Las medidas de investigación tecnológica y la afectación de derechos fundamentales a la luz de la doctrina del TEDH tras la Sentencia del caso Ekimdzhiev vs Bulgaria

Tribuna

Las medidas de investigación tecnológica y la afectación de derechos fundamentales a la luz de la doctrina del TEDH tras la Sentencia del caso Ekimdzhiev vs Bulgaria

2022/05/24

Rodríguez Lainz, José Luis

La STEDH, Secc. 4ª, de 11 de enero de 2022 (caso EKIMDZHIEV y otros v. Bulgaria) ha supuesto un nuevo y doloroso revés a la legislación búlgara sobre medidas especiales de investigación, pese a los denodados esfuerzos de las autoridades nacionales de dar una adecuada respuesta a adversas resoluciones anteriores del TEDH. Sus pronunciamientos servirán para realizar un análisis crítico, a través de técnica comparativa, de la legislación española en materia de medidas de investigación tecnológica; del que se deducirá que, tras casi siete años de vigencia de la LO 13/2015, la misma debería ser objeto de reconsideración en concretos aspectos de su redacción y desarrollo normativo y jurisprudencial.

I. Planteamiento: las claves del Ekimdzhiev Test (1)

Comentando el castizo refrán castellano, aunque de más que probable origen latino, «cuando las barbas de tu vecino veas cortar, pon las tuyas a remojar», explicaba LUIS JUNCEDA (2) que «… a la vista de los males ajenos, lo juicioso es tomar las medidas necesarias para evitar el riesgo de padecer el mismo daño». Ya desde el punto de vista de la autocrítica, la actual legislación española sobre medidas de investigación tecnológica, transcurridos casi siete años desde la publicación de la LO 13/2015, de 5 de octubre (LA LEY 15163/2015), se muestra necesitada de revisiones o reconsideraciones cuando menos puntuales, ante la evolución de las tecnologías de la información y ciertos avances jurisprudenciales del Tribunal de Justicia de la Unión Europea y del Tribunal Europeo de Derechos Humanos (3) . Pero es evidente que la técnica comparativa, el contraste de cómo responderían legislación y jurisprudencia propias ante unos mismos juicios de conformidad con el art. 8.2 del CEDH (LA LEY 16/1950) respecto de soluciones planteadas en relación con otros ordenamientos jurídicos, no solo no supone un estéril prurito intelectual sin trascendencia práctica, sino que sirve de ejemplo incuestionable para aplicar el sabio consejo del refranero español. Este análisis comparativo podrá servir para detectar a tiempo deficiencias o limitaciones de la legislación propia; forzar interpretaciones conforme a tal doctrina que la acerquen a las exigencias del Alto Tribunal Europeo, y, por ende, garantizar que no nos enfrentemos a la realidad de un duro correctivo jurídico con inimaginables consecuencias frente a las necesidades de la lucha contra la delincuencia grave.

De ninguna de las maneras quisiera que el hecho de escoger el ejemplo de una legislación como la búlgara pudiera ser interpretado como atribuir a la misma y a sus instituciones públicas un apelativo de debilidad democrática o falta de calidad jurídica. De hecho, en los últimos años, por mi experiencia profesional, he podido constatar evidentes avances en la forma de abordar la cooperación judicial en el marco de la Unión Europea; que necesariamente habrían de venir acompañados de importantes avances en la calidad democrática de sus instituciones. Escoger el ejemplo de la STEDH, Secc. 4ª, de 11 de enero de 2022 (caso EKIMDZHIEV y otros v. Bulgaria; asunto 70078/12) (LA LEY 79759/2022) no tiene, por ello, otro sentido que el de aprovechar el detallado examen que se hace de determinados aspectos relacionados con el empleo de herramientas tecnológicas conforme a una determinada legislación nacional, y aplicarlo a nuestro ordenamiento jurídico.

El impacto del sistema jurídico soviético sobre los Estados que tuvieron que asumir su imperio durante décadas dejó sin duda una impronta que dificultó sobremanera, pese a los serios esfuerzos de sus autoridades nacionales, la transición hacia esquemas democráticos y de garantías procesales perfectamente adaptables a las exigencias del Consejo de Europa y el derecho de la Unión Europea. Claro exponente de ello sería, por poner un ejemplo, como tuve la oportunidad de conocer en persona, la clara reticencia en los esquemas procesales polacos de una figura de un juez que en los diversos órdenes judiciales adoptaba una posición de prevalencia, por momentos casi inquisitorial, sobre las partes pública y privadas incluso en la vista oral; asumiendo un rol de casi absoluto monopolio en el interrogatorio de partes y testigos, ante la mirada aquiescente de aquéllas. Y en estos esquemas procesales de Estados que rompieran sus lazos con la tutela soviética, la posición condescendiente y pasiva de la autoridad judicial a la que se interesaba por la policía judicial la adopción de medidas restrictivas de derechos fundamentales de personas investigadas no era precisamente una excepción.

El escenario que nos dibuja la STEDH de 11 de enero de 2022 (LA LEY 79759/2022) parte precisamente de un precedente incontestable: la STEDH, Secc. 5ª, de 28 de junio de 2007 (LA LEY 132274/2007) (caso ASOCIACIÓN PARA LA INTEGRACIÓN EUROPEA Y LOS DERECHOS HUMANOS y EKIMDZHIEV v. Bulgaria; asunto 62540/00). Esta sentencia analizaría la situación de la legislación búlgara sobre medidas especiales de vigilancia de octubre de 1997; que se viera sometida a cuatro modificaciones en agosto de 1999, junio de 2003, febrero de 2003 y abril de 2006; siendo la tercera la más importante y de más calado jurídico. La STEDH de 28 de junio de 2007 (LA LEY 132275/2007) no encontró especial obstáculo en apreciar importantes deficiencias en tal regulación; que podríamos resumir en los siguientes aspectos, que convergían en la idea de insuficiencia de calidad de la norma habilitante, al no proveer garantías suficientes contra el riesgo de abuso inherente a la utilización de determinados sistemas de vigilancia discreta:

1. Falta de un control independiente del desarrollo de las medidas y de la adecuada destrucción de la información obtenida una vez que éstas finalizan sin obtener los resultados esperados.
2. Falta de salvaguardias suficientes respecto de vigilancias por motivo de seguridad nacional.
3. Insuficiente regulación, con un adecuado grado de precisión, de los procedimientos de selección de la información obtenida; procedimientos para preservar su integridad y confidencialidad, así como procedimientos para su destrucción.
4. Ausencia de una autoridad independiente que supervise el funcionamiento del sistema de vigilancia discreta.
5. Ausencia de un control efectivo respecto del uso de la información obtenida para otras finalidades diversas.
6. Ausencia de notificación de la existencia del acto de injerencia a personas afectadas bajo determinadas circunstancias, y consiguiente inexistencia de adecuados remedios procesales a su disposición.

A la calendada sentencia siguieron otras que apuntaron en el mismo sentido. Así se manifestó, en concreto, la STEDH, Secc. 4ª, de 16 de octubre de 2012 (LA LEY 212250/2012) (caso NATSEV v. Bulgaria; asunto 27079/04), volviendo a relacionar el concepto amplio del derecho al respeto de la correspondencia privada con la necesidad de que los Estados miembros regulen procedimientos a través de los cuales las personas interesadas puedan tener conocimiento de que sus comunicaciones han sido objeto de injerencia. La STEDH, Secc. 4ª, de 23 de octubre de 2012 (caso HADZHIEV v. Bulgaria; asunto 22373/04), saca a relucir la necesidad de un control independiente en el uso en otras investigaciones o finalidades públicas legítimas de la información recabada en una previa injerencia sobre comunicaciones; sin perjuicio del natural destino hacia la destrucción en aquellos supuestos en que la intervención resultara infructuosa, así como de notificación en tal supuesto a las personas afectadas por la medida. En similares términos, en lo referente a la insuficiencia de la legislación búlgara de 1997, se manifiesta, por último la STEDH, Secc. 4ª, de 27 de noviembre de 2012 (LA LEY 176799/2012) (caso SAVOVI v. Bulgaria; asunto 7222/05).

