I.
PLANTEAMIENTO
Probablemente, si los smartphones, tablets o smartwatchs hubieran existido en el mítico Far West, su sustracción habría merecido el mismo tratamiento punitivo que el robo de caballos. No hace falta recordar cuál era la pena para lo que se consideraba una de las más valiosas pertenencias de todo ciudadano de bien. Estos dispositivos móviles con capacidad de almacenamiento ingente de información se han adueñado de nuestras vidas; hasta el punto que dependemos de ellos para garantizarnos no solo las más habituales formas de desenvolvimiento en nuestro entorno social, sino cada vez más la satisfacción de las necesidades más elementales de nuestra vida cotidiana. Es tal la dependencia de estos dispositivos móviles que para un amplísimo espectro de la sociedad, sin ellos, a salvo extraños seres de difícil catadura social, como quien suscribe, que han tomado la casi suicida decisión de no portarlos, la vida se mostraría como algo terriblemente insoportable.
La pérdida de un teléfono móvil en el que guardamos todos nuestros contactos puede ser en sí misma todo un drama personal; aunque en buena parte sea relativamente fácil de restituir con un poco de paciencia y soportando el coste económico de una copia de tarjeta SIM. Pero puede convertirse en un auténtico calvario cuando el dispositivo se convierte en la llave que abre las puertas al acceso a otros dispositivos o repositorios de datos interconectados; o cuando, lo que es mucho peor, se pierde toda la información que, en formatos de audio, video o intercambio de mensajería conservamos en nuestros teléfonos móviles, y no hemos tenido la precaución de realizarles copias de seguridad o replicado la memoria interna en un alojamiento en la todopoderosa Cloud Computing. En modo alguno exageraba el Juez del Tribunal Supremo de los EEUU SAMUEL ALITO, cuando en su voto concurrente a la ya célebre sentencia del Tribunal Supremo de los EEUU de 25 de junio de 2014, casos acumulados RILEY v. CALIFORNIA y U.S. v. BRIMA WURIE —573 U.S. ___ (2014)—, prácticamente nos daba a entender que dentro de la memoria interna de un teléfono inteligente podía conservarse toda la vida de una persona (1) .
Es tal la dependencia que tenemos de nuestros teléfonos móviles que su pérdida o sustracción se convierte en un drama personal de consecuencias en no pocas ocasiones irreparables. Solo en imágenes solemos conservar en ellos una galería de cientos de fotografías propias o de nuestro entorno personal o social más cercano; pero a su vez documentación de interés que abarca desde nuestra última declaración del IRPF a operaciones financieras, pasando por un sinfín de contenidos inimaginables. Y todavía son relativamente pocos los que toman la precaución de realizar copias de seguridad almacenadas en dispositivos más seguros, o a través de aplicaciones que como la popular iCloud, permiten sincronizar la información almacenada físicamente en el dispositivo con la protegida en la nube bajo la gestión de Apple INC. Pero incluso cuando tenemos activadas aplicaciones de almacenamiento en la nube del tipo iCloud los protocolos de recuperación pueden llegar a resultarnos complejos; haciéndose depender de las precauciones que hubiéramos adoptado en su momento (2) . El ejemplo de la incautación de teléfono iPhone de presuntos terroristas que fueron abatidos en la localidad californiana de San Bernardino el 2 de diciembre de 2015 (3) , demostró cómo de hecho cada vez los dispositivos móviles se encuentran más protegidos, blindados, frente a cualquier intento de tercero de acceder a la información contenida en ellos o asociada a éstos conservada en la nube. Hubo que acudir a una versión actualizada de la sofisticada herramienta UFED de Cellebrite para conseguir forzar el mecanismo de ralentización del trabajo de motores de desvelo de clave de acceso a la memoria del terminal con que contaba el iPhone 6 incautado.
Una de las modalidades más peligrosas de fraudes a través de la red es el SIM swapping
El temor a que el sustractor o un tercero que adquiera el terminal puedan tener acceso libre a lo más ignoto de nuestra intimidad es un factor que genera aún más inquietud y desasosiego en el ciudadano que sufre las consecuencias de la pérdida de un bien tan preciado. Pero alcanza también al altísimo riesgo de que uno u otro puedan hacerse con el dominio no solo de nuestros perfiles de redes sociales, sino de nuestros activos financieros a través de la banca privada. De hecho, una de las modalidades más peligrosas de fraudes a través de la red, el SIM swapping, parte de un dominio virtual del terminal telefónico de la víctima como vía para canalizar operaciones de transferencia a cuentas dominadas por el defraudador; a la vez que para neutralizar los avisos que, generalmente a través de mensajería SMS, envía automáticamente la entidad bancaria como mecanismo de seguridad (4) . Por suerte para todos, salvo aquellos supuestos en que la finalidad de la sustracción sea precisamente el acceso a la información contenida en el dispositivo móvil de la víctima, es habitual que los sustractores desconecten el dispositivo inmediatamente robado o hurtado para evitar cualquier riesgo de geolocalización; y que cuando éste llega al perista, se proceda al borrado, mediante su formateado, de toda la información contenida en la memoria interna del terminal, con la posibilidad de eliminación de cualquier rastro del usuario legítimo que ello puede traer consigo (5) . En no pocas ocasiones el terminal llega a acabar despiezado para la venta por separado de algunos de sus componentes.
Las estadísticas diarias de sustracciones de teléfonos móviles son realmente alarmantes. En una ciudad tan turística como es Barcelona las estadísticas más recientes hablan de una media de 330 teléfonos móviles sustraídos por día (6) . Las cifras a nivel estatal nos llevan a constatar cómo se produce una sustracción de un teléfono móvil cada dos minutos (7) . La mayor parte de estos terminales acaban no en manos de terceras personas que viven en el entorno territorial cercano al lugar de la sustracción, sino en terceros países, generalmente de África, y más específicamente el Magreb. Ello dificulta seriamente el empleo de técnicas de bloqueo de los dispositivos físicos; al basarse actualmente el sistema de bloqueo no ya referido a un ámbito territorial nacional, sino, dentro de éste, de tratamiento del dato del IMEI efectivamente garantizado a nivel tan solo de la operadora que presta el servicio de telefonía al abonado legítimo (8) ; a la vez que queda fuera del alcance técnico y jurisdiccional del ámbito nacional o de la Unión Europea. Ello restringe a su vez las posibilidades de rastreo efectivo de las asociaciones entre IMEI del terminal e IMSI de tarjetas SIM que se hubieran producido desde el momento de la sustracción. Incluso en los escasos supuestos en los que tal técnica da resultado positivo, las posibilidades de un avance real en la investigación criminal se muestran realmente escasas. A salvo los supuestos en que la codicia del sustractor hace que él o una persona de su entorno cercano se haga con el dominio del terminal, introduciendo una tarjeta SIM propia, lo habitual es dar con alguien que a lo sumo ha prestado su tarjeta para comprobar el estado de funcionamiento del terminal, o con un comprador aparentemente de buena fe que ha comprado el terminal a un tercero a través de un anuncio en cualquier popular portal de los dedicados a la compraventa de objetos de segunda mano.
Pero aunque las posibilidades de investigación criminal van muchísimo más allá de estas limitaciones técnicas, nos enfrentamos también a serias limitaciones jurídicas como consecuencia de la naturaleza de las infracciones que habitualmente están asociadas a la sustracción de este tipo de dispositivos móviles. Como tendremos la posibilidad de comprobar a lo largo de esta exposición, la naturaleza casi por definición liviana de estas infracciones cuando pueden calificarse como hurto, unida a la necesidad en no pocas ocasiones de tener que acudir a mecanismos de cooperación judicial internacional, se convierten en auténticos baldones infranqueables que impiden avanzar, si es que queremos movernos bajo la salvaguardia del principio de proporcionalidad, en el esclarecimiento del hecho, la identificación del autor y la casi milagrosa recuperación del terminal intacto. Cobra por ello especial interés ahondar en cuestiones tan aparentemente baladíes como son el concepto de valor del objeto de la sustracción en el contexto de los delitos patrimoniales; las posibilidades de tomar en consideración ese valor intríniseco, y en parte personalísimo, de la información almacenada en la memoria interna de los dispositivos como potencial factor a tener en cuenta a la hora de su valoración pericial, así como la posibilidad de poder apreciar la existencia de otras infracciones criminales que, en concurso con el hecho de la sustracción, pudieran elevar el nivel de gravedad del hecho. A partir de estas apreciaciones, podremos establecer conclusiones sobre las más que evidentes limitaciones que a la investigación tecnológica de tales infracciones criminales pueden presumirse, precisamente en aras de la implicación del principio de proporcionalidad; especialmente ante el gran impacto que han supuesto sobre la materia los claros pronunciamientos de la STJUE (Gran Sala) de 2 de octubre de 2018 (LA LEY 124440/2018) (C-207/16) (9) .
II.
EL VALOR O CUANTÍA DE LO SUSTRAÍDO EN EL DELITO DE HURTO
El delito de hurto del art. 334.1 del Código Penal (LA LEY 3996/1995) —CP—, como paradigma de los delitos contra el patrimonio, marca la diferencia entre lo que sería el tipo penal básico como delito menos grave y el delito leve en lo que se define como cuantía de lo sustraído. Solamente cuando este valor supera el tope de los 400 € nos enfrentaremos a un delito menos grave, castigado con penas de hasta 18 meses de prisión. En consonancia con esta contingencia, el art. 365 de la Ley de Enjuiciamiento Criminal (LA LEY 1/1882) —LECRIM— exige la audiencia del perjudicado y el sometimiento a dictamen pericial sobre su importe; con la sola excepción de las mercancías sustraídas en establecimientos comerciales, que se valorarán conforme a su precio de venta al público. La valoración económica del efecto sustraído se convierte, por ello en una diligencia de investigación esencial en cualquier procedimiento penal de instrucción por supuesto delito de hurto.
Para adentrarnos en el concepto mismo de valor o cuantía de lo sustraído hemos de retrotraernos a la concepción misma de los delitos contra el patrimonio. La clave de la evolución de la concepción del bien jurídico protegido de los delitos patrimoniales desde la tradicional relación con la propiedad como bien jurídico protegido en éstos frente la actual concepción patrimonialista predominante radica sin duda en la incidencia sobre el acervo patrimonial del sujeto pasivo. Existe afectación del bien jurídico protegido en tanto en cuanto el objeto mismo de la sustracción es económicamente evaluable. ANTÓN ONECA (10) definía el patrimonio desde el punto de vista del derecho penal como «el conjunto de valores económicos jurídicamente reconocidos». CHOCLÁN MONTALVO (11) trataba de buscar la diferenciación entre ambos bienes jurídicos en un planteamiento del derecho penal alemán defendido por BOCKELMANN; diferenciando aquellos tipos penales que protegerían a la víctima de acciones de apropiación u ocupación de una cosa, estén o no provistas de un valor económico y generen o no un perjuicio económico (Aneigningsdelikten), frente a los que la norma penal sí exige esa relevancia económica, con producción de un perjuicio de índole económica (Vermögensdelikten). Ello nos demuestra que esa concepción patrimonialista del bien jurídico protegido realmente opera en una dimensión diversa al concepto de apego o relación de jurídica posesión que caracteriza la visión centrada en el concepto de propiedad. Que la cosa tenga un valor patrimonial se superpone sobre el hecho mismo de su detentación y el apego que sobre la misma pudiera tener el detentador.
Es en buena parte en esta distinción donde deberíamos centrar las concepciones jurídica y económica del concepto. La primera parte de ese apego o relación jurídica que une a la cosa objeto de sustracción con el sujeto pasivo (12) ; la segunda incide definitivamente en la existencia de una valoración económica, íntimamente ligada a la consiguiente causación de un perjuicio patrimonial; aunque, como veremos, este último no adquiera un valor trascendental, sino realmente secundario o accesorio. Pero resulta obvio concluir que una y otra concepciones han de complementarse entre sí, en esa idea, que cristalizara en la llamada teoría mixta, que parte de esa relación de conexión jurídica entre la cosa y quien la detenta o posee y su valoración económica. Es de destacar, de hecho, cómo en la definición de los delitos de hurto, como modalidad de delito patrimonial por antonomasia, convergen realmente ambas concepciones; pues si la definición del ánimo de lucro nos lleva directamente a la idea de la desposesión, la concepción economicista nos lleva a considerar indispensable una valoración económica que trasciende de la diferenciación entre delito leve y menos grave para incidir en su propia esencialidad (13) .
