Delitos 2.0: Aspectos penales, procesales y de seguridad de los ciberdelitos [1 ed.] 8490207437, 9788490207437

Este libro aborda la problemática de los «ciberdelitos», los delitos 2.0, que constituyen una nueva generación de infrac

170 31 3MB

Spanish; Castilian Pages [558] Year 2018

Report DMCA / Copyright

DOWNLOAD PDF FILE

Table of contents :
Autor
Abreviaturas
Prólogo
Capítulo I Introducción
Capítulo II Del delito informático al ciberdelito
Capítulo III Los problemas jurídico-penales de la ciberdelincuencia
1. UN NUEVO GRUPO DE DELINCUENTES CIBERNÉTICOS
2. PROBLEMAS DE PERSECUCIÓN (I): EL ANONIMATO
3. PROBLEMAS DE PERSECUCIÓN (II): DELITOS A DISTANCIA Y COMPETENCIA TERRITORIAL
4. OTROS PROBLEMAS
Capítulo IV Derecho comparado, internacional y europeo
1. DERECHO COMPARADO
2. DERECHO INTERNACIONAL
3. EL CONVENIO DE BUDAPEST SOBRE LA CIBERDELINCUENCIA
4. DERECHO DE LA UNIÓN EUROPEA
Capítulo V Su tratamiento en el Derecho penal español
Capítulo VI Ciberdelitos contra la intimidad y el derecho a la propia imagen
1. DESCUBRIMIENTO Y REVELACIÓN DE SECRETOS
2. INTRUSISMO INFORMÁTICO E INTERCEPTACIÓN DE LAS COMUNICACIONES (HACKING)
3. UTILIZACIÓN NO AUTORIZADA DE IMÁGENES PREVIAMENTE OBTENIDAS CON EL CONSENTIMIENTO DE LA VÍCTIMA EN UN LUGAR PRIVADO (SEXTING Y REVENGE PORN)
4. CAUSAS DE JUSTIFICACIÓN
Capítulo VII Ciberdelitos de daños y sabotajes (cracking)
1. DAÑOS INFORMÁTICOS Y SABOTAJES (CRACKING)
2. OBSTACULIZACIÓN O INTERRUPCIÓN DE UN SISTEMA INFORMÁTICO
3. DELITO DE FACILITACIÓN DE HERRAMIENTAS INFORMÁTICAS DAÑINAS
Capítulo VIII Ciberdelitos contra el patrimonio
1. ESTAFA
2. ABUSO DE SISTEMAS INFORMÁTICOS (PHREAKING)
Capítulo IX Ciberdelitos contra el honor y la libertad personal
1. CALUMNIAS E INJURIAS
2. CIBERACOSO (CYBERSTALKING)
Capítulo X Ciberdelitos contra la libertad e indemnidad sexuales
1. PORNOGRAFÍA INFANTIL
2. DELITO DE ACERCAMIENTO Y EMBAUCAMIENTO POR MEDIO DE TECNOLOGÍAS DE LA COMUNICACIÓN (CHILDGROOMING)
Capítulo XI Ciberdelitos contra la propiedad intelectual y derechos conexos
1. DELITOS CONTRA LA PROPIEDAD INTELECTUAL
2. PÁGINAS WEB DE ENLACES
3. SUPRESIÓN DE LAS MEDIDAS DE PROTECCIÓN
Capítulo XII Ciberterrorismo
1. DELITOS DE TERRORISMO
2. CIBERTERRORISMO
Capítulo XIII Aspectos procesales y policiales
1. DISPOSICIONES COMUNES A LOS NUEVOS ACTOS DE INVESTIGACIÓN TECNOLÓGICA
2. FUERZAS Y CUERPOS DE SEGURIDAD ESPECIALIZADOS
3. LÍNEAS DE EVOLUCIÓN FUTURA
Capítulo XIV Las distintas medidas de investigación tecnológica para los ciberdelitos
1. LAS DILIGENCIAS DE INVESTIGACIÓN TECNOLÓGICA EN PARTICULAR
2. MEDIDAS DE ASEGURAMIENTO
Capítulo XV Ciberseguridad
1. DERECHO EUROPEO
2. DERECHO ESPAÑOL
Capítulo XVI La responsabilidad de los proveedores y plataformas de Internet
1. RÉGIMEN LEGAL
2. RÉGIMEN DE EXCLUSIÓN DE RESPONSABILIDAD DE LOS INTERMEDIARIOS
3. PROHIBICIÓN DE IMPONER OBLIGACIONES GENERALES DE SUPERVISIÓN
4. EVOLUCIÓN FUTURA
Conclusiones
Anexo
Bibliografía
Recommend Papers

Delitos 2.0: Aspectos penales, procesales y de seguridad de los ciberdelitos [1 ed.]
 8490207437, 9788490207437

  • 0 0 0
  • Like this paper and download? You can publish your own PDF file online for free in a few minutes! Sign Up
File loading please wait...
Citation preview

Delitos 2.0 Aspectos penales, procesales y de seguridad de los ciberdelitos Moisés Barrio Andrés

© Moisés Barrio Andrés, 2018 © Wolters Kluwer España, S.A.   Wolters Kluwer C/ Collado Mediano, 9 28231 Las Rozas (Madrid) Tel: 902 250 500 – Fax: 902 250 502 e-mail: [email protected] http://www.wolterskluwer.es   Primera edición: septiembre 2018   Depósito Legal: M-23756-2018 ISBN versión impresa: 978-84-9020-743-7 ISBN versión electrónica: 978-84-9020-744-4   Diseño, Preimpresión e Impresión: Wolters Kluwer España, S.A. Printed in Spain  

© Wolters Kluwer España, S.A. Todos los derechos reservados. A los efectos del art. 32 del Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba la Ley de Propiedad Intelectual, Wolters Kluwer España, S.A., se opone expresamente a cualquier utilización del contenido de esta publicación sin su expresa autorización, lo cual incluye especialmente cualquier reproducción, modificación, registro, copia, explotación, distribución, comunicación, transmisión, envío, reutilización, publicación, tratamiento o cualquier otra utilización total o parcial en cualquier modo, medio o formato de esta publicación. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización de sus titulares, salvo excepción prevista por la Ley. Diríjase a Cedro (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra. El editor y los autores no aceptarán responsabilidades por las posibles consecuencias ocasionadas a las personas naturales o jurídicas que actúen o dejen de actuar como resultado de alguna información contenida en esta publicación.

Nota de la Editorial: El texto de las resoluciones judiciales contenido en las publicaciones y productos de Wolters Kluwer España, S.A., es suministrado por el Centro de Documentación Judicial del Consejo General del Poder Judicial (Cendoj), excepto aquellas que puntualmente nos han sido proporcionadas por parte de los gabinetes de comunicación de los órganos judiciales colegiados. El Cendoj es el único organismo legalmente facultado para la recopilación de dichas resoluciones. El tratamiento de los datos de carácter personal contenidos en dichas resoluciones es realizado directamente por el citado organismo, desde julio de 2003, con sus propios criterios en cumplimiento de la normativa vigente sobre el particular, siendo por tanto de su exclusiva responsabilidad cualquier error o incidencia en esta materia.

Delitos 2.0 Aspectos penales, procesales y de seguridad de los ciberdelitos Moisés Barrio Andrés Letrado del Consejo de Estado Profesor de Derecho Doctor en Derecho Árbitro y Abogado

A Roberto, cuya personalidad renacentista y curiosidad desbordante sugiere atinadas pautas de pensamiento

Abreviaturas AEAT

Agencia Estatal Tributaria.

de

Administración

AEPD

Agencia Datos.

de

Protección

AP

Audiencia Provincial.

BOE

Boletín Oficial del Estado.

CC

Código Civil.

CCN

Centro Criptológico Nacional.

CE

Constitución Española.

CEDH

Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales, hecho en Roma el 4 de noviembre de 1950.

CNPIC

Centro Nacional para la Protección de las Infraestructuras Críticas.

CP

Código Penal.

CPI

Comisión de Propiedad Intelectual.

Española

de

DCE

Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la Sociedad de la Información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico).

DNS

Domain Name System.

ENISA

Agencia Europea de Seguridad de las Redes y de la Información.

EUROPOL

Oficina Europea de Policía.

ICT

Vid. TIC.

INCIBE

Instituto Nacional de Ciberseguridad de España.

INTERPOL

Organización de Policía Internacional.

ISP

Proveedor de Internet.

LCDCE

Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

LEC

Ley de Enjuiciamiento Civil.

LECrim

Ley de Enjuiciamiento Criminal.

LGTel

Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.

LMPIC

Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

LOGP

Ley Orgánica 1/1979, de 26 septiembre, General Penitenciaria.

de

LOPJ

Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial.

LSN

Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.

LSSI

Ley 34/2002, de 11 de julio, de servicios de la Sociedad de la Información y de comercio electrónico.

ONU

Organización de las Naciones Unidas.

RGPDE

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

SAN/SSAN

Sentencia/s de la Audiencia Nacional.

SAP/SSAP

Sentencia/s de la Audiencia Provincial.

SJP

Sentencia del Juzgado de lo Penal.

STEDH/SSTEDH

Sentencia/s del Tribunal Europeo de Derechos Humanos.

STC/SSTC

Sentencia/s del Tribunal Constitucional.

STJUE/SSTJUE

Sentencia/s del Tribunal de Justicia de la Unión Europea.

STS/SSTS

Sentencia/s del Tribunal Supremo.

TC

Tribunal Constitucional.

TEDH

Tribunal Europeo de Derechos Humanos.

TFUE

Tratado de Funcionamiento de la Unión Europea.

TIC

Tecnologías de Comunicación.

TJUE

Tribunal de Justicia de la Unión Europea.

TRLPI

Texto refundido de la Ley de Propiedad Intelectual, aprobado por Real Decreto Legislativo 1/1996, de 12 de abril.

TS

Tribunal Supremo.

UE

Unión Europea.

UIT

Unión Internacional Telecomunicaciones.

la

Información

y

la

de

Prólogo Internet es, sin duda, la clave de bóveda de la Sociedad de la Información y desempeña un papel crucial en el desarrollo económico de nuestro tiempo. La popularización de la Red a escala global ha permitido la creación del «ciberespacio virtual», tal y como lo concibiera el autor que acuñó tal término, William GIBSON (1) , al haberse configurado de forma paralela al mundo físico un espacio comunicativo e interactivo que, sobre todo en la última década del siglo XX, ha modificado las relaciones económicas, políticas, sociales y, muy especialmente, las personales. Incluso ha surgido una nueva disciplina jurídica, el «Ciberderecho» o «Derecho de Internet» (Cyberlaw), para dar respuesta a las situaciones jurídicamente disruptivas que plantea Internet y que hemos analizado en otra obra reciente (2) . Algunos de los avances técnicos proporcionados por Internet pueden sintetizarse en la enorme facilidad y rapidez con la que se accede, copia, modifica y distribuye todo tipo de información, siempre a distancia y con posibilidad de ocultar la identidad real. Cada persona puede ser, a la vez, emisor y receptor de contenidos, fortaleciendo así libertades garantizadas constitucionalmente. Estas características han convertido a la Red en una herramienta insustituible para cualquier tipo de usuario (3) . En la actualidad, los sistemas informáticos (o de información) y

redes electrónicas (o telemáticas) resultan de extraordinaria importancia para todos los sujetos: desde administraciones públicas, prestadores de servicios públicos, empresas, entidades privadas hasta, por supuesto, los ciudadanos. En este sentido, la integración de Internet en prácticamente todas las actividades, tanto públicas como privadas, y el proceso de globalización que caracteriza la economía actual han permitido nuevas formas de organización de la producción y del comercio. También afecta al pleno ejercicio de los derechos fundamentales y las libertades de las personas. Tampoco debe olvidarse su utilización como forma de diversión, con las redes sociales y la web 2.0 como forma de interactuación social por antonomasia en un tiempo histórico en el que somos digitales. Lo anterior conduce a que, en casi todos los ámbitos de la vida, dependamos, de forma muy intensa, de las Tecnologías de la Información y la Comunicación (en adelante, TIC) (4) , concepto amplio, abierto y dinámico que engloba todos los elementos y sistemas utilizados en la actualidad para el tratamiento de la información, su intercambio y comunicación en el milenio digital (5) . Y, a medida que las redes de comunicaciones se hacen más convergentes y prestan mayores servicios, aumenta, de forma pareja, su vulnerabilidad, de modo que ambos factores —dependencia y vulnerabilidad— se han ido incrementando progresivamente desde los años 90 (6) . Por tanto, se trata de una tendencia que implica numerosas ventajas pero que también va acompañada de nuevos riesgos. En general, los riesgos generados por Internet pueden reconducirse a dos grandes categorías. En primer lugar, las amenazas sobre bienes jurídicos tradicionales cuya peculiaridad deriva del empleo de las ya no tan «nuevas» tecnologías y ahora tecnologías disruptivas. Así, por ejemplo, en la protección de la intimidad, los peligros

derivados de la utilización de programas espía (sniffers), la monitorización digital (cookies, spyware), el control inconsentido por grandes corporaciones tecnológicas (el reciente escándalo protagonizado por Facebook y Cambridge Analytica), etc.; en el caso del patrimonio, de las técnicas de suplantación de identidad (phishing); en los supuestos de pornografía infantil, las nuevas formas de producción y distribución de material a través del uso de webcams, smartphones, plataformas P2P, etc.; y, por último, en la tutela de los derechos de propiedad intelectual, el especial impacto que ha tenido en los mismos la utilización de las plataformas P2P o las páginas web de enlaces, etc. En segundo lugar, los riesgos que pesan sobre las propias infraestructuras electrónicas cuando son atacadas con el objetivo de alterar o impedir el normal funcionamiento de los sistemas de información. Estos incidentes suelen ejemplificarse en conductas como el acceso no autorizado, la difusión de programas informáticos perjudiciales —en sus múltiples modalidades de virus, bombas lógicas, caballos de troya o gusanos (también todo ello referido con el término malware)— y los ataques intencionados de denegación de servicio (DDoS), que perturban los servicios ofrecidos por Internet y pueden causar daños a las entidades que cuentan con un portal propio desde el cual realizan operaciones con sus clientes y usuarios. En la actualidad, y a modo de muestra, el informe anual de ciberseguridad de Cisco de 2017, basado en una encuesta a casi 3.000 profesionales de 15 países, señala que un 29% de las organizaciones sufrieron pérdidas de ingresos causadas por ciberataques, con perjuicios superiores al 20% de los ingresos en un 38% de los casos, siendo estas cifras significativamente superiores a las de los informes de años precedentes. En España, la gestión de ciberataques llevada a cabo por el equipo de respuesta a

incidentes de ciberseguridad (7) CERTSI, el CERT de Seguridad e Industria del Instituto Nacional de Ciberseguridad (INCIBE), pasó de unos 18.000 en 2014 a 50.000 en 2015, a cerca de 107.000 en 2016 y a más de 122.000 en 2017, de los cuales el 95% afectó a empresas y ciudadanos, un 4,5% a la Red Académica y de Investigación Española (RedIRIS) y un 0,72% a operadores de infraestructuras críticas (8) . Entre los incidentes de mayor repercusión, en el último año han tomado especial protagonismo los ciberataques con programas de tipo ramsonware, que secuestran la información de los usuarios (por ejemplo, cifrando sus discos duros) solicitando a continuación un rescate para su recuperación. Estas infecciones se propagan en correos electrónicos que suplantan a usuarios legítimos (phishing), o incluso alterando sitos web legítimos (defacement) que contagian a los internautas que los visitan. Habiéndose originado Internet en los Estados Unidos (9) , fueron sus tribunales quienes primero van a enjuiciar los incipientes ciberdelitos y sus particulares consecuencias a principios de 1990. Así, en United States v. Morris (10) , el acusado, un estudiante de ingeniería informática de la Universidad de Cornell, creó un virus diseñado para infectar Internet con el propósito de demostrar las insuficiencias de las medidas de seguridad en las redes electrónicas. Su programa informático funcionó increíblemente bien, y pese a los intentos del acusado de detener la propagación del virus, éste causó daños importantes a ordenadores de todo el país pertenecientes a instituciones académicas, militares y comerciales. Robert Morris fue condenado en primera instancia en virtud de la Computer Fraud and Abuse Act de 1986 (11) (CFAA), condena que fue confirmada en apelación. Más recientemente, el 12 de mayo de 2017 asistimos a un ataque informático de alto impacto cometido a través del virus WannaCry (o WanaCrypt0r 2.0) que afectó a más de

300.000 equipos informáticos en 150 países del mundo. El virus —o, más precisamente, un ransomware— aprovechó una vulnerabilidad del sistema operativo Windows para contagiar sistemas informáticos vulnerables y propagarse posteriormente a otros elementos de esos mismos sistemas de información. El efecto fundamental del ataque fue la encriptación y posterior secuestro de la información alojada en los sistemas violentados para cuya liberación los ciberdelincuentes reclamaban el pago de determinadas cantidades de dinero, pagaderas en moneda virtual. En el ciberataque resultaron afectados, entre otros, los sistemas informáticos de la red de hospitales públicos del Reino Unido y los de una pluralidad de empresas de distintos ámbitos geográficos, entre ellas las españolas Telefónica, Iberdrola y Gas Madrid. Pues bien, pocas semanas después, el 27 de junio, de nuevo se produjo otro ciberataque de carácter transnacional y también de fuerte impacto, originado esta vez por otro ransomware llamado Petya, más sofisticado que el anterior y dirigido contra operadores del sector público y también de telecomunicaciones y energía. En esta segunda ocasión la incidencia en España fue mínima, alcanzando únicamente a algunas filiales de empresas con sede en otros países de la Unión Europea. De este modo, en el momento presente asistimos a un momento álgido de la criminalidad en el ciberespacio, tanto en sentido cuantitativo dado el creciente uso de Internet en todo el mundo y por todo el mundo, como cualitativo al aparecer flamantes formas de delincuencia relacionadas con los nuevos servicios y usos surgidos en el ecosistema digital. Así, como ha estudiado en nuestra doctrina MIRÓ LLINARES (12) , la evolución del cibercrimen también conlleva una evolución en sus protagonistas esenciales, los criminales y las víctimas: del ya mítico hacker estereotipado en el adolescente introvertido y con

problemas de sociabilidad, encerrado en su casa y convertido en el primer ciberespacio en un genio informático capaz de lograr la guerra entre dos superpotencias usando sólo su ordenador, hemos pasado a las mafias organizadas de cibercriminales que aprovechan este nuevo ámbito para aumentar sus actividades ilícitas y sus recursos. Y al no ser los ciberdelitos solamente los realizados con ánimo económico, también varían los perfiles de cibercriminales que cometen delitos, que ya no son únicamente réplicas en el ciberespacio de los que ejecutarían en el espacio físico. Y lo mismo ocurre con las víctimas. Las personas jurídicas siguen siendo objeto de victimización debido tanto al uso generalizado de las TIC en ellas como a sus recursos económicos objeto de deseo por los cibercriminales. No obstante, muchas suelen ocultar los ciberdelitos que padecen. La actitud poco favorable a la denuncia se debe al temor de que la trascendencia del hecho se traduzca en una suerte de descrédito de la fiabilidad de la gestión de la propia entidad (que, en este ámbito, se ciñe a una pérdida de confianza en sus sistemas de seguridad) y de su prestigio (por ejemplo, caso Yahoo, caso Equifax, caso Facebook...), así como a las posibles repercusiones por responsabilidad civil y protección de datos. De este modo, a fin de evitar mayores pérdidas, prefieren «resolver» el problema internamente. Pero la aparición de los ciberdelitos sociales convierte a cualquier ciudadano que se relacione en Internet, que interactúe con otros, envíe mensajes, charle en foros o comparta sus fotos por ejemplo en redes sociales, en objeto de un posible ciberataque personal a su honor, intimidad, libertad sexual o similares bienes jurídicos. Y lo mismo sucede con otras instituciones públicas estatales o supranacionales en relación con los ciberdelitos políticos o ideológicos cometidos con intención de desestabilizar un Estado o de difundir un determinado mensaje político

aprovechando las posibilidades de comunicación masiva que ofrece el ciberespacio: la ciberguerra, el hacktivismo o el ciberterrorismo han convertido a las infraestructuras tecnológicas de los estados y los operadores de servicios esenciales en objetivo prioritario de ataques de denegación de servicio (DDoS), de infecciones de malware (categoría que, como hemos indicado, engloba todo tipo de software malicioso) u otros que pueden llegar, como ha sucedido, a paralizar la actividad de importantes instituciones de un país (13) . En cualquier caso, las diversas manifestaciones de conductas delictivas vinculadas a las tecnologías cibernéticas, cuyo rasgo definitorio y diferenciador es el de realizarse en otro espacio distinto a aquél en el que siempre se habían ejecutado las infracciones penales, han planteado importantes retos y desafíos jurídicos, frente a los cuales ya se han promulgado respuestas normativas, de ámbito estatal, europeo e internacional. Ahora bien, la ciberdelincuencia conforma una delincuencia amplia, variada y cambiante, que ni puede asociarse a una concreta tecnología o a un específico grupo de sujetos, ni limitarse a un preciso sector de la actividad social. Y es ese ámbito y su carácter innovador y mutante lo que determina una problemática particular de la misma que va a ser objeto de atención en esta obra, brindando especial atención a las novedades y cambios introducidos por la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, así como a la más reciente jurisprudencia. De este modo, se analizan en profundidad los delitos de descubrimiento y revelación de secretos, el intrusismo e interceptación de las comunicaciones (hacking), la protección de la intimidad, la protección de datos y el derecho a la propia imagen, la utilización no autorizada de imágenes previamente obtenidas con consentimiento en un

lugar privado (sexting y revenge porn), los daños informáticos y sabotajes (cracking), la obstaculización o interrupción de un sistema informático, los fraudes y estafas a través de Internet, el abuso de sistemas informáticos (phreaking), las calumnias e injurias en la Red, el ciberacoso (cyberstalking), la pornografía infantil, el acercamiento y embaucamiento de menores (childgrooming), los delitos contra la propiedad intelectual y el ciberterrorismo. Asimismo, la obra examina las nuevas medidas de investigación tecnológica que ha incorporado la Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica. Finalmente, también se exponen los aspectos de ciberseguridad dado que, en último término, los derechos individuales no pueden protegerse si no es a través de redes y sistemas seguros. A la postre, sólo mediante una comprensión global del fenómeno que identifique los caracteres comunes del evento criminal cometido en Internet podremos mejorar la prevención de «la delincuencia del siglo XXI». Madrid-Burgo de Osma (Soria), junio de 2018 Moisés Barrio Andrés Letrado del Consejo de Estado Profesor de Derecho Doctor en Derecho Árbitro y Abogado www.moisesbarrio.es [email protected]

(1)

El prefijo cyber proviene, a su vez, del término cyberspace creado por el novelista de ciencia ficción William GIBSON y su obra Neuromancer (Editorial AceBooks, Nueva York, 1984), en la que el autor describe una sociedad tecnológicamente avanzada donde las personas viven en un mundo virtual separado del mundo real. Ver Texto

(2)

Vid. BARRIO ANDRÉS, Moisés, Ciberderecho. Bases estructurales, modelos de regulación e instituciones de gobernanza de Internet, Editorial Tirant lo Blanch, Valencia, 2018. Ver Texto

(3)

La doctrina destaca, unánimemente, la afectación transversal de Internet. Vid., al respecto, entre otros: BRENNER, Susan, Cybercrime and evolving threats from cyberspace, Editorial Praeger Publishers Inc, Toronto, 2018, 2ª edición; ASENCIO MELLADO, José María (dir), Justicia penal y nuevas formas de delincuencia, Editorial Tirant lo Blanch, Valencia, 2017; CLOUGH, Jonathan, Principles of Cybercrime, Editorial Cambridge University Press, Cambridge, 2015, 2ª edición; HILGENDORF, Eric; FRANK, Thomas y VALERIUS, Brian, Computerund Internetstrafrecht: Ein Grundriss, Editorial Springer, Berlín, 2005; BARRIO ANDRÉS, Moisés, «Criminalidad e Internet: Retos del Siglo XXI», en Sentencias de TSJ y AP y otros Tribunales, No 15, 2003; MORALES PRATS, Fermín, «Internet: riesgos para la intimidad», en Cuadernos de Derecho Judicial, No 10, 2001, pág. 70; MATELLANES RODRÍGUEZ, Nuria, «Algunas notas sobre las formas de delincuencia informática en el Código Penal», en SÁNCHEZ LÓPEZ, Virginia (coord.), Hacia un Derecho Penal sin fronteras. Editorial Colex, Madrid, 2000, pág. 129; o MORÓN LERMA, Esther, Internet y Derecho Penal: Hacking y otras conductas ilícitas en la Red, Editorial Aranzadi, Pamplona, 1999. Ver Texto

(4)

Así, ROVIRA DEL CANTO advierte que sin las TIC las sociedades actuales se colapsarían, generándose lo que se conoce como la computer dependency: ROVIRA DEL CANTO, Enrique, Delincuencia informática y fraudes informáticos, Editorial Comares, Granada, 2002, pág. 9. Ver Texto

(5)

En inglés el acrónimo utilizado es ICT, correspondiente a las siglas de «Information and Communications Technology». No existe una lista cerrada de elementos que configuran las TIC, sino que se incluyen en ella no sólo los que conforman los modos actuales de tratamiento y transmisión de la información, sino también los futuros. En todo caso, se engloban dentro de las TIC tanto las redes (entre las cuales destaca Internet pero también comprende las de telefonía móvil y otras redes electrónicas), como los equipos terminales (entre los que predominan los ordenadores personales, pero también ya son gran vehículo de comunicación los smartphones, las tabletas o las consolas) y los servicios, entre los que sobresalen la descarga de archivos —directa, mediante redes P2P o su visualización directa en streaming—, el comercio electrónico, la banca electrónica, la realización electrónica de actividades relacionadas con la Administración Pública y, cada vez más, las redes sociales. Ver Texto

(6)

Vid. WALL, David, Cybercrime: the transformation of crime in the Information Age, Editorial Polity Press, Cambridge, 2007. Entre nosotros, RODRÍGUEZ MOURULLO, Gonzalo; ALONSO GALLO, Jaime y LASCURAIN SÁNCHEZ, Juan Antonio, «Derecho Penal e Internet», en AA.VV., Régimen jurídico de Internet, Editorial La Ley, Madrid, 2002, pág. 257. Ver Texto

(7)

Los CSIRT (Computer Security Incident Response Team) son los equipos de respuesta a incidentes que monitorizan las redes para detectar posibles incidentes, difundir alertas sobre ellos y aportar soluciones para mitigar sus efectos. El término CSIRT es el usado comúnmente en Europa, en

lugar del término CERT (Computer Emergency Response Team) empleado en Estados Unidos. Ver Texto

(8)

En esta dirección puede consultarse el mapa de impacto en España de ciberataques en tiempo real: https://www.certsi.es/respuesta-incidentes/nivel-impactoespana Ver Texto

(9)

Vid., al respecto, BARRIO ANDRÉS, Moisés, Fundamentos del Derecho de Internet, Editorial Centro de Estudios Políticos y Constitucionales, Madrid, 2017, pág. 55 y ss. Ver Texto

(10) 928 F.2d 504, 505 (2d Cir. 1991). Ver Texto

(11) 18 U.S.C. § 1030. Ver Texto

(12) MIRÓ LLINARES, Fernando, El cibercrimen: fenomenología y criminología de la delincuencia en el ciberespacio, Editorial Marcial Pons, Madrid, 2012, pág. 27 y ss. Ver Texto

(13) Vid. BARRIO ANDRÉS, Moisés, Internet de las Cosas, Editorial Reus, Madrid, 2018, pág. 111 y ss. Ver Texto

Capítulo I  Introducción Con la publicación de la obra de BECK (1) se identifica la nueva sociedad postindustrial de nuestro tiempo como una «sociedad del riesgo» (2) . El extraordinario avance de los medios tecnológicos y técnicos, en particular las apuntadas TIC vinculadas a la informática e Internet, y ahora a las tecnologías disruptivas (3) como el blockchain, la robótica o la inteligencia artificial, ha tenido y sigue teniendo repercusiones directas en un incremento del bienestar individual. Pero, a su vez, semejante progreso social conlleva un coste de signo negativo: el funcionamiento de esos medios técnicos es el elemento originador de una elevación, en número y entidad, de los factores de riesgo en nuestra sociedad. Este mayor nivel de riesgo se mide no solo por la aparición de nuevos focos desencadenantes del mismo, sino también por la mayor capacidad de proyección de los futuros daños, sobre un colectivo de ciudadanos cada vez más grande. La presencia de todos estos riesgos, como coste aparejado indisolublemente a la evolución científica y tecnológica, ha determinado que éstos se constituyan en pieza estructural de la sociedad actual, como elemento que la define y la identifica.

Por su parte, Internet presenta una peculiaridad adicional. Dado su carácter descentralizado, no es posible que un organismo dirija y gestione la Red. Su funcionamiento es consecuencia del empleo, por una gran cantidad de operadores de sistemas informáticos y de redes de telecomunicaciones (o de comunicaciones electrónicas, como ahora las denomina el Derecho de la Unión Europea), de unos protocolos y arquitecturas comunes; esto es, de un mismo conjunto de convenciones relativas a la transmisión de datos e interoperabilidad de los sistemas tal y como hemos expuesto con detalle en nuestros Fundamentos del Derecho de Internet (4) . Estos atributos propios de Internet originan dificultades de aplicación y adaptación del Derecho, poniendo en tela de juicio incluso la misma soberanía de los estados (5) , siendo los más relevantes los que se citan a continuación: su estructura descentralizada, la deslocalización de los participantes, su aptitud como medio de publicación de alcance universal y, en fin, la internacionalidad inherente a las actividades en la Red. De este modo, el carácter transfronterizo y mundial propio de Internet exige un refuerzo de la cooperación internacional, así como la coordinación y compatibilidad de las normas estatales sobre las actividades desarrolladas en Internet, que es la base necesaria para una sucesiva armonización de los ordenamientos jurídicos nacionales. Esta es la senda jurídica a transitar, no exenta de complejidad, habida cuenta que el Derecho de Internet o Ciberderecho debe tener estructura en red y ser multipolar, mediante la participación de instancias internacionales, estatales y locales, así como de organizaciones privadas (6) .

Asimismo, la actividad delictiva en la Red adopta muchas formas diferentes y cambiantes, que analizaremos a lo largo de esta obra. Se roban identidades, se asaltan sistemas informáticos, se comercia ilícitamente con software, se intercambia pornografía infantil, o se blanquea dinero. Las estafas, las botnets y los keyloggers, el hacking, el

cracking, el phishing, el fraude con tarjetas de crédito, el espionaje y los delitos políticos han marcado el comienzo de este siglo y se inventan constantemente planes criminales cada vez más sofisticados, incluyendo ahora las innovaciones tecnológicas de la encriptación, la computación en la nube (cloud computing) o la inteligencia artificial. Los autores son numerosos y están repartidos por todo el mundo. El costo de esta actividad se mide en cientos de miles de millones de dólares anuales (7) , concretamente en 2017 su impacto ha sido de 600.000 millones de dólares (cerca de 500.000 millones de euros), lo que supone el 0.8 por ciento del PIB mundial, cifra que es notablemente superior a la registrada en 2014, que ascendía entonces a los 445.000 millones de dólares, y es probable que las cifras se incrementen a medida que aumente el número de usuarios de Internet, especialmente en el mundo en desarrollo. Así las cosas, la expansión y generalización de Internet ha provocado, a la vez, una aparición de un elenco de actividades nocivas para los ciudadanos, algunas de las cuales producen la lesión de bienes jurídicos relevantes protegidos por el Derecho penal (8) . Por lo general, un número importante de estas actividades constituye una peculiar adaptación al espacio virtual de conductas lesivas más o menos clásicas desde la perspectiva penal, para cuya ejecución se aprovecha ahora la viralidad y globalidad de este canal de comunicación digital (como ocurre, por ejemplo, con las estafas). Ahora bien, Internet ha convertido de igual forma una serie de conductas residuales en hechos delictivos masivos, como sucede con la pornografía infantil, habiendo sacado a la luz una ingente demanda de este tipo de materiales. También debe apuntarse cómo la intranquilidad generada por un avance tecnológico tan notable como es Internet y la influencia de una opinión pública, en ocasiones muy alarmada, han

contribuido a que se haya generalizado una creciente sensación social de amenaza o de inseguridad en un momento de progreso y de primado indiscutible de las TIC, que, sin embargo, pueden ser utilizadas por delincuentes y, en esa medida, quedar al servicio de fines criminales (9) .

El Derecho penal y procesal penal clásico, así como los principios garantistas inherentes a ambos, han sido construidos, en esencia, sobre la base de un modelo de delincuencia física, marginal e individual. Sin embargo, la aparición de la informática primero, de Internet después y ahora de las tecnologías disruptivas (10) ha resquebrajado este paradigma, al tiempo que los distintos organismos encargados de su represión se han ido enfrentando a un cauce de ejecución criminal capaz de cuestionar muchos de los principios tradicionales de la investigación penal (11) . Para dar remedio a este desafío, un sector doctrinal ha intentado dar respuesta al mismo, no sin controversia, mediante las categorías de «delito informático» primero y «delito cibernético» o «ciberdelito» después, que analizaremos en el próximo capítulo.

(1)

BECK, Ulrich, La sociedad del riesgo: hacia una nueva modernidad, Editorial Planeta, Barcelona, 1998. Más recientemente, el autor ha vuelto sobre sus postulados en un nuevo libro: BECK, Ulrich, La metamorfosis del mundo, Editorial Paidós, Barcelona, 2017. Ver Texto

(2)

Y se caracteriza, según el citado autor, porque: a) los riesgos no son limitables espacial, temporal y socialmente (en cuanto al ámbito de afectados); b) no son imputables según las vigentes reglas de la causalidad, culpabilidad y responsabilidad; y c) no pueden ser compensados ni

asegurados. Cfr. BECK, Ulrich, La sociedad del riesgo..., op. cit., pág. 19 y ss. Ver Texto

(3)

Vid. BARRIO ANDRÉS, Moisés (dir.), Derecho de los Robots, Editorial Wolters Kluwer, Madrid, 2018. Ver Texto

(4)

BARRIO ANDRÉS, Moisés, Fundamentos del Derecho de Internet, Editorial Centro de Estudios Políticos y Constitucionales, Madrid, 2017, en especial sus capítulos I y II. Ver Texto

(5)

BARRIO ANDRÉS, Moisés, Ciberderecho. Bases estructurales, modelos de regulación e instituciones de gobernanza de Internet, Editorial Tirant lo Blanch, Valencia, 2018, pág. 26 y ss. Ver Texto

(6)

MUÑOZ MACHADO, Santiago, La regulación de la Red. Poder y Derecho en Internet, Editorial Taurus, Madrid, 2000, pág. 42. Ver Texto

(7)

Vid. el «2018 Internet Security Threat Report de Symantec» y disponible en https://www.symantec.com/securitycenter/threat-report Ver Texto

(8)

A los efectos del Derecho penal, existen determinadas técnicas y modos de proceder cibernéticos constitutivos de ilícito penal (por ejemplo, acceso inconsentido a un sistema informático, interceptación ilícita de comunicaciones, daños en el sistema, prácticas de phising, ataques de denegación de servicio –DDoS–, abuso de dispositivos, fraude informático, etc.) y también ciertos contenidos cuya vulneración se ve facilitada por el medio Internet (v. gr. delitos de pornografía infantil, contra la propiedad intelectual e industrial o revelación de datos personales). Ver Texto

(9)

En este sentido, para un amplio análisis sobre la necesaria puesta en relación de dicha sensación social de inseguridad frente al delito con el modo de proceder de los medios de comunicación, vid. SILVA SÁNCHEZ, Jesús María, La expansión del Derecho Penal, Editorial Aranzadi, Navarra, 2001, pág. 37 y ss. Ver Texto

(10) Fue CHRISTENSEN quién primero acuñó la expresión disruptive technologies en 1997 para referirse a aquellas tecnologías que exigen un cambio radical respecto al pasado para comenzar una nueva etapa casi desde cero. Se trata de tecnologías de evolución no gradual, sino «rupturista», donde se incluyen el blockchain, la robótica y la inteligencia artificial, el cloud computing, el big data, las ciudades inteligentes, la impresión 3D, los coches autónomos o las redes sociales. Cfr. CHRISTENSEN, Clayton, The innovator’s dilemma: when new technologies cause great firms to fail, Editorial Harvard Business Review Press, Boston, 1997. Ver Texto

(11) Para una visión general, vid. LEUKFELDT, Rutger, Cybercriminal networks: origin, groth and criminal capabilities, Editorial Eleven International Publishing, La Haya, 2017. Entre nosotros, por ejemplo CORCOY BIDASOLO, Mirentxu, «Problemática de la persecución penal de los denominados delitos informáticos: particular referencia a la participación criminal y al ámbito espacio temporal de comisión de los hechos», en Eguzkilore: Cuaderno del Instituto Vasco de Criminología, No 21, 2007. Ver Texto

Capítulo II  Del delito informático al ciberdelito A finales de los ochenta del siglo pasado, algunos autores (CAMACHO LOSA (1) , GARCÍA MORENO (2) o RAMOS PORTERO (3) ) empezaron a defender en España la autonomía de un pretendido «delito informático» (4) , denominación importada del término anglosajón computer crime (5) y siguiendo los trabajos de SIEBER, aun cuando la legislación penal española no contemplaba ningún ilícito en materia tecnológica, para referirse a un conjunto de infracciones —tales como la estafa informática, el hacking o acceso ilícito a sistemas informáticos, el cracking o daños informáticos, el hurto de servicios informáticos, el espionaje informático o, en fin, la piratería informática de obras del ingenio— que trataban de responder a una fenomenología de comportamientos caracterizados por la utilización de sistemas informáticos o por realizarse sobre los mismos (6) . Así, se quería destacar una nueva forma de criminalidad asociada al uso de las incipientes redes telemáticas (ahora denominadas redes electrónicas) o bien contra los propios sistemas, programas y datos informáticos (Computerkriminalität), que si bien en algunos casos representaban nuevas modalidades de conductas antijurídicas ya conocidas (como la estafa), en otros supuestos era necesario ampliar o reformular los extremos

del tipo penal para abarcar esta novedosa forma de criminalidad informática (así ocurría, por ejemplo, en el caso del hacking o del cracking). A juicio de esta dirección doctrinal, el funcionamiento de los sistemas informáticos y la trascendencia de los procesos de almacenamiento, tratamiento y transmisión de datos se habían convertido en un nuevo interés social requerido de tutela penal, para lo cual debía acuñarse la nueva categoría del «delito informático». Sin embargo, tal expresión fue abandonada por la doctrina mayoritaria tras las críticas vertidas por CORREA en Italia o TIEDEMANN en Alemania (7) . Como sintetiza ROMEO CASABONA: «...en la literatura en lengua española se ha ido imponiendo la expresión de delito informático, que tiene la ventaja de su plasticidad, al relacionarlo directamente con la tecnología sobre o a través de la que actúa. Sin embargo en puridad no puede hablarse de un delito informático, sino de una pluralidad de delitos en los que nos encontramos, como única nota común, su vinculación de alguna manera con los ordenadores, pero ni el bien jurídico agredido es siempre de la misma naturaleza ni la forma de comisión del hecho —delictivo o merecedor de serlo— presenta siempre características semejantes». (8) En consecuencia, propone el citado autor el empleo de expresiones tales como «agresiones realizadas contra medios o sistemas informáticos, o a través de los mismos». Por su parte, GUTIÉRREZ FRANCÉS añade que «el sustantivo delito tiene significación específica para el penalista, que difiere de la que se otorga en el lenguaje coloquial, siendo precisa, al menos, su tipificación en la ley penal vigente» (9) . De este modo, han ido surgiendo expresiones alternativas como «criminalidad informática» o «delincuencia informática», según se quiera acentuar la vertiente criminológica o penal del fenómeno. En cambio, los defensores de esta figura argumentan, como resume DAVARA RODRÍGUEZ, que el «delito informático» es aquel en el que «la realización de una acción, que reuniendo las

características que delimitan el concepto de delito, sea llevada a cabo utilizando un elemento informático o vulnerando los derechos del titular de un elemento informático, ya sea hardware o software» (10) . Sin embargo, la doctrina mayoritaria objeta cómo lo que viene a poner de manifiesto esta corriente minoritaria es la comisión de acciones a través de elementos informáticos o vulnerando los mismos, sin aportar elementos privativos que sustantiven una nueva categoría penal.

En definitiva, según la doctrina mayoritaria no existiría una clase autónoma de «delitos informáticos». Esta categoría, o quizá mejor, la de «criminalidad informática» o «delincuencia informática» (11) , no definiría un bien jurídico protegido común a todos ellos, sino más bien un ámbito de riesgo, el que derivaba de la expansión social de la tecnología informática, común a muchos bienes jurídicos cuya tutela completa por parte del legislador parecía requerir, para sus defensores, una modificación de los tipos penales existentes para su adaptación a las nuevas realidades informáticas o la creación de tipos distintos que respondiesen a las nuevas necesidades de protección. Además, el Código Penal español de 1995 no introdujo el «delito informático», ni admitía que existiera como tal dicha figura. Sí que lo ha realizado la reforma de 2015, que en el nuevo artículo 127 bis.1.c) del CP señala como «delitos informáticos» los «de los apartados 2 y 3 del artículo 197 y artículo 264» del Código Penal. De ahí que hasta la fecha se ha venido empleando la terminología de «delincuencia informática», frente a la de «delitos informáticos» propiamente tales. Sentado lo anterior, sin embargo hoy sí resulta evidente la existencia de una ulterior generación (12) de delincuencia vinculada a las TIC: el «cibercrimen» (13) o «ciberdelincuencia», caracterizada por la utilización de Internet bien como entorno en el que son atacados los propios sistemas de información y redes electrónicas o sus

archivos y programas, bien como medio comisivo de múltiples actividades ilícitas. Es decir, los delitos 2.0. Y es que la delincuencia informática no anticipaba el peligro que conllevaría la generalización del uso de estas nuevas tecnologías y posibilidades que ha traído Internet. En concreto, en la raíz de este cambio de denominación está la evolución, desde una perspectiva criminológica, de los comportamientos ilícitos en la Red y la preocupación legal en relación con ellos: particularmente, el hecho de que pasara de ser el centro del riesgo la información del sistema informático, a serlo las mismas redes electrónicas a las que los sistemas empezaron a estar conectados y los intereses personales y sociales que se ponen en juego en las mismas dada su dependencia en casi todos los ámbitos actuales, ya sean individuales, empresariales o públicos. Además, esta categoría dogmática de la «ciberdelincuencia» ya cuenta con apoyo expreso en la propia legislación internacional (el Convenio sobre la Ciberdelincuencia de 2001 al que luego nos referiremos en detalle) y la diversa normativa europea (por ejemplo, la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra sistemas de información). Por tanto, debe distinguirse entre «delincuencia informática» y «delincuencia cibernética» o «ciberdelincuencia», caracterizándose la primera por ser perpetrada en sistemas informáticos, en los que las redes, de ser utilizadas eventualmente, tienen por lo general una relevancia bastante limitada o secundaria para las características de la conducta delictiva. En cambio, la segunda gira en torno a redes telemáticas o electrónicas (abiertas, cerradas o de acceso restringido), siendo en estos casos los sistemas informáticos más instrumentales o secundarios para la comisión del delito (14) . Además, todo lo que es cibernético o telemático es también, al mismo

tiempo, informático, mientras que no ocurre lo mismo en sentido inverso, siendo por tanto mucho más omnicomprensiva esta nueva categoría. A la postre, y como indica WALL (15) , estos delitos 2.0 están absolutamente determinados por el uso de Internet y de las TIC, y no se pueden cometer sin la existencia de Internet. No estamos ante un cibercrimen si, por ejemplo, se envía una carta que ha sido impresa utilizando un ordenador; sí, en cambio, cuando se amenaza a otro por medio del correo electrónico o de Facebook, o cuando el engaño constitutivo de la estafa se lleva a cabo utilizando este canal. Además, esta nueva generación de delitos ya no preocupan por tener como elemento característico el realizarse desde ordenadores, sino por el hecho de que tales sistemas de información están conectados en un ámbito de comunicación transnacional y universal, el ciberespacio, y porque es en este nuevo «lugar» en el que, desde cualquier espacio físico ubicado en cualquier Estado, se cometen infracciones que pueden afectar, en lugares distintos y simultáneamente, a bienes jurídicos tan importantes como la intimidad, la libertad y la indemnidad sexuales, el honor, la dignidad personal, el patrimonio, la seguridad del Estado o la libre competencia, entre otros muchos. Incluso, aparece el ciberdelito como servicio (CaaS), ya que los ciberdelitos constituyen también un mercado muy potente con gran variedad de prestaciones y herramientas que se ofrecen a aquellos interesados en cometer esta clase de ilícitos. Estas utilidades incluyen kits de exploits (fragmentos de software diseñados para explotar vulnerabilidades de seguridad en sistemas informáticos y obtener su control), malware personalizado, servicios de alquiler de botnets o programación de ransomware a medida, entre otros. Este mercado no sólo suministra tales herramientas para cometer ciberdelitos, sino que también

se contempla la venta de productos en bruto, es decir, de material que puede ser usado para futuras prácticas delictivas. Ejemplos de ello serían la venta de información sobre las vulnerabilidades del sistema informático de una empresa a un desarrollador de malware o la subasta de listas de direcciones de correo electrónico a un spammer. Otras veces se trata de alquilar la infraestructura para que otros ciberdelincuentes puedan cometer delitos a través de la misma, como sucede con el alquiler de botnets, que permite a los delincuentes que contraten este servicio acceder por un tiempo limitado a una red de ordenadores infectados para perpetrar en su seno actividades delictivas que pueden ir desde distribución masiva de spam hasta ataques DDoS. Se estima que una botnet que cueste alrededor de 60 dólares al día puede provocar daños a una empresa de hasta 580.000 euros, y los ciberdelincuentes que alquilan botnets tienen un margen de beneficio de incluso el 70%. Estas condiciones explican la creciente demanda de este servicio en los últimos años. A efectos terminológicos, y aunque el neologismo «cibercrimen» se ha considerado una expresión conceptualmente poco afortunada por algunos autores (16) , tanto éste como el de «ciberdelincuencia» ejemplifican las consecuencias que se derivan de la peculiaridad que constituye Internet como medio de comisión del hecho delictivo, y que ofrece contornos singulares y problemas propios, como por ejemplo la dificultad de precisar el lugar de comisión de tales ilícitos, indispensable para la determinación de la jurisdicción y competencia penal para su enjuiciamiento y aplicación de la correspondiente ley penal, los problemas para la localización y obtención de las pruebas de tales hechos delictivos, la insuficiente regulación legal de los ilícitos que pueden realizarse a través de la Red o de las diligencias procesales de investigación aplicables para el descubrimiento de los mismos —normativa

igualmente desbordada por el imparable avance de las innovaciones tecnológicas—, o, en fin, la significativa afectación que la investigación policial en Internet tiene sobre los derechos fundamentales de los ciudadanos. Nosotros utilizaremos indistintamente los términos «cibercrimen» o «ciberdelito» para referirnos genéricamente a todas aquellas conductas delictivas que se aprovechen de las comunicaciones electrónicas para la comisión de la conducta delictiva, esto es, para designar a todos aquellos delitos en donde el factor sustantivador reside, no ya en la utilización de sistemas informáticos, sino en el empleo de Internet y de las telecomunicaciones como elemento clave para la comisión delictiva (17) . Es decir, como ponen de relieve JEWKES y YAR (18) , el «ciberdelito» puede definirse como: «…cualquier ilícito penal cometido por medio de (o con asistencia de) sistemas informáticos, redes digitales, Internet y demás TIC.»

Por todo ello, el concepto de «ciberdelito» incluye tanto los delitos específicos de Internet (por ejemplo, el ataque de denegación distribuida de servicio, DDoS, al que después nos referiremos), como los delitos asistidos electrónicamente (los cyber-enabled crimes), es decir, delitos tradicionales cometidos a través de medios electrónicos (por ejemplo, las estafas), o aquéllos cuya comisión implica un aspecto electrónico significativo (como el ciberacoso). Una vez perfilada la noción de «ciberdelito», debemos ahora dirigir la atención, en el próximo capítulo, a los problemas jurídico-penales que suscita la ciberdelincuencia.

(1)

CAMACHO LOSA, Luis, Góndor, Madrid, 1987.

El

delito

informático,

Editorial Ver Texto

(2)

GARCÍA MORENO, Luis, «El delito informático», Revista Chip, año III. Ver Texto

(3)

RAMOS PORTERO, Ramón, «Los delitos informáticos», Revista Latinoamericana de Derecho Penal y Criminología, No 6, 1989, pág. 176 y ss. Ver Texto

(4)

El autor pionero en Europa fue, sin lugar a dudas, Ulrich SIEBER con sus primeras monografías Computerkriminalität und Strafrecht (Editorial Heymann, Köln, 1977) y The international handbook on computer crime: computerrelated economic crime and the infringements of privacy (Editorial John Wiley and Sons, Nueva York, 1986). En España, precursor en la materia fue Carlos ROMEO CASABONA con su monografía Poder informático y seguridad jurídica. La función tutelar del Derecho Penal ante las nuevas tecnologías de la información (Editorial Fundesco, Madrid, 1988), quien, sin embargo, ya se mostraba en esa obra bastante reacio a hablar de «delito informático». Ver Texto

(5)

Vid. PARKER, Don, Crime by Computer, Editorial Charles Scribner’s Sons, Nueva York, 1976. Ver Texto

(6)

Conforme a la clasificación que popularizó SIEBER en su Computerkriminalität und Strafrecht, op. cit., pág. 37 y ss. Sistematización similar es la que propugna TIEDEMANN, al diferenciar entre manipulaciones, hurto de tiempo, hurto de software, espionaje y sabotaje (TIEDEMANN, Klaus: Poder económico y delito, Editorial Ariel, Barcelona, 1985, pág. 122 y ss.). Ver Texto

É

(7)

Más en detalle, BARRIO ANDRÉS, Moisés, «Criminalidad e Internet: Retos del Siglo XXI», en Sentencias de TSJ y AP y otros Tribunales, No 15, 2003. Ver Texto

(8)

ROMEO CASABONA, Carlos, Poder informático y seguridad jurídica. La función tutelar del Derecho Penal ante las nuevas tecnologías de la información, Editorial Fundesco, Madrid, 1988, pág. 41. Ver Texto

(9)

GUTIÉRREZ FRANCÉS, María Luz, Fraude Informático y Estafa, Editorial Ministerio de Justicia, Madrid, 1991, pág. 12. Ver Texto

(10) DAVARA RODRÍGUEZ, Miguel Ángel, Derecho Informático, Editorial Aranzadi, Madrid, 1993, pág. 302. Ver Texto

(11) Sobre la cuestión terminológica, vid. HERNÁNDEZ DÍAZ, Leyre, «Aproximación a un concepto de Derecho Penal informático», en DE LA CUESTA ARZAMENDI, José Luis (dir.), Derecho Penal informático. Editorial Aranzadi, Navarra, 2010, pág. 35 y ss. Ver Texto

(12) ROMEO CASABONA, Carlos, «De los delitos informáticos al cibercrimen: una aproximación conceptual y políticocriminal», en ROMEO CASABONA, Carlos (coord.), El cibercrimen: nuevos retos jurídico-penales, nuevas respuestas político-criminales, Editorial Comares, Granada, 2006, pág. 8. También FERNÁNDEZ TERUELO, Javier Gustavo, Cibercrimen. Los delitos cometidos a través de Internet, Editorial Constitutio Criminales Carolina, Madrid, 2007, pág. 14 y ss.; MIRÓ LLINARES, op. cit., pág. 37; o GARCÍA MEXÍA, Pablo, Derechos y libertades, Internet y Tics, Editorial Tirant lo Blanch, Valencia, 2014. Ver Texto

(13) Vid, por ejemplo, GRABOSKY, Peter, Cybercrime, Editorial Oxford University Press, Londres, 2015; o THOMAS, Douglas y LOADER, Brian, Cybercrime. Law enforcement, security and surveillance in the information age, Editorial Routledge, Londres, 2000. Ver Texto

(14) ROMEO CASABONA, «De los delitos informáticos...», op. cit., pág. 10. Ver Texto

(15) WALL, David: Cybercrime, Editorial Polity Press, Cambridge, 2007, pág. 44 y ss. Ver Texto

(16) Así, se muestra en contra del mismo HERNÁNDEZ DÍAZ, op. cit., pág. 44 y ss. Ver Texto

(17) Un concepto amplio de lo que debe entenderse por «ciberdelito» lo encontramos, por ejemplo, en el Décimo Congreso de las Naciones Unidas sobre Prevención del Delito y Tratamiento del Delincuente (Viena, 10 a 17 de abril de 2000), en donde se declara que «por delito cibemético se entiende todo delito que puede cometerse por medio de un sistema o una red informáticos, en un sistema o una red informáticos o contra un sistema o una red informáticos». Ver Texto

(18) JEWKES, Yvonne y YAR, Majid, Handbook of Internet crime, Editorial Routledge, Nueva Work, 2013, pág. 105. Ver Texto

Capítulo III  Los problemas jurídico-penales de la ciberdelincuencia Internet, como hemos apuntado, reúne unas características peculiares (1) que la convierten en un medio idóneo para la comisión de muy distintas modalidades delictivas, resultando difícil establecer la autoría y el lugar de comisión del delito y, en consecuencia, la competencia para juzgar unos determinados hechos. Asimismo, estos delitos exigen disponer de cierto nivel de conocimientos técnicos, lo que determina que sus autores presenten rasgos específicos. Resulta necesario problemas.

estudiar

1. UN NUEVO GRUPO CIBERNÉTICOS

individualizadamente

DE

estos

DELINCUENTES

Una de las primeras tensiones (2) entre Derecho e Internet vino provocada precisamente por la figura de los hackers. En los orígenes de la Red, la noción de «hacker» alude a aquellos expertos informáticos que, como recuerda HIMANEM (3) , se autodefinían como «personas que se dedican a programar de forma entusiasta» y «creen que poner en común la información constituye un extraordinario bien, y que además para ellos es un deber de naturaleza

ética compartir su competencia y pericia elaborando software gratuito y facilitando el acceso a la información y a los recursos de computación siempre que ello sea posible» (4) . Así entendida, la ética hacker era la creencia de que compartir información es un bien poderoso y positivo. Hay un deber ético entre los hackers —se afirma— de poner en común su experiencia, escribiendo código abierto y facilitando el acceso a la información y los recursos informáticos, siempre que sea posible. Grandes redes como la misma Internet pueden funcionar sin control central por este pacto, en el que todos confían y que se refuerza con un sentido de comunidad, que podría ser su recurso intangible más valioso (5) . En definitiva, la primigenia (6) delincuencia en Internet era muy limitada, practicada por un conjunto de expertos que fundamentalmente actuaban movidos por una suerte de inquietud intelectual por el conocimiento de los insights del hardware y software, así como de la vulnerabilidad de los sistemas informáticos, y se mantenían muchas veces al borde de la legalidad, lo cual determinaba que la calificación jurídica y posterior enjuiciamiento penal resultaba a veces algo bastante comprometido, si no atípico. A grandes rasgos, se trataría de una persona de 14 a 19 años, de clase media, con alto nivel de inteligencia pero que suele estar excluido socialmente, lo que le lleva a relacionarse fundamentalmente con otros sujetos fascinados por la innovación tecnológica. En la actualidad, como señala LÓPEZ LÓPEZ (7) , las acciones de los delincuentes cibernéticos han cambiado sustancialmente. En el momento presente ha sobrevenido una realidad muy diversa: la de los denominados black hat y grey hat hackers que trabajan al servicio de grupos de delincuencia organizada. Éstos han abandonado unos roles que en muchos casos sólo perseguían el simple

reconocimiento, para ponerse a merced de grupos organizados que han sabido ver en sus habilidades un auténtico filón para explotar conjuntamente con sus estructuras criminales clásicas de tráfico de drogas, trata de seres humanos, prostitución o falsificación de productos. Por tanto, ya no existe un único perfil de ciberdelincuente, y aparecen otras visiones prototípicas más recientes como la del hacker de un grupo organizado ruso que compra coches de alta gama con los beneficios de sus estafas, o el hacker patriota chino que ejecuta sus ciberataques sobre objetivos enemigos. Con todo, todavía subsisten hackers fieles al espíritu original como es el caso de las figuras de Assange, Snowden o el fenómeno Anonymous (8) por todos bien conocidas. Otra parte de ellos se han reconvertido en expertos de ciberseguridad. En fin, otros han devenido estrechos colaboradores de las Fuerzas y Cuerpos de Seguridad, lo cual en España ha sido potenciado por parte de la Guardia Civil (9) . A la postre, no puede identificarse al hacker con el cibercriminal. En realidad, no hay un único perfil de ciberdelincuente sino múltiples, del mismo modo que no hay un perfil exclusivo de criminal del espacio físico. Al hablar de un ciberdelincuente nos referimos a cualquier sujeto que delinque utilizando el ciberespacio como parte esencial o central del delito, desde el adolescente que disfruta aprendiendo todo acerca de los sistemas informáticos, el adulto que intercambia pornografía infantil, el cibercriminal contratado por un Estado para atacar infraestructuras críticas de otro Estado, hasta los que forman parte de organizaciones y grupos criminales y lo hacen por razones puramente económicas. Por todo ello, no es posible una caracterización general del ciberdelincuente excepto en lo relativo a que debe usar las TIC con acceso a Internet.

Ó

2. PROBLEMAS ANONIMATO

DE

PERSECUCIÓN

(I):

EL

Uno de los principales obstáculos en la lucha contra la ciberdelincuencia lo encontramos en un conjunto de factores técnicos que dificultan la detección y persecución del delito cometido a través de Internet, lo que explica el extraordinario éxito de este medio como canal de ejecución delictiva. Entre esos factores se encuentra el anonimato potencial del autor y la ejecución del delito a distancia. Con relación al primero, el anonimato, las dificultades existentes para esclarecer la comisión de un delito ejecutado gracias a Internet pueden ser significativas. La tarea de delimitar quién es el autor humano de la acción presuntamente delictiva tampoco es siempre sencilla. Cada dispositivo conectado a Internet tiene asignado una dirección IP (10) , que viene a operar como el «DNI electrónico» del terminal (11) . Su detección y seguimiento en muchos casos a priori no resulta complejo ya que es un dato público (12) y de carácter personal (13) , aunque existen técnicas para enmascarar o manipular dicha asignación, como la posibilidad de conectarse a través de redes wi-fi abiertas, la utilización de proxies o VPNs o, en fin, la creación de redes botnet (14) . Particular mención debe hacerse a la denominada «red Tor». Tor (The onion router, el enrutado cebolla) es un proyecto cuyo objetivo principal es el desarrollo de una red de comunicaciones superpuesta sobre Internet que permite ocultar la identidad de los usuarios, ya que no revela su dirección IP (anonimato a nivel de red) y que, además, mantiene la integridad y el secreto de la información que viaja por ella, dado que encripta su tráfico por capas, como una cebolla. Por este motivo se dice que esta red pertenece a la llamada darknet o red oscura (también conocida con el

nombre de deep web o web profunda). Ahora bien, la red Tor no está pensada para favorecer la criminalidad en Internet, sino para navegar en el ciberespacio de forma segura y anónima, lejos del control de los gobiernos y las grandes empresas de Internet, aunque un porcentaje significativo de sus contenidos son ilegales, como pornografía infantil o venta de drogas y armas. Una vez determinada la dirección IP, el proceso de identificar al titular de la línea o conexión a la que dicha IP se ha otorgado se inicia mediante solicitud al juzgado para que libre o autorice mandamiento dirigido a los proveedores de acceso a Internet (ISPs) y operadores de telecomunicaciones que asignaron (15) la misma, con el fin de que éstos informen de cuantos datos posean en orden a proceder a la identificación descrita (16) . A continuación, mediante auto del juzgador que la autoriza, se lleva a cabo la diligencia de entrada y registro en el domicilio o sede del titular de la línea o conexión, en cuya acta levantada bajo la fe pública del secretario judicial — ahora denominado Letrado de la Administración de Justicia — (art. 453 LOPJ) se hace constar que se accede al ordenador y a los ficheros del encausado, obteniendo copia de éstos. En los primeros años de vida de Internet la identificación de la máquina desde la que se ejecutaba la conducta delictiva se presentaba especialmente compleja por las escasas obligaciones de control impuestas a los proveedores de Internet y operadores de telecomunicaciones y el no almacenamiento de los denominados «archivos log» por parte de éstos, que son el instrumento técnico donde se recogen las asignaciones de las direcciones IP a los usuarios físicos de los servicios de telecomunicaciones (17) . Para dar respuesta a esta laguna, primero la Ley 34/2002, de 11 de julio, de servicios de la Sociedad de la Información y de comercio electrónico (LSSI en lo sucesivo) reforzó de

forma significativa las posibilidades de identificación de comportamientos que pueden revestir carácter delictivo. En efecto, una importante novedad incorporada por ésta con particular incidencia en el ámbito penal fue la obligatoriedad establecida, para determinados proveedores de servicios de Internet, de realizar una serie de actuaciones que pudieran servir a los órganos judiciales y policiales en la investigación de eventuales delitos cometidos a través de Internet (así, cabe destacar el contenido del art. 12 LSSI relativo al deber de retención de datos de tráfico relativos a las comunicaciones electrónicas). Sin embargo, las previsiones introducidas al respecto en la LSSI fueron derogadas y sustituidas por lo dispuesto en la vigente Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (LCDCE en adelante). La nueva ley pretende hacer frente a las dificultades de persecución de las nuevas formas de criminalidad que se sirven de Internet, ya que la tarea de delimitar quién es el presunto autor en este medio depende tanto de la localización del dispositivo desde el que se ejecuta la acción, como del contenido de las comunicaciones. Asimismo, la LCDCE es transposición interna de la Directiva 2006/24/CE (18) del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE, cuyo objeto es establecer, a nivel europeo, la obligación de los operadores de telecomunicaciones de retener determinados datos generados o tratados por éstos con el fin de posibilitar que dispongan de ellos los agentes facultados (19) . La LCDCE instituye la obligación de los operadores de telecomunicaciones de conservar los datos generados

o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados, siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves (20) contemplados en el Código Penal o en las leyes penales especiales. La ley se aplica a los datos de tráfico y de localización sobre personas físicas y jurídicas y a los datos relacionados necesarios para identificar al abonado o usuario registrado, pero excluye el contenido de las comunicaciones electrónicas, incluida la información consultada utilizando una red de comunicaciones electrónicas (art. 1 LCDCE). Su artículo 3 establece los datos objeto de conservación y su artículo 4 fija un plazo de conservación de 12 meses, computados desde la fecha en que se haya producido la comunicación, que es posible aumentar por vía reglamentaria hasta un máximo de 2 años (lo cual, por el momento, no se ha realizado). Conviene poner de relieve que la LCDCE, superando claramente las garantías exigidas por la malograda Directiva 2006/24/CE tras su anulación por la STJUE, Gran Sala, de 8 de abril de 2014, caso Digital Rights Ireland y Seitlinger y otros, asuntos acumulados C-293/12 y C-594/12, y a diferencia de los ordenamientos jurídicos de muchos Estados miembros, establece un control judicial absoluto para el acceso a la información conservada, siguiendo en ese aspecto un criterio plenamente asentado en nuestra legislación interna y que tiene su máxima expresión en el artículo 18 de la Constitución. En aplicación de lo dispuesto en esta Ley, la Sala General no jurisdiccional de la Sala Segunda del Tribunal Supremo aprobó el 23 de febrero de 2010 el siguiente acuerdo:

«Es necesaria la autorización judicial para que los operadores que prestan servicios de comunicaciones electrónicas o de redes públicas de comunicación cedan los datos generados o tratados con tal motivo. Por lo cual, el Ministerio Fiscal precisará de tal autorización para obtener de los operadores los datos conservados que se especifican en el art. 3 de la Ley 25/2007 de 18 de octubre.»

Más recientemente, la STS, Sala 2ª, de 1 de junio de 2017, insiste en este aspecto para rechazar las alegaciones derivadas de una supuesta vulneración de derechos fundamentales en la obtención de la prueba como consecuencia de la anulación de la indicada Directiva 2006/24/CE. Señala el Tribunal Supremo que, en nuestro ordenamiento jurídico: «...tanto la protección del derecho a la intimidad como el principio de proporcionalidad, están sujetas a la autorización de una autoridad independiente de la administrativa cual es la judicial, y se contraen a la investigación y enjuiciamiento de delitos graves contemplados en el Código Penal y en las leyes penales especiales, de forma que en cada caso será el Juez de Instrucción correspondiente el que decida la cesión de los datos de tráfico en las comunicaciones electrónicas, lo que desde luego implica que la decisión debe ser ajustada al principio de proporcionalidad establecido expresamente en nuestra ley procesal (art. 588 bis a).5 LECrim), lo que en principio no parece incompatible con la exigencia de una normativa nacional que no admita la conservación generalizada e indiferenciada de todos los datos de tráfico y de localización de todos los abonados y usuarios registrados en relación con todos los medios de comunicación electrónica.»

Este criterio también se ha visto reforzado tras la publicación de la Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica, que mantiene la competencia de la autoridad judicial como único órgano

competente para el acceso a la información (arts. 588 bis y ss. LECrim), con excepción de los supuestos previstos en el artículo 588 ter d) de la LECrim únicamente en el caso de delitos relacionados con bandas armadas o elementos terroristas y siempre que se trate de un caso de urgencia (21) . Este marco de la LCDCE ha sido recientemente ampliado. En cuanto al proceso penal, la forma y garantías en que se puede llevar a cabo con fines de investigación criminal se encuentran actualmente reguladas de forma minuciosa y detallada en los artículos 588 bis a) y siguientes de la LECrim tras la reforma llevada a cabo por la citada Ley Orgánica 13/2015, regulación plenamente acorde con la doctrina reiterada de nuestro Tribunal Constitucional y del Tribunal Supremo de España, así como de otras instancias supranacionales e internacionales, particularmente del Tribunal de Justicia de la Unión Europea y del Tribunal Europeo de Derechos Humanos. Esta normativa será objeto de estudio más adelante. Por lo que toca al proceso civil, la Ley de Enjuiciamiento Civil, tras la modificación operada por la Ley 21/2014, de 4 de noviembre, permite ahora solicitar en vía civil la identificación del usuario que está detrás de una dirección IP. Esta posibilidad, incorporada en el artículo 256 de la LEC como diligencia preliminar al juicio, posibilita: «10.º Por petición, de quien pretenda ejercitar una acción por infracción de un derecho de propiedad industrial o de un derecho de propiedad intelectual, para que se identifique al prestador de un servicio de la Sociedad de la Información sobre el que concurran indicios razonables de que está poniendo a disposición o difundiendo de forma directa o indirecta, contenidos, obras o prestaciones objeto de tal derecho sin que se cumplan los requisitos establecidos por la legislación de propiedad industrial o de propiedad intelectual, considerando la existencia de un nivel apreciable de audiencia en España de dicho prestador o un

volumen, asimismo apreciable, de obras y prestaciones protegidas no autorizadas puestas a disposición o difundidas. La solicitud estará referida a la obtención de los datos necesarios para llevar a cabo la identificación y podrá dirigirse a los prestadores de servicios de la Sociedad de la Información, de pagos electrónicos y de publicidad que mantengan o hayan mantenido en los últimos doce meses relaciones de prestación de un servicio con el prestador de servicios de la Sociedad de la Información que se desee identificar. Los citados prestadores proporcionarán la información solicitada, siempre que ésta pueda extraerse de los datos de que dispongan o conserven como resultado de la relación de servicio que mantengan o hayan mantenido con el prestador de servicios objeto de identificación, salvo los datos que exclusivamente estuvieran siendo objeto de tratamiento por un proveedor de servicios de Internet en cumplimiento de lo dispuesto en la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. 11.º Mediante la solicitud, formulada por el titular de un derecho de propiedad intelectual que pretenda ejercitar una acción por infracción del mismo, de que un prestador de servicios de la Sociedad de la Información aporte los datos necesarios para llevar a cabo la identificación de un usuario de sus servicios, con el que mantengan o hayan mantenido en los últimos doce meses relaciones de prestación de un servicio, sobre el que concurran indicios razonables de que está poniendo a disposición o difundiendo de forma directa o indirecta, contenidos, obras o prestaciones objeto de tal derecho sin que se cumplan los requisitos establecidos por la legislación de propiedad intelectual, y mediante actos que no puedan considerarse realizados por meros consumidores finales de buena fe y sin ánimo de obtención de beneficios económicos o comerciales, teniendo en cuenta el volumen apreciable de obras y prestaciones protegidas no autorizadas puestas a disposición o difundidas.»

En consecuencia, los datos anteriores deben asimismo conservarse por un plazo de 12 meses para posibilitar esta nueva diligencia preliminar.

Ahora bien, aun consiguiendo determinar el terminal desde el que se ha ejecutado la conducta delictiva, las dificultades para identificar al autor pueden subsistir, por ejemplo, cuando dicho equipo está ubicado en lugares de acceso público (cibercafés, universidades y otros centros de titularidad pública o privada que permiten el acceso sin control del usuario). La situación aún puede complicarse más si el autor de la conducta criminal utiliza conexiones wi-fi ajenas mediante su pirateo, es decir, mediante el acceso no autorizado a redes inalámbricas de terceros, pudiendo, de ese modo, ser empleadas como puntos de ejecución delictiva. De ahí la necesidad de que las personas físicas y jurídicas adopten las correspondientes medidas de seguridad informática para proteger sus sistemas.

3. PROBLEMAS DE PERSECUCIÓN (II): DELITOS A DISTANCIA Y COMPETENCIA TERRITORIAL Como se ha expuesto, el ecosistema de Internet está intrínsecamente unido a la idea de globalización y su utilización dificulta extraordinariamente determinar el lugar de comisión del delito y, en consecuencia, la competencia para juzgar unos determinados hechos, así como esclarecer la autoría (22) . En efecto, la conducta delictiva puede tener su origen en uno o varios países y los resultados producirse, sin embargo, en otro u otros. Incluso, puede resultar difícil precisar dónde tiene lugar dicha acción, ya que la conducta delictiva navega por el ciberespacio. Esto plantea muy serios problemas para determinar la competencia jurisdiccional para su enjuiciamiento, ya que la regla general tradicional del lugar de comisión del delito (principio de territorialidad, art. 23.1 LOPJ) como habilitante de la competencia jurisdiccional sobre él resulta difícilmente compatible con el mundo de Internet.

Además, el material ilícito puede ser rápidamente trasladado a otro servidor o plataforma para evitar la persecución. Debido al carácter internacional y global de los servicios de Internet, los autores alojan las páginas web con contenidos ilícitos en servidores (o plataformas) ubicados en países con legislaciones menos restrictivas, en los que tales contenidos son considerados legales (paraísos informáticos). La consecuencia es que cuando se promueve una investigación, en el país afectado, contra los autores o contra quienes hayan alojado el contenido ilícito, el proveedor puede encontrarse fuera de su jurisdicción penal, o se ha podido trasladar el contenido a otro servidor radicado en un tercer Estado. Por ello, la tutela penal sólo se consigue complementando la proporcionada por la legislación nacional y europea a través de convenios internacionales. A la postre, para la cibercriminalidad la legislación penal concebida tradicionalmente como cuerpo legislativo vigente para un determinado territorio no es válida (23) . No obstante, es cierto que el problema no es exclusivo de la ciberdelincuencia, sino que es una de las consecuencias de la criminalidad transnacional. Al respecto hay dos soluciones, que pueden ser concurrentes: a) la armonización de las legislaciones nacionales y el reforzamiento de los mecanismos de cooperación internacional (24) y bilaterales; y b) el establecimiento de cláusulas de extraterritorialidad, tal y como ya existen en materia de terrorismo, genocidio o tráfico de personas, por citar algunos ejemplos. En el supuesto de la cibercriminalidad, en nuestro Código Penal se ha previsto la extraterritorialidad en la corrupción de menores (art. 189.1.b) CP), donde se castiga la producción, venta, distribución, exhibición, ofrecimiento o facilitación de «...la producción, venta, difusión o exhibición por cualquier medio de pornografía infantil o en cuya elaboración hayan sido

utilizadas personas con discapacidad necesitadas de especial protección, o lo poseyere para estos fines, aunque el material tuviere su origen en el extranjero o fuere desconocido» (la negrita es nuestra). Además, la solución puede buscarse también precisando en qué lugar se entiende cometido el delito. Respecto del locus comissi delicti existen tres construcciones jurídicas que posibilitan la solución de este problema: a) la teoría de la actividad, según la cual el delito se entiende cometido donde el sujeto lleva a cabo externamente la conducta delictiva; b) la teoría del resultado: según ésta el delito se perpetra donde tiene lugar el resultado externo; y c) la teoría de la ubicuidad: de acuerdo con ella, el delito se entiende cometido donde se lleva a cabo la actividad o se manifiesta el resultado. La cuestión no resulta pacífica en la doctrina ni en la jurisprudencia, aunque parece que esta última teoría de la ubicuidad tiene más predicamento, tanto en derecho comparado (25) como en nuestra doctrina y jurisprudencia (26) . De acuerdo con dicha teoría, no se excluye la cuestión de la competencia porque, según ésta, todos los estados en los que se han realizado las conductas o se han producido los resultados tendrían competencia. La solución a esta cuestión de competencia debería solventarse a través del principio de personalidad. Es decir, de entre todos los estados en principio competentes, sería competente aquel del que sea nacional el autor. En el ámbito de la ciberdelincuencia puede adquirir una especial relevancia este principio, conforme al cual el Estado de origen del sujeto también tiene competencia para juzgar los hechos cometidos en otro Estado, aunque en él no se haya realizado la conducta ni producido los resultados. Sin embargo, esta solución resulta conflictiva en los supuestos de coautoría de personas nacionales de diversos estados y, asimismo, cuando la conducta no es ilícita o tiene una

naturaleza diferente en uno y otro (de ahí la importancia de armonizar las legislaciones nacionales ya apuntada). A ello se suman los problemas derivados de la existencia o no de tratados de extradición, del contenido de esos tratados y de la reticencia generalizada, por parte de todos los estados, de entregar a sus nacionales para que sean juzgados en otro Estado. Por último, subsiste la cuestión de si también tiene competencia jurisdiccional el Estado donde se han producido conductas de cooperación, como son las de los proveedores y plataformas de Internet intermediarios. El problema surge desde el momento en que la teoría de la ubicuidad supone una extensión del principio de territorialidad de la ley penal que, para algunos autores, plantea problemas político-criminales e incluso jurídicoconstitucionales (27) . En todo caso, es evidente que de la intervención de diversos estados en relación con un mismo hecho delictivo pueden surgir conflictos jurisdiccionales de carácter internacional, por lo que cada vez son más necesarios los tratados de cooperación jurisdiccional tanto en el ámbito de la Unión Europea (28) como a nivel mundial. No hay que olvidar que junto al principio de territorialidad, rigen los principios de universalidad, de protección de intereses del Estado y de personalidad.

4. OTROS PROBLEMAS En fin, no podemos dejar de apuntar que el mundo virtual ofrece mayores facilidades para la comisión de delitos: así, muchos sistemas no adoptan adecuados mecanismos de ciberseguridad, las pruebas son endebles y fácilmente alterables, la lentitud en la tramitación de los procedimientos de investigación y enjuiciamiento favorece la destrucción o inutilización de las pruebas o, en fin, el enmascaramiento del autor y el empleo de «personalidades

virtuales» arroja incertidumbre e impunidad identificación del ciberdelincuente (29) .

en

la

Igualmente, debemos mencionar que muchos de estos delitos no son descubiertos, son descubiertos tarde o por puro azar. En este sentido, existe una macrovictimización muy difícil de determinar y cuantificar. Y es que la ciberdelincuencia es, con diferencia, la actividad criminal que más víctimas se cobra. Se estima que alrededor de dos terceras partes de los usuarios conectados a Internet han sufrido un robo de su información personal o sus datos están en una situación comprometida. El Derecho penal tiene la misión de responder ante estas nuevas amenazas y desafíos haciendo uso de sus técnicas e instrumentos, pero sin olvidar sus principios estructurales y en especial el principio de última ratio. Hoy en día se enfatiza la necesidad de un sistema penal eficaz frente a las nuevas formas de criminalidad propias de un mundo globalizado. Pero el Derecho penal no puede convertirse en un sistema que deseche la justicia. De este modo, el garantismo penal (30) cobra aquí máxima importancia.

Sentado lo anterior, antes de analizar la regulación española realizaremos una breve referencia al marco comparado, internacional y europeo del ciberdelito.

(1)

Vid., en detalle, BARRIO ANDRÉS, Moisés, Fundamentos del Derecho de Internet, Editorial Centro de Estudios Políticos y Constitucionales, Madrid, 2017, pág. 38 y ss. Ver Texto

(2)

BARRIO ANDRÉS, Moisés, «Criminalidad e Internet...», op. cit., pág. 63 y ss. Ver Texto

(3)

HIMANEM, Pekka, La ética del hacker y el espíritu de la era de la información, Editorial Destino, Madrid, 2002, pág. 5. Ver Texto

(4)

Indica el propio HIMANEM (op. cit., pág. 5 y ss.) cómo, ya desde la época del MIT, en la década de 1960, el típico hacker viene despertándose de la siesta a primera hora de la tarde para ponerse a programar con entusiasmo, y persevera en sus esfuerzos, profundamente inmerso en la codificación, hasta altas horas de la madrugada. Un buen ejemplo de ello es el modo en que la hacker irlandesa de dieciséis años Sarah Flanery describe su trabajo en el llamado algoritmo de encriptación Cayley-Purser: «...me embargaba una sensación de total entusiasmo [...]. Trabajaba constantemente días enteros hasta terminar, y era estimulante. Había momentos en que no quería parar». Ver Texto

(5)

The Jargon file, en la entrada «hacker»; este archivo es mantenido al día por Eric Raymond en http://www.catb.org/~esr/jargon/ Ver Texto

(6)

Englobados inicialmente en el concepto de «piratas informáticos», concepto vago e inexacto pero muy extendido popularmente, que comprende a los hackers, coders, crackers, e incluso a los que copian y distribuyen por Internet material protegido por los derechos de autor. Este término también tituló una popular película (1995) que contribuyó a popularizarlo y a asociarlo a las actividades características del hacking. Sin embargo, no resulta correcta la identificación entre hacker y pirata por las razones arriba expuestas. Ver Texto

(7)

LÓPEZ LÓPEZ, Antonio, «La investigación policial en Internet: estructuras de cooperación internacional», ponencia en el III Congreso Internet, Derecho y Política (IDP), Nuevas perspectivas y publicado en Revista de Internet, Derecho y Política, No 5, 2007, pág. 65. Ver Texto

(8)

COLEMAN, Gabriella, Las mil caras de Anonymous, Editorial Arpa Editores, Barcelona, 2016. Ver Texto

(9)

MOLIST, Mercè, Hackstory.es: La historia nunca contada del underground hacker en la Península Ibérica, Editorial Amazon, Madrid, 2015. Ver Texto

(10) Por ejemplo, 212.163.6.104. Ver Texto

(11) Sobre las direcciones IP y los protocolos de Internet, vid. BARRIO ANDRÉS, Moisés, Fundamentos del Derecho de Internet..., op. cit., pág. 98 y ss. Ver Texto

(12) Por ejemplo, la página web http://www.cualesmiip.com/ nos revela nuestra dirección IP pública de la conexión a Internet. Ver Texto

(13) STJUE, Sala Segunda, de 19 de octubre de 2016, caso Patrick Breyer, asunto C-582/14. Ver Texto

(14) Una botnet es el término que hace referencia a un conjunto de ordenadores infectados que pueden ser controlados remotamente. Ver Texto

(15) Esta asignación de la dirección IP se realiza de manera automática por el operador o proveedor y puede tener carácter permanente (IP estática), esto es, que la dirección es siempre la misma para el abonado, lo que le permite instalar un servidor y que esté fácilmente disponible de manera permanente, o bien cambiante (IP dinámica), en cuyo caso la dirección IP se asigna cada vez que el cliente conecta el equipo —el router o el modem— a la red de comunicaciones. En el caso de las direcciones IP dinámicas resulta esencial para la determinación de la persona que ha podido realizar la conexión la fecha y hora de la misma, ya

que cuando una dirección queda libre (por la desconexión del abonado al que se le asignó) la dirección IP es atribuida a otro cliente. Ver Texto

(16) Por todas, vid. STS, Sala 2ª, de 17 de abril de 2013, y ahora se reconoce expresamente en el art. 588 ter k) LECrim. Ver Texto

(17) Ya MORALES PRATS había advertido en 2001 respecto a este almacenamiento de los importantes riesgos para la intimidad, como derecho al anonimato de los ciudadanos en general que presenta: MORALES PRATS, Fermín, «Internet: riesgos para la intimidad», Cuadernos de Derecho Judicial, No 10, 2001, pág. 73. Ver Texto

(18) Para complicar la cuestión, la STJUE, Gran Sala, de 8 de abril de 2014, caso Digital Rights Ireland y Seitlinger y otros, asuntos acumulados C-293/12 y C-594/12, ha anulado la citada Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, en relación con la prestación de servicios de comunicaciones electrónicas por considerar que constituye «una injerencia de gran magnitud y especial gravedad» en los derechos fundamentales a la privacidad y a la protección de datos. El fallo responde a unas cuestiones prejudiciales presentadas desde Irlanda y Austria, señalando el TJUE que los datos que son objeto de análisis pueden proporcionar indicaciones muy precisas sobre la vida privada de las personas cuyos datos se conservan, así como los hábitos de la vida cotidiana, los lugares de residencia permanente o temporales, desplazamientos, actividades realizadas, etc. Por ello, al imponer la conservación de estos datos y al permitir el acceso a las autoridades nacionales competentes, dicha Directiva se inmiscuye de manera especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal. Se da así la paradoja de una ley estatal que se encuentra en vigor que traspone una directiva

actualmente anulada por el TJUE. Con posterioridad, la STJUE, Gran Sala, de 21 de diciembre de 2016, caso Tele2 Sverige AB y otros, asuntos acumulados C-203/15 y C698/15, insiste en estos postulados. Ver Texto

(19) Se entiende por agentes facultados, según el art. 6 LCDCE, los miembros de los Cuerpos Policiales autorizados en el marco de una investigación criminal por la comisión de un delito, el personal del Centro Nacional de Inteligencia en el curso de las investigaciones de seguridad sobre personas o entidades, de acuerdo con lo previsto en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y en la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia, y los funcionarios de la Dirección Adjunta de Vigilancia Aduanera en el desarrollo de sus competencias como policía judicial. Ver Texto

(20) Son delitos graves, aclara el art. 13.1 CP, las infracciones que la ley penal castiga con pena grave. Y el art. 33.2 CP enuncia las penas graves (prisión permanente revisable, prisión superior a cinco años, inhabilitación absoluta, etc.). Ahora bien, cuando la pena, por su extensión, pueda incluirse a la vez como grave o menos grave el delito se considerará, en todo caso, como grave (art. 13.4 CP). Además, la reforma de la LECrim por Ley Orgánica 13/2015, de 5 de octubre, hace extensiva esta posibilidad de cesión cuando las investigaciones tengan por objeto alguno de los delitos a los que se refiere el artículo 579.1 de la LECrim, y también cuando tenga por objeto ciberdelitos, esto es, delitos «cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación» (art. 588 ter a) LECrim), sin limitación alguna en cuanto a la gravedad de estos últimos. Así también lo confirma la STS, Sala 2ª, de 10 de julio de 2015. Ver Texto

(21) En caso de urgencia, cuando las investigaciones se realicen para la averiguación de delitos relacionados con la actuación de bandas armadas o elementos terroristas y existan razones fundadas que hagan imprescindible la medida prevista en los apartados anteriores de este artículo, podrá ordenarla el Ministro del Interior o, en su defecto, el Secretario de Estado de Seguridad. Esta medida se comunicará inmediatamente al juez competente y, en todo caso, dentro del plazo máximo de 24 horas, haciendo constar las razones que justificaron la adopción de la medida, la actuación realizada, la forma en que se ha efectuado y su resultado. El juez competente, también de forma motivada, revocará o confirmará tal actuación en un plazo máximo de 72 horas desde que fue ordenada la medida. Ver Texto

(22) FERNÁNDEZ TERUELO, Javier Gustavo, Cibercrimen..., op. cit., pág. 14-26. Ver Texto

(23) SEMINARA, Sergio, «La piratería su Internet e il diritto penale», Revista Trimestrale di Diritto Penale deIl’Economia, No 1-2, 1997, pág. 111. Ver Texto

(24) En este sentido, el Convenio sobre la Ciberdelincuencia — sobre el que luego se volverá—, hecho en Budapest el 23 de noviembre de 2001, tiene como finalidad armonizar las legislaciones nacionales y facilitar su persecución. Ver Texto

(25) Así, por ejemplo, en el § 9.1 del Código Penal alemán («Un hecho es cometido en todo lugar en el que el autor ha actuado o, en caso de omisión, donde hubiera tenido que hacerlo o en el lugar en el que, según la representación del autor, debiera haberse producido el resultado perteneciente al tipo»); en el § 67 (2) del Código Penal austriaco (en términos similares al alemán); en el art. 10.2 del Código Penal esloveno («...el delito se considera cometido sea en el lugar en el que se realiza la conducta, sea en el lugar en el

cual, según la intención del autor, habría debido o podido verificarse el resultado prohibido»); en el Cap. I, § 10(2) del Código Penal finlandés («La tentativa de un hecho punible se considera cometida allí donde en el supuesto de su consumación probablemente o según la representación del autor hubiera debido producirse el resultado»); en el art. 6 del Código Penal polaco («Un hecho prohibido será cometido en el lugar en el que el autor ha realizado la acción o en el lugar en el que ha omitido realizar la acción a la que estaba obligado o en el que debiera haberse producido el resultado típico según la representación del autor»); en el art. 7.2 del Código Penal portugués («En el supuesto de tentativa el hecho se considera igualmente ejecutado en el lugar en el que, de acuerdo con la representación del agente se debería haber producido el resultado»); en el art. 7.2 del Código Penal suizo («La tentativa se tendrá por cometida allí donde el autor ha ejecutado la acción o donde según su intención se hubiera debido producir el resultado»). En el Derecho italiano análogas consecuencias derivadas de la teoría de la ubicuidad han sido elaboradas por la jurisprudencia respecto de distintas hipótesis (cfr., por ejemplo, S. Cass. IV, 24-11-1995; Cass. II, 20-3-1963; Cass. II, 23-101973; Cass. VI, 30-3-1988). La difusión alcanzada por esta teoría entre los derechos penales nacionales permite que pueda ser considerada a nuestro juicio como constitutiva del Derecho penal internacional de los estados europeos. Ver Texto

(26) La teoría de la ubicuidad ha sido acogida por nuestro Tribunal Supremo desde el Acuerdo no jurisdiccional del Pleno de la Sala Segunda, de 3 de febrero de 2005, según el cual «el delito se comete en todas las jurisdicciones en las que se haya realizado algún elemento del tipo. En consecuencia, el juez de cualquiera de ellas que primero haya iniciado las actuaciones procesales, será en principio competente para la instrucción de la causa». Más recientemente, vid. por ejemplo Auto del TS, Sala 2ª, de 30 de noviembre de 2017, o STS, Sala 2ª, de 12 de julio de 2009. Adoptan esta postura, por ejemplo, RODRÍGUEZ MOURULLO, Gonzalo; ALONSO GALLO, Jaime y LASCURAIN Á

SÁNCHEZ, Juan Antonio, «Derecho Penal e Internet», en AA.VV., Régimen jurídico de Internet, Editorial La Ley, Madrid, 2002, pág. 265; y CORCOY BIDASOLO, Mirentxu, «Problemática de la persecución penal...», op. cit., pág. 32. Ver Texto

(27) CLIMENT BARBERÁ, Juan, «La justicia penal en Internet. Territorialidad y competencias penales», Cuadernos de Derecho Judicial, No 10, 2001, pág. 645 y ss. Ver Texto

(28) Singularmente el instrumento de la Orden Europea de Detención y Entrega. Vid. la Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión Europea, modificada por Ley 3/2018, de 11 de junio, que ha derogado a la Ley 3/2003, de 14 de marzo, sobre la orden europea de detención y entrega. Ver Texto

(29) En este punto, vid. la tesis doctoral de VELASCO NÚÑEZ, Eloy, Delitos cometidos a través de Internet. Cuestiones procesales, Editorial La Ley, Madrid, 2010. También el libro de GARCÍA MEXÍA, Pablo, Derecho europeo de Internet, Editorial Netbiblo, La Coruña, 2009, pág. 131 y ss. Ver Texto

(30) Vid. FERRAJOLI, Luigi, Derecho y razón. Teoría garantismo penal, Editorial Trotta, Madrid, 2001.

del

Ver Texto

Capítulo IV  Derecho comparado, internacional y europeo Internet y la innovación tecnológica tienen una indiscutible incidencia revolucionaria sobre el conjunto de nuestras sociedades. La lucha contra la ciberdelincuencia es una de las prioridades para hacer de Europa un espacio de libertad, de seguridad y de justicia, y ello ha impulsado cambios legislativos para adaptar los códigos penales de los estados a los nuevos desafíos de la Sociedad de la Información y ahora de las tecnologías disruptivas. A ellos vamos a referirnos en el presente capítulo comenzando por el derecho comparado.

1. DERECHO COMPARADO Para la regulación sustantiva de los ciberdelitos a nivel comparado se observan dos técnicas normativas: el recurso a leyes penales especiales y la tipificación de nuevas figuras delictivas en el propio Código Penal: a) Han optado por la primera vía países como Francia, Gran Bretaña, Holanda, Estados Unidos, Chile o Venezuela, que han elaborado leyes penales especiales para abordar este fenómeno. En Europa, Francia cuenta con una ley

relativa al fraude informático desde 1988 (1) y Reino Unido promulgó en 1991 la Computer Misuse Act a raíz de un grave caso de hacking. En América, Estados Unidos adoptó en 1986 la Computer Fraud and Abuse Act (CFAA), que ha sido reformada en 1988, 1989, 1990, 1994, 1996, 2001, 2002 y 2008. En Iberoamérica, sobresale la ley chilena contra los delitos informáticos de 1993 (2) , pionera de los países de ese entorno. b) Alternativamente, la tipificación de nuevos delitos en el propio Código Penal ha sido la otra técnica empleada para hacer frente a este desafío. En Europa, Alemania, Austria, Italia, España y Portugal, y en América, Argentina y México son los principales exponentes. En cuanto al ámbito procesal, los estados más avanzados (3) han ido procediendo a adaptar las medidas de investigación recogidas en su legislación procesal penal a la naturaleza específica de las investigaciones referidas al entorno digital con motivo de la utilización de las TIC con fines delictivos. Por ello, muchos de los países de nuestro entorno más próximo han reformado expresamente su legislación procesal con el objetivo de atajar los nuevos problemas que plantea la ciberdelincuencia y han aprovechado para regular nuevas medidas tecnológicas de investigación. Así, por ejemplo, en Europa, Bélgica reformó su legislación procesal penal en el año 2000, a través de la Ley de 28 de noviembre de 2000 relativa a la criminalidad informática, para introducir nuevas medidas tecnológicas de investigación. Reino Unido también adaptó su legislación en el año 2000 mediante la Regulation of Investigatory Powers Act (RIPA). En Francia, destacan la Ley sobre la confianza en la Economía Digital de 21 de junio de 2004, la Ley sobre la lucha contra el terrorismo y la adopción de medidas diferentes a los controles de seguridad y de frontera, de 23 de enero de 2006, o la reforma del Código Procesal penal en virtud de la Ley n.o 2011-267, de 14 de marzo

de 2011. En Italia sobresale el Codice in materia di protezione dei dati personali aprobado por el Decreto legislativo núm. 196, de 30 de junio de 2003, el Decreto Ley núm. 144, de 27 de junio de 2005, sobre medidas urgentes de lucha contra el terrorismo internacional y la Ley núm. 281, de 20 de noviembre de 2006, sobre las escuchas telefónicas. Y en Portugal cabe destacar la Ley 109/2009, de 15 de septiembre, por la que se adapta el Derecho portugués al Convenio de Budapest contra el cibercrimen.

2. DERECHO INTERNACIONAL Del mismo modo, la dimensión transnacional de los ciberdelitos también ha obligado a adoptar soluciones a nivel internacional. En el ámbito de las Naciones Unidas (ONU), debemos citar el pionero Manual de las Naciones Unidas para la Prevención y Control de Delitos Informáticos, de 1977, el conocido como Manual de Tallín (a través del cual se pretende trasladar a la ciberguerra las normas y principios que rigen los conflictos en el mundo físico) o el más reciente Programa Global de Cibercrimen de la Oficina de las Naciones Unidas contra la Droga y el Delito (UNODC), de 2016. También cuenta desde 2015 con el Grupo de Expertos Gubernamentales sobre seguridad internacional en el ciberespacio. Bajo los auspicios de la Organización para la Seguridad y la Cooperación en Europa (OSCE) se han aprobado diversas decisiones, entre las cuales debemos destacar la Decisión N.o 1202, de 10 de marzo de 2016, relativa a las medidas para el fomento de la confianza (MFCs) destinadas a reducir los riesgos de conflicto dimanantes del uso de las TIC y con las que se pretende, entre otros aspectos, facilitar e impulsar la comunicación directa entre los equipos de respuesta nacionales de los 57 Estados miembros ante los incidentes de ciberseguridad, así como mejorar la

protección de las infraestructuras críticas y fomentar el intercambio de buenas prácticas. Y en el ámbito del Consejo de Europa, destaca el Convenio sobre el Cibercrimen o Ciberdelincuencia, aprobado en Budapest en 2001 y vigente desde julio de 2004. A él nos vamos a referir más específicamente en el próximo apartado.