El Estado búlgaro, bajo el estricto control del Comité de Ministros del Consejo de Europa, acometió importantes reformas en su legislación, tratando de paliar esos déficits normativos detectados en la STEDH de 28 de junio de 2007 (LA LEY 132275/2007). La importante reforma de 2007 instituye la figura del Bureau Nacional como especie de autoridad administrativa independiente de control; siendo sustituido por un comité parlamentario en una segunda reforma de noviembre de 2009; aunque posteriormente se reinstaura dicha figura en agosto de 2013, conviviendo como autoridad estatal independiente con el comité parlamentario.

El Sr. EKIMDZHIEV, abogado en ejercicio especialmente activista frente a determinadas decisiones del Gobierno búlgaro, no conforme con las últimas reformas de la legislación sobre medidas especiales de vigilancia, toma de nuevo la iniciativa, decidiendo provocar un pronunciamiento del TEDH bajo la sencilla estrategia de instar previamente del Gobierno información sobre si había sido objeto de algún tipo de medida de vigilancia discreta, a sabiendas de que la respuesta iba a ser negativa. A él se unirán otros actores jurídicos, tales como la mencionada asociación.

La STEDH de 11 de enero de 2022 (LA LEY 79759/2022) llega a ser realmente un reexamen de la situación de la legislación búlgara sobre la materia ante la reclamación de prácticamente las mismas personas que acudieron al TEDH en el precedente de la STEDH de 28 de junio de 1997. Pero frente al precedente que representara dicha sentencia, el TEDH muestra una destacada severidad en el examen de las quejas planteadas por los reclamantes; y ello pese a que la sentencia principiara de forma tan prometedora para los intereses del estado Búlgaro. Se reconocen, de hecho, importantes esfuerzos en las autoridades búlgaras para solucionar los déficits normativos que se detectaran en la anterior resolución; pero se siguen constatando en buena medida las mismas deficiencias, llegándose incluso a detectar otras nuevas. Podríamos resumir éstas del siguiente modo, siguiendo a modo ejemplificativo los resúmenes que la propia sentencia destaca en sus §§ 356 (4) y 419 (5) , tanto referidos a las medidas de vigilancia discreta en general como a la cesión de datos conservados conforme a su legislación sobre conservación preventiva de datos:

1. Inaccesibilidad a particulares de las reglas que gobiernan el almacenamiento y destrucción de materiales obtenidos como consecuencia de la diligencia.
2. Insuficiente definición de la voz objeto como medio de canalización de la medida de vigilancia; como única forma de asegurar que no tengan lugar vigilancias indiscriminadas.
3. Excesiva duración de la medida de vigilancia cuando lo es por motivos de seguridad nacional (dos años), que debilita las posibilidades de control judicial.
4. La aplicación práctica de las medidas no garantiza la sujeción de las mismas a lo necesario en un contexto de Estado de Derecho.
5. Lagunas en orden al almacenamiento, acceso, examen, uso, comunicación y destrucción de la información obtenida.
6. El sistema de control o vigilancia no cumple con estándares mínimos de independencia, competencia y facultades para su ejercicio.
7. El régimen de notificación a afectados se muestra excesivamente limitado.
8. Las vías reaccionales no abarcan todos los posibles escenarios, no garantizan el examen de la justificación de la medida en cada caso, no están abiertas a personas jurídicas y limitadas en cuanto respecta a remedios disponibles.
9. En concreto, sobre el régimen de conservación y acceso a datos de comunicación, se detectan, además, las siguientes deficiencias:
- a. Los procedimientos de autorización no se muestran capaces de asegurar que el acceso a los datos lo sea tan solo cuando resulta preciso en el contexto de una sociedad democrática.
- b. Los límites temporales para la destrucción del material accedido en el contexto de una causa criminal no son claros.
- c. Inexistencia de publicidad en materia de almacenamiento, acceso, uso, comunicación y destrucción de los datos objeto de acceso.
- d. El sistema de control interno no aparenta garantizar su efectividad frente a riesgos de abuso.
- e. Los supuestos de comunicación a los interesados se muestran excesivamente limitados.
- f. Inexistencia de medidas reaccionales efectivas.

Es claro que la legislación española, basada en la reforma de la LO 13/2015 (LA LEY 15163/2015), podría superar con cierta holgura el EKIMDZHIEV test a la luz de la STEDH de 28 de junio de 2008; y más teniendo en cuenta que el régimen anterior del 579 de la LECRIM (LA LEY 1/1882) pudo superar poco tiempo antes su particular test inicial en la Resolución sobre admisibilidad del caso ABDULKADIR GOBAN v. España, de 25 de septiembre de 2006 (asunto 1760/02), al menos en lo referente a la intervención de telecomunicaciones. Pero la situación no se antoja tan sencilla, ante el mayor nivel de exigencia que puede apreciarse en la STEDH de 11 de enero de 2022 (LA LEY 79759/2022).

II. ¿Podría nuestra actual Ley de Enjuiciamiento Criminal superar el Ekimdzhiev Test?

Hacer un análisis exhaustivo de la legislación nacional a la luz de la doctrina del TEDH desarrollada en la STEDH del caso EKIMDZHIEV y otros v. Bulgaria supondría un esfuerzo sin duda innecesario. Resulta más interesante abordar aquellos puntos de fricción en los que la legislación española y su desarrollo jurisprudencial pudieran verse más comprometidos.

Nos centraremos exclusivamente en el ámbito de la investigación criminal; dejando atrás las peculiaridades de las medidas de injerencia para finalidades propias de la seguridad nacional.

1. Reflexiones sobre la legitimación para impugnar ante el TEDH toda una regulación nacional en bloque bajo el pretexto de la afectación de un concreto derecho subjetivo

El Sr. EKIMDZHIEV es un abogado en ejercicio que se ha caracterizado por un decisivo activismo en la lucha por los derechos civiles en su país; y no ha cesado en su empeño buscando vías por las que poder abrir las puertas a una respuesta por parte del TEDH ante la cerrazón de sus instituciones nacionales para dar una solución satisfactoria a sus demandas. Por su parte el TEDH no se ha mostrado especialmente escrupuloso a la hora de valorar la legitimación activa de los reclamantes para, a la vista de una petición concreta basada en el alegado de transgresión de un derecho subjetivo, realizar un profundo análisis sobre la normativa que regula la restricción de determinados derechos fundamentales en el ámbito de la privacidad; y ello incluso a la vista de que la ponderación del concreto derecho pretendidamente afectado no requeriría sino un análisis de igualmente concretas normas habilitantes. Esta tradición se remonta al menos a la STEDH de 6 de septiembre de 1978 (LA LEY 75/1978) (caso KLASS v. Alemania, asunto 5029/1971); pero sin duda llegaría a consolidarse definitivamente a partir de la Resolución sobre admisibilidad del caso WEBER y SARAVIA v. Alemania de 29 de junio de 2006 (asunto 54934/00).

Para comprender a qué nos estamos refiriendo, bastaría con recordar el ejemplo de la reciente STEDH, Secc. 5ª, de 30 de enero de 2020 (caso BREYER v. Alemania; asunto 50001/12). Los hermanos BREYER, igualmente decididos activistas por la defensa a ultranza de los derechos del entorno de la privacidad en Alemania, consiguen intentar poner en cuestión todo el entramado jurídico que estaba detrás de la legislación alemana exigente del registro de adquirentes de tarjetas de prepago de telefonía móvil. Para ello solamente tuvieron que acudir a una tienda o gasolinera cercana y comprar varias tarjetas; para seguidamente presentar un escrito a las autoridades competentes exigiendo la cancelación de sus datos. Esta sola petición les bastó para que el TEDH admitiera a trámite la reclamación y examinara a fondo la conformidad de la legislación alemana sobre la materia con el art. 8.2 del CEDH (LA LEY 16/1950). No de forma muy distinta actuó el Sr. EKIMDZHIEV, quien consiguiera someter a análisis todo el sistema legal de medidas especiales de vigilancia vigentes en Bulgaria, mediante la sencilla estrategia de acudir al Ministerio del Interior de su país solicitando información sobre si había sido objeto de algún tipo de vigilancia discreta por las autoridades competentes en la materia.