Que el concepto de valor o cuantía de los sustraído tiene una relación cerrada con la idea de valor de mercado del objeto de la sustracción es un planteamiento que ha dejado hace mucho tiempo de ser objeto de controversia jurídica. Desde el punto de vista jurisprudencial, la STS 360/2001, de 27 de abril (LA LEY 4727/2001), así lo ha manifestado de manera incontestable; rechazando cualquier relación del valor con el precio de coste o fabricación del objeto, para acudir a una visión marcadamente especulativa, de mercado, al valor de cambio que en cada momento tenga la cosa (14) . No interesa tanto el coste de producción como el valor económico que podría adquirir la cosa en el mercado. Desde esta perspectiva economicista, un objeto sin valor jamás podría ser objeto de delito de hurto o robo; aunque debiéramos para ello abstraernos a una perspectiva realmente teórica, pues todo objeto habrá tener un valor económico, aunque sea ínfimo, incluso por debajo de la mínima expresión de fracción monetaria de curso legal.
A partir de aquí comienzan a divergir los puntos de vista doctrinales sobre qué es y qué no evaluable económicamente a los efectos de determinación de la cuantía de lo sustraído. Adquiere por ello especial trascendencia una correcta delimitación de la frontera entre lo que aporta valor crematístico, de mercado, a un objeto; frente a lo que a lo sumo pudiera ser tenido en cuenta como simple daño o perjuicio patrimonial, y por tanto ajeno a la definición del tipo penal básico. El primer gran punto de cesura ha de encontrarse en ese concepto de valor de afección que tanto predicado encuentra en el ámbito propio la responsabilidad civil derivada de la circulación de vehículos a motor. El valor de afección no es sino el apego o confianza que adquiere el propietario de un bien por razón de su tenencia y normal uso; y que lo convierte para él en un valor añadido de carácter eminentemente personalísimo. Tengo seguridad en el manejo de mi coche al haber hecho tantos kilómetros con él; me siento arropado y confortable con ese traje de chaqueta que suelo llevar cuando acudo a actos importantes de mi profesión. Sin embargo, es obvio que ese valor de afección, si queremos, en parte sentimental, podría forzarnos a pretender un mayor precio a la hora de desprendernos de ese concreto objeto; pero no por ello se verá incrementado su valor de mercado.
Es, por ello, en el ámbito propio del perjuicio donde ha de tener su especial juego ese valor de apego que está detrás de la afección. En este sentido, sin perjuicio de las apreciaciones que posteriormente haremos sobre su corporeidad o tangibilidad, la información que se conserva en la memoria interna de un dispositivo de almacenamiento masivo de datos, al no aportar un contenido o valor añadido al valor propio del dispositivo físico en el que se conserva, no habría de tener por sí sola una trascendencia real en la valoración de un objeto sustraído. Tal información, ya sea a modo de programas o aplicaciones instalados —software específico de acceso no libre—, ya sea como consecuencia de la aportación de valor añadido al dispositivo de determinados contenidos almacenados —un trabajo científico o una obra literaria inéditos, obras artísticas,…— podría en sí misma ser objeto de una valoración económica; que se habría de añadir al valor propio del continente, en tanto en cuanto pudiera verse abarcado por el dolo del autor (15) , aunque fuera en términos genéricos o de previsibilidad (16) . Pero en tanto en cuanto no pudiéramos apreciar sino un valor sentimental o personalísimo a tal información, no habría posibilidad alguna de su apreciación directa como componente del juicio de ponderación de su valoración económica de mercado. Ni siquiera su carácter insustituible o irrecuperable; pues siempre nos moveríamos en el terreno del perjuicio irrogado por la sustracción, sin incidir en el valor de tal objeto.
El valor de mercado está igualmente sujeto a criterios de ponderación de la depreciación que se produce por el uso. Igual que la sola adquisición de un turismo por una persona y su utilización, aunque sea recorriendo apenas quince kilómetros repercute en su precio de mercado, la sola acción de sacar de su caja un dispositivo de telefonía móvil, con retirada de precintos, tiene una repercusión directa en su precio de mercado. Pero no debemos de dejar atrás, tampoco, que el valor de mercado nada tiene que ver con el valor comercial; que el margen de beneficio que pudiera obtenerse de la venta de un determinado objeto en determinado establecimiento comercial no es representativo de este concepto de valor-mercado. Resulta más adecuada la utilización de tablas de depreciación/incremento del valor (17) que acudir a establecimientos comerciales para conocer cuál pudiera ser su precio actual
La dimensión especulativa que tienen algunos objetos susceptibles de sustracción llega a plantearnos igualmente ciertos problemas a la hora determinar el valor de una cosa. Por supuesto que los títulos valores corporeizados en un documento carecen de valor por sí mismos, con la sola excepción del papel moneda o de los títulos al portador; pues únicamente en ambos casos la sola posesión del título legitima la posibilidad de su realización (18) . Es el uso indebido de aquéllos por quien hubiera sustraído los títulos lo que podrá dar lugar a la comisión de concretas infracciones criminales —STS 169/2000, de 14 de febrero (LA LEY 36520/2000)—. Pero cuando los objetos están sometidos a especulación, o se deprecian por el simple decurso del tiempo o su uso, cual supone en concreto respecto de los dispositivos electrónicos, pueden llegar a surgir dudas sobre el momento en que debe determinarse su valor económico. La lógica debería llevarnos a acudir al momento en que tiene lugar la sustracción; nunca al momento en que el perito ha de realizar su dictamen, o el día en que la causa es sometida a enjuiciamiento (19) . Sin embargo, podemos encontrar autores que, como SORIANO SORIANO, llegan a incluir las variables a que pueden estar sometidas las cosas, lo que define como variaciones económicas objetivables, como factor que debe ser tenido en cuenta a la hora de determinar valor de la sustracción y de los daños y perjuicios causados por el hecho de la sustracción (20) . No podemos compartir en modo alguno tal apreciación, y menos esa especie de relación de analogía que se establece entre tal variable con la aplicación de un derecho penal más favorable en función de la elevación de las cuantías límite fijadas por el legislador (21) . Por supuesto que la fluctuación de precios o valoraciones puede tener una incidencia real en la valoración del perjuicio causado, en su variante tanto del lucro cesante como del daño emergente (se hurtan tuberías de cobre, pero en el momento de celebración del juicio el precio del cobre ha sufrido un importante incremento por problemas coyunturales de escasez de la materia prima en el mercado); pero el valor de la sustracción solo puede encontrar como único referente ese momento en el que la misma tiene lugar. Si quien hurta un lingote de oro de un banco parte de su cotización en mercado al día de la sustracción, no podemos estar a las fluctuaciones de éste para buscar un momento que pudiera ser más beneficioso para el reo para su valoración. El valor de la cosa a los efectos de tipificación de un delito de hurto no está sujeto a componentes especulativos de futuro. Es el momento de la sustracción, del desapoderamiento, el que marca el inamovible referente temporal para su valoración.
Pero tal vez el mayor dilema al que nos enfrentamos es a la hora de determinar si esa información que se almacena en un dispositivo de almacenamiento masivo de datos es en sí susceptible de ser considerada como una cosa mueble que pudiera integrar el objeto de un delito de hurto. Quienes primero abordaron la cuestión enfocaron la misma desde la perspectiva del carácter incorpóreo que las soporta. GONZÁLEZ RUS (22) partía de un concepto que iba más allá de la corporalidad: la aprehensibilidad, entendida como «una individuación suficiente de la materia que haga posible que la cosa pueda ser trasladada de un lugar a otro». Cuando nos enfrentábamos por ello a fluidos, gases o lo que llega a definir como flujo electromagnético, solamente en tanto en cuanto éstos estuvieran contenidos en un recipiente en sí mismo aprehensible adquirirían la condición de cosas a efectos de definición de su sustracción (23) . ROMEO CASABONA (24) partía de una posición más restrictiva, al entender que lo único que adquiría corporeidad, ser cosa mueble, era el soporte material mismo donde se incorpora o almacena el programa informático, mas no el programa a aquél incorporado. Ahora bien, sí permite que esa incorporación a un soporte físico traiga como consecuencia un incremento del valor del continente; que habría de ser tenido en cuenta a la hora de determinar su valor de mercado (25) . Realmente ambas posiciones convergen en cuanto que tienen en cuenta que la incorporación a un soporte de determinada información tratada mediante procedimientos informáticos da corporeidad y tangibilidad a ésta (26) . Otros autores más recientes, como GÓMEZ MARTÍN (27) , llegan a afirmar, aunque sin argumentos sólidos en los que asentar tal aserto, que al menos los programas de ordenador son objeto de protección penal como bienes susceptibles de sustracción, y en concreto en base al art. 234 del CP. (LA LEY 3996/1995)
El dispositivo puede tener instalados determinados programas o aplicaciones, aparte de los instalados de serie, evaluables económicamente
Estamos abriendo de este modo las puertas a que la información contenida en dispositivos móviles portátiles pueda aportar un valor añadido a sus soportes físicos; aunque para ello hayan de tener un valor de mercado propio o conjuntamente con el continente, más allá del meramente afectivo. El dispositivo puede tener instalados determinados programas o aplicaciones, aparte de los instalados de serie, facilitados por el fabricante o de acceso libre, o contenidos en sí mismos, evaluables económicamente (aplicaciones instalables bajo suscripción, o archivos económicamente valuables (28) que le aporten un valor adicional). El valor afectivo, y más en concreto el daño moral, no puede ir más allá de su debida ponderación a la hora de determinar los daños y perjuicios irrogados como consecuencia de la comisión del ilícito penal. Por supuesto que cualquier ciudadano tiene pleno derecho a ser resarcido de la pérdida que supone la imposibilidad de recuperar las carpetas de imágenes que pueden representar los recuerdos de toda una vida; pero este daño moral carece, per se, de un valor económico de mercado que permita tenerlo en cuenta a la hora de determinar el valor de la cosas sustraída.
Podríamos pensar, no obstante, que esta valoración del daño moral sí podría tener entrada a través de la agravación específica del art. 235.1,5º del CP (LA LEY 3996/1995); en cuyo último inciso se distingue claramente, con el mismo efecto agravatorio, entre el valor de los efectos sustraídos y la producción de perjuicios de especial consideración. Destaca cómo esta agravación, también recogida en el derogado Código Penal de 1973 (LA LEY 1247/1973), llega a equiparar el valor del objeto del delito desde su perspectiva economicista con el perjuicio irrogado. Y esta equiparación permitiría sin duda aplicar la agravación específica sin necesidad de partir de un tipo básico en el que el valor de la sustracción supere el tope de la venialidad de los 400 € (29) . Es esta una idea que parte de sólidos argumentos, desde el momento en que, desaparecida en la norma la distinción entre delito leve y menos grave a los efectos de su aplicación, nos encontramos con que son varios los supuestos en los que la agravación no se hace depender directamente de esa previa superación. Así sucede muy destacadamente en el ejemplo de conducciones, cableado o infraestructuras en general de suministro eléctrico, de hidrocarburos, telecomunicaciones u otras cosas destinadas a la prestación de servicios de interés general, siempre que se genere un quebranto grave a los mismos —apartado 3º—; o cuando se trate de productos agrarios o ganaderos, o medios que se utilicen para su explotación, cometidos en explotaciones agrícolas o ganaderas y se cause un quebranto grave a las mismas —apartado 4º—. Un perjuicio de especial consideración permitiría, por ello, elevar la sanción penal hasta los tres años de prisión, por mucho que el objeto de la sustracción fuera inferior a los 400 €.