3. EL CONVENIO DE BUDAPEST CIBERDELINCUENCIA

SOBRE

LA

De todos estos instrumentos internacionales sobresale principalmente, como se acaba de apuntar, el Convenio sobre la Ciberdelincuencia —que es su título oficial—, adoptado en Budapest el 23 de noviembre de 2001 (4) . El Convenio sobre la Ciberdelincuencia se firmó bajo el patrocinio del Consejo de Europa. Aunque no es un instrumento de la Unión Europea, el Convenio recoge efectivamente los intereses de la Unión Europea en su ámbito de aplicación. La negociación del Convenio coincidió con la creciente importancia del comercio electrónico, la propiedad intelectual y la mayor penetración del acceso de banda ancha a Internet y de la telefonía móvil. Dicho Convenio surge como consecuencia del desarrollo y utilización cada vez mayor de las TIC y de las posibilidades consiguientes que ofrecen tales medios para la comisión de nuevos tipos de delitos, así como de la necesidad de aplicar una política penal común encaminada a proteger a la sociedad frente a la ciberdelincuencia, a cuyo fin ordena a las partes la adopción de una legislación que dé respuesta adecuada a tales nuevas formas de delincuencia y el establecimiento de una política de cooperación internacional. Se trata de un instrumento internacional pionero en el ámbito de los delitos cometidos por medio de Internet u otras redes electrónicas, y pone un

acento especial en la lucha contra la pornografía infantil, el fraude informático y las violaciones de ciberseguridad en la Red. El Convenio es el fruto de cuatro años de trabajo de los expertos de los 45 países miembros del Consejo de Europa y de no miembros como Estados Unidos, Canadá y Japón, y ha sido ratificado por España el 20 de mayo de 2010 (5) , con casi una década de retraso, habiendo entrado en vigor en nuestro país el 1 de octubre de 2010. Conforme a su preámbulo, dicho Convenio responde a la necesidad de articular una política penal común encaminada a prevenir los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas de información, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos, protegiendo de este modo a la sociedad frente a la ciberdelincuencia, mediante la adopción por los Estados parte de una legislación adecuada que tipifique estos actos, facilite su detección, investigación y sanción y establezca disposiciones que permitan una cooperación internacional rápida y flexible. En efecto, el Convenio crea una obligación para los Estados signatarios de introducir las disposiciones del capítulo II en su derecho sustantivo y de permitir la cooperación en los asuntos comprendidos en su ámbito de aplicación. Y tiene un triple propósito en torno a los cuales se estructura, a saber: a) armonizar el Derecho penal material, b) establecer medidas procesales, y c) poner en funcionamiento un régimen rápido y eficaz de cooperación internacional. En primer lugar, el Convenio define el Derecho penal sustantivo (capítulo II, sección 1). Se trata de un esfuerzo de armonización destinado a crear una base común de

delitos, que incluye los delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos (arts. 2 a 6), los delitos informáticos (arts. 7 y 8), los delitos relacionados con el contenido (art. 9) y los delitos relacionados con infracciones de la propiedad intelectual y de los derechos afines (art. 10). En segundo lugar, en materia procesal el Convenio hace referencia a varias medidas de investigación y obtención de pruebas (capítulo II, sección 2), diferenciando entre aquellas que adaptan a la investigación informática medidas ya existentes, como es el caso de la entrada y registro, y aquellas de nueva creación, específicas de la investigación informática (la conservación rápida de datos informáticos almacenados del art. 16, la conservación y revelación parcial rápidas de datos sobre el tráfico del art. 17, la orden de presentación del art. 18, el registro y confiscación de datos informáticos almacenados del art. 19 o la obtención en tiempo real de datos informáticos de los arts. 20 y 21). Y, en tercer lugar, el Convenio instaura mecanismos para la cooperación internacional (capítulo III). Así, el artículo 23 establece que las partes cooperarán entre sí en la mayor medida posible para los fines de las investigaciones o los procedimientos relativos a los delitos relacionados con sistemas y datos informáticos o para la obtención de pruebas electrónicas de los ciberdelitos. Es importante señalar que el artículo 24 introduce la posibilidad de extradición de los delincuentes. Esa extradición es posible respecto de los delitos enunciados en los artículos 2 a 11, siempre que sean punibles con arreglo a las leyes de ambos estados y den lugar a una privación de libertad por un período máximo de, al menos, 1 año o una pena más grave. El Convenio servirá de base jurídica para la extradición incluso cuando no exista normalmente un tratado entre las partes.

Para completar su exposición, y como mecanismo de gran relevancia práctica para la cooperación internacional entre los Estados firmantes, el Convenio crea una «Red 24/7» como punto de contacto disponible las 24 horas del día, 7 días a la semana, con objeto de garantizar la prestación de ayuda inmediata a los fines de las investigaciones relacionadas con los delitos tipificados por el Convenio, o para la obtención de pruebas electrónicas de un delito (art. 35). Las medidas que pueden solicitarse incluyen el asesoramiento técnico, la conservación de datos y la obtención de pruebas, el suministro de información jurídica y la localización de sospechosos. El Convenio cuenta con un Protocolo adicional relativo a la penalización de actos de índole racista y xenófoba cometidos por medio de sistemas informáticos, hecho en Estrasburgo el 28 de enero de 2003 y que ha sido ratificado por España el 11 de noviembre de 2014. Asimismo, a finales de 2017 se han iniciado los trabajos para elaborar un nuevo Protocolo adicional para mejorar, entre otras cuestiones, el acceso transfronterizo a datos almacenados en la nube y la cooperación internacional. El Convenio sobre la Ciberdelincuencia ha llenado un vacío en el ordenamiento jurídico internacional y su entrada en vigor permite hacer frente a una criminalidad de nuevo orden, que utiliza las redes electrónicas y condiciona y puede poner en peligro su desarrollo futuro. A diferencia de otros ámbitos en que el Derecho internacional armoniza legislaciones y prácticas nacionales preexistentes, en el ámbito de la cibercriminalidad ha sido paradójicamente el Derecho internacional el que impulsa la adopción de medidas nacionales.

Por lo demás, la percepción de que los delitos cubiertos por el Convenio no tienen fronteras ha impulsado un posterior esfuerzo a nivel europeo al que nos referiremos en el próximo epígrafe.

Ó

4. DERECHO DE LA UNIÓN EUROPEA La Unión Europea tiene una capacidad limitada para legislar en el ámbito del Derecho penal, que siempre ha sido considerado como un símbolo de la soberanía de los Estados miembros. Aunque la UE es principalmente una organización comercial, tiene competencia parcial para regular el Derecho penal. Esto se debe a que la delincuencia puede considerarse un obstáculo al comercio entre los Estados miembros, pero también a que es imprescindible una mejor cooperación en materia penal para un desarrollo económico y social más estable. Tanto el Tratado de Maastricht (1993) como el de Ámsterdam (1999) introdujeron cambios que afectaron en cierta medida al Derecho penal, especialmente en el ámbito de la justicia y los asuntos de interior (JAI), pero se carecía de la competencia real para crear Derecho penal. La aproximación de las normas en materia penal estaba permitida en virtud del artículo 29 del Tratado de la Unión Europea (TUE). En la actualidad, el artículo 83.1 del Tratado de Funcionamiento de la Unión Europea (TFUE) permite a la UE adoptar directivas que contengan normas mínimas que definan las infracciones penales y las sanciones. Esto sólo puede hacerse en el caso de delitos especialmente graves con una dimensión transfronteriza, entre los que se incluyen: «...el terrorismo, la trata de seres humanos y la explotación sexual de mujeres y niños, el tráfico ilícito de drogas, el tráfico ilícito de armas, el blanqueo de capitales, la corrupción, la falsificación de medios de pago, la delincuencia informática y la delincuencia organizada.»

Por su parte, el Consejo podrá decidir que se añadan a la lista más delitos. En el artículo 83.2 del TFUE existe otra

posibilidad en relación con delitos que normalmente no son «particularmente graves»: «Cuando la aproximación de las disposiciones legales y reglamentarias de los Estados miembros en materia penal resulte imprescindible para garantizar la ejecución eficaz de una política de la Unión en un ámbito que haya sido objeto de medidas de armonización, se podrá establecer mediante directivas normas mínimas relativas a la definición de las infracciones penales y de las sanciones en el ámbito de que se trate. Dichas directivas se adoptarán con arreglo a un procedimiento legislativo ordinario o especial idéntico al empleado para la adopción de las medidas de armonización en cuestión, sin perjuicio del artículo 76.»

Además, el artículo 84 del TFUE permite la promoción y el apoyo de acciones en los Estados miembros, excluyendo las medidas de armonización. En este sentido, EUROJUST, la Agencia de la Unión Europea para la cooperación en materia penal creada en 1999, tiene encomendadas varias tareas de coordinación. Sin embargo, en los últimos tiempos una serie de acontecimientos han obligado a replantearse gradualmente este enfoque restrictivo. Ya en 2005, en el caso Pupino (6) el Tribunal de Justicia de la Unión Europea (TJUE) dictaminó que las decisiones marco adoptadas en el ámbito del Derecho penal surten efecto en los ordenamientos jurídicos nacionales. En el asunto C-176/03 (7) , el TJUE consideró que si bien, en principio, la entonces Comunidad Europea no es competente en materia de Derecho penal ni en materia de Derecho procesal penal, ello no impide que «...el legislador comunitario adopte medidas relacionadas con el Derecho penal de los Estados miembros y que estime necesarias para garantizar la plena efectividad de las normas que dicte en materia de protección medioambiental, cuando la aplicación por las autoridades nacionales competentes de sanciones penales efectivas,

proporcionadas y disuasorias constituye una medida indispensable para combatir los graves atentados contra el medio ambiente». Esto significa que el Derecho penal nacional puede utilizarse para promover una política comunitaria, pero todavía puede permitirse una acción más directa para armonizar el derecho nacional con arreglo al artículo 83 del TFUE. No obstante, y en comparación con otras políticas europeas relacionados con las TIC, los esfuerzos de la Unión Europea en el ámbito de la ciberdelincuencia han sido muy escasos hasta finales de 2001, cuando se publicaron dos relevantes comunicaciones (8) . La finalidad principal de las mismas era sensibilizar a la opinión pública sobre las cuestiones de seguridad informática, pero a continuación se establecieron tres oleadas de instrumentos más ambiciosos. La primera se tradujo en el ya expuesto Convenio del Consejo de Europa sobre la Ciberdelincuencia, firmado en Budapest en 2001. La segunda ha motivado las reformas de nuestro Código Penal de 2010 y de 2015 para transponer diversas directivas a las que nos referiremos en el próximo capítulo. Y la tercera batería de instrumentos arranca de la Estrategia de ciberseguridad publicada por la Comisión Europea en 2013 (9) . Así, uno de los principales objetivos de la Estrategia europea de ciberseguridad (10) ha sido promover la finalmente aprobada Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, también conocida como Directiva NIS/SRI. Su objetivo principal es aumentar la cooperación entre los Estados miembros en cuestiones de ciberseguridad. En síntesis, sus propósitos estructurales son lograr una armonización regional mínima en el ámbito de la Unión Europea y hacer que el entorno en línea sea más

fiable y seguro, lo que en última instancia respalda la consolidación del Mercado Único Digital. En la actualidad, una parte significativa de la actividad de la Unión Europea en este ámbito consiste en coordinar los esfuerzos de los Estados miembros. La Agencia Europea de Seguridad de las Redes y de la Información (ENISA por sus siglas en ingles) —y futura Agencia de Ciberseguridad de la UE— se creó en 2004 con la misión de mejorar la seguridad de las redes y de la información. También debemos referirnos al Centro Europeo contra la Ciberdelincuencia (EC3), organismo de EUROPOL que comenzó a funcionar en enero de 2013. Su objetivo es ser un centro central de inteligencia y un órgano que coordine los esfuerzos nacionales en la lucha contra la ciberdelincuencia. Expuesto este marco, nos corresponde ocuparnos seguidamente en el próximo capítulo de la legislación penal española sobre la materia.

(1)

Ley número 88-19, de 5 de enero de 1988. Ver Texto

(2)

Ley número 19.223, sobre delitos informáticos. Ver Texto

(3)

Un análisis de las iniciativas europeas e internacionales sobre dicha necesidad puede verse en ORTIZ PRADILLO, Juan Carlos, «Hacking legal al servicio de la investigación criminal: nuevos instrumentos para la investigación y prueba de la delincuencia informática», Revista de derecho y proceso penal, No 26, 2011. Ver Texto

É

Í

(4)

Sobre el mismo, puede verse ANDRÉS DÍAZ, Gonzalo, «El delito informático, su problemática y la cooperación internacional como paradigma de su solución: el Convenio de Budapest», Revista electrónica del Departamento de Derecho de la Universidad de Navarra, No 8, 2010. También MORALES GARCÍA, Óscar, «Apuntes de política criminal en el contexto tecnológico. Una aproximación a la Convención del Consejo de Europa sobre Cyber-crime», en AA.VV., Delincuencia Informática. Problemas de responsabilidad, Editorial Consejo General del Poder Judicial, Madrid, 2002, pág. 13 y ss. Ver Texto

(5)

Instrumento de ratificación publicado en el BOE de 17 de septiembre de 2010. Ver Texto

(6)

STJUE, Gran Sala, de 16 de junio de 2005, asunto C105/03, caso Pupino. Ver Texto

(7)

STJUE, Gran Sala, de 13 de septiembre de 2005, asunto C176/03. Ver Texto

(8)

Comunicación de la Comisión titulada Creación de una Sociedad de la Información más segura mediante la mejora de la seguridad de las infraestructuras de información y la lucha contra los delitos informáticos, de 26 de enero de 2001 [COM(2001)208] y la Comunicación de la Comisión titulada Seguridad de las redes y de la información: Propuesta para un enfoque político europeo, de 6 de junio de 2001 [COM(2001)208]. Ver Texto

(9)

Comunicación conjunta titulada Estrategia de ciberseguridad de la Unión Europea: Un ciberespacio abierto, protegido y seguro, de 7 de febrero de 2013 [JOIN(2013)1 final]. Ver Texto

É

(10) Vid. BARRIO ANDRÉS, Moisés, Internet de las cosas, op. cit., pág. 97 y ss. Ver Texto

Capítulo V  Su tratamiento en el Derecho penal español España, como se ha indicado, ha optado por regular la ciberdelincuencia en el propio Código Penal, desechando la opción de una ley penal especial. No obstante, ni el anterior Código Penal de 1973 (1) , el Código Penal de 1995 o sus sucesivas reformas han destinado un Título o rúbrica específica, descartando el establecimiento de un capítulo particular dedicado a los «delitos informáticos» o a los «delitos cibernéticos», o de una norma común que facilite su adecuado tratamiento y sanción. Además, existe una importante dispersión normativa, pues las distintas figuras típicas están diseminadas a lo largo del articulado del Código Penal (arts. 186, 197, 211, 248.2, 256, 264, 270, 286, etc.), ubicándose en distintos capítulos en función de los bienes jurídicos en los que se ha decidido incluirlos. No se considera, a la postre, que exista ningún vínculo común entre ellas. Además, la técnica de formulación normativa utilizada en el Código Penal de 1995 puede calificarse de muy peculiar, ya que en lugar de crear tipos delictivos autónomos, como sucedió por ejemplo en Alemania (mediante la Ley de 15 de

mayo de 1986) o en Italia (por la Ley 23 de diciembre de 1993), el legislador español prefirió modificar y extender el ámbito de aplicación de los delitos tradicionales (estafa, daños, etc.) que presentaban analogías con los nuevos actos ilícitos cometidos a través de las nuevas tecnologías. La extensión de los tipos delictivos clásicos fue realizada de dos maneras. Por una parte, se introdujo dentro de los delitos tradicionales subtipos autónomos para castigar las nuevas modalidades ilícitas. Y, por otra parte, se amplió el ámbito de los objetos materiales de aquellos delitos que presentaban analogías con los nuevos hechos delictivos para proteger los modernos objetos informáticos. La penúltima reforma de 2010 (2) , operada en virtud de la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, en cuanto a los ciberdelitos se ha limitado a introducir nuevos tipos y a reformar algunos ya existentes. Los principales tipos afectados por la reforma han sido el hacking o intrusión informática (art. 197 CP), la estafa informática (art. 248 CP), el cracking o daños informáticos (art. 264 CP) y el nuevo delito de childgrooming o embaucamiento a menores (art. 183 bis CP). La justificación de estas modificaciones, según se explicita en su Preámbulo, ha sido cumplimentar la Decisión Marco 2005/222/JAI, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información. La reforma de 2010 incardina las conductas punibles en apartados diferentes, al tratarse de bienes jurídicos diversos. El primero, relativo a los daños, donde quedan incluidos los consistentes en deteriorar o hacer inaccesibles datos o programas informáticos ajenos, así como obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno. El segundo apartado se refiere al descubrimiento y revelación de secretos, donde se incluye el acceso sin autorización, vulnerando las medidas de seguridad, a datos o programas informáticos contenidos en un sistema o en parte del mismo. Finalmente, por

lo que se refiere al delito de estafa, se incorpora la cada vez más extendida modalidad consistente en defraudar utilizando las tarjetas ajenas o los datos obrantes en ellas, realizando con ello operaciones de cualquier clase en perjuicio de su titular o de un tercero.

Recientemente hemos asistido a la promulgación de la vigesimoséptima reforma (3) del Código de 1995, concretamente la operada por Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. La reforma de 2015, de gran calado, lleva a cabo una extensa revisión (4) del Código Penal, en la conciencia de que el transcurso del tiempo, casi veinte años desde su entrada en vigor, y las demandas sociales evidenciaban la necesidad de llevar a cabo determinadas modificaciones de nuestra ley penal. En general, se revisa el régimen de penas y su aplicación, se adoptan mejoras técnicas para ofrecer un sistema penal más ágil y coherente, y se introducen nuevas figuras delictivas o se actualizan los tipos penales ya existentes con el fin de bridar una respuesta penal más adecuada a las nuevas formas de delincuencia. Del mismo modo, se suprimen aquellas otras infracciones que, por su escasa gravedad, no merecen reproche penal. Gran parte de la reforma está también orientada a dar cumplimiento a los compromisos internacionales adquiridos por España. Por lo que se refiere a la ciberdelincuencia, la reforma presta especial atención al castigo de la pornografía infantil, tipificándose el mero uso o la adquisición de pornografía infantil, y se incluye un nuevo apartado para sancionar a quien acceda a sabiendas a este tipo de pornografía por medio de las TIC, en el entendimiento del legislador de que las nuevas tecnologías constituyen una vía principal de acceso a tales contenidos. Por esta misma razón, se faculta expresamente a los jueces y tribunales para que puedan ordenar la adopción de medidas necesarias para la retirada

de las páginas web de Internet que contengan o difundan pornografía infantil o, en su caso, para bloquear el acceso a dichas páginas. Asimismo, la protección de los menores frente a los abusos cometidos a través de Internet u otros medios de telecomunicación, debido a la facilidad de acceso y el anonimato que proporcionan, se completa con un nuevo apartado en el artículo 183 ter del Código Penal destinado a sancionar al que, a través de medios tecnológicos, contacte con un menor de dieciséis años y realice actos dirigidos a embaucarle para que le facilite material pornográfico o le muestre imágenes pornográficas. La reforma también modifica los delitos relativos a la intromisión en la intimidad de los ciudadanos, con el fin de solucionar los problemas de falta de tipicidad de algunas conductas; en concreto, aquellas en las que las imágenes o grabaciones de otra persona se obtienen con su consentimiento (sexting), pero son luego divulgadas contra su voluntad, cuando la imagen o grabación se haya producido en un ámbito personal y su difusión, sin el consentimiento de la persona afectada, lesione gravemente su intimidad (revenge porn). Por otra parte, la reforma lleva a cabo la transposición de la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión Marco 2005/222/JAI del Consejo, para castigar la interceptación de datos electrónicos cuando no se trata de una comunicación personal. Se introduce una separación entre los supuestos de revelación de datos que menoscaban directamente la intimidad personal, y el acceso a otros datos o informaciones que pueden afectar a la privacidad pero que no están referidos directamente a la intimidad personal. Por ello, se opta por una tipificación separada y diferenciada del mero acceso a los sistemas informáticos.

Asimismo, se incluye la tipificación de la interceptación de transmisiones entre sistemas informáticos cuando no se trata de transmisiones personales: la interceptación de comunicaciones personales ya estaba tipificada en el Código Penal, ahora se trata de tipificar las transmisiones automáticas —es decir, no personales— entre equipos. Además, se tipifica la facilitación o la producción de programas informáticos o equipos específicamente diseñados o adaptados para la comisión de estos delitos. En fin, se regulan separadamente, de un modo que permite ofrecer un gradual nivel de respuesta a la diferente gravedad de los hechos, los supuestos de daños informáticos y las interferencias en los sistemas de información. Por último, la reforma modifica intensamente los delitos contra la propiedad intelectual para hacer frente a la vulneración de los derechos de autor en Internet. A efectos sistemáticos (5) , y si bien no existe una clasificación unánime en la doctrina, cabe distinguir principalmente dos grandes grupos de ciberdelitos: los que atentan contra la intimidad y privacidad y los de carácter económico. Incluso, también cabría sustantivar como ciberdelitos strictu sensu el intrusismo informático e interceptación de las comunicaciones (el hacking) y los daños informáticos y sabotajes (el cracking), frente a los ciberdelitos en sentido amplio, que afectarían a la libertad, el honor y la propia imagen, o el patrimonio entre otros bienes jurídicos más relevantes. Nosotros no vamos a enredarnos en divagaciones sistemáticas no demasiado significantes sobre la naturaleza de las cosas, y examinaremos todos los ciberdelitos en sentido amplio atendiendo fundamentalmente a su ubicación en el Código Penal y a la frecuencia de su comisión en Internet, lo que nos lleva a analizar los siguientes:

Artículo del CP

Ciberdelito Descubrimiento y revelación de secretos

197

Intrusismo informático e interceptación de las comunicaciones (hacking)

197 bis

Utilización no autorizada de imágenes previamente obtenidas con consentimiento (revenge porn)

197.7

Daños informáticos y sabotajes (cracking) Obstaculización informático

o

interrupción

de

un

264 y ss. sistema

264 bis

Estafas

248

Abuso de sistemas informáticos (phreaking)

256

Calumnias

205

Injurias

208

Ciberacoso (cyberstalking)

172 ter

Pornografía infantil Acercamiento y (childgrooming)

187 y ss. embaucamiento

a

menores

183 ter

Delitos contra la propiedad intelectual

270 y ss.

Terrorismo y ciberterrorismo

571 y ss.

No obstante, hay que tener en cuenta que, en la práctica, es habitual de ciertos delitos tradicionales su comisión también mediante el uso de las TIC, si bien su problemática de momento no justifica un tratamiento independiente. Así, en esta categoría cabría incluir por ejemplo: Delito tradicional

Artículo del CP

Amenazas

169 y ss.

Coacciones

172 y ss.

Delito tradicional Extorsión Descubrimiento de secretos de empresa Receptación y blanqueo de capitales

Artículo del CP 243 278 y ss. 298

Delitos contra la salud pública

359 y ss.

Falsedades

386 y ss.

Incitación al odio y a la violencia

510 y ss.

Desórdenes públicos

557 y ss.

Tráfico de armas

563 y ss.

Tras estas consideraciones pasamos a examinar los diversos ciberdelitos, para cuya exposición comenzaremos por los ciberdelitos contra la intimidad y el derecho a la propia imagen.

(1)

Con referencia a los delitos informáticos en la legislación penal española anterior al Código Penal de 1995 vid., por todos, GONZÁLEZ RUS, Juan José, «Aproximación al tratamiento penal de los ilícitos patrimoniales relacionados con medios o procedimientos informáticos», Revista de la Facultad de Derecho de la Universidad Complutense, No 12, 1986. Ver Texto

(2)

Vid. BARRIO ANDRÉS, Moisés, «Los delitos cometidos en Internet. Marco comparado, internacional y Derecho español tras la reforma penal de 2010», La Ley Penal, No 86, 2011; o SALVADORI, Iván, «Los nuevos delitos informáticos introducidos en el Código Penal español con la Ley Orgánica 5/2010. Perspectiva de derecho comparado»,

Anuario de Derecho Penal y ciencias penales, T. 64, No 1, 2011. Ver Texto

(3)

Vid. BARRIO ANDRÉS, Moisés, «De nuevo sobre los ciberdelitos en el derecho español tras la reforma de 2015», Revista de privacidad y derecho digital, No 3, 2016; o VELASCO NÚÑEZ, Eloy, Delitos tecnológicos: definición, investigación y prueba en el proceso penal, Editorial Sepin, Madrid, 2016. Ver Texto

(4)

La reforma, además de revisar el sistema general de penas, introducir la prisión permanente revisable y suprimir las faltas, brinda una mayor protección y seguridad de la sociedad, en particular a colectivos tales como las víctimas del terrorismo, pues ahora se prevé la pena de prisión permanente revisable para aquellas personas que perteneciendo, actuando al servicio o colaborando con las organizaciones o grupos terroristas, atentaren contra las personas y causaran la muerte de una persona; las mujeres, pues se contempla la inclusión del género como motivo de discriminación en la agravante genérica del art. 22.4ª CP; los menores, introduciéndose un artículo en el que se castiga al que a través de Internet, del teléfono o de cualquier otra tecnología de la información y la comunicación contacte con un menor de dieciséis años y proponga concertar un encuentro con el mismo a fin de cometer cualquiera de los delitos descritos en los arts. 183 CP (actos que atentan contra la indemnidad sexual de menores) y 189 CP (exhibicionismo de menores), siempre que tal propuesta se acompañe de actos materiales encaminados al acercamiento; las personas con discapacidad; los titulares de los derechos de propiedad intelectual; los agricultores o ganaderos por los hurtos o robos en el campo; los comerciantes por los delitos patrimoniales; las víctimas de tratas (art. 177 bis CP); los colectivos en defensa de los animales; los profesionales sanitarios de la salud; los mariscadores y, en fin, la protección se extiende frente a las conductas de corrupción, tanto privada como pública, con un endurecimiento de las

penas en delitos de prevaricación administrativa, infidelidad en la custodia de documentos y revelación de secretos, cohecho, tráfico de influencias, apropiación indebida y administración desleal cometida por funcionario público, fraudes y exacciones ilegales, entre otros. Ver Texto

(5)

Por ejemplo, atendiendo a la estructura del Convenio sobre la Ciberdelincuencia de 2001, cabe agrupar las infracciones en cuatro grupos: a) delitos contra la confidencialidad, integridad y disponibilidad de datos o sistemas informáticos; b) delitos asociados a la informática; c) delitos de contenido; y, por último, d) delitos relativos a las infracciones contra la propiedad intelectual y derechos conexos. Pero esta terminología es extraña a nuestra tradición penal. Ver Texto

Capítulo VI  Ciberdelitos contra la intimidad y el derecho a la propia imagen Los artículos 197 a 201 del Código Penal tipifican una serie de delitos que protegen a las personas físicas y jurídicas frente a intromisiones ilegítimas en soportes de almacenamiento de información personal o secreta (p. ej., un ordenador, un teléfono móvil), así como ante las interceptaciones de comunicaciones ya sean a través de teléfono, correo electrónico, aplicaciones móviles de mensajería (como WhatsApp o Telegram) o cualquier otro medio de comunicación. Veamos los distintos tipos penales en particular.

1. DESCUBRIMIENTO SECRETOS

Y

REVELACIÓN

DE

1.1. Tipo básico de descubrimiento y revelación de secretos 1.1.1. Tipo básico El tipo básico, previsto en el artículo 197.1 del Código Penal, comprende:

— el apoderamiento de papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales; — la interceptación de telecomunicaciones; o — la utilización de artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación; — con la finalidad de descubrir los secretos o vulnerar la intimidad de otro. El bien jurídico protegido es la intimidad personal, más concretamente, el derecho fundamental a la inviolabilidad de las comunicaciones consagrado en el artículo 18.3 de la Constitución como parte integrante del derecho a la intimidad personal del individuo. Se tutela la intimidad personal proyectada constitucionalmente y garantizada en el artículo 18 de la Constitución, y se plasma en el ámbito propio y reservado frente a la acción y el conocimiento de los demás (SSTC 89/2006, 57/1994 o 73/1982). La jurisprudencia tradicional ha venido distinguiendo entre descubrimiento de secretos y vulneración de la intimidad como dos bienes jurídicos distintos (STS, Sala 2ª, de 23 de octubre de 2000). En cambio, la jurisprudencia más reciente, siguiendo las observaciones de la doctrina científica, considera que el secreto no constituye un bien jurídico autónomo, sino más bien una concreción del derecho a la intimidad, es decir, el secreto resulta conceptualmente indisociable de la intimidad, por lo que no debe interpretarse en el sentido de confidencialidad, sino relacionado con la intimidad o privacidad de las personas (SSTS, Sala 2ª, de 3 de febrero de 2009 y de 19 de junio de 2006). 1.1.2. Tipo objetivo

Debemos referirnos aquí a los sujetos y a la conducta típica. El sujeto activo puede ser cualquiera, es decir, un particular a quien no pertenecen los papeles, las cartas, los mensajes, etc., quedando excluidos quienes se encuentren dentro del círculo de posibles autores de los tipos cualificados (1) del Código Penal (arts. 197.4 y 5 y art. 198 CP). Las personas jurídicas no pueden ser sujetos activos de este delito. El sujeto pasivo es el titular del bien jurídico protegido, que se corresponde con el del objeto material del delito al emplear el precepto el posesivo sus (STS, Sala 2ª, de 10 de diciembre de 2004). En cuanto a la conducta típica, se castigan las conductas de: — apoderamiento de papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales de otro; o — interceptación de sus telecomunicaciones; o — utilización de artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación. Estamos ante un tipo mixto alternativo, en el que el delito se consuma por la realización de cualquiera de las modalidades de conductas descritas en el tipo, que son fungibles entre sí, siendo indiferente que se realicen una u otras, o incluso todas. Tales comportamientos típicos han de realizarse con la finalidad de descubrir los secretos o vulnerar la intimidad de otro. Si concurre el consentimiento del titular del bien jurídico la conducta es atípica. No cabe la posibilidad de supuestos de autoría de esta figura delictiva en comisión por omisión, al requerir el tipo la realización de conductas inequívocamente activas.

En cuanto a la estructura típica, es un delito mutilado o imperfecto de dos actos (o de resultado cortado), que no requiere para su consumación el efectivo descubrimiento de la intimidad. Basta la conducta de interceptación de telecomunicaciones, presidida por el ánimo de descubrir la intimidad de otro, sin que sea necesario acceder o captar los contenidos íntimos de la vida privada (SSTS, Sala 2ª, de 21 de julio de 2016, de 30 de abril de 2007 y de 10 de diciembre de 2004). El apoderamiento puede ser momentáneo, suficiente para las operaciones mentales de conocer y entender (STS, Sala 2ª, de 3 de abril de 1997). En suma, se trata de un delito de consumación anticipada, pues es suficiente con apoderarse de papeles o interceptar las comunicaciones para que se consume (STS, Sala 2ª, de 20 de junio de 2003). Respecto a cada uno de estos comportamientos particular, cabe precisar lo siguiente:

en

a) El apoderamiento de «papeles, cartas, etc.» debe interpretarse en el sentido equivalente al de la forma comisiva de la apropiación utilizada en el ámbito de los delitos patrimoniales, señalando la jurisprudencia mayoritaria que basta el apoderamiento de su contenido sin consentimiento, y no la apertura de la correspondencia (STS, Sala 2ª, de 23 de diciembre de 2010; SAP Ciudad Real, Sección 1ª, de 30 de noviembre de 2017), siendo suficiente también un apoderamiento virtual (STS, Sala 2ª, de 14 de septiembre de 2000). b) La interceptación de telecomunicaciones (o comunicaciones electrónicas) se refiere a la conducta del tercero que se introduce en la conversación ajena con la finalidad de descubrir los secretos de otro o de vulnerar su intimidad, o de acceder a la comunicación de otro, sin interrumpir u obstruir la misma, comprendiendo tanto las conversaciones telefónicas convencionales o por cable,

como las que tienen lugar por telefonía móvil. Normalmente la conducta consiste en la intervención de teléfonos, pero puede tratarse de la interceptación de cualquier clase de comunicación utilizando medios técnicos (mensajes SMS o de WhatsApp, videollamadas de Skype, etc.). La referencia a «cualquier otra señal de comunicación» es una cláusula general destinada a subsanar las eventuales lagunas de punibilidad que se pueden derivar de los avances de la tecnología moderna (STS, Sala 2ª, de 20 de junio de 2003). c) La utilización de artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, se refiere a un control auditivo y visual clandestinos (STS, Sala 2ª, de 10 de diciembre de 2004). Es decir, exige la instalación oculta de aparatos de filmación en lugares cerrados —viviendas, oficinas, etc.— o el empleo de artificios técnicos para grabar desde fuera lo que sucede en un lugar cerrado como, por ejemplo, la grabación con videocámara de las imágenes de una persona que se encontraba en un vestuario (STS, Sala 2ª, de 2 de diciembre de 2016; SAP Toledo, Sección 2ª, de 22 de junio de 2017). En cambio, serían atípicas las escuchas de una conversación detrás de una puerta o de un armario. También son atípicos los comportamientos de grabación clandestina de imágenes en lugares públicos, como en una playa o en un parque, o la filmación no consentida o clandestina de imágenes en lugares públicos (por ejemplo, una vía pública o una piscina pública), los cuales tienen su tratamiento jurídico sancionador a través de la vía civil (en virtud de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen). 1.1.3. Tipo subjetivo

La parte subjetiva del tipo de injusto de este delito requiere no sólo la concurrencia del dolo, sino también del elemento subjetivo del tipo identificado con la finalidad específica de para descubrir los secretos o vulnerar la intimidad del sujeto pasivo (STS, Sala 2ª, de 21 de marzo de 2007). Es decir, se exige franquear el umbral de la intimidad del otro. En cambio, no cabe aplicarlo al acceso de correos electrónicos profesionales para acceder a contenidos académicos y de investigación (STS, Sala 2ª, de 10 de junio de 2011). No es posible, por tanto, la comisión imprudente. 1.1.4. Penas El tipo básico del delito de descubrimiento y revelación de secretos está castigado con pena de prisión de 1 a 4 años y multa de 12 a 24 meses.

1.2. Protección penal de datos personales 1.2.1. Tipo básico El tipo básico, previsto en el artículo 197.2 del Código Penal, es el de: — apoderamiento; — utilización; o — modificación; — en perjuicio de tercero; — de datos reservados de carácter personal o familiar de otro, que se encuentren registrados o archivados; o — de acceder por cualquier medio a los mismos. La presencia de elementos normativos en el tipo hace necesario acudir a la legislación sobre protección de datos (el Reglamento (UE) 2016/679 del Parlamento Europeo y

del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, el RGPDE en lo sucesivo, y la todavía vigente Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, LOPD en adelante, que será sustituida por una nueva ley orgánica a finales de 2018). El bien jurídico protegido es la libertad informática (habeas data) y el nuevo derecho fundamental a la protección de datos, entendidos como el derecho del ciudadano a controlar la información personal y familiar que se encuentra recogida en ficheros de datos, lo que es una dimensión positiva de la intimidad (STS, Sala 2ª, de 2 de marzo de 2016). Se trata de datos reservados que pertenecen al titular pero que no se encuentran directamente custodiados por el titular, sino integrados en bases de datos o archivos cuya salvaguardia es responsabilidad de terceros, y que resultan protegidos en orden a la autorización de su inclusión, supresión, fijación de plazos, cesión de información, etc. por las normas relativas a la protección de datos, las cuales delimitan la titularidad, el manejo y la cesión de la información contenida en aquéllos. Caracteriza, por lo tanto, esta figura típica el tratarse de datos propios de la intimidad de una persona guardados en bases de datos no controladas directamente por el titular del derecho, y, por ende, sujetas a especiales normas de protección y de acceso que el autor quiebra para acceder. No es un elemento de la protección el carácter oculto de los datos, pues, como señaló la STS, Sala 2ª, de 11 de junio de 2004, «...la privacidad no es sólo, como derecho fundamental, un derecho al ocultamiento de circunstancias personales, sino un derecho a la no divulgación ilegal de los datos, dado que configura una forma del derecho a la libre realización de la

personalidad». Es un delito que atenta a la intimidad de las personas mediante una conducta típica que va referida al acceso o uso ilegítimo de los datos personales insertos en programas y sistemas informáticos, electrónicos o telemáticos.

El nuevo derecho fundamental a la protección de datos está relacionado con la intimidad personal y viene a ser, como recuerda el Tribunal Constitucional, un instituto de garantía de otros derechos, como el de la intimidad, y que es, en sí mismo, un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, un derecho de control sobre los datos relativos a la propia persona (STC 254/1993, de 20 de julio). Lo que se protege es lo que la Constitución llama libertad informática, el derecho a controlar el uso de los datos personales insertos en un programa informático: el habeas data o libertad informática (STC 292/2000, de 30 de noviembre). En efecto, este delito confiere protección penal a la privacy o derecho a la intimidad, de conformidad con lo ordenado en el artículo 18 de la Constitución. Las nuevas tecnologías han menoscabado la configuración tradicional del derecho a la intimidad edificada por la doctrina civilista como derecho de reserva absoluto. El funcionamiento de la informática y de las TIC es incompatible con una prohibición absoluta del tratamiento de los datos, ante los múltiples e impredecibles flujos de información y procesos de feedback o retroalimentación que tienen lugar hoy en día, agravados por el fenómeno del big data (2) y su almacenamiento en la nube (cloud computing). En este contexto, la privacidad no puede seguir siendo definida como aquella esfera individual en la que se constata un «grado cero» de sociabilidad, pues de la misma dimanan no sólo facultades de exclusión de terceros sino también facultades de control sobre los datos personales

informatizados existentes en los sistemas informáticos y en las redes telemáticas (STC 254/1993, de 20 de julio). El derecho a la privacidad deja de configurarse como un derecho negativo, de rechazo de las intromisiones, para pasar a contemplarse como un derecho positivo, de afirmación de la propia libertad y de limitación sobre el poder informático. La privacidad cuenta ahora necesariamente con una proyección social, de ahí que las facultades dimanantes de la misma sean designadas como «libertades informáticas» (STC 254/1993, de 20 de julio, FJ 7º), que otorgan el derecho de control del uso de los datos personales incorporados en un fichero informático. Surge así el habeas data como derecho de control sobre los datos (acceso, rectificación y cancelación de los mismos), interviniendo el Estado en su protección y tutela con Agencias o Comisarios para la Protección de los Datos (3) . La expresión «habeas data» o «habeas scriptum» alude al derecho a la propia intimidad informática o, como señala la doctrina alemana, al derecho a la autodeterminación informativa (4) (cfr. Sentencia del Tribunal Constitucional Federal alemán de 14 de diciembre de 1983, por la que se declara parcialmente contraria a la Constitución (GG) la Ley del Censo de Población «Volkza hlungsgesetz» de 4 marzo 1982). Y, como precisa la STS, Sala 2ª, de 30 de diciembre de 2009, lo que se protege «...es la libertad informática entendida como derecho del ciudadano a controlar la información personal y familiar que se encuentra recogida en ficheros de datos, lo que constituye una dimensión positiva de la intimidad que constituye el bien jurídico protegido».

Así lo ha refrendado nuestro Tribunal Constitucional. La STC 292/2000, de 30 de noviembre, ha reconocido un nuevo derecho fundamental a la protección de datos (FJ 5). Comparte con el derecho a la intimidad del artículo 18.1 CE el objetivo de ofrecer una eficaz protección constitucional de la vida personal y familiar, pero, a diferencia de éste, atribuye a su titular un haz de facultades que consiste, en

su mayor parte, en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos cuya concreta regulación debe establecer la ley, la cual, conforme al artículo 18.4 de la Constitución, debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos (art. 81.1 CE), bien desarrollando su ejercicio (art. 53.1 CE). A la vista de estas facultades positivas nos encontramos ante un derecho fundamental, pero la citada STC lo califica, con cierta imprecisión (5) , como libertad informática en los siguientes términos: «...la peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental tan afín cómo es el de la intimidad radica, así pues, en la distinta función que hacen, cosa que implica, por consiguiente, que también el objeto y el contenido difieran». Y se traduce «...en un derecho de control sobre los datos relativos a la propia persona. La llamada "libertad informática" es así derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención».

Con posterioridad se han producido dos importantes resoluciones del Tribunal de Justicia de la Unión Europea y una de nuestro Tribunal Constitucional. En primer lugar, la STJUE, Gran Sala, de 13 de mayo de 2014 (asunto C-131/12, caso Google/Agencia Española de Protección de Datos (AEPD)/Mario Costeja González) sobre el denominado «derecho al olvido», declara el derecho de supresión y bloqueo de datos (derecho al olvido), atribuyendo al buscador demandado el deber de ponderar el tratamiento de todos los datos y con independencia de la fuente que los origine. Todo ello pese a que existen medios tecnológicos para orientar los motores de búsqueda por parte de las páginas web, admitiéndolos (con las instrucciones index y follow) o rechazándolos (archivo

robots.txt o las instrucciones noindex o noarchive). La STS, Sala 1ª, de 15 de octubre de 2015, sobre digitalización de la hemeroteca de un gran diario, ha matizado las apreciaciones del TJUE en el asunto anterior. Y la STS, Sala 1ª, de 6 de julio de 2017, indica que tampoco cabe ejercer el mismo contra una noticia que omitió el uso del nombre y apellidos y de otros datos personales para referirse al demandante, por lo que no permitía que, en virtud de la indexación que realizan los motores de búsqueda de Internet, una búsqueda en que se utilizaran el nombre y los apellidos del afectado permitiera acceder a la información sobre la acusación de haber cometido un crimen. Como precisa la STS, Sala 1ª, de 15 de octubre de 2015, el derecho al olvido digital «no ampara que cada uno construya un pasado a su medida, obligando a los editores de páginas web o a los gestores de los motores de búsqueda a eliminar el tratamiento de sus datos personales cuando se asocian a hechos que no se consideran positivos. Tampoco justifica que aquellos que se exponen a sí mismos públicamente puedan exigir que se construya un currículo a su gusto, controlando el discurso sobre sí mismos, eliminando de Internet las informaciones negativas, "posicionando" a su antojo los resultados de las búsquedas en Internet, de modo que los más favorables ocupen las primeras posiciones. De admitirse esta tesis, se perturbarían gravemente los mecanismos de información necesarios para que los ciudadanos adopten sus decisiones en la vida democrática de un país».

La reciente STC 58/2018, de 4 de junio, se ha pronunciado por primera vez sobre el derecho al olvido, que estima como una vertiente del derecho a la protección de datos personales frente al uso de la informática (art. 18.4 CE), y es también un mecanismo de garantía para la preservación de los derechos a la intimidad y al honor, con los que está íntimamente relacionado, aunque se trate de un derecho autónomo. Por tanto, es un nuevo derecho fundamental. Consiste en el derecho a la supresión de los datos

personales de una determinada base de datos que los contuviera. Además considera, en las circunstancias del caso (estima parcialmente el recurso de amparo frente a la STS, Sala 1ª, de 15 de octubre de 2015), que cuando se trate de una noticia que relata hechos pasados, sin ninguna incidencia en el momento presente, relativa a personas sin relevancia pública, el daño que la difusión actual de dicha noticia produce en los derechos al honor, intimidad y protección de datos personales de los recurrentes debe estimarse desproporcionado frente al escaso interés actual que la noticia suscita. Por todo ello, la prohibición de indexar los datos personales, en concreto los nombres y los apellidos de los interesados, para su uso por el motor de búsqueda interno de una hemeroteca digital, debe ser considerada una medida limitativa de la libertad de información idónea, necesaria y proporcionada al fin de evitar una difusión de la noticia lesiva de los derechos fundamentales invocados por los afectados, y declara así la nulidad parcial de la citada STS para prohibir la indexación de los datos personales de los demandantes de amparo, en lo que se refiere al nombre y apellidos de los recurrentes, para su uso por el motor de búsqueda interno de la hemeroteca digital del diario demandado. El objeto de este recurso de amparo se limita, por tanto, a la indexación de la noticia en la hemeroteca digital de Ediciones «El País», y a su rechazo a ocultar los nombres de las personas recurrentes en amparo, u «oscurecerlos» a través del uso de sus iniciales. No estamos, por tanto, ante un nuevo conflicto con los motores de búsqueda de los que han ocupado al Tribunal Supremo (por todas, SSTS, Sala 1ª, de 21 de julio de 2016, 4 de julio de 2016, o 16 de marzo de 2016), sino ante un conflicto circunscrito al uso de nombres y apellidos propios como criterio de búsqueda y localización de noticias en el entorno de una hemeroteca digitalizada.

En segundo lugar, la STJUE, Gran Sala, de 6 de octubre de 2015 (asunto C-362/14, caso Maximillian Schrems y Data Protection Commissioner de Irlanda), sobre interpretación de los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea, de los artículos 25.6, y 28 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, así como la validez de la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América, es también expresiva de una máxima protección de los derechos individuales en esta materia, y ha desembocado en la invalidez de la citada Decisión, considerando el TJUE que la autoridad de control de protección de datos de un Estado miembro sí puede examinar la solicitud de una persona relativa a la protección de sus datos personales cuando éstos se hayan transferido desde un Estado miembro a un tercer Estado que no cumpla un nivel de protección adecuado de los datos. 1.2.2. Tipo objetivo Debemos referirnos a los sujetos y a la conducta típica. El sujeto activo puede ser, en principio, cualquiera, salvo que el agente sea la persona encargada del tratamiento o responsable de los ficheros (tipos cualificados de los arts. 197.4 o 5 CP), o una autoridad o un funcionario público quien realice la conducta típica del artículo 197.2 del Código Penal y en los términos previstos en el tipo cualificado del art. 198 CP.

El sujeto pasivo es el titular de los datos reservados de carácter personal o familiar registrados en archivos o ficheros, por lo que quedan excluidas las personas jurídicas (arts. 200 CP, 2.1 RGPDE y 2.1 LOPD). En cuanto a la conducta típica, el precepto prevé tres modalidades típicas: — apoderarse, utilizar o modificar datos reservados de carácter personal o familiar; — acceder a datos reservados; y — alterarlos o utilizarlos. Ello requiere un comentario adicional: a) En relación a la primera modalidad, apoderarse significa hacerse con el control de los datos (p. ej. copiarlos a una memoria USB o a Dropbox), utilizar comporta el uso de los datos, y modificar implica realizar alguna alteración en los mismos. b) En cuanto a la segunda modalidad, acceder es interpretado por la doctrina precisando que no va referido a los datos, sino a los ficheros o soportes informáticos, ya que, de lo contrario, la alteración y utilización se estarían tipificando dos veces. En contra, la SAP Barcelona, Sección 6ª, de 10 de marzo de 2006 estima que el acceso se refiere a los datos y no a los ficheros, aclarando que «no es preciso acceder a los ficheros sino que basta con el acceso a estos datos, que es lo mismo que su conocimiento, aunque se utilice otra persona para ello». c) Finalmente, en la tercera modalidad, alterar o utilizar exige una modificación de los mismos, tanto si se trata de mejorar como de perjudicar la situación del sujeto al que afectan (por ejemplo, cambiando las calificaciones académicas de un alumno).

El objeto del delito son los «datos reservados de carácter personal o familiar». La jurisprudencia mayoritaria no exige que pertenezcan al núcleo duro de la protección de datos, pues cuando así se produce hay que aplicar la agravación del indicado artículo 195.5 del Código Penal (SSTS, Sala 2ª, de 2 de marzo de 2016, de 22 de septiembre de 2015, de 30 de marzo de 2007 y de 11 de julio de 2001). Se consideran por el TS datos reservados los datos relativos al lugar de trabajo y al domicilio de la empresa (STS, Sala 2ª, de 11 de junio de 2004); los extractos bancarios (STS, Sala 2ª, de 15 de febrero de 2018); la base de datos del DNI (STS, Sala 2ª, de 2 de marzo de 2016); los referentes al número de afiliación a la Seguridad Social, domicilio, situación laboral, empresa para la que se trabajaba, domicilio social, y cualquier otro dato que permita la localización personal del trabajador o de sus ingresos contenidos en archivos de la Seguridad Social (SSTS, Sala 2ª, de 4 de junio de 2014 y de 18 de julio de 2005); los antecedentes policiales (STS, Sala 2ª, de 16 de mayo de 2003); la información contenida en las hojas del Padrón Municipal de Habitantes (STS, Sala 2ª, de 11 de julio de 2001); o los datos personales de miembros de una asociación de discapacitados (STS, Sala 2ª, de 9 de octubre de 2000). Por su parte, la reforma de 2015 ha añadido en el apartado 4 del art. 197 CP un segundo tipo agravado, que hace referencia al descubrimiento y revelación de secretos cometido mediante la utilización no autorizada de datos personales de la víctima, siguiendo lo establecido en el artículo 9.5 de la Directiva 2013/40/UE, de 12 de agosto, ya citada. Esta agravación parece ir referida a los casos en los que se produce una suplantación de personalidad, mediante la utilización de los datos de otra persona como medio para atentar contra su intimidad, valiéndose de la confianza que se genera en un tercero por la apariencia de

veracidad que proporciona el empleo de tales datos (por ejemplo, en perfiles de redes sociales). Y es que el incardinamiento de estas conductas en el delito de usurpación del estado civil tipificado en el artículo 401 del Código Penal resulta bastante problemático, puesto que la jurisprudencia viene exigiendo que el infractor se haga pasar en su totalidad por otra persona, y asimismo con carácter permanente. Además de la nueva tutela penal, cabe señalar la existencia de varias resoluciones sancionadoras de la Agencia Española de Protección de Datos, con inicio en la de 27 de julio de 2011, que sancionan administrativamente con una multa la suplantación de identidad de un tercero en redes sociales. Estamos, al igual que sucedía con el tipo básico del apartado anterior, ante un tipo mixto alternativo y de intención, así como ante un delito mutilado o imperfecto de dos actos, en el que el autor quiere causar con su propia conducta el resultado que va más allá del tipo objetivo. Quedan fuera del ámbito de aplicación de este tipo no sólo las conductas ilícitas relacionadas con la informática y las telecomunicaciones —como las de captación subrepticia de mensajes electrónicos, ya recogidas en el art. 197.1 CP—, sino también las realizadas sobre datos de carácter personal con anterioridad a su registro o archivo, como las de recogida ilícita de datos personales con fines informáticos o de creación clandestina de ficheros o archivos de datos personales. Por último, la conducta típica ha de realizarse por el sujeto activo sin estar autorizado para llevarla a cabo, como, por ejemplo, accediendo indebidamente a la fuente de datos reservados de carácter personal o familiar y registrados en ficheros de la Seguridad Social (STS, Sala 2ª, de 11 de junio de 2004). En caso de concurrir la autorización, conforme al RGPDE y a la LOPD, la conducta será atípica.

Así las cosas, el artículo 197.2 del CP complementa la regulación administrativa sancionadora contenida en la LOPD, estableciendo castigo penal a los ataques contra los «datos reservados de carácter personal o familiar», de modo que comete este delito el delincuente que accede a datos reservados de esta índole. No obstante, la doctrina, casi de modo unánime, ha criticado el presente tipo, puesto que existe una tutela civil y administrativa suficiente y, además, origina múltiples problemas a la hora de esclarecer las conductas penales (6) . Lo más correcto hubiera sido reservar la represión penal para aquellos datos que directamente afectan a la privacidad del sujeto (datos sobre ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual), en tanto que la tutela administrativa de la LOPD operaría para el resto de datos personales. Sin embargo, esta interpretación no tiene cobijo en el Código Penal, por cuanto que el art. 197.5 CP ya alberga un tipo agravado para los supuestos de intrusismo informático sobre datos personales pertenecientes al núcleo de la privacidad —los que la LOPD denomina en su art. 7 «datos especialmente protegidos» y el RGPDE «categorías especiales de datos personales»— (datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual). De este modo, dado que el Código Penal prevé un tipo agravado para esta categoría de datos, a sensu contrario debe entenderse que los datos tutelados en el tipo básico son todos los demás, es decir, los no especialmente protegidos. En consecuencia, resulta forzoso que el legislador opere un adecuado deslinde entre la tutela penal y administrativa siguiendo el principio de mínima intervención penal. 1.2.3. Tipo subjetivo

La conducta sólo admite la comisión dolosa, excluyéndose su incriminación imprudente. Además, el art. 197.2 CP requiere la concurrencia de un especial elemento subjetivo del tipo, al exigir que el agente obre en perjuicio de otro. No es necesaria la causación del perjuicio ajeno para consumar el delito, al ser suficiente con que la realización de la acción típica se lleve a cabo para causar a otro cualquier clase de perjuicio, no necesariamente económico (SSTS, Sala 2ª, de 3 de febrero de 2016 y de 11 de julio de 2001) (7) , como es que los datos sean conocidos por el cibercriminal. Tal perjuicio se ocasionaría siempre que se trate de un dato considerado «sensible» por ser inherente al ámbito de la intimidad más estricta, debiéndose acreditar en caso de datos «no sensibles» (STS, Sala 2ª, de 23 de septiembre de 2015). 1.2.4. Penas La pena es la misma que en el apartado anterior: prisión de 1 a 4 años y multa de 12 a 24 meses.

1.3. Revelación de secretos de origen ilícito El artículo 197.3 del Código Penal en su párrafo 2º castiga con las penas de prisión de 1 a 3 años y multa de 12 a 24 meses, a quien: — con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento; — difunde, revela o cede los datos o hechos descubiertos o imágenes captadas a que se refieren los apartados anteriores del precepto. Las exigencias de este tipo autónomo son:

a) De un lado, como requisito objetivo se requiere difundir, revelar o ceder a terceros datos o hechos descubiertos o imágenes captadas por otro, en los términos descritos en los tipos básicos del art. 197.1 y 2 CP, pero sin haber tomado parte en su descubrimiento. b) De otro lado, como requisito objetivo además del dolo de difundir, revelar o ceder a terceros los datos o hechos descubiertos o imágenes captadas, ha de concurrir el elemento subjetivo del tipo de injusto de tener conocimiento del origen ilícito de la información así obtenida y divulgada (STS, Sala 2ª, de 10 de diciembre de 2004). Por ejemplo, comete el delito quien difunde un vídeo íntimo de la víctima, bien contribuyendo a la consumación publicitaria, bien participando como meros distribuidores (STS, Sala 2ª, de 27 de mayo de 2015). O quien vulnera la intimidad de un tercero distribuyendo las imágenes de contenido sexual grabadas por otros, con conocimiento de su origen ilícito (STS, Sala 2ª, de 10 de diciembre de 2004). La doctrina ha señalado que este tipo autónomo de revelación puede suponer, en la práctica, una importante limitación al ejercicio de la libertad de información, restringiendo el ámbito de aplicación de la correspondiente causa de justificación del ejercicio legítimo de un derecho —de información— frente a las conductas abusivas de la libertad de información, consistentes en la difusión de informaciones derivadas de la realización de las conductas típicas del art. 197.1, 2 y 3 CP por parte de terceros, en las que no ha tomado parte el agente, aunque sí conoce su origen ilícito.

1.4. Tipos agravados Los tipos cualificados de los delitos de descubrimiento y revelación de secretos pueden sistematizarse en dos grupos:

a) Los derivados de los tipos básicos del art. 197 del CP, que se concretan en seis tipos agravados: 1. difusión de datos descubiertos o de imágenes captadas (art. 197.3 párr. 1º CP); 2. por razón del sujeto activo: delitos cometidos por las personas encargadas del tratamiento o responsables de los ficheros, respecto de los tipos del art. 197.1 y 2 CP (art. 197.4.a) CP); 3. por razón de la utilización no autorizada de datos personales de la víctima (art. 197.4.b) CP); 4. por afectar a datos personales especialmente sensibles o categorías especiales de datos personales (art. 197.5 CP); 5. por finalidad lucrativa (art. 197.6 CP); y, finalmente, 6. por pertenencia a una organización o grupo criminal (art. 197 quáter CP). b) El tipo cualificado por la condición de la autoridad o funcionario público del sujeto activo, y que es común a todas las modalidades previstas en el art. 197 del CP (art. 198 CP).

2. INTRUSISMO INFORMÁTICO E INTERCEPTACIÓN DE LAS COMUNICACIONES (HACKING) El intrusismo informático y la interceptación de las comunicaciones electrónicas constituyen los ciberdelitos clásicos por excelencia y reciben conjuntamente la denominación tradicional de hacking. Siguiendo a MORÓN LERMA (8) , podemos definir el «hacking» como «...el conjunto de comportamientos de acceso o interferencia no autorizados, de forma subrepticia, a un sistema informático

o red de comunicaciones, y a la utilización de los mismos sin autorización o más allá de la misma». Así, las prácticas más habituales incluyen el descifrado de contraseñas (password guessing), la creación de puertas traseras (backdoors), la instalación de caballos de Troya, trampas y bombas lógicas, la captura de los paquetes de datos (9) (sniffing), el acceso o control remoto (remote access tools; RAT) o, en fin, las interceptaciones ilegales de transmisiones de datos informáticos, entre otras. En definitiva, se sanciona aquí el llamado hacking criminal, consistente, como en breve desarrollaremos, en el acceso inconsentido al propio sistema informático (o de información, que son conceptos equivalentes), a informaciones ubicadas en el sistema o en la red de comunicaciones (bases de datos, servidores, routers, software, etc.), o a transmisiones privadas de datos entre los sistemas, sin permiso del titular y sin necesidad de móvil o acción posterior alguna. Se diferencia del «cracking» o daños informáticos y sabotajes, que examinaremos después, en que no causa daños ni inutiliza el sistema. Se castiga, por tanto, el mero hecho de saltarse las barreras de seguridad informáticas (10) (firewalls, sistemas de detección de intrusión —IDS—, etc.), que se reputa como un atentado contra el derecho a la intimidad informática, pero siempre que exista como resultado un acceso o un mantenimiento en el mismo sin autorización. A partir de la reforma de 2015, los incidentes de hacking clásico puro (11) , es decir, las conductas llevadas a cabo por hackers cuya única finalidad consiste en burlar las medidas de seguridad informáticas, sin el menor interés hacia el contenido de la información a la que podría accederse y, por tanto, sin apoderamiento de los datos, podrían ser también supuestos típicos, ya que el tipo no requiere que dicha conducta permita, de lugar, o posibilite en alguna forma el

conocimiento reservado.

de

información

de

carácter

íntimo

o

La reforma de 2015 ha querido despejar algunas dudas sobre la incardinación de ciertas conductas criminales y ha brindado un tratamiento sistemático autónomo a dicha figura típica, sacándola del art. 197 del CP —que regula, como sabemos, los tipos básicos y cualificados de descubrimiento y revelación de secretos recién estudiados —, por lo que ubica ahora estos ciberdelitos por antonomasia en el vigente artículo 197 bis del Código Penal, a la vez que amplía el ámbito de punibilidad con la introducción del nuevo art. 197 ter del CP, que sanciona en puridad actos preparatorios preordenados a la comisión de los delitos del art. 197 bis del CP. Se ha objetado que la inclusión de este delito en el seno de los delitos contra la intimidad es controvertida y provoca diversos problemas interpretativos, además de tensionar toda la sistemática del título X del libro II, a lo cual debe añadirse el adelantamiento de la intervención penal, por todo ello debería de dotarse de autonomía a esta figura dada su dimensión transversal. Comenzaremos por el primero de estos ciberdelitos.

2.1. Intrusismo informático 2.1.1. Tipo básico El tipo básico, recogido ahora en el artículo 197 bis.1 del Código Penal, castiga al que: — por cualquier medio o procedimiento; — vulnerando las medidas de seguridad establecidas para impedirlo; y — sin estar autorizado;

— acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información; o — se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo. Se discute si el bien jurídico protegido es la seguridad de los sistemas de información, o en cambio la intimidad de los sistemas informáticos. Además, se configura el delito como un tipo de peligro abstracto, en el que la conducta típica ha de ser idónea para poner en peligro la seguridad informática. Nuestro Código Penal sigue la senda del Derecho italiano (art. 615 ter CP italiano), dado que con la tipificación de estas conductas se produce un adelantamiento de las barreras de protección de la intimidad al considerar el legislador que la mera intromisión informática ya pone en peligro la privacidad del titular de los sistemas, lo cual además aparece refrendado por el preámbulo de la Ley Orgánica 1/2015: «De acuerdo con el planteamiento recogido en la Directiva [2013/40/UE, de 12 de agosto], se introduce una separación nítida entre los supuestos de revelación de datos que afectan directamente a la intimidad personal, y el acceso a otros datos o informaciones que pueden afectar a la privacidad pero que no están referidos directamente a la intimidad personal: no es lo mismo el acceso al listado personal de contactos, que recabar datos relativos a la versión de software empleado o a la situación de los puertos de entrada a un sistema. Por ello, se opta por una tipificación separada y diferenciada del mero acceso a los sistemas informáticos.»

A nuestro juicio, el bien protegido sería más propiamente la seguridad de los sistemas informáticos y de las redes, y su incorporación deriva de los instrumentos internacionales y europeos antes citados. En efecto, la seguridad en la Sociedad de la Información, concretada en la ciberseguridad de los sistemas y de las redes, es un bien jurídico de primer

orden, a la vista de crecientes ataques perpetrados por grupos terroristas o de criminalidad organizada transnacional. Por tanto, subyace en el tipo la tutela de los sistemas informáticos y de las redes de comunicaciones, de ahí la crítica con relación de la ubicación del nuevo ciberdelito entre los delitos contra la intimidad. 2.1.2. Tipo objetivo Debemos referirnos a los sujetos y a la conducta típica. El sujeto activo puede ser cualquiera que acceda ilícitamente a datos o programas informáticos contenidos en un sistema informático. Es un delito común. El sujeto pasivo es el titular del sistema informático. En cuanto a la conducta típica, se castigan las conductas de: — acceder sin estar autorizado, o facilitar el acceso, por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, a datos o programas informáticos contenidos en un sistema informático; o — en mantenerse dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo. Se trata de un tipo mixto alternativo, es decir, integrado por conductas de acceder, facilitar o mantenerse, fungibles entre sí, resultando indiferente que se realice una u otra, o incluso todas, pues el delito seguirá siendo único. Además, es un tipo de medios indeterminados, al poder ser ejecutado por cualquier medio o procedimiento. El alcance de la conducta típica, en el plano objetivo, está condicionado y limitado por la exigencia de la vulneración de las medidas de ciberseguridad, cifrado, contraseñas, etc.

establecidas autorizado.

para

impedir

el

acceso

informático

no

Su estructura típica es la de un delito de peligro abstracto que no requiere que la intromisión informática haya supuesto una efectiva afectación de la intimidad del titular del sistema, siendo suficiente con la idoneidad de la conducta para menoscabar la seguridad del sistema. Con anterioridad a la reforma de 2015, la jurisprudencia mayoritaria entendía que las conductas de hacking sólo podían constituir delito si venían acompañadas del apoderamiento de datos personales y se realizaban con la finalidad de descubrir secretos (STS, Sala 2ª, de 30 de abril de 2007). Sin embargo, a partir de ahora se ha ampliado la protección de la intimidad y privacidad a los propios sistemas informáticos para dar cumplimiento a la Directiva de 2013, consumándose la conducta con la simple entrada en el sistema o en parte del mismo. El precepto, frente a la versión de 2010, mantiene como exigencias típicas la «ausencia de autorización» y la «vulneración de las medidas de seguridad». Pero añade como nueva modalidad típica el «facilitar a otro el acceso», convirtiendo en autoría conductas de participación. Las conductas tipificadas requieren alguna precisión adicional: a) La primera modalidad típica es el acceso al sistema o a parte de él (que comprende el software y el hardware, incluyendo el acceso a un router), y por tanto engloba a los datos. Puede lograrse por cualquier medio o procedimiento, pero siempre vulnerando las medidas de seguridad establecidas para impedirlo, lo que permite concluir que la inexistencia de medidas de seguridad informática determina la atipicidad del acceso. La reforma de 2015 ha suprimido el «efectivo» acceso a los «datos» o «programas concretos» alojados en un sistema informático, siendo ahora suficiente

con el mero acceso al «sistema». No parece necesario que para acceder a los datos haya que abrir los archivos, sino que basta con tener la posibilidad de realizar acciones informáticas sobre ellos. El acceso puede ser de dos tipos: directo o remoto. El acceso directo se produce cuando se accede físicamente a un sistema informático ajeno, sorteando la clave de acceso al mismo. Se discute si cualquier forma de descubrir la contraseña supone vulnerar las medidas de seguridad. Parece razonable exigir que se haya tratado de mantener la clave secreta por parte del interesado (por ejemplo, no sería típico el acceso si el usuario tiene la clave escrita en una nota junto al ordenador). El acceso remoto se lleva a cabo mediante una red de telecomunicaciones pública o privada. Este segundo tipo de acceso es el más habitual entre las conductas de hacking, y es difícilmente perseguible cuando se realiza desde conexiones no protegidas o desde redes que facilitan el anonimato (como es el caso de la red Tor). b) La segunda modalidad típica, introducida por la reforma de 2015, es facilitar el acceso, lo que supone convertir en autoría conductas de participación, y por ello ha recibido duras críticas desde la doctrina. c) La última modalidad típica de este delito consiste en mantenerse dentro del sistema contra dicha voluntad, y exige que el acceso previo tiene que haber sido lícito, porque si se hubiera realizado vulnerando medidas de seguridad ya se aplicaría la primera modalidad. Sin embargo, resulta discutible el supuesto del acceso previo que, sin vulnerar las medidas de seguridad, no cuenta con la aprobación del titular del sistema. De acuerdo con la ratio del precepto, y advirtiendo un cierto paralelismo con el delito de allanamiento de morada, mantenerse dentro del sistema en este caso realizaría este tipo, puesto que lo que se pretende es evitar que quien haya accedido al sistema

con el consentimiento del titular permanezca en él cuando se le retire dicho consentimiento. En todos los casos se repite el requisito de la falta de una autorización cuyo titular no se indica, pero que debe entenderse en relación con quien pueda otorgarla, ya sea la persona a la que tales datos se refieren, ya sea el que tenga el legítimo derecho a la exclusión de terceros. Con esta salvedad se otorga cobertura al llamado hacking ético, que es desarrollado por expertos en seguridad informática con el objeto de detectar y corregir vulnerabilidades en los sistemas por encargo de su titular. El objeto del delito es un «sistema de información», que consiste en todo aparato o grupo de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos informáticos, así como los datos informáticos almacenados, tratados, recuperados o transmitidos por dicho aparato o grupo de aparatos para su funcionamiento, utilización, protección y mantenimiento (art. 2.a) Directiva 2013/40/UE). 2.1.3. Tipo subjetivo Sólo es posible su comisión a título de dolo. Por lo tanto, el delincuente ha de ser consciente y querer acceder ilícitamente (es decir, sin autorización) a datos o programas informáticos contenidos en un sistema informático o en parte del mismo, vulnerando las medidas de seguridad establecidas para evitar el acceso informático ilícito, o mantenerse dentro del sistema informático en contra de la voluntad de quien tiene el legítimo derecho a excluirlo. Este tipo, a diferencia de lo que sucede con otros tipos básicos del art. 197 CP, no parece requerir la concurrencia de un elemento subjetivo del tipo.

2.1.4. Penas El tipo básico del delito lleva aparejada una pena de prisión de 6 meses a 2 años.

2.2. Interceptación ilegal de comunicaciones entre sistemas de información 2.2.1. Tipo básico El nuevo tipo básico introducido en 2015, ubicado en el artículo 197 bis.2 del Código Penal, castiga a quien: — mediante la utilización de artificios o instrumentos técnicos; — y sin estar autorizado; — intercepte transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos. La reforma de 2015 lleva a cabo, como hemos apuntado, la transposición de la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión Marco 2005/222/JAI del Consejo. Pretende dotar de la necesaria protección a los propios sistemas de información, y que sean consideradas delictivas aquellas conductas que consistan en el acceso e interferencia ilegales de los mismos, así como de los datos informáticos que contengan. Por «datos informáticos» debe entenderse toda representación de hechos, informaciones o conceptos de una forma que permite su tratamiento por un sistema de información, incluidos los programas que sirven para hacer

que dicho sistema de información realice una función (art. 2.b) Directiva 2013/40/UE). En este sentido, se ha incorporado como conducta delictiva el llevar a cabo, sin autorización y mediante la utilización de artificios u instrumentos técnicos, la interceptación de transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas (12) de los mismos (art. 197 bis, apartado 2 CP). Es decir, van a ser objeto de persecución penal no solo la interceptación de comunicaciones personales, que ya estaba recogida en el Código, sino también aquellas interceptaciones que se produzcan entre sistemas o equipos (por ejemplo, las transmisiones entre un banco y las cámaras de compensación bancarias, o entre la plataforma de Hacienda y la Tesorería General de la Seguridad Social), incluso las que median entre una persona y un ordenador, como por ejemplo, en palabras del informe preparatorio de la Convención de Budapest, las que se establecen a través del teclado; es decir, no interpersonales. En consecuencia, se comete el nuevo delito por acceder a conocer la «versión de software empleado» o la «situación de los puertos de entrada a un sistema», según aclara a modo de ejemplo la Exposición de Motivos de la Ley Orgánica 1/2015, de 30 de marzo, pero tienen que ser de acceso restringido. A la vista del artículo 197.1 del Código Penal, el precepto exige una delimitación con respecto a las conductas típicas de interceptación de telecomunicaciones. Por ello, cabría concluir que las conductas previstas el meritado art. 197.1 CP son comunicaciones privadas que exigen el empleo de artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, «o de cualquier otra señal de comunicación». En cambio, en el presente art. 197 bis.2 CP se trataría de transmisiones automáticas

de datos no públicas, lo cual debería haber reflejado el legislador con mucha más claridad. Por la estructura del tipo y la definición de las conductas típicas se trata de un tipo de recogida que viene a penalizar todas aquellas conductas en las que el sujeto activo, mediante el empleo preferente de técnicas de hacking (por ejemplo, utilización de herramientas de spyware, rootkits u otro tipo de malware), aunque no sólo, ejerce un control no autorizado sobre un sistema de información. La acción consiste en interceptar esas transmisiones utilizando artificios o instrumentos técnicos, no exigiendo el tipo que afecte a la intimidad de personas concretas. Y dada la línea de anticipación de la tutela penal que persigue el tipo, y teniendo en cuenta que no se trata de comunicaciones privadas personales, se prescinde del elemento subjetivo del injusto concretado en la intención de vulnerar la intimidad presente en el art. 197.1 del CP, por lo que basta aquí un dolo general. 2.2.2. Pena La pena prevista es de prisión de 3 meses a 2 años, o multa de 3 a 12 meses.

2.3. Delito de facilitación informáticas dañinas

de

herramientas

Otra novedad de la reforma de 2015 a este respecto es considerar delictiva tanto la producción como la adquisición para su uso, la importación o facilitación a terceros, de programas informáticos concebidos o adaptados para cometer estos delitos, y también proporcionar contraseñas de ordenador o códigos de acceso que permitan acceder a todo o parte de un sistema de información (art. 197 ter CP).

El nuevo artículo 197 ter del Código Penal castiga con una pena de prisión de 6 meses a 2 años o multa de 3 a 18 meses al que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos tipificados en los apartados 1 y 2 del artículo 197 o el artículo 197 bis del Código Penal: — un programa informático, concebido o adaptado principalmente para cometer dichos delitos; o — una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información. La estructura típica viene presidida por un elemento subjetivo del injusto, añadido al dolo del autor, concretado en la intención específica de facilitar la comisión de los delitos antes referidos. Se recoge aquí un tipo mixto alternativo de peligro abstracto, muy criticado doctrinalmente por la anticipación de la tutela penal y por la problemática de categorizar los programas delictivos, muchos de los cuales admiten un doble uso. En relación con esta cuestión, puede trasladarse la doctrina sobre los programas genéricos o con tecnología de doble uso que resulta de aplicación, por ejemplo, en los delitos contra la propiedad intelectual o en los delitos relativos a la defensa nacional. Así, determinados programas denominados keygen (generadores de contraseñas), o cracks (que suprimen las medidas de protección de un programa informático), pueden haber sido diseñados para varios fines, algunos de los cuales pueden resultar atípicos a todos los efectos, e incluso lícitos, en la medida en que, por ejemplo, sean utilizados por los usuarios para realizar copias privadas de seguridad de sus propios datos, aun protegidos, conforme ampara la

legislación sobre propiedad intelectual (art. 31 TRLPI), o bien para probar la seguridad del software a efectos de su certificación bajo las normas ISO. Será necesario generalmente un informe pericial para acreditar esta circunstancia. Cuando el iter crimis supere la preparación delictiva para entrar en la órbita ejecutiva de los delitos expresados, el delito del art. 173 ter CP quedará absorbido por aquéllos, en aplicación del principio de consunción (art. 8.3ª CP). En definitiva, el nuevo delito del artículo 197 ter del Código Penal supone un claro adelantamiento de las barreras de protección, que se plasma tipificando conductas de mero favorecimiento y castigando actos meramente preparatorios que formalmente determinan la consumación del delito. Dada su redacción defectuosa se van a plantear problemas interpretativos a la hora de establecer qué programas están concebidos o adaptados principalmente para cometer delitos.

3. UTILIZACIÓN NO AUTORIZADA DE IMÁGENES PREVIAMENTE OBTENIDAS CON EL CONSENTIMIENTO DE LA VÍCTIMA EN UN LUGAR PRIVADO (SEXTING Y REVENGE PORN) Por último, y para cerrar el examen de los tipos penales de este capítulo, debemos referirnos al nuevo artículo 197.7 del Código Penal, incorporado por la reforma de 2015 en cumplimiento de la Directiva 2013/40/UE, que tipifica la conducta de difundir, revelar o ceder a terceros imágenes o grabaciones audiovisuales, ejecutada sin autorización del titular de aquéllas, y que fueron obtenidas en un previo contexto de privacidad con el consentimiento inicial de la persona afectada para ese ámbito íntimo, muchas veces de contenido erótico (el sexting, que designa el envío mensajes

explícitos de contenido erótico o sexual desde un dispositivo móvil). Se contempla, en su primer apartado, un tipo básico del delito contra el derecho a la propia imagen, en cuanto castiga con una pena de prisión de 3 meses a 1 año o multa de 6 a 12 meses al que: — sin autorización de la persona afectada; — difunda, revele o ceda a terceros grabaciones audiovisuales de aquélla;

imágenes

o

— que hubiera obtenido con su anuencia en un domicilio o en cualquier otro lugar fuera del alcance de la mirada de terceros; — cuando la divulgación menoscabe intimidad personal de esa persona.

gravemente

la

Por su parte, en su segundo apartado, se establecen tres subtipos agravados, disponiendo que la pena se imponga en su mitad superior en los siguientes casos: a) cuando los hechos hubieran sido cometidos por el cónyuge o por persona que esté o haya estado unida a él por análoga relación de afectividad, aun sin convivencia; b) cuando la víctima fuera menor de edad o una persona con discapacidad necesitada de especial protección; c) cuando los hechos se hubieran cometido con una finalidad lucrativa. El bien jurídico protegido en todas las modalidades típicas reguladas es el derecho a la propia imagen, pero no en general, sino en relación con la protección de la intimidad. Esta consideración cabe derivarla de la referencia que el art. 197.7 del CP realiza al hecho de que la divulgación de las imágenes o grabaciones audiovisuales debe comportar un daño grave de la intimidad personal del sujeto pasivo del

delito. En este sentido, si bien resulta acertada esta referencia legislativa al menoscabo de la intimidad personal, que debe ser entendida como un elemento del tipo y, más concretamente, como un resultado de peligro, en cambio resulta criticable la indeterminación con la que dicha referencia es configurada por el legislador. La jurisprudencia del Tribunal Supremo, sobre la base de la tradición interpretativa de los delitos relativos a la protección del derecho al honor y a la intimidad, deberá establecer criterios materiales para determinar cuándo se produce dicho resultado de peligro, consistente en un perjuicio grave de la intimidad personal del sujeto pasivo del delito. Con este nuevo delito, el legislador pretende hacer frente al fenómeno de la distribución de la pornografía vengativa (revenge porn) que tiene su origen en el señalado sexting, es decir, el envío voluntario de fotos y vídeos de contenido erótico a novios, pareja, amantes, amigos, etc. Intenta, de este modo, dar una respuesta penal a supuestos, no previstos en la anterior regulación, «...en los que las imágenes o grabaciones de otra persona se obtienen con su consentimiento, pero son luego divulgados contra su voluntad, cuando la imagen o grabación se haya producido en un ámbito personal y su difusión, sin el consentimiento de la persona afectada, lesione gravemente su intimidad» (Preámbulo de la Ley Orgánica 1/2015, SAP Valladolid, Sección 4ª, de 6 de octubre de 2017 y SAP Valencia, Sección 1ª, de 25 de noviembre de 2016), y cuyas deficiencias fueron puestas de relieve a raíz de un caso mediático que afectó a una exconcejala de un municipio de Toledo. No obstante, si no se trata de una «grabación audiovisual» sino, por ejemplo, de una carta en la que se describe una relación amorosa o sexual compartida, la divulgación por el que la recibe y participó en esa relación no integra el tipo que venimos comentando.

Parte de la doctrina (13) se muestra muy crítica con la creación de este nuevo delito, al no entender la razón por la que el Derecho penal debe proteger la expectativa de intimidad de quienes han renunciado a ella, a través de actos concluyentes, al ceder las imágenes o grabaciones a terceros voluntariamente. Se advierte, además, de la creación de un deber jurídico-penal de sigilo que obliga a seleccionar y no difundir las imágenes que pudieran afectar a la intimidad del emisor de las mismas. Otro sector de la doctrina, en cambio, defiende la introducción del nuevo delito por considerar que no es lo mismo consentir en la realización de una grabación para uso privado de dos personas que consentir en la difusión de la misma, dejando el consentimiento de abarcar un aspecto importante de la intimidad. Y aunque el sentido original del término anglosajón (sex, que significa sexo, y texting, envío de mensajes de texto vía SMS) se limitara al envío de textos, con la generalización de los smartphones el objeto del delito viene actualmente integrado por imágenes, vídeos y todo tipo de contenido multimedia, lo que incluye su divulgación por FaceTime, Skype, etc. En suma, este nuevo ciberdelito viene a castigar la difusión de contenidos audiovisuales de índole íntima, muchas veces de carácter sexual, con el objetivo de dañar la reputación de una persona con la que se ha mantenido una relación sentimental. Estos contenidos se completan habitualmente con algún dato identificativo y de conocimiento íntimo de la víctima a fin de permitir fácilmente su identificación. Por eso, en otros derechos el delito recibe la denominación de revenge porn o revenge pornography (pornografía vengativa). El tipo no limita las conductas a aquellas que afectan al núcleo duro de la intimidad, y sólo introduce como límite al castigo la exigencia de que el menoscabo de la intimidad sea grave. Siguiendo la recomendación del Informe del CGPJ al

Anteproyecto, se recoge una agravación de la pena (mitad superior) para los supuestos en los cuales la divulgación de las imágenes se lleve a cabo por el cónyuge o por persona que esté o haya estado unida a él por análoga relación de afectividad, aun sin convivencia, la víctima fuera menor de edad o una persona con discapacidad necesitada de especial protección. La misma agravación se prevé si los hechos se hubieran cometido con una finalidad lucrativa.

Finalmente, en cuanto a la responsabilidad penal de las personas jurídicas, el art. 197 quinquies CP prevé la misma en relación a los delitos comprendidos en los arts. 197, 197 bis y 197 ter.

4. CAUSAS DE JUSTIFICACIÓN Son varios los supuestos, relacionados con los delitos integrantes del presente capítulo en los que pueden concurrir distintas causas de justificación, lo cual exige un comentario adicional. De una parte, los casos amparados por la causa de justificación del ejercicio legítimo de un derecho (art. 20.7º CP), como son: 1) la intervención judicial de la correspondencia privada y comunicaciones telefónicas del procesado, o las nuevas medidas de investigación tecnológica en el proceso penal (art. 579 y ss. LECrim), que examinaremos más adelante; 2) la intervención por parte del director del establecimiento penitenciario de las comunicaciones orales y escritas de los internos, dando cuenta a la autoridad judicial competente (art. 51.5 de la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria). De otra parte, los supuestos más polémicos son los que se producen en el conflicto derivado del derecho fundamental a la intimidad (art. 18.1 CE) y el derecho fundamental a

comunicar libremente información veraz por cualquier medio de comunicación (art. 20.1.d) CE). En relación a este último derecho fundamental, ya al respecto había señalado Thomas JEFFERSON en 1787 que, al ser la opinión pública la esencia del gobierno americano, si le dieran a escoger entre un país en que hubiera gobierno sin periódicos, u otro en el que hubiera periódicos sin gobierno, no dudaría en elegir este último. Y se manifiesta en dos perspectivas: el derecho a comunicar libremente información veraz por cualquier medio (perspectiva activa) y el derecho a recibir información (perspectiva pasiva). El derecho a comunicar libremente información veraz (art. 20.1.d) CE) protege la difusión de hechos que merecen ser considerados noticiables por venir referidos a asuntos de relevancia pública que son de interés general por las materias a que se refieren o por las personas que en ellos intervienen (STC 41/2011, de 11 de abril).

La veracidad que requiere el artículo 20.1.d) CE se exige a la libertad de información, no en la libertad de expresión. La información está protegida por la libertad de información cuando ha sido contrastada previamente con arreglo a cánones de profesionalidad informativa (por todas, STC 129/2009, de 1 de junio). Existe el derecho de rectificación conforme a informaciones falsas, que está regulado en la Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación. Esta exigencia de veracidad de la información alcanza su máxima importancia en la imputación de hechos delictivos: si la noticia es veraz, la libertad de información opera como causa de justificación frente a una eventual querella por calumnias contra el informador (STC 2/2001, de 15 de enero). Pero si no es veraz no hay causa de justificación alguna, incluso aunque se trate de asuntos de naturaleza política (SSTC 1/2005, de 17 de enero o 47/2002, de 25 de febrero).

En cuanto a los límites de este último derecho fundamental, y como bien señala RODRÍGUEZ-ZAPATA (14) , la fuerza expansiva del derecho a la libertad de información obliga a una interpretación sumamente restrictiva de los límites que expresa el artículo 20.4 CE. En lo que se refiere a su conflicto con los derechos al honor, la intimidad y la propia imagen, el Tribunal Constitucional afirma que el órgano judicial debe ponderar las circunstancias concurrentes en el caso concreto para determinar cuál es el derecho prevalente. Hay que partir, en dicha ponderación, de que la libertad de información debe gozar del plus de protección que resulta de su dimensión institucional, como garantía del mantenimiento de una comunicación pública libre, sin la que no cabe hablar de un sistema democrático (SSTEDH Jiménez Losantos c. España, de 14 de junio de 2016, Couderc et Hachette Filipacchi Associés c. Francia, de 10 de noviembre de 2015 o Von Hannover c. Alemania, de 7 de febrero de 2012, así como SSTC 85/1992, 20/1990, 6/1981, etc.). En este sentido, para que la libertad de expresión prevalezca debe existir normalmente una relevancia pública de los sujetos implicados y hechos que entran en colisión (SSTC 110/2000, 105/1990 y 21/1989). De este modo, la oposición sólo se produce cuando el hecho de que se informa tenga relevancia pública, en el sentido de que sean noticiables (STC 58/2018, de 4 de junio). Basándose en esta jurisprudencia, recientemente por ejemplo hemos asistido a la publicación de los datos relativos al máster de la ya expresidenta de una Comunidad Autónoma, o a la difusión de un vídeo en el que se le atribuye un presunto hurto en un supermercado en 2011. Son personas de relevancia pública aquellas «que desempeñan un oficio público y/o utilizan recursos públicos, y, en un sentido más amplio, todos aquellos que desempeñan un papel en la vida pública, ya sea en la

política, en la economía, en el arte, en la esfera social, en el deporte y en cualquier otro campo», de acuerdo con la Resolución 1165, de 1998, de la Asamblea Parlamentaria del Consejo de Europa sobre el derecho a la vida privada. La relevancia pública de la información viene determinada tanto por la materia u objeto de la misma, como por razón de la condición pública o privada de la persona a que atañe. Según jurisprudencia consolidada del Tribunal Constitucional, las autoridades y funcionarios públicos, así como los personajes públicos o dedicados a actividades que conllevan notoriedad pública «aceptan voluntariamente el riesgo de que sus derechos subjetivos de personalidad resulten afectados por críticas, opiniones o revelaciones adversas y, por tanto, el derecho de información alcanza, en relación con ellos, su máximo nivel de eficacia legitimadora, en cuanto que su vida y conducta moral participan del interés general con una mayor intensidad que la de aquellas personas privadas que, sin vocación de proyección pública, se ven circunstancialmente involucradas en asuntos de trascendencia pública, a las cuales hay que, por consiguiente, reconocer un ámbito superior de privacidad, que impide conceder trascendencia general a hechos o conductas que la tendrían de ser referidos a personajes públicos» (por todas, STC 172/1990, de 12 de noviembre). A nuestro juicio, la divulgación de datos relativos a sujetos carentes en absoluto de relevancia pública al ser puramente privados no constituye ejercicio legítimo de la libertad de información. Así lo confirma recientemente la STC 58/2018, de 4 de junio. Ello tiene su correlato penal en la tipificación de los delitos que hemos examinado en el presente capítulo, que no van referidos únicamente al núcleo duro de la intimidad como quedó apuntado.

En este sentido, tratándose de personas privadas, incluso cuando la noticia por la materia a que se refiere concierne al interés público, todo su contenido no queda protegido por la libertad de información, sino que cabe reputar desproporcionada la transmisión de aquellos hechos que, dentro de la noticia, afectan al honor o a la intimidad de la persona concernida y que se revelen como «manifiestamente innecesarios e irrelevantes para el interés público de la información» (SSTC 121/2002, de 20 de mayo y 105/1990, de 6 de junio).

(1)

Vid. el apartado 1.4 de este epígrafe. Ver Texto

(2)

El big data o datos masivos es un concepto que hace referencia a la acumulación de grandes cantidades de datos y a los procedimientos usados para encontrar patrones repetitivos dentro de esos datos. El fenómeno del big data también es llamado datos a gran escala. Ver Texto

(3)

En España, la LOPD regula la Agencia de Protección de Datos (arts. 35 y ss. LOPD), como Ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones. Ver Texto

(4)

LUCAS MURILLO DE LA CUEVA, Pablo, «El derecho a la autodeterminación informativa y la protección de datos personales», Azpilcueta: cuadernos de derecho, No 20, 2008, pág. 43 y ss. Ver Texto

(5)

RODRÍGUEZ-ZAPATA Y PÉREZ, Jorge, Teoría y práctica del Derecho Constitucional, Editorial Tecnos, Madrid, 2016, 3ª edición, pág. 493. Ver Texto

(6)

Vid, en detalle, QUINTERO OLIVARES, Gonzalo y MORALES PRATS, Fermín (dirs.), Comentarios a la Parte Especial del Derecho Penal, Editorial Aranzadi, Pamplona, 2009, 8ª edición, pág. 416 y ss. Ver Texto

(7)

En cuanto al perjuicio, en la STS, Sala 2ª, de 3 de febrero de 2016, se señala que «...no supone que el delito incorpore una finalidad económica. Se trata de un delito que supone el conocimiento y voluntad en la acción realizada actuando a sabiendas, en tanto que el perjuicio se refiere al peligro de que los datos albergados en las bases de datos protegidas puedan llegar a ser conocidos por personas no autorizadas. En el caso ese perjuicio se ha producido, y el autor lo pretendió al tomar conocimiento de un dato personal especialmente sensible en nuestro ámbito cultural, inherente a la intimidad más estricta que no interesa sea conocido fuera de la privacidad y hacerlo con conocimiento de una actuación contraria a la norma que permite su acceso. El perjuicio se realiza cuando se apodera, utiliza, modifica o accede a un dato protegido con la intención de que su contenido salga del ámbito de privacidad en el que se incluyó en una base de datos, archivo, etc., especialmente protegido, porque no es custodiado por su titular sino por titulares de las bases con especiales exigencias de conductas de protección. Así lo expusimos en la STS de 11 de julio de 2001, al reseñar que el perjuicio exigido va referida a la invasión de la intimidad y no a la producción de un quebranto económico patrimonial concreto. En la STS 532/2015, de 23 de septiembre, se refiere ese perjuicio en un supuesto similar al presente porque perjudica a su titular al tratarse de datos sensibles por su naturaleza cuyo acceso ya perjudica a su titular». Ver Texto

(8)

MORÓN LERMA, Esther, Internet y Derecho Penal: Hacking y otras conductas ilícitas en la Red, Editorial Aranzadi, Pamplona, 1999, pág 42. Vid. también la Circular 3/2017, de 21 de septiembre, de la Fiscalía General del Estado sobre la reforma del Código Penal operada por la LO 1/2015 de 30

de marzo en relación con los delitos de descubrimiento y revelación de secretos y los delitos de daños informáticos. Ver Texto

(9)

Los datos en una red basada en el protocolo TCP/IP, como es Internet, son enviados en bloques conocidos como paquetes de datos o datagramas. Ver Texto

(10) Tiene la consideración de «medida de seguridad» toda aquella que se haya establecido con la finalidad de impedir el acceso al sistema, con independencia de que la misma sea más o menos sólida, compleja o robusta y también de que haya sido establecida por el administrador, el usuario, o por el instalador del sistema, siempre que se mantenga operativa como tal medida de seguridad por quien está legitimado para evitar el acceso. Ver Texto

(11) De hecho, la ética hacker original, a pesar del empleo de los métodos de hacking con finalidades ilícitas muy variadas, tiene más que ver con el reto o desafío personal o compartido en la comunidad hacker de quebrar la seguridad de un sistema informático, demostrando sus puntos débiles y con ello incluso ayudando, si bien indirectamente, a mejorarla, que con una voluntad criminológica relacionada con la vulneración de la intimidad. Ver Texto

(12) Las «emisiones electromagnéticas» no pueden ser consideradas en sí mismas datos informáticos, pero es posible que los datos puedan ser reconstruidos a partir de dichas emisiones. En consecuencia, la interceptación de los datos provenientes de las emisiones electromagnéticas de un sistema informático está incluida como delito en el art. 3 de la citada Convención de Budapest. Ver Texto

(13) CORCOY BIDASOLO, Mirentxu y MIR PUIG, Santiago (dirs.), Comentarios al Código Penal, Editorial Tirant lo Blanch, Valencia, 2015, pág. 743.

Ver Texto

(14) RODRÍGUEZ-ZAPATA Y PÉREZ, Jorge, Teoría y práctica del Derecho Constitucional, Editorial Tecnos, Madrid, 2016, 3ª edición, pág. 509 y ss. Ver Texto

Capítulo VII  Ciberdelitos de daños y sabotajes (cracking) Dentro de la categoría de los delitos patrimoniales se encuentran los daños informáticos y sabotajes de sistemas de información o informáticos, habitualmente denominados como cracking y regulados en los artículos 264 a 264 quater del Código Penal, que asimismo constituyen una de las categorías de ciberdelitos más tradicionales. Hoy, además, son uno de los fenómenos más complejos y discutidos en el plano internacional. Concretamente, la actuación de cibercriminales atentando contra la integridad de los sistemas informáticos de diversas instituciones públicas y privadas en los Estados Unidos se detecta ya en el origen de la ciberdelincuencia y de la popularización del acceso a Internet a partir de 1991. En el año 2007 se produjo un ciberataque sin precedentes a Estonia, que afectó gravemente a su parlamento, ministerios, bancos y a los medios de comunicación. En 2010 se puso en circulación Stuxnet, el primer gusano informático conocido diseñado para espiar y dañar sistemas industriales, y que se utilizó para atacar el programa nuclear iraní. Hoy diariamente se producen infecciones de malware o ataques de denegación de servicio (DDoS) que generan una enorme cifra negra de daños informáticos que

impide calibrar el alcance cibercriminalidad en Internet.

real

de

esta

forma

de

A efectos expositivos, hemos dedicado un capítulo independiente a esta categoría delictiva teniendo en cuenta que el propio legislador ha considerado como bien jurídico protegido aquí no solamente derechos materiales como sucede en la configuración tradicional del delito de daños, sino la información contenida en sistemas informáticos propiamente dicha, con lo que se hace difícil, cuanto menos, la reconducción del bien jurídico protegido en esta modalidad típica a una simple manifestación de la propiedad privada. Piénsese, por ejemplo, en los metadatos (1) de las comunicaciones electrónicas o del Internet de las Cosas. Incluso cabría ir más allá, ya que la reforma de 2015 tutela el buen funcionamiento de infraestructuras críticas, públicas o privadas. Por todo ello, se produce una despatrimonialización de la concepción tradicional que debería llevar aparejada una ubicación distinta, naturalmente autónoma para el cracking. La reforma de 2015 ha operado una importante elevación de penas y, en cumplimiento de la tantas veces citada Directiva 2013/40/UE, se castigan con mayor gravedad, entre otros supuestos, cuando el hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales y cuando haya afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado miembro de la Unión Europea.

Comenzaremos, en primer lugar, por el delito de cracking.

1. DAÑOS INFORMÁTICOS (CRACKING)

Y

SABOTAJES

Integran este ciberdelito de daños informáticos y sabotajes aquellos supuestos de vandalismo y subversión digital,

la difusión de virus, gusanos y demás malware —es decir, todo tipo de software dañino—, el ciberterrorismo y también las conductas de «cracking» dirigidas a la producción de daños, y que tienen en común la destrucción o menoscabo de sistemas, equipos, datos, programas o documentos informáticos (2) . Los delitos de daños en general constituyen las infracciones básicas entre las que tienen un contenido patrimonial pero no se orientan hacia el enriquecimiento del sujeto activo. No ofrece el Código de 1995 una definición de «daño», a diferencia de lo que ocurría en el Código Penal de 1928, cuyo art. 750 incluía en tal concepto la destrucción, el deterioro y la causación de cualquier perjuicio a otro en su patrimonio. Hoy, señala MANZARANES SAMANIEGO (3) , suele considerarse el daño de modo similar, entendiendo por destrucción la pérdida total del objeto, por inutilización la pérdida de su eficacia y por deterioro la pérdida parcial de la cosa o de su valor. El vigente tipo del art. 264 CP castiga las conductas recaídas sobre datos, programas informáticos o documentos electrónicos ajenos, mientras que las referidas al normal funcionamiento de un sistema informático ajeno se regulan en el nuevo art. 264 bis CP. En el art. 264.2 CP se agravan las penas para el caso de comisión de los hechos en el marco de una organización criminal o causación de daños de especial gravedad, o con afectación a los intereses generales. Y en el art. 264 ter CP se tipifica el delito de facilitación de herramientas informáticas dañinas. A todos ellos vamos a referirnos seguidamente.