Pensar que España sería inmune a este tipo de legitimaciones provocadas, de estrategias dirigidas exclusivamente a abrir las puertas a un pronunciamiento del TEDH que sometiera a escrutinio toda nuestra legislación sobre medidas de investigación tecnológica, sería simplemente errar. De hecho no son pocos los ejemplos recientes en que se ha acudido a esta vía o anunciado que se iba a acudir a la misma mediante estrategias de provocación de la legitimación activa. Bastaría un alegato de vulneración intraprocesal específica o, incluso como en los dos ejemplos citados, de presentar un escrito solicitando la cancelación de datos o el ejercicio del derecho de información a sabiendas de que habrían de ser denegados, para forzar el análisis global de nuestra legislación.

2. Déficits de regulación en materia de almacenamiento y destrucción de la información obtenida en el curso de una medida especial de vigilancia

Sería el propio gobierno búlgaro el que reconociera finalmente de forma implícita la realidad de que las normas internas sobre almacenamiento y destrucción del material recopilado como consecuencia del empleo de medidas de vigilancia especial no eran accesibles a los ciudadanos. Al menos se aprecia un evidente avance en cuanto respecta a las normas que disciplinaban las vigilancias discretas —§ 296—. Sin embargo, en lo que respecta a la posibilidad de injerencia intencional u ocasional sobre comunicaciones en las que participen abogados en su relación con clientes, sometidas como tales a secreto profesional, la solución que plantea el TEDH podría ser calificada como un tanto insólita. Es cierto que la jurisprudencia del Tribunal de Estrasburgo se mostró especialmente abierta a la hora de definir qué podía considerarse como lex certa a la hora de someter una regulación nacional a la exigencia de cognoscibilidad (6) . Pero en este caso el planteamiento supera lo predecible. El Fiscal Jefe de Bulgaria dicta una Instrucción, destinada inicialmente para uso interno del Ministerio Fiscal, sobre tal materia. Obviamente este régimen interno no cumpliría tales exigencias de cognoscibilidad; pero sería por una vía indirecta, mediante su publicación en un Diario editado por el Consejo Supremo de la Abogacía, cómo esta accesibilidad se diera por cumplida. Y ello incluso apreciando cómo esta accesibilidad no habría de garantizarse en tal contexto respecto de toda la ciudadanía, especialmente concienciada en la necesidad de verse protegida en el privilegio del secreto profesional como una garantía esencial del derecho de defensa a la vez que como paradigma de su derecho a la privacidad (7) ; sino que abarcaría únicamente a abogados y organizaciones especializadas en asuntos jurídicos — § 297—.

El TEDH muestra, en consecuencia, su preocupación sobre la falta de transparencia de las reglas sobre almacenamiento y destrucción de las evidencias obtenidas; y si admite la solución planteada vía publicidad de normas internas dictadas por el Fiscal General del Estado en cuanto respecta a una parte de esta información, insiste en que los protocolos de actuación en los demás casos, que existirían según el gobierno búlgaro, aunque no lo demuestra, no serían accesibles en modo alguno al público.

Es evidente que nuestra LECRIM (LA LEY 1/1882) ofrece un robusto esquema legal que cubre desde la génesis misma de la injerencia hasta la garantía de la destrucción de la información obtenida, una vez que la misma ha perdido su utilidad procesal. En concreto, el sistema triangular de tratamiento y conservación de la información objeto de injerencia (sujeto obligado-centro de interceptación-autoridad judicial) del art. 588 ter f de la LECRIM (LA LEY 1/1882) se muestra marcadamente firme y consistente; y cuenta con publicidad en los protocolos de colaboración de prestadores de servicios a nivel de interceptación de comunicaciones y cesión de datos (8) .

Sin embargo, el esquema legal se muestra marcadamente dependiente de determinadas formas de materialización de la orden de interceptación; quizá adoleciendo de cierto grado de falta de flexibilidad. Dependencia que irá haciendo tensionar más esta exigencia de cognoscibilidad de la norma habilitante en tanto que nos vayamos apartando de esa ingeniosa idea de establecer un organismo público destinado al almacenamiento, en condiciones de elevado nivel de garantía, de la información facilitada por prestadores de servicios de comunicaciones electrónicas o de la sociedad de la información en el marco de la ejecución de una orden de interceptación. Y es que cuanto más nos vayamos alejando de este esquema indiscutiblemente garante iremos decreciendo no solo en nivel de salvaguardia de riesgos de manipulación, alteración o destrucción incluso accidental o de evitación de accesos no autorizados o no permitidos a la información almacenada, sino especialmente en lo que respecta a transparencia de la norma reguladora habilitante. Cuando, por mandato del art. 588 ter e de la LECRIM (LA LEY 1/1882), interviene un sujeto obligado diverso a las operadoras de telecomunicaciones a que se refiere el art. 39 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (LA LEY 7179/2014) —LGT—, se rompe ese esquema triangular de garantía; lo que comporta la necesidad de arbitrar soluciones técnico/jurídicas que suplan principalmente el importante papel desempeñado por el centro de recepción. Aparte de una concreta definición de las salvaguardias exigibles en el protocolo de actuación diseñadas en la resolución habilitante por la propia autoridad judicial, debidamente adaptadas en lo posible al mandato del art. 588 ter f de la LECRIM (LA LEY 1/1882), previa especificación en la solicitud —art. 588 bis b.2,6º de la LECRIM (LA LEY 1/1882)—, las posibilidades de una participación convencional de determinados operadores o prestadores de servicios es una realidad que cada vez se está abriendo más camino. El ejemplo más claro de ello sería el convenio firmado por el Ministerio del Interior con la multinacional BLACKBERRY al efecto de canalizar la interceptación de mensajería instantánea tipo BBM.

El empleo de técnicas de hacking policial nos enfrenta a un dilema mucho más comprometido. No es que la ley española no prevea esta posibilidad de injerencia; de hecho, los procedimientos de registro remoto de dispositivos de almacenamiento masivo de datos a que se refiere el art. 588 septies a de la LECRIM (LA LEY 1/1882) se basan precisamente en técnicas de penetración en el sistema o dispositivo en cuestión, bien remota, bien física, pero subrepticia; es decir, de hacking. Pero sucede que si ya en estos supuestos son muchos los interrogantes sobre la técnica de injerencia y sobre todo las garantías de evitación de riesgos de abuso o arbitrariedad en su empleo por la Policía Judicial, cuando aplicamos estas técnicas a injerencias sombre comunicaciones en tiempo real el apartamiento del esquema esencial diseñado por el art. 588 ter f de la LECRIM (LA LEY 1/1882) se acentúa al máximo; tensionando excesivamente ese juego de garantías que se complementan en tal esquema triangular. Si nos damos cuenta, una herramienta que, por ejemplo, forzara el reenvío de las comunicaciones vía mensajería instantánea tipo TELEGRAM o SIGNAL mediante la instalación de un programa espía tipo troyano o una simple modificación de los permisos de la aplicación, supondría que la información accedería directamente a una base de datos o dispositivo de comunicaciones policial, que no necesariamente habría de ofrecer un nivel de salvaguardia de la integridad e inalterabilidad de la información obtenida equiparable a la que ofrecen los centros de recepción. Además, los riesgos de adentramiento descontrolado a otros ámbitos o utilidades del terminal, aprovechando la vía de penetración que supone el programa espía, podrían poner más en cuestión la adaptación de la norma nacional a las exigencias del principio de la calidad de la norma habilitante (9) .

No debe olvidarse, en cualquier caso, que la exigencia de cognoscibilidad no impone necesariamente permitir a cualquier persona conocer cómo y bajo qué circunstancias puede verse afectada en el ejercicio de su derecho al respeto de la correspondencia como consecuencia de una investigación criminal; que basta con cubrir la necesidad genérica de claridad en sus términos, no el desvelo en detalle de concretas herramientas o técnicas empleadas (10) . La falta de total transparencia de estos procedimientos puede ser suplida sin duda mediante su sujeción, en la medida de lo posible, al esquema establecido en el art. 588 ter f de la LECRIM (LA LEY 1/1882); o, al menos, al diseño y aplicación de garantías que puedan equipararse a las capacidades de tal esquema.