Aunque es cierto que doctrinalmente se suele desdeñar, por intrascendente, establecer una distinción entre los conceptos de daño y perjuicio, lo cierto es que la dicción literal del art. 110 del CP (LA LEY 3996/1995) debería permitirnos hacer acotaciones. La reparación del daño a que se refiere el apartado segundo nos avoca directamente a la idea de la restitución del objeto del delito a su estado anterior a la comisión de la infracción penal; la indemnización de los perjuicios, que incluye los morales, al resarcimiento al perjudicado de los perjuicios causados como consecuencia de la comisión del delito, incluyendo por ello tanto el lucro cesante como el daño emergente. La ponderación de un daño moral irreparable, y su consecuente evaluación económica, no encuentra por ello en la literalidad de la norma una razón concreta que justifique su exclusión a la hora de valorar tal agravante; pues para el Código Penal tan perjuicio es el material como el moral. Sin embargo, no es difícil encontrar posiciones doctrinales que suelen decantarse por excluirlo (30) . Por mi parte, no encuentro razones convincentes que me lleven a decantarme por su exclusión; especialmente cuando es el propio legislador quien opta por emplear la voz perjuicios de especial consideración, en contraposición, como proposición alternativa, a la voz valor de los efectos sustraídos. A la hora de ponderar un perjuicio patrimonial, y teniendo en cuenta que el propio Código Penal equipara el perjuicio material al moral, nada debería obstar a tener en cuenta este último a la hora de ponderar la cuantificación económica del perjuicio causado por la sustracción como un criterio de valoración más. Solamente considerando que lo que busca el legislador es valorar ese componente de perjuicio de índole exclusivamente económica, material, que está detrás de los conceptos de daño emergente y lucro cesante, tal y como se desprende del ejemplo del art. 235.1,4º, (LA LEY 3996/1995) podríamos asumir tal tesis; pero se trata de supuestos que se mueven en planos claramente diversos. En esta agravación es evidente que lo que se pondera realmente, y por eso decide el legislador introducirla, es el daño que se produce a una explotación agraria o ganadera, como consecuencia de la sustracción (se pierde o se puede perder toda la cosecha de maíz de regadío porque se sustrae un segmento principal de las tuberías de riego o el motor que extrae el agua del pozo), y sin que el valor daño moral tenga la más mínima trascendencia (31) . Sin embargo, el supuesto del apartado 5º se descontextualiza de cualquier circunstancia concreta de trascendencia económica. Es el valor de lo sustraído o del perjuicio irrogado por la sustracción lo que centra la razón misma de la agravación; sin hacer distinción de la naturaleza específica de tal perjuicio. Se abriría por ello la puerta a la posibilidad de elevar la consideración de una determinada sustracción de dispositivo móvil de almacenamiento masivo de datos a la condición de delito menos grave agravado, independientemente de su más que probable valor económico inferior al tope de los 400 €; aunque los topes cuantitativos que pudiéramos manejar difícilmente superarían el umbral de tal agravación específica por la sola pérdida de contenidos o informaciones de carácter personalísimo que fueran irrecuperables.
III.
OTRAS INFRACCIONES CRIMINALES RELACIONADAS CON EL HURTO DE TELÉFONOS MÓVILES
El carácter incorpóreo de la información almacenada en dispositivos de almacenamiento de datos como son los teléfonos móviles dificulta seriamente la posibilidad de apreciar la concurrencia de otras infracciones criminales con las que establecer relaciones concursales. Pero ello no quiere decir que no podamos apreciar la existencia de delitos que pudieran encontrar algún tipo de parentesco o relación con el tipo de hurto que tiene en cuenta la incorporación de éstos al continente que, como indiscutible cosa mueble, sí puede ser objeto de ilícita detracción.
Como ya dijimos al inicio de esta exposición, la dinámica habitual de quien sustrae un teléfono móvil, o de quien posteriormente lo pone en venta en el mercado ilícito, a salvo aquellos supuestos en que el sustractor pretendiera valerse de la línea contratada para emitir o recibir comunicaciones propias, es la de proceder al borrado de toda la información que el mismo contiene; operación que suele llevarse a efecto mediante el formateado de la memoria interna. Tal operatoria hace prácticamente irrecuperable esa información almacenada; como no sea que el legítimo propietario usuario del dispositivo hubiera tenido la precaución de proteger esa información en dispositivos de memoria externos; o habiendo conseguido recuperarlo, tenga a su disposición sofisticadas herramientas de recuperación de datos, sin una garantía absoluta de éxito. Tal práctica habitual nos enfrenta a la posibilidad de apreciar una posible conexión entre el hurto y un delito de daños intencionados, tanto en su modalidad genérica del art. 263.1 del CP (LA LEY 3996/1995); como en la modalidad específica del daño informático del art. 264.1 (LA LEY 3996/1995).
El daño que conforma el tipo penal básico del art. 263.1 del CP (LA LEY 3996/1995) ha venido a ser definido jurisprudencialmente como todo detrimento o menoscabo en una cosa. La STS de 11 de marzo de 1997 —Rº 955/96 (LA LEY 4581/1997)—, nos decía al respecto que: «...en el delito de daños el objeto de la acción es siempre una cosa y el resultado es la destrucción equivalente a la pérdida total de su valor, la inutilización, que supone la desaparición de sus cualidades y utilidades o el menoscabo de la cosa misma que consiste en una destrucción parcial, un cercenamiento a la integridad, perfeccionamiento o valor de la cosa». La incorporación de la información almacenada al soporte físico que la contiene permitiría en este sentido tener en cuenta la pérdida o inutilización de aquélla a la hora de la posible comisión de un delito de daños. Tanto podría cometerse el delito por destrozar el dispositivo de memoria como borrando intencionadamente la información contenida en él. El componente económico del delito de daños, que nuevamente sirve como delimitador entre la infracción venial y la menos grave, no atañe al valor de mercado del objeto dañado, sino al coste de su restitución; aunque encontrará un referente incontestable como límite valorativo, pues suele establecerse como límite el valor de mercado de la cosa dañada. Pero para que esa destrucción o daño pudiera verse abarcada por la información contenida en el dispositivo ésta debería sin duda tener un referente de valor económico; lo que vuelve a mostrarse como evidente traba para reconocer trascendencia penal al daño o destrucción que afecte a contenidos carentes de más valor que el sentimental para el sujeto pasivo. A la hora de relacionar este tipo de daños con la previa comisión de un delito de hurto nos encontramos, no obstante, con una traba que convierte en prácticamente inviable cualquier intención de pretender afirmar la existencia de un supuesto de concurso. Producida la desposesión de la cosa mueble que contiene la información en ella almacenada, cualquier forma de ulterior destrucción quedaría absorbida por el desvalor propio de la acción sustractiva. Igual que si alguien hurta unas gafas de sol y luego con el tiempo decide romperlas con un martillo, no comete con ello un delito de daños, por la misma razón, no podríamos apreciar la comisión de un delito de daños del art. 263.1 del CP (LA LEY 3996/1995) en quien decide borrar la información almacenada por la víctima en su teléfono móvil. Nos enfrentamos sin duda ante un incuestionable supuesto de absorción que borraría en un principio la ulterior destrucción del contenido como posible infracción criminal sobre la que pudiéramos apreciar una situación de concurso de normas.
Quizá como forma de cubrir esas limitaciones del tipo penal originario de daños o para atender a la trascendencia real que tienen determinadas conductas que se desarrollan en el mundo telemático —hacking, cracking,…— surge el nuevo tipo penal del daño informático del art. 264.1 del CP (LA LEY 3996/1995); y que como consecuencia de la necesidad de implementar la Directiva 2013/40/UE (LA LEY 13365/2013)
(32) , se ha visto forzado a hacer una distinción, casi escisión, de la modalidad del daño informático frente a técnicas de interferencia u obstaculización en el normal funcionamiento de sistemas informáticos, que ahora encuentran su encaje en el art. 264 bis. (LA LEY 3996/1995) El antiguo art. 264 sufre una escisión que tiene por clara finalidad distinguir lo que es la interferencia u obstaculización del funcionamiento de un sistema informático ajeno —el nuevo art. 264 bis—, que pudiera ser definido como un daño funcional, una afectación grave del normal funcionamiento del sistema, de la destrucción, inutilización o conversión en inaccesibles, tanto de datos como de programas informáticos o documentos electrónicos ajenos. Dicho art. 264.1 castiga, efectivamente, con penas de seis meses a tres años de prisión, a quien «…por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave». El objeto del daño pasa a ser, por ello, un objeto inmaterial que se hace independiente del dispositivo que lo albergue o almacene; es en sí la información almacenada en dispositivos de almacenamiento masivo de datos, cualquiera que fuere su formato o naturaleza, siempre y cuando el deterioro fuere grave (no es suficiente por ello cualquier daño o alteración), y el resultado producido fuera igualmente grave (haciendo referencia a la trascendencia o relevancia, no necesariamente económica (33) , del resultado producido). Frente al ejemplo anterior, la propia configuración del tipo penal sí podría estar abierta a una comisión autónoma, independiente de la posesión del dispositivo de almacenamiento donde la información estuviera conservada. El legislador confiere autonomía a ese bien inmaterial que es la información soportada en un sistema electrónico; y permite la sanción de su daño, deterioro, alteración, supresión o conversión en inaccesible, imponiendo una sanción penal que solamente se equipara al tradicional tipo penal de los daños del art. 263.1 (LA LEY 3996/1995)cuando concurre en ésta alguna modalidad agravada. Es cierto que la información así almacenada no deja de ser ajena porque se haya sustraído el soporte físico que la albergaba. Pero entender que la sustracción, castigada de forma menos severa en su modalidad básica que el daño informático absorbería a éste, porque la destrucción se produce mediante la previa desposesión del bien que la contiene, supondría aparentemente poner al tipo penal del art. 264.1 unas limitaciones que la propia norma no prevé. A partir de aquí deberíamos preguntarnos, pues, qué sentido tiene mantener la prohibición de destrucción de la información ajena conservada en un teléfono móvil sustraído, cuya contravención fuera sancionada por el art. 264.1 del CP (LA LEY 3996/1995), si su titular no podría tener una expectativa mínimamente razonable de recuperarla. Y es aquí donde deberíamos encontrar el punto de inflexión que nos ha de llevar a la conclusión de que nos encontramos realmente ante algo diverso, un aliud: El daño informático tiene sentido en tanto en cuanto el dato, el programa, el archivo o el documento electrónico se encontraran en disposición de ser usados, aunque solo fuera a los solos efectos de su conservación, por su propietario o persona autorizada. Fuera de tal poder de disposición, aprovechamiento o uso, el propio tipo penal carece de verdadero sentido jurídico; al menos en tanto en cuanto hubiera una expectativa real de recuperación. La posible comisión del delito, aparte o conjuntamente con el hurto, podría darse, si acaso, en situaciones diversas, en las que la sustracción del dispositivo pudiera abrir las puertas a la eliminación de aquellos elementos (claves de acceso, firma electrónica u otras herramientas de autenticación) que permitieran acceder a información almacenada en otros soportes, haciendo ésta inaccesible.
La cesión a un tercero del dispositivo móvil sustraído, con o sin la información albergada en el mismo, sí podría dar forma, sin duda a una posible comisión de un delito de receptación del art. 298.1 del CP. (LA LEY 3996/1995) La acción típica encaja perfectamente en quien adquiere de tercero un teléfono móvil sustraído, generalmente a un precio notoriamente inferior al de mercado; respondiendo a una triste realidad cotidiana, de quien obra de forma tan insolidaria, siendo insensible a la realidad de que de este modo está dando aliento a un mercado ilícito del que cualquier día podría convertirse en su víctima. Pero el problema al que nos enfrenta este tipo penal trasciende su estructura típica, y la especial dificultad probatoria que supone el conocimiento del origen ilícito del objeto; que generalmente no podrá ir más allá de la recopilación de indicios más o menos vehementes de que el receptador podía tener conocimiento de que el dispositivo podía haber sido obtenido de manera ilícita (34) . El valor de mercado de los terminales móviles sustraídos apenas alcanza el tope de los 400 €; por lo que el tipo de referencia sería casi por definición un delito leve de hurto. Aplicando en su literalidad la nueva redacción del apartado tercero de dicho precepto garantizaríamos evitar en cualquier caso una desproporción penológica entre el tipo penal de origen y la receptación. Sin embargo, nos enfrentamos ante la paradoja de que, ante la derogación del delito de receptación habitual respecto de hechos constitutivos de lo que entonces eran falta —art. 299.1 del CP (LA LEY 3996/1995) en su versión anterior a la LO 1/2015 (LA LEY 4993/2015)—, estamos convirtiendo en delito, en este caso leve, lo que antes requería del presupuesto de la habitualidad. Esta situación genera una muy seria duda sobre si la derogación del art. 299 del CP tenía como razón de ser precisamente la permitir ahora la penalización de la receptación ocasional, en el sentido de no habitual, de objetos procedentes de un delito leve, antigua falta. Si acudimos al referente del Preámbulo de la LO 1/2015, la verdad es que el mismo nos deja perplejos. El legislador reconoce que lo que realmente está haciendo es adaptar la nueva regulación de los tipos penales al abandono del denominado sistema dualista (35) . Y lo hace simplemente derogando el precepto de la receptación habitual de faltas; sin duda sin ser consciente de que deja así abierto el camino a la posibilidad de bajar el listón de la exigencia de la delictualidad menos grave o grave del tipo de referencia, conservando como conserva intacto un apartado primero del art. 298 conforme a su anterior redacción. Aunque la literalidad de la norma permite sin duda sancionar como un auténtico delito leve la receptación de objetos procedentes de la comisión de un delito leve, una interpretación en favor del reo podría permitir considerar impune tal hecho; y ello con el sencillo argumento de destacar cómo el legislador está derogando la norma que castigaba una receptación habitual de faltas; que consideraba atípica la receptación no habitual. Hemos de acudir al argumento de la firme decisión del legislador de acabar con el sistema dualista, que le lleva a no hacer distingos entre unos y otros, salvo aquellos supuestos expresamente especificados, y a la realidad de que en ningún caso se está pretendiendo imponer la atipicidad de receptaciones no habituales, concretas, de delitos leves por el solo hecho de excluir dicha norma, para poder sostener que su literalidad sí tiene sentido jurídico.