1.1. Tipo básico de daños informáticos 1.1.1. Tipo básico

El artículo 264.1 del CP lleva a cabo una extensa tipificación de las conductas que integran el tipo básico del delito de daños informáticos, que castigan al que: — por cualquier medio; — sin autorización; y — de manera grave; — borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles; — datos informáticos, programas documentos electrónicos ajenos; — cuando el resultado fuera grave.

informáticos

o

El bien jurídico protegido es, como quedó apuntado, la información contenida en sistemas informáticos. 1.1.2. Tipo objetivo Debemos referirnos a los sujetos y a la conducta típica. El sujeto activo puede ser cualquiera que menoscaba los señalados elementos de un sistema informático. Es un delito común. El sujeto pasivo es el titular del sistema informático. En cuanto a la conducta típica, se castigan las conductas de: — borrar, — dañar, — deteriorar, — alterar, — suprimir, o — hacer inaccesibles;

— datos informáticos, programas documentos electrónicos ajenos.

informáticos

o

Se trata de un tipo mixto alternativo. Además, no importa el medio utilizado, comprendiendo desde la infección con virus, gusanos o bombas informáticas, hasta la actuación de cibercriminales que, a través de varios métodos informáticos como el phising (obtención fraudulenta de contraseñas), spywares (programas espía), rootkits (programas que permiten el acceso remoto sin conocimiento ni autorización del usuario), ransomwares (programas que restringen el acceso al sistema de la víctima y exigen el pago de un rescate para eliminar la traba) y todo tipo de técnicas informáticas y de malware (programas dañinos en general), accedan ilícitamente al sistema informático y alteren o destruyan elementos en el mismo. Las conductas típicas que se ejecutan han venido consistiendo hasta la reforma de 2015 en destruir, alterar o inutilizar cualquiera de los objetos materiales apuntados: a) La conducta de destrucción implica la supresión o borrado total de los datos por cualquier forma (por destrucción del soporte, interferencias magnéticas, eliminación de ficheros, etc.). b) La alteración se integra por comportamientos de inserción de datos, modificación o supresión parcial que originan una perturbación funcional definitiva. c) La inutilización puede llevarse a cabo mediante la ocultación o la encriptación que provocan la desaparición de su capacidad funcional (4) , como viene sucediendo con los recientes ataques de ransomware (5) . La destrucción o modificación de datos o programas puede ejecutarse mediante la introducción en el sistema de algún

tipo de virus o malware y, además, puede asumir especial gravedad si la información confidencial se almacena en un programa de ordenador (así, por ejemplo, piénsese en el ataque al software de facturación o de contabilidad de una empresa o un trabajador autónomo o a sus bases de datos) (6) . Hasta la reforma de 2010, la acción de destruir, alterar, inutilizar, dañar de cualquier otro modo datos programas o documentos electrónicos contenidos en un soporte informático, venía a comportar un daño patrimonial por reparación o sustitución del objeto material sobre el que habían operado dichas acciones. Por ello, se introdujo el tipo del que, por cualquier medio, destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o documentos informáticos y, tras la reforma operada por LO 5/10 de 22 de junio, se amplió su ámbito: de un lado, dándole carta de naturaleza propia al dejar de contemplarlo junto a las circunstancias cualificadoras de los daños, dotándole de autonomía sistemática. Y, de otro lado, recogiendo un catálogo de conductas más amplio para solventar así todo debate en relación a su alcance, a qué manipulaciones debían valorarse, pasando a contemplar prácticamente cualquier injerencia en un sistema ajeno, con tal de que esta pueda tacharse de grave, ya que en su apartado primero como elenco de conductas punibles se alude a borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos, programas o documentos y en su apartado segundo a obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno introduciendo transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos.

La reforma de 2015 se refiere, alternativamente, a borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesible cualquiera de los objetos materiales. La nueva ampliación típica que realiza la reforma, con mayor casuismo, debe interpretarse en el mismo sentido de afectación al objeto material, de imposibilidad de acceso al mismo o de pérdida o disminución de la función a que está

destinado el objeto material del delito, yendo más allá de la configuración clásica de la figura. El objeto del delito son datos, programas informáticos o documentos electrónicos ajenos. Por «datos informáticos» cabe entender toda representación de hechos, informaciones o conceptos de una forma que permite su tratamiento por un sistema de información, incluidos los programas que sirven para hacer que dicho sistema de información realice una función. Los «programas informáticos» (o software) constituyen toda secuencia de instrucciones o indicaciones destinadas a ser utilizadas, directa o indirectamente, en un sistema informático para realizar una función o una tarea o para obtener un resultado determinado, cualquiera que fuere su forma de expresión y fijación (art. 96.1 TRLPI). Y los «documentos electrónicos» son la información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado y susceptible de identificación y tratamiento diferenciado (art. 3.5 Ley 59/2003, de 19 de diciembre, de firma electrónica). La ajenidad, como sucede en el hurto, comporta que la cosa pertenece a cualquiera que no sea el sujeto activo. Ahora bien, los daños a elementos físicos informáticos (monitor, CPU, grabadoras, discos duros externos, hardware de red,...) se sancionan conforme al art. 263 del CP. Persigue el legislador de 2015 evitar sin mucho éxito algunas lagunas que existían a la hora de subsumir ciertas conductas de «cracking», al tiempo que se permite el citado hacking ético. El delito es de resultado, por cuanto requiere la producción de un resultado «grave». Este daño grave tiene que ser patrimonial, lo que obliga a una valoración económica de los daños, que se basará en los perjuicios derivados del delito y no en el valor del elemento informático afectado. Sin embargo, tal «gravedad» de los daños se compagina muy mal con la seguridad jurídica y

deviene muchas veces en la atipicidad de la conducta (por ejemplo, SAP Madrid, Sección 5ª, de 23 de octubre de 2015), como lo demuestra el escaso número de condenas existentes en los repertorios de jurisprudencia. El tipo no concreta los criterios para determinar la gravedad de la conducta, lo que plantea el problema de delimitar los ataques que puedan resultar realmente perturbadores o molestos pero penalmente insignificantes, y distinguirlos de los que, por su mayor gravedad, revisten relevancia penal. El legislador todavía sigue sin concretar la gravedad, por ejemplo estableciendo la cuantía de los daños graves, como señalamos en su momento respecto a la reforma anterior de 2010 (7) . Sin tal requisito la conducta sería impune. La jurisprudencia, como señala la SAP Madrid, Sección 6ª, de 3 de junio de 2013, destaca cómo el delito de daños informáticos o cracking tiene carta de naturaleza propia al dejar de contemplarlo el Código Penal junto a las circunstancias cualificadoras de los daños, dotándole de autonomía sistemática desde la reforma anterior operada por la Ley Orgánica 5/2010, de 22 de junio, al tiempo que recoge «incluso un elenco de conductas más amplio, para solventar así todo debate en relación a su alcance, a que manipulaciones debían valorarse, pasando a contemplar prácticamente cualquier injerencia en un programa ajeno, con tal de que esta pueda tacharse de grave, ya que en su número primero, como elenco de conductas punibles alude a: borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos, programas o documentos, y, en su número segundo a: obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno introduciendo, trasmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, conductas todas éstas que no dejan de ser exponente de un funcionamiento anómalo de un sistema informático y, por extensión, de un determinado terminal, por consecuencia de una conducta voluntaria y deliberada de un tercero», que es en definitiva lo que ocurre en el supuesto enjuiciado, por lo que se trata de un delito con sustantividad propia.

Por lo demás, las conductas de simple instalación o utilización de programas informáticos, bien originales pero sin la debida licencia, bien alterados o modificados, a través, por ejemplo, de la utilización de programas para desprotegerlos (los cracks), no constituyen un delito de daños informáticos por sí mismas, salvo que los cracks empleados para alterar el programa lleguen a dañar elementos del sistema operativo del sistema informático en el que son instalados (por ejemplo, el registro de Windows o inserten un virus), sin perjuicio de que dichas conductas puedan dar lugar, en su caso, a delitos de intrusismo informático o hacking (art. 197 bis CP) o a delitos contra la propiedad intelectual (art. 270 CP). Como conclusión, los términos utilizados por el legislador siguen planteando numerosos interrogantes que se compadecen muy mal con la seguridad jurídica y sigue sin esclarecerse el concepto de daño «grave», o ahora el «ganarse la confianza de un tercero» como nueva circunstancia agravante en el art. 264.3 del CP. 1.1.3. Tipo subjetivo Sólo es posible su comisión a título de dolo, por personas físicas y jurídicas. Destaca la previsión expresa de que la conducta debe ser «grave», así como el resultado producido, dejando fuera del ámbito típico aquellos borrados superficiales o menoscabos leves de la información contenida en los soportes informáticos a que se refiere el tipo. 1.1.4. Pena El tipo básico tiene una pena de prisión de 6 meses a 3 años.

Cuando, de acuerdo con lo establecido en el art. 31 bis del CP, una persona jurídica sea responsable de los delitos cometidos en este artículo, se le impondrán las siguientes penas (art. 264 quater CP): a) Multa de 2 a 5 años o del quíntuplo a doce veces el valor del perjuicio causado, si resulta una cantidad superior, cuando se trate de delitos castigados con una pena de prisión de más de 3 años. b) Multa de 1 a 3 años o del triple a ocho veces el valor del perjuicio causado, si resulta una cantidad superior, en el resto de los casos.

1.2. Tipos agravados El artículo 264.2 del Código Penal prevé varias agravaciones respecto de las conductas recogidas en el tipo básico. En concreto, el delito de daños informáticos se castiga, con la pena de prisión de 2 a 5 años y multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias: a) Que se hubiese cometido organización criminal.

en

el

marco

de

una

b) Que haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos. c) Que el hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad. d) Que los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado miembro de la Unión Europea. Es «infraestructura crítica» (8) un elemento, sistema o parte de este que sea esencial para el

mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones. e) Que el delito se haya cometido utilizando: 1. Un programa informático, concebido ha adaptado principalmente para cometer alguno de los delitos de daños. 2. Una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información. f) Que se hayan utilizado ilícitamente datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero, en cuyo caso se impondrá la pena en su mitad superior. Por su parte, se ha dispuesto una agravación facultativa si los hechos hubieran resultado de extrema gravedad, al establecer en estos casos que podrá imponerse la pena superior en grado, es decir, una pena de prisión de 5 a 7 años y medio, más la multa proporcional (art. 264.2 párr. 2º CP).

2. OBSTACULIZACIÓN O INTERRUPCIÓN DE UN SISTEMA INFORMÁTICO Según el nuevo artículo 264 bis del Código Penal, se castiga con la pena de prisión de 6 meses a 3 años al que: — sin estar autorizado y de manera grave; — obstaculice o interrumpa el funcionamiento de un sistema informático ajeno, realizando alguna de las conductas de daños informáticos del artículo anterior; — introduciendo o transmitiendo datos; o

— destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica. Asimismo, se establece que si los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, negocio o de una administración pública, se impondrá la pena en su mitad superior, pudiéndose alcanzar la pena superior en grado (art. 264 bis.1 in fine CP). Esta última sería en este caso una pena de prisión de 3 a 4 años y medio. Por su parte, se dispone una pena de prisión de 3 a 8 años y multa del triplo al décuplo del perjuicio ocasionado, cuando en los hechos mencionados hubiera concurrido alguna de las circunstancias de las modalidades agravatorias previstas para el delito de daños informáticos (art. 264 bis.2 CP) antes expuestas. Se trata de un tipo mixto alternativo que contiene, varias modalidades típicas de comisión. Se requiere que la obstaculización o interrupción del sistema informático ajeno sea grave. Al tratarse de un delito de mera actividad, el delito se consuma con la realización de cualquiera de las modalidades típicas recién señaladas. En cuanto a los ataques que se lanzan contra los propios «sistemas de información», suelen concretarse en comportamientos dirigidos a ocasionar perturbaciones sobre los mismos, por ejemplo, mediante ataques masivos de denegación de servicio (DoS, Denial of Service, o ahora DDoS, Distributed Denial of Service). Estos ataques persiguen sobrecargar o saturar algunos de los recursos del sistema objeto del ataque hasta hacerlo inoperativo (p. ej. memoria, espacio en disco duro, ancho de banda de la conexión), logrando con ello el bloqueo o interrupción temporal de dicho sistema.

En ocasiones suelen realizarse a través de «redes botnet» o conjunto de equipos informáticos que han sido infectados con software malicioso que permite su control remoto, obligándoles a enviar spam (correos masivos no autorizados por el destinatario), propagar virus o realizar ataques de denegación de servicio distribuido (DDoS) sin el conocimiento o la autorización de los propietarios de los equipos, por eso también son denominados zombies. Cuando el ataque DDoS se produce a través de una «red botnet», el hecho de que la localización de los ordenadores infectados sea muy dispersa y transnacional dificulta localizar el origen del ataque. Ahora bien, cuando el ataque únicamente produce una interrupción intermitente de la página web que quedó fuera de servicio en intervalos de minutos y el problema quedó resuelto en una hora, el correo electrónico siguió funcionando y los perjuicios derivados de los hechos inicialmente estimados en setecientos euros no eran tales porque el trabajo lo realizó un empleado en nómina al que no se le abonó cantidad alguna por dicho servicios, entonces se produce la atipicidad del suceso (SJP N.o 3 de Gijón, de 6 de julio de 2016).

3. DELITO DE FACILITACIÓN DE HERRAMIENTAS INFORMÁTICAS DAÑINAS Finalmente, y como cierre a esta figura delictual, el nuevo artículo 264 ter del Código Penal castiga con una pena de prisión de 6 meses a 2 años o multa de 3 a 18 meses al que: — sin estar autorizado, — produzca, — adquiera para su uso,

— importe; o — de cualquier modo, facilite a terceros; — con la intención de facilitar la comisión de alguno de los delitos a que se refieren los dos artículos anteriores: — un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores; o — una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información. Este precepto, que reproduce íntegramente el artículo 197 ter del CP ya comentado en el capítulo anterior, tipifica como delito autónomo lo que serían actos preparatorios para la comisión de un delito de cracking, que responde a la estructura de tenencia y utilización de herramientas informáticas preordenadas a la comisión de delitos de daños informáticos. Nos remitimos a lo allí expuesto.

(1)

Vid. BARRIO ANDRÉS, Moisés, Internet de las Cosas, Editorial Reus, Madrid, 2018, pág. 80 y ss. Ver Texto

(2)

GONZÁLEZ RUS, Juan José, «Los ilícitos en la Red (I): hackers, crackers, cyberpunks, sniffers, denegación de servicio y otros comportamientos semejantes», en ROMEO CASABONA, Carlos (coord.), El cibercrimen: nuevos retos jurídico-penales, nuevas respuestas político-criminales, Editorial Comares, Granada, 2006, pág. 248. Ver Texto

(3)

MANZANARES SAMANIEGO, José Luis, CÓDIGO PENAL. Adaptado a la Ley Orgánica 5/2010, de 22 de junio.

Comentarios y Jurisprudencia, Editorial Comares, Granada, 2010, Tomo II, pág. 615. Ver Texto

(4)

Vid. CORCOY BIDASOLO, Mirentxu, «Protección penal del sabotaje informático. Especial consideración de los delitos de daños», La Ley: Revista jurídica española de doctrina, jurisprudencia y bibliografía, No 1, 1999. Ver Texto

(5)

Un ransomware (del inglés ransom rescate y ware, software) es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y demanda un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate. Ver Texto

(6)

MORÓN LERMA, op. cit., pág. 43 y ss. Ver Texto

(7)

BARRIO ANDRÉS, Moisés, «Los delitos cometidos en Internet: marco comparado, internacional y derecho español tras la reforma penal de 2010», La Ley Penal: revista de Derecho Penal, procesal y penitenciario, No 86, 2011, pág. 8. Ver Texto

(8)

En relación a los daños que afecten a una infraestructura crítica, y al objeto de solventar los problemas de tipicidad que pudieran plantearse, toda vez que el catálogo de las mismas según el art. 4.3 del Reglamento para su protección, aprobado por Real Decreto 704/2011, de 20 de mayo, es secreto, se optó por incorporar en el texto del precepto un concepto de dicha infraestructura, tomándose como referencia la contenida en la propia Directiva. La definición que se ha acogido para permitir la aplicación del tipo penal es la de considerar infraestructura crítica «un elemento, sistema o parte de este que sea esencial para el

mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones» (art. 264.2.4ª CP). Ver Texto

Capítulo VIII  Ciberdelitos contra el patrimonio En el presente capítulo habremos de dirigir nuestra atención hacia los delitos patrimoniales cometidos mediante la estafa común perpetrada en Internet (art. 248.1 CP), la estafa informática (art. 248.2 CP) y el abuso de sistemas informáticos o phreaking (art. 256 CP). No todas estas figuras son ciberdelitos stricto sensu, sino que algunas son delitos tradicionales que hoy son ejecutados en gran medida a través de Internet. En trabajos anteriores (1) hemos llamado la atención sobre este fenómeno criminal de esta nueva era de la Sociedad de la Información e Internet, advirtiendo que la perspectiva individual clásica del perjudicado en los delitos patrimoniales ha ido cediendo paso a una faceta social que supera la relación dual de criminal y víctima para trascender a una afectación al orden socioeconómico. En los ciberdelitos, la técnica utilizada para vehiculizar los comportamientos lesivos no se limita a un territorio y, menos aún, a una víctima identificada. Por el contrario, los ciberdelitos patrimoniales sobrepasan las fronteras políticas y geográficas de un país, el conocimiento entre el autor y las potenciales víctimas no es necesario, y las formas de comisión ganan en sofisticación.

Así las cosas, el carácter transnacional de los ciberdelitos en general y de los delitos contra el patrimonio en particular genera un mayor perjuicio patrimonial alcanzando a un número de víctimas muy amplio y con altas cifras negras. A este respecto, se insiste en potenciar las medidas de ciberseguridad de personas físicas y jurídicas, dado que los cibercriminales se prevalen del desconocimiento en seguridad informática de las víctimas o de su exceso de confianza, y actualizan diariamente las modalidades comisivas. Y es que, dentro de los delitos contra el patrimonio, las estafas a los consumidores con todas sus manifestaciones son el ciberdelito que se produce con mayor frecuencia. A continuación abordaremos el estudio de sus distintas modalidades.

1. ESTAFA La regulación de las estafas comprende la figura básica (art. 248.1 CP), y dos modalidades impropias: la estafa informática (art. 248.2.a) y b) CP) y la estafa mediante utilización fraudulenta de tarjetas de crédito o cheques de viaje (art. 248.2.c) CP). A ello hay que añadir una serie de modalidades agravadas (art. 250 CP), que también han sufrido variaciones en la reforma de 2015, así como las figuras específicas de estafa del artículo 251 del Código Penal. Por último, el artículo 251 bis CP regula la responsabilidad penal de las personas jurídicas que cometan estafa. Comenzaremos la exposición por el tipo básico del delito de estafa.

1.1. Estafa genérica El tipo básico del delito de estafa se recoge en el artículo 248.1 del Código Penal, cuyos elementos son:

— ánimo de lucro; — engaño bastante; — para producir error en otro; — induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno. En cuanto a la penalidad, el legislador ha optado por mantener un único tipo básico de estafa propia y diferenciar la penalidad en función de la cuantía (art. 249 CP). Así, se establece una pena de prisión de 6 meses a 3 años, para cuya fijación se han de tener en cuenta: — el importe de lo defraudado; — el quebranto económico causado al perjudicado; — las relaciones entre éste y el defraudador; — los medios empleados por éste; y — cuantas otras circunstancias sirvan para valorar la gravedad de la infracción. Si la cuantía de lo defraudado no excede de 400 euros, la pena es de multa de 1 a 3 meses. Ya la estafa en el Derecho romano clásico fue conceptuada como crimen stellionatus, denominación misma que, como pone de relieve QUINTANO RIPOLLÉS (2) , «indica bien a las claras la imprecisión de su naturaleza, variable e indecisa cual la del saurio, del cual tomó por eso el nombre». En efecto, eran tan dispares sus formas de comisión que su catalogación resultaba arduamente difícil, y cuando más claro aparecía descrito el supuesto, más fácil resultaba eludir sus consecuencias alterando algunas de las variables o premisas insitas en su definición. Así, y desde que ANTÓN ONECA publicó en 1958 (3) su célebre trabajo definidor del delito de estafa, la imaginación del timador ha desarrollado un infinito abanico de

posibilidades. Internet se revela como otro cauce fecundo para obtener ganancias de modo más sencillo. Algunos de sus supuestos más populares son los siguientes: i) subastas en Internet: una vez enviado el dinero por el producto que se pujó y fue adjudicado, nunca se llega a recibir el mismo o se recibe otro en su lugar que no corresponde con el inicialmente ofertado y, habitualmente, de bastante menor valor; ii) uso no autorizado de tarjetas de crédito: en un apartado de la página web se solicita el número de la tarjeta bancaria del internauta con la excusa de comprobar si es mayor de edad (generalmente en sitios de contenido pornográfico), realizándose cargos no consentidos a posteriori; iii) marketing multinivel, en pirámide o en cadena: consistente en promesas de comisiones monetarias por la venta de productos y servicios previamente adquiridos, o por porcentaje que reciba de los colaboradores que el propio internauta pueda captar, sin que en la práctica se obtengan los pretendidos ingresos, además de constituir una práctica prohibida por la legislación mercantil; iv) ofertas del tipo «gane dinero trabajando desde casa» o «sea su propio jefe»: promesas muy atractivas para gestionar un «negocio redondo», con ganancias cómodas e inmediatas a cambio de una mínima inversión previa, y también oportunidades de inversión con anuncios del tipo «hágase rico en X días»; v) prestación de servicios inexistente o defectuosa, especialmente de servicios turísticos fantasma: compañías fraudulentas falsean paquetes de viajes, ofreciendo transporte, alojamiento y servicios de inferior calidad a la pagada, o que cobran por conceptos nunca contratados; o, en fin, vi) servicios de salud y «productos milagro», ofreciendo remedios infalibles o tratamientos curativos de escasa o nula eficacia terapéutica (la mayoría de ellos se basan en el efecto placebo) a precios que duplican o triplican su verdadero coste. También se incluyen aquí la venta de medicamentos falsificados, muy destacadamente anabolizantes y Viagra®.

También, desde hace varios años son bastante conocidas las denominadas estafas nigerianas, en las que su autor remite un correo electrónico a la víctima prometiéndole una gran suma de dinero a cambio del ingreso de una cantidad por adelantado. Los argumentos utilizados son diversos: por ejemplo, que un relevante empresario perseguido por su gobierno necesita sacar dinero de su país y por ello ofrece una importante gratificación; que un liquidador de una cuantiosa herencia de un acaudalado familiar lejano ofrece igualmente una gran suma de dinero a cambio del pago inicial en concepto de gastos administrativos; o que el destinatario del correo ha sido agraciado con un premio inexistente de la lotería para cuyo cobro debe anticipar previamente una cantidad en concepto de tasas de gestión. En definitiva, en la estafa común existe un engaño que sufre una persona física como consecuencia del ardid o de la trama engañosa elaborada por otra, de forma que exige una relación de alteridad entre, al menos, dos personas: el autor y la víctima. Por ello, el fraude cometido en una compraventa de bienes a través del comercio electrónico sería subsumible en el delito de estafa común. En cambio, cuando el engaño se dirige contra el sistema informático o se introduce una manipulación informática entonces se trataría de la estafa informática del artículo 248.2.a) y b) del Código Penal, que analizaremos a continuación.

1.2. Estafa informática La evolución tecnológica ha abierto paso a estafas más sofisticadas, como la imitación de páginas web para obtener las contraseñas de acceso al banco o el número de la tarjeta bancaria, o la instalación inadvertida de un malware en el equipo de la víctima para conseguir tales datos. En estos casos se ha producido una manipulación informática,

dando lugar al delito de estafa informática tipificado en las letras a) y b) del artículo 248.2 del Código Penal. 1.2.1. Tipo básico El artículo 248.2 del Código Penal lleva a cabo una extensa tipificación de las conductas que integran el tipo básico del delito de estafa informática, que castigan a quienes: a) con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro; o b) fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo. El bien jurídico protegido es, como sucede en la estafa común, el patrimonio. Así lo requiere el Código Penal, por cuanto la consumación del delito exige un daño en el patrimonio globalmente considerado. 1.2.2. Tipo objetivo Debemos referirnos a los sujetos y a la conducta típica. El sujeto activo puede ser cualquiera, bien porque realiza la acción concreta, bien porque provee de la tecnología necesaria, facilitando con ello la comisión del delito. Es un delito común. Puede ser cometido por una persona jurídica (art. 251 bis CP). El sujeto pasivo es el titular del patrimonio afectado. En cuanto a la conducta típica, se castigan las conductas de:

— realizar una manipulación informática o artificio semejante; — fabricar, introducir, poseer o facilitar programas informáticos específicamente destinados a la comisión de las estafas. Se trata de un tipo mixto alternativo, en cuanto que se impone una única pena por la realización de una de las conductas descritas o por todas. Es indiferente que el autor cometa una o todas las conductas recogidas en el precepto. Las conductas de fabricar, introducir, poseer o facilitar están limitadas en su alcance por el bien jurídico protegido y el fin de la norma. Por ello, en los casos en que ni siquiera pueda hacerse una hipótesis de lesión concreta del patrimonio a través de la comisión de una concreta estafa no es típico el hecho, aunque gramaticalmente pueda entenderse como fabricación o posesión. La estafa informática constituyó una de las novedades más destacables del Código Penal de 1995. Fue una respuesta al uso criminal de las nuevas tecnologías y puso fin a la polémica doctrinal acerca de si una máquina puede ser engañada o no. Como se declara en la STS, Sala 2ª, de 17 de diciembre de 2008, «...la redacción del art. 248.2 del Código Penal permite incluir en la tipicidad de la estafa aquellos casos que mediante una manipulación informática o artificio semejante se efectúa una transferencia no consentida de activos en perjuicio de un tercero admitiendo diversas modalidades, bien mediante la creación de órdenes de pago o de transferencias, bien a través de manipulaciones de entrada o salida de datos, en virtud de los que la máquina actúa en su función mecánica propia». La estafa informática se diferencia de la estafa común del art. 248.1 CP en que no existe alteridad (o relación personal) entre el sujeto activo y el sujeto pasivo del engaño: no hay relación interpersonal entre ambos, por lo

que no se puede exigir el requisito del error. Eso es lo que hacía que no pudiesen subsumirse en la estafa los casos de engaño a una máquina (STS, Sala 2ª, de 20 de noviembre de 2001). De este modo, la estafa genérica del art. 248.1 CP se encamina contra una persona, mientras que las que van dirigidas contra las máquinas requieren de la correspondiente manipulación informática —o artificio semejante— para cometer la estafa informática. La conducta típica puede revestir varias modalidades: a) La primera consiste en valerse de una manipulación informática, lo que supone cualquier intervención en el sistema informático, alterando, modificando u ocultando datos que deban ser tratados automáticamente, o modificando las instrucciones del programa. Puede consistir en supresión de datos, modificaciones de los procesos, colocación de datos en distinto momento o lugar, o variación de instrucciones de procesamiento; en suma, cualquier utilización irregular de un sistema informático. b) La remisión a los artificios semejantes es un concepto difícil de precisar, por cuanto es posible una doble interpretación: a) asemejarlo a la manipulación, aunque no exista un sistema informático (lo que permitiría incluir conductas de obtención fraudulenta de prestaciones de un aparato automático, del tipo máquinas expendedoras, máquinas de validación de títulos de viaje...); o b) asimilarlo a lo informático, en el sentido de afectar de cualquier modo un sistema informático si de ello se sigue el resultado típico. Esta última línea parece ser la seguida por la jurisprudencia (SSTS, Sala 2ª, de 9 de julio de 2013, de 9 de mayo de 2007 y de 26 de junio de 2006). Así, bajo esta expresión, se da cobertura al castigo de la obtención de dinero en cajeros automáticos mediante uso de tarjetas falsas (STS, Sala 2ª, de 9 de mayo de 2007: «...la identificación a través del número secreto genera una

presunción de uso del sistema por parte de su titular, y por ello, debe incluirse como una modalidad de manipulación informática, a los efectos de aplicar el art. 248.2 el mero hecho de utilizar el número secreto de otro para identificarse ante el sistema, aunque incluso dicho numero hubiese sido obtenido al margen de cualquier actividad delictiva»). En todo caso, tiene que contener algún elemento informático para entender cumplido el principio de legalidad excluyente de la analogía en la interpretación y redacción de los tipos (STS, Sala 2ª, de 9 de mayo de 2007). c) En cuanto a la fabricación, introducción, posesión o facilitación de programas informáticos específicamente destinados a la comisión de estafas, el Código Penal establece como límite interpretativo importante el hecho de que el objeto material, el programa, tiene que estar «específicamente destinado» a la comisión de la estafa. De este modo, el posible aprovechamiento de un software creado y utilizado en otra actividad no puede constituir el presente delito. Por otra parte, el hecho de que el programa tenga como destino, además de la comisión de estafas, otras prácticas lícitas, carece de relevancia a efectos de la comisión del tipo, ya que se cumplen todos los elementos del delito si se ha fabricado, introducido, poseído o facilitado para la meta específica de cometer una estafa. En cualquier caso, reiteramos para esta modalidad comisiva del delito de estafa, que entra de lleno en la categoría dogmática de los delitos de anticipación, las consideraciones realizadas al respecto en relación con otros delitos similares, como los delitos de posesión o tenencia de herramientas informáticas dañinas preordenadas al hacking (art. 197 bis CP), o la posesión o tenencia de programas informáticos o claves para cometer el delito de daños informáticos del art. 264 ter CP que hemos comentado con anterioridad. Respecto a los que fabricaren, introdujeren o facilitaren programas

informáticos, el delito, de simple actividad, se agota con esta conducta, pero respecto a los que poseyeren, si efectivamente cometen la estafa, quedará absorbida por ésta. Por lo que se refiere a los ciberdelitos, la jurisprudencia ha admitido la tipicidad de los supuestos de phising (4) en el artículo 248.2 CP, esto es, estafas que utilizan un programa espía (un keylogger) que registra las pulsaciones que se realizan sobre el teclado para almacenarlas en un fichero o enviarlas a través de Internet al cibercriminal. Tal software está diseñado para interceptar las secuencias que se corresponden con números de identificación o códigos de acceso a los servicios de banca on-line, lo que permitirá después al delincuente transferir los fondos de la víctima depositados en la entidad financiera. Por ejemplo, la SAP Albacete, Sección 1ª, de 9 de julio de 2014, señala las cuatro fases de esta modalidad delictiva: a) averiguación de las contraseñas bancarias que utiliza la víctima, para lo cual se utilizan programas espía o técnicas de ingeniería social como puede ser el envío de correos electrónicos haciéndose pasar por la entidad bancaria; b) acceso a la cuenta bancaria cuya contraseña se ha obtenido ilícitamente; c) realización de transferencias desde la señalada cuenta a otra u otras cuentas bancarias a nombre de terceros, conocidos como muleros, que reciben una comisión por su participación en la operación; y d) recepción del dinero por el mulero y su posterior remisión final al autor principal del delito. Una variante del phishing es el smishing, que se caracteriza porque en este caso el canal utilizado para cometer el engaño son los mensajes SMS de telefonía móvil. Las pautas de actuación son idénticas, permitiendo al delincuente beneficiarse económicamente de los datos suministrados por la víctima del engaño.

Este tipo de ciberdelitos se perpetran en muchas ocasiones por grupos criminales organizados, de los que rara vez se logra su identificación. En cambio, sí es más frecuente que las Fuerzas y Cuerpos de Seguridad consigan identificar a los muleros, cuya calificación por la jurisprudencia oscila entre considerarles como partícipes en el delito de estafa informática, autores de un delito de receptación o bien de un delito de blanqueo de capitales, que es la que parece seguir el Tribunal Supremo (STS, Sala 2ª, de 20 de mayo de 2014). Las víctimas suelen acudir preferentemente a la jurisdicción civil para reclamar a las entidades bancarias el reembolso del importe del delito. Con carácter general, se considera que, salvo actuación fraudulenta, incumplimiento deliberado o negligencia grave por parte del titular de la cuenta, la responsabilidad es de la entidad bancaria (SAP Madrid, Sección 9ª, de 4 de mayo de 2015 y SAP Valencia, Sección 9ª, de 23 de abril de 2013). También la conducta de quien utiliza sin autorización la cuenta de correo electrónico de otra persona, suplantando su personalidad, por ejemplo de altos directivos, para ordenar transferencias a su favor o a favor de un tercero se ha subsumido en el delito de estafa informática (STS, Sala 2ª, de 12 de junio de 2006 y SAP Barcelona, Sección 7ª, de 25 de julio de 2016). En nuestra opinión, asimismo cabe incluir aquellos supuestos en los que se interfiere con el navegador de Internet para aparentar ante el usuario que se está en un sitio web determinado, cuando en realidad se está redireccionando a una página web distinta a la pretendida, a pesar de que formalmente se asemeja a la original, y de que incluso los certificados de seguridad parezcan correctos. Es lo que se denomina como pharming y se caracteriza por afectar al servidor de nombres de dominio (DNS; Domain Name System), bien atacando al servidor del ISP o bien al ordenador concreto de la víctima. Puede considerarse como

la evolución del phising, ya que en lugar de depender por completo de que los usuarios hagan click en los enlaces engañosos que se incluyen en mensajes de correo electrónico falsos, el pharming redirige subrepticiamente a sus víctimas al sitio web del ciberdelincuente, incluso si escriben correctamente la dirección web de su banco o de otro servicio en línea en el navegador de Internet. 1.2.3. Tipo subjetivo Sólo es posible su comisión a título de dolo, por personas físicas y jurídicas.

1.3. Estafa mediante utilización fraudulenta de tarjetas de crédito o débito, o cheques de viaje El artículo 248.2.c) del Código Penal incluye entre las modalidades que se reputan estafa la realización de operaciones de cualquier clase en perjuicio de los titulares de tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos. El fundamento de esta modalidad de estafa, adaptada y ampliada a la nueva realidad de utilización indebida de tarjetas bancarias y medios de pago electrónico, sigue residiendo en la mayor facilidad que supone la utilización de estos instrumentos para realizar la maniobra engañosa, poniendo además en peligro la fiabilidad y credibilidad del tráfico mercantil. Asimismo, la mayor facilidad con la que en la actualidad pueden producirse utilizaciones fraudulentas de estos medios de pago aconseja una mayor protección de sus titulares también frente a perjuicios que no estaban contemplados anteriormente, o podían darse únicamente de manera esporádica o residual.

Su tipificación es resultado de la reforma de 2010, que consistió en una ampliación puntual de la estafa informática, añadiéndose la utilización de tarjetas de crédito, débito o cheques de viaje para realizar operaciones de cualquier clase en perjuicio del titular de dichos medios de pago o de terceros. Se cerraba así la laguna existente en estas defraudaciones que utilizan los citados instrumentos de pago o los datos obrantes en ellos, realizando con esa información, incluso sin necesidad de utilizar materialmente la tarjeta, operaciones de cualquier clase en perjuicio de su titular. La reforma en este punto resultó muy acertada y da cumplimiento a la Decisión Marco 2001/413/JAI del Consejo, de 28 de mayo de 2001, relativa a la lucha contra el fraude y la falsificación de los medios de pago distintos del efectivo. Además, quien, sin haber intervenido en la falsificación, usa, en perjuicio de otro y a sabiendas de la falsedad, tarjetas de crédito o débito o cheques de viaje falsificados comete el delito del art. 399 bis.3 CP.

Se incluyen aquí los supuestos de carding, consistentes en el copiado fraudulento de tarjetas de crédito y débito para la posterior adquisición de bienes o servicios (SAN, Sección 1ª, de 13 de mayo de 2016). Se ha discutido si la obtención de dinero en cajeros automáticos, usando tarjetas pérdidas o sustraídas, debe seguir calificándose de robo conforme al párrafo segundo del art. 239 CP, o como estafa del art. 248.2.c) CP, que parece la calificación más adecuada. Se producirá un concurso medial entre el delito de falsificación de tarjetas del art. 399 bis.1 CP y este delito si quien altera o falsifica la tarjeta realiza con ella cualquier operación en perjuicio de su titular o de un tercero (STS, Sala 2ª, de 24 de abril de 2013).

2. ABUSO DE (PHREAKING)

SISTEMAS

INFORMÁTICOS

El artículo 256 del Código Penal castiga al que hiciere uso de cualquier equipo terminal de telecomunicación (esto es,

teléfono, fax, etc.), sin consentimiento de su titular y causando a éste un perjuicio económico. A nivel comparado, este delito venía a reprimir la utilización indebida de grandes superordenadores en una época en la que se facturaba por tiempo el uso de los mismos, aunque en España el debate parlamentario se centró en los abusos telefónicos del personal doméstico. En la actualidad, las actividades más frecuentes se refieren a defraudaciones telefónicas o «phreaking» (p. ej. derivación de una línea de teléfono de otro titular, realización de llamadas sin autorización), así como el pirateo de contraseñas de acceso a servicios de pago (por ejemplo, bases de datos jurídicas o contenidos audiovisuales bajo suscripción), causando un perjuicio patrimonial evidente a su legítimo titular, y en los últimos años ha cobrado especial auge el pirateo de la contraseña de acceso a una red wi-fi ajena. Las conductas fraudulentas pueden llevarse a cabo tanto en el ámbito de conexiones por cable como en el de las conexiones inalámbricas (wardriving), como es el caso de las redes wi-fi. También pueden afectar a sistemas en la nube (cloud computing). Sin embargo, algunas de estas conductas plantean problemas de encaje en el tipo, dado que la mayoría de conductas actuales de phreaking propias del ámbito de Internet no requieren el acceso físico a un terminal ajeno para cometer la defraudación, por lo que el tipo normalmente aplicable debe ser el artículo 255 del Código Penal. La segunda dificultad, al ser un delito de resultado típico material, es la causación de un perjuicio económico. Este requisito determina grandes escollos para sancionar los supuestos lesivos más frecuentes en este ámbito, y ello es debido a la extensión hoy en día de los sistemas de «tarifa plana» en los que el usuario paga la misma cuota por su

conexión al margen del tiempo de uso de ésta o el volumen de datos transferido (es el caso ahora de las conexiones ADSL, cable-módem y FTTH, aunque no siempre lo fue —en España, con la puesta en marcha de Infovía en 1995, y un poco antes para las empresas con el servicio de Frame Relay, que incluía una tarifa plana de datos—), aunque todavía subsisten servicios que tarifican el tiempo o el tráfico (como sucede, por ejemplo, en las conexiones satelitales). En la generalidad de los casos, el uso ilícito de la conexión no va a aumentar el coste del servicio para su titular, aunque sí puede producir una disminución en su calidad porque el delincuente está utilizando parte del ancho de banda de la conexión. Por ello, resulta criticable la idoneidad y oportunidad del tipo, puesto que existen adecuadas vías civiles de reparación, lo cual además no resulta compatible con el principio de intervención mínima del Derecho penal. La jurisprudencia, por su parte, acepta que tienen cabida en este tipo los supuestos de utilización no consentida de teléfonos móviles (SAP Asturias, Sección 2ª, de 27 de octubre de 2010). Sin embargo, no existe unanimidad jurisprudencial en el extremo de si, para la apreciación del delito bajo esta modalidad, basta con que se utilice únicamente la tarjeta SIM ajena en el teléfono propio (SAP Madrid, Sección 16ª, de 1 de marzo de 2006, destacando que la tarjeta SIM es operativa en cualquier terminal), o si requiere, en cambio, la utilización conjunta de la tarjeta SIM y el terminal ajenos (SAP Barcelona, Sección 3ª, de 29 de diciembre de 2003). También caen bajo este delito el acceso a servicios de pago utilizando un usuario y contraseña que permiten cargar el precio del consumo a un tercero sin su consentimiento (SAP Madrid, Sección 16ª, de 23 de julio de 2003).

Pero, sobre todo, la jurisprudencia va referida a los supuestos de derivaciones de líneas telefónicas (SAP Madrid, Sección 16ª, de 12 de julio de 2002: derivar un cable desde el cajetín de Telefónica de todos los teléfonos de la finca hasta su propia vivienda, haciéndolo pasar por debajo de la puerta y conectándolo a la línea de otro titular; SAP Zaragoza, Sección 1ª, de 17 de enero de 2002: propietaria de bar que en el teléfono público conecta uno privado; SAP Madrid, Sección 2ª, de 14 de enero de 2002: utilizar el teléfono de un vecino mediante desvío; y SAP Barcelona, Sección 6ª, de 4 de febrero de 1999: derivación hasta su domicilio de una línea telefónica destinada exclusivamente a pruebas por empleados de Telefónica).

(1)

BARRIO ANDRÉS, Moisés, «Criminalidad e Internet: Retos del Siglo XXI», en Sentencias de TSJ y AP y otros Tribunales Aranzadi, No 15, 2003, o BARRIO ANDRÉS, Moisés, «La ciberdelincuencia en el Derecho español», en Revista de las Cortes Generales, No 83, 2011. Ver Texto

(2)

QUINTANO RIPOLLÉS, Antonio, Tratado de la Parte Especial del Derecho Penal, Editorial Revista de Derecho privado, Madrid, 1977, Tomo II, pág. 562 y ss. Ver Texto

(3)

ANTÓN ONECA, José, Voz «Estafa», Nueva Enciclopedia Jurídica, Editorial Francisco Seix, Barcelona, 1958, pág. 56 y ss. Ver Texto

(4)

Phising es acrónimo de password harvesting fishing (pesca y captura de contraseñas). Ver Texto

Capítulo IX  Ciberdelitos contra el honor y la libertad personal Si existe algún aspecto de la vida presente que ha sido modificado para siempre por la irrupción de la web 2.0 y de su exponente más significativo, las redes sociales, es sin duda el honor y la libertad de las personas. Mientras que ambos derechos fundamentales han contribuido desde sus orígenes a la construcción del Estado constitucional de Derecho, la universalización de Internet y de las redes sociales en la actual sociedad digital han potenciado de manera decisiva el pleno ejercicio de estos derechos. Ahora bien, el tsunami digital ha traído como consecuencia negativa el menoscabo, de modos distintos y crecientes, de los señalados derechos fundamentales. Y es que la comunicación digital facilita la salida precipitada de los afectos y las emociones al no existir más mediación que el click y la pantalla aséptica que nos comunica con el resto de ciudadanos. La ausencia directa de impedimentos hace que las identidades fluyan desprejuiciadas, liberadas de los condicionantes que impone la alteridad. Más concretamente, el uso generalizado y masivo de las redes sociales y otras aplicaciones de la web 2.0 no ha variado tanto el tipo de conducta pero sí las consecuencias

de las mismas. La viralidad de los mensajes enviados a través de las redes, el anonimato potencial del autor y las dificultades que entraña su retirada una vez que son publicados y difundidos, generan en ocasiones graves perjuicios al honor, a la intimidad o a la imagen de una persona, o a la reputación en el mercado de una empresa. Surgen también nuevas formas de acoso hacia la libertad personal que plantean problemas de subsunción típica dentro de los presupuestos normativos de figuras delictivas clásicas como las de amenazas o coacciones, por lo que los códigos penales han tenido que tipificar un nuevo delito de cyberstalking o ciberacoso. A ambos grupos de ciberdelitos en sentido amplio nos vamos a referir en el presente capítulo, comenzando por los delitos de calumnia e injuria.

1. CALUMNIAS E INJURIAS Los delitos contra el honor se encuentran recogidos en el título XII del libro II del Código Penal, que contiene tres capítulos dedicados, respectivamente, a los delitos de calumnia (arts. 205 a 207 CP) e injuria (arts. 208 a 210 CP) y a disposiciones comunes a ambos (art. 211 a 216 CP). Al margen de estos delitos, que constituyen el núcleo de la defensa del honor en el Código Penal, deben citarse también una serie de delitos especiales contra el honor que pueden clasificarse en dos grupos: 1. Aquellos que afectan a personas que ostentan algún tipo de representación institucional o a las propias instituciones: a) Calumnias o injurias al Rey o miembros de su familia y regencia, o utilización de la imagen de estas personas de forma que pueda dañar el prestigio de la Corona (arts. 490.3 y 491 CP).

b) Injurias a las Cortes o parlamentos autónomos o sus comisiones (art. 496 CP). c) Calumnias o injurias a altos organismos de la nación (art.504.1 CP). d) Injurias a los ejércitos y fuerzas de seguridad (art. 504.2 CP). e) Calumnias o injurias a miembros de las corporaciones locales, amparándose en bandas armadas, organizaciones o grupos terroristas (art. 505.2 CP). 2. Aquellos que tienen lugar en situaciones especiales: a) Injurias graves a personas protegidas en caso de conflicto armado (art. 612.3º CP). b) Calumnias o injurias cometidas en campaña electoral y con motivo u ocasión de ella (art. 148 Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General). El bien jurídico protegido tanto en el delito de calumnia como en el de injuria es el derecho al honor (STS, Sala 2ª, de 14 de febrero de 2001), que garantiza el art. 18 CE junto a los derechos a la intimidad y a la propia imagen, derechos fundamentales vinculados a la propia personalidad, derivados de la «dignidad de la persona» que prevé el art. 10 CE, debiendo entenderse como «honor» la pretensión de respeto que corresponde a las personas como consecuencia del reconocimiento de su dignidad, pero teniendo en cuenta que se trata de un concepto jurídico indeterminado y cambiante (STC 297/2000, de 11 de diciembre), que depende de las normas, ideas y valores vigentes en cada momento. Y la STS, Sala 2ª, de 3 de mayo de 1985 considera el honor en sentido lato, como equivalente a dignidad de la persona humana, a salvaguarda de su integridad moral, compendio del honor subjetivo, del objetivo y del decoro, sin olvidar que tales conceptos se

hallan transidos de socialidad, influenciados y a merced del evolutivo sentir de la sociedad. Ahora bien, del análisis de los tipos penales se desprende que el concepto de honor que protege el Derecho penal es un concepto restringido que alude sólo a los atentados más graves contra la dignidad de la persona. Así se deduce directamente de la definición del delito de injurias, añadiendo el Código Penal que solamente serán constitutivas de delito las injurias que, por su naturaleza, efectos y circunstancias, sean tenidas en el concepto público por graves, sin perjuicio de lo dispuesto para la violencia doméstica en el art. 173.4 CP (art. 208 CP). Además, como la calumnia va referida a la falsa imputación de delitos, que siempre entraña una grave lesión en la dignidad del sujeto, parece necesario concluir que éste es el núcleo de la protección penal de conformidad con el principio de intervención mínima del Derecho penal, en virtud del cual únicamente se sancionan penalmente las infracciones más graves del ordenamiento jurídico. De este modo, los atentados al honor que no tengan la suficiente gravedad para ser constitutivos de delito, pueden, pese a ello, dar lugar a responsabilidad civil. Y el carácter delictivo de la intromisión no impide el recurso al procedimiento de tutela judicial civil. En cualquier caso, son aplicables los criterios de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen para la determinación de la responsabilidad civil derivada de delito (art. 1.2 LO 1/1982). En cuanto a la afectación tecnológica, las redes sociales han devenido hoy en un escaparate de la vida personal y profesional, paradigma de lo que acertadamente ByungChul HAN ha bautizado como la sociedad de la transparencia (1) , y es precisamente en este medio en el que han aparecido distintos tipos de usuarios denominados

«troles» (trolls), que profieren comentarios denigratorios a través de Internet que vulneran el honor de terceros y cuyo único objetivo es generar polémica de forma malintencionada, realizar críticas y difundir opiniones sobrepasando los límites de la libertad de expresión. Este tipo de conductas, cuando revisten la gravedad suficiente, encuentran cabida en los delitos tradicionales de injurias y calumnias del Código Penal, sin que sea necesario crear un delito específico que regule las injurias y calumnias en el ciberespacio. En este caso, lo único que varía es el medio a través del cual se difunde el mensaje injurioso o calumnioso, y las consecuencias agravadas de viralidad de los mensajes y las dificultades de retirar el contenido una vez que ha sido distribuido.

1.1. Calumnia De acuerdo con el artículo 205 del Código Penal, el tipo básico del delito de calumnia consiste en: — la imputación de un delito; — hecha con conocimiento de su falsedad o temerario desprecio hacia la verdad. La calumnia es el delito más grave contra el honor y exige atribuir, achacar o acusar falsamente a otro de una infracción criminal de tal rango, estando excluida la imputación de las antiguas faltas. El ataque debe estar dirigido contra una persona concreta e inconfundible, de indudable identificación, aunque no se cite expresamente el nombre del ofendido, y debe ser eminentemente doloso. No bastan atribuciones genéricas, vagas o analógicas, sino que han de recaer sobre un hecho inequívoco, concreto y determinado, preciso en su significación y catalogable criminalmente (por ejemplo, Julián M. es un pedófilo). La aseveración ha de ser radical, lejos de la simple sospecha o

débil conjetura, debiendo contener la falsa asignación los elementos requeridos para la definición del delito atribuido, según su descripción típica, aunque sin necesidad de una calificación jurídica por parte del autor (STS, Sala 2ª, de 1 de febrero de 2015). La imputación ha de ser falsa, subjetivamente inveraz, con manifiesto desprecio de toda confrontación con la realidad, o a sabiendas de su inexactitud. La calumnia reviste dos modalidades (art. 206 CP): a) Si la calumnia se realiza sin publicidad, la pena es de multa de 6 a 12 meses. b) Si concurre publicidad, se castiga con prisión de 6 meses a 2 años o multa de 12 a 24 meses. Se reputan hechas con publicidad las calumnias cuando se propaguen por medio de la imprenta, la radiodifusión o por cualquier otro medio de eficacia semejante (art. 211 CP). El vigente Código Penal restringe la agravación por publicidad a los casos en que haya una difusión significativa del hecho. La especial gravedad de las calumnias con publicidad no reside en que la imputación llegue a conocimiento de terceros, sino en la aptitud del medio comisivo para que llegue a un grupo amplio e indeterminado de personas con el riesgo consiguiente de afectar el honor del sujeto pasivo. No basta, como antaño, con una difusión oral o escrita a un grupo de personas, sino que es necesario que se haga por un medio de difusión generalizada. Por tanto, la publicidad en Internet vendrá dada por un mensaje en abierto en foros o redes sociales, pero en cambio no hay publicidad cuando se utiliza un medio electrónico destinado a un único destinatario o a un grupo reducido de destinatarios (por ejemplo, un SMS, un WhatsApp, un mensaje privado en una red social o un correo electrónico).

Por lo demás, la drástica reducción de las penas, y el hecho de que en ningún caso sea obligada la imposición de pena privativa de libertad debe interpretarse como la voluntad del legislador de reducir al máximo la aplicación del Derecho penal en la defensa del honor en beneficio de la vía civil.

1.2. Injuria De acuerdo con el artículo 208 del Código Penal, el tipo básico de injuria consiste en: — la acción o expresión; — que lesionan la dignidad de otra persona; — menoscabando su fama o atentando contra su propia estimación. De este modo, la injuria es la figura básica de los delitos contra el honor, de la que la calumnia es un supuesto específico especialmente grave por la doble exigencia de que la falsa imputación se haga de un delito y que la misma sea precisa, terminante y concreta. Por eso, si se da el primer requisito pero falta el segundo es posible, apreciado el ánimo de difamar, condenar por injuria aunque la calificación fuera por calumnia (STS, Sala 2ª, de 25 de mayo de 2016). La conducta típica requiere de dos elementos: uno, de carácter objetivo, comprensivo de las expresiones proferidas o acciones ejecutadas que lesionan la dignidad de otra persona, menoscabando su fama o atentando contra su propia estimación, y otro, de carácter subjetivo, intencional, en cuanto que aquellas frases o actitudes han de responder al propósito específico de ofender, vilipendiar, desacreditar, vejar, menospreciar, escarnecer, etc., a la persona destinataria de ellas o a la que van referidas: el animus

iniuriandi, en suma, que representa el elemento subjetivo del injusto. A ello se añadiría un último elemento, complejo y circunstancial, que aglutina cuantos factores o datos personales, de ocasión, lugar, tiempo, forma, etc., valorativamente apreciados conforme al criterio sociocultural de la comunidad en que se producen o al ambiente donde se vierten, contribuyan, de una parte, a esclarecer la verdadera intención o propósito que guiaba al sujeto proferidor de la ofensa, y, de otra, coadyuven a determinar la importancia y magnitud de los tipos del Código Penal (STS, Sala 2ª, de 25 de mayo de 2016, o SAP Navarra, Sección 1ª, de 26 de septiembre de 2017). Así, se aprecia el propósito de desprestigio cuando la injuria se sobrentiende de la propia lectura y se transparenta de forma meridiana de ella, lo que suele ocurrir en los escritos, que, siendo fruto de mayor deliberación, suponen un ánimo definido de agraviar, correspondiendo al presunto ofensor que fue otro distinto el móvil impulsor (STS, Sala 2ª, de 3 de junio de 1986). Esto también se produce incluso en los 280 caracteres de un tuit (SAP Cuenca, Sección 1ª, de 14 de marzo de 2017). La injuria también reviste dos modalidades (arts. 208 y 209 CP): a) Si no concurre publicidad en las injurias, se castigan con multa de 3 a 7 meses. b) Si hay publicidad, con multa de 6 a 14 meses. Las injurias leves y las vejaciones injustas, a partir de la reforma de 2015, sólo serán delito leve cuando se cometan sobre alguna de las personas a que se refiere el apartado 2 del artículo 173 del Código Penal. El resto de injurias leves quedan al margen del ámbito penal, por tratarse de ofensas de carácter privado cuya reparación

puede exigirse en la vía jurisdiccional civil o mediante los actos de conciliación (art. 173.4 CP). La injuria se reputará hecha con publicidad cuando se propague por medio de la imprenta, la radiodifusión o por cualquier otro medio de eficacia semejante (art. 211 CP). Sobre esto, cabe reiterar lo ya señalado en la calumnia. También, según el art. 215.1 CP, es preciso querella de la persona ofendida por el delito o de su representante legal. Pero se procederá de oficio cuando la ofensa se dirija contra funcionario público, autoridad o agente de la misma sobre hechos concernientes al ejercicio de sus cargos. Por lo demás, recordar que el legislador, al imponer en ambos casos sólo penas de multa, muestra su voluntad de reducir al máximo la aplicación del Derecho penal en la defensa del honor en beneficio de la vía civil.

2. CIBERACOSO (CYBERSTALKING) El delito de acoso (2) a través de los medios de comunicación, que se denomina también delito de acecho u hostigamiento y en derecho anglosajón se conoce como cyberstalking, se lleva a cabo mediante llamadas telefónicas continuas, seguimientos o cualquier otra fórmula que pueda lesionar gravemente la libertad y el sentimiento de seguridad de la víctima, aunque no se produzca violencia. A diferencia de las conductas de amenazas o coacciones, en el ciberacoso el autor no sólo utiliza frases de naturaleza amedrentadora, sino que actúa de un modo sistemático para restringir la capacidad de decisión de la víctima, siendo una de sus expresiones más usuales el empleo de medios electrónicos para hostigar a la misma y alterar, de forma grave, la vida cotidiana del acosado. Aquí cobra especial relevancia el uso de redes sociales, actuando el agresor con mayor sensación de impunidad y sin necesidad de contacto directo con la víctima, todo lo cual aumenta el desamparo

legal de la misma, dado que no existen mecanismos rápidos y efectivos de protección para la víctima. En síntesis, puede señalarse que se trata de conductas tradicionalmente presentes pero ahora agravadas con Internet, que dificultan en muchos supuestos el acomodo objetivo de las mismas en los tipos penales existentes. A nivel comparado, este delito fue primero tipificado en Estados Unidos a principios de 1990, concretamente en el Estado de California se creó un tipo específico de stalking como respuesta a desafortunados sucesos mediáticos, entre ellos el apuñalamiento de la actriz Theresa Saldana o el asesinato de la actriz Rebecca Schaeffer a manos de seguidores o fans obsesivos. En Europa, Alemania o Italia procedieron poco después a su incorporación en sus respectivos códigos penales. Más modernamente, la comisión de este delito se ha venido realizando en casos de violencia de género. De hecho, su tipificación generalizada ha sido posible por la presión de las organizaciones de mujeres maltratadas y las organizaciones a favor de los derechos de las víctimas, debiéndose señalar aquí la obligación recogida en el artículo 34 del Convenio del Consejo de Europa para la Prevención y la Lucha contra la Violencia contra las Mujeres y la Violencia Doméstica, adoptado en Estambul el 11 de mayo de 2011, en virtud del cual «...las Partes adoptarán las medidas legislativas o de otro tipo necesarias para tipificar como delito el hecho, cuando se cometa intencionadamente, de adoptar, en varias ocasiones, un comportamiento amenazador contra otra persona que lleve a ésta a temer por su seguridad». En España, y tras la ratificación del citado Convenio el 18 de marzo de 2014, este tipo penal ha sido introducido en la reforma de 2015 a través del artículo 172 ter del Código Penal, y está ubicado dentro de los delitos contra la libertad de las personas, guardando ciertas similitudes con el delito de amenazas o coacciones. A través de este delito se

protege a las personas frente a conductas que, aunque reunían alguno de los elementos del tipo de las amenazas o coacciones, los juzgados y tribunales dejaban fuera de la esfera penal si no iban acompañadas de actos físicos intimidatorios o violentos, aunque todo este complejo engranaje de actos desembocan por lo general en situaciones de pánico, miedo o preocupación. También España cumple así con los mandatos del precitado Convenio del Consejo de Europa hecho en Estambul el 11 de mayo de 2011 sobre prevención y lucha contra la violencia contra la mujer y la violencia doméstica. Según explica el propio preámbulo de la Ley Orgánica 1/2015, de 30 de marzo, este nuevo delito comprende aquellos supuestos «...en los que, sin llegar a producirse necesariamente el anuncio explícito o no de la intención de causar algún mal (amenazas) o el empleo directo de violencia para coartar la libertad de la víctima (coacciones), se producen conductas reiteradas por medio de las cuales se menoscaba gravemente la libertad y sentimiento de seguridad de la víctima, a la que se somete a persecuciones o vigilancias constantes, llamadas reiteradas, u otros actos continuos de hostigamiento». Tras la reforma de 2015 ya no es necesario ese elemento de cercanía física o violencia, sino que es suficiente la insistencia y reiteración de la conducta hostigadora que altere la forma de vida habitual de la víctima. El autor estará cometiendo este delito, entre otros supuestos, cuando establezca o intente establecer contacto con una persona a través de cualquier medio de comunicación, acosándola de forma insistente y reiterada sin estar legítimamente autorizada y alterando gravemente su vida cotidiana. Otra de las conductas acosadoras consiste en adquirir bienes o servicios haciendo uso indebido de los datos personales de la persona acosada.

Ahora bien, debe diferenciarse esta modalidad de las conductas de mobbing (3) y bullying (4) , puesto que estas últimas formas de acoso tienen como objetivo último la humillación o merma de la autoestima y dignidad de la víctima. Por el contrario, el ciberacoso o cyberstalking no conlleva necesariamente la humillación, sino que es precisamente la desestabilización emocional aquello característico, con la consiguiente generación de sentimientos de temor y de inseguridad que perturban la tranquilidad psíquica de la víctima ante el desconocimiento de las posibles actuaciones dañinas de su acosador. De hecho, el ciberacoso es una modalidad de acoso psicológico, frente al mobbing y bullying, que constituyen un acoso moral. Por lo demás, conviene recordar que el mobbing se encuentra tipificado en el art. 173.1 del CP, y si bien el bullying no goza de una tipificación particular, la jurisprudencia lo incluye en este mismo precepto. El tipo básico del delito de ciberacoso se contiene en el artículo 172 ter.1 del Código Penal, y consiste en que: — se acose a una persona; — llevando a cabo de forma insistente y reiterada; — y sin estar legítimamente autorizado; — alguna de las conductas siguientes: 1.ª La vigile, la persiga o busque su cercanía física. 2.ª Establezca o intente establecer contacto con ella a través de cualquier medio de comunicación, o por medio de terceras personas. 3.ª Mediante el uso indebido de sus datos personales, adquiera productos o mercancías, o contrate servicios, o haga que terceras personas se pongan en contacto con ella.

4.ª Atente contra su libertad o contra su patrimonio, o contra la libertad o patrimonio de otra persona próxima a ella. — y, de este modo, altere gravemente el desarrollo de su vida cotidiana. El bien jurídico protegido es la libertad que es menoscabada mediante la creación de una situación o contexto intimidatorio para la víctima, que teme el padecimiento de un mal indeterminado e incierto en cuanto al momento y forma de causación, lo cual puede incluso afectar de forma mucho más grave a su libertad personal que el anuncio de un mal en sentido estricto. Incluso también cabe apuntar a la seguridad como segundo bien jurídico protegido, tal y como señala el preámbulo de la reforma de 2015, si bien se exige que las conductas en cuestión limiten efectivamente la libertad de obrar del sujeto pasivo, pues el simple temor no integraría esta modalidad delictiva. El tipo se configura como un tipo mixto alternativo cuya conducta típica de acosar a la víctima se conforma por la insistencia y reiteración de diferentes posibilidades, previstas expresamente en el tipo, y que deben dar como resultado la producción de una alteración grave del desarrollo de la vida cotidiana de la víctima. El ciberacoso implica una estrategia sistemática de persecución, que va más allá de la repetición de las acciones para alterar de forma grave el desarrollo de la vida cotidiana del sujeto pasivo. En concreto, señalar:

sobre

los

comportamientos

típicos

cabe

a) Vigilar, perseguir o buscar la cercanía física de la víctima. Pretende permanecer en las proximidades físicas de la víctima, sin necesidad de que exista contacto con ella,

ni utilizar como medio comisivo para ello la violencia o intimidación. b) Contactar o intentar contactar con ella a través de cualquier medio de comunicación, incluso por medio de terceras personas. No se requiere que el autor consiga ponerse en contacto con la víctima, si bien la conducta debe ser idónea ex ante para poder producir el resultado previsto, por lo que de alguna manera tiene que llegar a conocimiento de la víctima el intento de contacto, que es precisamente lo que supondrá una interferencia, por ejemplo, con llamadas perdidas en el teléfono móvil. c) Adquirir productos o mercancías o contratar servicios mediante el uso indebido de sus datos personales o hacer que terceras personas se pongan en contacto con ella. Exige por ejemplo aportar su nombre y apellidos y dirección para que se le realice la entrega. Además, en estos casos la acción puede entrar en concurso con otros delitos contra el patrimonio si resultara afectado el de la víctima al utilizarse datos como, por ejemplo, el número de su cuenta corriente o el número de su tarjeta de crédito o débito. d) Atentar contra su libertad o contra su patrimonio, o contra la libertad o patrimonio de otra persona próxima a ella. Esta modalidad puede plantear problemas tanto por la colisión delictiva que puede suponer y cuyo concurso habrá que establecer en su caso, como por la agresión a otros bienes jurídicos que igualmente pueden verse afectados por conductas de hostigamiento como la integridad física e incluso la vida. Parece que el legislador pensaba únicamente en determinadas situaciones de vandalismo, por ejemplo, pintadas en la casa de la víctima o de sus familiares o en su coche o en el de sus familiares, etc., o en situaciones en las que le coarta salir de casa, practicar deporte o usar el coche, etc., y no en otras conductas más conectadas con comportamientos violentos.

La cláusula legal sin estar legítimamente autorizado ha sido objeto de importantes críticas doctrinales porque daría a entender que existe algún tipo de acoso permitido en nuestro ordenamiento jurídico. Parece que esta desafortunada redacción va referida a la actividad realizada por los detectives privados o al desempeño del derecho a la libertad de información. Por ello, hubiera sido preferible, tal y como señaló el dictamen del Consejo de Estado n.o 358/2013, de 27 de junio, haber empleado la expresión «de modo ilegítimo», ya que ningún caso el acoso podía justificarse o ampararse por una norma, motivo por el cual no existiría un acoso legítimo, siendo únicamente las concretas conductas enumeradas por el precepto las que, en determinadas ocasiones, estarían legitimadas. El delito es de resultado, debe alterar gravemente el desarrollo de la vida cotidiana de la víctima del delito, las conductas deben ser repetitivas y persistentes, y producir un cambio relevante en los hábitos de la víctima (SAP León, Sección 3ª, de 19 de diciembre de 2017 y SAP La Coruña, Sección 1ª, de 18 de octubre de 2017). Se viene discutiendo el número concreto de actos de acoso necesarios. En todo caso, el tipo exige un patrón de conducta, descartando actos aislados. Es decir, debe concurrir una estrategia sistemática de persecución, integrada por diferentes acciones dirigidas al logo de una determinada finalidad que las vincule entre ellas. De conformidad con el art. 172 ter.4 CP, los hechos descritos en este artículo sólo serán perseguibles mediante denuncia de la persona agraviada o de su representante legal. La pena del tipo básico es prisión de 3 meses a 2 años o multa de 6 a 24 meses (art. 172 ter.1 CP). Hay dos modalidades agravadas:

a) De una parte, se establece un tipo agravado penado con 1 a 2 años de prisión o trabajos en beneficio de la comunidad de 60 a 120 días si el delito se ha cometido contra las siguientes personas (art. 172 ter.2 CP): 1. cónyuge o persona con análoga relación de afectividad aun sin convivencia; 2. descendientes, ascendientes o hermanos por naturaleza, adopción o afinidad, propios o del cónyuge o conviviente; 3. menores; 4. personas con discapacidad necesitadas de especial protección que con él convivan o que se hallen sujetos a la potestad, tutela, curatela, acogimiento o guarda de hecho del cónyuge o conviviente; 5. persona amparada en cualquier otra relación por la que se encuentre integrada en el núcleo de su convivencia familiar; 6. así como sobre las personas que por su especial vulnerabilidad se encuentran sometidas a custodia o guarda en centros públicos o privados. b) De otra, si se trata de una persona especialmente vulnerable por razón de su edad, enfermedad o situación, se impondrá la pena de prisión de 6 meses a 2 años (art. 172 ter.1 in fine CP). Se ha criticado asimismo esta configuración de los tipos agravados. Así, la segunda circunstancia de agravación, la especial vulnerabilidad de la víctima, sin vínculo doméstico o familiar con el sujeto activo del delito, resultaría innecesaria al existir la circunstancia agravante genérica del art. 22 CP. Tampoco la tipificación de la primera modalidad se encontraría justificada, debido a su posible solapamiento con el delito de violencia doméstica del art. 173.2 CP, el cual contempla penas superiores que las previstas para el delito de ciberacoso, por lo

que se debería exclusivamente.

optar

por

la

aplicación

del

art.

173.2

Además de las citadas penas, son aplicables aquéllas que pudieran corresponder a los delitos en que se hubieran concretado los actos de acoso (art. 172 ter.3 CP), como por ejemplo las previstas para los delitos de amenazas, coacciones o tratos degradantes. Esta cláusula concursal también ha recibido un juicio negativo, puesto que, si se partimos de que el bien jurídico protegido en el delito que estamos analizando es la libertad, podemos llegar a la situación de que la conducta en cuestión, cuya reiteración provoca su tipicidad, sea también incardinable en los tipos de amenazas y coacciones. Y en tales casos, como el propio texto legal establece, estas conductas deberían sancionarse de forma individual, por lo que el delito de ciberacoso se conjugaría con el tipo de amenazas correspondiente. Solución que un sector doctrinal estima que lesiona claramente el principio ne bis in ídem, pues no olvidemos que ambos preceptos protegen el mismo bien jurídico.

(1)

HAN, Byung-Chul, La sociedad de la transparencia, Editorial Herder, Barcelona, 2013. Ver Texto

(2)

Vid. MOLINA BLÁZQUEZ, Concepción, «Tratamiento penal de la violencia entre menores; especial referencia a la violencia escolar, el acoso y el ciberacoso», en MARTÍNEZ GARCÍA, Clara, (coord.), Protección jurídica de las personas menores de edad frente a la violencia, Editorial Thomsom Reuters Aranzadi, Pamplona, 2017. Ver Texto

(3)

El «mobbing» alude al clásico acoso laboral, el cual engloba una serie de comportamientos y conductas abusivas dirigidas a degradar psicológicamente a un trabajador,

minándole la autoestima y la moral, mediante el hostigamiento y una situación de violencia psicológica continuada. Como recuerda el dictamen del Consejo de Estado no 250/2005, de 14 de abril, en muchas ocasiones se trata de un acoso moral consistente en el tratamiento hostil a un empleado para su aniquilamiento psicológico a fin de obtener su salida de la empresa u organización conforme a las Sentencias de 18 de marzo de 2002 del Juzgado de lo Social No 30 de Madrid y 18 de junio de 2001 del Juzgado de lo Social No 33 de Madrid; así pues, consiste en una conducta tendente a la destrucción psíquica de la víctima causándole daños de esta índole. Ver Texto

(4)

El «bullying» va referido al acoso escolar y a toda forma de maltrato físico, verbal o psicológico que se produce entre alumnos, de forma reiterada y a lo largo del tiempo. Ver Texto

Capítulo X  Ciberdelitos contra la libertad e indemnidad sexuales La pornografía infantil representa sin duda uno de los fenómenos criminales más preocupantes, expansión que se ve especialmente favorecida por las capacidades de Internet y la globalización de las comunicaciones. En consecuencia, constituye uno de los sectores prevalentes donde con mayor intensidad se ha centrado el esfuerzo de la cooperación penal internacional, y que se ha plasmado no sólo con la celebración en 2001 del señalado Convenio sobre la Ciberdelincuencia en Budapest, sino también en la actuación conjunta y coordinada de las Fuerzas y Cuerpos de Seguridad en numerosos operativos en distintos países del mundo. Consecuentemente, en el derecho comparado se observa una tendencia cada vez más intensa en la prevención y represión de estos delitos, comenzando en el entorno europeo con la Sexual Offences Act de 1996 en el Reino Unido. Y es que la eclosión de la pornografía infantil en el ciberespacio se detecta desde la apertura al público de Internet a partir de 1991, primero con la existencia de newsgroups, foros privados y salas de chat entre grupos de pedófilos, y ahora con plataformas dedicadas al efecto en la dark web, lo que ha obligado a las instituciones públicas a

actuar decididamente al respecto, incluyendo la tipificación del nuevo delito de childgrooming o acercamiento y embaucamiento a menores. Antes de examinar el mismo resulta necesario realizar unas consideraciones adicionales sobre los delitos contra la libertad e indemnidad sexuales.

1. PORNOGRAFÍA INFANTIL Como no podía ser de otro modo, las reformas del Código Penal en esta materia han supuesto la incriminación de nuevas conductas, la incorporación de elementos típicos agravantes y el endurecimiento de las penas, en gran medida por el auge de la pornografía infantil y la facilidad de distribución y acceso que proporciona Internet. Situación que ha sido denunciada y combatida por las más diversas instancias internacionales (1) . De este modo, por lo que respecta a la pornografía infantil y tras la reforma de 2015, se castigan los actos de producción, distribución o exhibición (art. 189.1 CP), la asistencia con conocimiento a espectáculos exhibicionistas o pornográficos en los que participen menores de edad o personas con discapacidad necesitadas de especial protección (art. 189.4 CP), así como el mero uso, adquisición o posesión de pornografía infantil (art. 189.5 CP). También se incluye un nuevo apartado para sancionar a quien acceda a sabiendas a este tipo de pornografía por medio de las TIC (art. 189.5 CP). Se establece, además, que los jueces ordenarán la adopción de medidas necesarias para la retirada de las páginas de Internet que contengan ese material o, en su caso, bloquear el acceso a las mismas a los usuarios de Internet que se encuentren en territorio español, dando cumplimiento así a lo mencionado en el art. 25 de la Directiva 2011/93/UE del Parlamento Europeo y del

Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión Marco 2004/68/JAI del Consejo (art. 189.8 CP). Estas medidas también están relacionadas con el nuevo art. 14 de la LECrim y con el art. 8 de la LSSI. Estas posibilidades pueden también acordarse como medida cautelar, siendo necesaria la previa petición del fiscal. Por otra parte, la reforma de 2015 ha introducido importantes modificaciones en el delito de childgrooming que estudiaremos en el próximo epígrafe.

2. DELITO DE EMBAUCAMIENTO TECNOLOGÍAS DE (CHILDGROOMING)

ACERCAMIENTO Y POR MEDIO DE LA COMUNICACIÓN

Dentro de los delitos contra la libertad e indemnidad sexual y con la finalidad de transponer a nuestro ordenamiento jurídico la citada Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión Marco 2004/68/JAI del Consejo, en el año 2010 se introdujo el delito de childgrooming con fines sexuales a merced de una enmienda del Grupo Popular en el Congreso que experimentó, no obstante, algún cambio (2) . Su tipificación también resultaba obligada por cuanto que el Convenio sobre la Ciberdelincuencia establece la necesidad de adoptar medidas contra delitos cometidos contra o a través de redes electrónicas, entre otros, la pornografía infantil. La reforma de 2015 ha modificado ampliamente el mismo, actualmente regulado en el artículo 183 ter del Código Penal.

Las TIC han supuesto una mayor dificultad de los padres para la vigilancia de las personas adultas con quienes sus hijos se relacionan. Internet permite que los menores de edad se comuniquen, sin salir de su habitación, con cualquier desconocido de cualquier parte del mundo. Cada vez es más frecuente que los pederastas sustituyan las visitas a los parques infantiles por los chats de Internet o las redes sociales para buscar a sus víctimas. Aparecen así nuevas formas delictivas como el «grooming» o «childgrooming», esto es, el acercamiento a menores de forma on-line, que constituye un delito preparatorio de otro de carácter sexual más grave, y consiste en acciones emprendidas por un adulto con el objetivo de ganarse la amistad de un menor de edad, al crearse una conexión emocional con el mismo, con el fin de disminuir las inhibiciones del niño y poder abusar sexualmente de él (3) . La reforma de 2015 acertadamente aborda el fenómeno de la proliferación de comunicaciones por Internet con menores de edad por parte de personas sin escrúpulos con la finalidad de concertar encuentros para la comisión de delitos de carácter sexual prevaliéndose del engaño. En todos los supuestos, la conducta típica ahora consiste en contactar con un menor de 16 años, a través de Internet, del teléfono o de cualquier otra tecnología de la información y la comunicación. La diferencia de tipos se establece en la conducta subsiguiente: proponerle concertar un encuentro para cometer un delito sexual (art. 183 ter.1 CP); o bien realizar actos dirigidos a embaucarle para obtener o exhibir material pornográfico (art. 183 ter.2 CP). Por ello, cabe diferenciar dos tipos.

2.1. Acercamiento

El tipo básico se contiene en el nuevo artículo 183 ter.1 del Código Penal y consiste en: — contactar con un menor de 16 años; — a través de Internet, del teléfono o de cualquier otra tecnología de la información y la comunicación; y — proponerle concertar un encuentro con el mismo; — para cometer un delito de abusos o agresiones sexuales a menores de 16 años (art. 183 CP), o de pornografía y corrupción de menores (art. 189 CP); — siempre que tal propuesta se acompañe de actos materiales encaminados al acercamiento. Es un delito de peligro que no requiere contacto físico entre el agresor y el agredido (STS, Sala 2ª, de 30 de noviembre de 2017 y de 22 de septiembre de 2015) y que castiga las acciones deliberadamente orientadas a establecer una relación y un control sobre el menor con el fin de disminuir sus inhibiciones y preparar el terreno para el abuso sexual de la víctima. La referencia que contiene el tipo a los medios tecnológicos (4) a través de los cuales ha de producirse el contacto es un listado abierto y da cabida a mecanismos o sistemas de transmisión de datos que no precisen de conexión a Internet o de una línea telefónica, como por ejemplo una conexión wi-fi, aplicaciones basadas en bluetooth, etc. La pena prevista es de 1 a 3 años de prisión o multa de 12 a 24 meses, sin perjuicio de las penas correspondientes a los delitos en su caso cometidos. Se prevé una agravante específica cuando el acercamiento se obtenga mediante coacción, intimidación o engaño, en cuyo caso se han de imponer las penas en su mitad superior (art. 183 ter.1 CP).

2.2. Embaucamiento para la obtención exhibición de material pornográfico

o

El tipo básico se contiene en el nuevo artículo 183 ter.2 del Código Penal, y consiste en: — contactar con un menor de 16 años; — a través de Internet, del teléfono o de cualquier otra tecnología de la información y la comunicación; y — realizar actos dirigidos a embaucarle; — para que le facilite material pornográfico o le muestre imágenes pornográficas en las que se represente o aparezca un menor. El tipo castiga tanto embaucar al menor para que le facilite material pornográfico propio o ajeno. La pena prevista es de prisión de 6 meses a 2 años. Si bien esta conducta no estaba tipificada de forma expresa en nuestro Código Penal hasta la reforma de 2015, antes era punible a través del delito de utilización de menores para elaborar material pornográfico del art. 189 CP en grado de tentativa (SAP Granada, Sección 1ª, de 25 de mayo de 2009). Por este motivo, si el sujeto activo del delito de embaucamiento recibiese el material pornográfico de un menor sería de aplicación el art. 189 CP por progresión delictiva (art. 8.3 CP).

No obstante, se generan importantes dificultades de delimitación del mismo con los delitos de captación de menores de edad para «elaborar material pornográfico» infantil, o de «facilitar la difusión» de pornografía infantil (art. 189.1 CP), castigados con una pena mucho más severa (1 a 5 años de prisión), lo que ha llevado a un sector doctrinal a considerar que sólo se puede castigar, como tentativa específicamente prevista, la conducta aquí incriminada cuando no se obtenga el material sexual, ya

que, de lo contrario, sería de aplicación lo dispuesto en el art. 189 CP si el autor recibe efectivamente el material (art. 8.3ª CP), como también parece seguir el Tribunal Supremo (SSTS, Sala 2ª, de 10 de diciembre de 2015 y de 22 de septiembre de 2015). Debe tenerse en cuenta, de conformidad con el artículo 191 del Código Penal, que para proceder por los delitos de agresiones, acoso o abusos sexuales, es precisa denuncia de la persona agraviada, de su representante legal o querella del Ministerio Fiscal, que actuará ponderando los legítimos intereses en presencia. Cuando la víctima sea menor de edad, persona con discapacidad necesitada de especial protección o una persona desvalida, bastará la denuncia del Ministerio Fiscal (art. 191.1 CP). La denuncia puede ser tácita o convalidante de lo actuado (STS, Sala 2ª, de 10 de marzo de 2009). Y el perdón del ofendido o del representante legal no extingue la acción penal ni la responsabilidad de esa clase (art. 191.2 CP). Finalmente, el art. 183 quater CP contiene una cláusula de exclusión, a cuyo tenor el consentimiento libre del menor de 16 años excluirá la responsabilidad penal por los delitos previstos en este capítulo, cuando el autor sea una persona próxima al menor por edad y grado de desarrollo o madurez. Se pretende evitar que se criminalicen conductas sexuales entre pares, es decir, entre adolescentes o de jóvenes o adultos muy jóvenes con menores de 16 años, en las que no quepa apreciar prevalimiento ni, por ello, abuso. Con todo, sus elementos adolecen de bastante indeterminación e imprecisión.

(1)

FERNÁNDEZ TERUELO, Javier Gustavo, Cibercrimen…, op. cit, pág. 54 ss., detalla ampliamente las convenciones y

normativa internacional en las que se insta a los Estados a establecer las medidas necesarias para proteger a los menores. Ver Texto

(2)

Vid. MANZARANES SAMANIEGO, op. cit., II, pág. 255. Ver Texto

(3)

MAGRO SERVET, Vicente, «El "grooming" o ciber acoso infantil, el nuevo artículo 183 bis del Código Penal», Diario La Ley, No 7492, 2010. También MORALES PRATS, Fermín, «Los ilícitos en la Red (II): pornografía infantil y ciberterrorismo», en ROMEO CASABONA, Carlos (coord.), El cibercrimen: nuevos retos jurídico-penales, nuevas respuestas político-criminales, Editorial Comares, Granada, 2006; o TAMARIT SUMALLA, Joseph María, «La protección penal del menor frente al abuso y la explotación sexual», en AA.VV., Análisis de las reformas penales en materia de abusos sexuales, prostitución y pornografía de menores, Editorial Aranzadi, Navarra, 2002, 2ª edición. Ver Texto

(4)

La última modalidad comisiva tiene lugar aprovechando las aplicaciones de citas, en las que los delincuentes se introducen con un perfil falso aparentando ser otro menor de edad, y en el momento del encuentro aparecen uno o varios delincuentes sexuales que abusarán de la víctima. Ver Texto

Capítulo XI  Ciberdelitos contra la propiedad intelectual y derechos conexos Los delitos contra la propiedad intelectual se enmarcan en nuestro Código Penal dentro de las infracciones contra el patrimonio y el orden socioeconómico, en coherencia con un modelo de tutela que otorga absoluta preponderancia a la protección de la dimensión patrimonial del derecho de autor que se ha visto acentuada con la reforma de 2015, al incorporar al tipo básico una cláusula de cierre referida a quien «de cualquier otro modo explote económicamente». Los derechos de propiedad intelectual son especialmente vulnerables en el entorno digital (1) . Las TIC y ahora las tecnologías disruptivas no solo han generado nuevas conductas delictivas, sino que también han modificado el modelo de negocio que gira en torno a los derechos de propiedad intelectual. En efecto, y como hemos desarrollado en otra obra (2) , la base de Internet es el soporte digital. La popular digitalización de contenidos supone, de hecho, la conversión de la información en bits, ceros y unos. A diferencia de otros soportes empleados a lo largo de la historia, la información digital ofrece una inagotable capacidad de reproducción y una extraordinaria volatilidad. Cada una de estas características oculta un grave riesgo que conduce a la vulnerabilidad de la información, fácil de

copiar, de reproducir, de alterar o de reutilizar. Cualquier persona tiene la posibilidad de publicar y descargar contenidos de la Red, por lo que potencialmente puede convertirse tanto en creador como en receptor de contenidos con cualquier internauta, independientemente de que físicamente se encuentre situado en las antípodas del mundo. La consecuencia de lo anterior es que la información se vuelve blanda. Gráficamente, Andrew SHAPIRO ha descrito Internet como una gigantesca máquina de copiado, y conlleva una permanente fragilidad de la información y de los derechos de propiedad intelectual en Internet, que se agrava en un entorno abierto como es el ciberespacio, donde el acceso es libre y sin previo control, los participantes son desconocidos y la seguridad es incierta. En este sentido, y a través de la proliferación de las páginas web de enlaces, bien se puede descargar una obra de forma directa en los ordenadores (y otros dispositivos como tabletas, smartphones,...), bien acceder directamente a la misma mediante streaming, es decir, el visionado o escucha de la obra sin necesidad de previa descarga. A todos estos fenómenos vamos a referirnos seguidamente.

1. DELITOS CONTRA INTELECTUAL

LA

PROPIEDAD

El Código Penal regula los delitos contra la propiedad intelectual en la sección 1ª (De los delitos relativos a la propiedad intelectual) del capítulo XI (De los delitos relativos a la propiedad intelectual e industrial, al mercado y a los consumidores), del título XIII (Delitos contra el patrimonio y contra el orden socioeconómico) del libro II, que comprende los artículos 270 a 272 del Código Penal. Con carácter general, debe notarse que la peculiar naturaleza de los derechos relativos a la propiedad

intelectual permite que sobre un mismo objeto (libro, partitura, escultura, programa de ordenador, etc.) puedan concurrir intereses que, a veces, pueden llegar a ser contrapuestos. El autor de la obra dispone de una amplia gama de facultades de su derecho de propiedad que puede transmitir o ceder según múltiples modalidades, lo cual, a su vez, originará nuevos titulares de derechos que, como tales, pueden tenerse también como perjudicados por el delito (3) . Además, en el campo de la propiedad intelectual hay que destacar dos fenómenos importantes: la internacionalización de su protección y la existencia de organizaciones sectoriales dedicadas a velar por estos derechos (la más importante es la Organización Mundial de la Propiedad Intelectual, OMPI; en España, la Sociedad General de Autores y Editores, SGAE), lo cual en ocasiones genera problemas de legitimación (4) para actuar en el proceso penal, puesto que no sustituyen plenamente al autor en el ejercicio de las acciones penales. También hay que recordar que la informática se manifestó desde sus prolegómenos como un medio eficaz para la vulneración de estos contenidos. Inicialmente las violaciones se referían exclusivamente a los programas de ordenador, pero la irrupción de nuevos soportes —tales como el CD-ROM o el DVD— ha permitido extender el objeto material del delito a todo tipo de obras, surgiendo la figura del llamado top manta (actividad consistente en la venta no autorizada de obras en la calle). Finalmente, la cuestión tiene su punto álgido y polémico con las descargas de contenidos a través de Internet, para lo cual la disposición final cuadragésima tercera de la Ley 2/2011, de 4 de marzo, de Economía Sostenible (LES) ha introducido un procedimiento administrativo especial para la interrupción de la prestación de servicios de la Sociedad de

la Información y para la retirada de contenidos que vulneren la propiedad intelectual (5) . La protección penal de las obras frente a diferentes acciones (reproducción, plagio, distribución, comunicación, transformación, interpretación, ejecución, importación, exportación, almacenamiento, etc.) requiere acudir a los preceptos de la Ley de Propiedad Intelectual, cuyo Texto Refundido fue aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril (abreviadamente TRLPI), y ha sido modificado en diversas ocasiones posteriores. El TRLPI regula dos clases de derechos de propiedad intelectual: los derechos morales o personales (arts. 14, 15 y 16 TRLPI) y los derechos de explotación susceptibles de cesión y explotación patrimonial (arts. 17, 18, 19, 20 y 21 TRLPI). La doctrina ha venido discutiendo si el Código Penal protege, o no, ambas clases de derechos. Según la jurisprudencia dominante, el objeto de protección penal es sólo el derecho exclusivo de explotación patrimonial de una determinada obra, en el marco de una libre y leal concurrencia mercantil, no la fijación del precio u otros aspectos meramente civiles de la propiedad intelectual (STS, Sala 2ª, de 2 de abril de 2001). No protege, por tanto, el derecho moral de autor. Ya en este primer nivel encontramos la dificultad de distinción entre el ilícito penal y el ilícito civil. El examen del art. 270 del CP y su comparación con las disposiciones de la regulación jurídico-privada sobre propiedad intelectual del TRLPI arroja la conclusión que, de hecho, no todas las facultades que componen el contenido de los derechos de explotación según el TRLPI están tuteladas en el tipo penal. En efecto, en los arts. 17 y ss. del TRLPI se especifican, como derechos patrimoniales, los derechos de reproducción, distribución, comunicación pública y transformación, mientras que el art. 270 CP no recoge como típica la transformación no autorizada, que

será ilícito civil pero no penal. Nótese también en que se alude a los comportamientos típicos con verbos y a la transformación con un sustantivo, y la referencia del art. 271.1 CP a la transformación lo es como objeto material del delito, de manera que se tutelan los derechos sobre las obras derivadas. El deslinde entre la infracción penal y la infracción civil debe situarse en el añadido de lesividad del delito que justifique la intervención punitiva frente al mero ilícito civil, que cabe centrar en la exigencia de que la conducta se encuentre presidida por un «con ánimo de obtener un beneficio económico directo o indirecto».

