Carlos B Fernández. Según el Consejo de la Unión Europea, los ciberataques y la ciberdelincuencia están aumentando en toda Europa, y cada vez son más sofisticados. Además, algunas formas de ciberdelincuencia, como la explotación sexual de menores en línea, destacan por los graves daños que causan a sus víctimas.
Se trata de una tendencia, agudizada durante los meses de confinamiento por la pandemia, que se prevé que se seguirá agravando en el futuro, ya que para 2024 habrá unos 22.300 millones de dispositivos conectados a la internet en todo el mundo.
Para combatir esa ya entonces preocupante situación, los países miembros del Consejo de Europa, más otro numeroso grupo de Estados, suscribieron el 23 de noviembre de 2001, el Convenio sobre la Ciberdelincuencia, conocido como Convenio o Convención de Budapest. Un instrumento destinado, según se explica en su Preámbulo, a dotar a sus firmantes “de poderes suficientes para luchar de forma efectiva contra dichos delitos, facilitando su detección, investigación y sanción, tanto a nivel nacional como internacional, y estableciendo disposiciones que permitan una cooperación internacional rápida y fiable”.
Esta norma recibió en 2003 un primer Protocolo adicional, relativo a la penalización de actos de índole racista y xenófoba cometidos por medio de sistemas informáticos que, al igual que el Convenio, fue firmado y ratificado por España en su momento.
Pero la necesidad de avanzar en la armonización de los sistemas de lucha contra la ciberdelincuencia y, en particular de obtención de pruebas o evidencias digitales, ha dado lugar, el pasado 12 de mayo, a la aprobación y firma, también por nuestro país, de un segundo Protocolo Adicional, dedicado a la mejora de la cooperación y suministro de prueba electrónica (Second Additional Protocol to the Convention on Cybercrime on enhanced cooperation and disclosure of electronic evidence, por su título en inglés).
Una de las personas que mejor conoce el contenido y las implicaciones tanto de Convenio como de sus Protocolos es Elvira Tejada de la Fuente, Fiscal de Sala Coordinadora Nacional contra la Criminalidad Informática, con quien hemos tenido ocasión de conversar.
Tejada se muestra muy satisfecha por el hecho de que España haya sido uno de los 22 primeros países, junto con otros tan relevantes como los Estados Unidos, en firmar este Segundo Protocolo, que considera una importante herramienta armonizadora de las medidas previstas en el Convenio.
Además, entiende también que la entrada en vigor de este Protocolo, una vez sea ratificado por nuestro país, no supondrá grandes reformas legislativas, pues España ya incorporó en 2015 la mayor parte de las medidas previstas por el Convenio.
DIARIO LA LEY. La ciberdelincuencia es un problema global, pero, comenzando por el entorno doméstico ¿Cómo valora el actual marco jurídico español para combatirla?
ELVIRA TEJADA. La ciberdelincuencia es un fenómeno criminal extraordinariamente vivo, ante el que nunca se puede considerar que ya se ha hecho todo, porque evoluciona constantemente y sus consecuencias afectan a toda la sociedad. Por ello obliga al legislador y a los juristas a buscar constantemente soluciones a las nuevas situaciones que se van generando como consecuencia del propio desarrollo tecnológico.
Pero, en términos generales podemos decir que en España estamos bastante bien provistos de medios para luchar contra esta forma de criminalidad. Y me baso en varios aspectos que podemos destacar. Por una parte, disponemos de una Estrategia de Ciberseguridad Nacional, originariamente de 2013 pero actualizada en 2019, que incorpora un planteamiento que en mi opinión supone un gran acierto. Se trata de concebir la ciberseguridad como un problema de carácter general, que afecta a todas las áreas de la actividad humana y la ciberdelincuencia como una de las manifestaciones del uso irregular del ciberespacio. Por lo que toda esta problemática ha de abordarse como un conjunto para ofrecer una respuesta efectiva en defensa de la sociedad y de los ciudadanos.
La normativa penal y procesal española está muy en línea con la normativa internacional de lucha contra la ciberdelincuencia, lo que es muy positivo.