La posibilidad de comisión de un delito contra la propiedad intelectual del art. 270.1 del CP (LA LEY 3996/1995) por razón de la reproducción, plagio, distribución, comunicación pública u otra forma de explotación económica de aquella información contenida en el dispositivo objeto de hurto es innegable. Pero para ello dicha información, obviamente, debe ser objeto de propiedad intelectual; es decir una obra o prestación literaria, artística o científica, o su transformación, interpretación o ejecución artística que esté fijada a dicho continente. Tal acción de contravención de concretos derechos relativos a la propiedad intelectual, que podría alcanzar igualmente al delito contra la propiedad industrial del art. 273 (LA LEY 3996/1995), gana independencia frente al hurto del continente. Solamente en aquellos supuestos en que la sustracción del dispositivo tuviera por finalidad precisamente cometer tales infracciones contra los derechos de propiedad intelectual o industrial, como forma premeditada de acceder a los mismos, podríamos pensar en situaciones de concurso medial (36) .
El delito de descubrimiento y revelación de secretos del art. 197 del CP (LA LEY 3996/1995) tendrá sin la menor duda una relación incontestable con la sustracción de dispositivos móviles de almacenamiento masivo de datos; en aquellos supuestos en los que la víctima se enfrenta al acceso no consentido a sus datos o contenidos almacenados en su terminal sustraído, y el autor o un tercero consiga acceder a ellos, bien porque el dispositivo no estuviera protegido o porque hubiera conseguido burlar la clave de acceso u otro medio de autenticación que los protegiera. El apoderamiento de soportes materiales en los que se conserven cartas, mensajes de correo electrónico, etc., en los que pueda accederse a información que ataña a los secretos o intimidad de la persona usuaria del terminal a que se refiere su apartado 1 puede tener lugar sin duda mediante el acceso a dicha información en tanto que almacenada electrónicamente en aquél. Igual ocurrirá cuando a lo que se acceda, se altere o utilice sean a datos reservados de carácter personal o familiar —apartado 2—. La posibilidad de un concurso medial vuelve a ser factible en los mismos términos a los anticipados respecto de la comisión de delitos contra la propiedad intelectual o industrial. No cabrá, sin embargo, la posibilidad de relacionar esta sustracción con el nuevo tipo penal del apartado 7 del mismo precepto; toda vez que la comisión del delito requiere que las imágenes o grabaciones audiovisuales especialmente comprometedoras hubieran sido obtenidas por su autor con anuencia de la víctima.
La posibilidad de comisión del nuevo delito de hacking del art. 197 bis (37) podría verse facilitada como consecuencia de la sustracción de un dispositivo móvil con posibilidad de interconexión y acceso a redes de comunicaciones electrónicas tanto públicas y privadas; con potencialidad igualmente de dar paso a una relación de medialidad con el previo hurto del dispositivo. El propio teléfono móvil puede convertirse en la herramienta de autenticación para el acceso a un sistema de información al que se podría penetrar con su sola posesión o descubriendo los elementos de autenticación soportados en la memoria interna o virtual de aquél; e igualmente a través del mismo, aprovechando su integración en una red interna, permitir interceptar transmisiones no públicas de datos que serían inaccesibles de cualquier otro modo. Destaca este tipo penal frente al anterior del descubrimiento de secretos en que su objeto no requiere poseer una especial trascendencia para adquirir relevancia penal. Basta el acceso a tal información en tanto que contenida en un sistema de información —apartado 1— o la interceptación de transmisiones no públicas de datos informáticos producidas desde, hacia o dentro de un sistema de información —apartado 2— para que se cometa tal infracción criminal castigada con penas de hasta dos años de prisión.
IV.
PROBLEMÁTICA PROCESAL EN LA INVESTIGACIÓN JUDICIAL DE TERMINALES MÓVILES DE COMUNICACIONES OBJETO DE SUSTRACCIÓN
1.
Indagaciones del usuario legítimo mediante el empleo de aplicaciones o utilidades facilitadas por el fabricante o proveedor de servicios
El universo de información que se genera por la sola activación y uso de un dispositivo de comunicaciones tipo Smartphone va mucho más allá de aquello que se alberga en sus memorias interna o virtual. El nuevo concepto de entorno virtual tiende precisamente a abarcar esa realidad que supera y multiplica exponencialmente aquello que permanece custodiado en el soporte físico que portamos y es susceptible de sustracción por una acción igualmente física. El terminal, una vez que comienza a ser usado, se convierte en una especie de receptáculo de información que a la vez genera y emite muchísima más información; pero igualmente se convierte en generador de una ingente cantidad de datos que son independientes, ajenos, al uso consciente que podamos hacer del mismo. Realmente, podríamos hablar de dos vidas paralelas, solo en determinados puntos coincidentes entre sí; vidas que llegan a interactuar en ocasiones de forma insospechada. Esa vinculación que existe entre el dispositivo físico y el inabarcable entorno virtual en el que se desenvuelve hace que la sustracción, incluso una vez borrada mediante su formateado toda la información contenida en aquél, no tenga por qué equivaler por definición a la pérdida de la información asociada al mismo; ni tampoco la traslación de ésta bajo el dominio del usuario ilegítimo. Sistemas operativos o modelos ponen a disposición del usuario herramientas que llegan a permitir un auténtico control remoto del dispositivo físico, casi su clonado; poniéndose a disposición del usuario herramientas que permiten su geolocalización, emisión de avisos para tratar de conseguir su recuperación, vaciado o copiado/borrado de la información disponible en la memoria interna o virtual, e incluso seguimiento más o menos exhaustivo del flujo de información que se genera como consecuencia de su empleo por terceras personas.
Es evidente que la titularidad del smartphone y la protección jurídica de ese entorno virtual que se genera como consecuencia de su legítima posesión alientan y legitiman el uso de herramientas que tiendan a facilitar la recuperación del dispositivo físico o a salvaguardarlo del uso y conocimiento ajeno; o recuperar aquellos segmentos del entorno virtual a disposición del usuario legítimo. Pero esta necesidad de defensa a ultranza del haz de derechos constitucionales que están detrás del hecho mismo de la pérdida de la principal puerta de acceso a ese universo del entorno virtual encuentra como frontera la necesidad de dar protección a otros derechos del mismo ámbito que pueden llegar a hacerse acreedores de una protección constitucional a favor del usuario ilegítimo, sea o no el responsable directo de la sustracción; y con más motivo a favor del tercero que pudiera haber adquirido posteriormente de buena fe tal terminal de comunicaciones.
Las primeras dudas a las que hemos de enfrentarnos a la hora de analizar los límites jurídicos a cualquier investigación que pretenda dirigirse al esclarecimiento de una sustracción de un terminal móvil nada tienen que ver con la actuación policial o judicial o con la necesidad de acudir a alguna de las medidas de investigación tecnológica a que se refiere el art. 588 bis a de la LECRIM (LA LEY 1/1882). Es en el ámbito propio de la autodefensa, del empleo de técnicas de rastreo o indagación a disposición del titular o usuario del dispositivo sustraído, donde hemos de profundizar a la hora de contrastar su legitimidad constitucional.
Las aplicaciones de búsqueda de dispositivos permiten rastrear su localización actual mediante su posicionamiento en cartografía digital
Los dispositivos soportados bajo el sistema operativo Android incorporan una aplicación de búsqueda bajo cartografía Google Maps de terminales perdidos (38) . A través de esta sencilla aplicación se puede obtener información en tiempo real de la ubicación del dispositivo, o, si estuviera desconectado, la última ubicación conocida. Esta aplicación abre las puertas a la vez a una función de aviso de llamada a un elevadísimo tono y bloqueo del terminal; así como a la posibilidad de borrar de forma remota toda la información conservada en la memoria interna del dispositivo. En el supuesto del sistema operativo iOS
(39) , la búsqueda puede llevarse a efecto bien iniciando una sesión en la web icloud.com/find o realizando la búsqueda desde otro dispositivo Apple a través de una aplicación específica. Al igual que sucede con el competidor Android, la aplicación permite rastrear su localización actual mediante su posicionamiento en cartografía digital; así como la emisión de sonidos para permitir su localización de encontrarse cerca. El marcado de la opción Marcar como perdido permite su bloqueo, mediante la activación remota de un código de bloqueo; suspendiéndose la posibilidad de hacer uso de medios de pago a través de Apple Pay. La opción de borrado permite igualmente eliminar todo el contenido almacenado en el dispositivo, cerrando la posibilidad de su recuperación incluso vía iCloud.com. La información almacenada en la nube podrá recuperarse, no obstante, una vez eliminado el dispositivo de la cuenta. El sistema operativo propio de los terminales Blackbery funciona de forma similar a la que ofrece iOS. A través de la aplicación Blackberry Protect (40) podemos activar de forma remota un bloqueo de la pantalla del teléfono y envío de un mensaje desde el sitio web de la aplicación. También puede obtenerse una localización geográfica del terminal con empleo de tecnología GPS. Sin embargo, si el teléfono se encuentra en una zona con poca cobertura, no se podrá finalizar esta acción. Incorpora también la posibilidad de activar un tono ruidoso, sonando el terminal a máxima potencia durante un minuto; así como una función de bloqueo del terminal y de eliminación de toda la información guardada en el dispositivo y en la memoria, desde el sitio web o desde otro terminal asociado al sustraído.
Obviamente, la pérdida del dominio físico de un dispositivo móvil no priva a su legítimo usuario de la posibilidad de hacer uso de herramientas que tiendan a su recuperación mediante su geolocalización, o a proteger la información almacenada en su memoria interna mediante su borrado remoto. Se trata de funcionalidades asociadas a la relación cliente/proveedor que se mueven en una dimensión diversa a la tenencia física del terminal. Por otra parte, el usuario, como víctima, tiene un innegable derecho a utilizar técnicas o procedimientos tendentes a tratar de recuperar lo que es suyo; siempre, por supuesto, que lo haga dentro de los márgenes que le permiten la Constitución y las leyes.
En este sentido, la sola geolocalización puntual del terminal en un momento determinado, que no un seguimiento permanente del dispositivo una vez localizado, qué duda cabe que no vulneraría estándar alguno de licitud. Se trata de una injerencia mínima sobre un aspecto de la privacidad de la persona que eventualmente pudiera estar en posesión del dispositivo que apenas incidirá sobre su derecho a la intimidad consagrado en el art. 18.1 de la Constitución (LA LEY 2500/1978); y que además quedaría ajeno a cualquier forma de expectativa razonable de privacidad por parte de quien hubiera sustraído el dispositivo o se hubiera hecho con él posteriormente de forma igualmente ilícita. Se trata de mecanismos defensivos de respuesta cuya funcionalidad cuenta con un alto nivel de conocimiento por parte del entorno social; y que además pueden ser desactivados con solo adoptar el detentador algunas elementales precauciones (desconectar la función de ubicación o de búsqueda, por poner un ejemplo). Esa cognoscibilidad de la existencia de herramientas que permiten el acceso y seguimiento y la posibilidad de utilización de mecanismos de evitación del seguimiento remoto, muestran un claro paralelismo con el supuesto de hecho analizado en la trascendental STC 241/2012, de 17 de diciembre (LA LEY 209790/2012). Y debería abarcar situaciones en las que el detentador hubiera adquirido el dispositivo de buena fe, con pleno desconocimiento de su origen ilícito. La posibilidad de que se llegue a indagar la geolocalización del dispositivo que esté en manos de un tercero de buena fe es sin duda un riesgo que debe asumirse, como lo es la existencia de posibles lazos telemáticos con dominios o ubicaciones bajo la disponibilidad de usuarios anteriores; y que encontraría como fundamento jurídico precisamente ese carácter independiente de la utilización de una aplicación facilitada por el proveedor como consecuencia de la relación jurídica que le une con el cliente.