1.1. Tipo básico 1.1.1. Tipo básico El artículo 270.1 del Código Penal recoge el tipo básico de este delito, consistente en: — con ánimo de obtener un beneficio económico directo o indirecto; y — en perjuicio de tercero; — reproduzca, — plagie, — distribuya, — comunique públicamente, o — de cualquier otro modo explote económicamente; — en todo o en parte, una obra o prestación literaria, artística o científica, o — su transformación, interpretación o ejecución artística; — fijada en cualquier tipo de soporte, o — comunicada a través de cualquier medio;

— sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios. El bien jurídico protegido, y aunque la Sala Segunda, bajo la vigencia del anterior Código, entendió que «el bien jurídico protegido tiene una doble manifestación representada por los aspectos moral y patrimonial» (SSTS, Sala 2ª, de 13 de octubre de 1988, o de 14 de febrero de 1984), en la actualidad, incorporado el «ánimo de obtener un beneficio económico directo o indirecto» al tipo básico por la reforma de 2015 en lo que antes era una circunstancia de agravación, queda inequívocamente excluido el derecho moral de autor, por lo que el bien jurídico queda exclusivamente limitado a los derechos de carácter patrimonial a los que antes hemos hecho referencia. El objeto material lo constituyen las creaciones literarias, artísticas y científicas (STS, Sala 2ª, de 19 de mayo de 2001). Los requisitos esenciales de dichas creaciones son los siguientes: a) carácter artístico, literario o científico; b) originalidad; y c) incorporación a un soporte material perceptible. Se plantean problemas de diferenciación, en algunos casos, de las obras científicas respecto de la propiedad industrial. Los inventos, descubrimientos, patentes, etc., pertenecen al ámbito de la propiedad industrial. El elemento de la originalidad obliga a diferenciar la obra de una versión o adaptación. No se tutelan penalmente, por tanto, los objetos que no reúnan la característica de originalidad ni el mínimo de complejidad que se considera le es inherente: así, por ejemplo, el folleto de dos páginas que pondera las bondades de una faja adelgazante (SAP Barcelona, Sección 16ª, de 5 de noviembre de 1998); un artículo sobre el modo de determinar visualmente la falta de hierro en determinadas

plantas (SAP Barcelona, Sección 15ª, de 29 de marzo de 2001); o el título «la vida es móvil» (Auto AP Madrid, Sección 1ª, de 26 de octubre de 2007). A la inversa, sí son susceptibles de protección penal las modalidades de aparición más reciente, como las páginas web o las bases de datos si satisfacen los requisitos exigidos por el TRLPI. La reforma de 2015 ha introducido como objeto material las prestaciones, que, de acuerdo con la doctrina civilista, es todo aquello sobre lo que recaen esos «otros derechos de propiedad intelectual» o «derechos afines» a ésta (arts. 105 a 137 TRLPI), distintos de los derechos de propiedad intelectual stricto sensu atribuidos al autor o a sus cesionarios sobre sus obras, y que incluye a las interpretaciones artísticas (arts. 105 a 113 TRLPI); las producciones fonográficas y grabaciones audiovisuales, cuyos derechos corresponden a sus respectivos productores (arts. 114 a 125 TRLPI); las emisiones o transmisiones, que originan los correspondientes derechos a favor de las entidades de radiodifusión (arts. 126 y 127 TRLPI); o las meras fotografías (art. 128 TRLPI). Estos derechos sobre las correspondientes prestaciones se protegen en el TRLPI por sí mismos, esto es, sin que tengan que ir ligados a una obra intelectual en sentido estricto: así, por ejemplo, una grabación audiovisual se encuentra protegida con total independencia de que contenga o no una obra (debates, concursos televisivos, etc.), del mismo modo que lo está una emisión o transmisión, que puede serlo, por acudir al supuesto de mayor relevancia práctica, de un acontecimiento deportivo (un partido de fútbol o de otro deporte). De este modo, la reforma ha producido una muy notable ampliación del objeto material del delito: así, una comunicación pública no autorizada de un partido de fútbol (p. ej. grabado a partir de una transmisión en abierto realizada por una cadena de otro país), que resultaba

atípica antes de la reforma al no recaer sobre obra alguna, ha devenido sin duda punible tras la reforma de 2015. 1.1.2. Tipo objetivo Debemos referirnos a los sujetos y a la conducta típica. El sujeto activo puede ser cualquiera, bien porque realiza la acción concreta, bien porque provee de la tecnología necesaria, facilitando con ello la comisión del delito (art. 270.5 CP). Los sujetos pasivos son los titulares del derecho o de su explotación, siendo por lo tanto esencial su determinación en el proceso para acreditar si concedieron o no la autorización que figura como elemento negativo del tipo (STS, Sala 2ª, de 2 de octubre de 2002). En cuanto a la estructura típica, se trata de un delito de peligro. El Código Penal permite castigar a aquel que ya tiene preparadas las copias con voluntad de distribuirlas, incluso antes de que las haya ofertado, y naturalmente cuando así ha sido; igualmente admite el castigo de quien, pese a no haber reproducido ilegalmente las copias ilícitas, dispone de ellas con la voluntad de distribuirlas (art. 270.5 CP). De este modo, el Código Penal sanciona aquellas conductas de lesión del derecho de explotación (distribución), pero también las previas a ésta que lo ponen en peligro (oferta con almacenaje o reproducción), lo que, en opinión de la doctrina mayoritaria, no resulta necesario para la protección del derecho de explotación exclusiva, siendo totalmente desproporcionado e incoherente con el principio de intervención mínima del Derecho penal el castigo de la mera oferta con almacenaje o reproducción de ejemplares (SAP Pontevedra, Sección 2ª, de 26 de noviembre de 2007). El vigente tipo básico ha perdido su carácter tasado para incorporar un omnicomprensivo «o de cualquier otro modo

explote económicamente», en un mayor acercamiento al art. 17 del TRLPI y a las posibilidades de evolución tecnológica. Se trata de un tipo mixto alternativo con cinco conductas típicas, fungibles entre sí, de: — reproducción; — plagio; — distribución; — comunicación pública; o — explotación económica de cualquier otro modo de una obra o prestación de propiedad intelectual. Estas conductas requieren alguna precisión adicional: a) Se entiende por reproducción la fijación directa o indirecta, provisional o permanente, por cualquier medio y en cualquier forma, de toda la obra o de parte de ella, que permita su comunicación o la obtención de copias (art. 18 TRLPI). La jurisprudencia estima que la reproducción queda consumada con la tenencia de material ilícitamente reproducido preordenada a la venta (SAP Cuenca, Sección 1ª, de 8 de octubre de 2003 y SAP Valencia, Sección 3ª, de 13 de enero de 2003). No puede ser realizada sin la autorización del autor, salvo que se trate de una obra ya divulgada y la reproducción sea realizada para uso privado del copista, siempre que la copia no sea objeto de utilización colectiva ni lucrativa (art. 31.2 TRLPI). Constituye utilización colectiva y es, por tanto, típica, la reproducción para dos o más personas (SAP Madrid, Sección 1ª, de 27 de julio de 2007); y la obtención de copias para exhibición no remunerada (SAP Barcelona, Sección 3ª, de 12 de diciembre de 2000). También es típica la conducta de su compra lícita y posterior alquiler a terceros, pues el supuesto agotamiento del derecho de distribución no supone una autorización para su alquiler (SAP Valladolid,

Sección 1ª, de 28 de enero de 2002). En los supuestos de intercambio de archivos mediante redes peer to peer, la Circular de la Fiscalía General del Estado 1/2006 reputa atípica la descarga de la red P2P de una obra para su disfrute personal, por considerarla una copia privada sin ánimo de lucro, y que mantiene también la Circular de la Fiscalía General del Estado 8/2015 (6) , aunque esta interpretación necesita alguna calibración mayor tras la reforma de 2015 y la última jurisprudencia europea (STJUE, Sala Cuarta, de 13 de febrero de 2014, caso Svensson, asunto C-466/12, STJUE, Sala Cuarta, de 8 de septiembre de 2016, caso GS Media, asunto C-160/15, y Auto del TJUE de 21 de octubre de 2014, caso Bestwater, asunto C348/13), que hemos analizado en otro lugar (7) . b) El plagio se sustantiva de la mera falta de originalidad en que sólo el primero consiste en una copia de los elementos sustanciales de la obra, esto es, de los elementos que convierten a una obra en creación original, no de los accidentales, de modo que se induzca a error sobre la autenticidad (SSTS, Sala 2ª, de 23 de marzo de 1999 y de 28 de enero de 1995). No es plagio la utilización de datos, métodos o conocimientos que son conocidos por muchos autores. En el caso de obras que consistan en la exposición divulgativa de conocimientos muy extendidos entre el público, puede ocurrir que existan similitudes razonables entre unas y otras, sin que ello sea constitutivo de plagio (SAP Valencia, Sección 1ª, de 29 de marzo de 2000). En cambio, sería plagio la actualización del contenido del Tratado de su maestro, de 2001, y publicado como si fuera una obra propia en 2015 por el Decano de una Facultad de Derecho. c) Por distribución se entiende la puesta a disposición del público del original o de las copias de la obra, en un soporte tangible, mediante su venta, alquiler, préstamo o de cualquier otra forma (art. 19.1 TRLPI). Es distribución, por

ejemplo, el intercambio sin autorización de unas obras por otras. No es, en cambio, distribución típica, por no requerir autorización, el préstamo realizado por centros de titularidad pública o pertenecientes a entidades de interés general de carácter cultural, científico o educativo sin ánimo de lucro, o a instituciones docentes integradas en el sistema educativo español sin la obtención de beneficio económico alguno (art. 37 TRLPI). d) Se produce una comunicación pública cuando tiene lugar una divulgación de la obra que no requiere, necesariamente, la fijación de la misma en un soporte, esto es, que no implica, en sí misma, publicación de la obra en el sentido asignado por el art. 4 del TRLPI. Conlleva la transmisión de cualesquiera obras al público por hilo, cable, fibra óptica, procedimientos alámbricos o inalámbricos u otro procedimiento público, así como la retransmisión, por cualquiera de los medios citados en el TRLPI y por entidad distinta de la de origen, de la obra radiodifundida (art. 20 TRLPI). No es comunicación pública la mera fabricación, puesta en circulación o tenencia de instrumentos preparatorios de la comunicación pública, por ejemplo de tarjetas decodificadoras de señal de televisión ofrecida por una operadora televisiva (SAP Barcelona, Sección 8ª, de 4 de noviembre de 2002). Desde la Ley Orgánica 15/2003, de 25 de noviembre, esta conducta es subsumible en el artículo 286 del Código Penal (8) . También son atípicas las comunicaciones en ámbitos privados, por ejemplo, el pase de películas extraídas de videoclub en habitaciones de hotel (SAP Pontevedra, Sección 6ª, de 27 de diciembre de 2002), o las que persigan una finalidad cultural no lucrativa (SAP Valladolid, Sección 2ª, de 23 de mayo de 2000). En cambio, sería típica la exhibición de películas en un pub (SAP La Coruña, Sección 6ª, de 7 de febrero de 2002). e) Tras la reforma de 2015, a las cuatro conductas típicas recién examinadas se añade la explotación económica de

cualquier otro modo de una obra o prestación de propiedad intelectual. Se trata de una muestra de técnica legislativa de recogida. Con ello, el legislador acrecienta la correspondencia con las modalidades posibles que integran el derecho exclusivo de explotación del art. 17 del TRLPI, y se permite la acomodación dinámica del tipo a futuras evoluciones tecnológicas que puedan conllevar nuevas formas de explotación económica de contenidos protegidos. En el caso de la piratería por Internet, examinada en otra obra (9) , la subida o carga de obras protegidas (uploading) constituye un acto de reproducción porque supone la fijación de la obra en un archivo informático para su posterior carga en el servidor. Además, entraña un acto de comunicación pública al poner mediante ella la obra a disposición de una pluralidad de usuarios. En consecuencia, afecta al derecho de reproducción (art. 18 TRLPI) y al derecho de comunicación pública (art. 20 TRLPI). Por lo que se refiere a la descarga de las mismas (downloading), comporta asimismo un acto de reproducción no autorizado al fijarse la obra en un archivo en el ordenador del usuario. Y tales conductas deben interpretarse a la luz de la más reciente jurisprudencia, europea (los precitados casos Svensson, GS Media y Bestwater, así como el novedoso caso The Pirate Bay (10) ) y nacional, pudiéndose citar en este punto la SAN, Sala 2ª, de 5 de febrero de 2016 —caso youkioske.com—, donde se señala que «...con carácter general, el titular de este tipo de páginas de enlaces tiene un claro ánimo de lucro en su actividad, entendido en el sentido estricto de lucro comercial (Circular de la Fiscalía General del Estado 1/2006), por cuanto obtiene un claro beneficio económico que aumenta cuanto mayor es el número de personas que accede a su web para descargar obras, y que deriva de diferentes fuentes de ingresos: por la publicidad, como pueden los banners o imagen publicitaria que se inserta en la página web, o los pop-ups o

publicidad que se visualiza mediante ventanas emergentes, los enlaces a tiendas on-line o a otras páginas web, y como es el caso, mediante la previsualización de videos pre-rol publicitarios por los que obtenían ingresos». Esta Sentencia ha sido confirmada por el Tribunal Supremo (STS, Sala 2ª, de 12 de diciembre de 2016). El lugar de comisión del delito es aquél en el que se encuentra alojado el servidor (SAP Barcelona, Sección 5ª, de 25 de abril de 2002). En otro orden de cosas, el Tribunal Supremo ha insistido en la necesidad de determinar con exactitud los titulares del derecho vulnerado como elemento imprescindible para demostrar el elemento típico de la falta de autorización, de ahí la absolución del acusado, a pesar de que en sí misma la conducta resultaba indudablemente típica, de una comunicación pública con ánimo de lucro porque en ese proceso no se acreditó tal extremo (STS, Sala 2ª, de 2 de noviembre de 2002). Si bien no constituye un motivo frecuente de absolución, sí es aplicado ocasionalmente, señalando la imposibilidad de presumir la falta de autorización y, con ello, la necesidad de personación de los titulares de los derechos (SAP Málaga, Sección 2ª, de 18 de noviembre de 2013). La reforma de 2015 ha realizado un gran cambio en los delitos contra la propiedad intelectual para cerrar las lagunas que existían en orden a castigar a quienes piratean obras protegidas en Internet. En la reforma se ajusta la respuesta penal a la valoración de la gravedad de la infracción cometida y, con esa finalidad, se fija ahora un marco penal amplio que ofrece al juez un margen adecuado para ajustar la pena a la gravedad de la conducta, algo que siempre tendrá que ser objeto de la correspondiente motivación: la pena va de los 6 meses a los 4 años de prisión, aparte de la multa (art. 270 CP). También se prevé la imposición de una penalidad menor (de 6 meses a 2 años de prisión: art. 270.4 CP) en los supuestos de distribución

ambulante o meramente ocasional, excluyéndose la imposición de penas de prisión, que se sustituye por la de multa o trabajos en beneficio de la comunidad, en los supuestos de escasa gravedad, en atención a las características del culpable y la reducida cuantía del beneficio. En definitiva, el artículo 270 del Código Penal ha sido objeto de una significativa reforma, probablemente la mayor hasta la fecha. 1.1.3. Tipo subjetivo La reforma de 2015 ha modificado el elemento subjetivo del tipo básico del delito, sustituyendo el ánimo de lucro por la obtención de un beneficio económico directo o indirecto, tratando de esta manera de dar cabida a conductas que, con la interpretación que se vino haciendo de la redacción anterior, quedaban fuera de la protección penal, abarcando ahora conductas en las que no se llega a producir un lucro directo, pero sí un beneficio indirecto. Esta importante modificación requiere tres consideraciones adicionales. Con la alusión relativa al beneficio parece darse cobertura a la interpretación, defendida por un sector doctrinal minoritario, del ánimo de lucro como inclusivo del propósito de mero ahorro del precio de la obra lícita. Dicha construcción está dirigida sobre todo a lograr calificar como típicas las conductas de los usuarios de redes P2P, y también a la instalación de software sin el pago de la correspondiente licencia. En segundo lugar, la mención del beneficio indirecto persigue la inclusión bajo el tipo de las conductas en las que el beneficio se consigue a través de la publicidad, que son las que, de nuevo a raíz de las páginas web de enlaces, han dado lugar a mayores dificultades de calificación bajo la redacción anterior. Pero no es éste el único supuesto posible de beneficio indirecto: por ejemplo, piénsese en quien

vende al público equipos informáticos en los que incorpora programas sin adquirir sus respectivas licencias, lo cual es una forma de incentivar ésta, o en la compensación recibida por una página web de enlaces de las empresas a las que cede bases de datos con las direcciones de correo electrónico o perfiles de los usuarios (SJP Vitoria N.o 2 de 15 de abril de 2011). Por último, la inclusión en el tipo del ánimo de obtener beneficios indirectos supone una notable expansión del alcance típico, y va a plantear nuevas dificultades interpretativas: el problema se trasladará ahora a calibrar si existe una conexión mínimamente suficiente entre la utilización de la obra o prestación y el beneficio proyectado como para poder sostener que éste se deriva (siquiera indirectamente) de aquélla, pues la apreciación como típicas de conexiones muy tenues corre el riesgo de expandir en exceso el ilícito penal a expensas del civil. Una interpretación amplia del concepto puede derivar, en suma, en una puerta abierta a la estimación como típicos de los que deberían mantenerse como meros ilícitos civiles. Por el momento, la Circular 8/2015, de 21 de diciembre, de la Fiscalía General del Estado sobre los delitos contra la propiedad intelectual cometidos a través de los servicios de la Sociedad de la Información tras la reforma operada por Ley Orgánica 1/2015, ha manifestado que el beneficio económico, directo o indirecto, siempre se referirá a una ganancia o ventaja, obtenida a escala comercial, distinta del mero ahorro del precio por el disfrute de la obra o prestación, concluyendo «que el mero aprovechamiento del acceso a un contenido protegido, eludiendo el abono de la contraprestación exigible, quedará al margen de los tipos penales». En consecuencia, para la Fiscalía General del Estado quedaría excluida de sanción penal la actividad de los meros usuarios que acceden a las obras o prestaciones protegidas de forma irregular, ya que

los mismos no llevan a cabo ningún tipo de explotación económica. 1.1.4. Penas Las penas varían según el responsable sea una persona física o jurídica: a) Persona física: tanto el tipo básico del art. 270.1 CP como el delito relativo a las páginas de enlaces tienen prevista una pena de 6 meses a 4 años de prisión y una multa de 12 a 24 meses. b) Persona jurídica: pena de multa del duplo al cuádruplo del beneficio obtenido, o que se hubiera podido obtener, si el delito cometido por la persona física tiene prevista una pena de prisión de más de 2 años; o de multa del doble al triple del beneficio obtenido, favorecido o que se hubiera podido obtener, en el resto de los casos.

1.2. Exportación e importación El artículo 270.5.a) y b) del Código Penal tipifica el almacenamiento, exportación e importación de obras a las que se refieren los dos primeros apartados que vulneran los derechos de propiedad intelectual, siempre que se realicen sin autorización y los ejemplares estuvieran destinados a una posterior reproducción, distribución o comunicación pública. Concretamente, se castiga a quienes: a) Exporten o almacenen intencionadamente ejemplares de las obras, producciones o ejecuciones a que se refieren los dos primeros apartados del art. 270 CP, incluyendo copias digitales de las mismas, sin la referida autorización, cuando estuvieran destinadas a ser reproducidas, distribuidas o comunicadas públicamente.

b) Importen intencionadamente estos productos sin dicha autorización, cuando estuvieran destinados a ser reproducidos, distribuidos o comunicados públicamente, tanto si éstos tienen un origen lícito como ilícito en su país de procedencia. No obstante, la importación de los referidos productos de un Estado perteneciente a la Unión Europea no es punible cuando aquellos se hayan adquirido directamente del titular de los derechos en dicho Estado, o con su consentimiento.

1.3. Tipo atenuado de distribución al por menor El artículo 270.4 del Código Penal prevé un tipo atenuado de distribución ambulante o meramente ocasional. Se contempla una hipótesis atenuada en atención a tratarse de una «distribución o comercialización ambulante o meramente ocasional» con una pena de prisión de 6 meses a 2 años, e incluso la pena puede reducirse más aún «atendidas las características del culpable y la reducida cuantía del beneficio económico obtenido», con posibilidad de apreciar un simple delito castigado con pena leve (delito leve) de multa de 1 a 6 meses o trabajos en beneficio de la comunidad de 31 a 60 días.

1.4. Tipo agravado El artículo 271 del Código Penal contiene el tipo agravado que prevé la posibilidad de aplicar penas superiores, que van de los 2 a los 6 años de prisión, multa de 18 a 36 meses y la inhabilitación especial para la profesión relacionada con el delito por un período de 2 a 5 años, cuando se den alguna de las siguientes circunstancias: — que el beneficio obtenido o que se hubiera podido obtener posea especial trascendencia económica;

— especial gravedad de los hechos en atención al número de obras, a su valor o a los perjuicios ocasionados; — pertenencia del culpable a una organización criminal; o — utilización de menores de 18 años para cometer estos delitos.

2. PÁGINAS WEB DE ENLACES Hasta la reforma de 2015, la jurisprudencia recaída en los delitos contra la propiedad intelectual dejaba fuera del ámbito penal conductas como las de páginas de enlaces a contenidos que no cuentan con la autorización (11) de los titulares de las obras para su difusión en tal medio, y ello debido a una interpretación restrictiva de conceptos como el ánimo de lucro, la comunicación pública o el conocimiento efectivo del art. 16 LSSI (que opera como límite a la responsabilidad de los prestares de servicios de alojamiento o almacenamiento de datos en Internet). La reforma de 2015 regula específicamente la actividad de las páginas web de enlaces en el artículo 270.2 del Código Penal. Según el art. 270.2 CP, se castigan penalmente aquellas conductas: — relacionadas con la prestación de servicios de la Sociedad de la Información, — con ánimo de obtener un beneficio económico directo o indirecto, — y en perjuicio de tercero; — faciliten de modo activo y no neutral, — y sin limitarse a un tratamiento técnico, — el acceso, o

meramente

— la localización en Internet; — de obras intelectual,

o

prestaciones

objeto

de

— sin la autorización de los titulares correspondientes derechos o de sus cesionarios,

propiedad de

los

— en particular ofreciendo listados ordenados y clasificados de enlaces a las obras y contenidos referidos anteriormente, aunque dichos enlaces hubieran sido facilitados inicialmente por los destinatarios de sus servicios. En consecuencia, el vigente art. 270.2 del CP pone fin a las lagunas de punibilidad respecto de las páginas web de enlaces o de descarga directa que facilitan la comunicación pública o la reproducción de obras protegidas sin el consentimiento del titular de los derechos de propiedad intelectual, y se inspira en la jurisprudencia europea del caso Svensson ya citada. Tales páginas web son aquellas que, sin alojar directamente contenidos protegidos (en cuyo caso se produciría una comunicación pública ya típica conforme al tipo básico general), contienen enlaces o links para permitir descargar una obra de forma directa en los ordenadores (y otros dispositivos como tabletas, smartphones...) desde un servidor externo (vía HTTP o FTP) o desde una red P2P, o bien para acceder directamente a la misma mediante streaming, es decir, el visionado o escucha de la obra sin necesidad de previa descarga. A este respeto, debemos recordar que el proceso de transmisión de contenidos online entraña la realización de sucesivos actos de reproducción (art. 18 TRLPI) y de comunicación al público en la modalidad de puesta a disposición (art. 20.2 i) TRLPI). El tipo se refiere a la facilitación del acceso o localización de obras o prestaciones protegidas ofrecidas en Internet en

forma no autorizada. En cuanto al alcance que pueda tener el hecho prohibido, la norma penal deja claro que sólo se castiga a los que facilitan el «acceso» o la «localización» en Internet de obras o prestaciones objeto de propiedad intelectual sin autorización de sus titulares y en perjuicio de tercero, pero de modo activo y «no neutral y sin limitarse a un tratamiento meramente técnico». Es decir, está excluida la tipicidad de las conductas neutrales, especialmente de los buscadores y, en ciertos casos, de enlaces meramente ocasionales. Y a tales elementos del tipo objetivo hay que sumar los del tipo subjetivo, esto es, el dolo, entendido como conocimiento de todos los anteriores elementos por parte del sujeto, y el «ánimo de obtener un perjuicio económico directo o indirecto». Y todo ello rige también para los denominados «enlaces ensamblados» (o frames), en virtud de los cuales la obra aparece dando la impresión de que se encuentra en la página que muestra el enlace, cuando en realidad se haya en otra página. Por otra parte, en el art. 270.3 CP se contempla la retirada de obras o prestaciones por el juez o tribunal, y en el caso de que se difundan los contenidos objeto de propiedad intelectual a través de un portal de acceso a Internet o servicio de la Sociedad de la Información, el precepto prevé que se ordene la interrupción de la prestación del mismo, pudiendo el juez acordar cualquier medida cautelar que tenga por objeto la protección de los derechos de propiedad intelectual. Excepcionalmente, en el caso de reiteración de las conductas previstas en los apartados anteriores, el juez o tribunal puede ordenar el bloqueo del acceso correspondiente. Sobre el funcionamiento de estas previsiones, a las que resulta de aplicación supletoria la LSSI, nos hemos ocupado en nuestros Fundamentos del Derecho de Internet (12) .

Así, la diferencia entre ambas medidas radica en que la interrupción del servicio permitirá la clausura de la página infractora que se encuentre en nuestro país —a cuyo fin podrán darse las órdenes oportunas al prestador de servicio de alojamiento radicado en España— y, por su parte, el bloqueo de acceso procederá cuando la página infractora se encuentre ubicada fuera de España. En este segundo caso la colaboración de los prestadores de servicios de intermediación consistirá en impedir que desde nuestro país pueda accederse a la página localizada más allá de nuestras fronteras.

3. SUPRESIÓN PROTECCIÓN

DE

LAS

MEDIDAS

DE

Finalmente, en los artículos 270.5.c) y d) CP y 270.6 del Código Penal, en la misma línea que en el resto de ciberdelitos, también se castiga a quien facilita la comisión de los mismos a través de medios concebidos para neutralizar la protección utilizada por los programas de ordenador. En este caso se exige, al igual que en el tipo básico de los delitos contra la propiedad intelectual, que quien facilite ese medio lo haga siempre con un fin comercial, por lo que se excluyen los actos de elusión realizados por sujetos particulares con fines privados. Por lo demás, la reforma de 2015 ha ajustado la terminología empleada a la más amplia reflejada en la Directiva 2001/29/CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la Sociedad de la Información.

En definitiva, la reforma de 2015 inaugura un estado razonable de clarificación sobre la tipicidad de las conductas infractoras de la propiedad intelectual en Internet, en buena medida forjado por las aportaciones de la doctrina científica y de la innovación de la jurisprudencia del Tribunal de

Justicia de la Unión Europea, así como por una minoritaria jurisprudencia nacional.

(1)

La protección de los derechos de autor en el ciberespacio viene siendo una preocupación constante en los países de nuestro entorno, al igual que en el ámbito internacional y en las instituciones europeas que pretenden la necesaria armonización en esta materia. A ello se refiere el art. 14 del Acuerdo sobre Aspectos de los Derechos de Propiedad Intelectual Relacionados con el Comercio (ADPIC) de la Organización Mundial del Comercio y también, entre otras, la Resolución del Parlamento Europeo de 10 de abril de 2008 sobre una agenda europea para la cultura en un mundo globalizado, o la Resolución del Consejo de Ministros de la UE de 1 de marzo de 2010 sobre el respeto de los derechos de propiedad intelectual en el mercado interior. Ver Texto

(2)

Vid. BARRIO ANDRÉS, Moisés, Derecho Público y propiedad intelectual: su protección en Internet, Editorial Reus, Madrid, 2017, pág. 10 y ss. Ver Texto

(3)

En detalle, BERCOVITZ RODRÍGUEZ-CANO, Rodrigo, Comentarios a la Ley de Propiedad Intelectual, Editorial Tecnos, Madrid, 2007. También CARMONA SALGADO, Concepción, La nueva Ley de Propiedad Intelectual, Editorial Montecorvo, Madrid, 1988. Ver Texto

(4)

Fue la Ley Orgánica 15/2003, de 25 de noviembre, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal la que cambió el régimen de perseguibilidad de estos delitos, despojándolos de su anterior carácter semipúblico, y, por tanto, del requisito de la denuncia previa del agraviado o de sus representantes legales, para convertirlos en públicos. Con ello se erradicó

la intensa discusión que durante años venía enfrentando a la jurisprudencia respecto de la legitimación procesal –en tanto representantes legales del agraviado– de las entidades de gestión de los derechos de propiedad intelectual, el carácter originario o derivado de aquélla, etc. Es más, a partir de la reforma de 2003 y con la finalidad de incrementar la eficacia en la protección de los derechos de propiedad intelectual, las entidades no sólo pueden iniciar el procedimiento, sino que, incluso aunque no lo hayan hecho, deben ser informadas y citadas en el proceso (art. 771 LECrim). Ver Texto

(5)

Lo analizamos primero en BARRIO ANDRÉS, Moisés, «Luces y sombras del procedimiento para el cierre de páginas web (A propósito del desarrollo reglamentario de la "Ley Sinde")», Diario La Ley, No 7789, 2011; y más detenidamente en BARRIO ANDRÉS, Moisés, Derecho Público y propiedad intelectual: su protección en Internet, Editorial Reus, Madrid, 2017. Ver Texto

(6)

Vid. Circular de la Fiscalía General del Estado 8/2015, de 21 de diciembre de 2015. Ver Texto

(7)

BARRIO ANDRÉS, Moisés, Derecho Público y propiedad intelectual: su protección en Internet, op. cit., pág. 29 y ss. Ver Texto

(8)

Antes de la reforma del Código Penal operada por la Ley Orgánica 15/2003, de 25 de noviembre, que introduce este tipo de conductas (y algunas otras relacionadas con la piratería de servicios de radiodifusión o interactivos) en el art. 286 CP, se discutía su encaje en el art. 270 CP como delitos contra la propiedad intelectual (lo que se rechazó por la SAP Barcelona, Sección 10ª, de 4 de noviembre de 2002, que en cambio sancionó por delito de descubrimiento y revelación de secretos de empresa del art. 280 CP; en contra, otras condenaban por delito contra la propiedad

intelectual como la SAP Cádiz, Sección 2ª, de 19 de enero de 2007). Ver Texto

(9)

BARRIO ANDRÉS, Moisés, Derecho Público y propiedad intelectual..., op. cit., pág. 20 y ss. Ver Texto

(10) En su posterior Sentencia de 14 de junio de 2017 (caso The Pirate Bay, asunto C-610/15), el TJUE ha tenido ocasión de aplicar la doctrina de los casos Svensson, GS Media y Bestwater a los sitios web de indexación de metadatos de archivos que son intercambiados por los usuarios mediante el protocolo BitTorrent. En particular, el TJUE tuvo que resolver si la actividad desarrollada por The Pirate Bay, consistente en poner a disposición y gestionar en Internet una plataforma que recopila metadatos relativos a archivos que contienen obras y prestaciones protegidas con un motor de búsqueda que permite a sus usuarios localizar dichas obras y prestaciones para intercambiarlas a través de un red peer-to-peer, como lo es BitTorrent, constituye o no un acto de comunicación al público. El TJUE concluyó que existía infracción del derecho de comunicación al público. Ver Texto

(11) Así, y salvo en aquellos supuestos en los que sea el propio autor (o titular de derechos) el que ponga su obra a disposición del público en Internet, en el resto de casos, para poder explotar on-line una obra o prestación, es imprescindible contar con la autorización del autor. Dicha autorización deberá materializarse en un negocio jurídico inter vivos (art. 43.1 TRLPI) que deberá delimitar oportunamente el alcance material de la cesión (derechos de explotación cedidos, modalidades de explotación, ámbito territorial y temporal, etc.). Ver Texto

(12) BARRIO ANDRÉS, Moisés, Fundamentos del Derecho de Internet, Editorial Centro de Estudios Políticos y Constitucionales, Madrid, 2017.

Ver Texto

Capítulo XII  Ciberterrorismo La infraestructura de las sociedades actuales de prácticamente todos los países del mundo depende, de manera creciente, de los sistemas informáticos, de Internet y de las redes de comunicaciones electrónicas. Los servicios públicos, las industrias o los bancos y demás entidades financieras, por citar sólo unos pocos ejemplos, precisan forzosamente de sus redes y sistemas de información. De este modo, estas infraestructuras cibernéticas han pasado a integrar el elenco de objetivos de las organizaciones terroristas, que cada vez más dirigen sus ataques masivos contra aquéllas como una alternativa mucho más asequible que las acciones militares o terroristas tradicionales. En consecuencia, los estados y las organizaciones internacionales han previsto desde varias décadas la posibilidad de ciberataques contra sus sistemas neurálgicos perpetrados con el fin de paralizar industrias o sectores determinados, afectar el funcionamiento de servicios esenciales o incluso inutilizar los sistemas militares de defensa. Así, ya durante la guerra de Kosovo en 1999 la Organización del Tratado del Atlántico Norte (OTAN) sufrió un ciberataque que alteró sus sistemas informáticos y su página web. En 2007, tras el ciberataque sufrido por Estonia, se pusieron de relieve las carencias en

ciberseguridad y la gravedad de este tipo de conductas criminales. En la actualidad, y como quedó apuntado, la Unión Europea fundó en 2004 la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA por sus siglas en inglés) y promulgó el Reglamento (CE) No 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información. El considerando 1 del mismo establece que: «Las redes de comunicaciones y los sistemas de información se han convertido en un factor esencial del desarrollo económico y social. La informática y las redes se están convirtiendo en recursos omnipresentes, tal y como ha ocurrido con el suministro de agua y de electricidad. Por consiguiente, la seguridad de las redes de comunicación y de los sistemas de información, y en particular su disponibilidad, es un asunto que preocupa cada vez más a la sociedad, en particular, por la posibilidad de que surjan problemas en sistemas de información claves, debidos a la complejidad de los sistemas, a accidentes, errores o ataques, que puedan repercutir en las infraestructuras físicas que prestan servicios esenciales para el bienestar de los ciudadanos de la Unión Europea.»

Los distintos estados más avanzados se han ido dotando de medios materiales y personales para garantizar la ciberseguridad de las redes de comunicaciones y los sistemas de información. Así, cabe citar por ejemplo el Centre for the Protection of National Infrastructure del Reino Unido, parte del MI5 (el Servicio de Seguridad Exterior del Reino Unido), o bien nuestro Consejo de Seguridad Nacional, que es el órgano de asistencia al Presidente del Gobierno en la dirección de la política de Seguridad Nacional y del Sistema de Seguridad Nacional, y ejerce las funciones que se le encomiendan en la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional

(LSN), todo lo cual hemos analizado en otra obra realizaremos en un capítulo independiente.

(1)

y aquí

Por todo ello, y como cierre a la parte especial de los ciberdelitos, en este capítulo realizaremos unas consideraciones sobre los delitos de terrorismo en general y sus manifestaciones de ciberterrorismo en particular.

1. DELITOS DE TERRORISMO Dentro de los delitos contra el orden público regulados en el título XXII del libro II del Código Penal sobresalen, sin duda, los delitos de terrorismo objeto de su capítulo VII, titulado de las organizaciones y grupos terroristas y de los delitos de terrorismo, y que comprende los artículos 571 a 580 del Código Penal. Y, tras la reforma operada por Ley Orgánica 2/2015, de 30 de marzo, por la que se modifica el Código Penal en materia de delitos de terrorismo, los delitos de terrorismo se componen de los siguientes grupos de delitos: a) En primer lugar, están los delitos comunes agravados (arts. 573, 573 bis y 575 CP), sean cometidos en conexión con una organización terrorista o de modo individual, comprendiéndose en el catálogo de delitos que pueden llegar a agravarse por su calificación como terroristas gran parte de las infracciones que conoce el Código Penal español (así, según el art. 573.1 CP, delitos graves contra la vida o la integridad física, la libertad, la libertad e indemnidad sexuales, el patrimonio, los recursos naturales o el medio ambiente, la salud pública, de riesgo catastrófico, incendio, contra la Corona, de atentado y tenencia, tráfico y depósito de armas, municiones o explosivos, así como el apoderamiento de aeronaves, buques u otros medios de transporte colectivo o de mercancías). También se incluyen como posibles infracciones terroristas los ciberdelitos de

hacking y cracking de los artículos 197 bis y 197 ter y 264 a 264 quater del Código Penal a los que luego nos referiremos (art. 573.2 CP); así como los de atentado (art. 557 bis CP), y los de rebelión y sedición, aunque sólo en caso de que se cometan por una organización terrorista o «individualmente pero amparados» en la organización (art. 573 bis.4 CP). b) En segundo lugar, también lo integran el grupo de los delitos de organización específicos, esto es, las infracciones de pertenencia a organización o grupo terrorista (art. 572.1 y 2 CP), de traslado a territorio extranjero controlado por una organización o grupo terrorista para colaborar con ésta (art. 575.3 CP) y de colaboración con organización terrorista (mediante financiación directa o indirecta, comprendida la comisión por imprudencia, o mediante actos materiales), incluyendo también lo que la nueva tipificación de 2015 llama «colaboración imprudente» (arts. 576 y 577 CP). c) En tercer lugar, los delitos terroristas especiales que engloban diversas conductas periféricas a los delitos comunes agravados o de organización específicos: 1. Conductas que comportan actos preparatorios o prepreparatorios individuales: «autoadiestramiento» (o, como lo denomina el Preámbulo de la Ley Orgánica 2/2015, de 30 de marzo, el «adiestramiento pasivo»), incluyendo en este novedoso concepto legal no sólo el entrenamiento recibido de otros o procurado por el sujeto pasivo autónomamente, sino también la posesión o lectura de textos físicos u vía on-line que estén relacionados con delitos de terrorismo en el sentido que resulten idóneos para incitar a incorporarse a una organización terrorista o a colaborar con ella (art. 575 CP). 2. Comportamientos de colaboración con autores individuales de delitos de terrorismo (las conductas

tipificadas en los arts. 576 y 577 CP cuando no se refieren a una organización terrorista). 3. Conductas que consisten en actos de comunicación o manifestación: por un lado, las modalidades meramente comunicativas de las conductas de colaboración, es decir, el «adoctrinamiento» colaborativo (art. 577.2 CP), y por otro, el delito de «enaltecimiento o justificación» de delitos terroristas o de sus autores (art. 578 CP), el de «realización de actos que entrañen descrédito, menosprecio o humillación» a las víctimas de delitos de terrorismo (art. 578 CP), así como la infracción de difusión de «mensajes o consignas» que tengan como finalidad o por su contenido sean idóneos para incitar a otros a la comisión de delitos de terrorismo (art. 579.1 CP). El tipo básico del delito de terrorismo se recoge en el artículo 573.1 del Código Penal, y se define a través de una serie de finalidades que debe perseguir el sujeto activo o la organización por medio de la conducta delictiva: — subvertir el orden constitucional, o suprimir o desestabilizar gravemente el funcionamiento de las instituciones políticas o de las estructuras económicas o sociales del Estado, u obligar a los poderes públicos a realizar un acto o a abstenerse de hacerlo; — alterar gravemente la paz pública; — desestabilizar gravemente el funcionamiento de una organización internacional; — provocar un estado de terror en la población o en una parte de ella. La formulación legal considera expresamente que podrá calificarse de terrorista el comportamiento delictivo cuando concurra cualquiera de ellas, es decir, que tratándose de un tipo mixto alternativo, bastará para considerar terrorista la

conducta de quien (organización, grupo o individuo) pretenda subvertir el orden constitucional u obligar a los poderes públicos a realizar un acto o a abstenerse de hacerlo, o alterar la paz pública, o desestabilizar a una organización criminal, o provocar terror en una parte de la población.

2. CIBERTERRORISMO Sobre este fondo clásico del delito de terrorismo, es clara la creciente importancia de las nuevas tecnologías y de Internet. Por ello, el art. 573 CP establece que los siguientes ciberdelitos son actos de terrorismo cuando se realicen con las finalidades recién señaladas del art. 573.1 CP: — intrusismo informático (art. 197 bis.1 CP); — interceptación ilegal de comunicaciones sistemas de información (art. 197 bis.2 CP);

entre

— facilitación de herramientas informáticas dañinas (art. 197 ter CP); — daños informáticos (art. 264.1 CP) y sus tipos agravados (art. 264.2 CP); — obstaculización o interrupción de un sistema informático (art. 264 bis CP); — facilitación de herramientas informáticas dañinas (art. 264 ter CP). La consecuencia de ello se traduce principalmente en que, una vez han sido perpetradas las anteriores conductas como actos de terrorismo, su investigación contará con mayores medios, y asimismo la cooperación internacional en este tipo de delitos también es más rápida y eficaz.

Por otra parte, el art. 578 CP establece unas penas superiores para los supuestos de enaltecimiento del terrorismo mediante la difusión de servicios o contenidos accesibles al público a través de medios de comunicación, Internet, o por medio de servicios de comunicaciones electrónicas o mediante el uso de tecnologías de la información. Su justificación es la facilidad y rapidez de difusión que aporta el medio, logrando un gran impacto en el público en muy poco tiempo. Aquí el legislador está pensando en el nuevo terrorismo transnacional (llamado «yihadista», y protagonizado por grupos a la vez localizados en un territorio y con una intensa actividad internacional) que se sirve con especial intensidad de Internet para la propagación de su ideario y para atraer a nuevos militantes en todo el mundo. En los casos en los que los ciberdelitos antes señalados se consideren delitos de terrorismo se aplica la pena superior en grado a las penas previstas para el delito cometido. El delito de enaltecimiento del terrorismo a través de los medios de comunicación, Internet u otros servicios de comunicaciones electrónicas está castigado con pena de 2 a 3 años de prisión y multa de 15 a 18 meses. Finalmente, y como cierre a este capítulo, debemos apuntar que el ciberterrorismo es también combatido por los estados utilizando ciberataques como otra arma más. Por ejemplo, se ha señalado que agentes de la inteligencia británica atacaron una revista en línea de Al Qaeda y sustituyeron las instrucciones para fabricar bombas por una receta para pastelitos. En 2010, el programa nuclear de Irán se vio gravemente perturbado por el virus Stuxnet, elaborado por los servicios secretos norteamericanos e israelíes. Al parecer, el virus infectó los ordenadores que controlaban el funcionamiento de centrifugadoras que desempeñan un papel esencial en el procesamiento de materiales nucleares para hacerlos aptos para su uso con

fines militares. Las centrifugadoras fueron reprogramadas para girar a una velocidad excesiva, lo que resultó en daños físicos importantes a sus componentes. Stuxnet es uno de los primeros virus que se dirige específicamente a la infraestructura en cuestión. No se olvide que la Tercera Guerra Mundial se desarrollará sin duda en el ciberespacio.

(1)

Vid. BARRIO ANDRÉS, Moisés, Internet de las cosas, op. cit., pág. 104 y ss. Ver Texto

Capítulo XIII  Aspectos procesales y policiales La determinación del delito y sus circunstancias es averiguar el objeto material del crimen, esto es, qué ha sucedido (el crimen obiectum de estas acciones: el daño personal o material producido) y cómo ha sido cometido (fase preparatoria y fase de ejecución) (1) . En España se denomina a ese objeto «cuerpo del delito». El paradigma procesal penal decimonónico sobre el cual se construyó nuestra Ley de Enjuiciamiento Criminal de 1882 (LECrim en lo sucesivo), el análisis y autopsia de un cadáver, uno y único, apreciable e interpretable a primera vista y prototipo del citado cuerpo del delito, resulta difícilmente aplicable a la actual investigación tecnológica de los ciberdelitos, que, no obstante, constituye a grandes rasgos (2) una modalidad de la prueba documental en un peculiar formato, y que no sólo engloba la prueba electrónica y la que se extrae de Internet, sino toda la vinculada a la obtención de información, ya sea mediante dispositivos de audio, imagen, vídeo, datos, etc., y se transmitan tanto por medios alámbricos como inalámbricos. En nuestro país existe un antes y un después en materia de investigación tecnológica con la aprobación de la Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de

las garantías procesales y la regulación de las medidas de investigación tecnológica. A través de ella se dota de adecuada regulación legal a la limitación de derechos fundamentales, concretamente los recogidos en el art. 18 CE (intimidad, inviolabilidad del domicilio, secreto de comunicaciones y protección de datos), a través de la previa autorización judicial para el uso de distintas medidas de investigación tecnológica en el proceso penal. Hasta la reforma de 2015, la situación era de grave inseguridad jurídica en una materia tan relevante, denunciada tanto por la mejor doctrina como por la jurisprudencia del Tribunal Supremo, del Tribunal Constitucional e incluso del Tribunal Europeo de Derechos Humanos (3) , con ausencia de regulación para delimitar la intervención de las nuevas comunicaciones a través de correo electrónico, chats, SMS, MMS, WhatsApps, etc., situación que venía agravándose con la evolución exponencial de las actuales formas de comunicación en la web 2.0 y redes sociales, así como de videollamadas por Skype, FaceTime, etc. En la práctica jurisdiccional, la interceptación de las tradicionales conversaciones telefónicas dio paso a la intervención de otras modalidades comunicativas, como la de los correos electrónicos o conversaciones de chats en soporte informático o a través del teléfono móvil, pero la única cobertura legal para su uso, muy insuficiente, vino de la mano del artículo 579 de la LECrim —según la redacción operada e incorporada por la Ley Orgánica 4/1988, de 25 de mayo, de reforma de la Ley de Enjuiciamiento Criminal—, apoyada en la escasa formulación de los artículos 18.3 y 4 CE y, sobre todo, por una prestigiosa jurisprudencia que tuvo que paliar la clamorosa inacción del legislador. Pero esta interpretación extensiva ya no daba más de sí y, últimamente, ya no prestaba cobertura para colocar micrófonos para grabar las conversaciones directas de los sospechosos, o para

introducir un troyano en su ordenador (vid., por ejemplo, SSTC 184/2003, de 23 de octubre o 49/1999, de 5 de abril). En efecto, con carácter previo a la reforma de 2015, la LECrim contenía una regulación que había devenido obsoleta e ineficaz, al no contemplar medidas de investigación que se adaptaran al desarrollo tecnológico de la actual sociedad digital, conservando respecto a las comunicaciones por vía postal y telefónica la regulación contenida en el breve art. 579 LECrim que legitimaba, desde la reforma operada por la Ley Orgánica 4/1988, de 25 de mayo, la interceptación del modo de comunicación más extendido en ese momento, como era el telefónico. Tras unos años de intenso desarrollo tecnológico, esa regulación era gravemente insuficiente, pero el legislador ignoró sistemáticamente los requerimientos formulados por la doctrina y la jurisprudencia de reformar la materia (4) . La importante STC 145/2014, de 22 de septiembre, declaró vulnerado el secreto de las comunicaciones del recurrente en amparo, a quien se le grabaron, con autorización judicial, sus conversaciones orales cuando estaba detenido en los calabozos policiales, precisamente por ausencia de habilitación legal. Esta sentencia está en el origen de la reforma de 2015 y la consiguiente promulgación de la nueva regulación, tal vez en ocasiones demasiado prolija, pero que debe destacarse como uno de los aspectos más positivos del conjunto de reformas procesales llevadas a cabo en 2015.

A partir de ahora, la LECrim destina dentro del libro II su título VIII, titulado «De las medidas de investigación limitativas de los derechos reconocidos en el artículo 18 de la Constitución», a regular esta materia mediante 10 capítulos, que comprenden los artículos 545 al 588 octies de la Ley de Enjuiciamiento Criminal, si bien a efectos del objeto de este libro debemos ocuparnos fundamentalmente de los capítulos IV a IX. Se ha sustituido la parquedad de la regulación anterior, los tres párrafos del raquítico e insuficiente art. 579 LECrim, por una

normativa extraordinariamente prolija. Efectuado un recuento detallado, se ha pasado de las ciento ochenta y cinco (185) palabras que tenía el art. 579 a más de cinco mil seiscientas palabras (5.663), distribuidas en treinta y nueve artículos de nuevo cuño, los numerados 588 bis a) al 588 octies LECrim, con un total de cuarenta y nueve párrafos, alguno de ellos incluso merecedor del rango de artículo independiente en mejor técnica normativa. Grosso modo y a modo de muestra, el cuerpo normativo que regula la materia de las intervenciones telefónicas se ha multiplicado casi por veinte.

La reforma ejecutada por la Ley Orgánica 13/2015, que incorpora prácticamente el articulado del proyecto de Código Procesal Penal de 2013, es también una positivización de la línea ya marcada por la jurisprudencia española y del TEDH que se ha venido pronunciando sobre las medidas de investigación que utilizaban o incidían en los nuevos métodos de comunicaciones electrónicas e instrumentos tecnológicos, desde la perspectiva de los derechos fundamentales de privacidad reconocidos en el art. 18 CE, y que destaca el propio preámbulo de la misma: «La Ley de Enjuiciamiento Criminal no ha podido sustraerse al paso del tiempo. Renovadas formas de delincuencia ligadas al uso de las nuevas tecnologías han puesto de manifiesto la insuficiencia de un cuadro normativo concebido para tiempos bien distintos. Los flujos de información generados por los sistemas de comunicación telemática advierten de las posibilidades que se hallan al alcance del delincuente, pero también proporcionan poderosas herramientas de investigación a los poderes públicos. Surge así la necesidad de encontrar un delicado equilibrio entre la capacidad del Estado para hacer frente a una fenomenología criminal de nuevo cuño y el espacio de exclusión que nuestro sistema constitucional garantiza a cada ciudadano frente a terceros. Por muy meritorio que haya sido el esfuerzo de jueces y tribunales para definir los límites del Estado en la investigación del delito, el abandono a la creación jurisprudencial de lo que ha de ser objeto de regulación legislativa ha propiciado un déficit en la calidad democrática de nuestro sistema procesal, carencia que tanto la dogmática como

instancias supranacionales han recordado. Recientemente, el Tribunal Constitucional ha apuntado el carácter inaplazable de una regulación que aborde las intromisiones en la privacidad del investigado en un proceso penal. Hoy por hoy, carecen de cobertura y su subsanación no puede obtenerse acudiendo a un voluntarista expediente de integración analógica que desborda los límites de lo constitucionalmente aceptable. Solo así se podrá evitar la incidencia negativa que el actual estado de cosas está proyectando en relación con algunos de los derechos constitucionales que pueden ser objeto de limitación en el proceso penal.»

Con la reforma de 2015 se refuerza, por un lado, una medida como la de interceptación de comunicaciones, anteriormente parcamente regulada y que ahora no solo habla de conexiones telefónicas sino telemáticas, con lo que se da soporte y cobertura jurídica a interceptar también aplicaciones instaladas en smartphones u otros dispositivos. Y, por otro lado, se incorporan tres bloques más de medidas tecnológicas de investigación: la captación y grabación de comunicaciones orales e imágenes mediante la utilización de dispositivos electrónicos; la utilización de dispositivos técnicos de seguimiento, localización y captación de imágenes; y, por último, el registro de dispositivos de almacenamiento masivo de información. Así las cosas, creemos que la terminología empleada constituye un acierto del legislador español al catalogar las diligencias en cuatro bloques, puesto que utiliza un lenguaje abierto que hace que la regulación no caiga en la obsolescencia con el paso de los años debido a la evolución propia e inevitable de la tecnología. En definitiva, se hace aquí bien patente la conocida máxima de VON KIRCHMANN de que tres palabras rectificadoras del legislador convierten bibliotecas enteras en basura. Es cierto que en esta ocasión el legislador ha pronunciado algo más de tres palabras y no precisamente para achatarrar los repertorios de jurisprudencia, sino para su mayor prestigio,

pues la reforma de 2015 ha positivizado un sistema procedimental basado en la práctica judicial dominante que ha tenido que enmendar las carencias y obsolescencia de la LECrim. Tras estas consideraciones introductorias, pasamos a ocuparnos de las nuevas diligencias de investigación tecnológica comenzando por sus disposiciones generales. Después señalaremos los aspectos policiales y las líneas de evolución futura. Las distintas medidas de investigación en particular se examinarán en el próximo capítulo.

1. DISPOSICIONES COMUNES A LOS NUEVOS ACTOS DE INVESTIGACIÓN TECNOLÓGICA La reforma de la LECrim llevada a cabo en 2015 recoge por primera vez, como ya sabemos, de manera ordenada y sistemática una amplia regulación de las denominadas «medidas de investigación tecnológica», entre las que no están ciertamente previstas todas las que serían técnicamente posibles (por ejemplo, la utilización de drones para captar imágenes o conversaciones, las grabaciones efectuadas por sujetos privados, o la intervención de detectives), ni se regulan de manera agotadora en ella, aunque sí mayoritariamente. Antes de examinarlas individualizadamente en el próximo capítulo, debemos señalar que se dota a las mismas de una serie de disposiciones de carácter común —o parte general— que sirve para la correcta interpretación de la regulación sectorial de cada medida y, sobre todo, para poder solventar eventuales lagunas legales y ofrecer pautas para incorporar futuras técnicas o necesidades derivadas de la evolución tecnológica y criminal. Y, como acertadamente destaca VELASCO NÚÑEZ (5) , la utilización en la investigación penal de medidas tecnológicas, al impactar en derechos constitucionales tan

sensibles vinculados a la privacidad, que pueden afectar tan masivamente a gran número de ciudadanos, y en donde los que ostentan mayor poder económico cuentan con más posibilidades de injerir, por sí o mediante técnicos, derechos de terceros, hace que la investigación penal refuerce su carácter público —ínsito en la naturaleza del propio Derecho procesal—, obligando a que en la mayor parte de los supuestos sea preceptiva la autorización judicial, bajo pena de nulidad procesal (art. 11.1 LOPJ). Con carácter previo a la exposición de dicha parte general, recordemos que por encima de esta concreta regulación procesal común para las señaladas medidas de investigación tecnológica, es de superior aplicación lo dispuesto en la Constitución sobre los derechos fundamentales a los que afecta la investigación tecnológica, especialmente lo señalado en el art. 18 CE, y la interpretación de sus preceptos relacionados, de manera que las omisiones que puedan deducirse en la regulación de la LECrim, y la interpretación concreta de lo que sí se regula, presentan el límite de las normas constitucionales. Comenzamos su exposición por los principios rectores.

1.1. Principios rectores De acuerdo con el artículo 588 bis a) de la LECrim, son los siguientes: 1) Principio de legalidad: la LECrim no lo incluye expresamente pero es evidente que el juez no puede autorizar el uso de una medida tecnológica de investigación que no esté prevista por la ley, ni en circunstancias que vayan más allá de lo permitido por la misma (SSTEDH Malone c. Reino Unido, de 2 de agosto de 1984, Kruslin c. Francia y Huvig c. Francia, de 24 de abril de 1990,

Valenzuela Contreras c. España, de 30 de julio de 1998, o Prado Bugallo c. España, de 18 de febrero de 2003, que señalan cómo la medida de investigación tecnológica debe estar prevista en una norma que la habilite con expresión de las circunstancias y bajo qué condiciones se autoriza (6) a los poderes públicos a tomar tales medidas, a fin de permitir a todo ciudadano saber antes de acordarla en qué circunstancias se puede restringir su derecho y evitar situaciones de abuso o arbitrariedad en los agentes del Estado al hacerlo, a fin de cumplir con las condiciones que señala el art. 8 CEDH). 2) Principio de especialidad: solo se puede autorizar la investigación tecnológica para la investigación de delitos concretos. Por ello, se exige que la medida esté relacionada con la investigación de un delito específico, prohibiendo medidas que tengan carácter preventivo o prospectivo carentes de base objetiva y que sólo pretendan prevenir, descubrir delitos en general o despejar sospechas. Por tanto, es imprescindible esa base objetiva o vinculación con la actividad delictiva del investigado, vedando el principio las sospechas y las actividades generales de prospección delictiva para buscar pruebas por si acaso hubiera algo (por ejemplo, una diligencia de «peinado») (7) . En definitiva, han de ser sospechas fundadas, buenas razones y fuertes presunciones al decir de las SSTEDH Klass, de 15 de junio de 1997, y Lüdi, de 6 de septiembre de 1998, o de las SSTS, Sala 2ª, de 22 de marzo de 2018 y de 9 de enero de 2018, y en ningún caso caben especulaciones policiales sin fundamento. 3) Principio de idoneidad: en atención a la utilidad de la medida, se debe definir su ámbito objetivo —teléfono, ordenador, etc.— y subjetivo —la persona o personas afectadas—, así como su duración. Es decir, para qué, sobre quién y durante cuánto tiempo.

4) Principio de excepcionalidad: sólo puede emplearse cuando no estén disponibles otras medidas menos gravosas para los derechos fundamentales del investigado o encausado e igualmente útiles para el esclarecimiento del hecho. El juez debe por tanto descartar autorizar medidas restrictivas de investigación tecnológica cuando existan otras vías menos lesivas para los derechos del investigado que, con la misma eficacia, lleven a un resultado parejo (SSTC 136/2006, 236/1999 y 171/1999). 5) Principio de necesidad: únicamente procederá cuando el descubrimiento o la comprobación del hecho investigado, la determinación de su autor o autores, la averiguación de su paradero o la localización de los efectos del delito se vea gravemente dificultada sin el recurso a esta medida. 6) Principio de proporcionalidad: para que la medida sea considerada proporcionada a las circunstancias del caso se debe tener en cuenta la gravedad del hecho, su trascendencia social (8) o el ámbito tecnológico de producción, la intensidad de los indicios existentes y la relevancia del resultado perseguido con la restricción del derecho (balancing test) (9) . En definitiva, el principio prohíbe resolver delitos a costa de limitaciones de derechos fundamentales no tolerables en una sociedad democrática. La concurrencia de los principios de legalidad, especialidad, idoneidad, excepcionalidad, necesidad y proporcionalidad hace que la medida a adoptar sea legítima desde el punto de vista constitucional. Y no menos importante, el respeto a los mismos garantiza que tanto la medida como los resultados obtenidos serán prueba válida y lícita a efectos de la acusación o la defensa. Por lo demás, conviene destacar que del principio de excepcionalidad se deriva que estas diligencias de investigación tecnológica no suponen un medio normal de investigación, sino excepcional, en la medida que

producen el sacrificio de un derecho fundamental de la persona, por lo que su uso debe efectuarse con carácter limitado y prudente, lo cual determina que ni es admisible la solicitud sistemática en sede judicial de tales medidas, ni mucho menos que se deban conceder de forma rutinaria y automática. Ciertamente en la mayoría de los casos de petición se estará en el inicio de la investigación judicial — normalmente su petición será la cabeza de las correspondientes diligencias previas—, pero en todo caso debe acreditarse una previa y suficiente investigación policial que para avanzar necesita, por las dificultades del caso, de la adopción de alguna de las medidas de este tipo. Por ello, el principio de excepcionalidad se completa con los de legalidad, especialidad, idoneidad, necesidad y proporcionalidad formando un todo inseparable, que actúa como valladar ante el riesgo de expansión que suele tener todo lo excepcional, riesgo sobre el cual tanto la doctrina como la jurisprudencia del Tribunal Supremo han llamado la atención en diversas ocasiones. Recientemente, las SSTS, Sala 2ª, de 19 de febrero de 2018 o de 5 de abril de 2017 reiteran y analizan en estas resoluciones judiciales, vigente ya la reforma de la LECrim de 2015, la doctrina general al respecto.

1.2. Presupuestos habilitantes Cada medida de investigación tecnológica establece la relación de delitos para cuya investigación se autoriza, pues no se olvide que se están afectando aquí a los derechos fundamentales reconocidos en el art. 18 CE. Además, la STEDH Kopp c. Suiza, de 25 de marzo de 1998, ya declaraba que constituyendo muchas de estas diligencias una grave interferencia en la vida privada, la ley que las permita debe ser particularmente precisa, y por ello debe

contener normas detalladas al respecto que eviten poder generar abusos o excesos de poder. Por ejemplo, y como señala el artículo 588 ter a) de la LECrim (por remisión al art. 579.1 LECrim), la interceptación de las comunicaciones telefónicas o telemáticas del investigado sólo podrá ser acordada cuando la causa incoada tenga por objeto alguno de los siguientes delitos: 1) Delitos dolosos castigados con pena con límite máximo de, al menos, 3 años de prisión. 2) Delitos cometidos en organización criminal.

el

seno

de

un

grupo

u

En el art. 570 bis.1 del Código Penal se establece el concepto de «organización criminal»: «A los efectos de este Código se entiende por organización criminal la agrupación formada por más de dos personas con carácter estable o por tiempo indefinido, que de manera concertada y coordinada se repartan diversas tareas o funciones con el fin de cometer delitos». Y el art. 570 ter.1 del Código Penal define «grupo criminal»: «A los efectos de este Código se entiende por grupo criminal la unión de más de dos personas que, sin reunir alguna o algunas de las características de la organización criminal definida en el artículo anterior, tenga por finalidad o por objeto la perpetración concertada de delitos». El TS, por su parte, determina en su jurisprudencia los elementos de la organización criminal (SSTS, Sala 2ª, de 1 de abril de 2013 o de 23 de febrero de 2012): i) una agrupación de más de tres personas para la comisión de un delito; ii) con una actuación planeada, bien con carácter estable, o por tiempo indefinido; y iii) el desarrollo de una tarea concertada y coordinada, con un reparto funcional de cometidos puestos al servicio del fin delictivo.

3) Delitos de terrorismo. 4) Ciberdelitos (delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación). De esta forma, la exigencia derivada de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (LCDCE), que requería la existencia de un «delito grave» para poder obtener con autorización judicial los datos de tráfico y asociados previstos en el art. 3 de la referida LCDCE, debe entenderse superada por la redacción del actual art. 579.1 LECrim, que une al hecho de ser ley posterior el rango superior de ley orgánica.

1.3. Solicitud Las medidas de investigación tecnológicas pueden ser adoptadas (art. 588 bis b) LECrim): — de oficio por el Juez de Instrucción competente; o — a solicitud del Ministerio Fiscal o de la Policía Judicial. Por el contrario, la LECrim no prevé la posibilidad de que sean adoptadas a petición de la acusación particular, no obstante lo cual nada impide que ésta las solicite, así como por parte de otros sujetos legitimados como por ejemplo el Abogado del Estado o el Letrado de la Comunidad Autónoma en delitos contra la Hacienda Pública. En caso de petición comprenderá:

de

estos

últimos,

la

solicitud

1. la descripción detallada del hecho objeto de investigación —sin necesidad de calificarlo jurídicamente—,

y, si se conoce, la identidad del investigado o de otros afectados por la medida; 2. una exposición detallada de las razones que justifiquen la medida, conforme a los principios rectores del art. 588 bis a) LECrim, y los indicios de criminalidad hallados durante la investigación previa a la solicitud; 3. los datos de identificación del investigado o encausado, y de los medios de comunicación que emplean para permitir la ejecución de la medida; 4. la extensión de la medida, especificando su contenido; 5. la unidad investigadora de la Policía Judicial que asumirá la intervención; 6. la forma de ejecución de la medida (por ejemplo, a través del sistema SITEL); 7. la duración de la medida, que podrá ampliarse o reducirse dentro de los términos que marca la LECrim y que expondremos más adelante; y 8. el sujeto obligado a ejecutar la medida (por ejemplo, el operador de telecomunicaciones o el proveedor o plataforma de Internet), si se conoce. El requisito más problemático en la práctica es el de los indicios objetivos. Indicios que son algo más que simples sospechas, pero también algo menos que los indicios racionales que se exigen para el procesamiento. Para que sean válidos los indicios deben ser objetivos. Y se consideran objetivos los indicios que cumplen estos tres requisitos siguientes (SSTC 26/2010, 197/2009 y 165/2005, y SSTS, Sala 2ª, de 7 de julio de 2017, 13 de febrero de 2017 y de 8 de febrero de 2017): 1. ser accesibles a terceros, sin lo cual no serían susceptibles de control;

2. proporcionar una base real de la que pueda inferirse que se ha cometido o que se va a cometer el delito; y 3. no consistir en valoraciones acerca de la persona. La iniciativa del Juez de Instrucción por sí mismo de acordar la medida es legalmente posible pero muy poco frecuente en la práctica, ya que en la mayoría de las diligencias de investigación es la propia Policía Judicial quien valora la necesidad de servirse de tales medidas tecnológicas tomando la iniciativa de dirigirse al Ministerio Fiscal o al juzgado de guardia para presentar una solicitud formal enunciada en términos razonablemente convincentes y viables. La práctica forense no es ajena a casos de solicitudes policiales y de posteriores resoluciones judiciales caracterizadas por una parquedad argumental susceptible de vulnerar el deber constitucional de motivación. A evitar esa práctica viciosa se orienta la minuciosa regulación del contenido de la petición que acabamos de señalar. También, como ha quedado apuntado, se proscribe la investigación meramente prospectiva, pues los derechos fundamentales reconocidos en el art. 18 CE no pueden ser vulnerados para satisfacer la necesidad genérica de prevenir o descubrir delitos o para despejar sospechas sin base objetiva de los encargados de la investigación, por más legítima que sea esa aspiración, pues de otro modo se desvanecería la tutela constitucional (SSTC 253/2006, de 11 de septiembre, 261/2005, de 24 de octubre y 184/2003, de 23 de octubre). No obstante, aunque lo deseable es que el auto exteriorice directamente los indicios objetivos que justifican la medida, existe también una jurisprudencia consolidada del propio TC que admite la motivación si, integrada incluso con la solicitud policial a la que puede remitirse, contiene los

elementos necesarios para considerar satisfechas las exigencias para poder llevar a cabo con posterioridad la ponderación de la restricción de los derechos fundamentales que la proporcionalidad de la medida conlleva (SSTC 261/2005, de 24 de octubre, o 184/2003, de 23 de octubre). Con acierto, la STS, Sala 2ª, de 5 de noviembre de 2009, indica que la resolución judicial que acuerde la medida debe explicitar, en el momento de la adopción de la medida, todos los elementos indispensables para realizar el juicio de proporcionalidad y para hacer posible su control posterior, en aras del respeto del derecho de defensa del sujeto pasivo de la medida ya que, por la propia finalidad de ésta, la defensa no puede tener lugar en el momento de su adopción. La adopción por parte del juez de la medida solicitada es potestativa, esto es, el juez tiene libertad para acordarla o rechazarla como contenido de su función jurisdiccional como garante y defensor de los derechos del investigado (la función de garantizar derechos del art. 117.4 CE), que todavía goza de la presunción de su inocencia (art. 24 CE). Como doctrina general, puede señalarse que para que sea constitucionalmente legítimo el levantamiento del derecho al secreto de las comunicaciones el juez ha de verificar la presencia de indicios constatables por un tercero. No son suficientes afirmaciones incontestables de sospecha rubricadas por la policía. El órgano judicial ha de valorar la gravedad y naturaleza de los delitos que se pretende investigar y la necesidad de la injerencia en un derecho fundamental. Es imprescindible que efectúe autónomamente un juicio ponderativo sobre el nivel cualificativo de los indicios que avalan las sospechas (SSTS, Sala 2ª, de 14 de septiembre de 2016 y de 24 de abril de 2014). La suficiencia de los indicios para alcanzar la probabilidad que justifica la medida de investigación tecnológica es una valoración que corresponde al Juez de

Instrucción: no puede descansar exclusivamente en los agentes policiales. Es necesario que éstos aporten al instructor los elementos objetivos que apoyan su juicio de probabilidad. La constatación de la solidez de esos indicios es parte esencial del proceso discursivo y valorativo que debe realizar el juez antes de conceder la autorización. El juez ha de sopesar el grado de probabilidad derivable de los indicios. Sólo cuando éste se mueva en cotas que sobrepasan la mera posibilidad o sospecha estará justificada la injerencia. No basta una intuición policial, ni una suposición más o menos vaga, ni confidencias huérfanas de otros apoyos. Es necesario algo más como ha repetido hasta la saciedad el Tribunal Constitucional (SSTC 253/2006, de 11 de septiembre, 299/2000, de 11 de diciembre o 49/1999, de 5 de abril). Pero, como indica la STS, Sala 2ª, de 31 de enero de 2017, no es precisa ni una investigación exhaustiva, ni la comprobación previa de cada uno de los datos informativos ofrecidos por la policía. No hay por qué dudar sistemáticamente de los datos «objetivables» presentados por la policía (el resultado de una vigilancia, la confidencia hecha por un informador, la realidad de una detención o actuación policial...). Eso es compatible con que tampoco haya que asumir acríticamente las deducciones policiales. Es el juez, manejando esos datos objetivables, el llamado a realizar sus propias deducciones, que podrán coincidir o no con las policiales. Pero determinados elementos objetivos proporcionados por la policía, como detenciones previas, antecedentes penales, estancia en prisión preventiva por otros hechos o existencia de otras investigaciones en curso, no tienen por qué ser acreditados fehacientemente en este momento: basta con la referencia facilitada. Pueden operar ya como indicios esas actuaciones policiales previas sin que haya que esperar a una sentencia condenatoria. En estos momentos y a estos efectos se

requieren indicios, no hechos probados proclamados por sentencias condenatorias firmes. Por ello, como razona la STS, Sala 2ª, de 8 de mayo de 2013, el escenario en esta fase preliminar es muy diferente al del momento del juicio oral en que sí se impone una «duda metódica» sobre los elementos de cargo, usando la expresión cartesiana acuñada en un marco reflexivo filosófico muy diferente, pero que es plástica. No es necesaria aquí una comprobación a modo de «miniinstrucción» previa judicial que siga a la investigación policial y preceda a la injerencia (en este mismo sentido, SSTS, Sala 2ª, de 2 de diciembre de 2016 y de 20 de marzo de 2013).

1.4. Resolución judicial El juez siempre autorizará o denegará la medida solicitada mediante auto motivado, previo informe no vinculante del Ministerio Fiscal, no pudiendo superar para dictar la resolución 24 horas desde la solicitud. La falta de este informe previo del Ministerio Fiscal abre la vía de recurso frente a la medida. Este breve plazo se podrá interrumpir si el juez requiere una ampliación o aclaración de los términos de la solicitud efectuada.

Por tanto, se exige un control judicial en la ordenación, desarrollo y cese de la medida, control que, dado el desconocimiento por parte del afectado, ha de ser riguroso en grado sumo (SSTC 49 y 236/1999 o 49/1996, y SSTS, Sala 2ª, de 25 de septiembre de 2005 y de 26 enero de 1996, entre otras). La única excepción habilitada lo es para casos de urgencia en delitos de terrorismo, que faculta para ello al Ministro de Interior o al Secretario de Estado de Seguridad exclusivamente en los arts. 579.3 (para la correspondencia escrita o telegráfica) y 588 ter d).3 LECrim (para las comunicaciones telefónicas y telemáticas), que se comunicará inmediatamente al juez competente y, en todo caso, dentro del plazo máximo de 24 horas, haciendo constar las razones que justificaron la adopción de la medida, la actuación realizada, la forma en que se ha efectuado y su resultado. El juez competente, también de forma motivada, revocará o confirmará tal actuación en un plazo máximo de 72 horas desde que fue ordenada la medida.

Con la actual regulación y en cuanto al ciberespacio, las comunicaciones telefónicas y telemáticas, los SMS, MMS, mensajes en servicios de mensajería instantánea, chats, foros, redes sociales o microblogging, o cualquier otra forma de comunicación telemática, etc., se encuentran protegidas por el artículo 18.3 CE, y por ello, para su intervención es necesaria una resolución judicial habilitante en forma de auto motivado (art. 588 ter b), 2° LECrim). También los datos de geolocalización de las comunicaciones telefónicas, los datos electrónicos de tráfico o asociados, el registro de dispositivos de almacenamiento masivo de información y los registros remotos sobre equipos informáticos deben solicitarse expresamente al juez, que en caso de conceder la medida, motivará la decisión habilitante. Lo mismo cabe decir del agente encubierto informático. La resolución judicial habilitante deberá contener, como mínimo, los siguientes extremos (art. 588 bis c) LECrim): a) el hecho punible objeto de investigación —con concreción, no son válidas alusiones a hechos difusos o indeterminados— y su calificación jurídica, con expresión de los indicios racionales en los que funde la medida; b) la identidad de los investigados y de cualquier otro afectado por la medida, de ser conocido; c) la extensión de la medida de injerencia, especificando su alcance —el medio tecnológico afectado— así como la motivación relativa al cumplimiento de los principios rectores establecidos en el artículo 588 bis a) de la LECrim; d) la unidad investigadora de Policía Judicial que se hará cargo de la intervención; e) la duración de la medida; f) la forma y la periodicidad con la que el solicitante informará al juez sobre los resultados de la medida;

g) la finalidad perseguida con la medida; h) el sujeto obligado —operador de telecomunicaciones o proveedor de Internet afectado— que llevará a cabo la diligencia, en caso de conocerse, con expresa mención del deber de colaboración y de guardar secreto, cuando proceda, bajo apercibimiento de incurrir en un delito de desobediencia (y también, aunque la LECrim no lo dice, de un delito de revelación de secretos). En definitiva, el complejo contenido de esta resolución obedece al expreso deseo del legislador de que los jueces abandonen prácticas viciosas de autorizar injerencias en derechos fundamentales de los ciudadanos de manera rutinaria, con carácter genérico o en forma poco motivada, vedando a la postre las investigaciones prospectivas que no estén fundamentadas en hechos determinados, impidiendo desarrollar investigaciones basadas en simples conjeturas o sospechas. El auto judicial al que le falte alguno de los requisitos señalados no estará viciado de nulidad, salvo que lo omitido sea fundamental, como puede ser la descripción del hecho punible o los indicios racionales, siempre que lleven a indefensión. En este sentido, la STS, Sala 2ª, de 24 de noviembre de 2015 gradúa la distinta entidad de las posibles irregularidades del auto defectuoso, según la causación de indefensión y por la afectación al derecho al proceso debido. Y la STS, Sala 2ª, de 5 de febrero de 2014, establece claramente lo que no se debe hacer ni por parte del órgano instructor ni de las Fuerzas y Cuerpos de Seguridad del Estado en esta materia. Conforme a la llamada teoría de los frutos del árbol envenenado, o la contaminación probatoria, sentada por el Tribunal Constitucional, se invalida cualquier medio probatorio obtenido directa o indirectamente con violación de los derechos fundamentales, como forma de sanción por

la injerencia ilícita y como instrumento de reparación a quien sufrió tal intromisión indebida, ya que se está vulnerando el derecho fundamental a un proceso con todas las garantías, reconocido en el artículo 24.2 de la Constitución. En esta línea, la STS, Sala 2ª, de 20 de octubre de 2014 devuelve una causa a la Audiencia Nacional para que el mismo tribunal que dictó sentencia haga constar la fuente del pinchazo telefónico que originó una intervención policial, puesto que su falta de respuesta vulnera el derecho fundamental a la tutela judicial efectiva. La prohibición de la prueba constitucionalmente ilícita y de su efecto reflejo, o indirecto, pretende, en primer lugar, otorgar el máximo de protección a los derechos fundamentales constitucionalmente garantizados y, en segundo lugar, ejercer un efecto disuasorio de conductas anticonstitucionales en los responsables de la investigación penal (ASENCIO MELLADO (10) o GUARIGLIA (11) ). La doctrina científica distingue entre «prueba ilícita», que es aquella en la que en su origen y desarrollo se ha vulnerado un derecho o libertad fundamental, mientras que la «prueba prohibida» es la consecuencia de la prueba ilícita, que no puede ser traída al proceso porque surge con violación de las normas constitucionalmente tuteladoras de los derechos fundamentales. Sin embargo, la jurisprudencia no siempre realiza esta diferenciación.

Con carácter general, la prohibición alcanza tanto a la prueba en cuya obtención se ha vulnerado un derecho fundamental como a aquellas otras pruebas que, habiéndose logrado lícitamente, se basan, apoyan o deriven de la anterior, para asegurar que la prueba ilícita inicial no surte efecto alguno en el proceso. Prohibir el uso directo de los medios probatorios ilícitos, pero permitir su aprovechamiento indirecto, vacía la norma del art. 11 LOPJ de contenido efectivo, pues la utilización de procedimientos inconstitucionales acaba indirectamente surtiendo efecto, lo

cual también está vedado (STS, Sala 2ª, de 18 de abril de 2013). Ahora bien, el Tribunal Constitucional ha matizado la aplicación del art. 11 LOPJ en función de la extensión que su propia jurisprudencia va otorgando a las violaciones constitucionales en materia probatoria y las consecuencias anulatorias que esta extensión puede determinar en caso de aplicación ilimitada del efecto indirecto, desarrollando la doctrina de la conexión de antijuridicidad, acuñada por primera vez en la STC 81/1998, de 2 de abril. En su virtud, la conexión de antijuridicidad supone el establecimiento de un enlace jurídico entre una prueba y otra, de tal manera que, declarada la nulidad de la primera, se produce en la segunda una conexión que impide que pueda ser tenida en consideración por el tribunal sentenciador a los efectos de enervar la presunción de inocencia del acusado. Pero esta conexión no es meramente causal sino que admite excepciones, que se traducen en la práctica en limitaciones de la prohibición absoluta de aprovechamiento de las pruebas indirectamente derivadas de una infracción constitucional. Es decir, que para evitar extender hasta el infinito el efecto prohibitivo derivado del artículo 11.1 LOPJ, se admiten excepcionalmente factores de corrección. Por ello, la prohibición de utilización referida a las pruebas obtenidas indirectamente mediante el empleo de fuentes de información procedentes de pruebas ilícitas tiene que constituir la regla general, que solo cabe exceptuar, conforme a la citada doctrina constitucional, cuando concurra un supuesto específico de desconexión, que debe constatarse en cada caso, identificando con claridad el supuesto aplicado y especificando las razones singulares que justifican su utilización. Ello exige un examen complejo y preciso de cada supuesto que va más allá de la mera relación de causalidad natural;

es decir, un examen caso por caso. Así, se ha admitido la excepción cuando, por ejemplo, la policía realiza el registro con error palmario de buena fe o con la creencia de obrar legítimamente. Igualmente, si el condenado reconoció la validez de la prueba así obtenida no puede alegar después la aplicación del art. 11.1 LOPJ. Otros supuestos son la doctrina del hallazgo inevitable que viene referida a aquellos hechos que habrían sido inexorablemente conocidos en el curso de la investigación por otros medios. Este criterio del Tribunal Constitucional coincide, en líneas generales, con lo previsto en los derechos comparados más próximos. Así por ejemplo, en Portugal, donde la regla de exclusión de la prueba ilícita está incorporada a la propia Constitución (art. 32), el denominado «efeito-a-distancia», o efecto reflejo de la nulidad en otras pruebas derivadas, está matizado por la singularidad del caso, el tipo de prohibición de prueba infringido, la naturaleza e importancia del derecho en conflicto, el bien jurídico o interés sacrificado, el sujeto pasivo de la vulneración, etc. En Italia, donde la regla de la «inutilizzabilitá» de las pruebas obtenidas quebrantando prohibiciones legales fue incorporada al art. 191 del Códice di Procedura Penale de 1988, y la figura de la «inutilizzabilitá derivata» se aplica también de forma matizada. La ausencia de una normativa específica sobre la propagación de la nulidad, salvo en materia de secreto de Estado (Ley de 3 de agosto de 2007), da lugar a soluciones jurisprudenciales muy variadas. Algo similar se aprecia en la práctica procesal francesa con el «principio de lealtad en la aportación de la prueba», también en la alemana, en la que se aplica la «teoría de la ponderación de intereses» por la que la vulneración de una prohibición probatoria no conlleva necesariamente la prohibición de utilización de la prueba derivada («fernwirkung des Beweisverbots»), en función de la gravedad del hecho y el peso de la infracción procesal concreta, o en el sistema procesal penal holandés en el que la ilicitud probatoria se introdujo en 1996 en

el art. 359 del Código de Procedimiento Procesal, pero en el que la calificación de una prueba como derivada de otra prueba ilícita no acarrea necesariamente la aplicación de una regla de exclusión, aplicándose los principios de proporcionalidad y subsidiariedad. También en el propio Tribunal Supremo norteamericano, pionero en la acuñación y aplicación de esta doctrina («fruits of the poisonous tree»), donde resoluciones como Herring vs. United States, de 14 de enero de 2009 o Hudson vs. Michigan, de 15 de junio de 2006, han atenuado mucho los efectos de la «exclusionary rule».

Una aplicación reciente de esta doctrina la encontramos por ejemplo en la STS, Sala 2ª, de 23 de febrero de 2017 (12) . En ese proceso, el recurrente, condenado por varios delitos contra la Hacienda Pública, impugna la licitud de una prueba consistente en un soporte informático facilitado a la Agencia Tributaria española por las autoridades francesas, la ya famosa «Lista Falciani» (13) , donde constaba información de diversos contribuyentes españoles con cuentas bancarias en la entidad suiza HSBC. Esta información —en la que se fundamenta su condena— había sido obtenida, a su vez, por las autoridades francesas tras la práctica de una entrada y registro en el domicilio de un empleado de la entidad HSBC, que la tenía en su ordenador y de la que se había apoderado ilícitamente. Se plantea, en definitiva, la cuestión relativa al valor probatorio de documentos bancarios y ficheros contables cuando, pese a existir constancia de que fueron sustraídos de forma ilegítima por un tercero, han sido determinantes en la apreciación probatoria. En primer lugar, el Tribunal Supremo recuerda, conforme con la doctrina constante en esta materia, que la regla de exclusión de la prueba ilícita se fundamenta en la necesidad de proteger a los ciudadanos frente a la actividad investigadora y de prueba del Estado personificado en cualquiera de sus agentes (14) . Siendo así, el Tribunal

Supremo asume en su Sentencia que la consecuencia ineludible respecto de cualquier prueba obtenida por agentes del Estado (personificados en policías, jueces, fiscales o cualquier otro) con violación de derechos fundamentales es la de su nulidad, sin que pueda, conforme con lo previsto en el art. 11.1 LOPJ, producir efecto alguno. Lo que proscribe el art. 11 LOPJ es que la obtención de pruebas por los agentes al servicio del Estado, como un modo lógico y coherente de respetar los principios constitucionales y legales en los que se fundamenta nuestro sistema de proceso penal, que parte de la premisa necesaria de que el proceso se asienta, como cualquier otra actividad jurídica de la Administración del Estado, en el principio de legalidad y de propio respeto a las normas que el mismo Estado promulga y aplica. Efectivamente, sería absolutamente contrario a los principios del proceso penal que el Estado pudiera soslayar las propias reglas constitucionales y legales para infringir los derechos del acusado y obtener pruebas, aunque estas acreditaran su responsabilidad en la comisión de un delito y, de ese modo, se obtuviera una eventual «satisfacción» de la justicia.

Ahora bien, y como ha quedado apuntado, la regla de exclusión de la prueba ilícita debe flexibilizarse en los supuestos en los que simplemente no concurre actividad alguna del Estado o de sus agentes en la obtención de la prueba, o bien sí que actúan agentes del Estado pero su actuación irregular o ilícita tiene su origen en la buena fe, el error o cualquier otra circunstancia que no se relaciona con una actividad preordenada y consciente de vulneración de las mismas garantías y estructura del proceso penal en perjuicio de quien está siendo juzgado. Se trata de supuestos en los cuales la existencia de afectación de algún derecho fundamental no debe suponer, necesariamente, la nulidad de la prueba, valorando a ese fin las circunstancias concurrentes y el grado de afectación que deba proyectarse sobre la prueba obtenida.

En el supuesto enjuiciado en la precitada STS, la excepción de la regla de exclusión se halla en la circunstancia de que el sujeto que recopiló los datos fiscales del acusado no era un agente del Estado sino un particular. Siendo este el caso, considera el TS que resulta necesario «...un tratamiento singularizado de la prueba obtenida por un particular cometiendo un delito o vulnerando derechos fundamentales», ya que, a juicio de la Sentencia, «las reglas de exclusión probatoria se distancian de su verdadero sentido cuando no tienen relación con la finalidad que está en el origen mismo de su formulación». En su virtud, «...la acción vulneradora del agente de la autoridad que personifica el interés del Estado en el castigo de las infracciones criminales nunca puede ser artificialmente equiparada a la acción del particular que, sin vinculación alguna con el ejercicio del ius puniendi, se hace con documentos que más tarde se convierten en fuentes de prueba que llegan a resultar, por una u otra circunstancia, determinantes para la formulación del juicio de autoría». Estos documentos considera el Tribunal Supremo que pueden ser objeto de valoración en tanto que el vicio de ilicitud que pudiera concurrir sobre ellos no alcanza a la consecuencia de declarar su nulidad y, con ello, frustrar la persecución del delito. Por lo demás, en cuanto al momento para decidir sobre la licitud o ilicitud de la prueba, la STS, Sala 2ª, de 21 de febrero de 2017 con marcado carácter pedagógico considera que, con la normativa vigente, las soluciones quedan en manos del juzgador, que ha de tomar su decisión atendiendo a las concretas circunstancias del supuesto. Es un tema a resolver caso por caso y no es lo mismo si se va a proclamar la expulsión de la prueba, que si se va a refrendar su legalidad (en cuyo caso hay muchas razones que invitan a diferir la argumentación y decisión a la propia sentencia) (15) .

Precisamente por ello se ha propuesto desde la doctrina importar del derecho anglosajón el llamado «voire dire» o «trial into the trial» (juicio dentro del juicio), presente en Reino Unido, Australia, Nueva Zelanda, Canadá y en algunos códigos procesales estatales de los Estados Unidos —aunque allí va referido sobre todo al proceso de insaculación del jurado—, lo cual también ha reclamado el propio TS en varias sentencias. Cuando se suscita una cuestión de validez probatoria, el órgano judicial la resuelve con la práctica de la prueba que sea necesaria y con carácter previo al inicio del juicio propiamente dicho. Si se trata de un proceso con jurado, en ese incidente previo no intervendrían los miembros del mismo. Y la prueba se practicaría a los únicos efectos de resolver sobre la licitud de la prueba. Es lo que venía a propiciar el proyecto de Código Procesal Penal de 2013 arbitrando este trámite con posibilidad de desarrollar actividad aprobatoria ad hoc antes de resolver las cuestiones previas (art. 443.4), entre las que puede encontrarse la ilicitud de un medio probatorio. Incluso alguna vez se ha llegado a postular la aplicación supletoria (ex art. 4 LEC) del art. 287 LEC, que contiene una previsión singular para canalizar procesalmente la impugnación por ilícita de una prueba. Con un mecanismo procesal de ese tipo quedarían solventadas muchas de las disfunciones que antes se han puesto de manifiesto (se evitaría el influjo psicológico de la prueba ilícita; en el caso del juicio con jurado, existiría una base legal para excluir a éste del debate pleno sobre la licitud o ilicitud de la prueba; se podría decidir previamente sobre esa cuestión de manera plena, sin límites de medios de prueba...).

1.5. Secreto de las actuaciones En todo caso, la solicitud y actuaciones derivadas de la medida solicitada se contendrán en una pieza separada y secreta, aunque no se haya acordado expresamente el secreto de la causa (art. 588 bis d) LECrim). La regulación anterior a 2015, omitiendo cualquier previsión al respecto en el derogado art. 579 LECrim, supuso que en la práctica se autorizaran las intervenciones telefónicas por plazo de un mes, a fin de que coincidiera con el límite máximo del

secreto de las actuaciones previsto en el art. 302 LECrim, siendo usual que en el mismo auto se recogieran y fundamentaran ambas decisiones. Del mismo modo, los autos de prórroga de la medida alargaban por igual tiempo el secreto tantas veces como fuera necesario, resultando una suerte de automatismo que la jurisprudencia llegó a bendecir admitiéndose que la falta de declaración del secreto de las actuaciones era irrelevante, por ser necesario y lógico en la práctica de la técnica de investigación con escuchas telefónicas, de forma que, si el Juez de Instrucción por descuido olvidaba decretar el secreto en alguna prórroga, o incluso si omitía absolutamente el pronunciamiento, en nada afectaba a la validez de las actuaciones (STS, Sala 2ª, de 29 de diciembre de 2006).

Es decir, sin necesidad de declaración expresa. Algo obvio, porque si el interceptado sabe que le están grabando o monitorizando no dirá o hará nunca nada que tenga relevancia penal en su contra. Conviene insistir en que la incoación de la pieza separada secreta no debe ser notificada a los investigados en la causa matriz, como tampoco es razonable hacerlo cuando, durante el trámite de un procedimiento se decrete el secreto parcial, conforme a las previsiones del art. 302 LECrim. Y esto se recuerda por ser habituales las dudas ante el temor de generar futuras indefensiones anulatorias de las actuaciones. Notificar a las defensas la decisión de formar la pieza separada secreta entraña una contradicción absurda difícilmente justificable. Por lo mismo, en el art. 263 bis in fine LECrim, en la regulación de la técnica de la entrega controlada, con remisión al art. 584 de la misma norma procesal, se exime de citar al interesado — destinatario del envío— para la apertura judicial del paquete cuya circulación vigilada se va a producir.

En el caso de ser autorizada la medida, la misma corre vida separada de la pieza principal hasta que cese la última medida para el conjunto de todos los afectados —y no separadamente por individuo—, en cuyo caso, cuando no hay más necesidad de reserva y sigilo, se alza el secreto

decretado por la LECrim y se notifica a los afectados, que tienen un breve plazo para recurrirlo —3 o 5 días en reforma o apelación—, aunque también pueden reproducir la tacha de nulidad en las cuestiones previas al inicio del juicio oral (art. 786.2 LECrim). Por lo tanto, las defensas deberán ex post revisar de manera detallada que se cumplan todos los requisitos que establece la LECrim para la legalidad de la medida, conforme al art. 18.3 CE, a los efectos de poder instar en su caso la nulidad conforme al art. 11.1 LOPJ (STS, Sala 2ª, de 1 de junio de 2017).

1.6. Duración de la medida En principio, cada medida tiene la duración específica que la LECrim señala al desarrollar la regulación particular de cada una de ellas (los plazos no son idénticos en todos los casos). Por ello, dispone el artículo 588 bis e) de la Ley de Enjuiciamiento Criminal que las medidas generalmente no excederán del tiempo imprescindible para el esclarecimiento de los hechos, y durarán lo que se especifique para la medida concreta. Como bien señala VELASCO NÚÑEZ (16) , aunque la ley omite las referencias al esclarecimiento de las circunstancias esenciales o a dar con su autor, deben entenderse comprendidas en el término literal «hechos», que significa aquí cualquier componente principal del objeto del proceso. La medida podrá ser prorrogada, mediante auto motivado, por el juez competente, de oficio o previa petición razonada del solicitante, siempre que subsistan las causas que la motivaron. Transcurrido el plazo por el que resultó concedida la medida, sin haberse acordado su prórroga, o, en su caso, finalizada ésta, terminará a todos los efectos. De este modo, la medida cesará en sus efectos:

a) Tan pronto el juez la alce por haberse esclarecido, con todas las circunstancias esenciales, el hecho y su autor, aunque no se agote todo el plazo concedido. b) En la fecha de su vencimiento, al transcurrir el plazo por el que se concedió. c) Cuando finalice su prórroga. La defensa deberá supervisar el cumplimiento de los plazos (art. 324 LECrim).

1.7. Prórroga La solicitud de prórroga, conforme al artículo 588 bis f) de la LECrim, se dirigirá por el Ministerio Fiscal o la Policía Judicial al juez competente con la antelación suficiente a la expiración del plazo concedido. Deberá incluir en todo caso: a) un informe detallado del resultado de la medida; y b) las razones que justifiquen la continuación de la misma. Lo anteriormente señalado respecto de la legitimación de la acusación particular puede trasladarse aquí. En el plazo de los 2 días siguientes a la presentación de la solicitud, el juez resolverá sobre el fin de la medida o su prórroga mediante auto motivado. Antes de dictar la resolución, el juzgador podrá solicitar aclaraciones o mayor información. Concedida la prórroga, su cómputo se iniciará desde la fecha de expiración del plazo de la medida acordada (y no desde la fecha de la concesión de la prórroga, pues ambas fechas pueden no coincidir).

1.8. Control La Policía Judicial informará al Juez de Instrucción competente del desarrollo y resultados de la medida, en la

forma y periodicidad que este determine en el auto, y siempre que se ponga fin a la misma (art. 588 bis g) LECrim). La norma da por tanto libertad al juez a la hora de concretar el modo de controlar a los agentes facultados que van a ejecutar la medida. Sólo es obligatoria la rendición de cuentas cuando, por cualquier causa, se ponga fin a la medida. Este control judicial (17) tiene un triple objeto: a) El seguimiento de que, en efecto, se procede al cumplimiento estricto de lo autorizado, de modo que, al margen de otras más directas actuaciones que el juez instructor pueda disponer, los encargados de la realización material de las diligencias vienen siempre obligados a facilitar una periódica, puntual y frecuente información al juez del desarrollo y los resultados de la tarea que se les ha encomendado, de acuerdo con lo dispuesto por el propio auto autorizante en su resolución. b) La proscripción de extralimitaciones en la ejecución de la diligencia acordada, tanto por exceso o prolongación innecesaria en la medida como por intromisión injustificada en otros ámbitos o derechos de terceros ajenos a la investigación. c) La evitación de cualquier clase de indefensión para el sometido a la intervención, de modo que es el juez el encargado, durante ese período, de tutelar debidamente todo lo relativo a la posibilidad posterior de su ejercicio efectivo del derecho de defensa.

1.9. Extensión a terceros Podrán acordarse las medidas de investigación, aun cuando afecten a terceros, en los casos y con los requisitos que se regulan en las condiciones específicas de cada una de ellas (art. 588 bis h) LECrim).

Esto significa, por poner un ejemplo concreto, que la diligencia de investigación de interceptación no busca únicamente intervenir el teléfono del titular o propietario, sino también el de cualquier usuario que sea en estos momentos tercero procesal. Lo importante por tanto es el teléfono o medio de comunicación, no la titularidad civil.

1.10. Utilización de la información obtenida en un procedimiento distinto y descubrimientos casuales El uso de las informaciones obtenidas en un procedimiento distinto y los descubrimientos casuales se regulan con arreglo a lo dispuesto en el artículo 579 bis de la LECrim (art. 588 bis i) LECrim). En cuanto al uso de la información en un procedimiento distinto, a tal efecto se procederá a la deducción de testimonio de los particulares necesarios para legitimar la injerencia, incluyéndose siempre la solicitud inicial para la adopción de la medida, el auto que la acuerda y todas las peticiones y autos de prórroga recaídas en el procedimiento de origen, para poder ser empleado el testimonio como medio de investigación o prueba en otro proceso penal (art. 579 bis.2 LECrim. Vid. también la Instrucción de la Fiscalía General del Estado 2/2017, de 8 de mayo). Queda así zanjada cualquier duda en cuanto al correcto proceder para abrir investigaciones independientes derivadas de otras, siguiendo cada una su curso, superando en ello incluso el acuerdo del Pleno de la Sala Segunda del TS de 26 de mayo de 2009 (18) , que rechazó la presunción sistemática de nulidad de las actuaciones judiciales y puso coto a los casos de alegación deliberadamente extemporánea. Con la nueva regulación de 2015, quedan en principio resueltos los numerosos problemas que, en la

práctica, suscitaba la sucesión de investigaciones, materia examinada por el Tribunal Supremo de modo constante hasta la actualidad. La STS, Sala 2ª, de 10 de marzo de 2016 se ocupa de ello. Dicha problemática se ha presentado especialmente en la investigación del tráfico de drogas, campo en el que las intervenciones de las comunicaciones son de uso más que frecuente. Por su naturaleza, el narcotráfico entraña una realidad con límites imprecisos. Traficantes individuales y organizaciones colaboran entre sí para operaciones concretas y se desvinculan a continuación. Los mayoristas cambian con frecuencia de distribuidores, y éstos a su vez de proveedores. Cualquier procedimiento judicial abierto por tráfico de drogas en el que se autoricen intervenciones telefónicas llevará al descubrimiento de indefinidas y complejas redes imprevisibles ex ante. Entre tanto, los investigadores policiales han venido aprovechando las informaciones obtenidas en distintos procedimientos para articular operaciones independientes contra objetivos no siempre distintos, instando la apertura de nuevas causas en otros juzgados. Este proceder da lugar en ocasiones a conflictos de incompetencia (cuestiones de competencia negativa) entre distintos órganos judiciales, a la más o menos deliberada ocultación de los precedentes de unas investigaciones en otras y, con frecuencia, al debate en torno al derecho al juez natural, pertrechando todo ello a las defensas que han venido aprovechando esta confusión con gran éxito produciendo la ruina de complejas operaciones que inicialmente cosecharon cuantiosos alijos y numerosos detenidos.

Por ejemplo, la STS, Sala 2ª, de 18 de abril de 2017 ha sintetizado la jurisprudencia sobre esta cuestión, al señalar que cuando se trata de injerencias que han sido adoptadas en otra causa, de la que se ha desgajado la que es objeto de enjuiciamiento, si bien no existe una presunción de ilegalidad de lo actuado en otro proceso, ni el principio in dubio pro reo autoriza a cuestionar o sospechar de la ilicitud a lo allí actuado, sí que es preciso traer al enjuiciamiento los presupuestos de actuación que habilitan las diligencias

subsiguientes acordadas en estos procesos, para que no exista duda acerca de la licitud de las mismas, y para hacer posible el control jurisdiccional y su fiscalización por los afectados, cuyos derechos fundamentales se ven perjudicados. En definitiva, y como bien señala un sector doctrinal (19) , no se trata de presumir que las diligencias practicadas en otras causas son ilegítimas e irregulares y por ende vulneradoras de derechos fundamentales, mientras no conste lo contrario. El presupuesto del razonamiento es precisamente el opuesto: hay que suponer, salvo prueba en contrario, que los jueces, policías, autoridades y en general funcionarios públicos han adecuado su actuación a lo dispuesto en las leyes y en la Constitución. De este precepto no se deduce, en absoluto, que los jueces instructores que reciban oficios policiales que soliciten medidas apoyadas en diligencias de investigación derivadas de otras causas, necesiten conocer en su integridad o con detalle las causas anteriores, o deban valorar necesariamente, bajo pena de nulidad, si las intervenciones acordadas en anteriores procedimientos son válidas constitucionalmente o no, antes de otorgar las autorizaciones que les sean solicitadas. Solo en los supuestos en que la validez de un medio probatorio dependa de la legitimidad de la obtención de fuentes de prueba en otro procedimiento, y en los que el interesado impugne en la instancia, en forma y en momento procesal hábil para poder ser rebatido, la legitimidad de aquel medio de prueba, la parte que propuso el medio de prueba cuestionado deberá justificar de forma contradictoria su legitimidad. En cuanto a los descubrimientos o hallazgos casuales de delito, es decir, se encuentran por azar hechos penales que no eran los investigados (por ejemplo, se persigue un delito contra la propiedad intelectual y aparece una prueba

de que el investigado se dedica también a distribuir pornografía infantil) la continuación de la medida requiere autorización del juez competente, que comprobará la diligencia de la actuación, evaluando cómo se produjo el hallazgo casual y la imposibilidad de haber comprendido ese hecho en la solicitud inicial. A su vez, informará si continúa declarado el secreto de las diligencias, para que sea respetado ese secreto en el otro proceso penal, comunicando el momento en que se alce el secreto (art. 579 bis.3 LECrim). La autorización para proseguir la investigación del delito casualmente hallado requiere por parte del juez competente una compleja labor de análisis de lo actuado. Así se le impone en el art. 579 bis.3 LECrim, estableciendo comprobaciones en torno a la «diligencia de la actuación», es decir, de chequeo a fondo del buen hacer de los investigadores, para lo cual evaluará, por una parte, «el marco en el que se produjo el hallazgo casual» y, por otra parte, constatará asimismo que era imposible inicialmente haber solicitado autorización también para delitos de la clase del recién descubierto («la imposibilidad de haber solicitado la medida que lo incluyera en su momento»). En cuanto al «marco», posiblemente se designa de esta forma el contexto de la investigación al tiempo del descubrimiento azaroso del nuevo delito, para descartar que haya sido producto de una manipulación. Se trata de una cautela debida a la desconfianza del legislador en los investigadores. El mismo recelo subyace al exigir al juez que revise ex post la solicitud base de la autorización de la medida, no sea que se le ocultara el verdadero propósito de la investigación y éste fuera precisamente descubrir el delito finalmente hallado «por casualidad» en apariencia. Las consecuencias del doble análisis del juez podría ser exponer a los manipuladores y denegar la prosecución de la investigación

sobre el delito hallado casualmente y aun —no cabe descartarlo en los casos más graves— anular de oficio el hallazgo. Dando un paso más allá, incluso dejar sin efecto también de oficio todo lo actuado, si el juez alcanza la conclusión de que ha sido víctima de un engaño urdido para que suministrara autorizaciones de medidas con un propósito oculto y distinto al aparente (SÁNCHEZ MELGAR (20) ). El problema práctico que plantea que se autorice una medida de investigación para esclarecer una presunta actividad delictiva de las permitidas por dicha medida y, en cambio, se descubra otra de menor pena o de diferente materia, puede resolverse combinando el principio de especialidad con criterios de conexidad con el juicio habilitante previo al descubrimiento casual, de los cuales se puede sostener la validez del hallazgo cuando se descubra un delito de materia distinta o de pena inferior si es conexo y se vincula con el autorizado que haya aparecido. Por ejemplo, si se autoriza intervenir comunicaciones para investigar un delito de malversación y fraude y, además de aparecer alguno de estos, se puede acreditar, por ejemplo, otro de prevaricación administrativa, cabe postular la validez del descubrimiento, aunque tenga menor pena que la autorizada, pues la conexidad delictiva lo ampara al tratarse de un delito vinculado. En definitiva, la cercanía material y de bien jurídico protegido con el previo apoyo fáctico en el hecho investigado amparan el mismo y hace que no constituya un caso de rastreo indiscriminado o aleatorio, proscritos como sabemos. Cuestión distinta es que se descubriera un delito de naturaleza muy diversa, como un delito de pornografía infantil, que el juez no pudo, bajo ningún concepto, prever ex ante por el contexto de lo que analizó al motivar la resolución habilitante. La jurisprudencia lo admitía con base en la flagrancia del descubrimiento casual, exigiendo, si los

hechos no tenían la suficiente gravedad, que se erigieran en notitia criminis bastante como para obligar a una nueva autorización judicial específica para los mismos que sirviera para iniciar una nueva investigación criminal que debería ser enviada al órgano judicial competente para evitar la impunidad de lo recién descubierto (por ejemplo, STS, Sala 2ª, de 8 de febrero de 2000). En consecuencia, como acertadamente señala en nuestra doctrina VELASCO NÚÑEZ (21) , la gravedad se erige en el criterio generador básico de la proporcionalidad para permitir o no el uso de lo casualmente descubierto en otra investigación. Cuando el delito descubierto por casualidad sea heterogéneo pero de igual o mayor pena, o del mismo ámbito que el inicialmente autorizado, cuenta para su convalidación con el argumento favorable de que la sanción está entre las que la ley procesal permite investigar por este medio, haciéndolo así proporcional. Pero, por el contrario, si se investiga por ejemplo un ciberdelito y se descubre otro muy heterogéneo de comisión eminentemente física, como podría ser por ejemplo un delito de allanamiento de morada, de los que inicialmente tienen excluido este método de investigación, aquí la resolución judicial no le serviría para convalidarse como medio de prueba, pues en realidad nos encontramos ante un hallazgo casual de un delito que, sin esta circunstancia inesperada, no habría podido ser investigado por esta vía. Precisamente por haberse adquirido la prueba sin contradicción y sin inmediación judicial, un sector doctrinal (MORENO CATENA, TORRES MORATO, GARCÍA DE LA PLANA) defiende la necesidad de que, de lege ferenda, deba habilitarse un trámite de depuración de los elementos probatorios que se pretendan practicar en el juicio, que podría consistir en una audiencia tras el escrito de acusación, en donde inexcusablemente deberían constar los medios de prueba propuestos; en ese momento se

podría denunciar la inutilizabilidad de la prueba en el juicio, por incumplimiento de garantías en la obtención de la fuente de prueba, o por irregularidades en su custodia y conservación, obteniendo una resolución judicial que no diera paso a la práctica del medio probatorio, excluyéndolo del proceso.