La situación se muestra aún más favorable en la legislación española en cuanto respecta al régimen de destrucción o borrado de la información, una vez que su mantenimiento ha perdido una concreta utilidad procesal; conciliando la posibilidad de ulterior utilización para otras finalidades legítimas con el necesario deber de destrucción o borrado que impone la jurisprudencia del TEDH de forma especialmente insistente. Con la garantía que representa la eliminación/borrado de la fuente original en poder del centro de recepción o repositorio que lo sustituya, el art. 588 bis k establece un ponderado sistema escalonado de destrucción; que nos recuerda, en cuanto al establecimiento del referente de plazos de prescripción a la solución planteada por la STEDH, Secc. 4ª, de 3 de septiembre de 2015 (caso SÉRVULO & ASSOCIADOS-SOCIEDADE DE ADVOGADOS, RL y otros v. Portugal; asunto 27013/10).

Pero, tal vez, donde la situación de la legislación nacional se pudiera ver más comprometida sería sin duda en lo referente a la captación ocasional de conversaciones de abogados con sus clientes, sometidas como tales a secreto profesional; y que han encontrado un acomodo explícito, más allá de la jurisprudencia sobre la materia previa a la LO 13/2015 (LA LEY 15163/2015), en los arts. 118.4 y 520.7 de la LECRIM (LA LEY 1/1882)-. Por supuesto que estos preceptos, interpretados conjuntamente con los arts. 24.2 de la Constitución (LA LEY 2500/1978), 542.3 de la Ley Orgánica del Poder Judicial (LA LEY 1694/1985), y 32.1 del RD 658/2001, de 22 de junio (LA LEY 1024/2001), por el que se aprueba el Estatuto General de la Abogacía, ofrecen una firme y eficaz defensa del secreto profesional del abogado en sus relaciones con sus clientes; así como la presencialidad de un representante colegial en la práctica de registros que afectaren a ellos. Pero la opción definitiva del legislador por permitir, equiparándolo prácticamente en su esencialidad con el ya cuestionable actual régimen de los hallazgos casuales del art. 579 bis de la LECRIM (LA LEY 1/1882), el aprovechamiento procesal de la información obtenida en el curso de una intervención de comunicaciones o diligencia de registro, en tanto que gracias a la misma se aportaran indicios de la participación del letrado en otras infracciones criminales, sin sometimiento a ponderación alguna en base a criterios de proporcionalidad y necesidad, podría poner en entredicho la propia solidez del esquema diseñado por la LECRIM. (LA LEY 1/1882) La garantía del secreto profesional precisa de filtros y juicios de ponderación que impidan la utilización procesal indiscriminada de cualesquiera conductas ilícitas descubiertas casualmente en el contexto de una injerencia legal legítima. Sin duda la solución a este dilema jurídico habría de encontrarse en la aplicación de los principios rectores del art. 588 bis a de la LECRIM (LA LEY 1/1882), y, en concreto, del principio de proporcionalidad, a cualquier intento de aprovechamiento de información reveladora de la participación del abogado que actúa como tal en infracciones criminales de no especial trascendencia jurídica o gravedad; cuando menos en tanto que éstas sean carentes de una relación de conexidad con la investigación principal..

Otro problema, en cierto modo inesperado, surge a la hora de dar cumplimiento a la obligación de destrucción, eliminación, del material afectante al secreto profesional obtenido en el curso de la ejecución de una medida de investigación tecnológica. Es cierto que, al contrario de lo que sucede en la legislación búlgara, el art. 118.4 LECRIM (LA LEY 1/1882) garantiza la opción por la destrucción; afectando no solo a la relación intraprocesal, sino igualmente al asesoramiento jurídico ajeno al objeto mismo de la investigación. Prohíbe, además, la interceptación de conversaciones de letrado como no sea por existencia de indicios directos contra él. Sin embargo, la materialización de la destrucción o apartamiento del proceso de esta información se encuentra condicionada por la naturaleza tecnológica de su obtención y por las garantías inherentes a la salvaguardia de la complitud e indemnidad del material obtenido. Efectivamente, las exigencias de salvaguardia de la información captada en el curso de una interceptación de comunicaciones mediante huella digital provocará la imposibilidad de que la autoridad judicial pueda proveer la destrucción o eliminación de información afectante al secreto profesional de alguna de las partes o terceros con anterioridad al íter procesal que marca el art. 588 ter i. Si ordenara la eliminación previamente, el hash que protege a la información transmitida por el agente facultado a la autoridad judicial se vería alterado; perdiendo el documento digital la cualidad que exige el art. 588 ter f. No cabe, por tanto, otra solución, aparte de poder ordenar el juez que se extraigan por la Policía Judicial de la eventual transcripción tales conversaciones o contenidos y que no sean tenidos en cuenta, que la de aprovechar el cauce de dicho precepto para dar lugar a esa exclusión, facilitando a las partes una copia de las grabaciones en la que se excluyeran dichos contenidos. Aun así, el indiscutible derecho que se reconoce a las partes en el apartado 2 para examinar las grabaciones íntegras, es decir, todo el material objeto de captación, incluidos aquellos contenidos referidos a aspectos de la vida íntima de las personas, chocaría seriamente con la garantía del secreto profesional; toda vez que esa posibilidad de fiscalización externa de la decisión del juez de excluir del proceso determinados contenidos abriría las puertas a exponer a una de las partes al conocimiento por las demás de las claves de su estrategia defensiva o confidencias del cliente con su letrado; cuya abigarrada salvaguardia por parte del legislador se muestra inatacable. La única solución jurídica partiría del rechazo de cualquier pretensión de alguna de las partes de acceder a dichas conversaciones. De hecho, esta posibilidad de exclusión legítima en cuanto ataña al ejercicio del derecho de defensa de una de las partes o afecte innecesariamente a la intimidad o privacidad de alguna de las partes o terceros ha encontrado su reflejo en la jurisprudencia del TEDH (11) . Pero esta solución deja fuera de cualquier forma de actuación reaccional a la parte que dudara de la decisión de exclusión del juez. Tal vez la solución podría pasar por regular la posibilidad de someter a la decisión judicial a un control externo mediante la intervención, mediante informe, del órgano colegial, del correspondiente Colegio de Abogados, como principal garante del secreto profesional de sus colegiados.

3. El problema de la indefinición de la voz objetos/objects

El § 303 de la sentencia comentada aborda una cuestión de difícil comprensión como no sea tras una lectura detallada de dicho parágrafo. La voz objects hace referencia a qué realidades físicas o virtuales, objetos, pudieran, junto a personas físicas o jurídicas, ser en sí mismas sometidas a vigilancia o servir de soporte para llevar a efecto la vigilancia discreta. Por poner ejemplos, aparte de dirigir la injerencia hacia la persona concreta investigada, puede intervenirse un determinado teléfono, o colocar un dispositivo de geoposicionamiento oculto en el chasis de un turismo, independientemente de que sean o puedan ser utilizados por terceras personas no investigadas.

Lo que realmente preocupa a la sentencia es que este concepto amplio de objeto pueda llegar a convertir una medida de injerencia singular afectante a una determinada realidad física en una auténtica interceptación masiva (bulk interception); rompiendo cualquier vinculación de la medida con elementales exigencias del principio de proporcionalidad de la medida.