En este sentido, en España disponemos de una legislación bastante adaptada a esas necesidades, tanto en el ámbito penal como en el procesal, gracias a las modificaciones del Código Penal y de la Ley de Enjuiciamiento Criminal (LA LEY 1/1882) que el legislador español ha ido introduciendo con ocasión de las últimas reformas legislativas y, particularmente las del año 2015.
Pero se trata de un proceso vivo y constante y así, en el ámbito penal, recientemente se han introducido tipos penales nuevos, algunos a petición de propia Fiscalía, relativos a ataques a través de la red contra determinados bienes jurídicos de los menores, frente a los que hasta ese momento no había respuesta.
Y en cuanto a los aspectos procesales, se introdujeron las medidas y herramientas de investigación tecnológica inspiradas en el Convenio de Budapest contra la Ciberdelincuencia, con lo cual nuestra normativa está muy en línea con la normativa internacional, lo que es muy positivo.
Por lo que se refiere a la Fiscalía, desde el año 2011 disponemos de una red integrada por más de 150 fiscales, distribuidos por todo el territorio nacional y dedicados específicamente y con gran profesionalidad a la investigación y persecución penal de este tipo de delitos. Ello nos esta permitiendo ir dando pasos como proponer modificaciones legislativas e impulsar la evolución de la jurisprudencia, para que los Tribunales vayan interpretando los preceptos legales a la luz de la nueva realidad tecnológica o virtual, algo muy importante, por las diferencias que presenta con el entorno físico
DLL. ¿Qué significó el Convenio de Budapest de 2001 en este contexto?
ET. En mi opinión, el Convenio de Budapest es el mejor instrumento que existe a nivel internacional para la lucha contra la ciberdelincuencia. Tenga en cuenta que ya lo han firmado sesenta y seis países, entre ellos la práctica totalidad de los miembros del Consejo de Europa, excepto Rusia, que no lo ha firmado, e Irlanda, que lo ha firmado, pero no lo ha ratificado. También lo han firmado otros muchos países que no pertenecen a ese Consejo, como Estados Unidos, Israel, Japón, Canadá o Australia, varios países africanos y, muy importante para nosotros, ocho países latinoamericanos, más otros tres, Ecuador, México y Brasil, que están en trámites de hacerlo.
Y digo que es muy importante esta integración de países latinos en la Convención de Budapest porque en Internet se delinque en un idioma, es decir, a través de una comunicación que se establece en un idioma común entre los intervinientes. Por eso nosotros tenemos un gran número de investigaciones comunes con Iberoamérica, lo que hace que sea especialmente importante compartir una legislación común sobre estos temas.
La mayor aportación del Convenio de Budapest ha sido impulsar la armonización normativa, haciendo que todos los países firmantes del mismo tengan una legislación similar o muy parecida sobre la definición de los delitos y las herramientas para la obtención de evidencias electrónicas
En este sentido, hay que destacar que la mayor aportación del Convenio ha sido la de impulsar y favorecer la armonización normativa, haciendo que todos los países firmantes del mismo tengan una legislación similar o muy parecida sobre aspectos como la definición de los delitos y las herramientas de investigación para la obtención de evidencias electrónicas.
Su gran aportación fue que, cuando todavía en muchos países no se había tomado conciencia de ello, en el Consejo de Europa reflexionaron acerca de determinadas conductas que se estaban produciendo en la red y afectaban a bienes jurídicos que requieren de protección penal y que, sin embargo, no estaban previstas como delito y respecto de las que, además, no se contaba con herramientas para poder investigarlas. El Convenio definió estas conductas como delitos y también articuló las herramientas tecnológicas necesarias para investigarlos.
España se inspiró esencialmente en esa regulación. En el caso de los delitos, a través de la Directiva (UE) 2013/40 (LA LEY 13365/2013), que hace suyos buena parte de los tipos penales contemplados en la Convención de Budapest, en particular los relativos a los ataques a los sistemas informáticos, para que sean adoptados por todos los países de la Unión.
Pero, además, de la Convención de Budapest, España toma importantes herramientas para la investigación en el entorno virtual: la preservación de datos informáticos, del art 16 de la Convención, regulada hoy en el artículo 588 Octies de la LECrim (LA LEY 1/1882); lo que la Convención denomina orden de presentación en su artículo 18 en referencia a la solicitud a terceros de datos almacenados, contemplada en los artículos artículo 588 Ter j) y siguientes de la LECRim (LA LEY 1/1882); y el registro de dispositivos informáticos, previsto en el artículo 19 de la Convención y que se corresponde con nuestro art. 588 Sexies.