El art. 579 bis.3 LECrim in fine impone al juez competente para continuar con la investigación del delito hallado casualmente que se informe si las actuaciones de la causa principal se siguen tramitando con declaración de secreto, para respetar dicha situación en el nuevo procedimiento hasta que se comunique el alzamiento de dicho secreto. Estas comprobaciones no serán necesarias en caso de que sea competente el mismo juez de la causa matriz, al igual que la comunicación en cuanto a la declaración de secreto y su alzamiento. Sin embargo, si el delito descubierto origina un procedimiento distinto a cargo de otro juez, es acertado que se establezca ex lege una obligada coordinación, aunque sea únicamente para simultanear las resoluciones de alzamiento del secreto y evitar la frustración de las investigaciones por tales descoordinaciones, no extrañas en el pasado.

1.11. Cese de la medida A tenor del artículo 588 bis j) de la LECrim, el cese de la medida, que debe ser naturalmente acordado por el juez, puede producirse en tres casos: a) cuando desaparezcan justificaron su adopción;

las

circunstancias

que

b) cuando resulte evidente que a través de la misma no se están obteniendo los resultados pretendidos; o c) en todo caso, cuando haya transcurrido el plazo para el que hubiera sido autorizada.

1.12. Destrucción de los registros Concluido el enjuiciamiento y resuelta la causa en firme, las grabaciones y pruebas registradas han cumplido su papel, dejando de tener cualquier interés, siendo además que su mera existencia entraña riesgos futuros para el honor de sus protagonistas, condenados finalmente o no, cuyo derecho constitucional al secreto de las comunicaciones fue quebrantado legítimamente. A conjurar tal peligro se orienta la preceptiva destrucción de originales y copias que expresa y detalladamente se dispone ahora por la reforma de 2015. De este modo, es posible la destrucción de los registros originales electrónicos, según el artículo 588 bis k) de la LECrim, dado el interés legítimo del ciudadano investigado en que no se conserven más allá de lo previsto legalmente: una vez que se ponga término al procedimiento mediante resolución firme, se ordenará el borrado y eliminación de los registros originales que puedan constar en los sistemas electrónicos e informáticos utilizados en la ejecución de la medida de investigación. La firmeza debe entenderse respecto de la fase declarativa del delito y no sobre su fase de ejecución, y alcanza las fases de apelación y casación, dejando al margen el recurso extraordinario de revisión o la instancia ante el TC o el TEDH. Eliminados los originales del sistema de ejecución, normalmente policial (v. gr. SITEL, SILC o similar), la LECrim ordena conservar una copia bajo custodia del Letrado de la Administración de Justicia. Se acordará la destrucción de las copias conservadas en los siguientes casos: a) cuando hayan transcurrido 5 años desde que la pena se haya ejecutado, a contar desde el día en que la pena definitiva se hubiese ejecutado;

b) que el delito o la pena hayan prescrito, cuando algún presunto investigado o condenado se haya sustraído a la acción de la justicia; c) que se haya decretado el sobreseimiento libre o haya recaído sentencia absolutoria firme respecto del investigado, siempre que no fuera precisa su conservación a juicio del tribunal. A tal fin, los tribunales dictarán las órdenes oportunas a la Policía Judicial para que lleve a efecto la destrucción contemplada en los anteriores apartados, pudiendo la parte afectada solicitar presenciarla como interesado directo en ser testigo de algo que le atañe personalmente por afectar a sus derechos constitucionales. Se distingue en la destrucción, borrado o eliminación entre las «copias» de las grabaciones y los llamados por convención «originales» aunque, como es sabido y hemos desarrollado en otro lugar (22) , no hay diferencia perceptible entre original y copia tratándose de archivos informáticos. Tal distinción supone el borrado de las grabaciones en el sistema informático (SITEL, SILC o similar) que se llevará a cabo por orden judicial tan pronto alcance firmeza la resolución definitiva recaída en el procedimiento. Así quedará liberado enseguida el espacio ocupado en el sistema electrónico central y dispuesto para albergar la siguiente investigación.

Cautelas tan rigurosas en apariencia como las previstas no podrán evitar que se conserven e incluso difundan copias fuera de control. Así, siquiera de interpretarse ampliamente el concepto de «copias conservadas», considerando que comprende también las copias existentes fuera del órgano judicial, en poder de las partes, de los terceros intervinientes o en los archivos de la Fiscalía o en las unidades de la Policía Judicial, nada impide que se hayan replicado las copias y se hallen en poder de extraños con

cualquier propósito, personas desconocidas a las que por ello será imposible requerir la entrega del material. En consecuencia, quedaría frustrada la finalidad perseguida de eliminar cualquier rastro del menoscabo inicial del derecho constitucional al secreto de las comunicaciones. Es posible que el legislador, consciente de la imposibilidad de lograr tal propósito de modo absoluto, se haya conformado con garantizar al menos que la Administración de Justicia no conservará innecesariamente grabación alguna. No obstante, tecnologías ya disponibles como el blockchain permitirían un registro de todo el trasiego de los registros y grabaciones, con el fin de impedir utilizaciones y difusiones no consentidas, frecuentes en nuestro país.

2. FUERZAS Y CUERPOS ESPECIALIZADOS

DE

SEGURIDAD

Como no podía ser de otra manera, la eficaz lucha contra la ciberdelincuencia ha obligado en los distintos estados a crear grupos especializados dentro de las Fuerzas y Cuerpos de Seguridad del Estado, así como a la imprescindible coordinación de los grupos policiales expertos en cibercrimen a nivel mundial y europeo. Ello requiere, por tanto, exponer un triple ámbito.

2.1. Ámbito internacional Las especiales circunstancias de la ciberdelincuencia exigen, como ha quedado apuntado, la máxima cooperación internacional a fin de conseguir la mayor eficacia de las investigaciones policiales y judiciales. Así, en el ámbito internacional cabe destacar la existencia de la Organización Internacional de Policía Criminal, más conocida como INTERPOL.

INTERPOL agrupa a policías de 192 países, es la mayor organización policial internacional del mundo, y su objetivo es facilitar la cooperación policial internacional aun cuando no existan relaciones diplomáticas entre determinados países. Actúa siempre dentro de los límites impuestos por las legislaciones vigentes en los diferentes Estados miembros y de conformidad con el espíritu de la Declaración Universal de Derechos Humanos de la ONU. Asimismo, imparte formación específica, presta apoyo especializado en materia de investigaciones y proporciona información pertinente y canales de comunicación protegidos. Fue creada en 1923 bajo el nombre de Comisión Internacional de Policía Criminal con sede en Viena y tomó el nombre común de INTERPOL a partir de su dirección telegráfica. Su Secretaría General se encuentra en Lyon (Francia) y está permanentemente en funcionamiento. INTERPOL dispone además de siete oficinas regionales repartidas por todo el mundo y sendas oficinas en Nueva York y Bruselas para su representación permanente ante las Naciones Unidas y la Unión Europea, respectivamente. Finalmente, cada país miembro se encarga de mantener una Oficina Central Nacional, dotada de funcionarios altamente cualificados de sus propios servicios policiales. En cuanto a la lucha contra la ciberdelincuencia, cabe traer a colación aquí diversas herramientas: 1) Centro de intercambio de información sobre la ciberdelincuencia. Es un punto único de recogida de información, policial y de otro tipo, relacionada con la ciberdelincuencia a escala mundial. También proporciona una pasarela para la recepción, análisis y almacenamiento protegido de ese tipo de información, a la vez que se encarga de elaborar documentos con información policial y de difundirlos entre los países miembros interesados, para

que estos tomen medidas. Asimismo, ayuda a dichos países miembros a comprobar si se han realizado nuevas solicitudes, si se ha intercambiado información nueva o si se han tomado medidas sobre ella, a fin de evitar la repetición del trabajo. También presta apoyo en operaciones policiales en tiempo real. 2) Red permanente de contactos. INTERPOL mantiene una red de contactos especializados de las centrales de cada Estado miembro para el intercambio de información policial sobre ciberdelincuencia. Estos puntos de contacto de cada país pertenecen a los grupos o unidades de policía especializados en ciberdelincuencia de cada uno de los Estados miembros de INTERPOL. De esta forma se hace posible que el intercambio de información sea ágil y se facilita la cooperación internacional. 3) Grupos de trabajo regionales sobre ciberdelincuencia. Son grupos de trabajo destinados a analizar y valorar las tendencias delictivas habituales en ciberdelincuencia asociadas a cada clase de territorio. También formulan planes de actuación y organizan operaciones transnacionales. Se han creado grupos de trabajo asociados a las regiones de África, las Américas, Eurasia y Próximo Oriente unido a Norte de África, los cuales se reúnen anualmente a fin de elaborar planes de actuación y organizar operaciones transnacionales. 4) Unidad de apoyo a las investigaciones sobre delincuencia digital. Colabora en las investigaciones transnacionales sobre ciberdelincuencia, propiciando el intercambio de información o asesorando y orientando a los países miembros en las operaciones e investigaciones relativas a la ciberdelincuencia. Los miembros de esta unidad pueden prestar apoyo a distancia. No obstante, dependiendo de las especiales circunstancias del caso se pueden desplazar hasta el lugar donde han sucedido los hechos investigados. Una de sus labores más importantes

es su capacidad de reunir a las Fuerzas y Cuerpos de Seguridad de los países afectados por la actividad criminal e incluso también al sector privado y académico, siempre que sea útil para facilitar las labores de investigación. Asimismo, INTERPOL tiene la misión de convertirse en un órgano de coordinación mundial para la detección y prevención de los ciberdelitos mediante el Complejo Mundial de INTERPOL para la Innovación, donde se desarrolla el Programa Mundial de INTERPOL sobre Ciberdelincuencia. INTERPOL pretende facilitar las investigaciones transnacionales sobre ciberdelitos y aportar apoyo operativo a la policía de sus 192 Estados miembros.

2.2 Ámbito europeo En el ámbito de la Unión Europea debemos referirnos a la Oficina Europea de Policía, o EUROPOL. EUROPOL, que desde 2016 (23) es la Agencia de la Unión Europea para la Cooperación Policial, tiene por misión contribuir a que Europa sea más segura ayudando a las autoridades responsables de la aplicación de la ley en los países miembros de la UE. Con la misma se institucionaliza plenamente la cooperación policial europea. Actualmente se rige por el Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (EUROPOL) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo. Por tanto, el objetivo básico del Reglamento (UE) 2016/794 es el de apoyar y reforzar la actuación de las autoridades policiales competentes de los Estados miembros y su cooperación mutua en la prevención y la lucha contra la delincuencia grave que atañe a dos o más Estados

miembros, el terrorismo y las formas de delincuencia que afecten a un interés común protegido por una política de la Unión Europea. Además, los objetivos de EUROPOL abarcarán también los delitos conexos, considerando delitos conexos a: a) los delitos cometidos con objeto de procurarse los medios para perpetrar actos en los que EUROPOL sea competente; b) los delitos cometidos para facilitar o perpetrar actos en los que EUROPOL sea competente; y c) los delitos cometidos para asegurar la impunidad de quienes cometen estos actos en los que EUROPOL sea competente. En cuanto a la ciberdelincuencia, debemos hacer mención al Centro Europeo contra el Cibercrimen de EUROPOL (EC3). El Europen Cybercrime Centre o EC3 fue creado en 2013 con el objetivo de constituirse como un elemento capital en la lucha contra la ciberdelincuencia en la Unión Europea. El EC3, que tiene su sede en La Haya, es un organismo de EUROPOL que tiene como propósito ser el centro coordinador de la lucha contra la ciberdelincuencia en la UE, dando apoyo estratégico y analítico tanto a los Estados miembros como a las Fuerzas y Cuerpos de Seguridad de los mismos. Las acciones ejecutadas por el centro están diseñadas para combatir la ciberdelincuencia en tres ámbitos distintos: a) Ciberdelitos de gran envergadura cometidos por grupos organizados, tales como el robo masivo de tarjetas o de cuentas bancarias. b) Ciberdelitos con daños graves a personas físicas, como son los delitos de pornografía infantil.

c) Ciberdelitos que afecten a las infraestructuras críticas y los sistemas de información tanto de empresas como de gobiernos dentro de la Unión. Cada año, el EC3 publica el Internet Organised Crime Threat Assessment (IOCTA) (Evaluación de la Amenaza de la Delincuencia Organizada en Internet), su principal informe estratégico sobre descubrimientos clave y amenazas emergentes y desarrollos en el ámbito de la ciberdelincuencia. En su último informe de 2017, el EC3 analiza la ciberdelincuencia como un modelo de negocio en constante crecimiento: el «Cybercrime-as-a-Service (CaaS)», el ciberdelito como servicio, en analogía al software como servicio, al cual nos hemos referido en el capítulo III de este libro.

2.3. Ámbito nacional En España, como no podía ser de otro modo, contamos en la actualidad con dos cuerpos expertos en la investigación y lucha contra la ciberdelincuencia dentro de la Policía Judicial: — la Unidad de Investigación Tecnológica de la Policía Nacional (UIT); y — el Grupo de Delitos Telemáticos de la Guardia Civil (GDT). 2.3.1. Unidad de Investigación Tecnológica de la Policía Nacional La UIT fue creada en 2013 y sustituye a la Brigada de Investigación Tecnológica (la BIT). Es una unidad perteneciente a la Policía Judicial especializada en la investigación de delitos cometidos a través de Internet.

El aumento de la ciberdelincuencia ha requerido que lo que antes era la Brigada de Investigación Tecnológica, cuyo origen data de 1995 (24) , haya pasado a conformar la actual Unidad de Investigación Tecnológica.

Sus principales funciones son: — la realización directa de las investigaciones especialmente complejas en relación con la ciberdelincuencia; — la coordinación de las operaciones que involucren a diversas jefaturas superiores; — la formación del personal del Cuerpo Nacional de Policía y otros cuerpos de policía extranjeros; y — la representación internacional y la ejecución y coordinación de las investigaciones que tengan su origen en otros países. La UIT se subdivide en: 1) la Brigada Central de Investigación Tecnológica, a la que le corresponde la investigación de las actividades delictivas relacionadas con la protección de los menores, la intimidad, la propiedad intelectual e industrial y los fraudes en las telecomunicaciones; y 2) la Brigada Central de Seguridad Informática, dependientes ambas de la Comisaría General de Policía Judicial, a la que se encomienda la investigación de las actividades delictivas que afecten a la seguridad lógica y a los fraudes. 2.3.2. Grupo de Delitos Telemáticos de la Guardia Civil El GTD está encuadrado dentro de la Unidad Central Operativa de la Guardia Civil (UCO) (25) , como unidad específica de Policía Judicial. Fue creado en 1996 con el

objetivo de investigar todos aquellos delitos que se cometen en Internet. En efecto, en 1996 su nombre era el de Grupo de Delitos Informáticos. Posteriormente, tras el aumento cuantitativo y cualitativo de los fraudes relacionados con las telecomunicaciones e Internet, en 1998 cambió su denominación por la de Departamento de Delitos de Alta Tecnología (DDAT). Pero en 2000 pasó a denominarse Departamento de Delitos Telemáticos, para finalmente en 2003 cambiar al vigente nombre de Grupo de Delitos Telemáticos (GDT), encuadrado dentro de la Unidad Central Operativa de la Guardia Civil.

Sus funciones principales son: — la investigación de la ciberdelincuencia; — el apoyo a los restantes departamentos y grupos de la Unidad Central Operativa; y — fomentar un uso seguro de las nuevas tecnologías a través de una función de formación y concienciación social sobre las amenazas de la Red. Asimismo, a nivel organizativo existen los Equipos de Investigación Tecnológica (EDITES) en cada una de las provincias españolas para dotar al Grupo de presencia en todo el territorio nacional.

3. LÍNEAS DE EVOLUCIÓN FUTURA En cuanto a la investigación penal, la medida más urgente reclamada por la mejor doctrina es la creación de una Policía Judicial dependiente del Ministerio Fiscal, tanto funcional como orgánicamente, siguiendo la tendencia comparada europea. La policía judicial debe escindirse radicalmente de la policía de seguridad, sin perjuicio de que los Cuerpos y Fuerzas de Seguridad colaboren cuando sean requeridos para ello. La Policía Judicial tiene que quedar

integrada orgánicamente y funcionalmente en el Ministerio Fiscal. La regulación de su estructura, su funcionamiento y el estatuto de su personal debe contenerse en una ley específica. Incluso se ha señalado que debe buscarse una nueva justicia penal, lo cual requiere la revisión de la carrera judicial, la redefinición del Ministerio Fiscal —más necesaria si está llamado a dirigir la investigación penal—, y la actualización normativa de la Policía Judicial. Importantes voces autorizadas (26) ha constatado que la influencia creciente de los informes policiales está provocando una desprocesalización de la fase de instrucción penal, especialmente en los casos más complejos de corrupción pública y privada, paralela a una desjudicialización del control sobre la evolución de la propia investigación. La concreción de las líneas de autoridad sobre el trabajo de la Policía Judicial es vista como una necesidad reclamada por el sistema de garantías que ampara a los justiciables y, además, para evitar confusiones en los papeles que corresponden a las distintas instituciones y órganos de la justicia penal. Más específicamente respecto a los ciberdelitos, de todo lo anterior se desprende que el principal obstáculo en la lucha eficaz contra la ciberdelincuencia es la falta de una cooperación transnacional ágil y eficaz, habida cuenta de que más de la mitad de todas las investigaciones penales necesitan de una solicitud transfronteriza para obtener pruebas electrónicas que obran en poder de prestadores de servicios establecidos en otro Estado miembro o fuera de la Unión Europea. A tal efecto, el 17 de abril de 2018 la Comisión Europea ha presentado sus nuevas propuestas para facilitar la recogida y admisibilidad en el proceso penal de la llamada prueba electrónica (e-evidence). Con ellas se pretende agilizar y asegurar la recogida de correos electrónicos, mensajes de

texto, información generada en las redes sociales y datos almacenados en la nube, entre otros materiales informáticos, por las autoridades policiales y judiciales de un Estado miembro para su posterior admisibilidad y valoración como prueba en un proceso penal transnacional. Por un lado, las propuestas se concretan en un nuevo Reglamento sobre la Orden Europea de Entrega (European Production Order) y sobre la Orden Europea de Conservación (European Preservation Order) para la prueba electrónica en materia penal (27) , además de un conjunto de garantías procesales que deben respetarse durante la emisión y ejecución de ambos instrumentos inspirados en el principio de reconocimiento mutuo. Con el futuro Reglamento, tanto la Orden de Investigación Europea (OIE) (28) como la Asistencia Legal Mutua (ALM) (29) continuarán existiendo, pero se dispondrá de una alternativa rápida para el caso específico de la prueba electrónica: la nueva Orden Europea de Entrega (OEE): a) La futura Orden Europea de Entrega permitirá a la autoridad judicial de un Estado miembro solicitar pruebas electrónicas (como correos electrónicos, textos o mensajes en aplicaciones) directamente a un prestador de servicios que ofrezca sus servicios en la Unión y esté establecido o representado en otro Estado miembro (independientemente de la ubicación de los datos), que tendrá la obligación de responder en un plazo de 10 días, y en un plazo de 6 horas en caso de urgencia (frente a los 120 días de la orden europea de investigación vigente o los 10 meses del procedimiento de asistencia judicial mutua). b) Por su parte, la nueva Orden Europea de Conservación habilitará a la autoridad judicial de un Estado miembro para obligar a un prestador de servicios que ofrezca sus servicios en la Unión y esté establecido o representado en otro Estado miembro a que conserve unos

datos específicos que permitan a la autoridad solicitar esa información más adelante, mediante la asistencia judicial mutua, una orden europea de investigación o una orden europea de presentación. c) Asimismo, la propuesta de Reglamento incluye varios Anexos o formularios para su uso normalizado en todo el territorio de la Unión. El Anexo I contiene el denominado EPOC (European Production Order Certificate), el Anexo II el llamado EPOC-PR (European Preservation Order Certificate) y el Anexo III un formulario que habrá de cumplimentarse ante la imposibilidad de ejecutar alguno de los dos anteriores. Por otro lado, la Comisión ha presentado una propuesta de Directiva sobre la designación de un representante legal por los proveedores de servicios que operan en el territorio de la Unión Europea (30) , con la finalidad de facilitar la recepción, cumplimiento y control en la aplicación de las resoluciones judiciales y órdenes emitidas por las autoridades competentes de los Estados miembros. En efecto, la futura Directiva busca asegurar que todos los prestadores de servicios digitales que ofrezcan servicios en la Unión Europea estén sujetos a las mismas obligaciones, aunque tengan su sede en un tercer país, y estarán obligados a nombrar un representante legal en la Unión para la recepción, el cumplimiento y el control de la aplicación de las resoluciones y órdenes emitidas por las autoridades competentes de los Estados miembros a fin de recabar pruebas en los procesos penales. Esta obligación de designar un representante legal para todos los prestadores de servicios que operan en la Unión garantizará que siempre haya un destinatario claro de las órdenes de obtención de pruebas en los procedimientos penales. Esto, a su vez, facilitará a los prestadores de servicios el cumplimiento de esas órdenes, ya que el

representante legal será el responsable de recibir, cumplir y hacer cumplir esas órdenes en nombre del prestador de servicios. Por lo demás, la ciberresiliencia es un factor clave para impedir la ciberdelincuencia, por lo que la ciberseguridad cobra también máxima prioridad, a lo cual destinaremos un capítulo independiente. Una vez expuesta la parte general de la investigación tecnológica, nos corresponde antes en el próximo capítulo examinar las distintas medidas en particular.

(1)

Los «actos de investigación», también denominados «medios de investigación», tienen por objeto descubrir lo sucedido; en definitiva, son los actos que tanto la Policía Judicial, el Ministerio Fiscal o el Juez de Instrucción están obligados a realizar para introducir el material de hecho en el proceso penal con objeto de logar la imputación y adoptar las oportunas medidas cautelares. Ello con independencia de que sean realizados por orden del juez competente o de oficio por la policía. Por otra parte, los «medios probatorios», o «medios de prueba», pretenden lograr la convicción del órgano judicial sentenciador sobre la preexistencia de los hechos y la participación en ellos de los acusados. Por ello, normalmente, estas pruebas se deben realizar en presencia del órgano judicial encargado del enjuiciamiento en la fase de juicio oral, si bien en la fase de instrucción se realiza un aseguramiento de las pruebas, para demostrar, en el juicio, la certeza de los hechos delictivos y la culpabilidad de los sujetos acusados. En definitiva, los primeros tienden a introducir los hechos en el proceso penal e intentar conocer los hechos con hipótesis probables de lo que ocurrió, mientras que los

segundos están destinados a lograr la convicción del juzgador, es decir, a convencer al mismo que los hechos trascurrieron tal y como afirma una de las partes. Ver Texto

(2)

La mayoría de tales actos de investigación coinciden con los medios de prueba, por ello las prescripciones legales referidas a los primeros son de aplicación supletoria en sus correlativos medios de prueba. Incluso no todos los autores distinguen dogmáticamente ambas categorías, no faltando académicos que consideran que tanto los actos de investigación como los actos de prueba son una modalidad de actos de introducción de hechos (GIMENO SENDRA). Ver Texto

(3)

La STS, Sala 2ª, de 31 de marzo de 2010 habla incluso de raquitismo o insuficiencia regulatoria. Ver Texto

(4)

Vid., por ejemplo, PÉREZ GIL, Julio (coord.), El proceso penal en la Sociedad de la Información, Editorial Wolters Kluwer, Madrid, 2012, y la bibliografía allí citada. Ver Texto

(5)

VELASCO NÚÑEZ, Eloy, Delitos tecnológicos: definición, investigación y prueba en el proceso penal, Editorial Sepin, Madrid, 2016, pág. 67 y ss. Ver Texto

(6)

El TEDH en el precitado caso Valenzuela Contreras c. España concreta las exigencias mínimas relativas al contenido o «calidad» de la ley procesal interna en las siguientes: «...la definición de las categorías de personas susceptibles de ser sometidas a escucha judicial; la naturaleza de las infracciones susceptibles de poder dar lugar a ella; la fijación de un límite a la duración de la ejecución de la medida; el procedimiento de transcripción de las conversaciones interceptadas; las precauciones a observar, para comunicar, intactas y completas, las grabaciones realizadas a los fines de control eventual por el juez y por la defensa; las circunstancias en las cuales puede

o debe procederse a borrar o destruir las cintas, especialmente en caso de sobreseimiento o puesta en libertad». Ver Texto

(7)

Hay que considerar ilegal la práctica de adoptar esta medida sin haber abierto un verdadero procedimiento penal, dentro de unas llamadas «diligencias indeterminadas» que pretenden legitimarse vulnerando el sentido y finalidad del art. 269 LECrim, pues este precepto se limita a facultar a los órganos judiciales para abstenerse de todo procedimiento cuando el hecho denunciado no revistiere caracteres de delito o la denuncia fuera manifiestamente falsa (vid. Auto de la Sala de lo Civil y Penal del TSJ de Valencia de 10 junio 1991 y Auto de la Sala 2ª del Tribunal Supremo de 18 junio 1992, caso Naseiro, que es el origen de esta jurisprudencia, pues realizó un completo análisis de los requisitos exigibles a fin de que las escuchas telefónicas fuesen válidas y, por tanto, aptas para servir de base de una sentencia condenatoria. Con posterioridad han sido muchas las resoluciones que se han dictado por el TS, así como por el TC, que se han remitido a la importante doctrina sentada por ese Auto de 18 de junio de 1992). Ver Texto

(8)

La referencia que en el art. 588 bis a) LECrim se hace a la «trascendencia social del hecho» como factor de ponderación de los intereses en liza a la hora de autorizar una medida de investigación tecnológica tiene su previo origen jurisprudencial. De esta jurisprudencia cabe destacar la STS, Sala 2ª, de 23 de marzo de 2015, casando y anulando una absolución pronunciada por la Audiencia Provincial de Palma de Mallorca tras el enjuiciamiento de una organización de tráfico de drogas en torno al poblado de Son Banya de la capital mallorquina, trama que fue objeto de la operación Kabul. Por el TS se estiman suficientes los indicios despreciados por el tribunal a quo para la interceptación de las comunicaciones, estableciendo una valoración razonable y conjunta del material probatorio aportado por los investigadores policiales al Juez de

Instrucción, incluyendo la afirmación de que las noticias de tráfico a gran escala que poseía la policía «...no son sorprendentes, pues se refieren a varios de los narcotraficantes más notoriamente conocidos (...) incuso por la opinión pública común de Mallorca: que varios de ellos han sido condenados por actividades como las que se va a investigar(...)». Ver Texto

(9)

Obsérvese por tanto que los únicos criterios para decidir si estamos ante una medida proporcionada ya no son la gravedad del hecho ni la trascendencia social del mismo, sino que la reforma de 2015 los aumenta y los adapta mejor a la realidad. Ver Texto

(10) ASENCIO MELLADO, José María, Prueba prohibida y prueba preconstituida, Editorial Trivium, Madrid, 1989. Ver Texto

(11) GUARIGLIA, Fabricio, «Las prohibiciones de valoración probatoria en el procedimiento penal», en Jueces para la democracia, No 26, 1996. Ver Texto

(12) Un minucioso comentario puede verse en RICHARD GONZÁLEZ, Manuel, «Licitud y validez de la prueba obtenida por particulares en el proceso penal: Comentario a la STS 116/2017 de 23 de febrero que declara la validez de la "Lista Falciani" para fundar una condena por delito fiscal», Diario La Ley, No 8946, 2017. Ver Texto

(13) La Lista Falciani, con los datos de los contribuyentes españoles, se entregó a la Agencia Tributaria española por parte de la Administración francesa el 24 de mayo de 2010 cuando estaba próximo el plazo de prescripción de las posibles infracciones tributarias. Nuestra AEAT realizó un procedimiento de gestión para requerir a 558 obligados tributarios que figuraban en los listados para que presentasen declaración complementaria de Impuesto sobre

la Renta y/o el Patrimonio, lo que realizaron un total de 293. Quienes no respondieron al requerimiento fueron incluidos en el Plan de Inspección para la comprobación tributaria y frente a algunos se ejercitaron acciones penales. Así, en muchos casos se han producido regularizaciones fiscales, mientras que en otros se ha iniciado la vía judicial. En cualquier caso, desde el inicio de las actuaciones de la Administración del Estado, ya sean administrativas o judiciales, con base en los datos contenidos en la señalada lista se ha venido planteado el debate sobre la licitud de su admisión como prueba teniendo en cuenta el origen irregular de la misma, ya que no se obtuvo mediante los mecanismos usuales de intercambio de información de datos fiscales, sino mediante la poco aclarada sustracción de los datos por un empleado de la filial suiza del banco HSBC. En cualquier caso, la Administración de Justicia española nunca podría haber obtenido los datos fiscales de una relación de ciudadanos de la magnitud contenida en la lista en tanto que la entrega de datos fiscales en países extranjeros suele exigir la acreditación de haberse iniciado un procedimiento de investigación en España y, por tanto, la petición es nominal, haciendo referencia al concreto obligado tributario. Ver Texto

(14) Pues bien, dice la Sentencia, «...la Sala entiende que la posibilidad de valoración de una fuente de prueba obtenida por un particular con absoluta desconexión de toda actividad estatal y ajena en su origen a la voluntad de prefabricar pruebas, no necesita ser objeto de un enunciado legal que así lo proclame. Su valoración es perfectamente posible a la vista de la propia literalidad del vigente enunciado del art. 11 de la LOPJ y, sobre todo, en atención a la idea de que, en su origen histórico y en su sistematización jurisprudencial, la regla de exclusión sólo adquiere sentido como elemento de prevención frente a los excesos del Estado en la investigación del delito. Esta idea late en cuantas doctrinas han sido formuladas en las últimas décadas con el fin de restringir el automatismo de la regla de exclusión. Ya sea acudiendo a las excepciones de buena fe, de la fuente independiente o de la conexión

atenuada, de lo que se trata es de huir de un entendimiento que, por su rigidez, aparte la regla de exclusión de su verdadero fundamento. La prohibición de valorar pruebas obtenidas con vulneración de derechos fundamentales cobra su genuino sentido como mecanismo de contención de los excesos policiales en la búsqueda de la verdad oculta en la comisión de cualquier delito...». Ver Texto

(15) Además, como bien señala la Sentencia, «...hay que sopesar igualmente que en la declaración de nulidad de un medio probatorio están implicadas con frecuencia cuestiones fácticas que pueden estar precisadas de prueba específica. Muchas veces solo tras el desarrollo de la actividad probatoria existirán elementos de juicio suficientes para concluir si un medio de prueba era lícito o no y declarar su ilegalidad. En el debate preliminar del procedimiento abreviado no hay posibilidad de práctica de prueba, sino tan solo de efectuar alegaciones: por eso cuando la decisión ante la impugnación por ilegal de un medio de prueba no dependa exclusivamente de consideraciones jurídicas, tan solo se podrá contestar difiriendo la solución a la sentencia. Y tanto en el incidente del art. 36 Ley Orgánica 5/1995, de 22 de mayo, del Tribunal del Jurado, como en los artículos de previo pronunciamiento del procedimiento ordinario, la práctica de prueba se ciñe a la documental, que puede resultar insuficiente para solventar estas cuestiones». Ver Texto

(16) VELASCO NÚÑEZ, Eloy, Delitos tecnológicos: definición, investigación y prueba en el proceso penal, op. cit., pág. 75. Ver Texto

(17) Vid. SSTC 259/2005, de 24 de octubre y 167/2002, de 18 de septiembre; así como SSTS, Sala 2ª, de 11 de mayo de 2001, de 19 de mayo de 2000 y de 27 de noviembre de 1998. Ver Texto

(18) «En los procesos incoados a raíz de la deducción de testimonios de una causa principal, la simple alegación de que el acto jurisdiccional limitativo del derecho al secreto de las comunicaciones es nulo, porque no hay constancia legítima de las resoluciones antecedentes, no debe implicar sin más la nulidad. En tales casos, cuando la validez de un medio probatorio dependa de la legitimidad de la obtención de fuentes de prueba en otro procedimiento, si el interesado impugna en la instancia la legitimidad de aquel medio de prueba, la parte que lo propuso deberá justificar de forma contradictoria la legitimidad cuestionada. Pero, si, conocido el origen de un medio de prueba propuesto en un procedimiento, no se promueve dicho debate, no podrá suscitarse en ulteriores instancias la cuestión de la falta de constancia en ese procedimiento de las circunstancias concurrentes en otro relativas al modo de obtención de las fuentes de aquella prueba.» Ver Texto

(19) ZARAGOZA TEJADA, Javier Ignacio (coord.), Investigación tecnológica y derechos fundamentales, Editorial Aranzadi, Pamplona, 2017, pág. 186. Ver Texto

(20) SÁNCHEZ MELGAR, Julián, La nueva regulación de las medidas de investigación tecnológica, Estudio de su Parte General. Editorial SEPIN, Madrid, 2016, pág. 67. Ver Texto

(21) VELASCO NÚÑEZ, Eloy, Delitos tecnológicos: definición, investigación y prueba en el proceso penal, op. cit., pág. 98. Ver Texto

(22) BARRIO ANDRÉS, Moisés, Derecho Público y propiedad intelectual: su protección en Internet, Editorial Reus, Madrid, 2017. Ver Texto

(23) La creación de una Oficina Europea de Policía (EUROPOL) se acordó en el Tratado de la Unión Europea, de 7 de febrero de 1992, y se reguló en el denominado como Convenio EUROPOL por el que se crea una Oficina Europea de Policía al amparo del artículo K.3 del Tratado de la Unión Europea. El Convenio EUROPOL ha sido objeto de varias propuestas de modificación, y luego este Convenio fue sustituido por la Decisión del Consejo de la Unión Europea 2009/371/JAI. Finalmente, el artículo 88 del Tratado de Funcionamiento de la Unión Europea (TFUE) establece que EUROPOL se regirá por un Reglamento adoptado con arreglo al procedimiento legislativo ordinario. También requiere que se fije el procedimiento de control de las actividades de EUROPOL por el Parlamento Europeo, control en el que participarán los parlamentos nacionales. Así las cosas, la Decisión 2009/371/JAI se ha sustituido por el vigente Reglamento de 2016. Ver Texto

(24) A su vez, procede del Grupo de Delitos Informáticos en el seno de la Brigada de Delincuencia Económica y Financiera de la Comisaría General del Policía Judicial, tratando de dar respuesta a los ataques y vulneraciones de derechos que empezaba a plantear la piratería de software y determinadas estafas bancarias en Internet a partir de su fundación en 1995. En el año 2000 se creó la Unidad de Investigación de la Delincuencia en Tecnologías de la Información, denominación que finalmente fue modificada en 2002 por la de Brigada de Investigación Tecnológica. Ver Texto

(25) La UCO, como unidad específica de Policía Judicial, tiene como misión investigar y perseguir los asuntos relacionados con la delincuencia organizada, económica, internacional y aquella otra cuyas especiales características así lo aconsejen; así como el establecimiento y mantenimiento del enlace, coordinación y colaboración con otros servicios afines, nacionales e internacionales. Ver Texto

(26) Vid., por ejemplo, una buena síntesis del diagnóstico y propuestas de reforma en el documento «Bases de un nuevo modelo de justicia penal», elaborado por el Grupo de Trabajo de FIDE el 8 de mayo de 2018. Ver Texto

(27) COM(2018) 225 final. Ver Texto

(28) Vid. Directiva 2014/41/CE del Parlamento Europeo y del Consejo, de 3 de abril de 2014, relativa a la orden europea de investigación en materia penal. También Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión Europea, modificada por Ley 3/2018, de 11 de junio. Ver Texto

(29) Vid. Convenio relativo a la asistencia judicial en materia penal entre los Estados miembros de la Unión Europea, celebrado por el Consejo de conformidad con el artículo 34 del Tratado de la Unión Europea, de 29 de mayo de 2000. Ver Texto

(30) COM(2018) 226 final. Ver Texto

Capítulo XIV  Las distintas medidas de investigación tecnológica para los ciberdelitos Como ya sabemos, la escasa y deficitaria regulación contenida en la Ley de Enjuiciamiento Criminal de las medidas de investigación tecnológica limitativas de los derechos fundamentales reconocidos en el art. 18 de la Constitución, que abocaba al cuestionamiento continuo de cualquier injerencia en los mismos, incluso mediando autorización judicial, por vulneración del principio de legalidad que debe presidir la actividad instructora, ha sido subsanada por la Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica, en la que se contemplan diversos medios de investigación hasta ahora inéditos (ej.: instalación de escuchas ambientales, «troyanos espías», agente encubierto informático, etc.), que analizaremos en el presente capítulo. Esta reforma incorpora prácticamente el articulado del proyecto de Código Procesal Penal de 2013 y es en muy buena medida heredera de la labor jurisprudencial realizada durante años en este contexto. La generalidad de la

doctrina coincide en valorar positivamente la regulación de estas concretas medidas de investigación, muchas de las cuales, hasta que no ha entrado en vigor la norma, permanecían sumidas en la más absoluta indigencia jurídica, lo que repercutía muy negativamente en la investigación y represión de las nuevas formas de criminalidad, y por supuesto a los delitos 2.0. Y ello porque cada vez resulta más difícil probar una estafa, unas amenazas o un delito de pornografía infantil, cuando se cometen por Internet; e incluso los mismos delitos de tráfico de drogas o relacionados con la corrupción (cohecho, prevaricación, tráfico de influencias), pues sus autores, para su actividad delictiva, hablan entre sí cada vez menos por teléfono y fundamentalmente operan en la Red, se coordinan directamente, o bien utilizan otras vías de comunicación (SMS, WhatsApp, correo electrónico, etc.). Pero es que incluso, cuando se utilizaban nuevas técnicas para detectar huellas del crimen, como la colocación de balizas de seguimiento a un vehículo, o de aparatos de escucha para grabar las conversaciones ambientales y directas de los sospechosos, la validez de la prueba obtenida se hallaba siempre en cuestionamiento por ausencia de una concreta previsión legal, aunque contase con autorización y supervisión judiciales, de ahí la urgencia de colmar esta clamorosa laguna a la que aludíamos en el capítulo anterior. Siendo la nueva regulación bastante meritoria, no por eso deja de presentar defectos e insuficiencias, a las que oportunamente aludiremos a lo largo de nuestra exposición, incorporando asimismo la más reciente jurisprudencia recaída al efecto para proponer soluciones al respecto. Sin más dilación, abordaremos seguidamente su examen individualizado.

Ó

1. LAS DILIGENCIAS DE INVESTIGACIÓN TECNOLÓGICA EN PARTICULAR Como ya quedó apuntado, estas diligencias de investigación tecnológica son fruto de la reforma de 2015. Como señala el Preámbulo de la Ley Orgánica 13/2015, «los flujos de información generados por los sistemas de comunicación telemática advierten de las posibilidades que se hallan al alcance del delincuente, pero también proporcionan poderosas herramientas de investigación a los poderes públicos». Se trata, por tanto, de utilizar las mismas herramientas, las que proporciona la tecnología presente, para luchar eficazmente contra la ciberdelincuencia, casi siempre muy bien organizada y que incluso se utilizan con fines terroristas. Algunos de los nuevos actos de investigación tecnológicos representan un nivel tan alto de agresión en la esfera personal y privada del ciudadano sospechoso de haber cometido el delito que, a juicio de un sector doctrinal, constituye el advenimiento de un nuevo Estado marcadamente policial, o incluso de la dictadura tecnológica. Ante este panorama, al Estado no le ha quedado más remedio, para poder luchar con eficacia contra la ciberdelincuencia, que ponerse a su altura con los mismos medios para contrarrestarla, aunque para conseguirlo tenga que afectar a la vida privada de las personas. De ahí las minuciosas cautelas que la LECrim introduce mediante la previsión de unos principios rectores, ya expuestos en el capítulo anterior, y la exigencia de cumplimiento de unos requisitos garantistas que examinaremos en el estudio de cada una de las diligencias, que pueden clasificarse del siguiente modo: Diligencia

Artículo de la LECrim

Artículo de la LECrim

Diligencia Interceptación de las telefónicas y telemáticas

comunicaciones

Incorporación al proceso de electrónicos de tráfico o asociados

datos

588 ter a) y ss. 588 ter j)

Acceso a los datos necesarios para la identificación de usuarios, terminales y dispositivos de conectividad

588 ter k) y ss.

Captación y grabación de comunicaciones orales mediante la utilización de dispositivos electrónicos

588 quater a) y ss.

Utilización de dispositivos técnicos de captación de la imagen, de seguimiento y de localización

588 quinquies a) y ss.

Registro de dispositivos de almacenamiento masivo de información

588 sexies a) y ss.

Registros remotos informáticos

588 septies a) y ss.

sobre

equipos

Agente encubierto informático

282 bis

Seguidamente comenzaremos la exposición principiando por la interceptación de las comunicaciones telefónicas y telemáticas.

1.1. Interceptación de las telefónicas y telemáticas

comunicaciones

La tradicional intervención de las comunicaciones telefónicas, antes regulada en el parco, obsoleto y tan denostado art. 579 LECrim, tras la reforma procesal de 2015 pasa a denominarse «interceptación de las comunicaciones telefónicas y telemáticas» (1) y se regula en el nuevo capítulo V del título VIII del libro II de la Ley de

Enjuiciamiento Criminal, que comprende los arts. 588 ter a) al 588 ter m) LECrim. Constituye, por tanto, un desarrollo específico y muy relevante del derecho al secreto de las comunicaciones consagrado en el art. 18.3 de la Constitución. La medida afecta a todos los medios de comunicación posibles a través del teléfono o telemáticamente —o también puede decirse electrónicamente— (tanto los conocidos hoy como los que en el futuro puedan incorporarse al mercado), ya que la LECrim con gran acierto no aporta una definición para no congelar en la norma el estado actual de la tecnología, que pronto será superado por nuevas aplicaciones y sistemas de comunicaciones. Tampoco se hace preciso delimitar (2) ambos tipos de comunicaciones puesto que la regulación es prácticamente común, donde lo prioritario es garantizar el respeto al secreto de las comunicaciones privadas por medios tecnológicos. Ahora bien, lo que caracteriza a las mismas es que tales comunicaciones están intermediadas a través de un operador de telecomunicaciones, proveedor de servicios de Internet (ISP) o plataforma digital, que formalmente las canaliza, protege y excluye de terceros a través de un canal cerrado. Finalmente, la comunicación se singulariza porque el interlocutor quiere excluir a terceros de su contenido. De este modo, las comunicaciones que se producen entre máquinas (M2M), como sucede entre los dispositivos del Internet de las Cosas (IoT), y aunque aportan rastros de privacidad de sus usuarios, e incluso, como apunta VELASCO NÚÑEZ (3) , todas las comunicaciones no intermediadas por un tercero, como ocurre con el bluetooth, las conversaciones de radioaficionados por emisoras o las que se realizan a través de walkie-talkie no están protegidas por un derecho fundamental que residencia su protección jurídica reforzada

en la capacidad de exclusión del conocimiento de terceros de la información que se transmite. En consecuencia, lo esencial no es que la comunicación pueda con mayor o menor dificultad ser interceptada técnicamente, sino que se trate de las que el usuario medio quiera razonablemente excluir del conocimiento de terceros en una expectativa razonable de privacidad, aunque la técnica que se emplee no sea perfecta y rotunda. Así, una llamada telefónica que se cursa desde un teléfono móvil en un espacio público que necesariamente la escuchan terceros allí presentes no es una comunicación protegida porque su autor renuncia a su intimidad al hablar en público, y sí lo podría ser la realizada entre dos coches patrulla policiales mediante una emisora de radiofrecuencia, aunque técnicamente su interceptación es bastante sencilla.

Por interceptación debe entenderse el tomar conocimiento por la autoridad judicial o la policial por su delegación de comunicaciones telefónicas (verbales), en cualquiera de los medios posibles, o telemáticas (escritas), igualmente sea cual fuere el programa utilizado, mediante el uso de aparatos configurados técnicamente para ello, entre dos o más personas que desconocen la interceptación y que se encuentran separadas entre sí. Y puede consistir, según se acuerde en el auto judicial que autorice la medida, bien en la escucha o grabación de las conversaciones, bien en el simple control de las llamadas realizadas a (o desde) un aparato de teléfono, o de las comunicaciones que se emitan o reciban desde un terminal telemático. Antes de la reforma de 2015, ya el TS había tenido ocasión de pronunciarse sobre la utilización como prueba de conversaciones usando redes sociales (como Tuenti, Facebook o Twitter) o la utilización de mensajes mediante el medio más utilizado en España, el WhatsApp, admitiendo su validez con cautela y dados ciertos requisitos, tanto mediante aportación directa de los mismos como mediante la llamada coloquialmente técnica del «pantallazo» o foto de pantalla que se incorpora como

documento gráfico (SSTS, Sala 2ª, de 19 de mayo de 2015 o de 26 de noviembre de 2014).

A estos efectos, se entenderá por datos electrónicos de tráfico o asociados todos aquellos que se generan como consecuencia de la conducción de la comunicación a través de una red de comunicaciones electrónicas, de su puesta a disposición del usuario, así como de la prestación de un servicio de la Sociedad de la Información o comunicación telemática de naturaleza análoga (art. 588 ter b).2 LECrim). La intervención y el acceso puede ser al contenido de las comunicaciones, pero también limitarse a los datos electrónicos de tráfico o asociados al proceso de comunicación, así como a los que se produzcan con independencia del establecimiento de una comunicación (conocer la ubicación de un terminal o los desplazamientos que ha realizado su usuario), en los que participe el sujeto investigado, como emisor o como receptor (art. 588 ter b) LECrim). Al regular el contenido de la solicitud de autorización precisa la LECrim el ámbito qué puede comprender esta medida, que iría desde el registro y grabación del contenido de la comunicación, y las comunicaciones a las que afecta; pasando por el conocimiento del origen o destino en el momento en que la comunicación se realiza; la localización geográfica del origen o destino de la comunicación, o bien el conocimiento de otros datos de tráfico asociados o no asociados a la comunicación, de valor añadido (art. 588 ter.d) LECrim). Obsérvese que la autorización judicial por tanto no sólo debe referirse a las conversaciones que se produzcan desde un terminal o terminales o desde medios de comunicación concretos, sino también a los datos electrónicos de tráfico o asociados al proceso de comunicación, es decir, que no sólo se graban las conversaciones de un teléfono, por ejemplo,

sino que también se puede exigir del operador de telecomunicaciones que señale dónde está el teléfono o el usuario investigado en el momento de producirse la interceptación (localización geográfica o geolocalización). La red utilizada puede ser tanto pública (wi-fi, red de telefonía móvil, Internet), como privada (por ejemplo, las redes tipo Tor, que favorecen el anonimato de quienes las usan). Asimismo, como prevé el art. 588 ter c) LECrim, estas medidas puedan llegar a afectar no sólo a la persona investigada, sino también a terceros titulares o usuarios de terminales cuando exista constancia de que el investigado se sirve de estos terminales o medios de comunicación o el tercero colabora con el investigado o se beneficia de su actividad, o cuando el dispositivo esté siendo utilizado maliciosamente por terceros por vía telemática, sin conocimiento de su titular (esto es, por un ciberdelincuente que ha tomado su control y lo utiliza para encubrir su rastro). En definitiva, lo que se pretende con las intervenciones puede ser evitar la comisión del delito que se planeaba por teléfono o medios telemáticos —muy excepcionalmente en la práctica—, conocer el modus operandi de los delincuentes y la identidad de los partícipes de un delito ya perpetrado — más habitualmente— u obtener pruebas propiamente dichas del hecho delictivo y la autoría de sus responsables — menos frecuente—. Esto nos lleva a la distinción acostumbrada en la jurisprudencia entre las intervenciones telefónicas y telemáticas como medio de investigación y como fuente de prueba (4) . A continuación, pasamos a exponer su régimen general. 1.1.1. Régimen general Al afectar al derecho fundamental al secreto de las comunicaciones, esta medida exige la concurrencia de unos

requisitos, que pueden clasificarse siguiendo a GÓMEZ COLOMER (5) en constitucionales y de legalidad ordinaria, produciendo esta distinción importantes consecuencias prácticas como tendremos ocasión de comprobar. A)

Requisitos constitucionales

La repercusión de atribuir a un requisito naturaleza constitucional radica en que el menoscabo del mismo supone la aplicación del art. 11.1 de la LOPJ, con lo que no surtirán efecto las pruebas obtenidas, directa o indirectamente, vulnerando el derecho del art. 18.3 CE, además de abrirse la posibilidad del amparo constitucional. Veámoslos a continuación. a) Exclusividad jurisdiccional Ya sabemos que esta medida sólo puede acordarla el juez competente. Se prevé con carácter general en el art. 588 bis c) LECrim y también lo confirma para este acto concreto de investigación el art. 588 ter d) LECrim. La única excepción, ya señalada, se produce en el caso de delitos relacionados con la actuación de bandas armadas o elementos terroristas y siempre en caso de urgencia, que habilita para ello al Ministro de Interior o al Secretario de Estado de Seguridad exclusivamente en los arts. 579.3 (para la correspondencia escrita o telegráfica) y 588 ter d).3 LECrim (para las comunicaciones telefónicas y telemáticas), que se comunicará inmediatamente al juez competente y, en todo caso, dentro del plazo máximo de 24 horas, haciendo constar las razones que justificaron la adopción de la medida, la actuación realizada, la forma en que se ha efectuado y su resultado. El juez competente, también de forma motivada, revocará o confirmará tal actuación en un plazo máximo de 72 horas desde que la medida fue ordenada.

Es cierto que tal excepción tiene su cobertura constitucional en el art. 55.2 CE en relación con las investigaciones correspondientes a la actuación de bandas armadas o elementos terroristas, pero también es verdad que la medida puede prestarse a abusos ya cometidos en el pasado, y por ello la generalidad de la doctrina ha criticado su mantenimiento por la reforma de 2015. No obstante, este tipo de medidas cuenta con respaldo en la STEDH Taraneks c. Letonia, de 2 de diciembre de 2014, donde la interceptación telefónica que permite el Código Procesal de Letonia la autoriza un fiscal, en tanto en cuanto el control a posteriori de la autoridad judicial no se limite a una mera dación de cuenta, o un simple placet o toma de razón por ésta. b) Resolución judicial La resolución judicial debe ser motivada y, por tanto, es un auto. El auto es necesario tanto para decretar la intervención como para prorrogarla. Dispone el art. 588 ter d).1 de la LECrim que, para que sea posible obtener esa autorización, deberá solicitarse al juez previamente por escrito tal diligencia, y la solicitud deberá contener, además de los requisitos mencionados en el artículo 588 bis b) LECrim, los siguientes: a) la identificación del número de abonado, del terminal o de la etiqueta técnica; b) la identificación de la conexión objeto de la intervención; o c) los datos necesarios para identificar el medio de telecomunicación de que se trate. Y el apartado 2 del precepto fija la posible extensión de la medida:

a) El registro y la grabación del contenido de la comunicación, con indicación de la forma o tipo de comunicaciones a las que afecta. b) El conocimiento de su origen o destino, en el momento en el que la comunicación se realiza. c) La localización geográfica del origen o destino de la comunicación. d) El conocimiento de otros datos de tráfico asociados o no asociados pero de valor añadido a la comunicación. En este caso, la solicitud especificará los datos concretos que han de ser obtenidos. Lo anterior debe ser completado con unas precisiones adicionales en cuanto a la motivación exigida. Aunque la jurisprudencia ha validado hasta ahora la utilización de modelos impresos (STS, Sala 2ª, de 2 de febrero de 1998), esta práctica supone la negación misma de lo que es una verdadera motivación. Con la reforma de 2015 está posibilidad está absolutamente prohibida. También se ha admitido hasta la fecha la llamada motivación por remisión, esto es, entender que el auto está motivado cuando las razones de la decisión se encuentran en la solicitud de la policía o del fiscal, a la que se remite el auto (STC 49/1999, de 5 de abril). Tras la reforma de 2015 tampoco es posible seguir utilizando esta práctica. La verdadera motivación exige que el auto explique los indicios de responsabilidad criminal que justifican una limitación tan grave de un derecho fundamental; se trata de que existan hechos concretos desde los que pueda razonablemente concluirse que se ha cometido un delito que ha de sospecharse razonablemente que ha sido perpetrado por persona determinada (lo que excluye las

meras conjeturas y, sobre todo, la «pesquisa», es decir, el salir a la búsqueda de un delito, de cualquier delito). c) Medida excepcional Al tratarse de un sacrificio a un derecho fundamental, constituye una medida de utilización excepcional sujeta a los principios de legalidad, especialidad, idoneidad, excepcionalidad, necesidad y proporcionalidad a los cuales antes hemos hecho referencia en el capítulo anterior, lo cual hace que la medida a adoptar sea legítima desde el punto de vista constitucional. En cuanto a su aplicación aquí, cabe realizar una serie de consideraciones adicionales. La especialidad exige que el auto haya de especificar los indicios, el delito que de los mismos se desprende y la persona que aparece como sospechosa de ser la autora del mismo. Por eso la reforma recoge este contenido, entre otros contenidos, en el nuevo art. 588 bis c).3 LECrim, configurado como requisito general de todos los actos de investigación tecnológica, a cuyo contenido habrá que añadir el propio de esta medida tratado aquí. La cuestión más problemática que se presenta en la práctica es la del descubrimiento de hechos casuales o descubrimiento inevitable, esto es, el que al estar investigando un delito y a una persona determinada, se intervenga una conversación por la que se conoce otro delito con autor diferente. Nos remitimos a lo ya señalado en el capítulo anterior respecto de los descubrimientos casuales. La necesidad de la medida supone que la intervención tiene que ser el único medio por el que puede descubrirse la existencia del delito o sus circunstancias o, por lo menos, el medio por el que se sacrifican menos los derechos fundamentales del investigado (recordemos que es un principio rector, fijado en el art. 588 bis a).5 LECrim). En último caso la necesidad tiene que referirse a que los otros

posibles medios de investigación de un determinado delito y de una concreta persona no ofrecen garantías de alcanzar la finalidad perseguida. La proporcionalidad de la misma ahora se contempla específicamente en el nuevo art. 588 ter a) LECrim, al disponer que la autorización para la interceptación de las comunicaciones telefónicas y telemáticas solo podrá ser concedida cuando la investigación tenga por objeto alguno de los delitos a los que luego nos referiremos y que enuncia el precepto. Por tanto, el legislador ha recortado la arbitrariedad judicial al vincular la medida a ciertos delitos tasados (numerus clausus). d) Contradicción Las partes tendrán acceso a las grabaciones, puesto que a la causa únicamente interesa el contenido directamente relacionado con el hecho criminal investigado, lo que sucederá, de acuerdo con el art. 588 ter i).1y 2 LECrim, una vez alzado el secreto y expirada la vigencia de la medida. Para ello, se les entregará copia de las grabaciones y de las transcripciones realizadas. Si en la grabación hubiera datos referidos a aspectos de la vida íntima de las personas, solo se entregará la grabación y transcripción de aquellas partes que no se refieran a ellos. La no inclusión de la totalidad de la grabación en la transcripción entregada se hará constar de modo expreso. Frente a ello las partes pueden, una vez examinada la grabación, solicitar la inclusión en las copias de aquellas comunicaciones que entiendan relevantes y hayan sido excluidas. El Juez de Instrucción, oídas o examinadas por sí esas comunicaciones, decidirá sobre su exclusión o incorporación a la causa. No está prevista una audiencia para ello, y es obvio que las partes también pueden pedir la exclusión de contenidos, aunque tampoco esté contemplado en la LECrim.

B)

Requisitos de legalidad ordinaria

La explicación de los requisitos de legalidad ordinaria requiere distinguir entre aquéllos que afectan a la fase de instrucción y aquellos otros que determinan cómo se practica la prueba en el juicio oral, lo cual realizaremos en la letra siguiente. En la instrucción la medida de intervención que venimos examinando puede ser un acto de investigación, por medio del que se pretende averiguar la perpetración del delito, con todas sus circunstancias y el autor del mismo, pero la medida ha de realizarse de modo que tienda también a preparar el juicio oral, descubriendo fuentes de prueba y, a veces, preconstituyendo prueba. Lo que nos importa aquí no es tanto el acto de investigación, como la forma de realizar la intervención para que pueda llegar a surtir efectos probatorios en el juicio oral.

a) Presupuestos De acuerdo con el art. 588 ter a) de la LECrim, la adopción de esta medida solo podrá ser concedida cuando la investigación tenga por objeto alguno de los siguientes delitos: — delitos dolosos castigados con penas de prisión de, al menos, 3 años; — delitos cometidos en el seno de un grupo u organización criminal; — delitos de terrorismo; y — ciberdelitos, es decir, delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación. Por alcanzar al menos 3 años de prisión la pena máxima prevista, en atención sólo a su gravedad, se relacionan a continuación, sin ánimo de completa exhaustividad, los

delitos susceptibles de ser investigados intervención de las comunicaciones:

mediante

— homicidio (arts. 138 y ss. CP); — inducción al suicidio (art. 143 CP); — aborto (art. 144 y 145 CP); — lesiones (art. 147 y ss. CP); — tráfico ilegal de órganos (art. 156 bis CP); — lesiones al feto (art. 157 CP); — manipulación genética (arts. 159 y ss. CP); — detenciones ilegales y secuestros (arts. 163 y ss. CP); — amenazas (arts. 169 y ss. CP); — matrimonios forzados (art. 172 bis CP); — violencia doméstica habitual (art. 173.2 CP); — torturas (art. 174 CP); — contra la integridad moral (art. 175 CP); — trata de seres humanos (art. 177 bis CP); — agresiones sexuales (arts. 178 y ss. CP); — abusos sexuales (arts. 181 y ss. CP); — relativos a la prostitución (arts. 187 y ss. CP); — descubrimiento y revelación de secretos (arts. 197 y ss. CP); — sustracción de menores (art. 225 bis CP); — abandono de menores (art. 229.2 y 3 CP); — hurtos agravados (art. 235 CP); — robo (arts. 237 y ss. CP); — extorsión (art. 243 CP); — estafa y apropiación indebida (arts. 248 y ss. CP);

— frustración de la ejecución o alzamiento de bienes (arts. 258 y ss. CP); — insolvencia punible (arts. 259 y ss. CP); — alteración de precios en concursos y subastas públicas (art. 262 CP); — daños cualificados (arts. 263.2, 265 y 266 CP); — daños informáticos y sabotajes (arts. 264 y ss. CP); — contra la propiedad intelectual e industrial (arts. 270 y ss. CP); — relativos al mercado y los consumidores (arts. 278 y ss. CP); — corrupción en los negocios (arts. 286 bis y ss. CP); — delito societario (arts. 290 y ss. CP); — receptación agravada (art. 298.2 CP); — blanqueo de capitales (arts. 301 y ss. CP); — financiación ilegal de partidos políticos (art. 304 ter CP); — contra la Hacienda Pública y la Seguridad Social (arts. 305 y ss. CP); — contra los derechos de los trabajadores (arts. 311 y ss. CP); — tráfico de mano de obra e inmigración ilegal (arts. 312 y 313 CP); — contra los derechos de los ciudadanos extranjeros (art. 318 bis.3 CP); — contra la ordenación del territorio y urbanístico (arts. 319 y 320 CP); — delitos sobre el patrimonio histórico (arts. 321 y ss. CP); — contra el medio ambiente (art. 325 y ss. CP); — delitos de riesgo catastrófico (arts. 341 y ss. CP);

— contra la salud pública y tráfico de drogas (arts. 359 y ss. CP); — conducción temeraria (art. 381.1 CP); — falsificación de moneda (arts. 386 y ss. CP); — falsedades documentales (arts. 390 y ss. CP); — usurpación del estado civil (art. 401 CP); — usurpación de funciones públicas (art. 402 CP); — abandono de destino (art. 407 CP); — infidelidad en la custodia de documentos (art. 413 CP); — revelación de secretos con grave daño para la causa pública (arts. 417 y 418 CP); — cohecho (arts. 419 y ss. CP); — malversación de caudales públicos (art. 432 CP); — fraudes y exacciones ilegales (arts. 436 y ss. CP); — uso de información privilegiada y grave daño a la causa pública (art. 442.2 CP); — prevaricación judicial (art. 446 CP); — encubrimiento (art. 451 CP); — falso testimonio contra reo en causa criminal (art. 458.2 CP); — obstrucción a la Justicia (art. 464 CP); — quebrantamiento de condena violento (art. 469 CP); — rebelión (arts. 472 y ss. CP); — contra la Corona (arts. 485 y ss. CP); — contra las instituciones del Estado (arts. 492 y ss. CP); — usurpación de atribuciones por funcionario (art. 506 CP); — odio y discriminación (arts. 510 y ss. CP); — reuniones y manifestaciones ilícitas (arts. 513 y 514 CP); — asociación ilícita (arts. 515 y ss. CP);

— sedición (arts. 544 y ss. CP); — atentado (arts. 550 y ss. CP); — desórdenes públicos (arts. 557 y ss. CP); — tenencia ilícita de armas en modalidades agravadas (arts. 563 y ss. CP); — depósito de armas, municiones y explosivos (arts. 566 y ss. CP); — traición (arts. 581 y ss. CP); — contra la paz e independencia del Estado (arts. 589 y ss. CP); — descubrimiento y revelación de secretos e informaciones relativas a la Defensa Nacional (arts. 598 y ss. CP); — delitos contra el Derecho de gentes (arts. 605 y 606 CP); — genocidio (art. 607 CP); — delitos de lesa humanidad (art. 607 bis CP); — contra las personas y bienes protegidos en caso de conflicto armado (arts. 608 y ss. CP); — piratería (arts. 616 ter y ss. CP); — contrabando (arts. 2 y 3 de la Ley Orgánica 12/1995, de 12 de diciembre, de Represión del Contrabando); y — delitos relativos a la navegación aérea (Ley 209/1964, de 24 de diciembre, Penal y Procesal de la Navegación Aérea). Por tanto, se trata de los delitos graves y más graves, siguiendo la tendencia comparada europea a no permitir la interceptación en cualquier caso. Se acaba así con la perturbadora idea de autorizar la medida, como ocurría hasta ahora con fundamento jurisprudencial, con base en la naturaleza del delito, tanto por lo que se refería a la pena del mismo, como a su trascendencia social (SSTC 167/2002, de 18 de septiembre y 166/1999, de 27 de septiembre). Además, el art. 579 LECrim derogado omitía

cualquier límite, de forma que, en la práctica, no había obstáculo para investigar con escuchas cualesquiera infracciones penales. Ahora el criterio es puramente objetivo, salvo para los delitos dolosos, en los que se opta por el valor cuantitativo de la pena (mínimo tres años de prisión), lo que permite que muchos delitos menos graves caigan dentro del requisito. En la práctica actual, es el crimen organizado (terrorista o común, narcotraficante o no) la materia que, con más frecuencia, es objeto de investigación mediante escuchas telefónicas. Se ha criticado desde los ámbitos judicial y académico que la policía recurre en exceso a esta técnica que le ofrece gran comodidad, sin esforzarse en desarrollar otras estrategias más respetuosas con los derechos fundamentales. Tales reproches no son aceptables en estos tiempos cuando la delincuencia organizada transnacional por su propia naturaleza dispone de elementos a distancia en diferentes países y continentes, siendo por ello inviable obligar a que la policía deba perseguirlos con los medios rudimentarios del siglo XIX, limitándose a las vigilancias y seguimientos discretos, el hábil interrogatorio de los vecinos, el auxilio de confidentes o el empleo de perros adiestrados y prismáticos.

Sentado lo anterior, cabe preguntarse por las infracciones de menor gravedad o aquéllas para las que se prevén únicamente penas no privativas de libertad. Efectivamente, en la investigación de cualesquiera de estos delitos, sea cual fuere la previsión punitiva o tratándose de infracciones leves (arts. 13.3 y 33.4 CP), su investigación no podrá hacerse con intervenciones de las comunicaciones. Ello salvo que sean perpetradas por un grupo u organización criminal (arts. 570 bis y ter CP), en cuyo caso no habrá inconveniente legal alguno, siempre y cuando la realidad delictiva revista entidad suficiente para justificar la medida, es decir, concurran los principios rectores que antes hemos expuesto, siendo de prever que el de proporcionalidad haya de justificarse suficientemente en

especial en los casos de delitos leves, porque —conviene recordarlo— la autorización judicial no obtiene legitimidad de modo inmediato en función del objeto de la investigación por el simple hecho de que éste sea alguno de los delitos listados, sino que, además, es imprescindible también la observancia de todos y cada uno de los referidos principios. Tampoco cabe la investigación con intervenciones telefónicas de tipologías delictivas de especial relevancia social cuando por sus consecuencias punitivas no se encuentren tales delitos entre los catalogados en los arts. 588 ter a) y 579.1 LECrim. Dentro de este epígrafe pueden relacionarse, por ejemplo, los siguientes delitos excluidos: — delitos de violencia, amenazas, acoso, coacciones o vejaciones leves no habituales sobre la mujer (arts. 153, 171.4, 172.2, 172 ter.2 y 173.4 CP); — delitos contra la integridad moral (art. 173.1 CP); — acoso sexual (art. 184 CP); — omisión del deber de socorro (arts. 195 y 196 CP); — financiación ilegal de partidos políticos (art. 304 bis CP); — intrusismo profesional (art. 403 CP); — prevaricación de funcionarios públicos (arts. 404, 405 y 406 CP); — omisión del deber de perseguir delitos (art. 408 CP); — revelación de secretos (art. 417.1 CP); — tráfico de influencias (arts. 428, 429 y 430 CP); — negociaciones y actividades prohibidas a los funcionarios públicos (arts. 439 y ss. CP); — acusación y denuncia falsas (art. 456 CP); — simulación de delito (art. 457 CP); y — falso testimonio (art. 458.1 CP).

La enumeración precedente pone de manifiesto una técnica normativa insatisfactoria al decir de CAVERO FORRADELLAS y CORTÉS PÉREZ-MUÑOZ (6) . Aunque sin duda se trata de un olvido involuntario del legislador, descartar en tales delitos el empleo de intervenciones de comunicaciones reduce sensiblemente las posibilidades de cualquier investigación. De entre los delitos anteriormente relacionados, es llamativo que se incluyan, para excluir su investigación con empleo de artificios tecnológicos, los delitos de financiación ilegal de partidos políticos, prevaricación de funcionarios, omisión del deber de perseguir delitos, revelación de secretos, tráfico de influencias y negociaciones prohibidas, actividades criminales todas ellas que afectan directamente al fenómeno de la corrupción. No obstante, el 15 de junio de 2018 la Ministra de Justicia ha encomendado a la Comisión General de Codificación estudiar la manera de integrar, tanto en el ámbito penal y procesal como en la actuación de los poderes públicos, las disposiciones sobre prevención y lucha contra la violencia sobre la mujer previstas por las normas internacionales, como el Convenio de Estambul (ratificado por España en 2014) y las recomendaciones del Comité para la Eliminación de la Discriminación Contra la Mujer, por lo que a lo largo de 2019 quizás pudiera producirse alguna reforma de la LECrim en este punto. b) Ámbito Sólo se podrán intervenir los terminales o medios de comunicación que emplee el investigado habitual u ocasionalmente, aunque pertenezcan a terceros (art. 588 ter b) LECrim). En estos dos últimos casos debe reforzarse la motivación. La utilización acertadamente

«habitual u ocasional», estos mismos autores,

señalan agota

completamente la realidad del posible uso que haga el investigado de un equipo de telefonía o de telecomunicaciones. La distinción entre uso habitual y ocasional podría ser innecesaria «...porque, de lo contrario, quedaría abierta a la interpretación y generaría la siempre detestable inseguridad jurídica, si se planteara que el uso en una única ocasión es insuficiente y debiera serlo ocasionalmente en un número plural de oportunidades: dos, tres, cuatro... o en momentos puntuales y escasos pero a lo largo de un período de tiempo reducido o extenso». En definitiva, cabe concluir que bastará justificar un único uso de un teléfono para tener por cumplimentado el requisito, teniéndolo por uso ocasional. En cuanto al alcance, dicha intervención podrá autorizar: — el acceso al contenido de las comunicaciones (conversaciones telefónicas, SMS, MMS, Skype, redes sociales,...); — a los datos electrónicos de tráfico o asociados al proceso de comunicación (que, como indicamos, son aquellos que se generan como consecuencia de la conducción de la comunicación a través de una red de comunicaciones electrónicas, de su puesta a disposición del usuario, así como de la prestación de un servicio de la Sociedad de la Información o comunicación telemática de naturaleza análoga, y se detallan en el art. 3 LCDCE); y — los que se produzcan con independencia del establecimiento o no de una comunicación del investigado (en referencia a la ubicación espacial del terminal o geolocalización, y también a la actividad autónoma de los programas instalados en el terminal a través de la red de comunicación), como receptor o emisor. El art. 588 ter d).2 LECrim, como sabemos, completa la norma anterior al afirmar que la extensión de la medida

puede alcanzar los siguientes extremos: a) El registro y la grabación del contenido de la comunicación (voz, datos, texto, audio, vídeo, mensajes, ficheros informáticos, etc.), con indicación de la forma o tipo de comunicaciones a las que afecta. b) El conocimiento de su origen o destino, en el momento en el que la comunicación se realiza. c) La localización geográfica del origen o destino de la comunicación. d) El conocimiento de otros datos de tráfico asociados o no asociados pero de valor añadido a la comunicación (por ejemplo, metadatos, geolocalización, el IMEI del terminal móvil, datos de identificación de los titulares de las líneas, etc.). En este caso, la solicitud especificará los datos concretos que han de ser obtenidos. Añade el art. 588 ter b).2 LECrim que cuando sea previsible un grave riesgo para la vida o integridad de la víctima, podrán intervenirse sus terminales o medios de comunicación (por ejemplo, en caso de secuestro), entendemos que tanto para evitar la situación como para la resolución de este tipo de delitos. En este sentido, como bien apuntan CAVERO FORRADELLAS y CORTÉS PÉREZ-MUÑOZ (7) , la nueva previsión referida al teléfono de la víctima viene a cubrir los casos en que esos equipos hayan sido sustraídos, estimando que se hallen en poder de los responsables del apoderamiento, quienes presuntamente pueden ser también autores de otros delitos investigados cuando la sustracción se atribuya a bandas organizadas con fuerte especialización en un determinado tipo de infracciones (por ejemplo, robos en viviendas incluso en presencia de los moradores, en los llamados «robos silenciosos», tan frecuentes en la práctica). Es corriente que se utilicen después los aparatos sustraídos a la víctima

cambiando la tarjeta SIM, o sin molestarse siquiera en ello, cuando el delincuente menosprecia a la policía o se trata de un novato. De igual modo, se está previendo autorizar la intervención telefónica para investigar la desaparición forzada de una persona portadora de su propio terminal, o la de los allegados a la misma, familiares o no, ante la posibilidad de que los captores de la víctima establezcan contacto telefónico para plantear sus exigencias c) Afectación a tercero La ratio de esta medida tan intensa es que las comunicaciones objeto de la misma estén vinculadas al investigado, si bien el art. 588 ter c) LECrim permite su extensión a terceros, admitiendo la intervención judicial de las comunicaciones emitidas —aquí hay que entender también las recibidas, aunque no lo dice el precepto— desde terminales o medios de comunicación telemática pertenecientes a una tercera persona siempre que: — exista constancia de que el sujeto investigado se sirve de aquella para transmitir o recibir información (por ejemplo, por apreciarse en vigilancias policiales, o lo que también es habitual en sede familiar o del entorno del investigado); o — el tercero titular colabore con la persona investigada en sus fines ilícitos o se beneficie de su actividad (caso de los encubridores o receptadores); o — cuando el dispositivo objeto de investigación sea utilizado maliciosamente por terceros por vía telemática, sin conocimiento de su titular (porque el ciberdelincuente se ha apoderado de él para encubrir sus comunicaciones). La vinculación entre el investigado o la víctima con el aparato o terminal de cuya intervención se trata es de utilización o uso, omitiéndose acertadamente por el

precepto exigencias relativas a la titularidad formal propiamente dicha o la propiedad de los medios, aspectos que resultan aquí exclusivamente formales. Dicha vinculación lo es en términos de utilización, no siendo relevante el aspecto jurídico dominical estricto de Derecho civil. Ha de entenderse que lo determinante es quien sea el usuario —propietario o no del artefacto, abonado o no a la línea— como ciudadano investido del derecho a comunicarse telefónicamente con privacidad, sin interferencia que no proceda de una decisión judicial lícita. Naturalmente que si una interceptación válidamente autorizada conlleva la interlocución de un tercero que participa en el delito investigado, o en otro igualmente involucrado, e incluso en casos de delitos conexos, puede ser fuente suficiente la elocuencia de la conversación, mensaje o información hallada para autorizar la interceptación de un nuevo implicado. d) Autorización judicial Como no podía ser de otro modo, la LECrim dispone que el Juez de Instrucción debe acordar o denegar la medida de intervención de comunicaciones telefónicas o telemáticas en forma de auto motivado, con audiencia del Ministerio Fiscal, que deberá dictarse en el plazo máximo de 24 horas desde que se presentó la solicitud. El auto, como ya quedó apuntado, habrá de concretar, al menos, el hecho punible objeto de investigación y su calificación jurídica, con expresión de los indicios racionales en los que funde la medida, la identidad de los investigados y de terceros afectados; la extensión y el alcance de la medida, así como el cumplimiento de los principios rectores de este tipo de medidas; la unidad policial que se hará cargo de la intervención; la duración de la medida; la forma y periodicidad con la que se habrá de informar al juez sobre el avance y los resultados; la finalidad perseguida con la

medida, y el sujeto obligado que la ejecutará, si se conociera, con expresa mención al deber de colaboración y de guardar secreto (art. 588 bis c) LECrim). e) Deber de colaboración El art. 588 ter e) LECrim impone un deber de colaboración con el juez, el fiscal y la policía a todos los prestadores de servicios digitales, es decir, operadores de telecomunicaciones, de acceso a una red de telecomunicaciones o de servicios de la Sociedad de la Información (no sólo Movistar, Vodafone u Orange, sino también Google, Microsoft, Facebook, Amazon, etc.). Este deber también se extiende a toda persona que de cualquier modo contribuya a facilitar las comunicaciones a través del teléfono o de cualquier otro medio o sistema de comunicación telemática, lógica o virtual (8) . Además, todos los sujetos obligados deben ejecutar la asistencia y colaboración precisas bajo secreto de que están realizando tales actividades de interceptación, en consonancia con el artículo 39 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (LGTel), para que este acto de investigación se pueda practicar con éxito, pudiendo incurrir en delito de desobediencia en caso contrario —el previsto en el art. 556 CP, penado con una pena de prisión entre 3 meses y 1 año, o multa de 6 a 18 meses— (art. 588 ter e) LECrim). Y, aunque la norma no consagra específicamente la consecuencia de quebrantar este deber de secreto, la sanción por revelar el hecho de que alguien está siendo interceptado judicialmente en sus comunicaciones debe entenderse comprendida en el tipo del art. 417 CP, dado que el técnico se convierte en funcionario por obra del requerimiento judicial. f) Control

La exclusividad jurisdiccional supone que la medida es decretada sólo por el Juez de Instrucción y que al mismo corresponde la ejecución de la misma. Razones prácticas, con todo, aconsejan que la actividad física de la escucha y de la grabación se encomiende a la Policía Judicial, si bien debe tenerse en cuenta que ésta actúa en todo caso bajo las órdenes directas de la autoridad judicial competente. Consiguientemente no se trata de que el juez «controle» a la policía en una actividad propia de ésta, sino de que aquél se auxilie de ésta (STC 9/2011, de 28 de febrero). Ese auxilio supone, entre otras cosas, que el juez debe dar las instrucciones necesarias sobre cómo realizar la intervención. El art. 588 ter f) LECrim establece por ello que la Policía Judicial pondrá a disposición del juez, con la periodicidad que éste determine y en soportes digitales distintos, la transcripción de los pasajes que considere de interés y las grabaciones íntegras realizadas. Para garantizar la interceptación fiable de lo aportado, el precepto obliga a indicar el origen y destino de cada una de las grabaciones y se asegurará, mediante un sistema de sellado o firma electrónica avanzado o sistema de adveración suficientemente fiable, la autenticidad e integridad de la información volcada desde el ordenador central a los soportes digitales en que las comunicaciones hubieran sido grabadas. Esta previsión es paralela a la exigida en otros órdenes jurisdiccionales para la plena validez de los documentos aportados al proceso en formato electrónico y acoge una línea jurisprudencial de la Sala Segunda del Tribunal Supremo. De esta manera, se pretende no sólo comprender lo que se analiza, sino también ver cómo lo interpreta el investigador policial y cómo lo documenta, por lo que si hay divergencias o modificaciones en identidades o en interceptaciones sea posible conocer el proceso ordenado de conformación de sus indagaciones, y todo ello con la garantía que supone

mantener toda la fuente probatoria íntegra, de modo que cuando la defensa accede a la misma pueda hacer su labor de parte introduciendo su interpretación alternativa de lo grabado, si discrepa de lo consignado en la investigación. La jurisprudencia indica que la entrega de los soportes con las correspondientes grabaciones y sus transcripciones al juzgado, con carácter previo a las resoluciones que puedan acordar la prórroga de intervenciones anteriores, y la audición de su contenido por el Juez de Instrucción, no pueden considerarse requisitos de obligada observancia para que éste pueda acordar válidamente la prórroga de intervenciones anteriores; pues basta que el mismo tenga adecuada y solvente información sobre el resultado de dichas intervenciones (SSTS, Sala 2ª, de 9 de febrero de 2012, de 14 de marzo de 2008 y de 12 de julio de 2005). Y no puede confundirse el control judicial de la ejecución de la medida con un deber de escucha de la totalidad de la grabación, pues lo exigido es que el juez, por sí, compruebe la existencia de elementos que confirmen las sospechas que permitieron decretar la medida (STS, Sala 2ª, de 21 de julio de 2010). El hecho de que se delegue en la policía la selección de las conversaciones de interés para la causa no supone falta de control judicial ni provoca indefensión a las partes, siempre que se disponga de las cintas, de modo que las partes puedan interesar la audición o la transcripción de conversaciones no seleccionadas por la policía o por el propio juez instructor (STS, Sala 2ª, de 3 de diciembre de 2004). De este modo, y como sucede en la práctica española, el control efectivo judicial del contenido de la intervención se realiza bien a través de los propios informes policiales en los que se va dando cuenta de los datos relevantes de la investigación, complementados con las transcripciones más relevantes, con independencia de que además se envíen las cintas íntegras para su audición, por lo que no es

preciso la escucha directa de las grabaciones por el juez (SSTC 26/2010, 197/2009, 239/2006 y 205/2005). El mero retraso en la entrega de los soportes originales donde constan las grabaciones de las conversaciones intervenidas no implica que no exista el debido control judicial sobre su desarrollo (STS, Sala 2ª, de 5 de abril de 2017). g) Duración A pesar de que el art. 18.3 CE no contiene referencia expresa al plazo de duración de la intervención, la prohibición de intervenciones ilimitadas en el tiempo ha de entenderse integrada en el requisito de la proporcionalidad, y por eso era necesario que la ley de desarrollo fijara un plazo de duración (ex art. 53.1 CE). Eso es lo que hizo el art. 579 de la LECrim, al establecer el plazo de 3 meses, prorrogable por iguales períodos (si bien admitía sucesivas prórrogas sin límite, de forma que podría prolongarse indefinidamente la medida a base de una sucesión de autorizaciones adicionales), y es lo que confirma el nuevo art. 588 ter g) LECrim, con el matiz siguiente: «La duración máxima inicial de la intervención, que se computará desde la fecha de autorización judicial, será de tres meses, prorrogables por períodos sucesivos de igual duración hasta el plazo máximo de dieciocho meses». El cómputo de las prórrogas autorizadas se iniciará desde el final del plazo anterior y ello no es una peculiaridad de las intervenciones que estamos examinando, sino que se prevé para la totalidad de las medidas tecnológicas en el art. 588 bis f).3 LECrim: «Concedida la prórroga, su cómputo se iniciará desde la fecha de expiración del plazo de la medida acordada».

El plazo que fije el juez ha de entenderse como máximo, por lo que la necesidad de motivación, por un lado, exige que se señale en el auto el porqué de la duración que se acuerda, plazo que ha de fijarse, y, por otro lado, justifique

el requisito de la proporcionalidad. Se trata, por tanto, no ya sólo de que no pueden existir intervenciones de comunicaciones ilimitadas, algo contra legem hoy sin duda alguna, sino de que el límite temporal concreto que se acuerde por el juez ha de estar motivado y ser proporcional. Al hablar el artículo de «periodos sucesivos», se está refiriendo a las prórrogas, entendiendo en consecuencia que está predicando una duración máxima de 18 meses por cada investigado en una misma causa, que es el titular del derecho —y no su terminal—. Por tanto, permite, si las circunstancias así lo imponen, que se puedan alcanzar esos 18 meses de límite para un mismo investigado en interceptaciones alternativas, ya que la experiencia demuestra que hay investigados que temporalmente abandonan sus actividades criminales para ocuparse en otras labores, para después volver a recuperarlas. El constante cambio de terminal o línea que muchos investigados suelen realizar para dificultar las interceptaciones que se les pueda estar practicando no varía la comprensión que debemos realizar sobre el hecho de que los derechos no se predican, como decíamos, de los aparatos, sino de las personas que los utilizan, de manera que el cambio de terminal o línea hecho por un mismo investigado se puede convalidar, por el período que reste, si se mantienen las circunstancias que habilitaron la interceptación inicial, mucho más si el cambio de terminal o línea las refuerza, comunicando al juzgado el cambio y la necesidad de interceptar el nuevo terminal o línea de teléfono. Pero puede ocurrir, como precisa VELASCO NÚÑEZ (9) , que unos investigados lleven a otros, como sucede en las causas por crimen organizado, y por lo tanto la continuidad de la causa procesal pueda superar, obviamente, los 18 meses de interceptación de comunicaciones, siempre que no se supere la duración para cada investigado de ese plazo límite

máximo, que no computará a los efectos de la duración de los procesos penales fijada en el art. 324 LECrim, tal y como debe entenderse de su tercer párrafo, pues la interceptación telecomunicativa necesariamente debe acordarse en pieza separada secreta, que interrumpe aquél cómputo. Por tanto, en caso de necesidad, la medida puede ser prorrogada según el art. 588 ter h) LECrim, que es norma especial para esta medida. Para fundamentar la solicitud de la prórroga, la Policía Judicial aportará, en su caso, la transcripción de aquellos pasajes de las conversaciones de las que se deduzcan informaciones relevantes para decidir sobre el mantenimiento de la medida. También el juez, antes de dictar la resolución, podrá solicitar aclaraciones o mayor información, incluido el contenido íntegro de las conversaciones intervenidas. Es muy conveniente que la petición se curse tempranamente para evitar lo apresurado de una resolución ante la inminencia de la finalización del plazo inicial o de la prórroga precedente. La «antelación suficiente» —aunque no se precise expresamente — no puede ser inferior a los 2 días anteriores al cese del plazo autorizado. Si el juez agotara el plazo para resolver y éste excediera de la fecha de cese de la medida, la intervención sería imposible, dado que de modo automático se habrá de proceder a la desconexión si no consta la resolución judicial de prórroga, aunque hubiera noticia informal del propósito de autorizarla. En tal caso, lo procedente sería, como señalan CAVERO FORRADELLAS y CORTÉS PÉREZ-MUÑOZ, una autorización ex novo.

Estas prórrogas han de estar sometidas a un estricto control judicial, sin que se ajuste a la Constitución acordarlas a través de una mera providencia o una resolución estereotipada, sin la suficiente motivación (STC 181/1995, de 11 de diciembre).

A pesar de la extensa regulación, advierte MORENO CATENA que podría plantearse una aparente contradicción entre la situación procesal del investigado, que tiene acceso a todas las actuaciones y puede intervenir en ellas, y el inevitable desconocimiento de la medida de intervención decretada contra la persona cuyas comunicaciones se ordena observar. La LECrim salva la contradicción creando una pieza separada y secreta, que se abre sin necesidad incluso de haber decretado el secreto de las actuaciones (art. 588 bis d) LECrim), en donde automáticamente se sustancia la medida, con lo que sustrae de los autos toda noticia sobre la misma. Por tanto, ciertamente sigue vigente la norma que ordena que toda actuación de la que resulte la imputación de un delito deberá ponerse inmediatamente en conocimiento de los presuntamente inculpados, que pueden desde entonces ejercitar el derecho de defensa, tomar conocimiento de las actuaciones e intervenir en todas las diligencias del procedimiento (arts. 118 y 302 LECrim); pero puede denegarse el derecho a conocer actuaciones e intervenir en las diligencias cuando éstas fueran declaradas secretas y, en este caso, y en aplicación del principio de especialidad, esta pieza separada secreta prevista en la ley se mantendría en tal condición, y operaría con sus propios plazos, independientes de las previsiones de secreto del sumario.

h) Acceso de las partes a las grabaciones Regulado en el art. 588 ter i) LECrim, el acceso de las partes a las grabaciones se produce cuando se cumplan estas dos condiciones: — que haya expirado la vigencia de la intervención y; — se haya alzado el secreto. Por lo tanto, basta que subsista una sola medida en un sumario que afecta a varios investigados para mantener protegidas las de todos hasta que se alce la del último en una misma causa, lo que es obvio, pues el secreto que la norma le asocia se impone para evitar que se frustre el fin

del esclarecimiento de los hechos y su aseguramiento con pruebas que persigue todo proceso penal. Esta previsión no afecta al Ministerio Fiscal, pues, aunque no haya sido el promotor inicial de la medida, habrá estado presente desde el comienzo, nunca afectado por el secreto de la causa o de la pieza separada específica, y dispondrá de las correspondientes copias de las grabaciones y transcripciones. El acceso se produce entregando a las partes copia de las grabaciones y las transcripciones realizadas, lo cual se llevará a cabo en el formato del soporte en que se hayan presentado al juez (DVD, memoria USB, etc.). Si en las grabaciones constaran datos de la vida íntima de personas, se entregará sólo la grabación y transcripción de aquellas partes que no les afecten, hechos que se hará constar de modo expreso. A partir de ahora las partes no solo pueden recurrir las resoluciones que las concedieron o prorrogaron, sino hacer alegaciones en su defensa manteniendo versiones alternativas a las interpretadas por la policía, el fiscal o el juez instructor. La regulación del acceso a las grabaciones se ha producido en la línea de las mejores prácticas observadas y recomendaciones de la doctrina y la jurisprudencia. Su implementación persigue favorecer debidamente el ejercicio del derecho de defensa tras la conclusión de un período de secreto durante las intervenciones en que sólo el Ministerio Fiscal pudo velar por los derechos de los ciudadanos investigados. Las defensas recuperarán con rapidez el tiempo perdido y podrán analizar el material obtenido durante la interceptación de las comunicaciones tan pronto se alce el secreto, evaluando enseguida la prueba de cargo existente contra los investigados para comenzar sin demora el diseño de su estrategia procesal.

El ejercicio de la defensa de las partes se garantiza permitiendo a cada una añadir las comunicaciones no incluidas. Para ello, el juez concederá plazo a las partes, en

atención al volumen de la información contenida en los soportes, para que la examinen y soliciten la incorporación a la causa de las comunicaciones que consideren relevantes y hayan sido excluidas. El juez oirá y examinará por sí esas comunicaciones y decidirá su exclusión o incorporación a la causa. No cabe recurso contra esta decisión. Debe entenderse que, junto con la inclusión, las partes también pueden pedir la exclusión de extremos irrelevantes a la causa de conversaciones y, sobre todo, de aquello que no se haya excluido, pese a afectar a aspectos claros de su vida íntima que no tengan interés en lo investigado, siempre que sea objetivamente íntimo (por ejemplo, en relación a cuestiones de ideología o religión), o estrategias de defensa que hayan podido comentarse en comunicaciones interceptadas. i) Protección de terceros El art. 588 ter i).3 LECrim ordena al juez notificar a las personas intervinientes en las comunicaciones interceptadas el hecho de la práctica de la injerencia y se les informará de las concretas comunicaciones en las que hayan participado que resulten afectadas, salvo que sea imposible, exija un esfuerzo desproporcionado o puedan perjudicar futuras investigaciones. Si la persona notificada lo solicita se le entregará copia de la grabación o transcripción de tales comunicaciones, en la medida que esto no afecte al derecho a la intimidad de otras personas o resulte contrario a los fines del proceso en cuyo marco se hubiere adoptado la medida de injerencia. Las restricciones que el mismo precepto contempla desvelan una notable desconfianza práctica. En una investigación de tipo medio, tal condición de «personas intervinientes» pueden ostentarla varios centenares de ciudadanos. Cursar notificaciones individualizadas con detalle de las conversaciones (interlocutores, fecha, duración, etc.) requerirá de un enorme

esfuerzo, no sólo a cargo de los servicios de actos de comunicación penal del juzgado, sino de un estudio pormenorizado para detectar y seleccionar las «concretas comunicaciones en las que haya participado que resulten afectadas» de las que informar expresamente. Todo apunta a que la salvedad que se prevé para casos de «sea imposible [o] exija un esfuerzo desproporcionado» se generalice en la práctica.

No obstante lo anterior, tanto el Ministerio Fiscal como las partes podrían instar la notificación a personas concretas valorando que ello sea posible y conveniente. La razón de este precepto, no del todo clara, parece ir referida a políticos o famosos. El que pueda divulgarse que alguien aparece referido en una conversación recogida en la causa puede llevar a ciertas personas a inferir que tiene relación con determinados hechos delictivos y abrir la puerta a comentarios y discusiones sobre si este tercero es o no el realmente identificado. Es evidente que si la intromisión no se pone en conocimiento del tercero, se le privaría, por este hecho, de la posibilidad de obtener la tutela de su derecho fundamental en los casos en que la observación no haya respetado escrupulosamente lo prevenido en la ley; si nunca llegara a conocer la existencia de la medida, ésta escaparía a todo control (STC 54/1996 y STS, Sala 2ª, de 14 junio de 1993). En sentido muy crítico se muestra un prestigioso sector doctrinal (10) , señalando que se dota así de una legitimación artificial a un tercero no parte procesal en un incidente que puede ocupar y dilatar plazos procesales innecesariamente, que lleva a ampliar de manera exorbitada el grupo de personas que pueden hacer confluir fines extraprocesales que colapsen aún más los ya de por sí sobrecargados juzgados de instrucción, y únicamente sujetos a la irrisoria sanción a que se refiere el art. 301 LECrim para quien revela extremos de la instrucción, razón

por la cual estiman más conveniente su derogación y regresar a la solución que para estos incidentes dan los arts. 234.2 y 235 bis LOPJ, salvaguardando el derecho al recurso efectivo del afectado que reconocen sentencias como la STEDH Puteanu c. Rumanía, de 2 de febrero de 2015, en el curso de la ejecución de una medida de injerencia. En caso de cursarse la notificación informativa, si los afectados solicitan copias de grabaciones y transcripciones, en caso de ser numerosos, no debiera descartarse el establecimiento de servicios dedicados a la gestión de estos trámites (CAVERO FORRADELLAS y CORTÉS PÉREZ-MUÑOZ). En cualquier caso, tratándose de material ciertamente delicado, ha de impedirse la difusión errónea de los materiales o la posibilidad de que caigan en manos del mercado de la información masiva o de desaprensivos al servicio del crimen organizado en cualquiera de sus formas.