La sentencia saca a relucir un ejemplo que muestra hasta dónde podría llegarse con tamaña indefinición exenta de filtros de ponderación eficaces: Con motivo de una investigación criminal, la Presidenta del Tribunal de Sofía autoriza la monitorización de la centralita automática de atención ciudadana de la policía búlgara, considerando tal instrumento de comunicación de la ciudadanía con las fuerzas y cuerpos de seguridad objeto a los efectos de la finalidad investigadora perseguida; sin reparar sobre la evidente vulneración de unos principios de proporcionalidad y necesidad de la medida que exponían a miles de personas a ser objeto de seguimiento discreto y tratamiento de sus datos personales. Sin embargo, presentados cargos contra ella, solamente se consigue sanción contra la misma por razón de haberse excedido en los plazos máximos de injerencia marcados por la ley; no por la evidentemente improcedente y desproporcionada interpretación del concepto de objeto que estaba detrás de su decisión. De ello deduce el TEDH la existencia de un evidente riesgo de incorrecta interpretación de la norma, afectando a su propia legitimidad en términos del mandato del art. 8.2 del CEDH (LA LEY 16/1950).

La LECRIM (LA LEY 1/1882) no aborda con profundidad ese concepto de objeto que destaca la sentencia; lo que no significa en modo alguno que nuestro sistema judicial esté en riesgo de abusiva aplicación del mismo. Las distintas modalidades de medidas de investigación tecnológica que se desarrollan en el casi interminable listado de ordinales del art. 588 de la LECRIM (LA LEY 1/1882) están abiertas a su canalización por diversos objetos. Por poner un ejemplo, el art. 588 quater a.1 permitiría la colocación física de micrófonos ocultos en un determinado ámbito geográfico o ubicación física, o a un objeto móvil o transportable (cartera, maleta, ropa,…); pero también la injerencia a través de un sistema de micrófonos direccionales, o incluso dominio remoto del teléfono móvil de la persona investigada en cuanto respecta al manejo de datos de geolocalización independientes a comunicaciones emitidas o recibidas por su usuario. Pueden incluso emplearse técnicas de penetración propias de otras formas de injerencia para una modalidad específica; como pudiera ser precisamente la alteración de marcadores o activación de aplicación que permita compartir datos de geolocalización en tiempo real de un Smatphone, mediante técnicas propias de un registro remoto. En este sentido, el riesgo de elección de un objeto o procedimiento que diera pie a la injerencia indiscriminada sobre una generalidad de personas podría destacarse igualmente de las normas habilitantes.

Sin embargo hay algo que nos diferencia claramente del ejemplo búlgaro: La férrea garantía que supone el debido respeto de los principios informadores y la prohibición de utilización de técnicas que no se amolden a las tasadas por la norma habilitante —art. 588 bis a.1 de la LECRIM (LA LEY 1/1882)— suplen en buena medida ese apreciable déficit de definición; máxime si nos adentramos en el juego de las exigencias en orden a la delimitación del objeto de la medida, entendida como finalidad perseguida por el acto de injerencia, y su alcance; es decir: delimitación de los ámbitos físicos y lógicos que podrán ser objeto de injerencia —art. 588 ter d de la LECRIM (LA LEY 1/1882)—. Son esta prevalencia absoluta de la exigencia del sometimiento a los llamados principios rectores y la versatilidad de la norma habilitante para su adaptación a evoluciones en el mundo de las tecnologías de la información y las comunicaciones las claves de la capacidad de la legislación española para superar holgadamente tal cuestionamiento de la legislación búlgara a la hora de definir el concepto de objeto. Es cierto que la STEDH, Sección 4ª, de 10 de febrero de 2009 (LA LEY 23032/2009) (caso IORDACHI y otros v. Moldavia; asunto 25198/2002), imponía la necesidad de adaptación de la norma reguladora del acto de injerencia a cada adelanto relevante en las tecnologías de las comunicaciones; que en tanto en cuanto la tecnología disponible se fuera volviendo más sofisticada, se iría requiriendo una respuesta normativa acorde con tal evolución. Pero el legislador español se ha mostrado especialmente hábil a la hora de conjugar esos principios con unas especificaciones técnicas y definiciones de las distintas modalidades injerenciales que, aun manejándose en términos genéricos, a veces casi abstractos, están permitiendo adaptar la norma nacional a la evolución tecnológica. En definitiva, el legislador español ha optado por una regulación no pensada directamente para dar respuesta concreta a determinadas tecnologías que pudieran surgir en el futuro; pero que se asienta en sólidos principios informadores —art. 588 ter a de la LECRIM (LA LEY 1/1882)— y determinadas exigencias de protocolos de actuación que permitirían su aparentemente fácil adaptación a las nuevas realidades tecnológicas.

4. La deficiente aplicación práctica de la norma habilitante como criterio de ponderación de la insuficiencia de la norma nacional en garantía de los principios de proporcionalidad y necesidad de la medida

La sentencia sí llega a reconocer que la ley búlgara contiene garantías suficientes en orden a la exigencia de motivación en cuanto a presupuesto habilitante y superación de los juicios de proporcionalidad/necesidad —§ 299—. Se hace uso de una lista exhaustiva de delitos dolosos graves que permiten el empleo de medidas de injerencia; se especifican las medidas que pueden ser empleadas y se impone la exigencia de indicios de la comisión de una concreta infracción criminal para permitir su autorización. Se constata, además, cómo la inmensa mayoría de los casos en que se emplean estas herramientas tienen relación con la persecución de líderes o integrantes de determinadas organizaciones criminales —criminal gangs— o tráfico de drogas.

Destaca, no obstante, cómo la gran carga de trabajo sobre determinados tribunales, en concreto dos de ámbito nacional, llega a afectar realmente a la calidad de las resoluciones en este sentido; y cómo, de hecho, un altísimo porcentaje de las solicitudes son estimadas, sin que las resoluciones autorizantes apenas lleguen a realizar una verificación real de esas exigencias de motivación que impone la ley; limitándose a la concesión acrítica, a modo de placet, de las autorizaciones, sin adentrarse a valorar los indicios aportados por la autoridad solicitante en su petición. El análisis de los datos estadísticos facilitados por el Gobierno búlgaro llega a generar incluso dudas de parcialidad; destacando igualmente la situación creada como consecuencia de la interposición de una querella contra la Presidenta del Tribunal de Sofía a la que antes hemos hecho referencia.

De ello extrae el TEDH una novedosa, a la vez que discutible, conclusión: que por mucho que la ley nacional establezca a nivel de definición normativa suficientes garantías en orden a la salvaguardia de esos principios de proporcionalidad y necesidad en el contexto de una sociedad democrática, tal y como exige el art. 8.2 del CEDH (LA LEY 16/1950), la ley nacional se estaría mostrando incapaz de garantizar de forma efectiva los estándares de motivación que la propia ley impone —§ 318 (12) —; suponiendo ello, por sí mismo, una demostración de la insuficiencia de la norma nacional para hacer frente a esas exigencias de motivación inherentes a este tipo de injerencias afectantes a la privacidad de las personas. Pero: ¿realmente podemos defender que la generalización de una práctica procesal contraria a la definición normativa sí garante de la ley pudiera suponer la contrariedad con el art. 8.2 del CEDH (LA LEY 16/1950) no solo en tales supuestos, sino incluso de aquellas decisiones que sí cumplieran escrupulosamente con ese fin de garantía previsto en la ley? El marco de incidencia de la resolución del TEDH, aparte de incidir obviamente sobre el caso concreto, podría cuestionar en ese sentido la suficiencia de la norma nacional, forzando la necesidad de reacción de las autoridades nacionales, bien a nivel de enmienda a la ley, bien de exigencia de un mayor nivel de respeto de la ley por parte de las autoridades judiciales concernidas. Pero es claro que si una autoridad judicial se condujera mostrándose respetuosa con el mandato de la ley que sí se muestra correcta en su formulación, tal declaración de insuficiencia no tendría por qué afectarle.

Al menos en España los estándares de exigencia en el control externo de la medida injerencial alcanzan niveles elevadísimos frente a otros ejemplos de Estados integrados en el Consejo de Europa, incluso de la Unión Europea. Posiblemente los porcentajes de concesión de las autorizaciones podrían llegar a alcanzar cotas casi equiparables a los datos facilitados por las autoridades búlgaras, pero las garantías y remedios procesales que arbitra nuestro sistema procesal, debería entenderse, permiten hacer frente a una eventualmente indebida aplicación de la ley. Estas garantías de control tanto a nivel interno como externo se muestran, en la práctica, realmente eficaces. Basta examinar, casi de forma aleatoria, ejemplos jurisprudenciales tanto de órganos sentenciadores en la instancia inferior, de la llamada jurisprudencia menor, como de la Sala 2ª del Tribunal Supremo, para apreciar el alto nivel de control externo al que someten órganos enjuiciadores y de recurso a la autorización y ejecución de medidas de investigación tecnológica.