La posibilidad con que cuenta el usuario legítimo de realizar un borrado remoto de la información almacenada se ve aún más afianzada como un incontestable derecho de protección de todo el entorno de su privacidad, de su entorno virtual, frente al posible acceso ilegítimo por terceras personas; y que encontrará un mayor grado de legitimación en tanto en cuanto esta operación se lleve a efecto de forma inmediata a la pérdida del dispositivo. El borrado, mientras que no se permita un acceso selectivo a la memoria interna, es en esencia ciego; lo que lleva al riesgo de realizar una eliminación en arrastre de la información introducida o manejada por los distintos detentadores del dispositivo tras su sustracción. Obviamente, el titular legítimo no tiene una especie de libérrimo derecho de accesión sobre la información que introduce o genera el detentador ilegítimo del terminal; su condición de titular legítimo no le da derecho a hacer un uso ilimitado, vía remota, de dicha información que a su vez podría atañer a información íntima de aquél. Una destrucción remota a ciegas en esa situación de cercanía temporal entre la sustracción y su ejecución nulo reproche jurídico podría encontrar. Pero a mayor transcurso del tiempo entre uno y otro momento, que no fuera motivado por razones justificadas (expectativa seria de recuperación), tal acción podría tornar ilegítima, al menos en cuanto pudiera abarcar a terceros de buena fe —art. 111.2 del CP (LA LEY 3996/1995)—. Cosa distinta serían las consecuencias jurídicas de tal acción de borrado remoto sin conocimiento de la existencia de dicha información y el carácter de poseedor de buena fe del actual poseedor, obviamente. Si bien el usurpador ilegítimo del dispositivo podría amparar su derecho a la intimidad o al secreto de sus comunicaciones en cuanto pueda respectar al examen de tal información incluso por el propio propietario legítimo del dispositivo, una vez tuviera conciencia de su existencia o naturaleza, difícilmente podría ampararse en esa especie de causa torpe para aducir un derecho legítimo al mantenimiento de esa información hasta que pueda darle un destino legítimo. El sustractor o receptador debe ser consciente del riesgo que supone para él la pérdida de la información que ha manejado o almacenado ante la legítima acción defensiva de borrado remoto por el legítimo usuario mediante el empleo de aplicaciones al uso.
Siguiendo en esta misma línea, a modo de ejemplo, la aplicación Android Lost permite realizar un examen remoto de la información almacenada en la memoria interna del dispositivo sustraído (41) ; y a partir de ahí rescatar, mediante su copia y traslación, aquellos documentos, imágenes o archivos que resultaran de utilidad o necesidad para el usuario legítimo. Incluso se permite redirigir comunicaciones de mensajería instantánea que tengan por origen o destino la identidad propia del usuario legítimo a otros dispositivos móviles o fijos. Pero, por la misma razón, en tanto en cuanto se utilice esta tecnología, la posible afectación al derecho al secreto de las comunicaciones o una grave afectación de la intimidad del usuario ilegítimo se habrían de oponer como barreas infranqueables para el acceso a tal información, y obviamente a su ilicitud como medios de investigación o prueba; con la sola excepción de circunstancias que pudieran considerarse hallazgos casuales o descubrimientos no encaminados a una finalidad marcadamente heurística, en los términos referidos en la STC 97/2019 (LA LEY 99619/2019), de 16 de julio (42) . Si a través del examen de la galería de fotografías que se pretenden recuperar se encuentra la imagen del autor del hurto o documentos que hacen referencia a su identidad real nada debería obstar a su posible utilización procesal. Cosa distinta es si se pretende acceder al tráfico de comunicaciones del sustractor como forma directa de identificarlo. Para ello la aplicación tiene algunas utilidades que, entre otras cosas, permiten dar avisos del cambio de tarjeta SIM, haciendo visible los datos de su identidad; e incluso puede enviar al usuario legítimo un listado de llamadas entrantes y salientes. El empleo de estas herramientas, en cuanto que superen el límite de la simple identificación de la tarjeta SIM que se introduce en el terminal, sobrepasaría claramente los límites de la licitud de la actuación por iniciativa propia del usuario legítimo; requiriendo para ello de la correspondiente autorización judicial.
La situación es completamente distinta, obviamente, en cuanto respecta a los reflejos o copias que se van almacenando en la nube; especialmente cuando el propio proveedor o fabricante facilita al usuario herramientas de copias de seguridad, sincronizadas o no con otras utilidades o dispositivos, que llegan a poder transferir la información almacenada en el terminal a la base de datos gestionada por el prestador del servicio incluso de forma automática, por espacios de tiempo preestablecidos. Es el más claro ejemplo de esa doble existencia digital y física en la que se debaten los dispositivos móviles inteligentes. Ya no estamos hablando de un acceso y dominio remotos al dispositivo físico, sino el dominio intacto que mantiene el usuario legítimo, como cliente del prestador del servicio o fabricante, sobre una información acumulada antes y después de tener lugar la sustracción. Incluso variándose la tarjeta SIM asociada al terminal, sistemas operativos como Google Drive o iCloud suelen tener preestablecida esa funcionalidad de realización en intervalos regulares de copias de seguridad de la información almacenada en el dispositivo. El acceso a esta información suele relacionarse con el dominio de una cuenta de correo y contraseña de acceso a la nube; y ello coloca al usuario legítimo en una posición especialmente favorable. En tanto en cuanto el nuevo usuario ilegítimo utilice el terminal con la misma tarjeta SIM aun no dada de baja o bloqueada, toda la información que genere el terminal seguirá nutriendo la copia de seguridad alojada en la nube; lo que le permitiría acceder a la copia alojada en la nube de haber podido tener conocimiento de la clave de acceso. Desde el momento en que el usuario legítimo active una tarjeta nueva, su duplicado, el ilegítimo perderá ya todo contacto con aquélla. La puesta en funcionamiento de un iPhone o iPad, similar en este sentido a los dispositivos Blackberry
(43) , requiere de un previo acto de registro en los servidores de Apple. Ello tiene lugar a través de la aplicación iTunes, coordinada con su instalación en un Pc personal. A partir de ese momento Apple asigna una identidad, ID; que se asocia con una dirección de correo electrónico y una contraseña. Dicha aplicación permite la realización de copias de seguridad que se alojan en la nube, iCloud, o incluso, como opción, en el Pc asociado al terminal móvil; y que pueden ser programadas por el usuario para su sincronización o ejecución de forma automática desde el propio terminal o Pc asociado. De esta forma siempre se pueden recuperar los datos si el terminal es robado, accediendo al iCloud desde el ordenador. Aunque los terminales que utilizan el sistema operativo Android no cuentan por definición con un sistema de registro similar al que presta el sistema iOS (44) , sí comparten un esquema similar en cuanto respecta a la gestión de copias de seguridad; permitiendo la programación no solo de forma manual, sino también automática por períodos de tiempo regulares.
Las mismas aplicaciones de recuperación de teléfonos perdidos suelen incorporar una función en la que se realiza, en coordinación con la herramienta de geolocalización, una fotografía con la cámara frontal tipo selfie a la persona que pretenda manipularlo; lo que popularmente ha venido a ser definido como theftie. Obviamente, la sola utilización de esta aplicación para descubrir al autor de la sustracción no debería tener más repercusión jurídica que otros sistemas de alarma de naturaleza disuasoria. Su uso es común, y el conocimiento de su existencia se encuentra igualmente al alcance de todos. La ilicitud de esta forma de captación de imágenes dependería mucho más del ulterior empleo de esta información que del solo hecho de la activación de esta utilidad junto a la aplicación de recuperación. Incluso si pudiéramos pensar que se pudiera estar afectando al derecho a la protección de datos personales del usuario ilegítimo (45) , esa desconexión de la finalidad heurística de la captación frente a un diseño previo de naturaleza disuasoria podría hacer tornar en perfectamente viable tal captación como medio de investigación y eventual prueba de la participación del usuario ilícito en la sustracción o su ulterior receptación.
Puede darse la circunstancia de que ese dominio remoto que puede mantener el usuario legítimo del dispositivo móvil pudiera abrirle las puertas a la posibilidad de si no adentrarse en perfiles sociales manejados por el usuario ilegítimo, al menos tener noticia de ellos; o en el sentido contrario, que el usuario ilegítimo se valga del dispositivo para manejarse por las redes usurpando la verdadera identidad que está detrás de concretos perfiles de redes sociales. En tanto pudiera replicarse la identidad que confiere la posesión del dispositivo móvil, no es de extrañar que el primero reciba comunicaciones o avisos de aquellos perfiles con los que nada tiene que ver o recibir el usuario legítimo avisos de utilización de sus perfiles. Ambas situaciones nos enfrentan a escenarios claramente diferenciados.
Obviamente, la usurpación de la identidad del usuario legítimo, la utilización de su nombre de usuario y clave, podría ser en sí misma un delito en tanto que con ello pretendiera accederse a sus comunicaciones o indagar sobre aspectos de su intimidad. La víctima tiene legítimo derecho sin duda a moverse dentro de los márgenes de lo que solo a él le pertenece, el dominio de su perfil y todas las potencialidades que de ello se deriva. Quien usurpa de este modo la identidad de un tercero es consciente de que puede rastrearse información sobre la ubicación desde la que emite determinado mensaje o acceso a una red social (46) . Cualquier potencial herramienta que tenga a su disposición el usuario legítimo para rastrear información sobre el verdadero emitente sería de manera incontestable legítima, en tanto que el usurpador la hiciera permeable a través de los metadatos que hace visibles al interactuar en perfiles o dominios ajenos. Al igual que el propietario de un turismo dotado de sistema de seguimiento por GPS para supuesto de desaparición tiene un indudable derecho a hacerse valer de la información que facilite el vehículo sobre su ubicación, el titular de un perfil de red social que ha sido usurpada tiene pleno derecho a analizar los metadatos que ofrezca determinado acceso no autorizado a su perfil utilizando su propia identidad.