C)

Práctica de la prueba

Para la ejecución de esta diligencia habrá de remitirse oficio a los operadores de telecomunicaciones, prestadores de servicios de la Sociedad de la Información, plataformas digitales (11) , así como a cualquiera que contribuya a facilitar las comunicaciones por cualquier medio para que preste la asistencia y colaboración precisas para facilitar el cumplimiento de los actos de intervención de las comunicaciones y telecomunicaciones, quienes deberán guardar secreto y podrán incurrir en desobediencia si desatienden el requerimiento como quedó apuntado (art. 588 ter.e) LECrim). En la ejecución práctica, hasta el año 2004 las intervenciones telefónicas se han venido realizando de forma manual. Una vez obtenida la correspondiente autorización judicial, se pinchaba la línea y se desviaba a un número facilitado por la policía que permitía el acceso a las

conversaciones del titular del teléfono intervenido a través de su grabación en un reproductor de casetes. Los agentes escuchaban las cintas en las propias instalaciones policiales y tenían que estar atentos a las incidencias que se fueran produciendo. A continuación, la cinta grabada era entregada al juez, quien decidía que parte debía incluirse en el sumario. En la actualidad y desde entonces, la interceptación se lleva a cabo mediante el sistema de investigación integral SITEL (12) , el Sistema Integral de Interceptación de las Comunicaciones Electrónicas, que consiste en un sistema electrónico que posibilita un «espionaje íntegro» de comunicaciones electrónicas. Con SITEL, o su versión más actualizada del SILC (13) , se logra, pues así lo prevé el artículo 39.3 de la Ley General de Telecomunicaciones, que toda la información que tenga como origen o destino el punto de terminación de red, identidad o etiqueta objeto de interceptación, pueda ser objeto de captación y remisión al centro de interceptación, «incluso aunque esté destinada a [un] dispositivo de almacenamiento o procesamiento de la información». Asimismo, la interceptación podrá realizarse sobre un terminal conocido y con unos datos de ubicación temporal para comunicaciones desde locales públicos (cabinas, locutorios, etc.). Cuando no exista una vinculación fija entre el sujeto de la interceptación y el terminal utilizado, éste podrá ser determinado dinámicamente cuando el sujeto de la interceptación lo active para la comunicación mediante un código de identificación personal. La norma se muestra en este punto especialmente ambiciosa, toda vez que impone que la accesibilidad deba garantizarse respecto de cualquier comunicación que tenga como origen o destino un determinado dispositivo de comunicaciones. Incluso se va más allá, exigiendo que la garantía de penetrabilidad y cobertura alcance a conexiones

que podrían llegar a generar dudas sobre su posible consideración como auténticas comunicaciones interpersonales: las comunicaciones destinadas a un dispositivo de almacenamiento o procesamiento de la información. En efecto, el art. 39.4 LGTel exige que la interceptación se facilitará para todo tipo de comunicaciones electrónicas, en particular, por su penetración y cobertura, para las que se realicen mediante cualquier modalidad de los servicios de telefonía y de transmisión de datos, ya se trate de comunicaciones de vídeo, audio, intercambio de mensajes, ficheros o de la transmisión de facsímiles. Gracias a este sistema, se obtiene un amplio material probatorio electrónico basado en la interceptación y en la grabación digital de conversaciones a través de fijos, móviles o dispositivos electrónicos, tanto en formato oral como en escritura digital, así como todos los datos previstos en los apartados 5, 6 y 7 del artículo 39 de la Ley General de Telecomunicaciones que estén incluidos en el auto judicial, y que deberán ser aportados posteriormente al proceso penal incoado. Así, las SSTS, Sala 2ª, de 13 de marzo y de 5 de noviembre de 2009 realizan una descripción del funcionamiento de SITEL como programa dedicado a la obtención de pruebas electrónicas; especificando al mismo tiempo las SSTS, Sala 2ª, de 30 de diciembre de 2009 y de 19 de diciembre de 2008 que las pruebas electrónicas obtenidas gracias a este instrumento no solo son las conversaciones digitales intersubjetivas, sino también documentos electrónicos que van desde lo contenido en un SMS a datos concretos de un GPS. El sistema SITEL es una implementación cuya titularidad ostenta el Ministerio del Interior. Su desarrollo responde a la necesidad de articular un mecanismo moderno, automatizado, simplificado y garantista para la figura de la intervención de las comunicaciones telefónicas y

telemáticas. El sistema se fundamenta en tres principios de actuación: 1) Centralización: existen dos servidores centrales, uno se encuentra en la sede central de la Dirección General de la Guardia Civil, y otro en la Comisaría General de Policía Judicial de la Policía Nacional, los cuales distribuyen la información aportada por los operadores de telecomunicaciones a las distintas unidades autorizadas en cada cuerpo policial. 2) Seguridad: el sistema establece numerosos filtros de seguridad y responsabilidad, apoyados en el principio anterior. Hasta donde podemos conocer, la carpeta generada para cada interceptación, a la que se dota para ello de un número de identificación único, va almacenando datos y contenidos (voz y mensajes SMS), generando automáticamente a cada paso una firma electrónica que garantiza ese primer nivel de actuación. Esta firma electrónica supone una garantía de que ese fichero alojado en la concreta carpeta del centro de recepción ha tenido lugar, y que su contenido es el que se refleja. No hay posibilidad de selección, por lo que, exceptuando a las averías del sistema que puedan afectar a determinadas franjas horarias o concretas comunicaciones, todas y cada una de las comunicaciones que emita o reciba el terminal intervenido se almacenarán en la señalada carpeta. 3) Automatización: el sistema responde a la necesidad de modernizar el funcionamiento de las intervenciones de las comunicaciones, dotándole de mayor nivel de garantía y seguridad, reduciendo costes y espacio de almacenamiento, así como adaptarse al uso de nuevos dispositivos de conectividad. En cuanto a la forma de proceder, autorizada la intervención de las comunicaciones por el juez, el operador de telecomunicaciones afectado inicia el envío de información al

servidor central donde se almacena a disposición de la unidad policial encargada y solicitante de la investigación de los hechos, responsable de la intervención de la comunicación. El acceso por parte del personal de esta unidad se realiza mediante un código identificador de usuario y su clave personal. Realizada la verificación del contenido, se actúa igual que en el modo tradicional, confeccionando las diligencias de informe correspondientes para la autoridad judicial. La prueba legal del contenido de la intervención es aportada por el servidor central, responsable del volcado de todos los datos a formato DVD para entrega a la autoridad judicial competente, constituyéndose como la única versión original.

Concluida la intervención autorizada, se dará cuenta oportuna al juez autorizante de su resultado, poniendo a su disposición, con la periodicidad que el auto judicial determine, los soportes digitales, la transcripción de los pasajes que considere de interés y las grabaciones íntegras, indicando el origen y destino de cada una de ellas y asegurando mediante un sistema de sellado o firma electrónica o sistema de adveración, la autenticidad e integridad de la información volcada en los soportes digitales en que se hubieran grabado las comunicaciones (art. 588 ter.f) LECrim). Por lo que se refiere a las transcripciones, se matiza ahora la doctrina jurisprudencial pacífica que dispensaba de las mismas como requisito de validez de las intervenciones telefónicas. Aunque sigue siendo innecesaria la transcripción íntegra de las conversaciones grabadas, se impone la obligación de llevarla a cabo por parte de la Policía Judicial, aunque sea de modo fragmentario. Si hasta ahora los investigadores podían rehusar cualquier labor mecanográfica para el juzgado relacionada con las intervenciones telefónicas, resulta que deberán ocuparse de ello en adelante por mandato legal expreso. El precepto citado no encomienda las transcripciones a la oficina judicial. Como recuerdan las SSTS, Sala 2ª, de 5 de abril de 2017 o de 22 de enero de 2003, es obligatorio que se remitan al juzgado las cintas originales, con las grabaciones íntegras, pero «no

consideramos absolutamente indispensable que la transcripción realizada por la policía, que no es un documento en sí, sino una forma de transferir al soporte papel el material obtenido, se valore por los que realicen materialmente las escuchas con objeto de simplificar su manejo, ajustándolo a lo estrictamente necesario para el objeto de la investigación». De modo que la autorización a la policía para que pueda transcribir aquello que pueda tener interés para la finalidad de las diligencias, «no es contrario a derecho ni vulnera preceptos de carácter constitucional, cuando las partes tienen la oportunidad de solicitar ampliaciones o inclusiones, pues el contenido íntegro de las cintas se encuentra a disposición de las partes personadas, desde el momento mismo en que se alce el secreto sumarial, restricción procesal que ordinariamente acompañará a la medida, aunque su ausencia la ha considerado esta Sala Casacional como un requisito no esencial».

Aparte del protagonismo policial en la ejecución de las transcripciones, dos cuestiones más podrían ser polémicas, como ha advertido un prestigioso sector doctrinal (14) . Por una parte, nada se dice en cuanto a si esas transcripciones han de ser literales o bastan los usuales resúmenes glosados. Al omitir previsión al respecto, puede interpretarse que serán válidas las transcripciones resumidas de los pasajes de interés, acompañadas o no de transcripciones literales, tal y como se venía haciendo. En este sentido, la jurisprudencia señala que las transcripciones de las grabaciones, ya sean totales o fragmentarias, estén o no efectuadas por la policía y se hayan o no cotejado con las cintas, no son requisitos de legalidad ordinaria, porque la prueba está constituida en las propias conversaciones grabadas, y su transcripción es un simple medio auxiliar contingente. Por otra parte, también la LECrim guarda silencio sobre la necesidad o conveniencia del cotejo que hasta ahora venía practicando el Letrado de la Administración de Justicia como fedatario público, con la aportación de autenticidad tan

relevante que suponía de cara al uso de las grabaciones como prueba en el plenario, aunque fuera un lujo y por ello inexigible en la práctica. De igual forma, nada obsta a que se lleve a cabo el cotejo fehaciente o se mantenga en duda la correspondencia de las transcripciones literales con las grabaciones de audio de las que se hayan tomado, pendiente la incertidumbre de la audición en el juicio oral. Tras la entrada en vigor de la reforma de 2015, CAVERO FORRADELLAS y CORTÉS PÉREZ-MUÑOZ defienden que se mantiene la doctrina jurisprudencial relativa al cotejo, y en particular en lo referente a que no constituye requisito de validez del control judicial ni su ausencia imposibilita el acceso al plenario de las grabaciones como fuente de prueba. El Tribunal Supremo se ha pronunciado en tal sentido en la reciente STS, Sala 2ª, de 13 de abril de 2016, acogiendo la tesis del Ministerio Fiscal en su recurso de casación contra una Sentencia de la Audiencia Provincial de Barcelona (Sección Octava) que había enunciado una doctrina ex novo denegando la audición en el plenario de grabaciones de conversaciones en lenguas africanas por no disponer de transcripciones y traducción cotejadas en el Juzgado de Instrucción.

La oportunidad de poner en claro ambas cuestiones se ha perdido, siendo ello extraño en una reglamentación tan completa y prolija. D)

Necesidad de oír en el juicio oral lo grabado

Por último, y como cierre al régimen general que venimos examinando, advierte GÓMEZ COLOMER (15) que si la verdadera fuente de prueba son las cintas grabadas de las conversaciones intervenidas, éstas se convertirán en medio de prueba mediante su audición en el juicio oral. La jurisprudencia suele decir que se trata del medio de prueba documental, pero es dudoso que así sea, pues estamos ante un medio de representación de hechos pasados por medio del sonido. Así las cosas, la necesidad de que se oigan las

grabaciones es evidente, pues el único sistema de que el Tribunal, las partes y el público puedan acceder el conocimiento de esos hechos es oír lo que los representan. Sin embargo, la jurisprudencia indica que para la valorabilidad de unas escuchas no es imprescindible su audición en el plenario. El art. 726 LECrim obliga al examen de las grabaciones propuestas como prueba y admitidas. En esa previsión se amparó la Sala para, después de tomar nota de las escuchas cuya audición interesaban las partes — y considerando, además, que los diálogos estaban transcritos y adverados por la fe pública judicial—, prescindir de la audición en el juicio oral por resultar innecesaria. Quizás no fue esa la decisión más correcta; pero es claro que no causa indefensión alguna y, por tanto, no desactiva ese medio probatorio (SSTC 26/2010 y 76/2000). Una consideración muy simple lo pone de relieve: de acogerse este motivo, lo procedente no sería la absolución sino la nulidad —no solicitada, por cierto (art. 240.2 LOPJ)— para devolver las actuaciones y que se procediese a la audición (STS, Sala 2ª, de 31 de enero de 2017). Que la actividad probatoria haya de desplegarse en el acto del juicio oral no significa que todos, absolutamente todos los documentos aportados o unidos a las actuaciones deban ser leídos en ese momento, so pena de quedar inhabilitados como posible medio de convicción. Eso no solo es absurdo, sino que llevaría a la inmanejabilidad de determinados procesos penales en que la prueba es básicamente documental y, además, de volumen ingente (STS, Sala 2ª, de 17 de abril de 2013).

En fin, y como quedó apuntado, la importancia de la distinción entre los requisitos constitucionales y los de legalidad ordinaria radica en los efectos que se derivan de la vulneración de unos y otros. La vulneración de un requisito constitucional implica que se ha producido la intervención con menoscabo de un derecho fundamental, y

la consecuencia es que no podrán llevarse al juicio oral las grabaciones con las conversaciones intervenidas, pero además carecen de eficacia probatoria todas las otras fuentes de prueba que se deriven de la intervención, tanto directa como indirectamente. Se trata de la aplicación del art. 11.1 de la LOPJ ya expuesta en el capítulo anterior. Por el contrario, si lo vulnerado es requisito de legalidad ordinaria, entonces la fuente de prueba obtenida será nula (art. 238 LOPJ), pero los hechos conocidos por la intervención podrán ser acreditados por los demás medios de prueba, aparte de que la nulidad no se extiende a las fuentes de prueba obtenidas de modo indirecto de la intervención. 1.1.2. Incorporación al proceso de datos electrónicos de tráfico o asociados Dentro del capítulo que venimos examinando y relativo a la interceptación de las comunicaciones telefónicas y telemáticas el legislador destina su sección 2ª a la incorporación al proceso penal de datos electrónicos de tráfico o asociados, que comprende un único precepto, el art. 588 ter j) LECrim. Se trata de los datos estáticos (cfr. art. 3 LCDCE: origen, destino, duración, fecha, hora, tipo de comunicación, geolocalización de los interlocutores, titular de la línea, etc.), no del contenido de las comunicaciones, y esta regulación viene a complementar y, sobre todo, elevar a rango de ley orgánica las previsiones de la LCDCE que ya hemos examinado en relación con los contenidos de la LGTel. De este modo, como señala el art. 588 ter j).1 LECrim, solo podrán ser cedidos para su incorporación al proceso con autorización judicial los datos electrónicos:

— conservados por los prestadores de servicios o personas que faciliten la comunicación en cumplimiento de la legislación sobre retención de datos relativos a las comunicaciones electrónicas (la señalada LCDCE y los arts. 39 y ss. LGTel); — o por propia iniciativa por motivos comerciales (por ejemplo, titulares de la línea, IBAN bancario, dirección postal de facturación, etc.); — o de otra índole y que se encuentren vinculados a procesos de comunicación. Ahora bien, y recordando el carácter excepcional de esta medida, el apartado segundo dispone que cuando el conocimiento de esos datos resulte indispensable para la investigación, se solicitará del juez competente autorización para recabar la información que conste en los archivos automatizados de los prestadores de servicios, incluida la búsqueda entrecruzada o inteligente de datos (por ejemplo, los datos de líneas de teléfono móvil activas en un lugar concreto en la franja horaria en la que se cometió el delito, que pueden cruzarse con los de otra localización y fecha posterior donde se perpetró otro, lo cual es una herramienta frecuente en las investigaciones policiales), siempre que se precisen la naturaleza de los datos que hayan de ser conocidos y las razones que justifican la cesión. El precepto no señala los delitos concretos para los cuales puede acordarse esta diligencia. Ello debe resolverse por remisión al art. 588 ter a) LECrim situado en la cabecera del capítulo (delitos dolosos castigados con, al menos, 3 años de prisión en su límite máximo, los cometidos en el seno de un grupo u organización criminal, los de terrorismo y los ciberdelitos). Por ello, esta diligencia exigiría en buena técnica normativa una mayor concreción objetiva y unos requisitos legales

más precisos para acordarla. 1.1.3. Acceso a los datos necesarios para la identificación de usuarios, terminales y dispositivos de conectividad Aquí la sección 3ª del capítulo V cuyo examen ahora concluimos, dedicada específicamente al acceso a los datos necesarios para la identificación de usuarios, terminales y dispositivos de conectividad y que comprende los arts. 588 ter k), 588 ter l) y 588 ter m) LECrim, engloba diversos supuestos en los que su finalidad es la identificación de los señalados usuarios, terminales y dispositivos de conectividad para el descubrimiento de ciertos hechos delictivos. Veámoslo a continuación. A)

Dirección IP

La Policía Judicial debe solicitar autorización judicial a fin de identificar al usuario o al dispositivo (dirección IP) relacionado con la comisión de un delito (art. 588 ter.k) LECrim): «Cuando en el ejercicio de las funciones de prevención y descubrimiento de los delitos cometidos en Internet, los agentes de la Policía Judicial tuvieran acceso a una dirección IP que estuviera siendo utilizada para la comisión algún delito y no constara la identificación y localización del equipo o del dispositivo de conectividad correspondiente ni los datos de identificación personal del usuario, solicitarán del Juez de Instrucción que requiera de los agentes sujetos al deber de colaboración según el artículo 588 ter e, la cesión de los datos que permitan la identificación y localización del terminal o del dispositivo de conectividad y la identificación del sospechoso».

Es decir, el precepto impone la necesidad de autorización judicial para la identificación del usuario físico que utiliza el dispositivo o terminal asociado a una dirección IP, pero no para la obtención previa de dicha dirección IP en el marco

de una actuación de investigación policial porque, como sabemos, se trata de un dato público al ser Internet una red pública y abierta de comunicaciones basada en el protocolo TCP/IP. No obstante, y como ya quedó apuntado en su lugar, no siempre la ejecución de esta diligencia de investigación conlleva el esclarecimiento de la autoría. La proliferación en la ciberdelincuencia de la actividad de troyanizacion de equipos informáticos ajenos, la utilización de malware para infectar a los mismos, el empleo de redes botnet o la posible sustracción de contraseñas e ilícito uso de redes wifi ajenas provoca que, en la mayoría de los casos, la investigación se encamine a equipos informáticos o números de abonado que poco, o nada, tienen que ver con los verdaderamente utilizados para perpetrar el ilícito. En otros casos, aun consiguiendo determinar satisfactoriamente el equipo informático desde el que se ha ejecutado la conducta delictiva y su localización domiciliaria, las dificultades para identificar al autor pueden subsistir cuando dicho ordenador está ubicado en lugares de acceso público (organismos o instituciones públicas, universidades, hoteles, restaurantes, cibercafés, etc.), o la conexión se efectuó desde su red, dado que en estos espacios una pluralidad de internautas no siempre identificados tienen acceso al equipo o a la conexión, o cuando el autor de dichas ilícitas conductas utiliza conexiones wi-fi ajenas abiertas o protegidas de manera insuficiente. B)

Identificación de los terminales mediante captación de códigos de identificación del aparato o de sus componentes

Algunos de los anteriores datos identificativos del aparato, útiles en defecto de los números de abonados o titularidades de las líneas, como son los códigos IMSI (16)

o IMEI (17) , pueden ser directamente obtenidos por la Policía Judicial sin necesidad de autorización judicial, sirviéndose de artificios o medios técnicos aptos para ello de acuerdo con el estado de la tecnología, como sucede con los IMSI-catchers o stingrays, que funcionan como una antena simulada a modo de puente entre la antena del operador de la red móvil y este dispositivo para posibilitar la captura de estos datos sin conocimiento del usuario investigado y no interceptan, en principio, el contenido de la comunicación. Por ello no se exige autorización judicial (STS, Sala 2ª, de 8 de junio de 2016). No obstante, los IMSI catchers también permiten el acceso al contenido de las comunicaciones realizadas por el usuario, así como disminuir o incrementar la potencia de transmisión del aparato, acceder a metadatos y claves de cifrado, geolocalizar el dispositivo e, incluso, escribir datos sobre la memoria del terminal móvil interceptado.

En este caso, el art. 588 ter l).1 LECrim habilita que la policía, sin necesidad de recabar autorización judicial, utilice los medios técnicos necesarios a fin de conocer los códigos de identificación de aparatos tales como la línea, el IMEI o el IMSI de los dispositivos desde los que se ha cometido el delito: «1. Siempre que en el marco de una investigación no hubiera sido posible obtener un determinado número de abonado y este resulte indispensable a los fines de la investigación, los agentes de Policía Judicial podrán valerse de artificios técnicos que permitan acceder al conocimiento de los códigos de identificación o etiquetas técnicas del aparato de telecomunicación o de alguno de sus componentes, tales como la numeración IMSI o IMEI y, en general, de cualquier medio técnico que, de acuerdo con el estado de la tecnología, sea apto para identificar el equipo de comunicación utilizado o la tarjeta utilizada para acceder a la red de telecomunicaciones.»

Una vez logradas tales referencias, puede basarse en ellas la solicitud de unas intervenciones telefónicas, poniendo en conocimiento del juez la utilización de los referidos procedimientos para su obtención, como preceptúa el artículo 588 ter l).2 LECrim: «2. Una vez obtenidos los códigos que permiten la identificación del aparato o de alguno de sus componentes, los agentes de la Policía Judicial podrán solicitar del juez competente la intervención de las comunicaciones en los términos establecidos en el artículo 588 ter d. La solicitud habrá de poner en conocimiento del órgano jurisdiccional la utilización de los artificios a que se refiere el apartado anterior. El tribunal dictará resolución motivada concediendo o denegando la solicitud de intervención en el plazo establecido en el artículo 588 bis c».

Igualmente, y aunque no lo dice el precepto, la policía o el fiscal pueden después obtener directamente del operador de comunicaciones móviles los datos identificativos del abonado, así como evidentemente el número telefónico de la línea asociada al terminal, en aplicación del art. 588 ter m) LECrim que veremos en el próximo apartado. Nótese que el art. 588 ter l).2 LECrim únicamente impone la autorización judicial para los supuestos en que, a partir de la citada información, se pretende una intervención de comunicaciones, no a aquellos otros en los que únicamente lo que se requiere es la titularidad del teléfono físico o de la tarjeta SIM, con independencia y, por tanto, sin recabar información alguna acerca de cuál o cuáles hayan sido las comunicaciones entabladas desde dichos elementos, o incluso sobre la propia existencia de esas comunicaciones.

Además, y a diferencia del teléfono físico que puede ser adquirido por el usuario en cualquiera de los comercios del sector electrónico o también ser proporcionado por el propio operador de comunicaciones móviles, la tarjeta SIM, dada su funcionalidad, necesariamente ha de ser facilitada por el

operador móvil a sus abonados. Es por ello que los operadores móviles tienen a su disposición, almacenada en sus bases de datos, la información relativa al nombre y apellidos de sus clientes, la tarjeta SIM y el número IMSI asignado, pues es con arreglo a dicha información como llevan a efecto la prestación de sus servicios (y por ende la facturación de los mismos). Y también generalmente suelen disponer del número IMEI del teléfono del abonado en cuestión, puesto que este dato también se transmite a las antenas de la red de telefonía móvil, sin necesidad de recibir o realizar llamada alguna. En el caso de las tarjetas prepago, la disposición adicional única de la LCDCE impuso la obligación para los operadores que comercialicen estos productos de llevar un libro registro en el que conste la identidad de los clientes que adquieran una tarjeta inteligente con esta modalidad de pago. La identificación, a esos efectos, se llevará a cabo a través del documento de identidad correspondiente, si se trata de personas físicas, o de la tarjeta de identificación fiscal, en el caso de las personas jurídicas. Se señala igualmente, en dicha disposición legal, que mientras esté activa la tarjeta y hasta que cese la obligación de conservar dicha información, los operadores están obligados a cederla a los agentes facultados o miembros de las Fuerzas y Cuerpos de Seguridad que los soliciten en el ejercicio de sus funciones.

En la regulación de esta diligencia late cierta desconfianza hacia estos métodos o técnicas, al imponer que se dé expresa cuenta al juez de haber sido utilizadas. No ha de olvidarse que el Tribunal Supremo rechazó inicialmente la corrección y regularidad de su uso hasta que se aceptaron finalmente a partir de la STS, Sala 2ª, de 20 de mayo de 2008. Por ello, la LECrim debería haber incorporado algún de tipo de control, a menos a posteriori, aunque la diligencia no haya dado resultado alguno dado que técnicamente también tales dispositivos de interceptación permiten captar el contenido de las comunicaciones móviles intersubjetivas.

C)

Identificación de titulares o terminales o dispositivos de conectividad

Por último, en el art. 588 ter m) LECrim se establece la posibilidad de que tanto el Ministerio Fiscal como la Policía Judicial requieran de forma directa a los prestadores de servicios correspondientes, sin necesidad de autorización judicial, para obtener datos relativos a la titularidad de terminales o la numeración de los teléfonos pertenecientes a un abonado, bajo apercibimiento de incurrir en delito de desobediencia, como se establece en el precepto: «Cuando, en el ejercicio de sus funciones, el Ministerio Fiscal o la Policía Judicial necesiten conocer la titularidad de un número de teléfono o de cualquier otro medio de comunicación, o, en sentido inverso, precisen el número de teléfono o los datos identificativos de cualquier medio de comunicación, podrán dirigirse directamente a los prestadores de servicios de telecomunicaciones, de acceso a una red de telecomunicaciones o de servicios de la Sociedad de la Información, quienes estarán obligados a cumplir el requerimiento, bajo apercibimiento de incurrir en el delito de desobediencia.»

La autorización judicial no es precisa dado que la petición ni afecta a la comunicación ni invade el secreto de la misma. El posible conflicto con la exclusividad jurisdiccional que establece la LCDCE se resuelve aquí aplicando el mayor rango de la lex posterior, por lo que no cabe alegar tacha de ilegalidad alguna. Con anterioridad a la reforma de 2015 se venía exigiendo, en términos generales, resolución judicial para la obtención de dichos datos en aplicación de lo establecido en la LCDCE. Ello se fundamentaba en la consolidada jurisprudencia sentada por nuestros tribunales y respaldada en el Acuerdo de la Sala General no jurisdiccional de la Sala Segunda del TS de 23 de febrero de 2010 de que la obtención de dichos datos —a pesar de no estar sometidos al régimen de exclusiva reserva judicial

por no afectar al secreto de comunicaciones ni ser un dato especialmente protegido en la legislación sobre protección de datos— precisaba de este requisito por tratarse de datos de carácter personal y venir impuesta dicha autorización por los artículos 1 y 6 de la citada LCDCE.

1.1.4. Supuestos problemáticos Como cierre al examen de la intervención de las telecomunicaciones conviene señalar una serie de supuestos que han ocasionado cierto desasosiego en la doctrina y en la jurisprudencia. A)

PIN de un teléfono móvil

El código PIN (Personal Identification Number, por sus siglas en inglés) es un código compuesto por, al menos, cuatro cifras y es utilizado para poder activar la tarjeta SIM de un terminal móvil (teléfono móvil, smartphone, etc.) y conectar la línea telefónica móvil. Su obtención no requiere de autorización judicial, pues cabe subsumirlo dentro de los supuestos comprendidos en el art. 588 ter l).1 LECrim. Así también lo confirman las SSTS, Sala 2ª, de 4 de abril de 2017 y de 22 de junio de 2016. En palabras de esta última Sentencia: «El número de PIN es un dato de acceso a la terminal telefónica citada, cuyo conocimiento no requiere autorización judicial, por no tratarse de dato alguno relativo a las comunicaciones. En cierta manera, aunque no sea exactamente lo mismo, se parece a la obtención de los números correspondientes al chasis del terminal (IMEI), o al número internacional de la tarjeta telefónica (IMSI). Son claves de acceso al número telefónico que se concede para su explotación a una operadora telefónica, y sobre cuyo contenido para la interceptación de las conversaciones que mediante tal instrumento se mantenga o mensajes entrantes o salientes es necesario obtener la

oportunidad autorización judicial. Veremos, incluso, que la nueva regulación de la Ley de Enjuiciamiento Criminal de 2015 en esta materia parece referirse a la obtención de tales claves de acceso a los terminales telefónicos o como un número interno de identificación internacional de una tarjeta telefónica.»

B)

Obtención de los listados de llamadas

Aquí, en cambio, se afecta el secreto de las comunicaciones, de manera que resulta precisa la autorización judicial para obtener los listados de llamadas efectuados desde una línea telefónica (y, por tanto, la identidad de los interlocutores). La STC 230/2007, de 5 de noviembre, afirmó que «...el acceso policial al registro de llamadas del terminal móvil intervenido al sospechoso sin su consentimiento ni autorización judicial [...] no resulta conforme a la doctrina constitucional reiteradamente expuesta sobre que la identificación de los intervinientes en la comunicación queda cubierta por el secreto de las comunicaciones garantizado por el art. 18.3CE y, por tanto, que resulta necesario para acceder a dicha información, en defecto de consentimiento del titular del terminal telefónico móvil intervenido, que se recabe la debida autorización judicial». También, en el mismo sentido, STC 123/2002, de 20 de mayo, y STS, Sala 2ª, de 22 de enero de 2014. C)

Acceso a mensajes del móvil

La misma solución de precisar de autorización judicial resulta aquí predicable para acceder a los mensajes existentes en el teléfono móvil, ya que forman parte del proceso comunicativo. Por ejemplo, la STS, Sala 2ª, de 5 de febrero de 2010, sobre el acceso por la policía a mensajes archivados en el móvil sin autorización judicial, indica que tanto el Tribunal

Constitucional (STC 123/2002, de 20 de mayo) como el Tribunal Europeo de Derechos Humanos (en el caso Copland c. Reino Unido, de 3 de abril de 2007), han entendido que los datos registrados durante un proceso de comunicación, como propios del mismo, permanecen protegidos por el derecho al secreto de las comunicaciones, aunque se tomen en consideración una vez finalizado el proceso comunicativo. De ahí que la toma de conocimiento sólo podría tener lugar mediando autorización judicial. D)

Registro de la agenda del teléfono móvil

A diferencia del apartado anterior, el conocimiento de los teléfonos existentes en la agenda de un teléfono móvil no vulnera el secreto de las comunicaciones, y por ello no es necesaria autorización judicial para el acceso a la misma (SSTS, Sala 2ª, de 21 de noviembre de 2017 y de 17 de diciembre de 2009). La cuestión ha quedado definitivamente zanjada en la STC 115/2013, de 9 de mayo, esclareciendo que no habiendo conversación ni manifestación de hechos por el interlocutor, no se interfirió en el ámbito propio que el secreto de las comunicaciones protege. Y la visión del número emisor que automáticamente aparece en la pantalla del receptor al margen de la voluntad de quien llama, y perceptible por cualquiera que tenga a la vista el aparato, no entraña interferencia en el ámbito privado de la comunicación; ni tampoco lo es la previa comprobación de la memoria del aparato, que tiene a tal efecto el simple carácter de una agenda electrónica y no la consideración de un teléfono en funciones de transmisión del pensamiento dentro de una relación privada de comunicación entre dos personas: «No estamos, por tanto, ante un supuesto de acceso policial a funciones de un teléfono móvil que pudiesen desvelar procesos comunicativos, lo que requeriría, para garantizar el derecho al

secreto de las comunicaciones (art. 18.3 CE), el consentimiento del afectado o la autorización judicial, conforme a la doctrina constitucional antes citada. El acceso policial al teléfono móvil del recurrente se limitó exclusivamente a los datos recogidos en la agenda de contactos telefónicos del terminal —entendiendo por agenda el archivo del teléfono móvil en el que consta un listado de números identificados habitualmente mediante un nombre–, por lo que debe concluirse que dichos datos "no forman parte de una comunicación actual o consumada, ni proporcionan información sobre actos concretos de comunicación pretéritos o futuros" (STC 142/2012, FJ 3), de suerte que no cabe considerar que en el presente caso la actuación de los agentes de la Policía Nacional en el ejercicio de sus funciones de investigación supusiera una injerencia en el ámbito de protección del art. 18.3CE.» Distinto sería el caso si el acceso policial lo hubiera sido a cualquier otra función del teléfono móvil que pudiera desvelar procesos comunicativos (por ejemplo, acceder a las conversaciones de WhatsApp), supuesto en el que tal acceso solo resultaría constitucionalmente legítimo si media consentimiento del propio titular del terminal o autorización judicial, dada la circunstancia indubitada de que un teléfono móvil es un instrumento cuyo fin esencial es la participación en un proceso comunicativo protegido por el derecho al secreto de las comunicaciones ex art. 18.3 CE, como también advierte la citada STC 142/2012.

1.2. Captación y grabación de comunicaciones orales mediante la utilización de dispositivos electrónicos El nuevo capítulo VI del título VIII del libro II de la Ley de Enjuiciamiento Criminal, que comprende los arts. 588 quáter a) al 588 quáter e) LECrim, regula la captación y grabación de comunicaciones orales mediante la utilización de dispositivos electrónicos —los más conocidos son el micrófono ambiente y la cámara oculta, pero también el propio teléfono móvil e incluso ahora los drones—, es

decir, de las conversaciones que mantengan en directo dos o más personas frente a frente, sin la mediación de aparato o mecanismo alguno, ni, por tanto, de operador de telecomunicaciones o de servicios de Internet. Es evidente que estas conversaciones, cualquiera que sea el lugar en que se produzcan —a veces abierto, otras privado —, deben ser especialmente protegidas pues, salvo que se hable a voz en grito o en público para darlo a conocer a cualquiera, es a través de este tipo de comunicación como se transmiten las noticias y los hechos más íntimos de una persona, que sabe que su único escuchante es el sujeto que tiene enfrente y habla para él. Precisamente el sentido de esta medida, que arrasa con la intimidad, es sorprender a los comunicantes para que se pasen toda la información posible en la creencia de que lo transmitido quedará exclusivamente en el dominio de quienes participan en la comunicación (MORENO CATENA (18) ). En realidad, la medida va más allá, pues también permite la captación de imágenes (art. 588 quater a).3 LECrim), pero siempre complementaria y subordinada a la escucha y grabación de estas conversaciones privadas. Constituye igualmente un desarrollo específico en el ámbito del proceso penal del derecho fundamental al secreto de las comunicaciones del art. 18.3 de la Constitución, pero no sólo, pues también está afectado el derecho a la inviolabilidad del domicilio del art. 18.2 CE y el derecho a la privacidad (intimidad y propia imagen) del art. 18.1 de la Constitución, porque el dispositivo electrónico lo puede portar uno de los interlocutores. En este caso la injerencia es mayor que la de una mera intervención telefónica, de ahí la necesidad de una regulación específica de estas intervenciones. Acertadamente no indica la LECrim qué tipo de dispositivos tecnológicos concretos pueden ser usados en la labor de captación en abierto del audio/video del investigado, y no lo

hace intencionadamente, pues no quiere que la congelación concreta de alguno de ellos se quede técnicamente obsoleta o dé lugar a problemas interpretativos, para resaltar y centrarse en lo que importa a un Derecho procesal garantista, que es el juicio ponderativo de cara a la habilitación judicial de esta diligencia en el caso a investigar. La razón para introducir esta medida de investigación se funda en la experiencia que ha proporcionado la persecución de determinados delitos, en los que captar lo que están hablando dos personas en un lugar público o abierto con medios técnicos resulta imprescindible para su esclarecimiento. Además, en la situación anterior a la vigencia de la Ley Orgánica 13/2015, en la práctica se aplicaba analógicamente el art. 579 LECrim (19) para poder realizar estas diligencias. Por eso, la STC 145/2014, de 22 de septiembre, que sigue las SSTEDH Kruslin c. Francia y Huvig c. Francia, de 24 de abril de 1990, señaló que la colocación de un micrófono ambiente, en el caso concreto en una celda policial con permiso judicial, contravenía el art. 18.3 CE, pues debía sustentarse y estar recogida la medida «en la legislación aplicable del Estado» (principio de legalidad), excluyendo de este modo la posible arbitrariedad y que el juez la pudiera autorizar válidamente recurriendo a interpretaciones analógicas a las interceptaciones de las comunicaciones telefónicas, añadiendo el TC que «en ausencia plena de regulación normativa es de todo punto inviable el más lejano aseguramiento de esas garantías básicas». Al tratarse de comunicaciones directas o no intermediadas, se incluirían aquí (y no en el art. 588 ter LECrim) la captación de las que se realicen a través de walkie-talkie, emisoras de radiofrecuencia, o simplemente del telefonillo en un portero automático, pero vinculadas al investigado —lo que no impide registrar las de las personas que conversan y se relacionen en la actividad

delictiva investigada con él, que pueden ser de más de dos interlocutores, tantos cuantos participen en la conversación captada—. De este modo, la medida que analizamos se diferencia: a) De una parte, de la interceptación de las telecomunicaciones regulada en el art. 588 ter LECrim, examinada en el apartado anterior, además de que tal interpretación es ajena al derecho a la inviolabilidad domiciliaria del art. 18.2 CE, aquí la medida es puntual, dado que se registran meramente conversaciones orales e imágenes complementarias —esto es, ayuda al conocimiento instantáneo de comunicaciones e identidades —, y no afecta a otra información, ni a archivos, ni a datos técnicos asociados, ni a contenidos digitales, por no inmiscuirse en procesos telecomunicativos al ocurrir en abierto y, sobre todo, porque en la captación de comunicaciones orales no hay operador de telecomunicaciones o proveedor intermediario que auxilie en la ejecución judicial de esta diligencia, puesto que la comunicación no está intermediada y, por tanto, la captación la realiza directamente la policía. b) De otra, de los dispositivos técnicos de captación de imagen, seguimiento y localización regulados en el art. 588 quinquies LECrim, que examinaremos después, ya que consisten fundamentalmente en los que usan tecnología geolocativa tipo GPS y destinados autónomamente a identificar personas, localizar instrumentos o efectos del delito y obtener datos relevantes para el esclarecimiento de los hechos investigados (art. 588 quinquies a).1 LECrim), y asimismo tampoco exige saber si se van a producir encuentros concretos por indicios previsibles, lo que permite al investigador policial una continuidad en el tiempo de su ejecución e incluso la convalidación judicial de la colocada

por los cuerpos policiales o el Ministerio Fiscal por operar razones de urgencia. Como hay un evidente peligro de extralimitación, la LECrim limita la procedencia del acto de investigación a encuentros concretos que vaya a mantener el investigado, debiéndose identificar con precisión el lugar o dependencias sometidos a vigilancia. En otras palabras, no se legitiman autorizaciones de captación y grabación de conversaciones orales con carácter general o indiscriminadas. Sin embargo, cabe criticar que la reforma de la LECrim no haya incluido una regulación específica de las grabaciones de las conversaciones privadas entre dos o más personas a través de micrófonos ocultos, micrófonos direccionales o cámaras ocultas, por la incidencia que estas grabaciones pueden tener en el derecho a la intimidad y a la propia imagen del afectado. La reforma de 2015 tampoco ha contemplado una regulación específica de la intervención de las comunicaciones telefónicas, o mediante dispositivos electrónicos, entre letrado e investigado fuera del ámbito carcelario —dentro de la prisión se encuentran reguladas en el art. 51.2 de la LOGP, exclusivamente para los casos de terrorismo y por orden de la autoridad judicial— por verse afectados el derecho no sólo a la intimidad, sino al derecho fundamental de no declarar contra sí mismos y el secreto profesional. a) Objeto De acuerdo con el art. 588 quáter a) LECrim, podrá autorizarse la colocación y utilización de dispositivos electrónicos que permitan la captación y grabación de las comunicaciones orales directas que se mantengan por el investigado en: — la vía pública;

— en otro espacio abierto; — en su domicilio; o — en cualesquiera otros lugares cerrados. Por ello, los dispositivos de escucha y grabación podrán ser colocados tanto en el exterior como en el interior del domicilio o lugar cerrado. No establece la LECrim ningún lugar exento. Pero si fuese necesaria la entrada en el domicilio o en alguno de los espacios destinados al ejercicio de la privacidad para la instalación de los correspondientes dispositivos, la resolución habilitante habrá de extender su motivación a la procedencia del acceso a dichos lugares, muy especialmente en los que consistan en ámbitos domiciliarios donde normalmente se manifiesta una especial expectativa de intimidad. En consecuencia, ningún lugar está exento de control, ni el dormitorio o el baño resultan lugares de dominio exclusivo de su titular, porque la policía, con autorización judicial, puede «colarse en la alcoba» y ubicar un dispositivo de escucha debajo de la cama. Adicionalmente, la escucha y grabación de las conversaciones privadas se podrá complementar con la obtención de imágenes cuando expresamente lo autorice la resolución judicial que la acuerde. Con ello queda afectado no sólo el investigado sino también todo su entorno familiar. Ello ha llevado a un sector doctrinal a criticar la extensión con que se contempla la medida, especialmente porque no distingue entre unos lugares y otros, siendo así que la propia Constitución dispensa un especial tratamiento al domicilio (art. 18.3 CE). Lo único que prevé la LECrim es que, si el dispositivo se ha de colocar en un domicilio o en un lugar destinado al ejercicio de la privacidad, la resolución habilitante, el auto del juez, habrá de pronunciarse específicamente sobre la procedencia de acceder a esos lugares (art. 588 quater.a.2) LECrim).

Según ha precisado la jurisprudencia, no integran el concepto de vivienda los locales comerciales o de esparcimiento como bares, tabernas, pubs, restaurantes, tiendas, locales de exposición, almacenes, etc. (SSTS, Sala 2ª, de 25 de octubre de 2012, de 7 de septiembre de 1993 y de 11 de junio de 1991), las habitaciones reservadas de un club de libre acceso al público (STS, Sala 2ª, de 18 de febrero de 2014), las cocinas de los establecimientos públicos (por ejemplo, SSTS, Sala 2ª, de 31 de diciembre de 2002 y de 20 de noviembre de 1995), estando permitidas las grabaciones realizadas en las propias dependencias policiales (STS, Sala 2ª, de 5 de junio de 2013). Sin embargo, cuando se trata de grabar imágenes en baños públicos, la jurisprudencia sólo habilita su captación en las zonas comunes de los lavabos, no en la reservada a los retretes por estar afectado el derecho a la intimidad (STS, Sala 2ª, de 5 de mayo de 1997). Tampoco estaría permitido por afectar al derecho a la intimidad la captación de imágenes en vestuarios de domicilios privados, empresas o gimnasios. Sí, en cambio, el sonido. b) Presupuestos Se establecen en el art. 588 quáter b) LECrim. En primer lugar, la utilización de los dispositivos a que se refiere el artículo anterior ha de estar vinculada a comunicaciones que puedan tener lugar en uno o varios encuentros concretos del investigado con otras personas y sobre cuya previsibilidad haya indicios puestos de manifiesto por la investigación. Por lo tanto, el auto autorizante habrá de contener una mención concreta al lugar o dependencias, así como a los encuentros del investigado que van a ser sometidos a vigilancia (art. 588 quater.c) LECrim) y, desde luego, deberá concretar el tiempo —que, por la configuración de esta medida, ha de ser muy corto— por el que se pueda mantener el dispositivo de grabación.

De este modo, la LECrim excluye la posibilidad de grabaciones o filmaciones continuadas, que son lo opuesto a encuentros concretos o puntuales. El propio Preámbulo de la Ley Orgánica 13/2015, de 5 de octubre, así lo resalta expresamente, al destacar cómo: «...por tanto, no caben autorizaciones de captación y grabación de conversaciones orales de carácter general o indiscriminadas, y, en consecuencia, el dispositivo de escucha y, en su caso, las cámaras a él asociadas, deberán desactivarse tan pronto finalice la conversación cuya captación fue permitida, como se desprende del artículo 588 quater c)». Y aunque la LECrim se refiere a ubicaciones espaciales, no hay obstáculo en que el micrófono o la cámara sean portadas por una persona que acude al encuentro (por ejemplo, un colaborador policial o la propia víctima), incluso que se realice la captación y grabación en situaciones dinámicas en movimiento (por ejemplo, un desplazamiento en un paseo, practicando deporte o en un vehículo). La norma insiste en que se señale el lugar y momento donde, por su ubicación y contexto temporal, se hayan captado las conversaciones, para evitar que se suplanten por otras ocurridas en otro sitio o día diferente que no fueron autorizados. Pero, en segundo lugar, señala el apartado segundo del precepto que solo podrá autorizarse cuando concurran los requisitos siguientes: a) Que los hechos que estén siendo investigados sean constitutivos de alguno de los siguientes delitos: — delitos dolosos castigados con pena con límite máximo de, al menos, 3 años de prisión; — delitos cometidos en organización criminal; — delitos de terrorismo.

el

seno

de

un

grupo

u

b) Que pueda racionalmente preverse que la utilización de los dispositivos aportará datos esenciales y de relevancia probatoria para el esclarecimiento de los hechos y la identificación de su autor. En consecuencia, no cabe autorizar esta diligencia para ciberdelitos que no cubran estas exigencias específicas, a diferencia de lo que sucedía en la medida de investigación tecnológica anterior que no establece ningún condicionante finalista. La vigente redacción se aleja del texto del Anteproyecto de la LECrim, en la que, además de incluirse los delitos de terrorismo y los cometidos por organizaciones criminales, se incluían los delitos cometidos contra menores y personas con capacidad modificada judicialmente u «otros delitos que, en virtud de las circunstancias del caso, puedan ser considerados de especial gravedad», expresión que fue rechazada por el CGPJ y por el Consejo Fiscal en su informe del Anteproyecto. Según el Consejo Fiscal, esta fórmula resultaba «adecuada pero debía precisarse más, al menos con una remisión a criterios de necesidad, adecuación y proporcionalidad en función de la naturaleza, gravedad y características del hecho investigado».

c) Solicitud No indica la LECrim a quién se le puede autorizar la práctica de esta diligencia, pero siguiendo lo dispuesto en las disposiciones comunes a modo de parte general sólo cabe autorizarse al Ministerio Fiscal y a la Policía Judicial — incluso extranjeros, en el caso de comisiones rogatorias—, o asumirlo de oficio el Juez de Instrucción. A juicio de VELASCO NÚÑEZ (20) , no cabe que pueda encomendarse a investigadores privados, tipo detectives, o a ciudadanos particulares, pues la LECrim refuerza el carácter público del uso de medios lesivos de derechos fundamentales en la investigación penal, de modo que los particulares que crean que el uso de medios tecnológicos de investigación es necesario deben acudir a los sujetos

legitimados por la ley, lo que no descarta que, en la colocación, se auxilien los agentes policiales o judiciales o el fiscal que la ejecute de ciudadanos —colaboradores, testigos protegidos o víctimas— que puedan portarlos subrepticiamente o colocarlos en un lugar al que tengan permitido el acceso, pero siempre bajo control judicial. d) Autorización Aunque la LECrim no lo dice expresamente, es el juez el único que puede autorizar la colocación y uso de tales dispositivos. No cabe admitir que ejecuten por propia iniciativa la misma ni el Ministerio Fiscal ni la Policía Judicial, ni siquiera en situaciones de urgencia, puesto que se trata de una auténtica medida de restricción de derechos fundamentales que sólo puede aprobar el Juez de Instrucción competente. Como luego se verá en la siguiente diligencia de utilización de dispositivos técnicos de captación de la imagen, de seguimiento y de localización, cuando se trata de captar y grabar imágenes en espacios públicos, la Policía Judicial no precisa de autorización judicial «...si ello fuera necesario para facilitar su identificación, para localizar los instrumentos o efectos del delito u obtener datos relevantes para el esclarecimiento de los hechos» (art. 588 quinquies a).1 LECrim), pero la autorización judicial es requisito indispensable para la validez de la medida si las imágenes tomadas en espacios públicos van acompañadas de una simultánea grabación del sonido (art. 588 quater a).1 LECrim), siendo siempre necesaria cuando la grabación del sonido y la captación de imágenes se realiza en lugares cerrados o en el propio domicilio. El contenido del auto motivado, además de las exigencias reguladas en el artículo 588 bis c) LECrim que ya conocemos, deberá contener (art. 588 quáter c) LECrim): — una mención concreta al lugar o dependencias; y

— los encuentros del investigado que van a ser sometidos a vigilancia. Para cuando en la instalación del dispositivo fuera necesario entrar en un domicilio o en algún espacio destinado al normal ejercicio de la privacidad, la resolución judicial que lo habilite debe extender su motivación a la procedencia de acceder a esos lugares, pues el precepto está pensando que en este concreto supuesto también se afecta el derecho a la inviolabilidad domiciliaria, protegido al margen del secreto de la comunicación, por el art. 18.2 CE. Sin embargo, la práctica enseña que la motivación es semejante y puede hacerse por remisión a la que permita la legal afección del art. 18.3 CE, ya que, aunque se trate de derechos fundamentales independientes, se funda su transgresión legal en una misma causa (v. gr., se permite la escucha ambiental para conseguir pruebas de un presunto delito proporcional, grave, no fácil de probar por medios alternativos menos inmisivos, ante la alta probabilidad de que sea expresamente tratado en un encuentro que se va a producir en un lugar al que hay que acceder, por esas mismas razones). La entrada en el ámbito privado es meramente instrumental respecto de los motivos de aprehensión probatoria que se pretenden, porque, en definitiva, la razón de entrar es que se espera que en ese ámbito domiciliario vaya a producirse la prueba ante la relajación comunicativa que suelen propiciar esos espacios (VELASCO NÚÑEZ).

La mención en el auto habilitante de «los encuentros del investigado sometidos a vigilancia», trata de evitar como dijimos autorizaciones prospectivas, limitándose a aquellos encuentros que, según la investigación policial, puedan proporcionar pruebas de la comisión del hecho delictivo objeto de investigación y de relevancia para la causa. Sin embargo, el legislador ha omitido cualquier mención al plazo de duración de la medida, tal y como se recoge en el art. 588 ter g) LECrim para la interceptación de las

comunicaciones telefónicas y telemáticas, omisión que no puede interpretarse como un olvido del legislador, sino al hecho de que estos encuentros no pueden prolongarse en el tiempo, teniendo su duración acotada al encuentro mismo, cesando la medida finalizado el encuentro, de ahí la importancia de que «...cesada la medida por alguna de las causas previstas en el art. 588 bis j), la grabación de las conversaciones que puedan tener lugar en otros encuentros o la captación de imágenes de tales momentos exigirán una nueva autorización judicial» (art. 588 quater e) LECrim). En este sentido, ORDUNA NAVARRO (21) , considera que la norma autoriza la escucha y cese para cada encuentro, de forma que un nuevo encuentro requerirá una nueva autorización judicial, y finalizado el mismo se producirá su desactivación, por lo que la LECrim no autoriza las escuchas continuadas. Ya sabemos que con el auto que lo autorice se abrirá, ope legis, una pieza secreta instrumental separada si no la hubiere ya por convivir con otras medidas restrictivas previas, sobre todo teniendo en cuenta que pueda haber más encuentros entre investigados que grabar en el futuro, que obrará al margen de su unión a la causa principal. Cuando se alce el secreto respecto de todos los afectados en la causa o cesen las medidas restrictivas secretas —salvo otra disposición en la principal por obra del art. 302 LECrim —, se unirá a la causa principal en los términos que ya han sido expuestos con anterioridad. e) Práctica Como colocar y retirar estos dispositivos de grabación en cada concreto encuentro plantea numerosas dificultades operativas prácticas, ya que supondría constantes invasiones de espacios privados y tendría más riesgo de detectarse al ser reiterada, en los casos en los que se prevea que haya periodicidad en las reuniones, se ha defendido por un prestigioso sector doctrinal que, en vez de

colocar y descolocar el equipo para cada ocasión, simplemente una vez instalado éste se active y desactive el micrófono o la cámara en remoto para ese encuentro concreto, y acabado el encuentro se proceda a su inmediata desactivación. Por ello, «colocar y activar podrían entenderse así sinónimos, mejorando la operatividad de la medida, en el entendimiento de que sólo constituiría prueba válida la autorizada judicialmente, y de que escuchar algo en períodos no autorizados sería simplemente delito» [bien del art. 197.1 CP, o si fuera el funcionario autorizado el tipo del art. 536 CP] (22) , lo cual además incurriría en prueba nula prohibida por el art. 11 LOPJ. f) Control En cumplimiento de lo dispuesto en el artículo 588 bis g) LECrim, la Policía Judicial pondrá a disposición de la autoridad judicial el soporte original o copia electrónica auténtica de las grabaciones e imágenes, que deberá ir acompañado de una transcripción de las conversaciones que considere de interés. El informe identificará a todos los agentes que hayan participado en la ejecución y seguimiento de la medida (art. 588 quáter d) LECrim). Sin embargo, la reforma no ha incluido en un apartado autónomo, como en las intervenciones telefónicas y telemáticas, una mención expresa a que la adopción de la diligencia de grabación y captación de las comunicaciones orales mediante dispositivos electrónicos llevará implícito el secreto de las actuaciones. MARCHENA GÓMEZ y GONZÁLEZ-CUÉLLAR SERRANO han criticado que la reforma no haya estimado conveniente incluir un precepto similar al que regula el acceso de las partes a las grabaciones cuando se trata de intervenciones telefónicas o telemáticas (art. 588 ter i) LECrim). El hecho de que la grabación del sonido o de la imagen a que se refiere el art. 588 quater a) sólo se contemple como una diligencia de investigación ad hoc, concebida para uno o varios encuentros concretos, no

debe llevar a descartar la conveniencia de un expediente de selección de contenidos, inspirado en el art. 588 ter i) LECrim, especialmente cuando se hayan producido conversaciones que en nada conducen al éxito de la investigación. Se ha criticado asimismo que la LECrim exija a la policía remitir al juez una copia, lo que supone que los originales se conservarán, o se podrán mantener, en las propias dependencias y archivos policiales sin ningún control judicial; esta circunstancia no debería autorizarse en ningún caso, máxime cuando se trata de las imágenes y sonidos que más directamente afectan a la privacidad y a la intimidad del sujeto pasivo (MORENO CATENA).

g) Consecuencias del cese de la medida De acuerdo con el art. 588 quáter e) LECrim, cesada la medida por alguna de las causas previstas en el artículo 588 bis j), la grabación de conversaciones que puedan tener lugar en otros encuentros o la captación de imágenes de tales momentos exigirán una nueva autorización judicial. Además, como entiende la práctica de la Audiencia Nacional, «colocación» se entiende como sinónimo de activación, por lo que una vez colocado el dispositivo es necesario una nueva autorización judicial para su activación cada vez que, además del encuentro inicialmente previsto, haya noticia verosímil de que otro vaya a producirse y esté vinculado al delito que se investiga (y evitar así, por tanto, incurrir en la comisión de un delito del art. 197.1 CP o del 536 CP). h) Grabación conversaciones

por

un

particular

de

sus

propias

Grabar conversaciones privadas entre dos o más personas a través de micrófonos ocultos o micrófonos direccionales no ha sido expresamente previsto en la LECrim tras la reforma de 2015, sin embargo el Tribunal Supremo ha admitido la colocación de aparatos de escucha y grabación de

conversaciones directas (SSTS, Sala 2ª, de 16 de mayo de 2014, de 2 de junio de 2010 y de 10 de febrero de 1998). En efecto, la jurisprudencia de la Sala Segunda del Tribunal Supremo es unánime en considerar que la grabación que un particular haga de sus propias conversaciones, telefónicas o de otra índole, no supone un atentado al secreto de las comunicaciones. Esta doctrina se aplica en las SSTS, Sala 2ª, de 24 de junio de 2011, de 28 de octubre de 2009 y de 2 de febrero de 2006, con base en la STC 114/1984, de 29 de noviembre, a la que luego nos referiremos, precisando la STS, Sala 2ª, de 25 de mayo de 2005 que «...las cintas grabadas no infringen ningún derecho, en particular el art. 18.3 CE debiendo distinguir entre grabar una conversación de otros y grabar una conversación con otros. Pues no constituye violación de ningún secreto la grabación de un mensaje emitido por otro cuando uno de los comunicantes quiere que se perpetúe. Además, —como recuerda la STS de 11-3-2003—, la STS de 1-3-96 ya entendió que no ataca el derecho a la intimidad, ni al secreto a las comunicaciones, la grabación subrepticia de una conversación entre cuatro personas, realizada por una de ellas. Y la STS 2/98, 29 de julio, dictada en la causa especial 2530/95, consideró que tampoco vulneran tales derechos fundamentales las grabaciones magnetofónicas realizadas por particulares de conversaciones telefónicas mantenidas con terceras personas, ya que el secreto de las comunicaciones se refiere esencialmente a la protección de los ciudadanos frente al Estado». Por tanto, el secreto de las comunicaciones se vulnera cuando un tercero no autorizado interfiere y llega a conocer el contenido de las que mantienen otras personas (STS, Sala 2ª, de 5 de abril de 2017), no hay vulneración cuando uno de los comunicantes se limita a perpetuar, mediante grabación mecánica, el mensaje emitido por el otro. Aunque esta perpetuación se haya hecho de forma subrepticia y no

autorizada por el emisor del mensaje y aunque éste haya sido comunicado en la creencia de que el receptor oculta su verdadera finalidad, no puede ser considerado el mensaje secreto e inconstitucionalmente interferido: no es secreto porque ha sido publicado por quien lo emite y no ha sido interferido, en contra de la garantía establecida en el art. 18.3 CE, porque lo ha recibido la persona a la que materialmente ha sido dirigido, y no por un tercero que se haya interpuesto (STS, Sala 2ª, de 9 de noviembre de 2001). La STS, Sala 2ª, de 29 de julio de 1998 rechaza la prueba consistente en una grabación entre dos de los acusados y se expulsa del procedimiento porque no se acredita quién realizó la misma. Existe una mínima duda de que podía haber sido realizada por un tercero, pues nadie reconoce la autoría de la grabación, y por ello no se puede considerar como prueba válida. Pero se señala que «si había sido él [uno de los interlocutores] quien hubiera realizado la grabación, en cuyo caso la violación del derecho fundamental del art. 18.3 de la CE no habría existido».

Tampoco hay vulneración del derecho al secreto de las comunicaciones en el caso de una conversación escuchada por los agentes policiales a través del «manos libres» del móvil que autoriza uno de los interlocutores (STS, Sala 2ª, de 28 de septiembre de 2015). En este último caso, las conversaciones habidas con este acusado fueron llevadas a cabo directamente por X a través de un teléfono con número oculto de la unidad policial, desde la propia Comisaría, que voluntariamente accedió a llamar al acusado, mantuvo libremente las conversaciones con el mismo, y simplemente puso el altavoz o «manos libres» para que las conversaciones fueran escuchadas por los agentes, que se limitaron a constatar lo que se decía en las mismas.

Por su parte, el Tribunal Constitucional ha venido reconociendo de forma constante que debe excluirse toda

tacha de inconstitucionalidad derivada de la grabación y ulterior utilización en juicio de lo grabado por uno de los interlocutores (STC 56/2003, de 24 de marzo, y la pionera STC 114/1984, de 29 de noviembre (23) ). Otra cosa distinta será que no conste la autenticidad de lo grabado porque pueda alegarse en juicio que la conversación ha sido manipulada por la persona que la grabó. En este caso la prueba sería lícita pero afectaría a la fiabilidad. Como recapitulación, la STS, Sala 2ª, de 15 de julio de 2016 recopila la jurisprudencia del Alto Tribunal en materia de intervención de conversaciones entre particulares, con especial mención a la jurisprudencia constitucional más reciente, y que puede condensarse en los siguientes postulados: 1.º) La utilización en el proceso penal de grabaciones de conversaciones privadas grabadas por uno de los interlocutores no vulnera en ningún caso el derecho constitucional al secreto de las comunicaciones (a diferencia de las realizadas por terceros que interfieren la conversación de otros, salvo que medie autorización judicial). 2.º) Tampoco vulnera el derecho constitucional a la intimidad, salvo casos excepcionales en que el contenido de la conversación afectase al núcleo íntimo de la intimidad personal o familiar de uno de los interlocutores. 3.º) Vulneran el derecho fundamental a no declarar contra sí mismo y a no confesarse culpable, y en consecuencia incurren en nulidad probatoria, cuando las grabaciones se han realizado desde una posición de superioridad institucional (agentes de la autoridad o superiores jerárquicos) para obtener una confesión extraprocesal arrancada mediante engaño, salvo los supuestos de grabaciones autorizadas por la autoridad judicial.

4.º) No vulneran el derecho fundamental a no declarar contra sí mismo y a no confesarse culpable cuando se han realizado en el ámbito particular. 5.º) Pueden vulnerar el derecho a un proceso con todas las garantías cuando la persona grabada ha sido conducida al encuentro utilizando argucias, con la premeditada pretensión de hacerle manifestar hechos que pudieran ser utilizados en su contra, en cuyo caso habrán de ponderarse el conjunto de circunstancias concurrentes. 6.º) Las manifestaciones realizadas por el inculpado en estas grabaciones no pueden considerarse como confesión de los hechos a los que se refieren. En este caso, pueden utilizarse como medio de prueba directa del delito que se reproduce en la grabación y como refuerzo de la declaración testifical de quien la aporta, siempre que no haya sido manipulada. i) Grabación por un tercero de las conversaciones de otras personas Por el contrario, el secreto de las comunicaciones sí se vulnera cuando un tercero no autorizado interfiere y llega a conocer el contenido de las que mantienen otras personas. La jurisprudencia del Tribunal Supremo no permite que un tercero grabe las conversaciones que mantienen otras personas cuando ese tercero es ajeno a la conversación. En efecto, el secreto de las comunicaciones se viola cuando un tercero no autorizado interfiere y llega a conocer el contenido de las que mantienen otras personas. El mensaje es secreto, ya que no iba dirigido a la persona que lo graba o capta, y ha sido interferido, en contra de la garantía establecida en el art. 18.3 CE, porque lo ha recibido la persona a la que materialmente no iba dirigido, ese tercero que se ha interpuesto (STS, Sala 2ª, de 9 de noviembre de 2001).

j) Utilización de cámara oculta Se trata de grabaciones realizadas por periodistas que realizan reportajes de investigación, y que emplean aparatos ocultos de grabación de imagen y/o sonido para acreditar todo lo que realizan y posteriormente publicar dichas grabaciones en los medios audiovisuales, con la finalidad de denunciar ante la opinión pública determinadas conductas. A raíz de la STC 12/2012, de 30 de enero, y las posteriores SSTC 24/2012, de 27 de febrero y 74/2012, de 16 de abril, se ha fijado una doctrina constitucional que establece limitaciones a la utilización de las cámaras ocultas por parte de los periodistas a la hora de realizar reportajes de investigación. La primera de dichas sentencias declara por primera vez ilegítimo el uso de cámaras ocultas en el ámbito periodístico, señalando que la utilización de estos medios de grabación está constitucionalmente prohibida al margen de la relevancia pública del objeto de investigación. En dicho caso, una periodista, haciéndose pasar por una paciente, acudió a la consulta de una esteticista y naturista, por lo que fue atendida por ésta en la parte de su vivienda destinada a consulta, ocasión utilizada por la primera para grabar la voz y la imagen de la segunda por medio de una cámara oculta. El TC señala que la relación entre la periodista y la esteticista/naturista se desarrolló en un ámbito indudablemente privado y que, de acuerdo con la jurisprudencia del TEDH, una conversación mantenida en un lugar específicamente ordenado a asegurar la discreción de lo hablado, como ocurre por ejemplo en el despacho donde se realizan las consultas profesionales, pertenece al ámbito de la intimidad. Afirma que la ausencia de consentimiento expreso, por parte de la persona que es objeto de grabación, vulnera su derecho a la libertad personal. Y, en cuanto al derecho a la propia imagen, la persona grabada

subrepticiamente fue privada del derecho a decidir, para consentirla o para impedirla, sobre la reproducción de la representación de su aspecto físico y de su voz, determinantes de su plena identificación como persona. La STC 24/2012 analiza un supuesto similar de grabación con el método de cámara oculta en que la persona grabada se encontraba en su despacho de una clínica atendiendo una consulta con una periodista, que se había hecho pasar por una cliente solicitante de asesoramiento de un tratamiento de adelgazamiento. Y en la STC 74/2012 se trataba de varios reportajes grabados con cámara oculta sobre pseudociencias, que reprodujeron unas imágenes obtenidas con el método de cámara oculta, en las que aparecía una persona en su vivienda con dos periodistas que se habían hecho pasar por un matrimonio que acudió para formular una consulta de parapsicología. En las tres sentencias se trata de supuestos en los que se rechaza el amparo solicitado por las productoras de televisión que alegaban la vulneración del derecho a comunicar libremente información veraz —art. 20.1 d) CE— frente a las sentencias de la Sala 1ª del Tribunal Supremo que habían confirmado las respectivas condenas en la instancia. Ahora bien, el rechazo de la utilización del método de la cámara oculta como instrumento periodístico, no puede extrapolarse al campo del Derecho penal. Así lo declara expresamente la STS, Sala 2ª, de 28 de octubre de 2013, que estima los recursos del Ministerio Fiscal y de la acusación particular frente a la decisión del tribunal de instancia que rechazó como prueba la reproducción en el acto del juicio oral de las grabaciones de vídeo realizadas por un equipo de la televisión pública danesa sobre la práctica abortiva seguida en alguna de las clínicas investigadas. Dichas grabaciones se habían realizado mediante el sistema de cámara oculta.

Más recientemente, la STS, Sala 2ª, de 10 de marzo de 2016, reitera esta doctrina desestimando la pretensión de nulidad: «La jurisprudencia constitucional no permite afirmar que, a partir de la STC 12/2012, de 30 de enero, la utilización de una cámara oculta conlleve, siempre y en todo caso, una vulneración de los principios y derechos que convergen en el proceso penal. La conclusión acerca de la licitud o exclusión de esa prueba sólo puede ser el desenlace lógico de un riguroso juicio de ponderación entre los derechos a la intimidad y a la propia imagen y la posible existencia de un fin legítimo, atendiendo siempre a los principios de proporcionalidad, necesidad y racionalidad. Sólo entonces, después de hacer explícitas las razones y criterios que han presidido la tarea ponderativa, se estará en condiciones de proclamar la legitimidad del sacrifico de aquellos derechos o, por el contrario, su exclusión como fuente de prueba por su irreparable ilicitud. Son perfectamente imaginables supuestos en los que esas imágenes, por su propio contenido, por el lugar en el que han sido captadas, por el contexto en el que se ha desarrollado la entrevista, por el papel asumido por sus protagonistas y, en fin, por la escasa gravedad del hecho cuya prueba se pretende garantizar, puedan justificar su rechazo. Sin embargo, no faltarán otros en los que el examen en el proceso penal de esas imágenes grabadas, con el consiguiente sacrificio del derecho a la intimidad del interlocutor, estará más que justificado. Optar por una u otra solución y motivar las razones que explican la decisión jurisdiccional es una exigencia de nuestro sistema constitucional.»

k) Grabaciones por detectives privados En muchos casos, la complejidad operativa y técnica que puede suponer la grabación de una conversación con otro, a pesar de los adelantos tecnológicos producidos en los últimos tiempos, puede dar lugar a que se decida contratar a un investigador privado para que proceda a la grabación de imágenes o sonido de un encuentro propio con un tercero.

Dichos supuestos han sido admitidos por la jurisprudencia. Ahora bien, como señala la STS, Sala 2ª, de 30 de noviembre de 2016, esta posibilidad tiene su límite en que el tercero estuviese expresamente autorizado por alguno de los interlocutores. Si lo está no hay diferencia alguna en que el interlocutor que quiere registrar la conversación lo haga y luego la transmita a ese tercero, o directamente le permita acceder a ella. l) Uso de prismáticos La STS, Sala 2ª, de 20 de abril de 2016 analiza la captación de imágenes del interior de un domicilio por parte de la policía mediante prismáticos, a considerable distancia, desde un edificio ubicado enfrente del de los investigados, observando el intercambio de droga. Declara que se vulnera la intimidad del sospechoso cuando, sin autorización judicial, y para sortear los obstáculos propios de la tarea de fiscalización, se recurre a un utensilio óptico que permite ampliar las imágenes y salvar la distancia entre el observante y lo observado. La protección constitucional de la inviolabilidad del domicilio, cuando los agentes utilizan instrumentos ópticos que convierten la lejanía en proximidad, no puede ser neutralizada con el argumento de que el propio morador no ha colocado obstáculos que impidan la visión exterior, como cerrar cortinas o plegar persianas, por ejemplo. Además, señala la Sentencia: «Es cierto que la reforma no contempla el uso de prismáticos, estos no permiten grabar imágenes, sin embargo la intromisión a la intimidad domiciliaria puede encerrar similar intensidad cuando uno o varios agentes testifican narrando lo que pudieron observar, valiéndose de anteojos en el comedor del domicilio como fue el caso... no concurría ninguno de los supuestos de legitimación de la injerencia a que se refiere el art. 18.2 de la CE (consentimiento titular, autorización judicial o flagrante delito). No medió autorización judicial. Tampoco existió consentimiento

del morador, expreso o implícito, ni por actos concluyentes. Y ello pese al esfuerzo argumental de los Jueces de instancia para derivar esa autorización del hecho de no haber corrido las cortinas del salón principal de la vivienda sita en el piso A del inmueble número NUM001, situado en la CALLE000. La protección frente a la incursión en un domicilio debe abarcar, ahora más que nunca, tanto la entrada física del intruso como la intromisión virtual. La revolución tecnológica ofrece sofisticados instrumentos de intrusión que obligan a una interpretación funcional del art. 18.2 de la CE. La existencia de drones, cuya tripulación a distancia permite una ilimitada capacidad de intromisión en recintos domiciliarios abiertos es sólo uno de los múltiples ejemplos imaginables.»

En cambio, la STS, Sala 2ª, de 18 de febrero de 1999 permite las grabaciones del interior de un domicilio que tiene la ventana abierta por no ser necesaria la autorización judicial para ver lo que el titular de la vivienda no quiere ocultar a los demás.

1.3. Utilización de dispositivos técnicos de captación de la imagen, de seguimiento y de localización El nuevo capítulo VII del título VIII del libro II de la Ley de Enjuiciamiento Criminal regula la utilización de dispositivos técnicos de captación de la imagen, de seguimiento y de localización, y se extiende desde el art. 588 quinquies a) hasta el art. 588 quinquies c) LECrim. Constituye igualmente otro desarrollo específico en el ámbito del proceso penal de los derechos fundamentales reconocidos en el art. 18 de la Constitución. Es decir, incluye dos diligencias diferentes: una, el empleo de dispositivos de tecnovigilancia que sirven para geolocalizar al sospechoso, normalmente del tipo GPS o GNNS, y, otra, la filmación en espacios públicos, por lo que realizaremos su examen por separado. También puede

utilizarse esta última medida de investigación tecnológica en animales o para el seguimiento de cosas, aunque entonces no quedaría afectado el derecho a la intimidad y sería muy dudoso que se hubiera de obtener en estos últimos casos una autorización judicial. 1.3.1. Captación públicos

de

imágenes

en

lugares

o

espacios

a) Objeto La captación de imágenes en lugares o espacios públicos del investigado por la Policía Judicial queda sujeta a los requisitos establecidos en el art. 588 quinquies a) LECrim: — que se encuentre en un lugar o espacio público; — siempre que sea necesario para facilitar su identificación, para localizar los instrumentos o efectos del delito u obtener datos relevantes para el esclarecimiento de los hechos. Se admiten también grabaciones en la vía pública en las inmediaciones de los domicilios de los sospechosos sin que contengan imágenes del interior de las viviendas (STS, Sala 2ª, de 27 de marzo de 2017). Asimismo, esta medida de investigación tecnológica podrá ser llevada a cabo aun cuando afecte a personas diferentes del investigado, siempre que de otro modo se reduzca de forma relevante la utilidad de la vigilancia o existan indicios fundados de la relación de dichas personas con el investigado y los hechos objeto de la investigación. En ambos casos, sólo cabe obtener y grabar por cualquier medio técnico imágenes del investigado o de un tercero, pero nunca de la voz, para lo cual habrá de estarse a la diligencia anterior.

Y, aunque no lo dice expresamente el precepto, también puede realizar válidamente en el proceso penal esta diligencia el Ministerio Fiscal y el Juez de Instrucción. b) Presupuestos El parámetro legal para acordar esta medida es que sea necesaria para facilitar la identificación del investigado, para localizar los instrumentos o efectos del delito u obtener datos relevantes para el esclarecimiento de los hechos. Llama la atención que la LECrim no se refiera a ningún tipo delictivo concreto ni que establezca un rango mínimo de pena a partir del cual resulte procedente la adopción de esta medida. c) Autorización La LECrim habilita la grabación de la imagen en espacio público sin necesidad de autorización judicial en tanto que no exista una injerencia en los derechos fundamentales de la Constitución. La doctrina dominante entiende que la medida es constitucional, pues tal diligencia significa simplemente dejar constancia documental de lo que el investigador policial está viendo con sus propios ojos cuando sigue al sospechoso. Sin embargo, RODRÍGUEZ LÓPEZ (24) cuestiona la ausencia de autorización judicial en aquellos parajes públicos en los que el sujeto pudiera sentirse amparado por una expectativa razonable de estar completamente fuera del alcance de visión de terceras personas, en los cuales «podría cuestionarse seriamente la innecesariedad del respaldo judicial a este tipo de medidas de investigación». Ahora bien, y como apuntamos en el apartado anterior, sí vulnera el derecho constitucional a la inviolabilidad del domicilio y el derecho constitucional a la intimidad la utilización de prismáticos, que ciertamente no graban

imágenes, por la policía desde un lugar público para observar lo que ocurre en un domicilio, aunque las ventanas estén abiertas o las cortinas despasadas; al igual que el uso de drones con la misma finalidad de intrusión virtual. En ambos casos, y a falta del consentimiento del interesado, se requiere autorización judicial expresa (STS, Sala 2ª, de 20 de abril de 2016). 1.3.2. Utilización de dispositivos o medios técnicos de seguimiento y localización a) Objeto La utilización de dispositivos o medios técnicos de seguimiento y localización, según el art. 588 quinquies b) LECrim, además de exigir autorización judicial, impone dos requisitos: — que concurran acreditadas razones de necesidad; y — que la medida resulte proporcionada. Con anterioridad a la reforma de 2015, su utilización ya había sido validada por nuestra jurisprudencia (por ejemplo, STS, Sala 2ª, de 5 de noviembre de 2013). Vid. también la STEDH caso Uzum c. Alemania, de 2 de septiembre de 2010.

Igualmente, y aunque la LECrim no se refiere específicamente a ellos, con idénticos requisitos el juez podría autorizar la colocación de dispositivos comerciales — del tipo navegadores TomTom—. En cualquier caso, estos equipos permiten determinar la posición de una persona o una cosa en un plano geográfico y temporal, tanto en tiempo real como mediante un estudio posterior de los datos recabados por el dispositivo utilizado. b) Presupuestos Respecto de esta medida, la LECrim sólo impone que concurran razones de necesidad y que resulte

proporcionada (art. 588 quinquies.b) LECrim), con lo que los tres primeros principios generales del art. 588 bis a).1 LECrim a los que habrían de ajustarse estas medidas de investigación tecnológica —la especialidad, idoneidad y excepcionalidad— no parecen regir para el uso de estos dispositivos, aunque son exigidos desde hace tiempo por nuestro Tribunal Constitucional para la limitación de cualquier derecho fundamental. Para despejar cualquier duda, resulta conveniente que el auto también se pronuncie sobre los mismos. Llama asimismo la atención que la LECrim no se refiera a ningún tipo delictivo concreto ni que establezca un rango mínimo de pena a partir del cual resulte procedente la adopción de esta medida, como sí lo hace el Código Procesal alemán del cual el legislador español ha tomado esta medida. Por ello, algunos autores sugieren que, con independencia de la gravedad o de la naturaleza delictiva de los hechos que se estuvieran investigando, solamente a partir de la necesidad y de la proporcionalidad se avalaría la autorización de esta medida.

c) Autorización La utilización de dispositivos o medios técnicos de seguimiento y localización requiere autorización judicial ya que se está afectando la intimidad y privacidad del sujeto pasivo, siempre que sea necesaria y proporcionada, autorización que deberá especificar el medio técnico que va a ser utilizado (art. 588 quinquies b) LECrim). Evidentemente, cumplidos los presupuestos habilitantes el juez tiene que resolver la solicitud, conforme al art. 588 bis c) LECrim, en resolución motivada y en el plazo máximo de 24 horas, oído el Ministerio Fiscal. Y, por la aplicación común que ha de hacerse del art. 588 bis c) LECrim, el auto judicial habrá de pronunciarse, asimismo, sobre

el alcance subjetivo y objetivo de la injerencia, debiendo contener los datos relativos al marco espacial y temporal. En particular, ha de hacer referencia al hecho punible objeto de la investigación, a la identidad de los investigados, a la finalidad y extensión de la medida, a la unidad de la Policía Judicial que se hará cargo de la medida, a su duración, al control de los resultados y sujetos obligados y colaboradores.

Del mismo modo, conforme al art. 588 bis d) LECrim, todos los aspectos relacionados con la solicitud y autorización de este tipo de medidas habrá de determinar la apertura de una pieza separada y secreta, sin necesidad de que se acuerde el secreto sumarial de la causa. Los prestadores, agentes y personas a que se refiere el artículo 588 ter e) LECrim están obligados a facilitar al Juez de Instrucción, al Ministerio Fiscal y a los agentes de la Policía Judicial designados para la práctica de la medida la asistencia y colaboración precisas para facilitar el cumplimiento del auto por el que se ordene el seguimiento (por ejemplo, para el acceso a los datos de ubicación captados por las antenas de telefonía móvil), bajo apercibimiento de incurrir en delito de desobediencia. Cuando concurran razones de urgencia que hagan temer razonablemente que, de no colocarse inmediatamente el dispositivo o medio técnico de seguimiento y localización, se frustrará la investigación (como puede ser en el curso de una vigilancia física), la Policía Judicial podrá proceder a su colocación, dando cuenta a la mayor brevedad posible, y en todo caso en el plazo máximo de 24 horas, a la autoridad judicial, quien podrá ratificar la medida adoptada o acordar su cese inmediato en el mismo plazo. En este último supuesto, la información obtenida a partir del dispositivo colocado carecerá de efectos en el proceso (art. 588 quinquies b).4 LECrim). Sin embargo, cuando únicamente se trate de balizar objetos que no guardan relación de cotidianeidad con la

vida privada del investigado, como sería en paquetes de un contenedor o un cargamento de droga, se ha defendido la innecesariedad de la autorización judicial pues se trata de un objeto que no desprende información sobre la intimidad o privacidad de nadie, por lo que no se afecta ningún derecho fundamental. d) Práctica Como ha estudiado RODRÍGUEZ LAINZ (25) , cabe distinguir cuatro tipos de dispositivos que pueden emplearse para su ejecución: a) El sistema más comúnmente usado es el sistema GPS (sistema de posicionamiento global), el cual suministra información sobre la posición y velocidad las 24 horas al día y con cobertura en todo el mundo. Se basa en la recepción que los «aparatos receptores» (receptor del coche, teléfono móvil, etc.) hacen de las señales que emite una constelación de 24 satélites de la red NAVSTAR que gravitan alrededor de la tierra (a veces complementadas por estaciones base en tierra). El receptor localiza automáticamente, como mínimo, cuatro satélites de los cuales recibe señales con determinación de la identificación y la hora de reloj de cada uno de ellos, obteniéndose, de esta forma, la posición absoluta o coordenadas reales del punto de medición. Así, es posible situar al objeto en unas coordenadas geográficas precisas en cualquier punto del planeta, siempre que la recepción de la señal de satélites, por número y calidad, así lo permita. b) Los receptores A-GPS o GPS asistido, los cuales facilitan poner en marcha la navegación de forma más rápida y precisa solucionando problemas de recepción de señales de poca potencia mediante el acceso a un servidor de asistencia on-line, que accede a los datos en tiempo real mediante una conexión de datos activa a una red de telefonía móvil o fuera de línea (26) .

c) Las celdas, concepto en que se basan las redes de telefonía mediante sistemas de transmisores-receptores centrales, las llamadas Estaciones base transceptoras (BTS por sus siglas en inglés). La localización GSM es un servicio ofrecido por los operadores de telefonía móvil que permiten establecer, con cierta precisión, donde se encuentra físicamente un terminal móvil. d) Finalmente, la baliza policial (también conocida en el argot policial como chicharra), que es un dispositivo electrónico oculto que genera información sobre localización y que, a través de las señales que emite por radiofrecuencia, sea o no a través de canales cerrados, permite realizar un seguimiento remoto de un determinado objeto a través de un dispositivo receptor. La emisión de tales señales se produce de forma ajena a la participación de personas, como bien dice RODRÍGUEZ LAINZ, con lo que «las balizas despliegan su potencial injerencial en el exclusivo ámbito del derecho a la intimidad». e) Duración El art. 588 quinquies c).1 LECrim establece una duración específica, apartándose del criterio del art. 588 bis e): así, este acto de investigación tendrá una duración máxima de 3 meses a partir de la fecha de su autorización. Excepcionalmente, el juez podrá acordar prórrogas sucesivas por el mismo o inferior plazo hasta un máximo total de 18 meses, si así estuviera justificado a la vista de los resultados obtenidos con la medida. La doctrina ha criticado la duración máxima prevista por la LECrim para este tipo de intervenciones por excesiva desde el momento en que es tal el detalle del perfil que se puede conseguir de una persona monitorizando por hasta 18 meses todos sus desplazamientos (religión, afiliación política o sindical, orientación sexual, hábitos de la vida cotidiana) que el riesgo de transgresión de derechos fundamentales concernidos puede

plantearse, incluso, a nivel de definición (RODRÍGUEZ LAINZ, SÁNCHEZ MELGAR).

milimétrica

f) Control De acuerdo con el art. 588 quinquies c).2 y 3 LECrim, la policía entregará al juez los soportes originales o copias electrónicas auténticas que contengan la información recogida cuando éste se lo solicite y, en todo caso, cuando terminen las investigaciones. La información así obtenida deberá ser debidamente custodiada para evitar su utilización indebida, evidentemente por el Letrado de la Administración de Justicia. La innecesariedad de transcribir la información obtenida se puede entender y sustituir aquí por las menciones en el atestado a geolocalizaciones derivadas de esta diligencia y, por supuesto, al hecho de afirmar la presencia en determinada escena del crimen de la que derivar consecuencias procesales. 1.3.3. Videovigilancia La Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, permite que las Fuerzas y Cuerpos de Seguridad filmen y graben mediante videocámaras lo que ocurre en lugares públicos, como calles o plazas, sean abiertos o cerrados (art. 1.1). Esta posibilidad, indiscutiblemente de carácter preventivo, está directamente pensada para proteger la seguridad ciudadana, erradicar la violencia callejera y garantizar la seguridad pública, incluso en materia de circulación vial, pero puede convertirse en un acto de investigación cuando, como consecuencia de la filmación, se

detecta la comisión de descubrimiento de su autor.

un

delito,

o

coadyuva

al

En cambio, su utilización específica como diligencia de investigación de delitos se rige por el nuevo art. 588 quinquies a) LECrim, que acabamos de examinar.

Al afectar a espacios públicos, están en juego los derechos constitucionales a la intimidad y a la propia imagen (art. 18.1 CE), por lo cual la citada Ley Orgánica 4/1997, de 4 de agosto, ha recogido la jurisprudencia en lo esencial, estableciendo medidas de persecución penal y actuaciones de carácter administrativo, intentando respetar al máximo los derechos fundamentales implicados (art. 2). La instalación de videocámaras se autoriza, previo informe favorable de una comisión presidida por un Magistrado (art. 3.1), que es vinculante si estima que podrían violarse los criterios de autorización del art. 4 (art. 3.3), por la autoridad administrativa (el Delegado del Gobierno en la Comunidad Autónoma, art. 3.2), mediante resolución motivada (art. 3.4), que es recurrible administrativamente (art. 11). La importancia práctica de la ley, que afecta directamente a la Policía Judicial, es que por motivos de urgencia máxima, o de imposibilidad de obtener la autorización, ésta puede instalar videocámaras móviles, dando cuenta en el plazo de 72 horas al máximo responsable provincial de las Fuerzas y Cuerpos de Seguridad (art. 5.2, III). La utilización de videocámaras o de cualquier otro aparato análogo (art. 1.2), estará presidida por el principio de proporcionalidad, en su doble versión de idoneidad y de intervención mínima (art. 6). Si el resultado de la investigación, es decir, la grabación concreta de imagen y sonido, muestra apariencia de delito, hay que dar parte inmediatamente a la autoridad judicial,

en todo caso, en el plazo máximo de 3 días, remitiéndole la policía el correspondiente atestado (escrito o verbal), que incluirá el soporte original íntegro de la filmación (art. 7.1), que aunque nada diga esta ley al respecto tiene indiscutiblemente al menos valor de denuncia, pudiendo convertirse en prueba si en el acto del juicio oral declaran los agentes que la realizaron, y, por tanto, es un elemento probatorio suficiente para obtener una condena penal. El tratamiento de la filmación se quiere por la norma que sea absolutamente reservado (art. 7.2 y 3), debiendo ser de conocimiento público su instalación si son videocámaras fijas, aunque sin revelar el lugar exacto de su emplazamiento (art. 9.1). El propietario del edificio está obligado a autorizar su colocación si ha sido seleccionado por la policía (DA 6.ª). Pero cuando la grabación videográfica pueda afectar al espacio privado de la intimidad de una persona, como sería el caso de su domicilio, sólo puede realizarse si previamente ha sido autorizada por el juez competente, o consentida por el interesado (art. 6.5). Las filmaciones no se destruyen mientras sean objeto de investigación o de prueba en un proceso penal (art. 8.1), pudiendo los interesados pedir su visionado o cancelación, bajo determinados presupuestos (art. 9.2). En cuanto a la videovigilancia por parte de las Administraciones Públicas respecto de espacios que pertenecen al dominio público, en el dictamen del Consejo de Estado n.o 99/2018, de 26 de abril, hemos analizado la doctrina general al hilo de la previsión del proyecto de Orden por la que se regula la reserva marina de interés pesquero del levante de Mallorca-Cala Rajada y se definen su delimitación y usos permitidos. En la misma se prevé que, para ejercer el control de actividades en la reserva marina, los encargados de llevarlo a cabo «podrán obtener imágenes, tanto fotografías como filmaciones, por medio de

cámaras fijas o móviles, filmaciones que serán empleadas, en su caso, como medio de prueba o para el seguimiento de la reserva marina» (art. 12.4). Como recuerda el propio dictamen, se cumplen los cuatro requisitos que la Agencia Española de Protección de Datos y la jurisprudencia exigen en estos casos: — base legal (que, en este caso, se fundamenta tanto en la Ley 42/2007, de 13 de diciembre, del Patrimonio Natural y de la Biodiversidad como en la Ley 3/2001, de 26 de marzo, de Pesca Marítima del Estado); — finalidad (seguimiento de actividades reguladas y control de las mismas); — proporcionalidad (no es excesivo el utilizar esas tecnologías para dichas actividades de seguimiento y control); y — gestión de los datos obtenidos conforme a la legislación de datos de carácter personal (a partir del 25 de mayo de 2018 será aplicable el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE; pendiente, como es sabido, de la tramitación de un proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, destinada a complementar la regulación incluida en el citado Reglamento europeo, y que previsiblemente incorporará una derogación expresa de la citada Ley Orgánica 15/1999). Fuera de este caso, la grabación de videos por cámaras privadas de videovigilancia instaladas generalmente por comercios, entidades bancarias o empresas en general con la finalidad de prevención de delitos también ha planteado problemas sobre la validez de dicha prueba. Con carácter

general, la jurisprudencia del Tribunal Supremo ha admitido su validez (SSTS, Sala 2ª, de 19 de septiembre de 2001 y de 6 de mayo de 1993. Vid. también la STC 190/1992, de 16 de noviembre). Más recientemente, la STS, Sala 2ª, de 3 de febrero de 2014 da validez a los vídeos grabados por cámaras privadas que captaban imágenes de la vía pública, gracias a las cuales se llegó a la identificación de quienes en pleno centro de la localidad cometieron el conocido «timo del tocomocho» a una persona de 81 años. Ahora bien, destaca que la grabación debe someterse a control judicial para evitar alteraciones, trucajes o montajes fraudulentos o simples confusiones, es decir, «para garantizar la autenticidad del material videográfico, lo que, a su vez, requiere la inmediata entrega a la autoridad judicial del original de la grabación». La proliferación de las mismas ha motivado que la Agencia Española de Protección de Datos dictara la Instrucción 1/2006, de 8 de noviembre (27) , conforme a la cual se permite el uso de tales imágenes de conformidad con los arts. 6.1 y 2 y 11.1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), que a finales de 2018 será probablemente sustituida por una nueva ley. Es decir, cabe la cesión de tales imágenes sin el consentimiento del afectado en determinados supuestos, como son cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias (aquí se incluye el supuesto de la Policía Judicial que investiga un delito); o en los casos de cesión al Ministerio Fiscal o los jueces o tribunales en el ejercicio de las funciones jurisdiccionales. En todos los casos se deberá informar de la existencia de un sistema de videovigilancia. A este fin se colocará un cartel suficientemente visible en los accesos a las zonas

vigiladas, que indicará de forma clara la identidad del responsable de la instalación y, si constituye un fichero, ante quién y dónde dirigirse para ejercer los derechos que prevé la normativa de protección de datos.

No se podrán obtener imágenes de espacios públicos, actividad que está reservada en exclusiva a las Fuerzas y Cuerpos de Seguridad en el ejercicio de sus funciones, salvo imágenes parciales y limitadas que resulten imprescindibles para la vigilancia o sea imposible evitarlas. Tampoco se

pueden captar imágenes en baños, vestuarios o lugares análogos, ni de espacios ajenos. Las imágenes serán conservadas durante un plazo máximo de 1 mes desde su captación. Cuando se produjese la grabación de un delito o infracción administrativa que deba ser puesta en conocimiento de una autoridad pública, deberán conservarse las imágenes con el único fin de ponerlas a disposición de la citada autoridad sin que puedan ser utilizadas para ningún otro propósito. En aquellos supuestos en que el sistema utilizado no grabe o almacene las imágenes (es decir, son cámaras que permiten el visionado en tiempo real pero no realizan grabación alguna), que con la Ley Orgánica 15/1999, de 13 de diciembre, al no existir fichero no tenían la obligación de realizar la inscripción, con el nuevo RGPDE sí deben configurar este registro, ya que existe un tratamiento.

Recientemente, el 29 de junio de 2018 la AEPD ha publicado una Guía sobre el uso de videocámaras para seguridad y otras finalidades (28) .

1.4. Registro de dispositivos almacenamiento masivo de información

de

El nuevo capítulo VIII del título VIII del libro II de la Ley de Enjuiciamiento Criminal regula el registro de dispositivos de almacenamiento masivo de información, que comprende desde el arts. 588 sexies a) hasta el art. 588 sexies c) LECrim. Estamos ante otro desarrollo específico en el ámbito del proceso penal del derecho al secreto de las comunicaciones del art. 18.3 de la Constitución. También quedan afectados indiscutiblemente el derecho a la protección de datos del art. 18.4 CE y el derecho a la privacidad (intimidad y propia imagen) del art. 18.1 de la Constitución.

Es decir, CDs, DVDs, pen drives o memorias flash USB, GPS, discos duros —internos o externos—, ordenadores, relojes inteligentes (smartwatches), tecnocomplementos (wearables), tarjetas SD o micro SD, portátiles, servidores de red, NAS, teléfonos móviles, smartphones, almacenamientos en la nube, cámaras de fotos y vídeos, centrales de alarma, agendas electrónicas, consolas de juegos electrónicos (PSP, PS4, Wii), ordenador de a bordo de vehículos, impresoras, fotocopiadoras, grabadoras, cintas magnéticas, etc. Se cubre un vacío legal (29) importante con la aprobación de este acto de investigación. Para el Preámbulo de la LO 13/2015, esta reforma despeja cualquier duda acerca de que esos instrumentos de comunicación y, en su caso, dispositivos de almacenamiento de información son algo más que simples piezas de convicción. De ahí que se haya fijado una exigente regulación respecto del acceso a su contenido, inspirada en el Derecho procesal alemán y en las conclusiones de la Sentencia del Tribunal Supremo de Estados Unidos Riley vs. California, de 25 de junio de 2014. a) Objeto Esta medida consiste en el acceso y examen del contenido de los dispositivos de almacenamiento masivo de información, esto es y como antes hemos señalado, de los discos de ordenador (internos y externos), smartphones, memorias externas, CD-ROMs, DVDs, pen drives, almacenamiento en la nube del tipo Dropbox, iCloud, Google Drive, One Drive, etc. (el art. 588 sexies.a.1) LECrim se refiere a ordenadores, instrumentos de comunicación telefónica o telemática, o dispositivos de almacenamiento masivo de información digital o el acceso a repositorios telemáticos de datos). Se trata de hardware que contienen una enorme cantidad de información de todo tipo (fotos, vídeos, correos electrónicos, conversaciones de chat o WhatsApp, datos bancarios, agenda telefónica, datos

de geolocalización,...), tanto aparente como oculta, cuyo examen puede efectivamente contribuir al esclarecimiento de hechos delictivos. La nueva regulación, en correlación con lo dispuesto reciente y reiteradamente por la jurisprudencia de la Sala Segunda del Tribunal Supremo, parte de la consideración de que el ordenador y, con carácter general, los dispositivos de almacenamiento masivo de información, son algo más que una pieza de convicción que, una vez aprehendida, queda expuesta en su integridad al control de los investigadores. El contenido de esta clase de dispositivos no puede degradarse a la simple condición de instrumento que contiene una serie de datos con mayor o menor relación con el derecho a la intimidad de su usuario. En estos equipos coexisten, junto a los datos técnicos, tanto datos personales susceptibles de protección constitucional en el ámbito del derecho fundamental a la intimidad y la protección de datos, como información esencialmente ligada al derecho a la inviolabilidad de las comunicaciones. La multifuncionalidad de los datos que se almacenan ha llevado al Tribunal Supremo a contemplar su tratamiento jurídico de manera unitaria, independientemente de que se trate de mensajes, imágenes, documentos, correos electrónicos, etc., viendo a constituir lo que ha denominado como derecho al propio entorno virtual. En efecto, el Tribunal Supremo se ha referido a la intromisión en el espacio virtual del titular del dispositivo en lo que vendría a integrar un derecho constitucional de nueva generación que es el derecho a la protección del propio entorno virtual (STS, Sala 2ª, de 10 de marzo de 2016), explicando que «más allá del tratamiento constitucional fragmentado de todos y cada uno de los derechos que convergen en el momento del sacrificio, existe un derecho al propio entorno virtual. En él se integraría, sin perder su genuina sustantividad como manifestación de derechos constitucionales de nomen iuris propio, toda la información en formato electrónico que, a través del uso de las

nuevas tecnologías, ya sea de forma consciente o inconsciente, con voluntariedad o sin ella, va generando el usuario, hasta el punto de dejar un rastro susceptible de seguimiento por los poderes públicos. Surge entonces la necesidad de dispensar una protección jurisdiccional frente a la necesidad del Estado de invadir, en las tareas de investigación y castigo de los delitos, ese entorno digital» (SSTS, Sala 2ª, de 4 de diciembre de 2015 y de 7 de abril de 2013).

b) Presupuestos Se contempla esta medida con ocasión de una diligencia de registro domiciliario (art. 588 sexies.a) LECrim), supuesto para el que se prevé un específico pronunciamiento judicial para acceder al contenido de estos dispositivos. Sin embargo, es evidente que los agentes de la Policía Judicial pueden encontrarse ante un dispositivo de este tipo en cualquier situación, por tanto fuera del domicilio del investigado, incluido un cacheo en la vía pública, y en este caso la ley manda que se ponga el hecho en conocimiento del juez con el fin de que éste otorgue la autorización para acceder a la información del dispositivo si lo considera indispensable (art. 588 sexies.b) LECrim). Llama asimismo la atención que la LECrim no se refiera a ningún tipo delictivo concreto ni que establezca un rango mínimo de pena a partir del cual resulte procedente la adopción de esta medida, como sí lo hace el Código Procesal alemán del cual el legislador español ha tomado esta medida. Por ello, algunos autores sugieren que, con independencia de la gravedad o de la naturaleza delictiva de los hechos que se estuvieran investigando, solamente a partir de la necesidad y de la proporcionalidad se avalaría la autorización de esta medida. c) Autorización

La imprescindible autorización judicial aparece regulada en el largo art. 588 sexies c) LECrim. La necesidad, en todo caso, de dicha resolución judicial se justifica, como ya ha sido explicitado anteriormente, en los diferentes derechos fundamentales que pueden ser arrasados como consecuencia de la práctica de esta diligencia de investigación como es el caso del derecho a la intimidad, el derecho a la protección de datos personales, o el derecho al secreto de las comunicaciones. El auto judicial mediante el que se autorice el acceso a la información contenida en los dispositivos fijará los términos y el alcance del registro, y podrá autorizar la realización de copias de los datos informáticos. Fijará también las condiciones necesarias para asegurar la integridad de los datos y las garantías de su preservación para hacer posible, en su caso, la práctica de un dictamen pericial. En consecuencia, se requiere un pronunciamiento judicial específico para el acceso a tales dispositivos, no bastando el auto que sólo autoriza la entrada y registro en un domicilio (STS, Sala 2ª, de 19 de mayo de 2017). Esta autorización puede plasmarse en el propio auto de entrada y registro o bien en una resolución independiente. Y es que la simple incautación de cualquiera de los dispositivos, practicada durante el transcurso de la diligencia de registro domiciliario, no legitima el acceso a su contenido, sin perjuicio de que dicho acceso pueda ser autorizado ulteriormente por el juez competente (art. 588 sexies a).2 LECrim). Se trata, por tanto, de una regulación rupturista, que pone fin a las prácticas anteriores en las que la autorización judicial para la entrada en el domicilio del investigado también amparaba cualquier otro acto de injerencia, incluso cuando desbordara el contenido material del derecho reconocido en el art. 18.2 de la Constitución. Lo que el legislador de 2015 pretende, por tanto, es que el juez

exteriorice de forma fiscalizable las razones que justifican la intromisión en cada uno de los distintos espacios de exclusión que el ciudadano posee frente a terceros. Nótese que se impone ahora, según el art. 588 sexies a).1 LECrim, una motivación individualizada para acordar este acto de investigación, consistente en que el Juez de Instrucción competente extienda su razonamiento a la justificación, en su caso, de las razones que legitiman el acceso de los agentes facultados a la información contenida en tales dispositivos. Se trata aquí de aplicar los principios de especialidad, idoneidad, excepcionalidad, necesidad y proporcionalidad a los que se refiere el artículo 588 bis a) LECrim, siendo necesario asimismo el previo informe del Ministerio Fiscal (art. 588 bis c) LECrim). Por tanto, cuando la información se aprehende en el curso de un registro domiciliario judicialmente autorizado, su ocupación será válida cuando en el auto se justifique la razón de la misma, que será idéntica a la que habilita la entrada y registro, por lo que puede admitirse la argumentación por remisión, pues el dispositivo se ocupa y debe registrarse para buscar pruebas del mismo delito que el de la entrada, que constituye un acto instrumental para su obtención. Así, como señala la STS, Sala 2ª, de 24 de febrero de 2015, «...tanto desde la perspectiva del derecho de exclusión del propio entorno virtual, como de las garantías constitucionales exigidas para el sacrificio de los derechos a la inviolabilidad de las comunicaciones y a la intimidad, la intervención de un ordenador para acceder a su contenido exige un acto jurisdiccional habilitante. Y esa autorización no está incluida en la resolución judicial previa para acceder al domicilio en el que aquellos dispositivos se encuentran instalados. De ahí que, ya sea en la misma resolución, ya en otra formalmente diferenciada, el órgano jurisdiccional ha de exteriorizar en su razonamiento que ha tomado en

consideración la necesidad de sacrificar, además del domicilio como sede física en el que se ejercen los derechos individuales más elementales, aquellos otros derechos que convergen en el momento de la utilización de las nuevas tecnologías». A la postre, lo que ahora el legislador pretende es el destierro de las autorizaciones implícitas o sobreentendidas, esto es, aquellas prácticas que se basaban en el entendimiento de que la propia resolución judicial que autorizaba la entrada y registro en el domicilio del investigado amparaba, o daba cobertura, a cualquier intromisión en el contenido esencial de otros derechos fundamentales, incluso cuando la injerencia sobrepasa el contenido material del derecho reconocido en el art. 18.2 de la Constitución. En suma, a partir de ahora, el juez que dicte el auto judicial de autorización para la entrada y registro domiciliario forzosamente debe realizar un pronunciamiento especifico en relación con aquellos diversos actos que puedan incidir en el contenido esencial de otros derechos fundamentales, ponderando, de una manera separada, los distintos derechos e intereses que puede resultar afectados en cada caso. Ahora bien, ello puede realizarse en la misma o en separada resolución judicial, siempre que conste tal motivación y pronunciamiento expreso sobre esta diligencia. d) Práctica El auto judicial fijará el modo de practicar esta diligencia, pudiendo permitir a la policía que realice copias de los datos informáticos y estableciendo las condiciones necesarias para asegurar la integridad de los datos y las garantías de su preservación como ya sabemos (art. 588 sexies.c).1 LECrim). En realidad, y a diferencia de las medidas de investigación anteriormente examinadas, se trata de una ocupación directa de todo tipo de datos, de ahí que la LECrim hable de registro u aprehensión.