5. El sistema de control y vigilancia de las medidas de injerencia acordadas

Una de las más severas críticas que dedica el TEDH a la legislación búlgara vuelve a incidir nuevamente en el ámbito de la regulación del control y vigilancia de la ejecución de la medida autorizada. Una vez concedida la autorización, en la ley búlgara las daciones de cuenta al juez se limitaban a simples informes policiales, sin respaldo en la accesibilidad a información obtenida —§ 337—. La insuficiencia o incluso ausencia normativa alcanza igualmente a un control efectivo sobre la ulterior utilización procesal de la in información más allá del procedimiento en el curso del cual se obtuvo ésta. Pero si la participación del juez autorizante se ve especialmente mermada en el control de la medida, la intervención de otros organismos independientes de control, como el Bureau Nacional o Comité Parlamentario, se mostraba igualmente poco determinante. Ambas instituciones, de hecho, aparte de ofrecer dudas al TEDH sobre su independencia —§ 339— carecían, más allá de ciertas posibilidades de inspección o de petición de información, de potestades efectivas de anulación de autorizaciones o de ordenar la destrucción de materiales captados de forma irregular. En definitiva, nada aportaban frente a la insuficiencia en la capacidad de control judicial efectivo por parte de las autoridades judiciales que accedieron a la ejecución de la medida.

Por el contrario, el sistema de control y vigilancia de las medidas injerenciales trazado en la LECRIM (LA LEY 1/1882) parte del diseño por parte del propio juez instructor de las medidas de control y dación de cuenta que han de respetarse por la Policía Judicial en la ejecución de la medida autorizada —art. 588 bis g—. Además, frente al ejemplo búlgaro, el juez tiene acceso no solo a informes, sino también a contenidos. Puede, si así lo estima conveniente, incluso acudir a la información almacenada en el centro de recepción. Y por si fuera poco, el control de la medida trasciende a la propia garantía constitucional que asume el juez instructor; de suerte que una seria despreocupación del juez en el control de la ejecución de la medida podría trascender incluso a su legitimidad constitucional (13) .

6. Sobre el régimen de notificación del acto de injerencia a las personas afectadas por una concreta medida especial de vigilancia

El TEDH no llega a apreciar la existencia de avances convincentes en materia de notificación de la existencia del acto de injerencia a las personas afectadas; máxime cuando se llega a reconocer que es la cognoscibilidad la clave que garantiza el ejercicio de derechos reaccionales, que entroncan no tanto con el derecho a un juicio justo y equitativo del art. 6 del CEDH (LA LEY 16/1950), como del propio ámbito tuitivo del derecho al respeto de la vida privada y correspondencia.

Sin embargo, el art. 588 ter i.3 garantiza la puesta en conocimiento a las personas afectadas por la medida, una vez alzado el secreto, como regla general; y en concreto a las partes. La ley nacional prevé, no obstante, excepciones que afectarán tanto a las propias personas sometidas directa o indirectamente a vigilancia discreta como a terceros.

Por supuesto, la imposibilidad de identificación o el esfuerzo desproporcionado en el cumplimiento del deber de puesta en conocimiento se rigen por un criterio de razonabilidad que podría superar un control de calidad ex art. 8.1 CEDH. Pero estas auténticas válvulas de escape no deberían convertirse en la solución para eludir un tal deber de puesta en conocimiento. Por mucho que fuera inabarcable el número de personas afectadas indirectamente por la medida, y siendo comprensivos de que en ocasiones la puesta misma en conocimiento de la interceptación de comunicaciones de un tercero podría crearle más problemas que beneficios (14) , tales contingencias no excluyen de la obligación de comunicación a aquellos que sí fueran perfectamente identificables. Una rutinaria aplicación de las excepciones podría alejarnos de un deber de puesta en conocimiento que llega a trascender a la propia garantía del entorno de la privacidad conforme al mandato del art. 6.1 del CEDH (LA LEY 16/1950).

Más comprometida sería la situación de la ley española en cuanto a la posibilidad de demorar, que no negar, el deber de comunicación en base a la cláusula del riesgo de perjudicar futuras investigaciones. Esta cláusula de suspensión temporal de tal deber encontró un decidido reflejo en las ya mencionadas resoluciones del TEDH de los casos KLASS v. Alemania y WEBER Y SARAVIA v. Alemania. Pero al contrario de la legislación alemana, el apartado 3 del art. 588 ter i de la LECRIM (LA LEY 1/1882) solo se limita a definir la excepción. El legislador crea un gran vacío normativo en cuanto a la definición de los concretos criterios sobre su decisión; pero sobre todo en cuanto respecta al mantenimiento en el tiempo de la decisión o revisión bajo control judicial. Para dar contenido a esta indefinición normativa nos veríamos obligados a acudir a la propia jurisprudencia del TEDH para darle forma; toda vez que la STS 960/2008, de 26 de diciembre (LA LEY 226064/2008), se limitó a constatar que podrían argüirse razones legítimas para no notificar la existencia del acto de injerencia tras un archivo de actuaciones, basadas en la necesidad de proteger el buen fin de futuras investigaciones (15) . Al ciudadano solo le restaría el ejercicio del derecho de acceso o información para conocer en tales supuestos si se ha visto o no afectado; pero hasta éste se vería claramente restringido por el mandato del art. 7.3 de la Ley Orgánica 7/2021, de 26 de mayo (LA LEY 11831/2021), de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales; que limita los derechos de acceso e información, en cuanto ello pudiera afectar al buen fin de una actividad investigadora. Fácil es comprobar que en esta concreta materia podríamos vernos claramente expuestos frente a un posible control del TEDH.

7. Limitaciones en la regulación de vías reaccionales

El TEDH destaca cómo la mejora de la legislación búlgara en lo referente a posibles medidas reaccionales frente a decisiones sobre medidas de especiales de investigación se limitaba esencialmente a la posibilidad de reclamar una indemnización, así como eventual ejercicio de acciones penales contra el responsable. Pero destaca cómo tal remedio, aun efectivo en determinados escenarios, adolecía de al menos tres serias limitaciones: La dificultad de su ejercicio en un contexto de generalizada ausencia de previa notificación por parte del Bureau Nacional; imposibilidad de someter la medida a un juicio de necesidad en cada caso concreto, y, por último, no reconocimiento del derecho a personas jurídicas —§ 352—. Pero, más allá de esta posibilidad de obtener un resarcimiento económico, se aprecia cómo los tribunales nacionales carecían de potestades para ordenar la destrucción del material obtenido como consecuencia de una medida de vigilancia. Ni siquiera con la transposición en 2019 de la Directiva (UE) 2016/680 (LA LEY 6638/2016) (16) se llega a apreciar que el régimen de remedios procesales fuera lo suficientemente efectivo en materia de tales medidas especiales de vigilancia —§§ 353 y 354—.