La situación es mucho más compleja cuando se producen interacciones con perfiles propios del usuario ilegítimo. Pero es ésta una cuestión que hemos de solucionar nuevamente desde la perspectiva de la expectativa razonable de privacidad relacionada con el nuevo universo del llamado derecho al entorno virtual. Que el usuario legítimo reciba información sobre uso de redes sociales por parte del poseedor ilegítimo no es nada que nos deba extrañar; siendo consecuencia de la interconexión-sincronización de dispositivos físicos e identidades que nos ofrecen determinadas aplicaciones. Ello se ve aún más potenciado por la generalizada opción de sincronizar dispositivos o utilizar el Pc asociado como ubicación para el almacenamiento de copias de seguridad. Datos tan sencillos como una notificación de evento de cualquier contacto o amistad de un perfil social del usuario ilegítimo podrían llegar con cierta facilidad al legítimo a través de estas interconexiones virtuales; y a partir de ahí abrir las puertas a la identificación de aquél. Si algo nos enseña la ya citada STC 241/2012 (LA LEY 209790/2012) es que el empleo de herramientas electrónicas que se interconectan a las redes de telecomunicaciones o son susceptibles de ser utilizadas por otras personas imponen a quien se expone a exteriorizar, hacer accesibles, datos propios hacer ejercicio de lo que se define como su derecho de exclusión; teniendo en su contra precisamente el riesgo de no verse favorecido por su expectativa razonable de privacidad como consecuencia del consentimiento presunto que exterioriza por no tomar precauciones ante tal riesgo. La aplicación de esta doctrina tanto al secreto de las comunicaciones como a ese más amplio nivel de la protección jurídica del entorno virtual nos lleva a concluir que en tanto en cuanto hagamos conscientemente vulnerables nuestras comunicaciones o datos personales al conocimiento ajeno dejaremos de estar protegidos por el secreto de las comunicaciones o el derecho al entorno virtual. En definitiva, somos nosotros quienes marcamos las fronteras de aquello que pretendemos mantener preservado del conocimiento ajeno. Y para interpretar cuándo y bajo qué circunstancias queremos ser protegidos por el manto protector de tales derechos ha de acudirse no solo a nuestra voluntad expresa, sino también a un juicio de valor sobre si como consecuencia de nuestra actitud y circunstancias en las que, dentro de las posibilidades tecnológicas a nuestro alcance y capacidad de uso, emitimos, compartimos y conservamos contenidos y rastro de nuestras comunicaciones, puede inferirse o no el ejercicio de tal poder de exclusión. El acceso a ese primer nivel de conocimiento derivado de la comunicación automática de información a la réplica del dispositivo telefónico móvil quedaría sin duda fuera de ese manto protector de la expectativa razonable de privacidad. Es accesible a cualquier persona el hecho de que utilizar un determinado dispositivo de telecomunicaciones obtenido de forma ilícita genera un rastro que podría hacerse permeable a terceros, y en concreto al usuario legítimo. Éste accede legítimamente a esta información, y obviamente también a unos metadatos a los que habría tenido acceso precisamente por el no ejercicio por el usuario ilegítimo de su poder de exclusión mediante el empleo de herramientas que impidan esa interconexión remota (47) . Esta capacidad de indagación legítima podría ir a más; pues igualmente el usuario legítimo podría utilizar la información así obtenida para descubrir quién está detrás de tales datos compartidos, siempre que ello lo sea dentro de los cauces de accesos públicos o autorizados a perfiles de redes sociales relacionados con tal información. Por poner un ejemplo, podría indagar sobre los datos en abierto, de acceso público, que publique el usuario ilegítimo, y así dar con su identidad. Pero lo que no podría sin duda sería utilizar esta puerta trasera que supone la posibilidad de usurpar su identidad gracias a la información así obtenida, para conseguir indagar sobre sus comunicaciones privadas o perfiles de acceso restringido. En este sentido renacería sin duda la expectativa razonable de privacidad del usuario ilegítimo; quien cerrando el círculo de la accesibilidad de sus comunicaciones y perfiles de redes con acceso restringido a concretos usuarios, estaría ejercitando de forma expresa e incontestable su poder de exclusión.
2.
Medidas de investigación tecnológicas susceptibles de ser utilizadas para la investigación de hurtos de teléfonos móviles. El impacto de la STJUE (Gran Sala) de 2 de octubre de 2018
Como ya hemos tenido la oportunidad de comprobar a lo largo de esta exposición, el principal escollo al que nos enfrentamos ante a una sustracción de teléfono móvil es que habrá una alta probabilidad de que su valor de mercado sea inferior a los 400 € en que se marca la diferencia entre el delito leve y el menos grave. Aunque la media en el mercado de un terminal nuevo supera con cierta facilidad dicho tope, la sola liturgia de desprecintar la caja donde se guarda supone ya un destacado descenso en su valor; que se verá aún más pronunciado cuando el dispositivo comience a ser utilizado aunque sea por varios días o semanas. Los mismos dispositivos de alta gama, que alcanzan los 800/900 € pasan a tener un valor de su mitad pasados pocos meses desde su adquisición y uso; y pierden aún más rápido su valor cuando aparecen en el mercado versiones más actualizadas del mismo modelo. Solamente tratando de buscar un valor añadido como consecuencia del software o contenidos que albergara la memoria interna o SD de un tal dispositivo móvil, y teniendo en cuenta la inviabilidad jurídica de valorar a tal efecto el daño moral producido por la pérdida de contenidos de imágenes, contactos, archivos o conversaciones más allá del simple perjuicio (48) , podríamos intentar implementar el huero precio de mercado del dispositivo; y tratar así de acercarnos a tal frontera, aprovechando la posibilidad que brinda el art. 365 de la LECRIM (LA LEY 1/1882) de oír al perjudicado a los efectos de valoración del efecto objeto de sustracción (49) . La opción por tratar de aplicar alguna modalidad agravada o un concurso con otros delitos sería otra solución factible.
Precisamente esa consideración casi por definición de delito leve de hurto que está detrás de la sustracción de dispositivos móviles en un descuido de su usuario legítimo supone en sí mismo un obstáculo difícil de superar a la hora de tratar de establecer una estrategia investigadora. Y es que la naturaleza jurídica en cierto modo transformada de los delitos leves no deja de esconder la realidad de que su asimilación a efectos procesales de lo que eran simples faltas impide ir mucho más allá de su simple valoración pericial y señalamiento de juicio si es que el posible autor resulta conocido. No debemos olvidar que aunque la nueva regulación ha supuesto en cierto modo una mayor posible sanción penal frente al ejemplo de las faltas, la diferencia es en sí misma irrelevante; y más teniendo en cuenta que si el tope máximo punitivo pasa de los dos a tres meses de multa como pena estándar, y pese a que éste puede llegar a superar hasta los doce meses en supuestos como el de la defraudación de fluido —art. 255.1 del CP (LA LEY 3996/1995)—, la norma ha perdido la posibilidad de establecer como pena alternativa, que no subsidiaria, la localización permanente incluso en centro penitenciario, con la sola excepción de tipos relacionados con la violencia doméstica o de género. Acudiendo al ejemplo de la falta de hurto del derogado art. 623.1 del CP (LA LEY 3996/1995), la pena podía ser bien de multa de uno a dos meses o localización permanente de hasta 12 días; y esta última cumplirse en fines de semana o festivos en el centro penitenciario más próximo al domicilio del penado. Pretender una hipervaloración de la infracción es en este contexto discutible; pues la sanción privativa de libertad desaparece como opción alternativa, y la posibilidad de cumplimiento en centro penitenciario a la que se refiere el at. 37.1, párrafo segundo del CP (LA LEY 3996/1995) ha quedado vacía de contenido, al no darse ya el presupuesto de alternatividad en la imposición de la pena de localización permanente. La única intención del legislador fue la de ampliar el espectro de hechos que quedaban extramuros de sanción penal por mor del principio de intervención mínima (50) ; estandarizando una pena de multa con una finalidad más aparentemente uniformadora que destinada a considerar los delitos leves que sobrevivieron a la reforma como una infracción de mayor gravedad a la que tenían antes de la reforma. La desaparición en el articulado del Código Penal de toda referencia a las faltas, y la mención solo a delitos, y en su caso delitos leves, es consecuencia por ello no de una mayor ponderación de éstas, sino de una decidida finalidad del legislador de hacer desaparecer de su texto cualquier reminiscencia de aquéllas, del llamado sistema dualista.
Que con anterioridad a la reforma las faltas tenían vedada cualquier posibilidad de utilización de diligencias invasivas de derechos fundamentales para su esclarecimiento en aplicación de un elemental principio de proporcionalidad es un hecho que a estas alturas debería considerarse incontestable. La mejor prueba de ello en el ámbito de las investigaciones de índole tecnológica habría de encontrarse en el apartado 4 de la Disposición adicional única de la Ley 25/2007, de 18 de octubre (LA LEY 10470/2007), de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones —LCDCE—; donde para legitimar la cesión de datos referidos a titularidades de tarjetas de prepago de telefonía móvil se exige, en contraposición al concepto de delito grave recogido en su art. 1.1 (LA LEY 10470/2007), que la orden de cesión lo sea «…con fines de investigación, detección y enjuiciamiento de un delito contemplado en el Código Penal o en las leyes penales especiales». No cabe menor grado de inmisión en datos relativos a comunicaciones que la sola identificación del titular de determinado dispositivo o identidad; por lo que otras injerencias que incidieran más en el ámbito de la intimidad/protección de datos, o en cualquier caso en el secreto de las comunicaciones habrían de superar sin duda ese estándar mínimo del concepto de al menos tratarse de un delito menos grave. Incluso el acceso a datos comerciales conservados por motivos comerciales por las operadoras de telecomunicaciones quedarían extramuros de tal posibilidad de indagación en la esfera de las simples faltas.
Las propias limitaciones procesales del juicio por delito leve, que no conoce una fase de instrucción más allá de las elementales necesidades de la debida calificación del hecho y la identificación del presunto autor, lastrarían la posibilidad de una fase de investigación en sentido estricto extramuros de esas finalidades o del acopio de medios de prueba que pudieran hacerse valer en el acto del juicio. El art. 962.1 de la LECRIM (LA LEY 1/1882) limita de hecho las actuaciones a la localización de ofendidos, perjudicados, denunciante, denunciado y testigos; y ello permitirá sin duda la realización de indagaciones previas, especialmente cuando el señalamiento fuera directamente por decisión judicial —arts. 964.2,b) (LA LEY 1/1882) y 965.1,1ª (LA LEY 1/1882)—. El art. 963.1,2ª (LA LEY 1/1882), por su parte, refiere la posibilidad de anticipación de medios de prueba imprescindibles para la celebración del juicio. Y es aquí donde cabe la posibilidad de práctica de determinadas diligencias, no de instrucción, sino en cuanto que son indispensables para celebración del juicio y calificación de los hechos; como lo serían la valoración médico legal de unas lesiones, o la valoración de los daños materiales o valor del mercado del objeto de la infracción, como en concreto exige el art. 365 de la LECRIM. (LA LEY 1/1882) Las labores de identificación deberían concebirse más en el sentido de ampliar o especificar datos de identificación, que en hacer una compleja labor de investigación judicial más allá de las actuaciones practicadas por la policía judicial. El enjuiciamiento de delitos leves se opone frontalmente a complejas labores de investigación criminal, al menos en sede judicial.
La incidencia de los llamados principios rectores introducidos por la LO 13/2015 (LA LEY 15163/2015) en el nuevo art. 588 bis a de la LECRIM (LA LEY 1/1882), así como la limitación en el acceso a medidas tecnológicas relacionadas con el ámbito de las telecomunicaciones o datos relativos a las mismas —arts. 588 ter a (LA LEY 1/1882) y 588 ter j (LA LEY 1/1882)—, lastran aun con más motivo la posibilidad no ya de hacer uso de las mismas en un contexto de indagación de delitos leves de hurto, sino incluso cuando éstos superan el umbral de los 400 €. Realmente, lo que ha hecho el primero de los preceptos citados es dar forma de texto legal a una serie de principios cuya vigencia era reconocida de forma generalizada por nuestra jurisprudencia. Algunos de ellos, como son los principios de especialidad y necesidad/excepcionalidad, llegan a recoger de forma casi literal la definición que de los mismos se hiciera por nuestra jurisprudencia (51) . El segundo de los preceptos citados define la relación de infracciones criminales que pueden ser objeto de injerencia, según criterios de pertenencia a determinadas categorías de delitos, pena o herramientas empleadas para su comisión.
El principio de especialidad frena cualquier intento de utilización de técnicas prospectivas basadas en el uso de medidas de investigación tecnológica
En cuanto aquí nos interesa, destaca especialmente el principio de especialidad; que es entendido como un freno indiscutible a cualquier intento de utilización de técnicas prospectivas basadas en el uso de medidas de investigación tecnológica, «…que tengan por objeto prevenir o descubrir delitos o despejar sospechas sin base objetiva». Este principio se opondría a la posibilidad de especular sobre la comisión de otros delitos que, como el descubrimiento de secretos o contra la propiedad intelectual, sí fueran susceptibles de ser sometidos a herramientas de investigación tecnológica. Fundamentar la adopción de tales medidas ante el solo riesgo de que por el autor del hurto del teléfono móvil o un tercero pudiera accederse a la información contenida en el mismo o llevar a efecto una reproducción o cesión de contenidos amparados por un derecho de propiedad intelectual no es sino dar carta de naturaleza más a la prevención del delito que a su investigación. Cualquier intento de fundamentar una medida de tal naturaleza como forma de tratar de recuperar un teléfono móvil sustraído, al basarse en meras sospechas no objetivadas, chocaría frontalmente con el principio de especialidad. Solamente ante la constatación de indicios de que se estuviera cometiendo o intentando cometer tales delitos (el perjudicado recibe avisos a través de su réplica del terminal o perfil de redes sociales del intento de alguien de acceder a las mismas sin autorización,…), podría darse cumplimiento a la superación del juicio de especialidad de la medida. El concurso medial permitiría sin duda expandir el espectro de eventuales medidas de investigación tecnológica a delitos leves de hurto de dispositivos móviles, en cuanto tal sustracción tuviera por cometido precisamente la comisión de tales delitos.