Uno de los principales problemas a los que se enfrenta su práctica es la denominada cadena de custodia, de tal manera que quede garantizado que la información (datos) sometida al tribunal de enjuiciamiento es la misma que la que fue incautada o aprehendida. Esta garantía aplicada a la prueba digital se realiza mediante la acreditación de la autenticidad del origen y la integridad del contenido, a los cuales se refiere el art. 588 sexies c.1) LECrim cuando alude a «las condiciones necesarias para asegurar la integridad de los datos y las garantías de su preservación». Las dudas del juez sobre la concurrencia de estos requisitos serán determinantes para la denegación de la eficacia probatoria de los datos objeto de la prueba, pero no lleva consigo su nulidad. De conformidad con lo señalado, el juez fijará en la resolución autorizante aquellas condiciones necesarias para garantizar la integridad de los datos, de tal manera que los mismos no sean objeto de manipulación, así como las garantías de su preservación para hacer posible, en su caso, la práctica de un dictamen pericial, lo que se concreta esencialmente en las condiciones de volcado o clonado de los datos. El volcado o clonado de los datos en realidad se refiere a dos actuaciones: en primer lugar, al volcado o clonado, que consiste en la realización de una copia espejo o bit a bit de la información original en el mismo lugar en el que se encuentra el dispositivo o en una diligencia posterior, y se realiza mediante una herramienta específica de hardware, de tal forma que se lleva a cabo una copia física idéntica del contenido del dispositivo; y, en segundo término, la fijación del código hash o huella digital, que se calcula a partir de un algoritmo de cifrado estándar que posibilita detectar si los datos hallados en el dispositivo en el momento de su aprehensión han sido objeto de ulterior manipulación. Ahora bien, como recuerda la STS, Sala 2ª, de 2 de marzo de 2016, ni la ley procesal anterior al año 2015 ni tampoco

la vigente normativa de la Ley de Enjuiciamiento Criminal imponen que estén presentes el letrado del imputado ni un perito nombrado por la parte en el momento de volcar el contenido del dispositivo. Es más, el nuevo artículo 588 sexies c) LECrim ni siquiera requiere la presencia del Letrado de la Administración de Justicia en el momento de abrir el ordenador y obtener el disco duro. Y en cuanto al nombramiento de un perito de parte para que esté presente, la STS, Sala 2ª, de 17 de abril de 2013, si bien considera que la parte puede designar un perito, de acuerdo con lo dispuesto en el art. 476 de la LECrim, su no intervención no condiciona la validez de la diligencia. Todo ello sin perjuicio de que en el curso del procedimiento pueda la parte nombrar un perito que contraste el contenido del disco duro y obtenga o verifique la documentación que estime pertinente en aras del ejercicio del derecho de defensa. El principal reto de esta actuación, como señala DELGADO MARTÍN, consiste en la realización del clonado garantizando que «original» y «copia» son exactamente iguales, para lo cual es necesario utilizar dos tipos de garantías: técnicas, esto es, la utilización de instrumentos tecnológicos y procedimientos adecuados, resultando positiva su estandarización/homologación; y jurídicas, es decir, presencia de testigos y/o fedatario público (Notario o Letrado de la Administración de Justicia), siendo preferible la segunda opción por los propios efectos de la fe pública.

Sin embargo, cuando atendiendo estrictamente a los términos de la autorización judicial resulte que los datos que los investigadores buscaban se encuentran en otro sistema informático, o en una parte de él, podrán ampliar el registro siempre que los datos sean lícitamente accesibles por medio del sistema inicial. Dicha ampliación del registro deberá ser autorizada por el juez, salvo que ya lo hubiera sido en la autorización inicial. En caso de urgencia, la Policía

Judicial o el Ministerio Fiscal podrán llevarlo a cabo, informando al Juez de Instrucción inmediatamente, y en todo caso dentro del plazo máximo de 24 horas, de la actuación realizada, la forma en que se ha efectuado y su resultado. El juez competente, también de forma motivada, revocará o confirmará tal actuación en un plazo máximo de 72 horas desde que fue ordenada la interceptación (art. 588 sexies.c).3 LECrim). Se quiere dar respuesta así al espinoso problema de acceso a los sistemas cloud computing, que también son utilizados para propósitos criminales (distribución de materiales pornográficos o de apología al terrorismo, contenidos protegidos por el derecho de autor, etc.), algunos de los cuales se encuentran físicamente fuera de nuestras fronteras, o incluso distribuidos a lo largo de varios centros de datos ubicados en países distintos (nube global). La solución ante esta circunstancia plantea serias dificultades e importantes discrepancias a nivel internacional (por ejemplo, el caso United States of America vs. Microsoft Corporation (30) , actualmente pendiente ante el Tribunal Supremo de ese país) así como conflictos acerca de la normativa aplicable en estos casos. En síntesis, se trata de la ejecución en el territorio nacional de otro Estado de una resolución dictada por un órgano judicial español lo que, en principio, conllevaría la necesidad de acudir a los (ineficientes) instrumentos de cooperación judicial internacional. Este problema es aún más acuciante si tenemos en cuenta que la extrema lentitud de estos instrumentos de cooperación, unidos a la ya de por si volatilidad de los datos almacenados en la nube, puede ocasionar que el recurso a los mismos desemboque en la inviabilidad de este tipo de investigaciones.

La LECrim opta acertadamente por el principio de accesibilidad, en virtud del cual en la medida que dichos datos son directamente accesibles desde los sistemas

informáticos físicos cuyo registro está suficientemente cubierto por la autorización judicial no puede plantearse ningún problema relativo a la territorialidad del lugar donde se encuentre el servidor o los nodos de la red cloud. Diferente sería, no obstante, aquellos casos en los que para acceder a los datos objeto de investigación fuera necesaria la colaboración directa de los prestadores de servicio. En este último supuesto, la solicitud de cooperación de dichos prestadores debería encauzarse por medio de los instrumentos de cooperación judicial penal internacional. Se responde así en 2015 a la obligación derivada del art. 19.2 del Convenio de Budapest de 2001. Cuando existan razones de urgencia (la STC 115/2013, de 9 de mayo, entendió que la intervención resultó urgente por la necesidad de averiguar la identidad de alguna de las personas que huyeron al ser sorprendidas in fraganti custodiando un alijo de droga) y haya un interés constitucional legítimo (concepto jurídico indeterminado, que se podría concretar en la investigación y persecución de un hecho delictivo o en la inminente destrucción de pruebas, y que la STEDH Klass y otros, de 6 de septiembre de 1978, indica que vendría dado del conjunto de las circunstancias de la causa) que haga imprescindible la medida, la Policía Judicial podrá examinar directamente los datos contenidos en el dispositivo, dando cuenta al juez a la mayor brevedad, y en todo caso en 24 horas, para que éste proceda a confirmar o revocar la actuación (art. 588 sexies.c).4 LECrim). Se trata de una previsión que tiene su origen en una consolidada jurisprudencia del Tribunal Constitucional (SSTC 70/2012, de 3 de abril y 206/2007, de 34 de septiembre). Con base en esta jurisprudencia, el Tribunal Supremo ha venido considerando respetuoso con los derechos fundamentales el acceso policial no consentido, y por razones de urgencia, a la memoria de un teléfono móvil (SSTS, Sala 2ª, de 27 de junio de

2002 y de 10 de marzo de 2000), al contenido de una videocámara particular (STS, Sala 2ª, de 3 de octubre de 2007), o al disco duro de un ordenador (STS, Sala 2ª, de 7 de noviembre de 2011) sin contar con una resolución judicial autorizante.

En sentido crítico con esta previsión se muestra ZARAGOZA TEJADA (31) , para quien otorgar a la Policía Judicial la facultad de proceder, en casos de urgencia, al examen directo de los datos contenidos en un dispositivo incautado cuando entre dichos datos puede haber algunos asociados a procesos de comunicación, da lugar, sin género de dudas, a evidentes problemas interpretativos. En efecto, en «...las actuaciones urgentes y necesarias de la Policía Judicial se admitían, única y exclusivamente, respecto a posibles vulneraciones del derecho a la intimidad, y nunca respecto a actos que supusieran una intromisión directa en el derecho al secreto de comunicaciones». Con la nueva regulación se ha previsto el acceso de urgencia no solamente a datos o aspectos relacionados con el derecho a intimidad, sino también a datos anexos o relacionados con el secreto de comunicaciones (que, a su vez, se encuentra englobado en el denominado derecho al entorno virtual) lo que supone, en sí mismo, «ir en contra de la protección privilegiada que otorga a dicho derecho fundamental el artículo 18 de la Constitución Española lo que, desde luego, puede generar dudas sobre la constitucionalidad de este inciso». La práctica de la diligencia admite, por tanto, gran discreción judicial. Únicamente se señala que, salvo que constituyan el objeto o instrumento del delito o existan otras razones que lo justifiquen, se evitará la incautación de los soportes físicos que contengan los datos o archivos informáticos cuando ello pueda causar un grave perjuicio a su titular o propietario y sea posible la obtención de una copia de ellos en condiciones que garanticen la autenticidad

e integridad de los datos (art. 588 sexies c).2 LECrim). La incautación de los contenedores de los soportes de la información (ordenadores, servidores, etc.) ha sido práctica habitual hasta fechas muy recientes, y generaba en el investigado o en la empresa graves perjuicios derivados de la ocupación y posterior traslado a dependencias judiciales de todo ese hardware, el cual muchas veces era conservado de forma inadecuada en los depósitos judiciales. Los encargados de practicar el registro en los dispositivos podrán ordenar a cualquier persona que conozca el funcionamiento del sistema informático, o de las medidas aplicadas para proteger los datos informáticos contenidos en el mismo, que facilite la información que resulte necesaria, salvo si se trata de personas exentas del deber de declarar como testigos por razón de parentesco o de secreto profesional (art. 588 sexies c).5 LECrim). Esta obligación no será aplicable al investigado o encausado, pues atentaría contra su derecho a no declarar contra sí mismo y a no confesarse culpable, a las personas que están dispensadas de la obligación de declarar por razón de parentesco y a aquellas que, de conformidad con el artículo 416.2 LECrim, no pueden declarar en virtud del secreto profesional. Obsérvese que los sacerdotes de la religión católica, que no pueden ser obligados a declarar por el art. 417-1º LECrim, no parecen estar amparados a los efectos de esta previsión.

De este modo, la negativa de Apple a colaborar y cumplir un mandamiento de un juez californiano que autorizó al FBI para que accediera y registrara un smartphone incautado a uno de los terroristas no tendría cobertura legal en España, pues el art. 588 sexies c).5 LECrim impone la obligación a «cualquier persona que conozca el funcionamiento del sistema informático o [de] las medidas aplicadas para proteger los datos informáticos contenidos en el mismo».

Obtenida la autorización judicial, el FBI se puso en contacto con representantes de Apple para obtener su colaboración al constatar cómo en un principio no encontraban una vía por la que poder forzar el sistema de encriptación de una persona que, fallecida, se había llevado el secreto de la clave de acceso a su iPhone 5 a la tumba. Y es aquí donde comienza el conflicto: el FBI pretendía a toda costa poder forzar esa clave de acceso para conseguir acceder libremente a la información que contenía el teléfono incautado; mientras que Apple se mostraba recelosa porque ceder a tal petición supondría poner en compromiso su propia estrategia de privacidad: no solo por cuanto demostraría que la privacidad de los usuarios no sería inmune contra una inmisión de los poderes públicos, como llegaban a sugerir algunas voces, sino porque argumentaba que ello representaría la necesidad de generar una auténtica «puerta trasera» o backdoor, mediante la creación de un software específico que corría el riesgo de poder ser utilizado por terceras personas. Ante la negativa de Apple a facilitar las herramientas necesarias para proceder al desbloqueo de dicho terminal, el FBI solicitó una nueva autorización judicial en el sentido de que se obligara a esta empresa a elaborar un software específico que le permitiera el desbloqueo y posterior acceso al dispositivo telefónico. Recurridas las autorizaciones judiciales en apelación, el Tribunal de Nueva York rechazó las tesis del FBI. El Tribunal ad quem concluye considerando que no encuentra razones para dar cabida a un interés del gobierno que debiera prevalecer, en todo caso, frente a otros intereses sociales, los cuales se extienden al derecho que tiene todo ciudadano a verse protegido en su expectativa razonable de privacidad. Y estos intereses privados de Apple encuentran cabida en otros concretos intereses comerciales, como son la llevanza de un negocio que pueda ser productivo, libre de una potencial intrusión dañina del Estado, el más fundamental y universal interés que representa en cuanto respecta a su seguridad, la garantía de una competitividad justa para los empresarios, y para toda la sociedad en cuanto atañe a la seguridad nacional, así como dar la debida protección a unos datos almacenados electrónicamente que pudieran verse comprometidos por un mal uso o acceso no autorizado.

Ahora bien, atendiendo al contenido del citado art. 588 sexies c).5 LECrim, se observa que el deber de colaboración se circunscribe, únicamente, a la facilitación de información a las autoridades y agentes encargados de la investigación. La interpretación del precepto, si bien abarcaría acciones como el suministro de claves de acceso o el asesoramiento técnico, deja fuera de su alcance la posibilidad de imponer a estos terceros la obligación de facilitar herramientas específicamente destinadas para la desprotección o crackeo de los dispositivos informáticos. Ello provocaría que casos como el de Apple vs. FBI, en el que precisamente se perseguía por la policía la elaboración de un software específico a fin de deshabilitar los mecanismos de protección del terminal iPhone, no estarían tampoco amparados en España. e) Consentimiento del afectado Por lo demás, cabe señalar cómo el consentimiento del afectado puede legitimar la injerencia en el derecho a la intimidad porque corresponde a cada persona acotar el ámbito de intimidad personal y familiar que reserva al conocimiento ajeno (SSTC 173/2011, de 7 de noviembre, 196/2006, de 3 de julio y 83/2002, de 22 de abril), aunque este consentimiento puede ser revocado en cualquier momento (STC 159/2009, de 29 de junio). Esta construcción resulta plenamente aplicable en los supuestos de acceso a la información contenida en un dispositivo electrónico. Por ejemplo, la STS, Sala 2ª, de 4 de diciembre de 2015 se refiere a un supuesto de consentimiento en el entorno virtual: la detenida confesó los hechos a las autoridades, entregando los equipos informáticos y facilitando las claves de acceso. Ahora bien, resulta necesario exigir que la persona afectada sea informada adecuadamente sobre la diligencia para la cual presta consentimiento.

El consentimiento no necesita ser escrito, pudiendo ser verbal (STC 173/2011, de 7 de noviembre). Asimismo, la jurisprudencia constitucional admite también la eficacia del consentimiento tácito, que ha de derivarse de actos concluyentes. En este último sentido, la STS, Sala 2ª, de 10 de marzo de 2016 afirma que «...el consentimiento para legitimar el acceso al contenido documentado de comunicaciones a las que ya se ha puesto término y que, en consecuencia, desbordan la protección constitucional que dispensa el art. 18.3 de la CE, puede ser otorgado mediante actos concluyentes. Y bien elocuente de la voluntad de Susana son los actos de identificación de las cuentas y entrega de las claves. La legitimación del acto de injerencia estatal en la intimidad de la afectada no puede ponerse en cuestión». f) Supuestos controvertidos Es válida la aportación por los padres de una menor fallecida de los SMS de su móvil sin autorización judicial (STS, Sala 2ª, de 26 de noviembre de 2014): «En cualquier caso, tampoco cabe estimar que los SMS aportados por los padres de la joven y obtenidos de su terminal telefónico una vez fallecida la menor, constituyan una prueba ilícita. Las copias de los mensajes recibidos y transmitidos por la menor, que pueden ser borrados del terminal una vez leídos pero fueron guardados, equivalen a la correspondencia que pueda ser conservada por la menor entre sus papeles privados. Están obviamente amparados por su derecho constitucional a la intimidad, pero una vez fallecida no son inmunes al acceso por parte de sus herederos legítimos, que conforme a lo dispuesto en el art. 661 del Código Civil suceden al fallecido, por el solo hecho de su muerte, en todos sus derechos y obligaciones. Incluso en aquellos derechos personalísimos, que no se transmiten a los herederos, éstos si suceden al fallecido en el ejercicio de las acciones para su defensa (derecho moral de autor, protección civil del honor, intimidad, imagen, etc.), lo que les faculta para acceder de forma proporcionada a la

documentación de sus comunicaciones (correspondencia, correos electrónicos o telemáticos, conversaciones grabadas, etc.) en la medida en que sean necesarios para la defensa de sus intereses, incluido obviamente, para ejercitar las acciones procedentes para la reparación de los daños causados al fallecido, tanto en el ámbito civil como en el penal. En consecuencia, no concurre vulneración alguna del derecho a la intimidad, tanto de la menor (ya fallecida) como del recurrente, por el hecho de que los sucesores legítimos de la joven accediesen a su documentación privada para conocer a los responsables de haberle proporcionado las drogas que acabaron ocasionando su muerte, y en su caso para promover el castigo de los responsables. Desde la perspectiva del derecho a la intimidad, no constituye una injerencia inconstitucional el acceso proporcional de los padres de la menor fallecida, en su condición de sucesores legítimos en todos sus bienes, derechos y obligaciones, a sus documentos privados. Y desde la perspectiva del derecho al secreto de las comunicaciones del recurrente, es sabido que el art. 18 CE no garantiza el secreto de los pensamientos que una persona ha transmitido a otra, por lo que el receptor es libre de transmitir estas comunicaciones a terceros. Y en consecuencia, los sucesores legítimos del receptor, titulares de todos sus derechos y obligaciones, pueden asimismo acceder y hacer un uso legítimo y proporcionado de dichas comunicaciones, sin por ello vulnerar ningún precepto constitucional.»

Similar argumentación se emplea para validar el acceso al contenido de las conversaciones sostenidas a través de redes sociales por parte de los padres respecto de sus hijos menores (STS, Sala 2ª, de 10 de diciembre de 2015): «Ninguna duda puede arrojarse sobre la titularidad por parte de la menor del derecho a la intimidad. Los menores tienen a la intimidad personal y familiar. No estamos ante una incidencia en el derecho al secreto de las comunicaciones, sino ante una cuestión de intimidad: el derecho al secreto de las comunicaciones rige mientras se desarrolla el proceso de comunicación. Una vez cesado éste, llegado el mensaje al receptor, salimos del ámbito del art. 18.3 CE, sin perjuicio, en

su caso, del derecho a la intimidad proclamado en el número 1 del mismo precepto, aunque en este segundo supuesto sin supeditación constitucional imperativa a la autorización judicial. [...] No siempre que hay afectación de un derecho fundamental es ineludible una habilitación jurisdiccional. [...]Además estamos hablando de la madre —y no cualquier otro particular—. Es titular de la patria potestad concebida no como poder sino como función tuitiva respecto de la menor. Es ella quien accede a esa cuenta ante signos claros de que se estaba desarrollando una actividad presuntamente criminal en la que no cabía excluir la victimización de su hija. No puede el ordenamiento hacer descansar en los padres unas obligaciones de velar por sus hijos menores y al mismo tiempo desposeerles de toda capacidad de controlar en casos como el presente en que las evidencias apuntaban inequívocamente en esa dirección. La inhibición de la madre ante hechos de esa naturaleza, contrariaría los deberes que le asigna por la legislación civil. Se trataba además de actividad delictiva no agotada, sino viva: es objetivo prioritario hacerla cesar. Tienen componentes muy distintos las valoraciones y ponderación a efectuar cuando se trata de investigar una actividad delictiva ya sucedida, que cuando se trata además de impedir que se perpetúe, más en una materia tan sensible como esta en que las víctimas son menores.»

g) Impugnación de la autenticidad de los «pantallazos» A este respecto, señala la STS, Sala 2ª, de 19 de mayo de 2015 que la prueba de una comunicación bidireccional mediante cualquiera de los múltiples sistemas de mensajería instantánea debe ser abordada con todas las cautelas. La posibilidad de una manipulación de los archivos digitales mediante los que se materializa ese intercambio de ideas forma parte de la realidad de las cosas. El anonimato que autorizan tales sistemas y la libre creación de cuentas con una identidad fingida, hacen perfectamente posible aparentar una comunicación en la que un único usuario se relaciona consigo mismo. De ahí que la impugnación de la autenticidad de cualquiera de esas conversaciones, cuando

son aportadas a la causa mediante archivos de impresión, desplaza la carga de la prueba hacia quien pretende aprovechar su idoneidad probatoria. Será indispensable en tal caso la práctica de una prueba pericial que identifique el verdadero origen de esa comunicación, la identidad de los interlocutores y, en fin, la integridad de su contenido. Y, además, advierte que: «Los diálogos de Facebook, por ejemplo, sólo tienen el carácter de prueba personal que, para su constancia, ha sido impresa. Además, los documentos indicados no son literosuficientes. Es decir, el certificado, la información de llamadas realizadas por la víctima cuando estaba en el hotel o los diálogos de Facebook no demuestran por sí solos que el recurrente no hubiera realizado los hechos delictivos que se le imputan.»

También la STS, Sala 2ª, de 17 de diciembre de 2013 recuerda que las conversaciones incorporadas a la causa mediante «pantallazos» (o capturas de pantalla) obtenidos a partir del teléfono móvil de la víctima «no son propiamente documentos a efectos casacionales. Se trata de una prueba personal que ha sido documentada a posteriori para su incorporación a la causa. Y aquéllas no adquieren de forma sobrevenida el carácter de documento para respaldar una impugnación casacional. Así lo ha declarado de forma reiterada esta Sala en relación, por ejemplo, con las transcripciones de diálogos o conversaciones mantenidas por teléfono, por más que consten en un soporte escrito o incluso sonoro». No se olvide que esta clase de pruebas que se introducen en el proceso penal por una parte interesada a través de «pantallazos» o capturas de pantalla son fáciles de modificar y manipular, por lo que los jueces y tribunales deben ser muy cautelosos para condenar a una persona cuando las únicas pruebas que se tienen son de esta

naturaleza y no se han realizado informes periciales informáticos que acrediten su autenticidad.

1.5. Registros informáticos

remotos

sobre

equipos

El también nuevo capítulo IX del título VIII del libro II de la Ley de Enjuiciamiento Criminal regula los registros remotos sobre equipos informáticos, y abarca los arts. 588 septies a) al 588 septies c) de la LECrim. Es la penúltima de las medidas de investigación tecnológica introducidas en 2015 fundada en el art. 18.3 de la Constitución, sin perjuicio de poder quedar afectados también el derecho a la protección de datos del art. 18.4 y el derecho a la privacidad (intimidad y propia imagen) del art. 18.1 de la Constitución. Con la incorporación de este acto de investigación se cubre otro vacío legal importante, adaptándose ahora nuestra legislación a las más avanzadas en Europa. Se trata de utilizar programas informáticos (software) altamente sofisticados que se introducen desde centros policiales en el ordenador de sobremesa, portátil, tabletas, teléfonos móviles, smartphones, sistemas de información, etc., en cuanto dispositivos que almacenan datos del investigado, con el fin de extraer cualquier tipo de información que en él se contenga válida a efectos de investigación de un crimen. La justificación de la medida también se encuentra en las insuficiencias de la cooperación judicial internacional y en la negativa de muchos proveedores y plataformas de Internet extranjeros a colaborar con la Administración de Justicia española. Ya el Convenio de Budapest en 2001 advirtió sobre la necesidad de la utilización de software espía en la investigación de hechos criminales cometidos a través de Internet, cuando en los artículos 20 y 21, sitos en el título V bajo la rúbrica «obtención en tiempo real de datos informáticos», señalaba que cada Parte

adoptará las medidas legislativas y de otro tipo que resulten necesarias para facultar a las autoridades competentes, por lo que respecta a una serie de delitos graves que deberán definirse en su derecho interno: a) a obtener o a grabar mediante la aplicación de medios técnicos existentes en su territorio, y b) a obligar a un proveedor de servicios, dentro de los límites de su capacidad técnica: i) a obtener o a grabar mediante la aplicación de los medios técnicos existentes en su territorio, o ii) a prestar a las autoridades competentes su colaboración y su asistencia para obtener o grabar en tiempo real los datos sobre el contenido de determinadas comunicaciones en su territorio, transmitidas por medio de un sistema informático.

Es decir, se trata de dar cobertura legal al empleo por parte de la Policía Judicial de técnicas de hacking en el curso de sus investigaciones. De este modo, nos hallamos sin duda ante una medida altamente agresiva por su carácter continuo y que afecta incluso a datos futuros, puesto que utilizar la llamada técnica del «troyano» para espiar ordenadores ajenos sin necesidad de acceder físicamente al dispositivo es, en el fondo, tener acceso a toda la vida virtual del investigado, especialmente porque el tratamiento inteligente de sus datos o el cruce de toda la información contenida en un dispositivo que el usuario haya utilizado unos meses proporcionará sin duda alguna una radiografía acabada de casi todos los aspectos de su personalidad y de su propia vida. Frente a los registros tradicionales de un dispositivo (con su ocupación física o material) que posibilitan el acceso a la información contenida en el mismo en un determinado momento, los registros remotos prolongan en el tiempo la injerencia en los diferentes contenidos del dispositivo, por lo que suponen una afectación de elevada intensidad en los derechos fundamentales a la intimidad y al secreto de las comunicaciones de la persona investigada, aunque también en el derecho a la protección de datos del art. 18.4 CE. Por estas razones, la nueva normativa recoge un estricto régimen de sometimiento a control

judicial, sin que sea posible su utilización por la policía sin previa autorización jurisdiccional en casos de urgencia.

Por eso el legislador quiere reforzar el ámbito objetivo de la medida, para lo que se ha acotado con un listado numerus clausus los delitos que la pueden habilitar, y ha limitado la duración temporal, dado que se trata de una invasión probablemente mucho más grave que ninguna de las demás medidas analizadas porque un ordenador o un teléfono inteligente por ejemplo contienen tal cantidad de datos personales que ponen al descubierto el último resquicio del sujeto que los ha usado. a) Objeto De conformidad con el art. 588 septies a) LECrim, la medida tiene como objeto habilitar, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos u otros contenidos digitales, y presenta dos modalidades: — utilizar datos de identificación y códigos (es decir, contraseñas de acceso o la firma electrónica que puede ser empleada como mecanismo de autentificación, pero sin la instalación en el mismo de software alguno); o — instalar un software a tal efecto (del tipo RAT o Remote Administration Tools (32) ). También cabe incluir aquí la utilización de los keyloggers, que son instrumentos que almacenan cada una de las pulsaciones que se hagan en el teclado de un ordenador. Pueden ser hardware, esto es, adaptadores que se conectan en dicho ordenador o en su teclado; o bien software, es decir, programas espía que se instalan en el equipo investigado ejecutables sin que el usuario se dé cuenta, que

guardan cada tecla presionada en el teclado, y cuya información puede ser transmitida al investigador por la red local o a través de Internet, para obtener las contraseñas de entrada a los servicios de acceso restringido. b) Presupuestos De acuerdo con el art. 588 septies a).1 LECrim, el juez competente podrá autorizar la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos, siempre que persiga la investigación de alguno de los siguientes delitos autorizados (numerus clausus): — delitos cometidos criminales;

en

el

seno

de

organizaciones

— delitos de terrorismo; — delitos cometidos contra menores o personas con capacidad modificada judicialmente; — delitos contra la Constitución, de traición y relativos a la defensa nacional; — ciberdelitos (delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación o servicio de comunicación). Obsérvese que la LECrim, una vez autorizado el acceso al dispositivo de almacenamiento de datos, por ejemplo, al ordenador de sobremesa que tiene en su casa el investigado, permite rastrear cualquier elemento del sistema, cualquier programa, cualquier dato, cualquier base de datos, cualquier texto, etc., contenido en él. Todo es, por tanto, objeto de investigación. Sorprende por ello que se incluyan muchos delitos

que ni siquiera podrían llegar a ser menos graves, a la vista del tenor literal de los apartados c) y e) del precepto. Sería de desear por el principio de proporcionalidad una mayor precisión de esos delitos (GÓMEZ COLOMER), dado que la lista no resulta balanceada con las disposiciones y principios generales de especialidad, idoneidad, excepcionalidad, necesidad y proporcionalidad del art. 588 bis a) LECrim.

c) Autorización Resulta necesaria autorización judicial en todo caso (reserva jurisdiccional). Teniendo en cuenta que esta técnica supone una injerencia de gran intensidad en los señalados derechos fundamentales, la LECrim no admite la posibilidad de actuación policial o del fiscal sin dicha autorización en supuestos de urgencia. La mesura con que la LECrim aborda esta medida se refleja en los requisitos que impone al auto judicial que la autorice, pues debe especificar (art. 588 septies.a).2 LECrim): 1. los dispositivos o contenidos digitales objeto de la medida; 2. el alcance de la misma; 3. la forma en la que se llevará el acceso y toma de datos; 4. el software utilizado; 5. los agentes autorizados; 6. la autorización para la realización de copias; y 7. las medidas para preservar los datos obtenidos, así como para la inaccesibilidad o supresión de dichos datos del sistema informático al que se ha tenido acceso. d) Práctica Como especialidad, se prevé la ampliación. Así, cuando los agentes que lleven a cabo el registro remoto tengan

razones para creer que los datos buscados están almacenados en otro sistema informático, o en una parte del mismo, pondrán este hecho en conocimiento del juez instructor, quien podrá autorizar una ampliación de los términos del registro (art. 588 septies a).3 LECrim). Sin embargo, la ampliación no puede ser acordada por la Policía Judicial o por el Ministerio Fiscal de motu propio para ser después convalidada o revocada judicialmente, ni tampoco en casos de urgencia. Por su parte, el art. 588 septies b) LECrim obliga a colaborar con la justicia a los prestadores de servicios y personas señaladas en el artículo 588 ter e), y a los titulares o responsables del sistema informático o base de datos objeto del registro, para la práctica de la medida y el acceso al sistema (por ejemplo, desactivando el antivirus o el firewall, o permitiendo tal troyano). Asimismo, están obligados a facilitar la asistencia necesaria para que los datos e información recogidos puedan ser objeto de examen y visualización. Las autoridades y los agentes encargados de la investigación podrán ordenar a cualquier persona (33) que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que proporcione la información que resulte necesaria para el buen fin de la diligencia. Deben guardar secreto y están sujetos a responsabilidad. El precepto establece esta obligación con una concepción amplia: por un lado, se refiere al suministro de la información que resulte necesaria para el acceso a la información, y no solamente a las claves de acceso; y, por otra parte, la destinataria de esta obligación es «cualquier persona», con determinadas excepciones que se exponen en el párrafo siguiente.

Esta obligación no será aplicable al investigado o encausado, a las personas que están dispensadas de la obligación de declarar por razón de parentesco, y a aquellas

que, de conformidad con el artículo 416.2 LECrim, no pueden declarar en virtud del secreto profesional (recuérdese lo dicho con relación a esta previsión en el apartado anterior). e) Duración La medida tendrá una duración máxima de 1 mes, prorrogable por iguales períodos hasta un máximo total de 3 meses (art. 588 septies c) LECrim), lo cual tiene su fundamento en el carácter altamente invasivo de esta diligencia.

1.6. Agente encubierto informático La criminalidad organizada, y por supuesto la ciberdelincuencia, se han convertido en un auténtico problema de Estado, ya que cuentan con técnicas altamente sofisticadas y con sujetos de probada eficacia delictiva. Los modernos medios de comunicación e información, netamente tecnológicos, hacen que la lucha contra aquellas lacras requiera de instrumentos legales (34) cada vez más agresivos, como son todas las medidas de investigación tecnológica que acabamos de examinar. Pero no son suficientes. Aparece así la infiltración policial mediante la utilización del «agente encubierto» o «agente infiltrado» para enfrentarse desde dentro de la trama delincuencial a los crímenes más graves que nuestra sociedad conoce en el tiempo presente, y se justifica en la necesidad de establecer nuevas fórmulas o mecanismos que faciliten una óptima averiguación de los hechos delictivos investigados, así como las circunstancias organizativas y estructurales de la organización criminal investigada. Este agente encubierto se caracteriza (art. 282 bis.1 LECrim) por:

— la infiltración en una red de delincuentes; — la ocultación de la verdadera identidad; y — la condición de agente de la Policía Judicial de quien procede a infiltrarse entre un grupo de delincuentes. El agente encubierto o infiltrado viene amparado en su cometido por una identidad supuesta con expedición de los correspondientes documentos oficiales de identidad, y se le permite adquirir y transportar los objetos, efectos e instrumentos del delito, así como diferir su incautación, debiendo poner a disposición de quien autorizó la investigación toda la información que vaya obteniendo para su aportación al proceso. En su labor policial, cuando sus actuaciones pudieran afectar a derechos fundamentales habrá de recabar del órgano judicial competente las autorizaciones que correspondan, así como cumplir las previsiones legalmente previstas (art. 282 bis.3 LECrim), de modo que debe entenderse que, en caso contrario, las pruebas obtenidas no surtirán efecto alguno. En la STEDH caso Teixeira de Castro, de 9 de junio de 1998, se reconoce que esta figura tiene cabida en el CEDH, si bien «la intervención de agentes infiltrados debe estar circunscrita y rodeada de garantías incluso en el caso del tráfico de estupefacientes. En efecto, si la expansión de la delincuencia organizada lleva a no dudar de la adopción de medidas apropiadas, no queda más que, en una sociedad democrática, el derecho a una buena administración de la justicia ocupe un lugar tan eminente que no podamos sacrificarla por conveniencia. Las exigencias generales de equidad consagradas en el artículo 6 CEDH se aplican a los procedimientos relativos a todos los tipos de infracción criminal, de la más simple a la más compleja». La LECrim, fuera de la mera investigación policial que ha de realizarse con escrupuloso respeto de los derechos fundamentales, no diseña un campo de actuación meramente pasivo del agente encubierto dentro de las actividades de la

banda criminal, sino que le autoriza para la realización de otras actuaciones que incluso pudieran ser constitutivas de delito en el curso de operaciones de la organización criminal. Así, el propio art. 282 bis.5 LECrim reconoce que el agente encubierto estará exento de responsabilidad criminal por aquellas actuaciones que sean consecuencia necesaria del desarrollo de la investigación, siempre que guarden la debida proporcionalidad con la finalidad de la misma y no constituyan una provocación al delito. De este modo, como observa MORENO CATENA, la LECrim ha establecido una norma abierta, que sin duda pondrá en serias dificultades y dejará en una enorme inseguridad jurídica a los miembros de las Fuerzas de Seguridad que se ven abocados a realizar operaciones de infiltración en bandas criminales.

Esta figura tiene su antecedente comparado más próximo en el Derecho alemán, si bien en España su efectiva positivación se produjo con la Ley Orgánica 5/1999, de 13 de enero, de modificación de la Ley de Enjuiciamiento Criminal en materia de perfeccionamiento de la acción investigadora relacionada con el tráfico ilegal de drogas y otras actividades ilícitas graves, que incorporó a nuestro ordenamiento jurídico procesal un nuevo artículo 282 bis LECrim, que proporciona habilitación legal a la figura del agente encubierto en el marco de las investigaciones relacionadas con la delincuencia organizada. De esta forma, a partir de entonces se posibilita el otorgamiento y la utilización de una identidad supuesta a funcionarios de la Policía Judicial, que puede mantenerse incluso en el eventual proceso judicial posterior, con lo que se completa el régimen de protección que preveía la Ley Orgánica 19/1994, de 23 de diciembre, respecto a peritos y testigos de causas criminales. Asimismo, se delimita a estos efectos el concepto de «delincuencia organizada», determinando las figuras delictivas que comprende. Finalmente, se faculta al agente encubierto para utilizar, bajo estricto control judicial y fiscal, medios complementarios de investigación.

La STS, Sala 2ª, de 29 de diciembre de 2010 lo caracteriza en los siguientes términos: «El término undercorver o agente encubierto, se utiliza para designar a los funcionarios de policía que actúan en la clandestinidad, con identidad supuesta y con la finalidad de reprimir o prevenir el delito. Agente encubierto, en nuestro ordenamiento será el policía judicial, especialmente seleccionado, que bajo identidad supuesta, actúa pasivamente con sujeción a la Ley y bajo el control del Juez, para investigar delitos propios de la delincuencia organizada y de difícil averiguación, cuando han fracasado otros métodos de la investigación o estos sean manifiestamente insuficientes, para su descubrimiento y permite recabar información sobre su estructura y modus operandi, así como obtener pruebas sobre la ejecución de hechos delictivos, debiéndose aclarar que es preciso diferenciar esta figura del funcionario policial que de forma esporádica y aislada y ante un acto delictivo concreto oculta su condición policial para descubrir un delito ya cometido.»

En suma, se trata de un medio extraordinario de investigación de determinados delitos cuya comisión se encuadra en la actividad de una organización criminal, que consiste en integrar o incorporar a la estructura de dicha organización a un funcionario de la Policía a quien, a tales efectos, se le otorga una identidad supuesta o ficticia, para poder recabar, desde esa posición y ante las dificultades de hacerlo mediante los medios de investigación ordinarios, información y datos sobre los hechos delictivos investigados, así como otros que puedan conducir a conocer la estructura, integrantes, financiación y funcionamiento de la organización criminal que coadyuven a su desmantelamiento o a lograr su inoperancia. Y su aplicación al campo de la ciberdelincuencia tiene su máxima justificación, dado que, como ha quedado apuntado, Internet constituye un escenario en el que la actividad delictiva que se lleva a cabo es de lo más diversa

y sofisticada, además de que existe una gran dificultad para identificar a los ciberdelincuentes. Por ello, en este contexto la figura de los agentes encubiertos informáticos resulta crucial como una medida concreta de investigación tecnológica dirigida al descubrimiento y persecución de quienes se aprovechan de la Red para sus propósitos delictivos. a) Objeto La reforma de 2015 ha añadido la posibilidad de emplear el denominado «agente encubierto informático» (art. 282 bis, apartados 6 y 7 LECrim), y consiste en que el Juez de Instrucción competente podrá autorizar a funcionarios de la Policía Judicial para actuar bajo identidad supuesta en comunicaciones mantenidas en canales cerrados de comunicación con el fin de esclarecer alguno de los delitos a los que se refiere el art. 282 bis.4 LECrim o cualquier delito de los previstos en el artículo 588 ter a) LECrim. Por tanto, las actuaciones de investigación en canales abiertos no precisan de autorización judicial, que se enmarcan en la actividad de ciberpatrullaje en la prevención de delitos en la Red, incluso aun cuando las labores de prevención son realizadas bajo seudónimo o nick en tales espacios abiertos de comunicación (redes sociales, plataformas P2P, foros abiertos, newsgroups, etc.). A este agente encubierto informático se le permite además intercambiar o enviar archivos que sean ilícitos por su contenido, así como analizar los algoritmos aplicados para la identificación de estos archivos. Es decir, no sólo ampara difundir material pornográfico si ello es necesario, por ejemplo, para infiltrarse en un grupo de pederastas, sino también el envío de spyware, troyanos, etc., lo que tendrá una repercusión diferente en los derechos fundamentales del sujeto investigado y por ello se impone la reserva exclusiva de autorización judicial, con la consiguiente

motivación específica sobre este particular. Ahora bien, no puede entenderse como una carta blanca, sino que debe ser consecuencia necesaria de la investigación, ser proporcional y que no constituya provocación al delito. De ahí que la reforma haya introducido la necesidad de autorización judicial específica para este extremo. La STS, Sala 2ª, de 10 de febrero de 2016 precisa los límites entre el delito comprobado y el proscrito delito provocado. El delito provocado «...se integra por una actuación engañosa del agente policial que supone una apariencia de delito, ya que desde el inicio existe un control absoluto por parte de la policía. Supuesto distinto es la actividad del agente tendente a verificar la comprobación del delito. No puede pues confundirse el delito provocado instigado por el agente con el delito comprobado a cuya acreditación tiende la actividad policial. En suma, el delito provocado se integra por tres elementos: a) Un elemento subjetivo constituido por una incitación engañosa a delinquir por parte del agente a quien no está decidido a delinquir. b) Un elemento objetivo, consistente en la detención del sujeto provocado que comete el delito inducido. c) Un elemento material que consiste en la inexistencia de riesgo alguno para el bien jurídico protegido, y como consecuencia la atipicidad de tal acción. Como se afirma en la STS 571/2008, el delito provocado es una rechazable e inadmisible actividad policial que traspasa los límites de la legalidad». Asimismo, en el curso de una investigación llevada a cabo mediante agente encubierto, el juez competente podrá autorizar la obtención de imágenes y la grabación de las conversaciones que puedan mantenerse en los encuentros previstos entre el agente y el investigado, aun cuando se desarrollen en el interior de un domicilio (art. 282 bis.7 LECrim). b) Presupuestos

Su función es la de averiguar hechos punibles, practicar diligencias para su comprobación y descubrir sus autores, siempre que estén vinculadas a actividades propias de la delincuencia organizada. Únicamente procede para la investigación de los siguientes delitos: — delitos de obtención, tráfico ilícito de órganos humanos y trasplante de los mismos, previstos en el artículo 156 bis del Código Penal; — delito de secuestro de personas previsto en los artículos 164 a 166 del Código Penal; — delito de trata de seres humanos previsto en el artículo 177 bis del Código Penal; — delitos relativos a la prostitución previstos en los artículos 187 a 189 del Código Penal; — delitos contra el patrimonio y contra el orden socioeconómico previstos en los artículos 237, 243, 244, 248 y 301 del Código Penal; — delitos relativos a la propiedad intelectual e industrial previstos en los artículos 270 a 277 del Código Penal; — delitos contra los derechos de los trabajadores previstos en los artículos 312 y 313 del Código Penal; — delitos contra los derechos de los ciudadanos extranjeros previstos en el artículo 318 bis del Código Penal; — delitos de tráfico de especies de flora o fauna amenazada previstos en los artículos 332 y 334 del Código Penal; — delito de tráfico de material nuclear y radiactivo previsto en el artículo 345 del Código Penal; — delitos contra la salud pública previstos en los artículos 368 a 373 del Código Penal;

— delito de falsificación de moneda, previsto en el artículo 386 del Código Penal, y de falsificación de tarjetas de crédito o débito o cheques de viaje, previsto en el artículo 399 bis del Código Penal; — delito de tráfico y depósito de armas, municiones o explosivos previsto en los artículos 566 a 568 del Código Penal; — delitos de terrorismo previstos en los artículos 572 a 578 del Código Penal; — delitos contra el patrimonio histórico previstos en el artículo 2.1.e de la Ley Orgánica 12/1995, de 12 de diciembre, de represión del contrabando; — delitos dolosos castigados con pena con límite máximo de, al menos, 3 años de prisión; — delitos cometidos en el seno de un grupo u organización criminal; — ciberdelitos (delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación; Una eficacia especial en la práctica de esta técnica se supone en la persecución de los delitos de pedofilia del art. 183 ter CP, pero sorprendentemente este delito no está en el listado de los autorizados, ya que su pena es inferior y no siempre es un acto criminal típico de grupo organizado. Un olvido no disculpable. Tampoco dispone la ley prevenciones acerca de la comparecencia en juicio como testigo de este agente especial.

c) Autorización Lo puede autorizar únicamente el Juez de Instrucción competente por resolución motivada (nunca por el Ministerio Fiscal), que deberá justificar la necesidad de la medida para conseguir los fines que se persigan, ya que se están también afectando los derechos fundamentales del artículo 18 de la Constitución. Es muy conveniente que el

auto judicial también contemple la extensión de las actividades del agente a conversaciones telefónicas o encuentros presenciales que excedan del ámbito virtual, ya que en la práctica las relaciones entabladas en el ciberespacio van a tener su continuidad en el mundo físico. A diferencia de lo previsto en el apartado primero del art. 282 bis LECrim para el agente encubierto convencional, solo podrá autorizar la medida un órgano jurisdiccional. No le está autorizado al Ministerio Fiscal el acuerdo inicial de la medida. Asimismo, como quedó apuntado, podrá autorizarse judicialmente la obtención de imágenes y la grabación de las conversaciones que puedan mantenerse en los encuentros previstos entre el agente y el investigado, aun cuando se desarrollen en el interior de un domicilio.

El auto judicial por el que se acuerde la medida deberá consignar el nombre verdadero del agente y la identidad supuesta con la que actuará en el caso concreto. La resolución será reservada y deberá conservarse fuera de las actuaciones con la debida seguridad. d) Duración Obtenida así la identidad, se otorga por prorrogables por períodos de igual duración.

6 meses,

Ahora bien, como acertadamente señala VELASCO NÚÑEZ (35) , como instrumento específico de la lucha contra el crimen organizado, el agente encubierto sirve y pretende reutilizarse en más de una investigación. En consecuencia, del mismo modo que solo el transcurso del tiempo le permite obtener y ganar la confianza de sus investigados para poder esclarecer su actividad delictiva, es necesario entender que su relación con el entorno grupal en el que se ha infiltrado no puede desaparecer de la noche a la mañana, y por ello su desconexión del señalado grupo igualmente habrá de ser progresiva y paulatina en el tiempo y en el campo operativo, lo que jurídicamente podrá

implicar prórrogas del secreto y de su situación, aunque ya estén más encaminadas a hacerle desaparecer del círculo delictivo en que se infiltró que a esclarecer nuevas responsabilidades delictivas, razón por la que es perfectamente legal y entendible que el agente continúe en el tráfico de su infiltración por un período de seguridad en que, aun cesada su operatividad, la autorización judicial se mantiene para preservar su futuro y su seguridad, mayor, claro está, en el caso del agente físico que en el del virtual. e) Aportación de la prueba obtenida a través del agente encubierto Como acertadamente advierte ZARAGOZA TEJADA (36) , uno de los mayores problemas prácticos que pueden plantearse en relación con el agente encubierto es el de las vías a través de las cuales los medios de prueba obtenidos por el mismo pueden ser introducidos en el acto del juicio oral. Obviamente, el concreto medio de prueba que sirva de vehículo para incorporar en el juicio oral la información dependerá de su naturaleza. Normalmente, y así de hecho es desarrollado para la generalidad de casos en los que es utilizada la figura del agente encubierto, se propone la declaración testifical del agente policial que ha actuado como tal, el cual, a través del interrogatorio, podrá relatar los hechos que directamente ha percibido por sí mismo como aquellos de los que ha tenido conocimiento que hayan sido perpetrados por alguno o algunos de los investigados. Asimismo, las fotografías, capturas de pantallas, videos, grabaciones de imagen o sonido que hubiera obtenido el agente encubierto deberían ser aportadas al juicio como prueba documental a fin de que puedan ser apreciadas por el tribunal enjuiciador atendiendo, eso sí, a los principios de inmediación y contradicción.

2. MEDIDAS DE ASEGURAMIENTO Se prevén en el capítulo X del título VIII del libro II de la Ley de Enjuiciamiento Criminal bajo la denominación de medidas de aseguramiento, que engloba únicamente al art. 588 octies LECrim, introducido también por la reforma de 2015, y tales medidas se concretan en la orden de conservación de datos y en ciertas actuaciones de prevención. Esencialmente se trata de que el Ministerio Fiscal o la Policía Judicial pueda requerir a cualquier persona física o jurídica la conservación y protección de datos o informaciones concretas incluidas en un sistema informático de almacenamiento que se encuentren a su disposición hasta que se obtenga la autorización judicial correspondiente para su cesión con arreglo a lo dispuesto en los artículos precedentes. Los datos se conservarán durante un período máximo de 90 días, prorrogable una sola vez hasta que se autorice la cesión o se cumplan 180 días; y el requerido vendrá obligado a prestar su colaboración y a guardar secreto del desarrollo de esta diligencia, quedando sujeto a responsabilidad. Con ello se evita incurrir en una vulneración constitucional (ejecutar la diligencia sin orden judicial) y en una pérdida o extravío casi seguro de los datos a efectos de la investigación criminal. A la vista de su naturaleza preventiva y no invasiva, para poner en práctica esta diligencia de investigación no es preciso impetrar la actuación del órgano judicial. Es decir, no estamos en presencia de una medida que afecte al derecho fundamental al secreto de las comunicaciones, ni siquiera al de la intimidad, ya que la autoridad reclamante no está teniendo acceso a los datos. Simplemente, se está requiriendo de los particulares encargados del tratamiento de esos datos, y que los tienen en su poder, que no

procedan a su borrado. Y es que determinados sujetos, como los operadores de telecomunicaciones, deben eliminar los datos de carácter personal periódicamente, por mandato legal. Otros, como los proveedores y plataformas de Internet, lo hacen por economía de medios, ya que el almacenamiento de las ingentes cantidades de datos generadas por sus procesos informáticos genera un gasto considerable.

(1)

El art. 579 LECrim en su anterior redacción aludía a la «intervención de las comunicaciones telefónicas del procesado» (art. 579.2) y al tiempo a la «observación de las comunicaciones [...] telefónicas de las personas sobre las que existan indicios de responsabilidad criminal» (art. 579.3). Ello no obstante, tales medidas han venido designándose pacíficamente como «intervenciones telefónicas» (o «escuchas telefónicas») y han pasado ahora a denominarse tras la reforma de modo más amplio como «interceptación de las comunicaciones telefónicas y telemáticas». Ver Texto

(2)

El utilizar una o otra categoría está determinada por la evolución tecnológica y los sistemas de comunicaciones que se quieran emplear en el medio de transmisión en cuestión (teléfono, teletipo-télex, fax, módem, RDSI, intercambio electrónico de documentos (EDI), infovías, Internet, redes privadas virtuales (VPN), etc. Ver Texto

(3)

VELASCO NÚÑEZ, Eloy, Delitos tecnológicos: definición, investigación y prueba en el proceso penal, op. cit., pág. 95 y ss. Ver Texto

(4)

Vid. nota 135.

Ver Texto

(5)

MONTÓN REDONDO, Alberto; BARONA VILAR, Silvia; MONTERO AROCA, Juan; y GÓMEZ COLOMER, Juan Luis, Derecho Jurisdiccional III. Proceso Penal, Editorial Tirant lo Blanch, Valencia, 2012, 20ª edición, pág. 201 y ss. Ver Texto

(6)

CAVERO FORRADELLAS, Gerardo y CORTÉS PÉREZ-MUÑOZ, Juan Francisco, Medidas de investigación tecnológica en el Derecho Procesal español, Editorial B de F, Buenos Aires, 2018, pág. 89. Ver Texto

(7)

CAVERO FORRADELLAS, Gerardo y CORTÉS PÉREZ-MUÑOZ, Juan Francisco, Medidas de investigación tecnológica en el Derecho Procesal español, op. cit., pág. 91. Ver Texto

(8)

Para un análisis minucioso, vid. ZARAGOZA TEJADA, Javier Ignacio (coord.), Investigación tecnológica y derechos fundamentales, Editorial Aranzadi, Pamplona, 2017, pág. 473 y ss. Ver Texto

(9)

VELASCO NÚÑEZ, Eloy, Delitos tecnológicos: definición, investigación y prueba en el proceso penal, op. cit., pág. 104. Ver Texto

(10) SÁNCHEZ MELGAR, Julián, La nueva regulación de las medidas de investigación tecnológica. Estudio de su Parte General, Editorial SEPIN, Madrid, 2016, pág. 197; y VELASCO NÚÑEZ, Eloy, Delitos tecnológicos: definición, investigación y prueba en el proceso penal, op. cit., pág. 106. Ver Texto

(11) Sobre estas categorías, vid. BARRIO ANDRÉS, Moisés, Fundamentos del Derecho de Internet, Editorial Centro de Estudios Políticos y Constitucionales, Madrid, 2017, en especial sus capítulos IV y V.

Ver Texto

(12) La contratación de SITEL fue realizada el 24 de octubre de 2001 por el Ministerio del Interior y fue adjudicada a la empresa danesa ETI A/S, especializada en soluciones informáticas y de telecomunicaciones para Fuerzas y Cuerpos de Seguridad. El contrato original fijó como fecha de entrega el 31 de marzo de 2003. Dos sucesivos aplazamientos alargaron este plazo, primero hasta el 30 de septiembre de 2003 y después hasta el 30 de noviembre de 2003. La razón de los retrasos fue que los operadores de telecomunicaciones no habían instalado los correspondientes sistemas de interceptación en sus redes y centrales. Al parecer, el sistema se empleó en febrero de 2004 en una operación antidroga en Galicia. Ver Texto

(13) Desde finales de 2015 la Guardia Civil y la Policía Nacional cuentan con el nuevo Sistema de Interceptación Legal de las Comunicaciones Electrónicas (SILC), adjudicado a la empresa DARS Telecom el 13 de mayo de 2015 por casi un millón de euros. Esta plataforma, a diferencia de SITEL, pasa a soportar la mayor parte de los programas o aplicaciones de correo electrónico, mensajería instantánea y buena parte de las redes sociales. Ver Texto

(14) CAVERO FORRADELLAS, Gerardo y CORTÉS PÉREZ-MUÑOZ, Juan Francisco, Medidas de investigación tecnológica en el Derecho Procesal español, op. cit., pág. 102. Ver Texto

(15) MONTÓN REDONDO, Alberto; BARONA VILAR, Silvia; MONTERO AROCA, Juan; y GÓMEZ COLOMER, Juan Luis, Derecho Jurisdiccional III, Proceso Penal, op.cit., pág. 221 y ss. Ver Texto

(16) IMSI (Identidad Internacional del Abonado a un Móvil o International Mobile Suscriber Identity) es el código único integrado en la tarjeta SIM (Suscriber Identy Module), o

tarjeta chip que se inserta en el dispositivo móvil para asignarle el número telefónico de abonado e identificarlo internacionalmente en la red de telefonía móvil. Este número de abonado, conforme a la norma internacional ITU/UIT E.212, está compuesto por el MCC o código del país (3 dígitos), por ejemplo, 214, que correspondería a España; por el MNC o código de la red móvil (2 ó 3 dígitos), por ejemplo, 07, que correspondería al operador Movistar de Telefónica; y finalmente por el MSIN (número de 10 dígitos), que contiene la identificación de la estación móvil. Ver Texto

(17) IMEI (Identidad Internacional del Equipo Móvil o International Mobile Equipment Identity) es el número de serie del terminal o teléfono móvil del dispositivo en cuestión, que puede obtenerse pulsando *#06#, sin que para ello sea necesario, ni por ello implique, el acceso a ningún dato de la memoria de dicho equipo. Ver Texto

(18) MORENO CATENA, Víctor; «Garantía de los derechos fundamentales en la investigación penal», en Poder Judicial, No 2, 1987. Ver Texto

(19) El último inciso del anterior art. 579.3 de la LECrim habilitaba la posibilidad de interceptar las comunicaciones verbales, ya que después de referirse a las comunicaciones postales, telegráficas y telefónicas, añadía «así como de las comunicaciones de las que se sirvan para la realización de sus fines delictivos», de forma que la comunicación verbal entre dos personas puede ser objeto de escucha, aprehensión e incorporación a un documento sonoro a través de los modernos aparatos de escucha y grabación. En ambos casos era necesaria resolución judicial motivada (vid., antes de la reforma de 2015, la STS, Sala 2ª, de 7 de febrero de 2014). Ver Texto

(20) VELASCO NÚÑEZ, Eloy, Delitos tecnológicos: definición, investigación y prueba en el proceso penal, op. cit., pág.

110. Ver Texto

(21) ORDUNA NAVARRO, Beatriz, «Intervención de las comunicaciones orales mediante dispositivos electrónicos. Alcance de la reforma de la LECrim. LO 13/15, de 5 de octubre», Diario La Ley, No 9190, 2018. Ver Texto

(22) VELASCO NÚÑEZ, Eloy, Delitos tecnológicos: definición, investigación y prueba en el proceso penal, op. cit., pág. 112. Ver Texto

(23) El TC señaló en el FJ 7º lo siguiente, que hoy mantiene su vigencia a pesar de los avances tecnológicos y que por ello conviene reproducir en parte: «Sea cual sea el ámbito objetivo del concepto de "comunicación", la norma constitucional se dirige inequívocamente a garantizar su impenetrabilidad por terceros (públicos o privados: el derecho posee eficacia erga omnes) ajenos a la comunicación misma. La presencia de un elemento ajeno a aquéllos entre los que media el proceso de comunicación es indispensable para configurar el ilícito constitucional aquí perfilado. No hay "secreto" para aquél a quien la comunicación se dirige, ni implica contravención de lo dispuesto en el art. 18.3 de la Constitución la retención, por cualquier medio, del contenido del mensaje. Dicha retención (la grabación, en el presente caso) podrá ser, en muchos casos, el presupuesto fáctico para la comunicación a terceros, pero ni aun considerando el problema desde este punto de vista puede apreciarse la conducta del interlocutor como preparatoria del ilícito constitucional, que es el quebrantamiento del secreto de las comunicaciones. Ocurre, en efecto, que el concepto de "secreto" en el art. 18.3 tiene un carácter "formal", en el sentido de que se predica de lo comunicado, sea cual sea su contenido y pertenezca o no el objeto de la comunicación misma al ámbito de lo personal, lo íntimo o lo reservado. Esta

condición formal del secreto de las comunicaciones (la presunción iuris et de iure de que lo comunicado es "secreto", en un sentido sustancial) ilumina sobre la identidad del sujeto genérico sobre el que pesa el deber impuesto por la norma constitucional. Y es que tal imposición absoluta e indiferenciada del "secreto" no puede valer, siempre y en todo caso, para los comunicantes, de modo que pudieran considerarse actos previos a su contravención (previos al quebrantamiento de dicho secreto) los encaminados a la retención del mensaje. Sobre los comunicantes no pesa tal deber, sino, en todo caso, y ya en virtud de norma distinta a la recogida en el art. 18.3 de la Constitución, un posible "deber de reserva" que –de existir– tendría un contenido estrictamente material, en razón del cual fuese el contenido mismo de lo comunicado (un deber que derivaría, así del derecho a la intimidad reconocido en el art. 18.1 de la Norma fundamental.)» Ver Texto

(24) RODRÍGUEZ LÓPEZ, Martín, «Captación de imágenes en lugares o espacios públicos», Revista de Privacidad y Derecho Digital, No 8, 2018. Ver Texto

(25) RODRÍGUEZ LAINZ, José Luis, «GPS y balizas policiales», Diario La Ley, No 8416, 2014. Ver Texto

(26) Cabe entender mejor el funcionamiento de este sistema partiendo de la aplicación Google Maps o Google Earth. En estos casos el terminal se posiciona geográficamente y, a partir de este momento, el operador de telefonía móvil facilita al terminal una cartografía dinámica que va actualizándose conforme se hace preciso, en función de localización y ruta que tome el terminal. Ver Texto

(27) La captación y/o la grabación de imágenes de personas identificadas, o identificables, con fines de vigilancia mediante cámaras, videocámaras o cualquier otro medio técnico análogo, constituye un tratamiento de datos

personales sometido a la LOPD. No obstante, está excluido de la misma el tratamiento de imágenes en el ámbito exclusivamente personal y doméstico (privado o familiar). Ver Texto

(28) Disponible en https://www.aepd.es/media/guias/guiavideovigilancia.pdf Ver Texto

(29) La especial naturaleza de este tipo de incautaciones ya fue reconocida, por ejemplo, en la STS, Sala 2ª, de 2 de abril de 2014, en la cual se señalaba que: «...el acceso de los poderes públicos al contenido del ordenador de un imputado, no queda legitimado a través de un acto unilateral de las fuerzas y cuerpos de seguridad del Estado. El ordenador y, con carácter general, los dispositivos de almacenamiento masivo, son algo más que una pieza de convicción que, una vez aprehendida, queda expuesta en su integridad al control de los investigadores. El contenido de esta clase de dispositivos no puede degradarse a la simple condición de instrumento recipiendario de una serie de datos con mayor o menor relación con el derecho a la intimidad de su usuario. En el ordenador coexisten, es cierto, datos técnicos y datos personales susceptibles de protección constitucional en el ámbito del derecho a la intimidad y la protección de datos (art. 18.4 de la CE). Pero su contenido también puede albergar -de hecho, normalmente albergará- información esencialmente ligada al derecho a la inviolabilidad de las comunicaciones». Ver Texto

(30) Este caso, considerado de gran trascendencia para el futuro de Internet, tuvo su origen en 2013 cuando, en el marco de la investigación de un posible caso de narcotráfico, las autoridades policiales de los Estados Unidos solicitaron a la compañía el contenido de diversos correos electrónicos almacenados en un centro de datos de la misma situado en Irlanda. La empresa se opuso a esta petición, por considerar que el cauce invocado por el Gobierno norteamericano era inadecuado, pues lo procedente en su opinión era acudir a los mecanismos de cooperación judicial

internacional. En primera instancia el Tribunal federal de apelación del Segundo Circuito (United States Court of Appeals for the Second Circuit o 2d Cir.), estimó estas alegaciones y resolvió a favor de Microsoft por unanimidad de la Sala. Pero esta decisión fue recurrida por el Gobierno estadounidense ante el Tribunal Supremo de ese país, cuyo fallo, a fecha de escribir estas líneas, aún no se ha producido. Ver Texto

(31) ZARAGOZA TEJADA, Javier Ignacio (coord.), Investigación tecnológica y derechos fundamentales, Editorial Aranzadi, Pamplona, 2017, pág. 435. Ver Texto

(32) Este tipo de software permite a la policía escanear un disco duro y demás unidades de almacenamiento y remitir, de forma remota y automatizada, el contenido del mismo al técnico informático de la unidad policial responsable de la investigación. Ver Texto

(33) A juicio de DE BUENO MATA, la expresión «cualquier persona» tiene dos efectos negativos inmediatos. En primer lugar, «...se desvalora o se reconoce como insuficiente la capacitación técnica de la Policía Judicial en términos de investigación policial, cuando existen unidades concretas con miembros con años de especialización que han sido formados para tal fin y están en constante reciclaje y capacitación, por lo que a nivel publicitario y de imagen exterior no creemos que nos haga ningún bien y, en segundo lugar, ¿qué perfil tiene esa persona? Al hablarse de un cualquier no se acota la identidad de ese sujeto, ¿se está hablando de un ingeniero informático profesional? O, por el contrario, ¿se abre la puerta al fichaje de hackers que actúen sin fines éticos e incluso criminales?». Cfr. BUENO DE MATA, Federico: «Comentarios de legislación: Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de

investigación tecnológica», Ars Iuris Salmanticensis, Vol. 4, No. 1, 2016. Ver Texto

(34) Han surgido así diferentes mecanismos, como las entregas vigiladas de drogas y la infiltración de agentes en bandas criminales, que luego se fueron extendiendo a la investigación y sanción de otras modalidades delictivas, pero siempre que se encuentren expresamente previstas en la ley. Así pues, estas medidas sólo pueden ser válidamente utilizadas para la persecución de ciertos tipos penales, lo que supone incorporar por decisión del legislador el principio de proporcionalidad entre las medidas de investigación y los delitos, sustrayendo a la decisión de las autoridades, incluida la autoridad judicial, la posibilidad de aplicarlas a la investigación de otras conductas. Ver Texto

(35) VELASCO NÚÑEZ, Eloy, Delitos tecnológicos: definición, investigación y prueba en el proceso penal, op. cit., pág. 174. Ver Texto

(36) ZARAGOZA TEJADA, Javier Ignacio (coord.), Investigación tecnológica y derechos fundamentales, op. cit., pág. 350 y ss. Ver Texto

Capítulo XV  Ciberseguridad A la vista de la problemática específica de la ciberdelincuencia, y en particular la creciente sofisticación de los ataques y la naturaleza transfronteriza de la misma, resulta muy difícil lograr la identificación del autor de los hechos y, por tanto, conseguir que pueda abonar la responsabilidad civil derivada del delito, por lo que la sanción penal no es la única herramienta que debe emplearse para hacer frente a este fenómeno criminal. De este modo, la prevención de los ciberdelitos por medio de la ciberseguridad constituye la principal vía de defensa a través de la protección de los sistemas de información y redes de comunicaciones electrónicas. La ciberseguridad puede definirse (1) , siguiendo a la Unión Internacional de Telecomunicaciones (UIT), como «la recopilación de herramientas, políticas, conceptos de seguridad, salvaguardias de seguridad, directrices, enfoques de gestión de riesgos, acciones, formación, mejores prácticas, garantías y tecnologías que puedan utilizarse para proteger el entorno cibernético y los activos de las personas físicas y jurídicas». Según la propia UIT, el propósito último de la ciberseguridad es garantizar que se alcancen las condiciones de seguridad de los activos de las organizaciones y de los usuarios, así

como que se actualicen dinámicamente frente a los riesgos de seguridad pertinentes en el entorno del ciberespacio. Los objetivos generales de ciberseguridad incluyen los de confidencialidad, integridad, y disponibilidad. La confidencialidad significa que la información no puede ser divulgada indebidamente a personas, procesos o dispositivos no autorizados. La integridad se refiere a la información protegida contra modificaciones o destrucciones no autorizadas. En fin, la disponibilidad alude al acceso oportuno y confiable a los datos e información sólo por parte de los usuarios autorizados. Por su parte, los riesgos y amenazas a la ciberseguridad pueden verse comprometidos por causas técnicas, fenómenos naturales o agresiones deliberadas, que podemos representar gráficamente como sigue:

Riesgos y amenazas a la ciberseguridad A continuación, nos referiremos al marco jurídico general de la ciberseguridad en la Unión Europea y en España.

1. DERECHO EUROPEO En cuanto a la Unión Europea, la norma de cabecera en la materia viene dada por la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (habitualmente referida como Directiva NIS/SRI o Directiva sobre ciberseguridad), que se proyectó en 2013 como parte de la Estrategia europea de ciberseguridad con el objetivo principal de aumentar la cooperación entre los Estados miembros en cuestiones de ciberseguridad. La fecha límite para su transposición es el pasado 9 de mayo de 2018 y que España ha incumplido. En síntesis, sus propósitos estructurales son lograr una armonización regional mínima en el ámbito de la Unión Europea y hacer que el entorno en línea sea más fiable y seguro, lo que en última instancia respalda la consolidación del Mercado Único Digital. A ella nos vamos a referir en el próximo apartado.

1.1. Directiva NIS La Directiva NIS impone a las empresas de sectores críticos, así como a algunas empresas en línea (proveedores de servicios digitales o prestadores de servicios de la Sociedad de la Información), cumplir determinadas obligaciones de seguridad. Los objetivos de la Directiva se exponen en el artículo 1.2 como sigue: a) obligar a los Estados miembros a adoptar una Estrategia nacional sobre redes y sistemas de información; b) crear un Grupo de cooperación para apoyar y facilitar la cooperación estratégica y el intercambio de información

entre los Estados miembros y desarrollar la confianza y seguridad entre ellos; c) mejorar la cooperación operativa mediante la creación de una Red de equipos de respuesta a incidentes de seguridad informática (técnicamente denominados CSIRT o CERT); d) establecer requisitos de seguridad y notificación para los operadores de servicios esenciales y para los proveedores de servicios digitales; y e) obligar a los Estados miembros a designar autoridades nacionales competentes y puntos de contacto únicos (en España es el Consejo de Seguridad Nacional, al que luego haremos referencia). La Directiva NIS no prejuzga la aplicación de la Directiva 2011/93/UE sobre pornografía infantil (2) , ni tampoco la del Convenio de Budapest sobre la ciberdelincuencia de 2001 que ya hemos analizado, lo que no es de extrañar, ya que trata de aumentar la cooperación y no de armonizar el derecho sustantivo como hizo este último instrumento internacional. Asimismo, la Directiva no prejuzga la legislación nacional en materia de seguridad (art. 1.6 Directiva NIS), ni la aplicación de otras disposiciones especiales de la UE que exijan seguridad de la información (art. 1.7 Directiva NIS), ni la aplicación de las normas de protección de datos de la Unión Europea. En suma, la armonización que lleva a cabo la Directiva NIS es sólo de mínimos, ya que su artículo 3 permite a los Estados miembros adoptar normas más estrictas con el objeto de alcanzar un mayor nivel de seguridad de las redes y sistemas de información. Las redes y sistemas de información se definen en el artículo 4 como redes de comunicaciones electrónicas en el sentido de la Directiva marco de telecomunicaciones (Directiva 2002/21/CE), o simplemente como cualquier

dispositivo o grupo de dispositivos interconectados o relacionados entre sí, en el que uno o varios de ellos realizan, mediante un programa, el tratamiento automático de datos digitales, lo que incluye sin dudas a los sistemas del Internet de las Cosas (IoT). Su seguridad significa la capacidad de resistir cualquier acción que pueda comprometerlos. Los operadores de servicios esenciales son aquellas entidades públicas o privadas que prestan un servicio que debe cumplir cumulativamente tres condiciones: a) ser esencial para el mantenimiento de actividades sociales o económicas cruciales; b) depender de las redes y sistemas de información; y c) un incidente tendría efectos perturbadores significativos en la prestación de dicho servicio. Y los operadores se concretan en el anexo II como los pertenecientes a los sectores de la energía, el transporte, la banca, los mercados financieros, la salud, el abastecimiento de agua y las infraestructuras digitales (3) . En suma, los operadores de servicios esenciales básicamente se caracterizan por su directa vinculación con las infraestructuras físicas. Por su parte, los proveedores de servicios digitales incluyen mercados en línea, motores de búsqueda en línea y servicios de cloud computing, y se distinguen por tener generalmente una naturaleza transfronteriza. Los Estados miembros están obligados a identificar a los operadores de servicios esenciales a los que se aplica la Directiva para cada sector del anexo II. En cambio, los Estados miembros no tienen que identificar todos los servicios digitales, sino sólo aquellos que son esenciales para los intereses económicos y sociales y en los que los incidentes tendrían un «efecto perturbador significativo». La importancia de tal efecto se mide con arreglo a los criterios establecidos en el artículo 6 de la Directiva NIS. Entre ellos, se incluyen el número de usuarios afectados, la importancia

relativa del servicio, el impacto de los intereses económicos y sociales, la cuota de mercado, la extensión geográfica, la importancia de la entidad para mantener un nivel suficiente del servicio, etc. Por su parte, el capítulo II de la Directiva NIS regula los marcos nacionales de seguridad. El artículo 7 obliga a cada Estado miembro a adoptar una Estrategia nacional de seguridad de las redes y sistemas de información (es decir, una Estrategia nacional de ciberseguridad). La estrategia debe abordar una serie de cuestiones que se enumeran específicamente en el precepto. El artículo 8 de la Directiva NIS obliga a los Estados miembros a designar autoridades nacionales competentes y un punto de contacto único. Su tarea consiste en controlar el cumplimiento de la Directiva. Además, en el artículo 9 se prevén equipos de respuesta a incidentes de seguridad informática (CSIRT) con la tarea de tratar los riesgos e incidentes en, al menos, los sectores definidos en el anexo II y los servicios del anexo III. Los CSIRT (Computer Security Incident Response Team) son los equipos de respuesta a ciberataques que monitorizan las redes para detectar posibles incidentes, difundir alertas sobre ellos y aportar soluciones para mitigar sus efectos. El término CSIRT es el usado comúnmente en Europa, en lugar del término CERT (Computer Emergency Response Team) empleado en Estados Unidos. Por último, también se impone en la Directiva el deber de cooperación entre las autoridades nacionales (art. 10 Directiva NIS). En España, se dispone de una Estrategia de Ciberseguridad Nacional desde 2013, actualmente en fase de revisión, y el punto de contacto único es el Consejo de Seguridad Nacional. La cooperación entre los Estados miembros es el objeto del capítulo III de la Directiva NIS. A tal efecto, se crea un Grupo de cooperación (art. 11), compuesto por representantes de los Estados miembros, la Comisión Europea y ENISA (la Agencia Europea de Seguridad de las

Redes y de la Información, ENISA por sus siglas en inglés). Las funciones del Grupo de cooperación están claramente definidas en el artículo 11.3 de la Directiva NIS e incluyen, entre otras, suministrar información para los equipos de respuesta, intercambiar información y buenas prácticas, etc. El artículo 12 de la Directiva establece una red de CSIRT nacionales, cuya principal tarea es proporcionar respuestas coordinadas a los incidentes. Por lo demás, cabe destacar aquí que tanto los operadores de servicios esenciales (art. 14 Directiva NIS) como los proveedores de servicios digitales (art. 16 Directiva NIS) tienen obligaciones específicas en materia de seguridad por lo que respecta a los requisitos de ciberseguridad y la notificación de incidentes con arreglo a la Directiva. No obstante, las obligaciones de estos últimos son menos rigurosas que las de los operadores de servicios esenciales. Ahora bien, cabe advertir que las obligaciones impuestas por la Directiva NIS a los operadores de servicios esenciales y a los proveedores de servicios digitales no se aplican a empresas que suministren redes públicas de comunicaciones o presten servicios de comunicaciones electrónicas disponibles para el público en el sentido de la Directiva marco de telecomunicaciones, que están sujetas a los requisitos específicos de seguridad e integridad establecidos en dicha Directiva, como tampoco a los prestadores de servicios de confianza definidos en el Reglamento (UE) N.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, que están sometidos a los requisitos de seguridad establecidos en dicho Reglamento N.o 910/2014 (art. 1.3 Directiva NIS). Pero actualmente, en el ámbito de protección de datos personales, el Reglamento Europeo de Datos Personales

establece la obligación de los responsables del tratamiento de notificar las violaciones de seguridad de los datos, que incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no permitido a dichos datos. Sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros constituyen violaciones de seguridad a la luz del RGPDE y deben ser tratadas como este Reglamento establece. La notificación a la Agencia Española de Protección de Datos debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia del incidente. Antes de la entrada en vigor del RGPDE, solo se contemplaba la obligación de notificar las violaciones o brechas de seguridad sufridas por los operadores de telecomunicaciones. Esta obligación se regula en la LGTel y en el Reglamento (UE) N.o 611/2013 de la Comisión, de 24 de junio de 2013, relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, sobre la privacidad y las comunicaciones electrónicas.

Finalmente, cabe destacar que la Directiva NIS obliga a los Estados miembros a establecer un régimen sancionador en caso de incumplimiento de las disposiciones nacionales que se aprueben en transposición de la Directiva. Sobre las sanciones a aplicar, se establece que deberán ser efectivas, proporcionadas y disuasorias.

1.2. Reglamento de Ejecución de la Directiva NIS

La Directiva NIS se completa con el recientemente aprobado Reglamento de Ejecución (UE) 2018/151 de la Comisión, de 30 de enero de 2018, por el que se establecen normas para la aplicación de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo en lo que respecta a la especificación de los elementos que han de tener en cuenta los proveedores de servicios digitales para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información, así como de los parámetros para determinar si un incidente tiene un impacto significativo. El Reglamento precisa los elementos que han de tener en cuenta los proveedores de servicios digitales a la hora de establecer y adoptar medidas para garantizar un nivel de seguridad de las redes y sistemas de información que utilizan en el marco de la oferta de estos servicios. También detalla los parámetros para determinar si un incidente tiene un «impacto significativo» en la prestación de dichos servicios. El Reglamento regula las medidas y elementos de seguridad de sistemas, redes y entornos físicos a adoptar por los proveedores de servicios digitales, en particular, las siguientes (art. 2.1 Reglamento): a) La gestión sistemática de redes y sistemas de información. b) La creación de políticas de gestión de la seguridad de la información, incluyendo análisis de riesgos, recursos humanos, seguridad de las operaciones, arquitectura de la seguridad, gestión segura del ciclo de vida de datos y sistemas y, cuando proceda, el cifrado y su gestión. c) La seguridad física y del entorno, que exige un conjunto de medidas para proteger la seguridad de las redes y sistemas de información de los proveedores de servicios digitales frente a los daños, utilizando un enfoque

basado en los riesgos y que tenga en cuenta fenómenos naturales, actos malintencionados y errores humanos. d) La seguridad del abastecimiento, de modo que se dispongan y mantengan políticas adecuadas para garantizar la accesibilidad y, en su caso, trazabilidad de los suministros críticos utilizados en la prestación de los servicios. e) El control de acceso a las redes y sistemas de información, disponiendo de un conjunto de medidas que garanticen el acceso físico y lógico a las redes y los sistemas de información. Asimismo, el Reglamento impone medidas específicas a adoptar por los proveedores de servicios digitales en relación con la gestión de incidentes, en particular las siguientes (art. 2.2): a) Procesos y procedimientos de detección mantenidos y ensayados para garantizar el conocimiento oportuno y adecuado de sucesos anómalos. b) Procesos y procedimientos sobre la notificación de incidentes y la detección de deficiencias y vulnerabilidades en sus sistemas de información. c) Respuesta congruente con los procedimientos establecidos y comunicación de los resultados de la medida adoptada. d) Evaluación de la gravedad del incidente, documentando las enseñanzas extraídas del análisis del incidente y la recopilación de información pertinente que pueda servir como prueba y apoyo a un proceso de mejora continua. El Reglamento regula igualmente los aspectos que debe incluir la gestión de la continuidad de las actividades a la que hace referencia la Directiva NIS, concebida como la capacidad de una organización de mantener o, en su caso,

restablecer, después de un incidente perturbador, la prestación de los servicios a niveles aceptables preestablecidos. La gestión de la continuidad deberá incluir los siguientes aspectos (art. 2.3): a) La definición, implementación y utilización de planes de contingencia basados en un análisis de impacto en la actividad para garantizar la continuidad de los servicios prestados por proveedores de servicios digitales, que deberán ser evaluados y ensayados con carácter periódico; y b) Las capacidades de recuperación en caso de catástrofe, que deberán ser evaluadas y ensayadas con carácter periódico. Por lo que se refiere a la supervisión, auditorías y pruebas a las que hace mención el artículo 16.1.d) de la Directiva NIS, se deberá contemplar el establecimiento y el mantenimiento de políticas, adecuadamente documentadas, que prevean los siguientes aspectos (art. 2.4): a) La realización de una secuencia programada de observaciones o mediciones para evaluar si las redes y sistemas de información están funcionando según lo previsto. b) La inspección y verificación para comprobar si se está siguiendo una norma o una serie de directrices, si los registros son exactos, y si los objetivos de eficiencia y eficacia se están cumpliendo. c) Un proceso destinado a revelar fallos en los mecanismos de seguridad de una red y sistema de información que proteja los datos y mantenga la funcionalidad según lo previsto.

Del mismo modo, el Reglamento contiene los parámetros que deben ser tenidos en cuenta para determinar si el impacto de un incidente es «significativo» en relación con el número de usuarios afectados, duración del incidente, zona afectada, grado de perturbación del funcionamiento del servicio y alcance del impacto sobre las actividades económicas y sociales (arts. 3 y 4).

1.3. Evolución futura: el próximo Reglamento Europeo de Ciberseguridad Como hito de futura evolución legislativa, cabe señalar que el 13 de septiembre de 2017 la Comisión presentó una Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a ENISA, la «Agencia de Ciberseguridad de la UE», y por el que se deroga el Reglamento (UE) N.o 526/2013, y relativo a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación (Reglamento Europeo de Ciberseguridad) (4) , que convertirá a la ENISA en la verdadera Agencia Europea de Ciberseguridad mediante la modernización y mejora de sus herramientas de actuación. Asimismo, el futuro Reglamento establece un marco para la creación de regímenes europeos de certificación de ciberseguridad, a efectos de garantizar un nivel adecuado de ciberseguridad de los productos y servicios de TIC en la Unión Europea que, no obstante, se aplicará sin perjuicio de las disposiciones específicas relativas a la certificación de carácter voluntario u obligatorio contenidas en otros actos de la Unión. Se pretende lograr un esquema armonizado y voluntario para la certificación y estandarización de ciberseguridad de productos hardware, software y servicios TIC, facilitando a usuarios finales, empresas y administraciones públicas una elección informada de los mismos.

Por el momento, el panorama de la certificación de la ciberseguridad de los productos y servicios de TIC en la UE es muy desigual. Existen diversas iniciativas internacionales, como los denominados «criterios comunes para la evaluación de la seguridad de la tecnología de la información» (ISO/IEC 15408), que es una norma internacional para la evaluación de la seguridad informática. Se basa en la evaluación por un tercero y contempla siete niveles de garantía de la evaluación. Los criterios comunes y la metodología común para la evaluación de la seguridad de la tecnología de la información (CEM) asociada constituyen la base técnica de un acuerdo internacional, el Acuerdo de reconocimiento de los criterios comunes (CCRA), que garantiza que los certificados de criterios comunes sean reconocidos por todos sus signatarios. No obstante, en la versión actual del CCRA solo gozan de reconocimiento mutuo las evaluaciones hasta el nivel 2. Además, solo trece Estados miembros han firmado el Acuerdo. Por otra parte, existen actualmente o se están estableciendo en los Estados miembros una serie de iniciativas de certificación de las TIC. Estas iniciativas conllevan el riesgo de fragmentar el mercado y provocar problemas de interoperabilidad. En consecuencia, una empresa puede tener que someterse a varios procedimientos de certificación en distintos Estados miembros para poder ofrecer su producto en múltiples mercados. Así, un fabricante de contadores inteligentes que desee vender sus productos en tres Estados miembros, por ejemplo Alemania, Francia y Reino Unido, tiene que ajustarse actualmente a tres regímenes de certificación diferentes. Se trata del Commercial Product Assurance (CPA) en Reino Unido, la Certification de Sécurité de Premier Niveau (CSPN) en Francia y un perfil de protección específico basado en los criterios comunes en Alemania.

Resulta difícil evaluar en esta temprana fase si la Directiva NIS y su Reglamento de Ejecución (UE) 2018/151 de la Comisión, de 30 de enero de 2018 aportarán mejoras significativas en el perfeccionamiento de la ciberseguridad en la Unión Europea. La eficacia de cualquier estrategia destinada a luchar contra la ciberdelincuencia depende

necesariamente de la existencia de equipos altamente cualificados y formados en todos los ámbitos, públicos y privados. Los esfuerzos de coordinación que implanta la Directiva NIS pueden tener algún impacto positivo en el trabajo de éstos, pero no está claro en este momento si estimularán realmente su formación y funcionamiento. Parece evidente, al menos, que la Directiva obligará a las organizaciones tradicionalmente reservadas, como son los bancos, a notificar y cooperar en los incidentes de ciberseguridad. Si bien esas obligaciones pueden aumentar los costos de los sujetos involucrados, también contribuirán a la seguridad general.

2. DERECHO ESPAÑOL En España, el régimen jurídico de la ciberseguridad está caracterizado por una fuerte dispersión de las normas (5) que regulan los distintos aspectos de esta materia, a lo cual debe añadirse la gran heterogeneidad de la naturaleza jurídica de esas disposiciones jurídicas que conforman un cuadro resultante a día de hoy disperso y no homogéneo. En ese marco general hay que incluir por ejemplo normas penales (el Código Penal), normas del derecho de las telecomunicaciones (la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones), normas administrativas y de organización (como la Ley 34/2002, de 11 de julio, de servicios de la Sociedad de la Información y de comercio electrónico o el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica), e incluso normas relativas al ejercicio y protección de los derechos fundamentales (como la LOPD o la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana). Por todo ello, no se ha alcanzado aún un grado de ciberseguridad nacional acorde al estado de riesgo del

ciberespacio, ya que la inexistencia de una legislación específica y completa sobre la materia es una deficiencia que debe ser prontamente corregida, como ya han hecho otros países de nuestro entorno. En todo caso, a continuación nos vamos a referir aquí a las leyes más importantes.

2.1. Protección de infraestructuras críticas La primera norma jurídica de rango legal capital dentro de la ciberseguridad en España es la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (LMPIC). En efecto, uno de los grandes elementos a salvaguardar de los posibles ciberataques son las infraestructuras críticas, que son aquellas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales del país. Evidentemente, la seguridad de estas infraestructuras es un elemento estratégico para garantizar la propia seguridad de España y de los ciudadanos. Se pretende así prevenir posibles ataques, disminuir su vulnerabilidad y, en el caso de que se produjeran situaciones de crisis que afectaran a las infraestructuras esenciales, minimizar los daños y el período de recuperación. El listado de las mismas se recoge en el Catálogo Nacional de Infraestructuras Estratégicas. Éste es, por su propia naturaleza, secreto y, por tanto, únicamente tienen conocimiento del mismo el propio operador y la administración. La información que sí es pública es la relativa a los sectores a los que pertenecen estas infraestructuras críticas, y que incluye los ámbitos de la energía, la industria nuclear, las TIC, los transportes, el suministro de agua y de alimentos, la salud, el sistema

financiero, la industria química administraciones públicas.

y

aeroespacial

y

las

La LMPIC tiene por objeto «...establecer las estrategias y las estructuras adecuadas que permitan dirigir y coordinar las actuaciones de los distintos órganos de las Administraciones Públicas en materia de protección de infraestructuras críticas, previa identificación y designación de las mismas, para mejorar la prevención, preparación y respuesta de nuestro Estado frente a atentados terroristas u otras amenazas que afecten a infraestructuras críticas. Para ello se impulsará, además, la colaboración e implicación de los organismos gestores y propietarios de dichas infraestructuras, a fin de optimizar el grado de protección de éstas contra ataques deliberados de todo tipo, con el fin de contribuir a la protección de la población». Asimismo, la ley regula las especiales obligaciones que deben asumir tanto las administraciones públicas como los operadores de aquellas infraestructuras que se determinen como infraestructuras críticas. A la postre, la ley tiene por finalidad, por un lado, regular la protección de las infraestructuras críticas contra ataques de todo tipo, tanto de carácter físico como cibernético, y, por otro lado, definir un sistema organizativo de protección de dichas infraestructuras que aglutine a las administraciones públicas y entidades privadas afectadas. Como pieza básica de este sistema, la LMPIC crea el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), como centro de asistencia al Secretario de Estado de Seguridad del Ministerio del Interior en el ejercicio de las funciones que se le encomiendan como órgano responsable de esta materia (art. 7 LMPIC). Y para lograr estos objetivos se prevén dos herramientas fundamentales: el precitado Catálogo Nacional de Infraestructuras Estratégicas, que contendrá toda la información y valoración de las infraestructuras estratégicas

de España (art. 4 LMPIC), y una serie de instrumentos de planificación del sistema, a fin de dirigir y coordinar las actuaciones precisas de protección (art. 14 LMPIC). El CNPIC es el punto de contacto permanente con los gestores de las infraestructuras críticas, tanto públicas como privadas, así como con los organismos internacionales y la Comisión Europea. En definitiva, en nuestro ordenamiento jurídico existe un grupo normativo sectorial para la seguridad de las infraestructuras críticas que se incardina en el sistema general de la ciberseguridad.

2.2. Seguridad Nacional La siguiente norma legal relevante es la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional (LSN). La realidad ha demostrado que los desafíos para la Seguridad Nacional que afectan a la sociedad revisten en ocasiones una elevada complejidad, que desborda los contornos de categorías tradicionales como la defensa, la seguridad pública, la acción exterior y la inteligencia, así como de otras más recientemente incorporadas a la preocupación por la seguridad, como el medio ambiente, la energía, los transportes, el ciberespacio y la estabilidad económica. Además, su campo aparece como un espacio de actuación pública enfocado a la armonización de objetivos, recursos y políticas ya existentes en materia de seguridad. El esfuerzo de integración necesario reviste tanta mayor importancia cuanto que la Seguridad Nacional debe ser considerada un objetivo compartido por las diferentes administraciones públicas, los órganos constitucionales (en especial las Cortes Generales), el sector privado y la sociedad civil, dentro de los proyectos de las organizaciones internacionales de las que España forma parte.

De este modo, la LSN tiene por objeto regular los principios básicos, las autoridades y los órganos superiores, así como los componentes fundamentales de la Seguridad Nacional. También regula el Sistema de Seguridad Nacional, su dirección, organización y coordinación. En fin, se ocupa de la gestión de crisis y la contribución de recursos a la Seguridad Nacional. La Seguridad Nacional, señala el artículo 3 de la LSN, es «...la acción del Estado dirigida a proteger la libertad, los derechos y bienestar de los ciudadanos, a garantizar la defensa de España y sus principios y valores constitucionales, así como a contribuir junto a nuestros socios y aliados a la seguridad internacional en el cumplimiento de los compromisos asumidos». Como elementos esenciales de la LSN, cabe citar en primer lugar al Sistema de Seguridad Nacional, que es el conjunto de órganos, organismos, recursos y procedimientos, integrados en la estructura prevista en el artículo 20 de la Ley, que permite a los órganos competentes en la materia ejercer sus funciones (art. 18 LSN). En cuanto a sus competencias, le corresponde evaluar los factores y situaciones que puedan afectar a la seguridad nacional, recabar y analizar la información que permita tomar las decisiones necesarias para dirigir y coordinar la respuesta ante las situaciones de crisis, detectar las necesidades y proponer las medidas sobre planificación y coordinación con el conjunto de las administraciones públicas, todo ello con el fin de garantizar la disponibilidad y el correcto funcionamiento de los recursos del sistema (art. 19 LSN). En segundo lugar, se establece una organización administrativa encabezada por el Consejo de Seguridad Nacional, que también es la Comisión Delegada del Gobierno para la Seguridad Nacional, y es el órgano al que corresponde asistir al Presidente del Gobierno en la

dirección de la política de Seguridad Nacional y del Sistema de Seguridad Nacional, así como ejecutar las funciones que se le atribuyan por la Ley y se le asignen por su reglamento (art. 17 LSN). También se ha creado un Departamento de Seguridad Nacional, que ejerce las funciones de Secretaría Técnica y órgano de trabajo permanente del Consejo de Seguridad Nacional y de sus órganos de apoyo. En último lugar, debemos hacer referencia a la Estrategia de Seguridad Nacional, que es el marco político estratégico de referencia de la Política de Seguridad Nacional. Contiene el análisis del entorno estratégico, concreta los riesgos y amenazas que afectan a la seguridad de España, define las líneas de acción estratégicas en cada ámbito de actuación y promueve la optimización de los recursos existentes. Se elabora a iniciativa del Presidente del Gobierno, quien la somete a la aprobación del Consejo de Ministros, y se revisa cada 5 años o bien cuando lo aconsejen las circunstancias cambiantes del entorno estratégico (art. 4.3 LSN). La vigente Estrategia de Seguridad Nacional, que fue aprobada el 1 de diciembre de 2017 (6) , profundiza en los conceptos y las líneas de acción definidas en su predecesora de 2013. De la misma depende la Estrategia de Ciberseguridad Nacional, de 2013 (7) y actualmente en fase de revisión, que responde a la creciente necesidad de preservar la seguridad del ciberespacio por su enorme repercusión en cuestiones que afectan a nuestra seguridad nacional, así como a la competitividad de la economía y, en general, al progreso y prosperidad de España. La Estrategia de Ciberseguridad Nacional, al amparo y alineada con la anterior Estrategia de Seguridad Nacional de 2013, que contempla la ciberseguridad dentro de sus ámbitos de actuación, delimita el entorno del ciberespacio, fija principios, objetivos y líneas de acción para el logro de la ciberseguridad nacional, y define el marco de coordinación

de la política de ciberseguridad. Así, en su Línea de Acción 1 fija la cooperación de los organismos con responsabilidades en ciberseguridad, en especial entre el CCN-CERT (que es el CSIRT del Centro Criptológico Nacional (8) del CNI), el Mando Conjunto de Ciberdefensa de las Fuerzas Armadas (MCCD) y el CERT de Seguridad e Industria (CERTSI, que es el CSIRT del Ministerio de Economía y Empresa (anterior Ministerio de Energía, Turismo y Agenda Digital) y del Ministerio del Interior). Los CSIRT de las Comunidades Autónomas, los de las entidades privadas y otros servicios de ciberseguridad relevantes deberán estar coordinados con los anteriores en función de las competencias de cada uno de ellos, articulando la Estrategia los instrumentos adecuados a tal efecto. A ella nos vamos a referir con más detalle en un próximo apartado.