Sin embargo, a nivel de nuestro ordenamiento procesal penal difícilmente se podría poner en cuestión la afirmación de que este es un tema más que superado en nuestro ordenamiento jurídico. La actual LECRIM (LA LEY 1/1882) apenas pone trabas a vías de impugnación, alegato de contravención de derechos fundamentales o procesales o recurso. Frente al conocimiento debido de la existencia de un acto de injerencia, ya en sede de instrucción, la persona afectada por la medida en el contexto de un proceso penal contra ella dirigido podría recurrir directamente la resolución nada más tomar noticia de ella; plantear un incidente de nulidad de actuaciones que afectara a la decisión misma o a cualquiera de las incidencias surgidas durante su ejecución o incorporación al proceso en sede de instrucción, en un contexto de cada vez mayor apertura en la procedibilidad de su planteamiento conforme a la doctrina del Tribunal Constitucional. Podría reservar sus vías reaccionales para su planteamiento como cuestión previa, e incluso reproducirlas de nuevo, ante el fracaso inicial de su planteamiento en sede de instrucción, tras haber adquirido firmeza las mismas; reproducirlas de nuevo en sede de plenario una vez rechazadas como cuestiones previas, e incluso introducirlas ex novo, a través de estrategias procesales conocidas como silencios estratégicos. Realmente, y aparte de la exigencia de su planteamiento en instancias anteriores para poder introducirlas en sede de recurso ante una instancia superior, las únicas limitaciones se encontrarían en la necesidad de garantizar los principios de contradicción e igualdad de armas: Deben ejercitarse en condiciones que faciliten la respuesta o reacción jurídica efectiva de la parte contraria. La cita del Acuerdo del Pleno no jurisdiccional de la Sala 2ª del Tribunal Supremo de 26 de mayo de 2009 marca los límites de estas posibilidades de utilización de silencios estratégicos como herramientas procesales legítimas (17) .

Estas medidas, además, van muchísimo más allá del encorsetado régimen reaccional de la legislación búlgara. Por su puesto que se puede incidir también sobre aspectos formales de la resolución, e incluso abrir las puertas a una pretensión resarcitoria; pero abarcan, además, tanto al cuestionamiento de los presupuestos fácticos y jurídicos de la decisión en el contexto del respeto de los llamados principios rectores de la decisión, como a la posibilidad de utilización de la información obtenida como fuente de prueba directa o indirecta; pasando por la posibilidad de conseguir el borrado o destrucción de ésta. Y estas medidas pueden ser hechas valer tanto por las personas, físicas o jurídicas, afectadas directamente por la medida como por los sometidos de forma indirecta o casual (18) ; e incluso hechas valer por quienes no fueren los afectados por la medida en cuanto la posible transgresión de derechos fundamentales de éstos les pudiera transcender.

8. Notas sobre la regulación del régimen legal de conservación preventiva de datos y su utilización por autoridades legitimadas

Sin duda la principal crítica que se merece la STEDH de 11 de enero de 2022 (LA LEY 79759/2022) es la de que el Alto Tribunal, tal y como ya ocurriere en la sentencia del caso BREYER v. Alemania, o en la STEDH, Secc. 3ª, de 19 de junio de 2018 (caso CENTRUM FÖR RÄTTVISA v Suecia; asunto 35252/08), posteriormente enmendada por la sentencia de la Gran Sala de 25 de mayo de 2021, vuelve a guardar el más absoluto silencio sobre la ponderación de si los regímenes de conservación preventiva e indiscriminada de datos nacidos al amparo de la Directiva 2006/24/CE (LA LEY 3617/2006) (19) son o no conformes a las exigencias derivadas del respeto de los principios de necesidad y proporcionalidad en el marco de una sociedad democrática. Y lo hace desde un planteamiento lógico-sistemático que parece hacernos ver una cierta condescendencia, o asentimiento implícito; que ya pudiera apreciarse en otros precedentes anteriores tales como las SSTEDH, Gran Sala, de 4 de diciembre de 2015 (caso ROMAN ZAKHAROV v. Rusia; asunto 47143/06), y Secc. 4ª, de 12 de enero de 2016 (caso SZABÓ y VISSY v. Hungría; asunto 37138/14). Teniendo en cuenta que el TEDH toma en consideración desde la pionera STJUE (Gran Sala) de 8 de abril de 2014 (LA LEY 36312/2014) (asuntos DIGITAL RIGHTS IRELAND y SEITLINGER y otros; C-293/12 y C-594/12) hasta la más contemporánea STJUE (Gran Sala) de 6 de octubre de 2020 (LA LEY 211728/2020) (casos LA QUADRATURE DU NET y otros; asuntos 511, 512 y 520/18), tal silencio, casi estratégico, solamente podría ser entendido bien como una voluntad de no querer entrar en el conflicto jurídico, bien considerando implícitamente conformes con el mandato del art. 8.2 del CEDH (LA LEY 16/1950) dichos regímenes.

La sentencia no muestra el más mínimo reparo en reconocer que la sola retención de datos relacionados con la vida privada sobre una persona representa una interferencia en el derecho a la vida privada de las personas —§ 372—; y que, en concreto, los datos de tráfico y localización, solos o en combinación con otros, afectan igualmente a la vida privada de las personas afectadas. La afectación del derecho a la privacidad lo sería igualmente en el marco de ese concepto amplio de derecho a la correspondencia —§ 373— que maneja el Alto Tribunal europeo; y ello independientemente de si quien genera esos datos es una persona física o jurídica —§ 374—. Concluye el parágrafo 372 advirtiéndonos de que el mandato legal de retención de datos es en sí mismo una interferencia en el derecho a la vida privada, independientemente de si los datos acceden o no a las autoridades.

Se echa de menos un juicio de proporcionalidad/necesidad en su propio enunciado jurídico; y más si tenemos en cuenta que el análisis de las peculiaridades de la regulación búlgara sobre la materia presupone que estos juicios ponderativos deberían considerarse superados; pues, en la hipótesis contraria el Alto Tribunal europeo se habría limitado a destacar tal choque con exigencias que tienen su origen en el propio art. 8.2, no pronunciándose sobre la concreta regulación nacional, o haciéndolo ad abundantiam. En todo caso, no vendría mal recordar que el conflicto entre ambas jurisprudencias habría de resolverse siempre sobre la priorización del Derecho de la Unión; en el sentido de considerar más respetuosa con los derechos fundamentales en conflicto la solución aportada por el Tribunal de Luxemburgo, en base al principio de la garantía de la protección más extensa ofrecida por el Derecho de la Unión —art. 52.3 de la CDFUE (LA LEY 12415/2007)—.

Basta con examinar la extensa lista de deficiencias que se destacan en la legislación búlgara sobre conservación de datos para llegar a la conclusión de que el legislador nacional se quedó casi sin aliento, sin inspiración, a la hora de regular de una forma tan ligera e inadecuada todo lo referente al universo de la conservación preventiva de datos y su ulterior utilización en concretas investigaciones criminales.

Siendo conscientes de que nuestra actual Ley 25/2007, de 18 de octubre (LA LEY 10470/2007), de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones —LCDCE— apenas encuentra margen de regulación conforme al Derecho de la Unión como no sea en ámbitos propios de la llamada identidad civil, asignación de IIPP dinámicas y registro de tarjetas de telefonía prepago (20) , este inesperado renacer de la norma española gracias al cambio de rumbo propiciado por la STJUE del caso LA QUADRATURE DU NET permite dar sentido a unas breves reflexiones en torno a la aplicación al supuesto nacional de los cuestionamientos que realiza el TEDH a la legislación búlgara.

En todo lo referente a los procedimientos de autorización, órdenes de cesión de datos, la norma nacional muestra un elevado nivel de solvencia con la LCDCE. La determinación del concepto de delito grave tal y como es entendido en nuestro Código Penal, como presupuesto ineludible para el posible acceso a datos almacenados por mandato de la ley, representa sin duda una apuesta fuerte del legislador por imprimir un alto grado de exigencia en el concepto de delito grave. Es cierto que ha llegado a plantearse si la codificación, integración en el contexto de la LECRIM (LA LEY 1/1882) de la LCDCE, vía art. 588 ter j de la LECRIM, ha supuesto realmente una relajación en el mandato del art. 1.1 de la LCDCE; pero la verdad es que el propio tenor literal del precepto nos lleva a considerar que el legislador simplemente ha introducido una norma de referencia a una legislación específica; habla de hecho de datos conservados «…en cumplimiento de la legislación sobre retención de datos relativos a las comunicaciones electrónicas». Esa aparente codificación de la LCDCE no supondría sino un acercamiento a las exigencias propias de los principios rectores, así como a su adaptación, entre otros aspectos, a la regulación procesal de la fase de instrucción y secreto de la actuación por mandato del art. 588 bis d; no desde luego una relajación de la exigencia del concepto de delito grave tal y como es entendido en el art. 1.1 de la LCDCE. Además, la cuestión sobre la solvencia del argumento sobre la aparente relajación del concepto de delito susceptible de ser objeto de investigación mediante cesión de datos de naturaleza comercial defendido por la Circular 2/2019 de la Fiscalía General del Estado, sobre interceptación de comunicaciones telefónicas y telemáticas, aparte de refutable por argumentos en contra difícilmente cuestionables (21) , ha quedado zanjada en buena parte con la solución planteada por la STJUE (Gran Sala) de 5 de abril de 2022 (LA LEY 39345/2022) (caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA; asunto C-140/20); la cual admite su utilización procesal en el contexto, como punto de partida, de la lucha contra la delincuencia grave, con posibilidad desde luego de relajación de la exigencia en función de la menor intensidad de la afectación del entorno de la privacidad de las personas afectadas.

