el derecho a la intimidad, sino que en el mismo coexisten otros datos personales susceptibles de protección por otros derechos constitucionales, como la protección de datos o el derecho a la inviolabilidad de las comunicaciones, realizó el siguiente pronunciamiento “(…) el sacrificio de los derechos de los que es titular el usuario del ordenador, ha de hacerse sin perder de vista la multifuncionalidad de los datos que se almacenan en aquel dispositivo. Incluso su tratamiento jurídico puede llegar a ser más adecuado si los mensajes, las imágenes, los documentos y, en general, todos los datos reveladores del perfil personal, reservado o íntimo de cualquier encausado, se contemplan de forma unitaria. Y es que, más allá del tratamiento constitucional fragmentado de todos y cada uno de los derechos que convergen en el momento del sacrificio, existe un derecho al propio entorno virtual. En él se integraría, sin perder su genuina sustantividad como manifestación de derechos constitucionales de nomen iuris propio, toda la información en formato electrónico que, a través del uso de las nuevas tecnologías, ya sea de forma consciente o inconsciente”
En España es imposible el manejo de estos datos con valor incriminatorio alguno, a tenor de lo establecido en el art. 588 bis i, puesto en relación con el art. 579 bis, ambos de la LECrim, en cuanto a la utilización de la información obtenida en un procedimiento distinto y descubrimientos casuales, pues el art. 579 bis LECrim establece que, para que la información obtenida en otro procedimiento pueda ser utilizado como medio de investigación o prueba en otro, debe deducirse testimonio de los particulares necesarios para acreditar la legitimidad de la injerencia y el juez competente valorará la diligencia en la actuación. Si este proceder es exigible entre procedimientos seguidos en España, más debe serlo cuando la información proviene de procedimientos seguidos en otro estado y más aún a la vista de lo resuelto en la propia sentencia del TJUE C-670/22 de 30 de abril de 2024 que concluye que, las injerencias o transmisión de datos obtenidos que se hayan desarrollado al margen de la normativa nacional y europea para la adopción de este tipo de medidas de intromisión que afectan los derechos fundamentales y en aplicación de la jurisprudencia del derecho de la Unión Europea, conduce a la expulsión de los procesos penales de toda esa información masiva obtenida con vulneración de los derechos fundamentales.
NORMATIVA EUROPEA DE PROTECCIÓN Y TRANSMISIÓN DE DATOS
En la actualidad la transmisión de prueba electrónica entre Estados miembros y su utilización en los distintos procesos penales implicados en la transferencia europea de evidencias transfronterizas viene regulado en el reglamento (UE) 2023/1543 del Parlamento Europeo y del Consejo, de 12 de julio de 2023, sobre las órdenes europeas de producción y las órdenes europeas de conservación a efectos de prueba electrónica en procesos penales y de ejecución de penas privativas de libertad a raíz de procesos penales, en el reglamento (UE) 2024/3011 del Parlamento Europeo y del Consejo, de 27 de noviembre de 2024, relativo a la remisión de causas en materia penal y en la Directiva (UE) 2023/1544 del Parlamento Europeo y del Consejo, de 12 de julio de 2023, por la que se establecen normas armonizadas para la designación de establecimientos designados y de representantes legales a efectos de recabar pruebas electrónicas en procesos penales.
Se puede cuestionar su uso con carácter retroactivo aunque como instrumento desde luego es clarificador de cual es el proceder en la transmisión de evidencias en procesos penales que, en todo caso, desarrolla y actualiza las directivas vigentes con anterioridad al proceso, como son Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales o la Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas antes analizada. (Directiva sobre la privacidad y las comunicaciones electrónicas).
A la luz de estas directivas los datos personales quedan definidos como: toda información sobre una persona física identificada o identificable (en lo sucesivo, «el interesado»); se considerará persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, unos datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Así lo reconoce el propio Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea que, está obligada a verificar la legalidad del tratamiento y garantizar la integridad y la seguridad de los datos personales en el ámbito de los procesos penales y le impone a l fiscalía europea la obligación de velar por la seguridad del tratamiento de datos y garantizar que el sistema de conservación y transmisión de datos penales no presente defectos, sea fiable y que los datos personales almacenados no se degraden por fallos de funcionamiento, como ha sucedido en este caso.
CONCLUSIÓN
Desde el prisma del juicio justo, la defensa de los derechos fundamentales de la persona y de un proceso con las debidas garantías, la admisión como prueba de estas evidencias obtenidas y transmitidas, de forma inaceptable, supondría un cambio de paradigma en el proceso penal democrático, una auténtica alteración de las reglas del juego dónde todo valdría para condenar.
En un país sometido al estado de derecho hacer justicia es cumplir con la ley.
Desde Julio Sánchez Abogados Redlex siempre actuamos en defensa del derecho justo, el respeto a las garantías del proceso y al principio de presunción de inocencia.
Si te interesan más artículos relacionados, te dejamos algunos de nuestro blog:
El Derecho a un Juez Imparcial y la Apariencia de Imparcialidad: juicio justo y percepción social
Análisis de las operaciones Encrochat y Sky y su Impacto en el Art. 6 del CEDH
Encrochat y Sky ECC: Capitán de la Guardia Civil confirma el acceso policial “en vivo” sin orden judicial — Claves jurídicas y consecuencias procesales
El principio de reconocimiento mutuo: No todo vale
Nuestro sistema judicial y el proceso justo
Las garantías procesales y la confianza social en un proceso justo
Caso de éxito: Nulidad de procedimiento por prórroga indebida del plazo de instrucción
SKY ECC: ¿El fin justifica los medios?
La prueba en el proceso penal