DLL. ¿El gran problema para la lucha contra la ciberdelincuencia sigue siendo la concepción de la soberanía territorial de los estados?
ET. Sin duda, el principal problema que se plantea en cuanto a la colaboración internacional en materia de ciberdelincuencia es que se siguen barajando conceptos de soberanía basados exclusivamente en parámetros territoriales. Según este planteamiento y dado que los delitos se cometen en el ciberespacio, habría que solicitar la entrega de las evidencias electrónicas necesarias para la investigación a las autoridades del país en que las mismas se encuentren. Pero la cuestión es que hoy, en muchas ocasiones, no se puede saber dónde están dichas evidencias porque su ubicación, particularmente si nos referimos a la “nube”, depende de la decisión de un tercero que interviene como intermediario en la comunicación o en el almacenamiento de los datos y que, incluso, puede ir cambiando su ubicación en atención a circunstancias completamente ajenas a la investigación criminal
Un problema similar se plantea, por ejemplo, con la figura del agente encubierto on line, que en nuestro país tenemos regulada, en el artículo 282 bis (LA LEY 1/1882) 6º y 7º LECrim y sobre la que actualmente se está trabajando en el marco de la Convención de Budapest buscando la armonización normativa transnacional en sus aspectos esenciales. Sin embargo, aunque muchos Estados son conscientes de la importancia de esta figura en las investigaciones en la red e, incluso, la Comisión Europea ha destacado la conveniencia de potenciar las operaciones encubiertas, la imposibilidad de concretar, desde el inicio, el territorio en el que el agente encubierto actúa y establece contacto, esta suponiendo una seria dificultad a efectos de garantizar el ejercicio de la soberanía por parte de los Estados afectados.
DLL. En este contexto ¿Qué significado tiene el segundo Protocolo al Convenio de Budapest?
ET. En tanto que el valor principal del Convenio ha sido impulsar la armonización normativa a que me he referido antes, con el segundo Protocolo se pretende desarrollar y reforzar la utilización de las herramientas de cooperación que había diseñado el Convenio para la obtención de evidencias electrónicas en otros países distintos de aquel que las necesita para una investigación.
El segundo Protocolo pretende desarrollar y reforzar la utilización de las herramientas de cooperación que había diseñado el Convenio para la obtención de evidencias electrónicas en otros países distintos de aquel que las necesita para una investigación
En este proyecto han trabajado intensamente representantes de un gran número de países miembros de la Convención. España ha participado de forma muy activa mediante la intervención de representantes del Ministerio de Justicia, Fuerzas y Cuerpos de Seguridad (CNP y Guardia Civil) y la propia Fiscalía, a través de esta Unidad de Criminalidad Informática.
Su núcleo se centra por tanto en la obtención de evidencias electrónicas almacenadas en otros países. No ahonda en temas como la interceptación de comunicaciones en tiempo real, sino que se centra esencialmente en el acceso a datos almacenados.
De su contenido puede destacarse, la sección segunda del capítulo II, dedicada a las medidas para mejorar la cooperación directa con proveedores y entidades privadas que se refiere a la relación directa de las autoridades públicas de un estado con entidades privadas que se encuentran en otro estado, para solicitar la entrega de determinados datos muy concretos: los nombres de dominio y los datos de abonado.
La posibilidad de obtener directamente información sobre los datos de abonado ya estaba prevista en el artículo 18 de la Convención, pero con carácter voluntario para el proveedor, que podía facilitar o no esa información, sin que el Estado en el que el proveedor se encontraba ubicado tuviera intervención alguna al respecto. Ahora el artículo 7 del segundo Protocolo establece que los Estados que ratifiquen el mismo deben permitir en su legislación interna que los proveedores de servicio faciliten esos datos, directamente a las autoridades de otros países que se los soliciten, sin perjuicio de que puedan incorporar, si así lo estiman necesario, sus propias medidas internas de control al respecto, incluso la posibilidad de oponerse, en supuestos muy excepcionales a la entrega de la información solicitada. Con ello se consigue una regulación legal efectiva respecto de actuaciones que ya se estaba realizando por parte de algunos países, pero que precisaban de un tratamiento legislativo mas detallado para su aceptación por otros Estados.