Desde la perspectiva del principio de proporcionalidad, el legislador diseñó un novedoso esquema, inspirado en el precedente indiscutible del borrador de Anteproyecto de Código Procesal Penal de diciembre de 2012, en el que se partía de lo que debería entenderse como un doble juicio de proporcionalidad; conforme al cual, la lista de delitos que permiten la adopción de medidas tecnológicas de investigación se comporta como auténtico presupuesto o filtro que, una vez superado, someterá el supuesto de aplicación de la norma a un juicio de proporcionalidad en sentido estricto conformado por los criterios ponderativos que se recogen en el apartado 5 del art. 588 bis a. (LA LEY 1/1882) Ello nos lleva a una comprometida situación; toda vez que el criterio penológico del límite punitivo de al menos tres años de prisión para la sanción más grave predicable para este tipo de infracciones criminales solamente podría alcanzarse mediante la concurrencia de alguna de las agravaciones específica del art. 235 del CP (LA LEY 3996/1995); lo cual, lo hemos visto, se nos antoja realmente complejo. El tipo básico del delito menos grave del art. 234.1 (LA LEY 3996/1995) apenas llega a la mitad de ese tope de los tres años establecido en el art. 579.1º del CP. (LA LEY 3996/1995) En cuanto a los demás criterios, aparte de extraños concursos con delitos de terrorismo, solamente la comisión en el contexto de una organización o grupo criminal nos abriría las puertas a la posibilidad de superar ese primer presupuesto; en tanto en cuanto la sustracción pudiera encuadrarse en el contexto de una tal forma de actuación grupal, y pudieran con un mínimo de solvencia superarse las exigencias del principio de especialidad (52) . No serviría, sin embargo, la referencia que se hace en el art. 588 ter a, como supuesto añadido a la lista del art. 579, a los «delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación»; y ello por la sencilla razón de que la norma no abarca delitos cometidos respecto de herramientas tecnológicas, cual sucede en el hurto de un teléfono móvil, sino el empleo de herramientas de tal naturaleza para su comisión. Surge la duda de si el art. 588 ter j (LA LEY 1/1882), referido a la cesión de datos obrantes en archivos automatizados de los prestadores de servicios, al no hacer la norma referencia alguna a límites penológicos o de lista de delitos, permitirá cuando menos su aplicación a cualesquiera delitos, aunque fueran menos graves. En este sentido se ha decantado la Circular 2/2019 (LA LEY 50/2019) de la Fiscalía General del Estado, entendiendo que la evolución histórica de la norma hasta su consagración en la redacción definitiva nos habría de llevar a tal conclusión (53) . El propio límite del delito leve, por su evidente desproporción, nos llevaría a su exclusión sin ningún género de duda, incluso desde la matizada perspectiva de la opinión de la Fiscalía General del Estado (54) . Podemos encontrar al menos hasta tres sólidos argumentos que nos llevan a descartar tal posicionamiento; a considerar que el art. 588 ter a (LA LEY 1/1882) es aplicable también a la cesión de datos regulada en el art. 588 ter j (LA LEY 1/1882), en aquello que la norma no se ha visto afectada por la STJUE (Gran Sala) de 21 de diciembre de 2016 (LA LEY 180541/2016) (asuntos TELE2 SVERIGE AB y otros; C-203/15 y C 698/15): En primer lugar, tal sumisión a la norma general del art. 588 ter a se sigue reconociendo explícitamente en el Preámbulo de la LO 13/2015 (LA LEY 15163/2015), en cuyo párrafo 11 del apartado IV se nos dirá que la incorporación de estos datos «…solo se autoriza cuando se trate de la investigación de un delito que, por razones vinculadas al principio de proporcionalidad, sea de los que justifican el sacrificio de la inviolabilidad de las comunicaciones»; en segundo lugar, el art. 588 ter j de la LECRIM está integrado en la Sección 2ª de un capítulo, en el que, ubicado en su Sección 1ª, e intitulado Disposiciones Generales, se encuentra el art. 588 ter a, donde se introduce la lista de delitos susceptibles de técnicas de injerencia en el ámbito de las comunicaciones electrónicas, y en tercer lugar, la norma realmente guarda silencio sobre los delitos a los que podría ser aplicada la medida de cesión, al establecer una simple referencia procesal, de incardinación en un proceso penal de instrucción (55) . Obviamente, el impacto de la citada STJUE (Gran Sala) de 2 de octubre de 2018 (LA LEY 124440/2018) no hará más que afianzar la tesis contraria a la opinión de la Fiscalía General del Estado.
Ante la hipótesis de poder superar esas claras trabas que suponen los juicios de especialidad y proporcionalidad de la medida nos enfrentamos a otro problema que podría suponer una seria traba al éxito de una investigación tecnológica dirigida a localizar el paradero de un terminal de telefonía móvil objeto de sustracción: El respeto del principio de previa regulación legal que aparece explícitamente recogido en el art. 588 bis a.1 de la LECRIM (LA LEY 1/1882). Dicha norma establece, de hecho, que: «Durante la instrucción de las causas se podrá acordar alguna de las medidas de investigación reguladas en el presente capítulo». Esta previsión legal es sin duda tributaria de una jurisprudencia del Tribunal Europeo de Derechos Humanos que, en aplicación del llamado principio de la calidad de la norma habilitante susceptible de superar las exigencias impuestas por el art. 8.2 del CEDH (LA LEY 16/1950), vino a exigir la existencia de una previa regulación legal de la medida de la concreta vigilancia discreta que pretendiera utilizarse. Tal doctrina encontró sin duda su punto álgido en la STEDH, Secc. 2ª, de 31 de mayo de 2005 (LA LEY 122280/2005) (caso VETTER v. Francia; asunto 59842/00); referida a un supuesto de ausencia de regulación legal de la grabación de conversaciones orales como era la legislación francesa, que mostraba un indiscutible paralelismo con el ejemplo español (56) . Igualmente, tal previsión legal encontró como auténtica catalizadora a la importante STC 145/2014, de 22 de septiembre (LA LEY 140049/2014)
(57) . Pero el legislador español ha sido lo suficientemente cauto y previsor como para no encorsetar demasiado las modalidades de herramientas y técnicas de diligencias de investigación tecnológica en su articulado; de suerte que las mismas están abiertas a los avatares y evoluciones que puedan ofrecer las tecnologías de la información tanto en el presente como en un futuro más o menos cercano. Poniendo como ejemplo el de las medidas de vigilancia y seguimiento del art. 588 quinquies b de la LECRIM (LA LEY 1/1882), destaca cómo el apartado primero ya nos habla tanto de dispositivos como de medios técnicos de seguimiento y localización; mientras que el apartado 3 hace referencia al deber de colaboración de las personas obligadas a que se refiere el art. 588 ter e (LA LEY 1/1882). Ello comporta que podamos acudir desde el ya clásico beeper o dispositivo de seguimiento basado en seguimiento satelital GPS/Galileo, a la activación o instalación subrepticia en el propio dispositivo de la persona objeto de seguimiento de aplicaciones o configuraciones que fuercen al dispositivo móvil de la persona vigilada a emitir regularmente señales que permitan el seguimiento remoto, pasando por la exigencia a tercero que tenga acceso a dicha información a retransmitir dicha señal a un dispositivo de seguimiento bajo control del agente facultado. Lo relevante en este sentido es que la tecnología permita realizar el seguimiento o localización ordenado por la autoridad judicial; que la medida concreta, tanto desde el punto de vista tecnológico como de su potencialidad lesiva de derechos fundamentales en liza, permita superar los juicios ponderativos de los llamados principios informadores, y que aquélla pueda adaptarse al protocolo exigido por el art. 588 quinquies c, apartados 2 y 3 de la LECRIM (LA LEY 1/1882)(disponibilidad del soporte original o copia auténtica de la información obtenida, y adopción de cautelas tendentes a evitar una utilización indebida de la información). Previsión legal y congnoscibilidad no son, sin embargo, sinónimos de que cualquier ciudadano pueda tener un conocimiento cabal, hasta el último detalle, de cuándo y bajo qué circunstancias puede verse sometido a una concreta medida de vigilancia, y poder obrar en consecuencia a tal conocimiento; bastará con una adecuada indicación de las circunstancias en las cuales y las condiciones bajo las que las autoridades públicas están facultadas a llevar a efecto tales medidas (58) .
Esta posibilidad de utilización de herramientas con encaje en alguno de los supuestos sí regulados legalmente de medidas de investigación tecnológica abarcará sin duda a algunas de las utilidades a disposición del usuario legítimo a que antes hemos hecho referencia. En este sentido la posibilidad de utilización de estas herramientas con la colaboración técnica de sujetos obligados conforme a cada regulación podría abarcar sin duda a instrumentos de geolocalización, con perfecto encaje en el art. 588 quinquies b de la LECRIM (LA LEY 1/1882); a la posibilidad de acceso a información sobre cambio de tarjeta SIM cuando ésta se produzca (59) , como claro ejemplo de acceso a datos generados por dispositivos de comunicaciones a que se refiere el art. 588 ter b.2, (LA LEY 1/1882) o de acceso a información sobre intentos de conexión a determinadas utilidades o perfiles de redes sociales, como datos de tráfico sometidos a la misma norma. Sin embargo, esa tan valiosa utilidad consistente en la activación y envío de imágenes captadas por la cámara frontal del dispositivo ante el intento de su manipulación encontraría un imposible encaje en alguno de los supuestos previstos en la larga numeración de preceptos que comparten el ordinal del nuevo art. 588 de la LECRIM. (LA LEY 1/1882)
Una de las posibilidades de poder superar las trabas jurídicas al empleo de herramientas de investigación tecnológica para el avance en la investigación de sustracciones de teléfonos móviles y su recuperación podría partir, por último, del apoyo técnico brindado al perjudicado usuario legítimo para el empleo de estas técnicas de recuperación facilitadas por los propios proveedores o al uso; aprovechando las posibilidades de legítima autoinjerencia que facilitan tales tecnologías (60) . Se trata la autoinjerencia, y más la que tiene lugar mediante el soporte técnico de la autoridad policial, de uno de los grandes olvidados de la importante reforma operada por la LO 13/2015 (LA LEY 15163/2015). Es cierto que la STC 56/2003, de 24 de marzo (LA LEY 1686/2003), referida a un supuesto en que la policía judicial facilitó a un perjudicado que estaba siendo objeto de amenazas telefónicas una máquina grabadora, no vio obstáculo a esta vía de colaboración en la que el perjudicado no dejaba de ser quien utilizaba, legítimamente, el mecanismo de grabación; pero la verdad es que la jurisprudencia del TEDH apunta sobre otros derroteros, que tienen en cuenta esa especial toma de posición que coloca en una clara ventaja procesal al perjudicado, y que haría precisa por ello la previa obtención de una autorización judicial específica y posterior control judicial, desde el momento en que entra en juego el principio de la contribución crucial a la ejecución del plan de obtención de fuentes de prueba —SSTEDH de 23 de noviembre de 1993 (caso A. v. Francia; asunto 14838/89), y Sección 5ª, de 1 de marzo de 2007 (LA LEY 17257/2007)(caso HEGLAS v. República Checa; asunto 5935/02)—. La involucración de la autoridad judicial supone, y así lo reconoció expresamente la STS 776/2001, de 8 de mayo (LA LEY 5283/2001), una mayor garantía ante el respaldo de una autoridad judicial, a la vez que una cierta mitigación de las exigencias en orden a la superación de los principios informadores.