Mayor problema sería sin duda el del acceso directo a datos identitarios, sin necesidad de previa autorización judicial por parte de Policía Judicial y Ministerio Fiscal, al amparo de lo establecido en el art. 588 ter m de la LECRIM. (LA LEY 1/1882) Es evidente que la norma, aun contextualizándose en un escenario del ejercicio propio de sus funciones, está refiriéndose a actividades investigadoras de una y otro. Supone además un mínimo nivel de injerencia que, en el ámbito del definido por la jurisprudencia del TJUE como datos de identidad civil, representaría el último escalón en relación con su potencialidad de incidencia sobre el ámbito de la privacidad de las concretas personas afectadas. Pero el régimen jurídico de esta potestad investigadora se ha diseñado con ausencia de un régimen de control judicial efectivo; que no es que no se garantice con anterioridad o por vía de ratificación ulterior, sino que se hace depender de que la causa tenga entrada, si es que ello sucede, en sede judicial por razón de la remisión a la autoridad judicial competente de atestado policial o denuncia o querella del Ministerio Fiscal. La posibilidad de control externo, vía art. 7.1 de la Ley Orgánica 7/2021 (LA LEY 11831/2021), podría salvar en buena parte tal dilema jurídico, máxime teniendo en cuenta la reforzada posición del TJUE en orden a exigir un control previo por parte de autoridad judicial o autoridad administrativa independiente a cualquier decisión que tuviera encaje en el mandato del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) (22) . Dicho precepto garantiza el control judicial de la decisión; pero no se establece cómo debe llevarse a efecto el mismo. Bastaría una modificación en las normas internas de protocolo de Policía Judicial y Ministerio Fiscal para que se garantizara una dación de cuenta a la autoridad judicial competente a los efectos de una puesta en conocimiento de la decisión adoptada que pudiera ser sometida a un pertinente juicio de revisión; máxime si tenemos en cuenta que el eventual control por los ciudadanos se vería claramente mermado ante la restricción impuesta en tales supuestos al derecho de acceso —art. 7.3 de la LO 7/2021 (LA LEY 11831/2021)—.

El preocupante silencio de la legislación búlgara en cuanto a los protocolos de conservación, acceso y destrucción de la información almacenada en tales bases de datos queda suficientemente cubierto en la legislación española. Se establece un plazo específico de conservación a los efectos de su posible utilización procesal —art. 5.1 de la CDCE—; aunque su aparentemente excesiva extensión haya sido objeto de serias y razonables críticas. Desde el punto de vista procesal, de los datos que sí han tenido acceso a un determinado procedimiento de instrucción, los arts. 588 bis k y 588 ter f de la LECRIM (LA LEY 1/1882) dan cumplida respuesta a un alto estándar de exigencia a nivel de la legislación interna. Es éste, precisamente, uno de los puntos en los que de forma más clara la integración de la LCDCE en el régimen común de la LECRIM (LA LEY 1/1882) ha supuesto una importante innovación.

La ley 27/2007 (LA LEY 10627/2007) garantiza, en su art. 8, un nivel alto de seguridad incrementado con la garantía de un sistema de control de accesos. El protocolo de cesión y conservación se sometía además a la Orden ITC/313/2010 (LA LEY 2103/2010). En este sentido incluso se podía dar concreta respuesta a la exigencia del TJUE, aunque fuera en un contexto de retención que no conservación, en cuanto respecta a la evitación de riesgos de acceso inconsentido, manipulación o destrucción. Además, el uso de la información queda en todo caso reservado a la finalidad concreta de investigación criminal bajo la dirección y supervisión de un juez de instrucción —art. 6 de la LCDCE—.

En cuanto respecta a las garantías frente a riesgos de abuso, comunicación a interesados y medidas reaccionales, ya hemos visto cómo solamente en el acceso a datos de identificación podrían darse situaciones de abuso fuera de control judicial; lo que habría de exigir una adecuada aplicación del mandato del art 7.1 de la LO 7/2021 (LA LEY 11831/2021). Por lo demás el mismo amplio régimen de remedios procesales se aplica igualmente al acceso a datos de tráfico o conservados. Pudiera apreciarse cierta falta de cobertura legal en cuanto respecta al deber de comunicación de la existencia del acto de injerencia, pero podríamos encontrar una fácil respuesta a tal demanda con la sola aplicación de un art. 588 ter i.3 que se ha convertido en referente para todas y cada una de las medidas de investigación tecnológica que se desarrollan por la LO 13/2015 (LA LEY 15163/2015). Este precepto, realmente, es consecuencia de una defectuosa distinción entre reglas de parte general, y las peculiares de la intervención de telecomunicaciones. No debe olvidarse que el Anteproyecto de la LO 13/2015 partía de la regulación in extenso de ésta; y consideración como especialidades de las restantes medidas de investigación tecnológica. Esta integración de tal exigencia en las restantes medidas, y más cuando la orden de cesión de datos se integra en un capítulo común en el que comparte preceptos con la intervención de comunicaciones y datos de tráfico en tiempo real, es jurídicamente indispensable para dar cumplimiento a las exigencias del principio de accesibilidad impuesto por la doctrina del TEDH.

III. Conclusiones

∘ La LECRIM (LA LEY 1/1882) afronta con solvencia la mayor parte de los retos a los que nos somete el EKINDZHIEV test; pero hay determinados aspectos que se hacen merecedores de una reconsideración, cuando menos a nivel interpretativo.
∘ A falta de una jurisprudencia que pudiera dar forma a necesidades regulatorias propias de su diseño y ejecución, sí podría peligrar el supuesto de empleo de herramientas de hacking policial para llevar a efecto los actos de injerencia.
∘ También sería necesaria una profunda reflexión sobre la actual regulación del acceso ocasional, como consecuencia de un acto de injerencia, a conversaciones entre letrados y sus clientes sometidas a secreto profesional.
∘ Ídem una regulación más detallada de supuestos y garantías procesales en cuanto al régimen de suspensión de la puesta en conocimiento de la existencia de medidas de injerencia para evitar el riesgo de desvelo de futuras investigaciones.
∘ La posibilidad de acceso, sin necesidad de previa autorización judicial, por parte de Policía Judicial y Ministerio Fiscal, a información sobre datos de identidad ex art. 588 ter m de la LECRIM (LA LEY 1/1882), debería ser objeto de reconsideración. La innovación que supone el art. 7.1 de la LO 7/2021 (LA LEY 11831/2021), como garantía de supervisión por autoridad judicial, podría suplir tal déficit de control externo predicable de aquellos supuestos en los que los procedimientos de investigación realizados por una y otro en que se hubieran emitido órdenes de cesión de tales datos no llegaran finalmente a conocimiento de la autoridad judicial, como consecuencia del carácter infructuoso de la investigación. Pero adolecemos en este momento de protocolos de actuación que impongan, garanticen, el conocimiento judicial de tales supuestos a los efectos de poder verificar un control externo efectivo de tales decisiones.

Que haya otros motivos de preocupación en la actual regulación, no afectados por los pronunciamientos de la STEDH de 11 de enero de 2022 (LA LEY 79759/2022), por supuesto que sí. Pero serán motivo de estudio en ulteriores trabajos, fuera de los límites marcados por el EKIMDZHIEV test.

Volver a página de inicio

Volver a página de inicio