DLL. Esas previsiones afectan a los datos de abonado a los que se refiere el artículo 7 del Protocolo, pero ¿Cómo se articulan las solicitudes de datos de tráfico?
ET. Este es un aspecto esencial del Convenio de Budapest, la distinción entre los distintos regímenes jurídicos aplicables a los datos de abonado, los datos de tráfico y los datos de contenido, en función de la diferente afectación que suponen en la privacidad de las personas.
El dato de abonado se refiere a quien es la persona titular ya sea de un terminal como un teléfono móvil, o de una cuenta de correo electrónico, de una cuenta en una red social, etc.
El dato de tráfico se refiere a las comunicaciones que hayan podido realizarse a través de ese terminal, ese correo o esa cuenta, y está siempre asociado a comunicaciones concretas, como quien ha llamado a quién, cuántas veces, dónde estaba cada uno de ellos, cuánto tiempo ha durado la comunicación, etc.
El dato de contenido es el meollo, de lo que se ha hablado o transmitido con ocasión de esas comunicaciones.
Cada uno de estos datos tiene un nivel diferente de protección. La obtención del dato de abonado supone un nivel de injerencia muy leve para la intimidad de la persona, como ya señaló el TJUE en su sentencia de 2 de octubre de 2018, en el asunto C-207/16 (LA LEY 124440/2018) (Ministerio Fiscal), que resolvió una cuestión prejudicial planteada por la Audiencia Provincial de Tarragona con motivo de un recurso interpuesto por el Ministerio Fiscal español.
Por ello, como ya se ha indicado, según el artículo 7 de este segundo Protocolo, la solicitud de información sobre abonados puede hacerse directamente al proveedor de servicios por la autoridad competente del Estado requirente.
Los datos de tráfico, en cambio, según el Protocolo aprobado, han de solicitarse necesariamente por el cauce del artículo 8, porque su obtención ya supone una mayor injerencia en la intimidad de su titular y de las otras personas que hayan podido intervenir en las comunicaciones. Por ello, en la facilitación de esta información deben intervenir las autoridades, tanto del estado requirente como del estado requerido.
La causa de que las solicitudes de información sobre los abonados se encuentren en dos preceptos diferentes se debe a que hay Estados firmantes de la Convención que no admiten la cooperación directa con proveedores de servicio o entidades privadas. Por ello, aunque el cauce del artículo 7 es más rápido que el del artículo 8 del segundo Protocolo se dejan ambos cauces abiertos para que los Estados puedan optar por el que estimen más conveniente.
Es decir, los datos de abonado se pueden solicitar indistintamente por el cauce del artículo 7 o del artículo 8 del Protocolo, pero los de tráfico, solo por el cauce del artículo 8. En cualquier caso, si se solicitan conjuntamente datos de abonado y de tráfico, es mejor acudir directamente al cauce del artículo 8 y efectuar una petición conjunta de ambos tipos de datos por esta última vía.
También se regulan en el Protocolo, artículos 9 y 10, dos mecanismos de obtención rápida de cualquier tipo de datos almacenados en otro país en situaciones de emergencia, entendiendo por tales aquellas en las que existe un riesgo significativo y próximo para la vida o seguridad de las personas. La agilidad que se pretende es tal que el artículo 9 prevé que la transmisión se efectúe a través de la red de puntos de contacto 24/7 prevista en el artículo 35 de la Convención.
Toda esta regulación se refiere específicamente a la forma de llevar a efecto la solicitud transnacional de información, pero luego cada país tiene su legislación interna para el acuerdo y tramitación de esas peticiones, ya sea para pedir o para suministrar esa información. Por ejemplo, nosotros en España, para solicitar información sobre el tráfico, necesitaríamos autorización judicial, en tanto que las peticiones de información sobre el abonado pueden tramitarse por la vía del artículo 588 Ter m) de la LECrim (LA LEY 1/1882), a solicitud de la policía o la fiscalía. Y, del mismo modo para poder facilitar información sobre tráfico o contenido, es necesario que la solicitud venga respaldada por una autoridad judicial.