La solicitud de asociación entre el IMSI de tarjeta SIM que es introducida en el teléfono hurtado y el IMSI de éste es la vía a la que generalmente trata de acudir la policía judicial para esclarecer sustracciones de dichos dispositivos móviles. Es ésta una información que sería accesible, sin duda, tanto por mandato del art. 3.1,e),2º de la LCDCE (LA LEY 10470/2007)y 39.5,a) de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (LA LEY 7179/2014)—LGT—; aunque la primera, restringida al concepto de delito grave, hacía referencia a información almacenada respecto de comunicaciones ya consumadas, y la segunda estaba más bien enfocada a la interceptación de comunicaciones de futuro. Tal vez la posibilidad de cesión de datos previos a la emisión de una orden de interceptación podría encontrar un mejor encaje en el apartado 9 del art. 39 de la LGT. Pero la información sobre asociación, tanto en la actualidad, como en un período de tiempo anterior no tiene que responder necesariamente ni al acceso a unas bases de datos cuya conformidad con el derecho de la Unión Europea difícilmente puede defenderse a estas alturas, ni a unas normas pensadas para una interceptación de comunicaciones y/o datos de tráfico de futuro. Es ésta una información manejada por motivos comerciales por las distintas operadoras de telecomunicaciones, como consecuencia de la necesidad de establecer una asociación entre tal binomio y el número de abonado soportado, a los efectos de prestación del servicio de telefonía. El supuesto, por ello, encuentra perfecto asiento en la regulación de la orden de cesión de datos comerciales a que se refiere el art. 588 ter j de la LECRIM. (LA LEY 1/1882) Pero debe quedar bien claro que no se trata éste de un dato identitario que pudiera ser objeto de orden de cesión por decisión policial o fiscal directa, al amparo de lo establecido en el art. 588 ter m de la LECRIM (LA LEY 1/1882). La referencia a la voz titularidad que recoge la norma debe entenderse en el sentido de datos de identificación que se posean sobre determinada identidad; y la correlación entre un IMSI y un IMEI no es un dato identitario en ese sentido, sino el resultado de un auténtico cruce de datos. Es una información que trasciende claramente el objeto de la habilitación normativa que sugiere el art. 588 ter m; y que requiere por tanto de la emisión de la correspondiente orden de cesión (61) . Aparte de defender la exigencia de la superación del doble juicio de proporcionalidad a que se refieren, por este orden, los arts. 588 ter a (LA LEY 1/1882)y 588 bis a.5 de la LECRIM (LA LEY 1/1882), lo cierto es que no debemos olvidar que la excesiva expansión en el tiempo de esta medida podría provocar la innecesaria y descontrolada afectación del derecho a la privacidad de terceras personas de buena fe.
Precisamente, la STJUE (Gran Sala) de 2 de octubre de 2018 (LA LEY 124440/2018)(C-207/16) aborda una cuestión prejudicial, a petición de la Sección Tercera de la Audiencia Provincial de Tarragona, en la que lo que se solicitaba por la policía judicial era el acceso a información referente a ese binomio IMSI/IMEI que abarcaba a un breve período de escasos doce días. El hecho investigado tenía relación con un robo violento en el que con empleo de una desmedida brutalidad se sustrajo a la víctima su teléfono móvil, causándosele la fractura de cuatro costillas, con aplicación de cuatro puntos de sutura. Ninguno de los dos tipos penales alcanzaba el tope de los cinco años de prisión o pena equivalente como para poder ser considerado delito grave de conformidad con lo establecido en los arts. 13.1 (LA LEY 3996/1995) y 33.1.2 del Código Penal (LA LEY 3996/1995).
Lo primero que plantea esta sentencia, aparte de recordar que atañe al mandato del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002), y por ende a los arts. 8 (LA LEY 12415/2007), 11 (LA LEY 12415/2007) y 52 de la Carta de derechos Fundamentales de la Unión Europea (LA LEY 12415/2007), toda actuación de injerencia afectante tanto a contenidos como a datos relativos a las comunicaciones electrónicas en un sentido amplio, incluida la geolocalización, es advertirnos que esa legítima finalidad de prevención, investigación y persecución de delitos no encuentra necesariamente límites basados en criterios penológicos. Concluirá, a este respecto, advirtiendo que: «...el tenor del artículo 15, apartado 1, primera frase, de la Directiva 2002/58 no limita este objetivo a la lucha contra los delitos graves, sino que se refiere a los "delitos" en general» —§ 54—. La gravedad del delito no es por tanto un parámetro ineludible a la hora de realizar tal ponderación del juicio de proporcionalidad. Ahora bien, como gran novedad llega a establecer un canon que se correspondería con el máximo nivel de injerencia al que un principio de proporcionalidad habría de responder con determinadas categorías de delitos de especial trascendencia para el entorno jurídico de la Unión. Este canon vendría representado por aquellas situaciones en las que con la información obtenida mediante la herramienta tecnológica empleada se pudieran «…extraer conclusiones precisas sobre la vida privada de las personas cuyos datos se ven afectados». Y su correspondencia, aunque no de forma excluyente, sería con lo que la sentencia define como delincuencia grave; que relaciona, siguiendo el precedente de la STJUE (Gran Sala) de 21 de diciembre de 2016 (LA LEY 180541/2016)(asuntos TELE2 SVERIGE AB y otros; C-203/15 y C-698/15), con la delincuencia organizada y el terrorismo
(62)
—§ 103—. En cuanto aquí nos interesa, la propia sentencia llega a reconocer que, obviamente, a menor nivel de injerencia, menor exigencia en cuanto respecta a la infracción penal para cuyo descubrimiento se requiere la práctica de la medida tecnológica de investigación. Y es por ello que la propia sentencia acaba por concluir que frente a un delito de la naturaleza como el analizado en la cuestión prejudicial (robo con violencia con empleo de especial brutalidad y lesiones), la especial livianidad que se presume respecto del verdadero alcance de la medida sobre derechos del entorno de la privacidad de personas que pudieran verse afectadas por ella, la legitimaría, teniendo especialmente en cuenta el breve espacio de tiempo al que se retrotraía la medida. De ninguna manera podría considerarse grave la injerencia en los derechos fundamentales de los individuos cuyos datos se ven afectados; y que, por tanto, «…la injerencia que supone el acceso a dichos datos puede estar justificada por el objetivo de prevenir, investigar, descubrir y perseguir "delitos" en general, al que se refiere el artículo 15, apartado 1, primera frase, de la Directiva 2002/58 (LA LEY 9590/2002), sin que sea necesario que dichos delitos estén calificados como "graves"». Obviamente, conforme al claro tenor de la meritada sentencia, resultaría muy difícil justificar cómo la mínima expresión de un delito en nuestro actual sistema penal, un delito leve, pudiera abrir las puertas a tal medida de injerencia. Incluso el abordaje del hurto como delito menos grave podría quedar claramente en cuestión desde la perspectiva de la doctrina del Alto Tribunal Europeo.
3.
Apéndice: ¿Podrían obtenerse datos sobre la ubicación o usuario actual del dispositivo sustraído a través de su MAC?
La dirección MAC —Medium Access Control— opera como un identificador físico del dispositivo de conexión a Internet; asumiendo un cometido similar al que corresponde al IMSI de un teléfono móvil en cuanto a los canales propios de la comunicación telefónica convencional. La dirección MAC no es sino un identificador numérico o alfanumérico que se asigna a toda tarjeta de red con la que cuentan los soportes físicos de los dispositivos de comunicaciones electrónicas. Tanto los dispositivos móviles o fijos de comunicaciones, conocidos como estaciones cliente, como los routers o puntos de acceso a la red —access point, AP— precisan de una identificación física MAC para poder operar en la red. Adaptada al protocolo de Internet conocido con las siglas OSI —Open System Interconnection—, la numeración MAC aporta información sobre la identidad del fabricante y un número secuencial de producción. Ésta queda grabada en la memoria del adaptador del dispositivo, en la primera de las capas diseñadas por el protocolo OSI: la llamada capa física. Al igual que sucede con el número IMEI existen procedimientos disponibles en Internet que permiten a través de la técnica conocida como spoofing, variar la propia identidad MAC (63) ; e incluso copiar o clonar otra genuina de otro dispositivo (64) . Aparentemente, por ello, y pese a la remota posibilidad de alteración de la MAC como forma de evitar una posible localización del rastro de un dispositivo móvil objeto de sustracción (65) , podría ser éste un dato que pudiera al menos teóricamente manejarse para intentar localizar la ubicación física de un terminal sustraído, o al menos recabar datos sobre el rastro dejado en Internet por su actual usuario. Pero pronto podremos comprobar cómo esta potencialidad dista de ser precisamente un procedimiento sencillo y con garantía de éxito.
La primera de las posibilidades de conexión a Internet de un dispositivo de telecomunicaciones, sea fijo o móvil, pasa por su relación, bien por cable, bien por su conexión inalámbrica a través del protocolo Wi-Fi, a un dispositivo tipo router, como punto de acceso a la red (66) . Es con el router con quien comparte el dispositivo en cuestión su MAC, como forma de individualizar su relación con éste; lo que le permite diferenciarse de los restantes dispositivos a los que en cada momento presta su servicio el router. En la segunda capa del protocolo OSI, conocida como capa de enlace de datos —data link level—, el router asigna una IP privada a cada dispositivo al que presta servicio, convirtiéndose la asociación de una y otra —ARP— en la clave para que el router administre el envío de información desde y hacia cada dispositivo de comunicaciones de forma diferenciada. A nivel de la tercera capa del protocolo OSI, el router interactúa con la red con su MAC e IP pública, fija o dinámica, propias; sin que en modo alguno haga permeable información alguna sobre la MAC de los dispositivos a los que atiende. La única referencia que puede obtenerse del flujo de información que fluye desde o hacia un router serían aquellos datos identificadores que pudieran asociar al terminal sustraído con la IP pública asignada a éste. Constatado que el dispositivo accede a la red a través de un router como consecuencia del empleo de una utilidad o identidad genuina, puede recabarse información a través de la conexión interna entre el router y el dipspositivo; y así averiguar su MAC. Pero la posibilidad de localización del dispositivo seguirá requiriendo de un ingente esfuerzo de monitorización del espacio radioeléctrico, mediante complejas técnicas de triangulación que exigen el análisis del tráfico interno de información entre routers y dispositivos cercanos con los que esté interactuando el dispositivo sustraído en un área geográfica determinada (67) ; que además representan una severa intrusión en espacios de privacidad ajenos.
La dirección MAC podría ser un dato que pudiera, al menos teóricamente, manejarse para intentar localizar la ubicación física de un terminal sustraído
La situación de un dispositivo móvil que accede a Internet a través de la red de datos de una operadora de comunicaciones, el popular acceso mediante datos, podría facilitarnos aparentemente mejor una búsqueda a través de la MAC del dispositivo; una vez se lograra desvelar éste, obviamente. Efectivamente, las estaciones BTS con las que nos prestan sus servicios las distintas operadoras obedecen a un similar cometido y estructura de actuación que los routers de las redes privadas. Éstas intervienen precisamente en esa segunda capa del protocolo OSI a que antes hemos hecho referencia; y por tanto tienen necesariamente que acceder y tratar el dato de la MAC de los dispositivos que interactúan con aquéllas. Siempre que contáramos con tal previa identificación de la MAC, podría hipotéticamente emitirse una orden de colaboración con la operadora conocida o distintas operadoras para que aportaran información sobre la ubicación actual, o última conocida, del dispositivo relacionado con tal dato identificador. Pero las limitaciones de esta vía de investigación, pese a tener soporte legal en el mandato del art. 588 ter b.2, párrafo tercero, de la LECRIM (LA LEY 1/1882)
(68) , serían evidentes; en buena parte por el esfuerzo que exigiría a la operadora la detección y tratamiento más allá de su concreta funcionalidad de un dato tan preciso, pero también por razón de la fugacidad de su conservación más allá del tiempo estrictamente indispensable para mantener la conexión entre la estación BTS y el dispositivo. La búsqueda solo podría realizarse, por tanto, prácticamente en tiempo real; y con manifiestas limitaciones, toda vez que incluso conseguida la detección, el grado de precisión de la geolocalización sería tan amplio que necesitaría de otras técnicas de búsqueda adicionales para conseguir una geolocalización mínimamente fiable.
Fácil es de apreciar cómo en uno y otro supuesto, si las enormes dificultades técnicas y de empleo de medios humanos y logísticos nos llevarían obviamente a pensar en reservar esta técnica de rastreo a través de MAC para supuestos especialmente graves, las propias limitaciones que en orden al respeto al principio de proporcionalidad de la medida nos impone nuestra norma procesal, debidamente complementada por la jurisprudencia del TJUE, nos llevarían a hacer prácticamente inviable desde el punto de vista jurídico el empleo de esta técnica de rastreo. Establecer la asociación entre identidades y utilidades genuinas del dispositivo en cuestión; localizar la IP pública de referencia; discriminar la MAC, y finalmente iniciar monitorizaciones a partir de la última ubicación conocida relacionada con dicha IP supone tener que adentrarnos de forma profunda, severa, prácticamente a ciegas, en espacios de la privacidad y del entorno virtual de un número no predecible de personas. Si, además, la técnica se emplea para localizar a un dispositivo hurtado, se comprenderá que la superación del juicio de proporcionalidad se antojaría prácticamente inviable por definición.