DLL. El segundo Protocolo parece prestar una especial atención a la protección de datos personales, a la que dedica un extenso artículo ¿a qué se debe esto?
ET. Este ha sido el punto del Protocolo que ha planteado mayores dificultades para lograr un acuerdo. Esto es así porque se trata de intercambiar datos personales de ciudadanos europeos con países que pueden estar fuera de la Unión Europea y no disponer de un sistema de protección de datos con las garantías exigidas en el marco comunitario. Según el RGPD, los datos de los ciudadanos de la Unión se deben proteger por igual en cualquier territorio. Por tanto, el intercambio de datos con países que tienen un nivel de protección inferior al que establece el RGPD, presenta mayores dificultades.
Por tanto, esta cuestión ha supuesto un escollo importante, incluso para la transmisión de los simples datos de abonado.
Por ello, lo que plantea el artículo 14 del Protocolo es una alternativa: en principio, introduce con carácter general el régimen de protección de datos de la Unión Europea, pero a continuación establece determinadas excepciones para no obligar a países terceros que se relacionen entre sí a aplicarlo en las transferencias de datos que concierten entre ellos. Por ejemplo, si entre terceros países no miembros de la Unión Europea, existe una normativa común sobre protección de datos, ese será el régimen aplicable entre ellos.
DLL. ¿La adopción por España de este Protocolo va a exigir nuevas reformas legislativas?
ET. Sin duda va a haber que hacer retoques, por ejemplo, para permitir que los proveedores de servicios radicados en nuestro país puedan suministrar directamente los datos que se les soliciten por autoridades extranjeras. También habrá que definir qué autoridades son las competentes en cada caso, tanto para cursar la solicitud transnacional como para la recepción de las que remitan otros países, lo que incluirá posiblemente alguna reorganización interna. Pero no creo que se trate de modificaciones esenciales, porque, en principio, no se ve afectado el régimen interno de cada país, sino la forma en que nos vamos a relacionar con los demás.
Habrá que analizar con detalle todos estos aspectos, pero, insisto, no creo que vayan a ser necesaria una reforma legislativa importante porque, de hecho, las medidas de investigación que contempla la Convención ya se incorporaron en el ordenamiento español desde la reforma de 2015. Por ejemplo, nosotros ya podemos solicitar directamente a Google información sobre un dato de abonado por la vía del artículo 588 Ter m) de la LECRim. (LA LEY 1/1882) Ahora se trata de ver cómo adaptamos esas herramientas con las que ya contamos a las exigencias del Protocolo, para poderlas aplicar en el ámbito internacional.
DLL. ¿Cómo se relaciona este Protocolo con el proyecto de Directiva europea sobre prueba electrónica o e-evidence?
ET. La tramitación de este proyecto se ha ralentizado en los últimos meses, pero en realidad se está refiriendo a la misma cuestión, la obtención transnacional de pruebas electrónicas, por lo que para los Estados miembros debiera ser mucho más fácil, dado el sistema de cooperación reforzada existente en el marco comunitario. No obstante, la necesidad de dar intervención a los distintos organismos comunitarios y coordinar los planteamientos de unos y otros está retrasando su efectiva aprobación.
DLL. Por último ¿qué aspectos le habría gustado poder incluir en este segundo Protocolo?
ET. Había dos grandes temas que se pretendían incluir pero que finalmente no ha sido posible hacerlo, por la dificultad de llegar a un acuerdo: el agente encubierto, del que ya hemos hablado antes, y el registro ampliado, al que se refiere el artículo 588 sexies C-3º de nuestra LECrim. (LA LEY 1/1882)
No obstante, en el Comité permanente de la Convención de Budapest (T-CY) no se ha descartado la posibilidad de abordar estas materias, sino que se sigue trabajando en ello a través de un grupo ad hoc constituido con dicha finalidad. Además, se acaba de iniciar la ronda de evaluación en referencia precisamente al artículo 19 de la Convención —dedicado al registro de dispositivos informáticos y, por ende, al registro ampliado— lo que implicará un esfuerzo de reflexión y análisis de los Estados sobre este tema específico como medio para impulsar la armonización normativa también en esta materia.