2.3. Transposición de la Directiva NIS El grupo normativo de los principales instrumentos legales en nuestro país será pronto completado con una nueva Ley de seguridad de las redes y sistemas de información, que es transposición de la precitada Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (la Directiva NIS/SRI), y que en la fecha en que escribo estas líneas a mediados de 2018 está siendo elaborada en el anterior Ministerio de Energía, Turismo y Agenda Digital y actual Ministerio de Economía y Empresa. La futura Ley pretende transponer la Directiva NIS pero extiende los servicios incluidos, y también introduce nuevas obligaciones así como un régimen sancionador específico para quien incumpla sus prescripciones.

Por el momento, el Anteproyecto tiene un ámbito de aplicación más amplio que la Directiva (UE) 2016/1148, y se extiende a servicios tanto excluidos como no expresamente incluidos en la Directiva NIS, concebida, como quedó apuntado, para dar una respuesta efectiva a los problemas de seguridad de las redes y sistemas de información en la Unión Europea mediante el establecimiento de unos requisitos comunes de seguridad mínimos para operadores de servicios esenciales y proveedores de servicios digitales, así como unas bases armonizadas para el desarrollo de capacidades y planificación, intercambio de información y cooperación en el ámbito de la UE. Asimismo, los sujetos obligados (operadores de servicios esenciales y proveedores de servicios digitales) deberán adoptar medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios regulados en la futura Ley, aunque su gestión sea externalizada. Las medidas deberán ser adecuadas y proporcionadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten, y deberán estar basadas en una evaluación previa de los mismos. Se potencia así la figura de las evaluaciones de impacto, las cuales, como hemos desarrollado en otra obra (9) , no deben limitarse a la protección de datos personales. El borrador actual prevé un futuro desarrollo reglamentario de esta materia donde se regularán las medidas, así como futuras instrucciones y guías técnicas. Del mismo modo, los sujetos obligados deberán notificar a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos significativos en dichos servicios. Las notificaciones podrán referirse también a los sucesos o incidencias que puedan afectar las redes y

sistemas de información empleados para la prestación de los servicios, pero aun cuando no hayan tenido un impacto real sobre aquéllos. De la regulación proyectada cabe destacar que se prevé la supervisión de las obligaciones de seguridad y de notificación de incidentes por parte de las autoridades administrativas competentes, así como la cooperación transnacional entre autoridades públicas en las situaciones oportunas. Esta obligación de supervisión habilitará a las autoridades para requerir a los operadores de servicios esenciales toda la información necesaria para evaluar la seguridad de sus redes y sistemas de información, incluyendo sus políticas de seguridad, así como la información sobre la aplicación efectiva de las mismas. Asimismo, prevé la facultad de auditar y de exigir al operador que someta la seguridad de sus redes y sistemas de información a una auditoría por una entidad externa, solvente e independiente. En definitiva, la futura ley regulará la seguridad de las redes y sistemas de información utilizados en la provisión de servicios esenciales y de ciertos servicios digitales, adoptando un enfoque común para diferentes sectores de actividad económica y social. La adecuada regulación legal es urgente y necesaria, pero también lo es la concienciación social y formación en materia de ciberseguridad, a fin de frenar el aumento exponencial que, año tras año, experimenta la ciberdelincuencia, tanto en número de ataques como en diversidad de los mismos (10) . Los estados ya han detectado esta necesidad, que es sin duda uno de los retos legislativos de los próximos años dada la complejidad de los desafíos suscitados. La concienciación social, la formación en materia de ciberseguridad y la adopción de estrategias proactivas son básicas, pero también lo es el contar con un marco legal adecuado,

actualmente en fase de construcción con la tramitación del señalado anteproyecto de ley.

2.4. La Estrategia de Ciberseguridad Nacional En consonancia con lo anterior, el día 5 de diciembre de 2013 el Consejo de Seguridad Nacional aprobó nuestra Estrategia de Ciberseguridad Nacional en la que se fijan y detallan las directrices generales para hacer posible un uso seguro del ciberespacio a partir de un modelo integrado que se apoya en la adecuada coordinación y cooperación de todas las administraciones públicas, el sector privado y los ciudadanos y que, al mismo tiempo, sirve para canalizar las iniciativas internacionales en la materia, todo ello con pleno respeto al ordenamiento jurídico interno, europeo e internacional. Esta estrategia, cuyo desarrollo se llevó a efecto durante los años 2014 y 2015 a través de los Planes Derivados del Plan Nacional de Ciberseguridad aprobados en el mes de julio de 2015, se articula en torno a seis objetivos y ocho líneas de acción para alcanzarlos, uno de los cuales —el tercero de ellos— referido específicamente a la lucha contra la ciberdelincuencia en el ámbito judicial y policial, se concreta en potenciar las capacidades de prevención, detección, reacción, análisis, recuperación, respuesta, investigación y coordinación frente a las actividades del terrorismo y la delincuencia en el ciberespacio. Los restantes objetivos son: i) garantizar que los sistemas de información y telecomunicaciones utilizadas por las administraciones públicas posean el adecuado nivel de seguridad y resiliencia; ii) impulsar la seguridad y la resiliencia en las redes y los sistemas de información usados por el sector empresarial en general y los operadores de infraestructuras críticas en particular; iii) concienciar a los ciudadanos, profesionales, empresas y

administraciones públicas españolas de los riesgos derivados del ciberespacio; iv) alcanzar y mantener los conocimientos, habilidades, experiencia y capacidades tecnológicas que necesita España para sustentar todos los objetivos de ciberseguridad; y v) contribuir a la mejora de la ciberseguridad, apoyando el desarrollo de una política de ciberseguridad coordinada en la UE y en las organizaciones internacionales, así como colaborar en la capacitación de los Estados que lo necesiten a través de la política de cooperación al desarrollo. Los cuadros siguientes muestran Estrategia y sus líneas de acción.

los

objetivos

de

la

Objetivos de la Estrategia de Ciberseguridad Nacional de 2013

Líneas de Acción de la Estrategia de Ciberseguridad Nacional de 2013

Por su parte, en el capítulo IV de la Estrategia de Ciberseguridad Nacional se desarrollan las líneas de actuación básicas que han de seguirse para dar cumplimiento a los indicados objetivos y, concretamente — en lo que se refiere a la lucha contra la ciberdelincuencia y el ciberterrorismo— para mejorar y reforzar las capacidades de investigación y persecución penal de las actividades delictivas sobre la base de un marco jurídico y operativo eficaz que se pretende obtener a través de la adopción de determinadas medidas, tales como las que se mencionan a continuación: a) Integrar en el marco legal las soluciones que se vayan articulando para dar respuesta a los problemas relacionados con el mantenimiento de la ciberseguridad, en particular, aprovechando dicha experiencia para la definición de nuevos ciberdelitos. b) Ampliar y potenciar las capacidades de los organismos e instituciones con responsabilidad en la investigación y persecución de los ciberdelitos y asegurar la coordinación de dichas actividades con aquellas otras que se vayan desarrollando en materia de ciberseguridad, a través del intercambio de experiencias, información e inteligencia. c) Impulsar la cooperación policial internacional, desarrollando y mejorando los instrumentos necesarios para el intercambio y trasmisión de información de interés policial. d) Fomentar la colaboración ciudadana. e) Asegurar a los operadores jurídicos y profesionales del derecho el acceso a la información, los recursos y el nivel de conocimientos técnicos adecuados para la mejor aplicación del marco legal y técnico asociado. Estos objetivos tienen, además, como denominador común otras directrices que se relacionan en el apartado

correspondiente a la cooperación internacional, y que podemos resumir en dos: a) Promover la armonización normativa, participando activamente en los proyectos europeos e internacionales orientados a aproximar los ordenamientos jurídicos de los diversos estados tanto en el ámbito penal sustantivo como en las normas procesales y de investigación criminal. b) Promover y fortalecer la cooperación policial judicial internacional en la lucha contra ciberdelincuencia y el ciberterrorismo apoyando negociación y adopción de convenios internacionales en materia.

y la la la

En definitiva, nuestra Estrategia de Ciberseguridad Nacional insiste por tanto —a partir de una colaboración estrecha entre los distintos organismos e instituciones públicas y privadas y también con participación del sector privado y de los ciudadanos—, en un planteamiento de fondo que, en esta materia, se centra en dos grandes aspectos íntimamente relacionados entre sí: a) De un lado, aprovechar la actividad desarrollada y los avances que se vayan realizando para hacer efectivo un nivel adecuado de seguridad en el ciberespacio, es decir, las lecciones aprendidas en aquellos aspectos puramente preventivos o defensivos frente a las ciberamenazas, los ataques informáticos o cualquier otra manifestación del uso irregular del ciberespacio para integrar, a partir de esa experiencia, soluciones legales a las nuevas formas de lesión de bienes jurídicos o a las necesidades de investigación criminal que se van generando al hilo de la evolución tecnológica, bien sea a través de la definición de nuevos tipos penales o de la regulación de herramientas de investigación útiles, eficaces y plenamente ajustadas a las garantías inherentes al Estado constitucional de Derecho.

b) De otro, emplear igualmente esa misma experiencia que se va adquiriendo en los sectores con responsabilidad en materia de ciberseguridad para mejorar la formación, capacidad y habilidades de quienes están encargados de la investigación, persecución, enjuiciamiento y sanción de las actividades criminales, haciendo efectivo el intercambio de experiencias, conocimientos e información de inteligencia. En consecuencia, la Estrategia Nacional de Ciberseguridad asume la idea, anteriormente expuesta, de que la planificación y actuación en el ámbito de la ciberseguridad y la que se lleva a efecto para responder penalmente ante los ciberdelitos y el ciberterrorismo no pueden estar desconectadas, sino que necesariamente han de analizarse y trabajarse conjuntamente, debiendo establecerse canales permanentes de interrelación, traslado de experiencias y colaboración público-privada, pues no en vano se trata de actividades complementarias en orden a la obtención de un objetivo común cuál es la seguridad en el ciberespacio. Hacer efectivo este planteamiento implica sin duda a los diversos organismos e instituciones con responsabilidad en esta materia y, en definitiva, a todos los ciudadanos. Es decir, en la respuesta legal del Estado de Derecho al fenómeno criminal que nos ocupa en esta obra no se encuentran concernidos únicamente los operadores jurídicos y las Fuerzas y Cuerpos de Seguridad del Estado o de las Comunidades Autónomas, sino también el resto de los órganos e instituciones de las administraciones públicas y, evidentemente, el sector privado: los ciudadanos, las empresas; en definitiva, la sociedad en su conjunto. Es urgente fijar las bases de una efectiva colaboración públicoprivada si queremos defendernos con fiabilidad y eficacia ante estas graves y peligrosas actividades cibernéticas y complementar la acción preventiva con el ejercicio de la capacidad represora del Estado, tanto desde el marco de la

jurisdicción penal como en el ámbito administrativo sancionador, siempre que concurran méritos suficientes para ello. Más allá de la misma, como acertadamente advierte GALÁN PASCUAL (11) en un trabajo verdaderamente innovador, debe hablarse de un nuevo derecho a la ciberseguridad, quizás incluso de rango constitucional, construyendo y abonando una regulación coherente e integradora, articulando una esencial —y muchas veces olvidada— cooperación público-privada, diseñando programas de I+D+i, formativos y de concienciación realistas y garantizando la cooperación internacional con nuestros socios y aliados. Aprovechemos el reto de la actualización de la Estrategia de Ciberseguridad Nacional, actualmente en trámite a fecha de escribir estas líneas, para seguir insistiendo en el camino correcto.

(1)

Vid. ITU-T X.1205, Overview of cybersecurity, disponible en https://www.itu.int/en/ITUT/studygroups/com17/Pages/cybersecurity.aspx Ver Texto

(2)

Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión marco 2004/68/JAI del Consejo. Ver Texto

(3)

Aquí el anexo II de la Directiva NIS incluye a los puntos de intercambio de Internet o IXP, los proveedores de DNS y los Registros de nombres de dominio de primer nivel. Ver Texto

(4)

COM(2017) 477 final.

Ver Texto

(5)

Para un listado completo de las mismas, vid. el «Código de Derecho de la Ciberseguridad» editado por el BOE, disponible en https://www.boe.es/legislacion/codigos/codigo.php?id=173 Ver Texto

(6)

Disponible en http://www.dsn.gob.es/es/estrategiaspublicaciones/estrategias/estrategia-seguridad-nacional2017 Ver Texto

(7)

Disponible en http://www.dsn.gob.es/es/estrategiaspublicaciones/estrategias/estrategia-ciberseguridadnacional Ver Texto

(8)

El Centro Criptológico Nacional (CCN) es la división cibernética del Centro Nacional de Inteligencia (CNI). Ver Texto

(9)

BARRIO ANDRÉS, Moisés, Internet de las Cosas, Editorial Reus, Madrid, 2018. Ver Texto

(10) Por ejemplo, la gestión de incidentes llevada a cabo por el CERTSI, el CERT de Seguridad e Industria del Instituto Nacional de Ciberseguridad (INCIBE), que pasó de unos 18.000 en 2014 a 50.000 en 2015, a cerca de 107.000 en 2016 y más de 122.000 en 2017, de los cuales el 95% afectó a empresas y ciudadanos, un 4,5% a la Red Académica y de Investigación Española (RedIRIS) y un 0,72% a operadores de infraestructuras críticas. Entre los incidentes de mayor repercusión, en el último año han tomado especial protagonismo los ciberataques con programas de tipo ramsonware, que secuestran la información de los usuarios (por ejemplo, cifrando sus discos duros) solicitando un rescate para su recuperación. Estas infecciones se propagan en correos electrónicos que suplantan a usuarios legítimos (phishing), o incluso

alterando sitos web legítimos (defacement) que infectan a los usuarios que las visitan. Ver Texto

(11) GALÁN PASCUAL, Carlos, «El derecho a la ciberseguridad», en DE LA QUADRA-SALCEDO FERNÁNDEZ DEL CASTILLO, Tomás y PIÑAR MAÑAS, José Luis (dirs.), y BARRIO ANDRÉS, Moisés y TORREGROSA VÁZQUEZ, José (coords.), Sociedad digital y Derecho, Editorial Boletín Oficial del Estado, Madrid, 2018, capítulo 27. Ver Texto

Capítulo XVI  La responsabilidad de los proveedores y plataformas de Internet Uno de los mayores obstáculos en materia de responsabilidad penal en el ámbito de comisión de los ciberdelitos se vincula con el papel que cumplen los proveedores y plataformas de Internet intermediarios, quienes a nivel técnico son denominados globalmente Internet service providers (ISPs), pero que reciben la denominación jurídica de «prestadores de servicios de intermediación» de la Sociedad de la Información como luego se verá, en los delitos cometidos por sus usuarios. La estructura única de capas o estratos (1) de Internet, la cual hemos examinado detenidamente en nuestros Fundamentos del Derecho de Internet (2) , crea tres categorías separadas y relevantes de actores o sujetos. Los primeros son aquellos que crean o publican información o prestan servicios, ya sean físicos o virtuales (los prestadores de servicios a secas). El segundo grupo está formado por los destinatarios de esta información y de los servicios (los destinatarios, usuarios o internautas). Aunque las dos funciones se pueden difuminar en la vida real (por ejemplo, el mismo usuario puede publicar información en un

blog y leer los mensajes de otros internautas), desde el punto de vista jurídico las funciones son distintas en el sentido de que las acciones legales normalmente se dirigen contra un sujeto sólo en una de estas funciones. El tercer grupo son los proveedores y plataformas de Internet mediadoras (los intermediarios o prestadores de servicios de intermediación), que engloba no sólo los operadores de telecomunicaciones (como Movistar, Vodafone u Orange en nuestro país), sino también los proveedores de alojamiento (Arsys, Comvive, Dinahosting o Idered por ejemplo), los proveedores de búsquedas y enlaces (Google, Yahoo, Bing, etc.), las redes sociales (Facebook, Twitter, Instagram, etc.) y otras plataformas web 2.0 (Youtube, Google Docs, Office 365, IDESOFT IdeSaaS, etc.). Los intermediarios desempeñan un papel esencial en el ciberespacio que puede resumirse en tres postulados. En primer lugar, posibilitan el flujo de información entre las otras dos categorías de sujetos sin afectar al contenido (mere conduit). En segundo lugar, actúan como guardianes de la identidad y el anonimato de los usuarios. En tercer lugar, se encuentran en una posición única para prevenir o mitigar el daño que puede ser causado por la actividad ilegal de las otras dos clases de sujetos. Los intermediarios de Internet son generalmente empresas privadas guiadas por la lógica comercial, siendo los líderes fundamentalmente norteamericanos. Sin embargo, su funcionamiento no está determinado únicamente por las fuerzas del mercado, sino que está influenciado por grupos (3) que desean controlar la Red. En primer lugar, se trata de los estados y organizaciones internacionales, que ejercen presión sobre estos sujetos para que controlen los comportamientos indeseables en Internet. La política de los intermediarios, su cooperación con las autoridades públicas o la falta de ella, pueden influir en toda una serie de

políticas gubernamentales relativas, entre otras cosas, a la difamación, el lenguaje sexualmente explícito o la violación de los derechos de autor en la Red. Para las empresas, los intermediarios son valiosos poseedores de información sobre el comportamiento de los ciudadanos en el ciberespacio. Para los usuarios individuales, los intermediarios son los guardianes de su privacidad, sin cuya colaboración sería imposible identificarlos, pero también son los garantes de su capacidad para ejercer de manera significativa la libertad de expresión que de forma tan representativa caracteriza a Internet. Los intermediarios tiene acceso a múltiples datos personales, en especial datos sobre la identidad de los usuarios, datos bancarios para la gestión de pagos de los servicios, datos sobre la localización de los usuarios y sus preferencias de navegación en la Red, así como datos generados por el propio uso del servicio y sus perfiles de consumo. También, por supuesto, a los datos electrónicos de tráfico o asociados.

De este modo, dedicaremos este último capítulo a esclarecer esta cuestión, que de hecho constituye uno de los grandes temas del Derecho de Internet o Ciberderecho, y está siempre presente en los debates de regulación, gobernanza y futuro de la Red.

1. RÉGIMEN LEGAL Las peculiares características de los servicios que se prestan en Internet ha requerido la intervención del legislador de la Unión Europea, al efecto de proporcionar un cierto marco jurídico general que facilite su prestación y libre circulación y que promueva su desarrollo en el seno de la UE. Esta regulación se halla principalmente en la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la Sociedad de la Información, en particular

el comercio electrónico en el mercado interior (la DCE), que fue incorporada al ordenamiento jurídico español mediante la Ley 34/2002, de 11 de julio, de servicios de la Sociedad de la Información y de comercio electrónico (LSSI), que, además de establecer unas reglas generales para la prestación de servicios on-line, crean una serie de limitaciones o exclusiones de responsabilidad para determinadas categorías de servicios intermediarios, que examinaremos en breve. Las cuestiones específicas sobre contratación electrónica, deberes y obligaciones que también se incluyen en la DCE y LSSI desbordan naturalmente el objeto de este libro. La noción que sirve de base para determinar el ámbito material de aplicación de la DCE y la LSSI es la de servicio de la Sociedad de la Información. Esta categoría de servicios ya contaba con una definición en el Derecho de la UE, concretamente en la Directiva 98/34/CE del Parlamento Europeo y del Consejo, de 22 de junio de 1998, por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas (4) . La DCE y la LSSI se remite a esa definición, con arreglo a la cual se entiende por «servicio de la Sociedad de la Información» (SSI) (5) : «...todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario de servicios.»

La definición recogida en la LSSI, si bien no coincide en la literalidad con la DCE, no modifica en lo sustancial la definición de la Directiva: «todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario» (anexo LSSI). Conviene recordar que la DCE y la LSSI, como es obvio, no constituyen una regulación completa de la actividad de los

prestadores de servicios de la Sociedad de la Información, que se hallarán sujetos a las restantes normas del ordenamiento jurídico que les sean aplicables en función de la actividad que lleven a cabo. En este sentido, el art. 1.3 DCE advierte que la Directiva «...completará el ordenamiento jurídico comunitario aplicable a los servicios de la Sociedad de la Información, sin perjuicio del nivel de protección, en particular, de la salud pública y de los intereses del consumidor, fijados tanto en los instrumentos comunitarios como en las legislaciones nacionales que los desarrollan, en la medida en que no restrinjan la libertad de prestar servicios de la Sociedad de la Información». De todos los aspectos de este grupo normativo debemos ocuparnos aquí únicamente del señalado régimen de responsabilidad —o mejor, como en breve se verá, de exclusión de responsabilidad— de los intermediarios (los que la LSSI llama, como hemos anticipado, «prestadores de servicios de intermediación»).

2. RÉGIMEN DE RESPONSABILIDAD INTERMEDIARIOS

EXCLUSIÓN DE

DE LOS

2.1. Introducción y rasgos generales Dentro de la amplia definición de servicios de la Sociedad de la Información quedan incluidos también aquellos servicios que tienen un carácter intermediario. Se trata de servicios que hacen posible la prestación o el disfrute de otros servicios de la Sociedad de la Información. La DCE contempla algunos de estos servicios intermediarios (o de intermediación) a los efectos de concederles un régimen privilegiado de exclusión de responsabilidad. Se trata de los servicios de (a) transmisión de datos y de acceso a las redes; (b) copia temporal (o caching); y (c) alojamiento de

datos. A ellos la LSSI añade, (d), los de búsqueda y enlaces. El servicio de intermediación es, por tanto, aquel por el que se facilita la prestación o utilización de otros servicios de la Sociedad de la Información o el acceso a la información, esto es, aquellos prestadores que proporcionan los servicios necesarios para hacer posible el uso de Internet. Esto fundamenta la distinción entre los prestadores de servicios intermediarios y aquellos prestadores de servicios (a secas) que difunden información a través de los servicios de los intermediarios. El prestador de servicios de intermediación mantiene una posición pasiva con respecto a los contenidos que aloja, distribuye o, en general, trata, sin participar en su creación ni en la decisión de hacerlos accesibles (mere conduit), ya que se trata de una función meramente técnica, automática y pasiva. Todo ello sin perjuicio de la posibilidad de que un órgano competente (administrativo o judicial) pueda exigirle que ponga fin a una infracción de uno de sus usuarios o le exija la retirada de los datos o el bloqueo del propio servicio. El propósito de la DCE es ofrecer a estos prestadores de servicios mediadores la seguridad de que, en la medida en que cumplan con los requisitos previstos para cada supuesto, no se les podrá declarar responsables de los contenidos ilícitos de sus usuarios. Se trata de otorgar a los intermediarios un marco de seguridad jurídica que excluya un riesgo excesivo en términos de potencial responsabilidad derivada de la conducta de sus abonados. Por otra parte, con este régimen se intenta superar el obstáculo que la DCE advierte en el considerando 40 de su preámbulo en el sentido de que «...la divergencia de las normativas y jurisprudencias nacionales actuales o futuras en el ámbito de la responsabilidad de los prestadores de servicios que actúan como intermediarios entorpece el correcto funcionamiento del mercado interior al

obstaculizar, en especial, el desarrollo de servicios transfronterizos y producir distorsiones de la competencia». La conveniencia de establecer unas exclusiones o puertos seguros (safe harbors) para evitar el riesgo de resultar responsable por los contenidos intermediados se manifestó ya a mediados de los años 90 del pasado siglo en diversas jurisdicciones. De modo particular, en los Estados Unidos dio lugar a la aprobación de dos normas que han jugado un papel muy relevante en los conflictos sobre responsabilidad. La primera es la sección 230 de la Communications Decency Act (CDA) de 1996, que modificó la Communications Act de 1934 añadiendo a la misma una nueva sección, codificada como 47 U.S.C. § 230, y que trata la responsabilidad en general. Para el campo específico del copyright, que no quedaba incluido en la inmunidad de la § 230 CDA, se dictó la Digital Millennium Copyright Act (DMCA) de 1998. Este régimen acaba de ser recientemente actualizado por medio de la Stop Enabling Sex Traffickers Act (SESTA) y la Allow States and Victims to Fight Online Sex Trafficking Act (FOSTA), ambas de 11 de abril de 2018, modificando las previsiones de la CDA para excluir de su inmunidad a los sitios web que facilitan el tráfico sexual.

Las normas de exclusión de responsabilidad se establecen en los artículos 12 a 14 de la DCE, que la LSSI incorporó a nuestro ordenamiento jurídico mediante los artículos 13 a 17 LSSI, y se completan con el principio fundamental de ausencia de una obligación general de supervisión, dispuesto en el artículo 15 DCE. La exclusión de responsabilidad es específica para cada servicio. Por tanto, para saber si un determinado servicio puede beneficiarse de la norma es necesario que se ajuste al supuesto de hecho definido en el artículo correspondiente y que el prestador cumpla las condiciones particulares establecidas en el precepto. En los epígrafes siguientes examinamos brevemente cada uno de los supuestos de exclusión de responsabilidad.

2.2. Operadores de telecomunicaciones proveedores de acceso

y

Se trata (art. 12 DCE y 14 LSSI) de: — operadores de redes, cuya actividad consiste en transmitir por una red de telecomunicaciones (o, como ahora las denomina el Derecho de la Unión Europea, red de comunicaciones electrónicas) los datos facilitados por los usuarios de Internet (por ejemplo, Movistar, Vodafone u Orange); y — proveedores de acceso, que pueden actuar o no como operadores de red, que facilitan el acceso a la red de telecomunicaciones. Es decir, ponen a disposición del usuario servicios de acceso y conexión a Internet, permitiendo a los usuarios acceder a sus distintas aplicaciones (así, Grupalia, Idecnet, Knet, RedIRIS o Idered). Los citados intermediarios prestadores de servicios de mera transmisión de datos no son responsables por la información transmitida, salvo que ellos mismos: — originen la transmisión; — modifiquen los datos; o — seleccionen los datos o a los destinatarios de los mismos. Por tanto, la iniciativa de la transmisión debe haberla tomado en todo caso el usuario del servicio, que también deberá identificar los destinatarios, esto es, a quiénes va dirigida la transmisión. Si la iniciativa partiese del operador de red o proveedor de acceso, no estaría actuando como un prestador de servicios de intermediación y, por tanto, en

este caso sí estaría sometido al régimen ordinario de responsabilidad. Los operadores de redes y proveedores de acceso no conocen la información que se transmite, ni pueden controlarla o, al menos, completamente. Las actividades de transmisión y provisión de acceso incluyen el almacenamiento automático, provisional y transitorio de los datos (art. 14.2 LSSI). Este almacenamiento automático, provisional y transitorio no debe superar el tiempo que resulte necesario para permitir técnicamente la transmisión de los datos por la red de telecomunicaciones. Con respecto a la modificación de los datos integrados en la transmisión, el art. 14 LSSI especifica que la manipulación técnica de los archivos que alberguen los datos no está considerada como modificación, siempre y cuando tenga lugar en el contexto de la transmisión y durante la misma, y posea un carácter estrictamente técnico.

2.3. Proveedores de copia temporal de datos Los servicios de memoria caché, tampón o caching y ahora redes CDN (Content Delivery Networks) consisten en la realización de copias temporales de datos que solicitan los usuarios, es decir, el almacenamiento automático, provisional y temporal de los datos que facilita un destinatario del servicio, con la única finalidad de hacer más eficaz su transmisión ulterior a otros destinatarios que los soliciten. De este modo, cuando nuevos usuarios demanden el acceso a este contenido (sobre todo se emplea en páginas web muy demandadas y en recursos multimedia), en lugar de volverlo a obtener nuevamente de su servidor fuente en Internet, se sirve una copia almacenada en el sistema caché del intermediario. Este servicio, muy técnico, reduce notablemente el tráfico de la red, y permite mejorar las

condiciones de consulta del contenido, facilitando un funcionamiento rápido del ciberespacio que beneficia a los prestadores de servicios de intermediación (especialmente, a los operadores de telecomunicaciones y proveedores de acceso) y a los abonados finales. Para beneficiarse esta exclusión de responsabilidad, además de los requisitos que resultan de la propia definición de la actividad, se exige que el prestador de servicios de caché (art. 13 DCE y 15 LSSI): — no modifique la información; — cumpla las condiciones de acceso a la información que haya impuesto su titular (mayoría de edad, registro, pago de un precio,...); — cumpla las normas técnicas relativas a la actualización de la información, especificadas de manera ampliamente reconocida y utilizada por el sector; — no interfiera en la utilización lícita de tecnología ampliamente reconocida y utilizada por el sector con el fin de obtener datos sobre la utilización de la información; y — actúe con prontitud para retirar la información que haya almacenado, o hacer que el acceso a ella sea imposible, en cuanto tenga conocimiento efectivo de que: 1. la información ha sido retirada del lugar de la red en que se encontraba inicialmente; 2. el acceso a dicha información se ha imposibilitado; o 3. un tribunal o una autoridad administrativa ha ordenado retirarla o impedir que se acceda a ella.

2.4. Proveedores de alojamiento de datos El servicio de alojamiento (hosting) consiste en albergar datos proporcionados por el destinatario del servicio, en

cuyo caso el prestador de tal servicio no responde por la información almacenada. Aunque medie invitación por parte del prestador, resulta imprescindible que los contenidos sean alojados por cuenta exclusiva del destinatario o usuario del servicio o plataforma. De esta forma, el prestador proporciona un servicio en el que terceros usuarios alojan determinados contenidos. Por el contrario, si esos usuarios actúan bajo la autoridad o control del prestador de servicios, entonces éste sí responde del contenido de la información almacenada. El servicio de alojamiento es el que presenta una mayor importancia práctica y también el más complejo a efectos interpretativos, pues engloba gran variedad de modalidades (6) , que hemos examinado en otro lugar. La DCE y la LSSI lo caracterizan en términos muy amplios, como: «...un servicio de la Sociedad de la Información consistente en almacenar datos facilitados por el destinatario del servicio.»

La jurisprudencia, tanto nacional como europea, ha interpretado esta definición en sentido muy extremo, que engloba no sólo el almacenamiento de información en un sitio web. Por ejemplo, se incluyen en este servicio los vídeos subidos a YouTube, los comentarios enviados a un foro de discusión, las actualizaciones en Facebook, los blogs creados en plataformas como Blogger o Wordpress, los mensajes publicados en Twitter, las ofertas subidas a eBay, los anuncios colocados en Google mediante el servicio AdWords, etc. En todos estos casos, la plataforma presta un servicio de «alojamiento» en el sentido de que alberga los datos que le ha proporcionado un usuario. Para que el prestador de servicios de alojamiento quede exento de responsabilidad por la información almacenada, es necesario (art. 14 DCE y 16 LSSI):

— que no tenga conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización; o — que si lo tiene, actúe con diligencia para retirar los datos o hacer imposible el acceso a ellos. Por ello, el prestador de hosting debe actuar como un puro intermediario, siendo su actividad «meramente técnica, automática y pasiva», de tal forma que no tenga conocimiento o control sobre la información transmitida o almacenada. Sin embargo, no todos los proveedores de hosting se limitan a un papel tan pasivo y neutral. Más bien, algunos proveedores de alojamiento desempeñan un papel activo en relación con la información almacenada, en particular mediante la indexación, las sugerencias y el branding. Por ejemplo, eBay está calificado como proveedor de alojamiento. Sin embargo, se ha comprobado que eBay presta una asistencia que consiste, en particular, en optimizar la presentación de las ofertas de venta en cuestión o en promover dichas ofertas, por ejemplo, mediante la publicidad de ofertas de terceros en eBay con anuncios propios en el motor de búsqueda de Google. El TJUE consideró que, en tales casos, eBay desempeñaba un papel activo y dejaría de estar sujeto al supuesto de exclusión de responsabilidad del proveedor de alojamiento en virtud del artículo 14 de la DCE (STJUE, Gran Sala, de 12 de julio de 2011, asunto C-324/09, caso L’Oréal). Este criterio también se sigue en otros derechos comparados. Por ejemplo, en Alemania el Tribunal de Apelación de Hamburgo confirmó que YouTube no entraría en el ámbito de aplicación del art. 14 DCE, ya que YouTube formulaba recomendaciones individualizadas sobre música a los usuarios interesados y sugería, junto a los vídeos visionados, otros vídeos

(presumiblemente) interesantes. Además, YouTube desempeña un papel activo, no cubierto por el art. 14 DCE, al ofrecer amplias funciones de fácil uso para el uso de la música ofrecida en YouTube, tales como la búsqueda, las categorías con géneros, el filtrado, el marcado, las listas de reproducción, las funciones de reproducción, las recomendaciones a terceros, etc. (Sentencia del Oberlandesgericht de Hamburgo, de 1 de julio de 2015).

2.5. Proveedores de búsquedas o enlaces Este supuesto de exclusión de responsabilidad únicamente está previsto en la ley interna española (art. 17 LSSI), así como también en algunos Estados miembros de la Unión Europea, pero no aparece recogido en la DCE. Los prestadores de servicios que facilitan enlaces a otros contenidos, o incluyen e los suyos directorios o instrumentos de búsqueda de contenidos, están exentos de responsabilidad cuando: — desconocen que la actividad o la información a la que remiten o recomiendan e ilícita o lesiona bienes o derechos de un tercero; o — si conocen lo anterior, actúen con diligencia para suprimir o inutilizar el enlace correspondiente. Por lo tanto, el prestador debe actuar como simple intermediario, siendo su actividad meramente técnica, automática y pasiva, de tal forma que no tenga conocimiento efectivo de los contenidos objeto de indexación dado que debe tratarse de un proceso tecnológico neutral de rastreo e incorporación automática de los contenidos presentes en Internet. La exclusión no cubre responsabilidades derivadas de infracción de normas publicitarias en la forma en que se muestran los enlaces, de violaciones de derechos de

propiedad intelectual o de vulneración de la protección de datos. Tampoco opera la señalada exención de responsabilidad en el supuesto de que el proveedor de contenidos al que se enlace o cuya localización se facilite actúe bajo la dirección, autoridad o control del prestador que facilite la localización de esos contenidos (art. 17.2 LSSI). Finalmente, el problema de este tipo de proveedores y plataformas en cuanto a la propiedad intelectual lo hemos analizado detenidamente en otra obra (7) , a la cual nos remitimos. En relación a esto último, la Ley 2/2011, de 4 de marzo, de Economía Sostenible (LES), ha introducido, en su disposición final cuadragésima tercera, varias modificaciones de la Ley 34/2002, de 11 de julio, de servicios de la Sociedad de la Información y de comercio electrónico (LSSI), del Texto refundido de la Ley de Propiedad Intelectual aprobado por Real Decreto 1/1996, de 12 de abril (TRLPI), y de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa (LJCA), para instaurar diversas reglas concernientes a la protección de los derechos de autor frente a las descargas ilegales, así como para la eliminación de contenidos ilícitos. El esquema regulatorio consiste en atribuir al reformado organismo regulador de la propiedad intelectual, ahora denominado «Comisión de Propiedad Intelectual», la competencia para acordar medidas para la interrupción de la prestación de servicios en Internet que vulneren derechos de propiedad intelectual o para retirar contenidos que infrinjan los citados derechos siempre que el prestador, directa o indirectamente, actúe con ánimo de lucro o haya causado o sea susceptible de causar un daño patrimonial. Se establece a tal fin un procedimiento administrativo para la adopción de estas decisiones, configurado con carácter

general en el artículo 195 TRLPI (anterior art. 158 ter TRLPI) y desarrollado en el Real Decreto 1889/2011, de 30 de diciembre, por el que se regula el funcionamiento de la Comisión de Propiedad Intelectual. El procedimiento se inicia con un requerimiento al prestador (de servicios de la Sociedad de la Información) responsable de la vulneración, otorgándole un plazo de 48 horas para que retire voluntariamente los contenidos «declarados infractores» (por la propia Comisión, que ha de realizar una evaluación jurídica previa al respecto) o, en su caso, realice las alegaciones y proponga las pruebas que considere necesarias. Al término del procedimiento, la Comisión dicta una resolución respecto de la retirada de los contenidos. Puede producirse ésta, cumpliendo la resolución, de modo voluntario. Si no es así la ejecución de la medida ante el incumplimiento del requerimiento exige una autorización judicial previa que ha de adoptarse conforme al procedimiento establecido en el apartado segundo del nuevo artículo 122 bis de la LCA (la evaluación que ha de hacer el juzgado de lo contencioso-administrativo competente concierne esencialmente a la verificación de la posible afectación a los derechos y libertades consagrados en el artículo 20 de la Constitución). Igualmente, la resolución final puede prever la colaboración de los operadores de telecomunicaciones y proveedores de Internet (ISPs) para, según los casos, procederse al corte del servicio de alojamiento a la web infractora, al bloqueo de la misma impidiendo su acceso por parte de los operadores de acceso a Internet establecidos en España, a la desactivación de los enlaces que dirijan a los contenidos infractores o a la desindexación de las urls en que se hallen los contenidos infractores por parte de los motores de búsqueda.

2.6. El requisito del conocimiento efectivo Con respecto a este polémico requisito del conocimiento efectivo, pues la DCE en una omisión injustificable no lo ha definido, se cumple en dos ocasiones (arts. 16 y 17 LSSI):

a) cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos; o b) cuando el prestador tenga conocimiento por otros medios (bien como consecuencia de una investigación iniciada por propia iniciativa del prestador, bien por notificación por parte de un tercero). Asimismo, los prestadores están obligados a denunciar aquellos hechos delictivos de los que tengan conocimiento que sean perseguibles de oficio (art. 259 y 262 LECrim). Este doble nivel de conocimiento efectivo parece referirse a la distinción entre la responsabilidad civil (indemnización de daños y perjuicios) y la penal. Para la civil se exige no haber tenido conocimiento de «hechos o circunstancias» reveladores del carácter ilícito. Por tanto, es un estándar de desconocimiento más riguroso. En cambio, para quedar excluido de la responsabilidad penal basta con no haber tenido un conocimiento «efectivo» (PEGUERA POCH). La DCE no define la noción de conocimiento efectivo del carácter ilícito del material, ni tampoco el concepto de conocimiento de hechos o circunstancias que revelen la ilicitud del contenido en cuestión. Por el momento, el TJUE tampoco se ha pronunciado sobre esta cuestión, aunque sí lo ha hecho nuestro TS (por ejemplo, STS, Sala 1ª, de 26 de febrero de 2013).

La tendencia doctrinal y jurisprudencial más actual postula una interpretación amplia de esta noción, en particular para no beneficiar a aquellos proveedores o plataformas gestionan un modelo empresarial peligroso que fomenta las infracciones de sus usuarios. En estos casos, la doctrina viene exigiendo reducir el nivel de conocimiento exigible para impedir que los intermediarios de mala fe se beneficien del régimen de responsabilidad que acabamos de examinar. En el fondo, se trata se seguir la doctrina del Tribunal Supremo norteamericano sentada en MGM Studios, Inc. v. Grokster, Ltd, de 27 de junio de 2005 (8) , según la cual una

empresa que comercializa un software que permite la vulneración de los derechos de autor es responsable por las infracciones de sus usuarios. En el Derecho de la Unión Europea, esta cuestión requiere un pronunciamiento expreso del TJUE, y asimismo esta propuesta interpretativa tiene cabida en la vigente redacción del art. 14 DCE.

3. PROHIBICIÓN DE IMPONER OBLIGACIONES GENERALES DE SUPERVISIÓN Junto con la definición de los diversos servicios y las condiciones exigidas en cada caso para disfrutar de la exclusión de responsabilidad, resulta fundamental el principio de prohibición de imposición de obligaciones generales de supervisión. El artículo 15.1 DCE establece, siguiendo cierta jurisprudencia norteamericana, que los Estados miembros no podrán imponer a los prestadores de servicios de transmisión, acceso, caching y alojamiento, «...una obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de hechos o circunstancias que indiquen actividades ilícitas». Esta prohibición alcanza tanto a la promulgación de normas en los ordenamientos nacionales como a la adopción de resoluciones judiciales que supongan una obligación de monitorizar los contenidos como ha advertido PEGUERA POCH (9) . De este principio se siguen consecuencias muy importantes, como la de que quien quiera notificar a un prestador la existencia de contenidos ilícitos en sus sistemas deberá identificarlos de modo preciso, sin que resulte suficiente con advertirle en términos generales de que, por ejemplo, entre los contenidos de su plataforma hay materiales que infringen los derechos de autor del reclamante, pero sin detallar los mismos. El prestador del servicio intermediario no puede ser obligado a supervisar

sus contenidos para encontrar los que supuestamente infringen los derechos de quien realiza la notificación, ya que tal obligación se halla vedada por el artículo 15 DCE. De este modo, la carga de localizar e identificar los contenidos infractores recae sobre los titulares de derechos, que se ven obligados a precisar su localización para que el operador de la plataforma proceda a retirarlos. De igual modo, las obligaciones de generales de filtrado suponen una monitorización de los contenidos y, por tanto, resultan contrarias al artículo 15 DCE, tal y como han señalado las SSTJUE de 24 de noviembre de 2011, asunto C-70/2010, caso Scarlet Extended SA y Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), y de 16 de febrero de 2012, asunto C-360/10, caso Belgische Vereniging van Auteurs, Componisten en Uitgevers CVBA (SABAM) y Netlog NV. De lo anterior se colige que tampoco el servicio de intermediación está obligado a realizar búsquedas activas de hechos o actividades que resulten ilícitas, o a supervisar los contenidos que los usuarios alojen, y no es responsable de los contenidos que los usuarios publiquen mientras no tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, en cuyo caso, una vez que tenga ese conocimiento, deberá actuar con diligencia para retirar los datos o impedir su acceso. En contraste con la aproximación de la DCE, el Tribunal Europeo de Derechos Humanos ha concluido que sí es posible imponer al editor de un portal de noticias un deber de vigilancia de los comentarios escritos por los usuarios. Se trata de la STEDH Delfi AS c. Estonia, de 16 de junio de 2015.

Por lo demás, segundo prevé exijan a los colaboración.

el propio artículo 15 DCE en su apartado la posibilidad de que los Estados miembros intermediarios ciertas obligaciones de En este sentido señala el precepto que:

«...los Estados miembros podrán establecer obligaciones tendentes a que los prestadores de servicios de la Sociedad de la Información comuniquen con prontitud a las autoridades públicas competentes los presuntos datos ilícitos o las actividades ilícitas llevadas a cabo por destinatarios de su servicio o la obligación de comunicar a las autoridades competentes, a solicitud de éstas, información que les permita identificar a los destinatarios de su servicio con los que hayan celebrado acuerdos de almacenamiento.»

Así lo establecen, como sabemos la propia LSSI, pero también la LECrim, la LGTel, la LCDCE o el TRLPI.

4. EVOLUCIÓN FUTURA En definitiva, en esta cuestión de la responsabilidad de los intermediarios de la Red surge una relación de tensión entre, de una parte, el ejercicio de la libertad de expresión, la protección de datos y el principio de culpabilidad criminal («no hay pena sin dolo o imprudencia» dice el art. 5 CP), y, de otra, la responsabilidad penal basada en la promoción y facilitación de delitos. Frente a la tentación de caer en una mera responsabilidad objetiva ante la comisión de delitos por terceros, se hace imperioso desarrollar criterios de atribución de responsabilidad lo más precisos posibles para evitar un desbordamiento punitivo de los proveedores y plataformas de Internet que termine por menoscabar la libertad en este medio en el marco de una sociedad pluralista y democrática, pero también hay que garantizar la realización de la justicia y, en definitiva, la vigencia del Derecho en el ciberespacio.

El modelo predominante desde que Internet se abrió al público en general en la década de 1990 ha sido inmunizar o eximir de responsabilidad a los intermediarios que no envían material por sí mismos (es decir, no son autores del ilícito). Sin embargo, recientemente se han intensificado los llamamientos en favor de una mayor responsabilidad de los intermediarios debido a diversas causas que hemos analizado en la señalada obra (10) (y también, de modo más extenso, en nuestra tesis doctoral). La tendencia actual es buscar una mayor responsabilidad de los intermediarios, sobre todo de los buscadores, las redes sociales y las plataformas web 2.0, tanto a nivel internacional como europeo, y cada vez son más numerosas las peticiones para una reforma del vigente sistema de exclusión de responsabilidad (los safe harbours o exclusiones de la DCE y la LSSI), pero también para implantar un control y un filtrado proactivos. Muy recientemente, en Estados Unidos esta tendencia acaba de tener su concreta plasmación a través de la Stop Enabling Sex Traffickers Act (SESTA) y de la Allow States and Victims to Fight Online Sex Trafficking Act (FOSTA), ambas de 11 de abril de 2018, que han modificado las previsiones de la CDA para excluir de su inmunidad a los sitios web que facilitan el tráfico sexual. En julio de 2018, cuando el libro ya estará en imprenta, se votará en el Parlamento Europeo la futura Directiva sobre los derechos de autor en el Mercado Único Digital, cuyo artículo 13 establece que los proveedores intermediarios serán directamente responsables de cualquier contenido que aparezcan en sus páginas web. Además, se les exigirá que dispongan de filtros automáticos para evitar que en sus plataformas aparezcan contenidos protegidos por derechos de autor. Los promotores de la idea de que se necesita más responsabilidad afirman con acierto que el régimen vigente

ya no se adapta a las realidades de la Internet actual y que se requiere una mayor participación de los intermediarios para luchar contra las amenazas derivadas, entre otras cosas, de los ciberdelitos. No debe olvidarse que el sistema de responsabilidad vigente data de principios de este siglo, cuando Facebook o Youtube todavía no existían, y evidentemente ha quedado notablemente desfasado por la evolución de Internet acaecida desde el año 2000. La Comisión Europea está dispuesta a reabrir el debate sobre la responsabilidad de los intermediarios. En la Estrategia para el Mercado Único Digital, propuesta por la Comisión Europea en 2015 (11) , expresó que estudiaría «si exigir a los intermediarios que ejerzan una mayor responsabilidad y la diligencia debida en la forma en que gestionan sus redes y sistemas: un deber de diligencia». Y, tras cierta inactividad, el 1 de marzo de 2018 ha publicado la Recomendación (UE) 2018/334 de la Comisión, sobre medidas para combatir eficazmente los contenidos ilícitos en línea, dando continuidad así a la línea iniciada en la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones sobre la lucha contra el contenido ilícito en línea: hacia una mayor responsabilización de las plataformas en línea, de 28 de septiembre de 2017 (12) . Al mismo tiempo, el Tribunal Europeo de Derechos Humanos también ha señalado que los intermediarios deberán desempeñar un papel más activo en el control de los contenidos (SSTEDH Delfi AS c. Estonia, de 16 de junio de 2015, o MTE c. Hungría, de 2 de febrero de 2016). También el Tribunal de Justicia de la Unión Europea ha comenzado a cuestionar el vigente sistema a partir de la STJUE de 13 de mayo de 2014, asunto C-131/2002, caso Mario Costeja González. Ahora bien, la elección del modelo regulador aplicado a los intermediarios puede tener consecuencias importantes para

el desarrollo de Internet. Desde el punto de vista económico, existe una relación directa entre la intrusión regulatoria y el desarrollo tecnológico. Cuanto más expuestos estén los intermediarios a la responsabilidad, menos probable será que inviertan en el desarrollo de la Red. Por ello, a nuestro juicio resulta imprescindible disponer de unas normas europeas armonizadas de responsabilidad para los proveedores y plataformas de Internet. El sistema actual, que proporciona solamente una exclusión de responsabilidad a estos sujetos, ha sido desbordado por la evolución tecnológica y, por ello, resulta incompleto e insuficiente, y requiere de normas armonizadas por el Derecho de la Unión Europea que establezcan la responsabilidad. En este sentido, el Mercado Único Digital no se realizará plenamente en los casos en que las normas nacionales de responsabilidad, dispares y fragmentarias, sean las que disciplinen el establecimiento de la responsabilidad.

(1)

Esto es, infraestructura, código y servicios y contenidos. Ver Texto

(2)

BARRIO ANDRÉS, Moisés, Fundamentos del Derecho de Internet, Editorial Centro de Estudios Políticos y Constitucionales, Madrid, 2017. Ver Texto

(3)

Lo hemos examinado en BARRIO ANDRÉS, Moisés, Ciberderecho. Bases estructurales, modelos de regulación e instituciones de gobernanza de Internet, Editorial Tirant lo Blanch, Valencia, 2018. Ver Texto

(4)

La Directiva 98/34/CE ha sido derogada y sustituida por la vigente Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la Sociedad de la Información, si bien ello no afecta a la definición de esta noción. Ver Texto

(5)

Vid., en detalle, BARRIO ANDRÉS, Moisés, Fundamentos del Derecho de Internet, op. cit., pág. 287 y ss. Ver Texto

(6)

Vid., en detalle, BARRIO ANDRÉS, Moisés, Fundamentos del Derecho de Internet, op. cit., pág. 377 y ss. Ver Texto

(7)

BARRIO ANDRÉS, Moisés, Derecho Público y propiedad intelectual: su protección en Internet, Editorial Reus, Madrid, 2017. Ver Texto

(8)

545 U.S. 913 (2005). Ver Texto

(9)

PEGUERA POCH, Miguel, «La exención de responsabilidad civil por contenidos ajenos en Internet», en MORALES PRATS, Fermín y MORALES GARCÍA, Óscar (dirs.), Contenidos ilícitos y responsabilidad de los prestadores de servicios de Internet, Editorial Aranzadi, Navarra, 2002. Ver Texto

(10) BARRIO ANDRÉS, Moisés, Fundamentos del Derecho de Internet, Editorial Centro de Estudios Políticos y Constitucionales, Madrid, 2017. Ver Texto

(11) Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones: una Estrategia para el Mercado Único Digital de Europa, de 6 de mayo de 2015. [COM(2015) 192 final].

Ver Texto

(12) COM(2017) 555 final. Ver Texto

Conclusiones Las TIC y ahora las tecnologías disruptivas aplicadas a la delincuencia presentan una serie de aspectos impensables para la criminalidad convencional clásica, ya que se cometen fácilmente, requieren escasos recursos en relación al perjuicio que causan, sus rastros se transforman y pierden con rapidez, pueden perpetrarse en una jurisdicción sin estar físicamente presente en el territorio sometido a la misma y se benefician de las lagunas de punibilidad que pueden existir en determinados estados. Estas características obligan a abordar la ciberdelincuencia con nuevas cautelas, técnicas e instrumentos procesales, lo cual determina que las diversas legislaciones penales estén en permanente proceso de adaptación para incluir, en sus tipos penales, aquellas conductas lesivas cometidas por medio del ciberespacio o, directamente, cuando están dirigidas a lesionar o poner en peligro su integridad, al haber surgido una ulterior generación de delitos 2.0 vinculados a las TIC y a las tecnologías disruptivas: el cibercrimen o ciberdelito, caracterizada —como se indicó— por la utilización de Internet bien como entorno en el que son atacados los propios sistemas o sus archivos y programas, bien como medio comisivo de múltiples actividades ilícitas.

La dificultad de aprehensión normativa (1) del fenómeno Internet, sumada a las singularidades propias de su estructura (2) , han motivado una creciente demanda social de mayor intervención en la atribución de responsabilidad penal. Y este efecto amplificador se ha proyectado en diversos ámbitos: respecto de la relevancia que se pretende otorgar a ciertas conductas nocivas u ofensivas, respecto del grado de responsabilidad exigible a los operadores de telecomunicaciones y proveedores de Internet (ISPs) e, incluso, últimamente, en cuanto a la responsabilidad reclamable no ya al propio autor de los contenidos ilícitos (esto es, el que los crea y oferta) sino al consumidor de dichos materiales (es decir, al que los demanda), como ocurre en el caso de la pornografía infantil. La realidad legislativa y la práctica de los tribunales nos han enseñado que las flamantes modalidades ciberdelictivas no siempre pueden ser adecuadamente engarzadas por los tipos penales clásicos, diseñados y redactados para prevenir y reprimir la delincuencia tradicional, y que resultan ajenos a los modernos y cambiantes mecanismos de agresión de bienes jurídicos. La resistencia a la adaptación de los códigos penales determina un auge de los ciberdelitos, sirviéndose sus autores de la existencia de lagunas de impunidad que deben de ser inmediatamente superadas. En este punto, en España la reforma penal de 2015 ha resuelto algunas de ellas según hemos analizado en este libro, muy satisfactoriamente en lo que se refiere a la protección de la propiedad intelectual, pero no así respecto de la regulación de los daños informáticos y sabotajes (cracking). Además, es necesario que el legislador esté siempre en alerta permanente para poder dar una pronta respuesta, pero también prudente y meditada, a los nuevos retos e insuficiencias que se produzcan a partir de la entrada en vigor de la misma.

Por lo que se refiere al campo procesal, la recién estrenada regulación de las llamadas medidas de investigación tecnológica da solución a la preocupante persistencia de una obsoleta legislación procesal que apenas fue capaz de superar un control de calidad de la norma habilitante en lo referente a las injerencias sobre comunicaciones telefónicas del anterior art. 579 LECrim en su versión previa a la reforma, y que adolecía de muy serios déficits de normatividad, por no decir de auténtico páramo normativo, lo cual venía siendo denunciado sistemáticamente por la mejor doctrina y jurisprudencia desde hace muchos años. La reforma procesal operada por la Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica, destaca por recoger buena parte de la estructura e incluso dicción literal del Borrador del Anteproyecto de Código Procesal Penal de 25 de febrero de 2013, así como soluciones jurisprudenciales muy consolidadas del Tribunal Europeo de Derechos Humanos, del Tribunal Constitucional y, por supuesto, de la Sala Segunda de nuestro Tribunal Supremo. También sería aconsejable que el legislador desarrolle mejor las fundamentales disposiciones procesales en materia de cooperación jurídica establecidas por el Convenio del Consejo de Europa sobre la Ciberdelincuencia y ahora por el nuevo paquete europeo e-Evidence. Así, los Estados parte deben dictar normas en materia de orden de presentación (art. 18 del Convenio), registro y confiscación de datos informáticos almacenados (art. 19 del Convenio), o interceptación y obtención en tiempo real de datos relativos al contenido y al tráfico (arts. 20 y 21 del Convenio), necesarias para que los órganos competentes puedan realizar investigaciones en materia de cibercriminalidad en el marco europeo. La reforma de la

LECrim en 2015 ha avanzado bastante, pero todavía quedan aspectos pendientes, incluyendo aumentar los medios en la fiscalía y en la policía. Y es que las necesidades de intervención político-criminal frente al cibercrimen, sin embargo, no se agotan en la tipificación de nuevos ilícitos penales, sino que las peculiaridades criminológicas y la incidencia de esa amenaza real en múltiples aspectos sociales es tal que, más importante que la correcta política legislativa sustantiva nacional, es la adaptación de las estructuras procesales y técnicas necesarias, especialmente a nivel internacional, para la prevención de su comisión y la mejor investigación policial y judicial de las mismas. En el actual estado de cosas, una actuación eficaz contra los ciberdelitos no puede perder de vista la acción internacional, pues más que contra los últimos eslabones de la cadena es preciso dirigir la intervención penal contra las organizaciones criminales que están en el origen y en el desarrollo de la ejecución de estos ilícitos penales. En otro orden de cosas, debe potenciarse con urgencia la adopción inmediata de medidas cautelares, especialmente las encaminadas a evitar la continuidad de la infracción del derecho arrasado y la persistencia de los efectos del delito. No se olvide que uno de los fines esenciales que al proceso penal otorga nuestro ordenamiento jurídico es la reparación, en la medida de lo posible, de la situación jurídica perturbada o dañada. Con frecuencia, la Administración de Justicia realiza un gran esfuerzo para dar una respuesta penológica, pero olvida la necesidad de cuidar este importante aspecto del proceso penal. La ausencia de prontas decisiones contundentes en el plano precautorio real provoca el indeseable efecto de nuevos procedimientos contra el mismo infractor, que reitera su conducta porque dispone de los mismos medios para el desarrollo de su actividad ilícita y le sigue compensando la

continuidad delictiva. De este modo, la inacción cautelar favorece la reiteración del comportamiento infractor, y desemboca en la necesidad de nuevas actuaciones jurisdiccionales, originando una multiplicidad de actuaciones policiales, fiscales y judiciales contrarias a cualquier criterio de economía procesal y material de las autoridades competentes en la lucha contra la ciberdelincuencia. Otro de los aspectos más problemáticos al establecer el resarcimiento de daños causados por ciberdelitos es el que resulta de la casi total ausencia de responsabilidad de los productores de software por programas inseguros o defectuosos. La práctica totalidad de los programas informáticos se rigen por contratos de licencia de uso que excluyen la responsabilidad por daños con base en la cláusula «as is» (3) (en las condiciones en las que se encuentra el software). Y aunque hay acuerdo en que quien ataca un sistema debe responder penal y civilmente por ello, el debate sobre quién, si es que hay alguien, debe pechar con la responsabilidad por el defecto de seguridad subyacente en el software que permite el ciberataque no es pacífico, siendo cada vez más numerosas las voces que propugnan que los desarrolladores de software tienen que ser responsables de las vulnerabilidades de seguridad en sus programas. Esta dirección doctrinal (4) insiste en que el paradigma actual en el cual los desarrolladores de software carecen de responsabilidad con arreglo a la citada cláusula hoy no admite justificación, y no puede ponerse el foco exclusivo de la culpa en el ciberdelincuente o en los usuarios descuidados, en lugar de reconocer los riesgos palmarios creados por sus propios errores en el proceso de desarrollo al no efectuar suficientes pruebas y no aplicar estándares rigurosos en dicho proceso, generando, por tanto, defectos evitables en la propia fabricación del software. Por todo ello, probablemente esta doctrina de las licencias «as is» sea revisada en un futuro próximo. Ya en

este sentido, la Federal Trade Commission norteamericana ha interpuesto diversas demandas (5) en 2017 contra varios fabricantes (como D-Link, ASUS o TRENDnet) por no adoptar medidas para solucionar los fallos de seguridad conocidos y fácilmente evitables en sus productos (por ejemplo, el uso de contraseñas inseguras, la pasividad a la hora de corregir graves vulnerabilidades o la ausencia de sistemas de encriptación de las credenciales de acceso). Finalmente, conviene destacar que la prevención frente a este tipo de conductas debe tener una clara dimensión técnica, no sólo jurídica. Así, la propia tecnología ofrece soluciones frente a los riesgos que genera: el software antivirus y los sistemas de ciberseguridad y de detección de intrusos son ejemplos de este tipo de medidas. Nosotros consideramos que la implantación de las medidas técnicas de seguridad, instrumentalizadas a través de adecuadas herramientas tecnológicas, aparece como la vía más oportuna, teniendo incluso un carácter preferente sobre la amenaza penal. Esta orientación tiene ya su acogida en la jurisprudencia norteamericana, que desde la sentencia United States v. Cotterman (6) , de 8 de marzo de 2018, señala que las instituciones financieras tienen que implementar medidas razonables de ciberseguridad para proteger a los consumidores de los ciberdelitos, y también están obligadas a informar a los mismos de los incidentes de ciberseguridad. En este sentido, la doctrina unánimemente (7) reconoce la incapacidad de motivación del cibercriminal. De ahí que nosotros postulemos la adopción de medidas preventivas como vía más eficaz, por encima de la amenaza penal, para combatir la cibercriminalidad. Los técnicos en ciberseguridad, criminólogos y penalistas coinciden en abogar por las medidas de seguridad preventivas como vía de éxito en la lucha frente a este tipo de delincuencia. La auditoría informática debe ser entendida, cada vez más, en

su vertiente preventiva, esto es, como posible medida disuasoria ex ante para evitar irregularidades y brechas de seguridad, y no sólo como instrumento de fiscalización ex post. En este punto, la prevención deviene la mejor represión. Israel, por ejemplo, lleva décadas desarrollando este tipo de políticas con éxito desde finales de los 90 (8) dada su situación de guerra permanente. Y la recientemente aprobada Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (conocida como Directiva sobre ciberseguridad, Directiva NIS o SRI), otorga el espaldarazo definitivo a esta tendencia proactiva, al instar a los Estados miembros a estar equipados y preparados para dar respuesta a incidentes de ciberseguridad a gran escala, por ejemplo, a través de un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) y una autoridad nacional competente en la materia, y todo ello con el objetivo estructural de establecer medidas para «lograr un elevado nivel común de seguridad de las redes y sistemas de información dentro de la Unión a fin de mejorar el funcionamiento del mercado interior». A mayor abundamiento, es asimismo importante que cale en todos los sectores de la sociedad la relevancia que ha alcanzado la ciberseguridad y que ello se traduzca también en pautas adecuadas de comportamiento. La generación de una cultura nacional de ciberseguridad debe ser impulsada desde el gobierno y tiene que comprender a los ciudadanos, las empresas y las administraciones públicas, abarcando asimismo desde los responsables de la toma de decisiones a los usuarios. Un posible modelo a seguir es el Mes Nacional de Concienciación sobre Ciberseguridad (NCSAM o National Cyber Security Awareness Month) (9) , que fue puesto en marcha precozmente en 2004 por la National Cyber

Security Alliance y el U.S. Department of Homeland Security, y tiene lugar en Estados Unidos desde entonces todos los meses de octubre. Incluso, en nuestra opinión, resultará necesario crear un nuevo derecho fundamental a la integridad y a la reserva de los sistemas informáticos como parte del derecho general al desarrollo de la libertad personal. Así, como nos recuerda RODOTÀ (10) , ya lo ha reconocido el Tribunal Constitucional alemán en su Sentencia de 27 de febrero de 2008, afirmando que «...de la importancia de la utilización de sistemas informativos tecnológicos para el desarrollo de la personalidad, y de los daños al derecho a la personalidad que pudieran derivarse, proviene la necesidad de una tutela, esencial para el respeto de los derechos fundamentales. La persona debe tener la garantía de que el Estado respeta su razonable expectativa de integridad y reserva de los sistemas informativos tecnológicos, en la perspectiva de una construcción de la personalidad no sujeta a restricciones» (par. 181). Esta sentencia integra dos precedentes y fundamentales decisiones del citado Tribunal constitucional, la de 1983 sobre el derecho a la autodeterminación informativa, y la de 2004 sobre el derecho a una tutela absoluta sobre el contenido esencial de la esfera privada. Los sistemas informativos tecnológicos protegidos por el nuevo derecho fundamental son aquellos que «...por sí solos o mediante su interconexión, pueden contener datos de la persona interesada que, por sus características y por su diversidad, pueden dar como resultado que el acceso a ellos se transforme en una interferencia en aspectos esenciales del modo de vivir de la persona o que permitan realizar un perfil significativo de su personalidad» (par. 203). Y, tratándose de un derecho fundamental, las autoridades públicas solo pueden excepcionalmente interferir en él, con una autorización judicial y únicamente si

se dan «indicaciones precisas sobre el riesgo de un daño concreto» para la vida, para la integridad física y la libertad de las personas, para la seguridad del Estado y para la supervivencia de las personas. En definitiva, se trataría de un derecho parcialmente coincidente con el mencionado derecho al entorno virtual al que antes hemos hecho referencia.

(1)

Vid. BARRIO ANDRÉS, Moisés, Fundamentos del Derecho de Internet, Editorial Centro de Estudios Políticos y Constitucionales, Madrid, 2017. Ver Texto

(2)

Vid. BARRIO ANDRÉS, Moisés, Ciberderecho. Bases estructurales, modelos de regulación e instituciones de gobernanza de Internet, Editorial Tirant lo Blanch, Valencia, 2018. Ver Texto

(3)

Por ejemplo, esta es la redacción de dicha cláusula en el acuerdo de licencia de uso para Corel WordPerfect, que sigue los parámetros habituales en la industria del software: «No existe responsabilidad por daños y perjuicios indirectos o consecuentes. Usted asume el costo total de cualquier daño derivado de la información contenida o recopilada por el software. En ningún caso Corel o sus proveedores o adjudicadores de licencia serán responsables por los daños y perjuicios de cualquier clase (incluidos, entre otros, los daños por lucro cesante, por suspensión del negocio, por pérdida de información comercial o cualquier otra pérdida económica) derivada del uso o imposibilidad de uso del software, incluso si dicha parte hubiera sido advertida de la posibilidad de dichos daños y perjuicios. La responsabilidad total de Corel frente a usted por todos los daños y perjuicios en una o varias reclamaciones en ningún caso excederá del importe que usted haya pagado por el

software. Esta limitación será de aplicación sin perjuicio de que se incumpla la finalidad esencial de cualquier acción limitada». Ver Texto

(4)

Vid., por todos, LUNDBERG, Steven (dir.), Electronic and software patents: law and practice, Editorial BNA, Nueva York, 2016, 4ª edición. Ver Texto

(5)

Vid. https://www.ftc.gov/news-events/pressreleases/2017/01/ftc-charges-d-link-put-consumersprivacy-risk-due-inadequate Ver Texto

(6)

709 F.3d 952 (9th Cir. 2013). Ver Texto

(7)

Por todos, ROMEO CASABONA, Carlos, Poder informático y seguridad jurídica..., op. cit., pág. 40. Ver Texto

(8)

TABANSKY, Lior, Cybersecurity in Israel, Editorial Springer, Berlín, 2015; o BLANE, John (dir.), Cybercrime and Cyberterrorism: current issues, Editorial Nova Science Pub, Nueva York, 2003, pág. 39 y ss. Ver Texto

(9)

Vid. https://www.dhs.gov/national-cyber-securityawareness-month Ver Texto

(10) RODOTÀ, Stefano, Iperdemocrazia. Come cambia la sovranità democratica con il web, Editorial Laterza, Roma, 2013. Ver Texto

Anexo Finalmente, para facilitar el estudio de las materias objeto de esta obra se incluye un extracto de las disposiciones legales vigentes.

1. CÓDIGO PENAL Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. […] LIBRO II Delitos y sus penas […] TÍTULO VI Delitos contra la libertad Artículo 172 ter. 1. Será castigado con la pena de prisión de tres meses a dos años o multa de seis a veinticuatro meses el que acose a una persona llevando a cabo de forma insistente y reiterada, y sin estar legítimamente autorizado, alguna de las conductas siguientes y, de este modo, altere gravemente el desarrollo de su vida cotidiana: 1.ª La vigile, la persiga o busque su cercanía física.

2.ª Establezca o intente establecer contacto con ella a través de cualquier medio de comunicación, o por medio de terceras personas. 3.ª Mediante el uso indebido de sus datos personales, adquiera productos o mercancías, o contrate servicios, o haga que terceras personas se pongan en contacto con ella. 4.ª Atente contra su libertad o contra su patrimonio, o contra la libertad o patrimonio de otra persona próxima a ella. Si se trata de una persona especialmente vulnerable por razón de su edad, enfermedad o situación, se impondrá la pena de prisión de seis meses a dos años. 2. Cuando el ofendido fuere alguna de las personas a las que se refiere el apartado 2 del artículo 173, se impondrá una pena de prisión de uno a dos años, o trabajos en beneficio de la comunidad de sesenta a ciento veinte días. En este caso no será necesaria la denuncia a que se refiere el apartado 4 de este artículo. 3. Las penas previstas en este artículo se impondrán sin perjuicio de las que pudieran corresponder a los delitos en que se hubieran concretado los actos de acoso. 4. Los hechos descritos en este artículo sólo serán perseguibles mediante denuncia de la persona agraviada o de su representante legal. […] TÍTULO VIII Delitos contra la libertad e indemnidad sexuales […] Artículo 183 ter. 1. El que a través de Internet, del teléfono o de cualquier otra tecnología de la información y la comunicación contacte con un menor de dieciséis años y proponga concertar un

encuentro con el mismo a fin de cometer cualquiera de los delitos descritos en los artículos 183 y 189, siempre que tal propuesta se acompañe de actos materiales encaminados al acercamiento, será castigado con la pena de uno a tres años de prisión o multa de doce a veinticuatro meses, sin perjuicio de las penas correspondientes a los delitos en su caso cometidos. Las penas se impondrán en su mitad superior cuando el acercamiento se obtenga mediante coacción, intimidación o engaño. 2. El que a través de Internet, del teléfono o de cualquier otra tecnología de la información y la comunicación contacte con un menor de dieciséis años y realice actos dirigidos a embaucarle para que le facilite material pornográfico o le muestre imágenes pornográficas en las que se represente o aparezca un menor, será castigado con una pena de prisión de seis meses a dos años. Artículo 183 quater. El consentimiento libre del menor de dieciséis años excluirá la responsabilidad penal por los delitos previstos en este Capítulo, cuando el autor sea una persona próxima al menor por edad y grado de desarrollo o madurez. […] TÍTULO X Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio CAPÍTULO I Del descubrimiento y revelación de secretos Artículo 197. 1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos

de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses. 2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero. 3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores. Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior. 4. Los hechos descritos en los apartados 1 y 2 de este artículo serán castigados con una pena de prisión de tres a cinco años cuando: a) Se cometan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros; o b) se lleven a cabo mediante la utilización no autorizada de datos personales de la víctima. Si los datos reservados se hubieran difundido, cedido o revelado a terceros, se impondrán las penas en su mitad

superior. 5. Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o una persona con discapacidad necesitada de especial protección, se impondrán las penas previstas en su mitad superior. 6. Si los hechos se realizan con fines lucrativos, se impondrán las penas respectivamente previstas en los apartados 1 al 4 de este artículo en su mitad superior. Si además afectan a datos de los mencionados en el apartado anterior, la pena a imponer será la de prisión de cuatro a siete años. 7. Será castigado con una pena de prisión de tres meses a un año o multa de seis a doce meses el que, sin autorización de la persona afectada, difunda, revele o ceda a terceros imágenes o grabaciones audiovisuales de aquélla que hubiera obtenido con su anuencia en un domicilio o en cualquier otro lugar fuera del alcance de la mirada de terceros, cuando la divulgación menoscabe gravemente la intimidad personal de esa persona. La pena se impondrá en su mitad superior cuando los hechos hubieran sido cometidos por el cónyuge o por persona que esté o haya estado unida a él por análoga relación de afectividad, aun sin convivencia, la víctima fuera menor de edad o una persona con discapacidad necesitada de especial protección, o los hechos se hubieran cometido con una finalidad lucrativa. Artículo 197 bis. 1. El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un

sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años. 2. El que mediante la utilización de artificios o instrumentos técnicos, y sin estar debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos, será castigado con una pena de prisión de tres meses a dos años o multa de tres a doce meses. Artículo 197 ter. Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los apartados 1 y 2 del artículo 197 o el artículo 197 bis: a) un programa informático, concebido principalmente para cometer dichos delitos; o

o

adaptado

b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información. Artículo 197 quater. Si los hechos descritos en este Capítulo se hubieran cometido en el seno de una organización o grupo criminal, se aplicarán respectivamente las penas superiores en grado. Artículo 197 quinquies. Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en los artículos 197, 197 bis y 197 ter, se le impondrá la pena de multa de seis meses a dos años.

Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33. Artículo 198. La autoridad o funcionario público que, fuera de los casos permitidos por la Ley, sin mediar causa legal por delito, y prevaliéndose de su cargo, realizare cualquiera de las conductas descritas en el artículo anterior, será castigado con las penas respectivamente previstas en el mismo, en su mitad superior y, además, con la de inhabilitación absoluta por tiempo de seis a doce años. Artículo 199. 1. El que revelare secretos ajenos, de los que tenga conocimiento por razón de su oficio o sus relaciones laborales, será castigado con la pena de prisión de uno a tres años y multa de seis a doce meses. 2. El profesional que, con incumplimiento de su obligación de sigilo o reserva, divulgue los secretos de otra persona, será castigado con la pena de prisión de uno a cuatro años, multa de doce a veinticuatro meses e inhabilitación especial para dicha profesión por tiempo de dos a seis años. Artículo 200. Lo dispuesto en este capítulo será aplicable al que descubriere, revelare o cediere datos reservados de personas jurídicas, sin el consentimiento de sus representantes, salvo lo dispuesto en otros preceptos de este Código. Artículo 201. 1. Para proceder por los delitos previstos en este capítulo será necesaria denuncia de la persona agraviada o de su representante legal. Cuando aquélla sea menor de edad, persona con discapacidad necesitada de especial protección

o una persona desvalida, también podrá denunciar el Ministerio Fiscal. 2. No será precisa la denuncia exigida en el apartado anterior para proceder por los hechos descritos en el artículo 198 de este Código, ni cuando la comisión del delito afecte a los intereses generales o a una pluralidad de personas. 3. El perdón del ofendido o de su representante legal, en su caso, extingue la acción penal sin perjuicio de lo dispuesto en el segundo párrafo del número 5º del apartado 1 del artículo 130. […] TÍTULO XI Delitos contra el honor CAPÍTULO I De la calumnia Artículo 205. Es calumnia la imputación de un delito hecha con conocimiento de su falsedad o temerario desprecio hacia la verdad. Artículo 206. Las calumnias serán castigadas con las penas de prisión de seis meses a dos años o multa de doce a 24 meses, si se propagaran con publicidad y, en otro caso, con multa de seis a 12 meses. Artículo 207. El acusado por delito de calumnia quedará exento de toda pena probando el hecho criminal que hubiere imputado. CAPÍTULO II De la injuria Artículo 208.

Es injuria la acción o expresión que lesionan la dignidad de otra persona, menoscabando su fama o atentando contra su propia estimación. Solamente serán constitutivas de delito las injurias que, por su naturaleza, efectos y circunstancias, sean tenidas en el concepto público por graves, sin perjuicio de lo dispuesto en el apartado 4 del artículo 173. Las injurias que consistan en la imputación de hechos no se considerarán graves, salvo cuando se hayan llevado a cabo con conocimiento de su falsedad o temerario desprecio hacia la verdad. Artículo 209. Las injurias graves hechas con publicidad se castigarán con la pena de multa de seis a catorce meses y, en otro caso, con la de tres a siete meses. Artículo 210. El acusado de injuria quedará exento de responsabilidad probando la verdad de las imputaciones cuando estas se dirijan contra funcionarios públicos sobre hechos concernientes al ejercicio de sus cargos o referidos a la comisión de infracciones administrativas. CAPÍTULO III Disposiciones generales Artículo 211. La calumnia y la injuria se reputarán hechas con publicidad cuando se propaguen por medio de la imprenta, la radiodifusión o por cualquier otro medio de eficacia semejante. Artículo 212. En los casos a los que se refiere el artículo anterior, será responsable civil solidaria la persona física o jurídica

propietaria del medio informativo a través del cual se haya propagado la calumnia o injuria. Artículo 213. Si la calumnia o injuria fueren cometidas mediante precio, recompensa o promesa, los Tribunales impondrán, además de las penas señaladas para los delitos de que se trate, la de inhabilitación especial prevista en los artículos 42 o 45 del presente Código, por tiempo de seis meses a dos años. Artículo 214. Si el acusado de calumnia o injuria reconociere ante la autoridad judicial la falsedad o falta de certeza de las imputaciones y se retractare de ellas, el juez o Tribunal impondrá la pena inmediatamente inferior en grado y podrá dejar de imponer la pena de inhabilitación que establece el artículo anterior. El juez o Tribunal ante quien se produjera el reconocimiento ordenará que se entregue testimonio de retractación al ofendido y, si éste lo solicita, ordenará su publicación en el mismo medio en que se vertió la calumnia o injuria, en espacio idéntico o similar a aquél en que se produjo su difusión y dentro del plazo que señale el juez o Tribunal sentenciador. Artículo 215. 1. Nadie será penado por calumnia o injuria sino en virtud de querella de la persona ofendida por el delito o de su representante legal. Se procederá de oficio cuando la ofensa se dirija contra funcionario público, autoridad o agente de la misma sobre hechos concernientes al ejercicio de sus cargos. 2. Nadie podrá deducir acción de calumnia o injuria vertidas en juicio sin previa licencia del juez o Tribunal que de él conociere o hubiere conocido.

3. El perdón del ofendido o de su representante legal, en su caso, extingue la acción penal sin perjuicio de lo dispuesto en el segundo párrafo del número 5º del apartado 1 del artículo 130 de este Código. Artículo 216. En los delitos de calumnia o injuria se considera que la reparación del daño comprende también la publicación o divulgación de la sentencia condenatoria, a costa del condenado por tales delitos, en el tiempo y forma que el juez o Tribunal consideren más adecuado a tal fin, oídas las dos partes. […] TÍTULO XIII Delitos contra el patrimonio y contra el orden socioeconómico […] CAPÍTULO VI De las defraudaciones Sección 1.ª De las estafas Artículo 248. 1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno. 2. También se consideran reos de estafa: a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo.

c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero. Artículo 249. Los reos de estafa serán castigados con la pena de prisión de seis meses a tres años. Para la fijación de la pena se tendrá en cuenta el importe de lo defraudado, el quebranto económico causado al perjudicado, las relaciones entre éste y el defraudador, los medios empleados por éste y cuantas otras circunstancias sirvan para valorar la gravedad de la infracción. Si la cuantía de lo defraudado no excediere de 400 euros, se impondrá la pena de multa de uno a tres meses. Artículo 250. 1. El delito de estafa será castigado con las penas de prisión de uno a seis años y multa de seis a doce meses, cuando: 1.º Recaiga sobre cosas de primera necesidad, viviendas u otros bienes de reconocida utilidad social. 2.º Se perpetre abusando de firma de otro, o sustrayendo, ocultando o inutilizando, en todo o en parte, algún proceso, expediente, protocolo o documento público u oficial de cualquier clase. 3.º Recaiga sobre bienes que integren el patrimonio artístico, histórico, cultural o científico. 4.º Revista especial gravedad, atendiendo a la entidad del perjuicio y a la situación económica en que deje a la víctima o a su familia. 5.º El valor de la defraudación supere los 50.000 euros, o afecte a un elevado número de personas.

6.º Se cometa con abuso de las relaciones personales existentes entre víctima y defraudador, o aproveche éste su credibilidad empresarial o profesional. 7.º Se cometa estafa procesal. Incurren en la misma los que, en un procedimiento judicial de cualquier clase, manipularen las pruebas en que pretendieran fundar sus alegaciones o emplearen otro fraude procesal análogo, provocando error en el juez o tribunal y llevándole a dictar una resolución que perjudique los intereses económicos de la otra parte o de un tercero. 8.º Al delinquir el culpable hubiera sido condenado ejecutoriamente al menos por tres delitos comprendidos en este Capítulo. No se tendrán en cuenta antecedentes cancelados o que debieran serlo. 2. Si concurrieran las circunstancias incluidas en los numerales 4.º, 5.º, 6.º o 7.º con la del numeral 1.º del apartado anterior, se impondrán las penas de prisión de cuatro a ocho años y multa de doce a veinticuatro meses. La misma pena se impondrá cuando el valor de la defraudación supere los 250.000 euros. […] Sección 3.ª De las defraudaciones de fluido eléctrico y análogas Artículo 255. 1. Será castigado con la pena de multa de tres a doce meses el que cometiere defraudación utilizando energía eléctrica, gas, agua, telecomunicaciones u otro elemento, energía o fluido ajenos, por alguno de los medios siguientes: 1.º Valiéndose de mecanismos instalados para realizar la defraudación.

2.º Alterando maliciosamente las indicaciones o aparatos contadores. 3.º Empleando cualesquiera otros medios clandestinos. 2. Si la cuantía de lo defraudado no excediere de 400 euros, se impondrá una pena de multa de uno a tres meses. Artículo 256. 1. El que hiciere uso de cualquier equipo terminal de telecomunicación, sin consentimiento de su titular, y causando a éste un perjuicio económico, será castigado con la pena de multa de tres a doce meses. 2. Si la cuantía del perjuicio causado no excediere de 400 euros, se impondrá una pena de multa de uno a tres meses. […] CAPÍTULO IX De los daños […] Artículo 264. 1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años. 2. Se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias: 1.ª Se hubiese cometido en el marco de una organización criminal. 2.ª Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos.

3.ª El hecho hubiera perjudicado gravemente funcionamiento de servicios públicos esenciales o provisión de bienes de primera necesidad.

el la

4.ª Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones. 5.ª El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter. Si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en grado. 3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero. Artículo 264 bis. 1. Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno: a) realizando alguna de las conductas a que se refiere el artículo anterior; b) introduciendo o transmitiendo datos; o

c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica. Si los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, negocio o de una Administración pública, se impondrá la pena en su mitad superior, pudiéndose alcanzar la pena superior en grado. 2. Se impondrá una pena de prisión de tres a ocho años y multa del triplo al décuplo del perjuicio ocasionado, cuando en los hechos a que se refiere el apartado anterior hubiera concurrido alguna de las circunstancias del apartado 2 del artículo anterior. 3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero. Artículo 264 ter. Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los dos artículos anteriores: a) un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores; o b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información. Artículo 264 quater.

Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en los tres artículos anteriores, se le impondrán las siguientes penas: a) Multa de dos a cinco años o del quíntuplo a doce veces el valor del perjuicio causado, si resulta una cantidad superior, cuando se trate de delitos castigados con una pena de prisión de más de tres años. b) Multa de uno a tres años o del triple a ocho veces el valor del perjuicio causado, si resulta una cantidad superior, en el resto de los casos. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33. Artículo 265. El que destruyere, dañare de modo grave, o inutilizare para el servicio, aun de forma temporal, obras, establecimientos o instalaciones militares, buques de guerra, aeronaves militares, medios de transporte o transmisión militar, material de guerra, aprovisionamiento u otros medios o recursos afectados al servicio de las Fuerzas Armadas o de las Fuerzas y Cuerpos de Seguridad, será castigado con la pena de prisión de dos a cuatro años si el daño causado excediere de mil euros. Artículo 266. 1. Será castigado con la pena de prisión de uno a tres años el que cometiere los daños previstos en el apartado 1 del artículo 263 mediante incendio, o provocando explosiones, o utilizando cualquier otro medio de similar potencia destructiva o que genere un riesgo relevante de explosión o de causación de otros daños de especial

gravedad, o poniendo en peligro la vida o la integridad de las personas. 2. Será castigado con la pena de prisión de tres a cinco años y multa de doce a veinticuatro meses el que cometiere los daños previstos en el apartado 2 del artículo 263, en cualquiera de las circunstancias mencionadas en el apartado anterior. 3. Será castigado con la pena de prisión de cuatro a ocho años el que cometiere los daños previstos en los artículos 265, 323 y 560, en cualquiera de las circunstancias mencionadas en el apartado 1 del presente artículo. 4. En cualquiera de los supuestos previstos en los apartados anteriores, cuando se cometieren los daños concurriendo la provocación de explosiones o la utilización de otros medios de similar potencia destructiva y, además, se pusiera en peligro la vida o integridad de las personas, la pena se impondrá en su mitad superior. En caso de incendio será de aplicación lo dispuesto en el artículo 351. Artículo 267. Los daños causados por imprudencia grave en cuantía superior a 80.000 euros, serán castigados con la pena de multa de tres a nueve meses, atendiendo a la importancia de los mismos. Las infracciones a que se refiere este artículo sólo serán perseguibles previa denuncia de la persona agraviada o de su representante legal. El Ministerio Fiscal también podrá denunciar cuando aquélla sea menor de edad, persona con discapacidad necesitada de especial protección o una persona desvalida. En estos casos, el perdón del ofendido o de su representante legal, en su caso, extingue la acción penal sin

perjuicio de lo dispuesto en el segundo párrafo del número 5º del apartado 1 del artículo 130 de este Código. CAPÍTULO X Disposiciones comunes a los capítulos anteriores Artículo 268. 1. Están exentos de responsabilidad criminal y sujetos únicamente a la civil los cónyuges que no estuvieren separados legalmente o de hecho o en proceso judicial de separación, divorcio o nulidad de su matrimonio y los ascendientes, descendientes y hermanos por naturaleza o por adopción, así como los afines en primer grado si viviesen juntos, por los delitos patrimoniales que se causaren entre sí, siempre que no concurra violencia o intimidación, o abuso de la vulnerabilidad de la víctima, ya sea por razón de edad, o por tratarse de una persona con discapacidad. 2. Esta disposición no es aplicable a los extraños que participaren en el delito. Artículo 269. La provocación, la conspiración y la proposición para cometer los delitos de robo, extorsión, estafa o apropiación indebida, serán castigadas con la pena inferior en uno o dos grados a la del delito correspondiente. CAPÍTULO XI De los delitos relativos a la propiedad intelectual e industrial, al mercado y a los consumidores Sección 1.ª De los delitos relativos a la propiedad intelectual Artículo 270. 1. Será castigado con la pena de prisión de seis meses a cuatro años y multa de doce a veinticuatro meses el que, con ánimo de obtener un beneficio económico directo o

indirecto y en perjuicio de tercero, reproduzca, plagie, distribuya, comunique públicamente o de cualquier otro modo explote económicamente, en todo o en parte, una obra o prestación literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios. 2. La misma pena se impondrá a quien, en la prestación de servicios de la Sociedad de la Información, con ánimo de obtener un beneficio económico directo o indirecto, y en perjuicio de tercero, facilite de modo activo y no neutral y sin limitarse a un tratamiento meramente técnico, el acceso o la localización en Internet de obras o prestaciones objeto de propiedad intelectual sin la autorización de los titulares de los correspondientes derechos o de sus cesionarios, en particular ofreciendo listados ordenados y clasificados de enlaces a las obras y contenidos referidos anteriormente, aunque dichos enlaces hubieran sido facilitados inicialmente por los destinatarios de sus servicios. 3. En estos casos, el juez o tribunal ordenará la retirada de las obras o prestaciones objeto de la infracción. Cuando a través de un portal de acceso a Internet o servicio de la Sociedad de la Información, se difundan exclusiva o preponderantemente los contenidos objeto de la propiedad intelectual a que se refieren los apartados anteriores, se ordenará la interrupción de la prestación del mismo, y el juez podrá acordar cualquier medida cautelar que tenga por objeto la protección de los derechos de propiedad intelectual. Excepcionalmente, cuando exista reiteración de las conductas y cuando resulte una medida proporcionada, eficiente y eficaz, se podrá ordenar el bloqueo del acceso correspondiente.

4. En los supuestos a que se refiere el apartado 1, la distribución o comercialización ambulante o meramente ocasional se castigará con una pena de prisión de seis meses a dos años. No obstante, atendidas las características del culpable y la reducida cuantía del beneficio económico obtenido o que se hubiera podido obtener, siempre que no concurra ninguna de las circunstancias del artículo 271, el juez podrá imponer la pena de multa de uno a seis meses o trabajos en beneficio de la comunidad de treinta y uno a sesenta días. 5. Serán castigados con las penas previstas en los apartados anteriores, en sus respectivos casos, quienes: a) Exporten o almacenen intencionadamente ejemplares de las obras, producciones o ejecuciones a que se refieren los dos primeros apartados de este artículo, incluyendo copias digitales de las mismas, sin la referida autorización, cuando estuvieran destinadas a ser reproducidas, distribuidas o comunicadas públicamente. b) Importen intencionadamente estos productos sin dicha autorización, cuando estuvieran destinados a ser reproducidos, distribuidos o comunicados públicamente, tanto si éstos tienen un origen lícito como ilícito en su país de procedencia; no obstante, la importación de los referidos productos de un Estado perteneciente a la Unión Europea no será punible cuando aquellos se hayan adquirido directamente del titular de los derechos en dicho Estado, o con su consentimiento. c) Favorezcan o faciliten la realización de las conductas a que se refieren los apartados 1 y 2 de este artículo eliminando o modificando, sin autorización de los titulares de los derechos de propiedad intelectual o de sus cesionarios, las medidas tecnológicas eficaces incorporadas por éstos con la finalidad de impedir o restringir su realización.

d) Con ánimo de obtener un beneficio económico directo o indirecto, con la finalidad de facilitar a terceros el acceso a un ejemplar de una obra literaria, artística o científica, o a su transformación, interpretación o ejecución artística, fijada en cualquier tipo de soporte o comunicado a través de cualquier medio, y sin autorización de los titulares de los derechos de propiedad intelectual o de sus cesionarios, eluda o facilite la elusión de las medidas tecnológicas eficaces dispuestas para evitarlo. 6. Será castigado también con una pena de prisión de seis meses a tres años quien fabrique, importe, ponga en circulación o posea con una finalidad comercial cualquier medio principalmente concebido, producido, adaptado o realizado para facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador o cualquiera de las otras obras, interpretaciones o ejecuciones en los términos previstos en los dos primeros apartados de este artículo. Artículo 271. Se impondrá la pena de prisión de dos a seis años, multa de dieciocho a treinta y seis meses e inhabilitación especial para el ejercicio de la profesión relacionada con el delito cometido, por un período de dos a cinco años, cuando se cometa el delito del artículo anterior concurriendo alguna de las siguientes circunstancias: a) Que el beneficio obtenido o que se hubiera podido obtener posea especial trascendencia económica. b) Que los hechos revistan especial gravedad, atendiendo el valor de los objetos producidos ilícitamente, el número de obras, o de la transformación, ejecución o interpretación de las mismas, ilícitamente reproducidas, distribuidas,

comunicadas al público o puestas a su disposición, o a la especial importancia de los perjuicios ocasionados. c) Que el culpable perteneciere a una organización o asociación, incluso de carácter transitorio, que tuviese como finalidad la realización de actividades infractoras de derechos de propiedad intelectual. d) Que se utilice a menores de 18 años para cometer estos delitos. Artículo 272. 1. La extensión de la responsabilidad civil derivada de los delitos tipificados en los dos artículos anteriores se regirá por las disposiciones de la Ley de Propiedad Intelectual relativas al cese de la actividad ilícita y a la indemnización de daños y perjuicios. 2. En el supuesto de sentencia condenatoria, el juez o Tribunal podrá decretar la publicación de ésta, a costa del infractor, en un periódico oficial. […] TÍTULO XXII Delitos contra el orden público […] CAPÍTULO VII De las organizaciones y grupos terroristas y de los delitos de terrorismo Sección 1.ª De las organizaciones y grupos terroristas Artículo 571. A los efectos de este Código se considerarán organizaciones o grupos terroristas aquellas agrupaciones que, reuniendo las características respectivamente establecidas en el párrafo segundo del apartado 1 del artículo 570 bis y en el párrafo segundo del apartado 1 del

artículo 570 ter, tengan por finalidad o por objeto la comisión de alguno de los delitos tipificados en la sección siguiente. Artículo 572. 1. Quienes promovieran, constituyeran, organizaran o dirigieran una organización o grupo terrorista serán castigados con las penas de prisión de ocho a catorce años e inhabilitación especial para empleo o cargo público por tiempo de ocho a quince años. 2. Quienes participaran activamente en la organización o grupo, o formaran parte de ellos, serán castigados con las penas de prisión de seis a doce años e inhabilitación especial para empleo o cargo público por tiempo de seis a catorce años. Sección 2.ª De los delitos de terrorismo Artículo 573. 1. Se considerarán delito de terrorismo la comisión de cualquier delito grave contra la vida o la integridad física, la libertad, la integridad moral, la libertad e indemnidad sexuales, el patrimonio, los recursos naturales o el medio ambiente, la salud pública, de riesgo catastrófico, incendio, contra la Corona, de atentado y tenencia, tráfico y depósito de armas, municiones o explosivos, previstos en el presente Código, y el apoderamiento de aeronaves, buques u otros medios de transporte colectivo o de mercancías, cuando se llevaran a cabo con cualquiera de las siguientes finalidades: 1.ª Subvertir el orden constitucional, o suprimir o desestabilizar gravemente el funcionamiento de las instituciones políticas o de las estructuras económicas o sociales del Estado, u obligar a los poderes públicos a realizar un acto o a abstenerse de hacerlo. 2.ª Alterar gravemente la paz pública.

3.ª Desestabilizar gravemente el funcionamiento de una organización internacional. 4.ª Provocar un estado de terror en la población o en una parte de ella. 2. Se considerarán igualmente delitos de terrorismo los delitos informáticos tipificados en los artículos 197 bis y 197 ter y 264 a 264 quater cuando los hechos se cometan con alguna de las finalidades a las que se refiere el apartado anterior. 3. Asimismo, tendrán la consideración de delitos de terrorismo el resto de los delitos tipificados en este Capítulo. Artículo 573 bis. 1. Los delitos de terrorismo a los que se refiere el apartado 1 del artículo anterior serán castigados con las siguientes penas: 1.ª Con la de prisión por el tiempo máximo previsto en este Código si se causara la muerte de una persona. 2.ª Con la de prisión de veinte a veinticinco años cuando, en los casos de secuestro o detención ilegal, no se dé razón del paradero de la persona. 3.ª Con la de prisión de quince a veinte años si se causara un aborto del artículo 144, se produjeran lesiones de las tipificadas en los artículos 149, 150, 157 o 158, el secuestro de una persona, o estragos o incendio de los previstos respectivamente en los artículos 346 y 351. 4.ª Con la de prisión de diez a quince años si se causara cualquier otra lesión, o se detuviera ilegalmente, amenazara o coaccionara a una persona. 5.ª Y con la pena prevista para el delito cometido en su mitad superior, pudiéndose llegar a la superior en grado,

cuando se tratase de cualquier otro de los delitos a que se refiere el apartado 1 del artículo anterior. 2. Las penas se impondrán en su mitad superior si los hechos se cometieran contra las personas mencionadas en el apartado 3 del artículo 550 o contra miembros de las Fuerzas y Cuerpos de Seguridad o de las Fuerzas Armadas o contra empleados públicos que presten servicio en instituciones penitenciarias. 3. Los delitos de terrorismo a los que se refiere el apartado 2 del artículo anterior se castigarán con la pena superior en grado a la respectivamente prevista en los correspondientes artículos. 4. El delito de desórdenes públicos previsto en el artículo 557 bis, así como los delitos de rebelión y sedición, cuando se cometan por una organización o grupo terrorista o individualmente pero amparados en ellos, se castigarán con la pena superior en grado a las previstas para tales delitos. Artículo 574. 1. El depósito de armas o municiones, la tenencia o depósito de sustancias o aparatos explosivos, inflamables, incendiarios o asfixiantes, o de sus componentes, así como su fabricación, tráfico, transporte o suministro de cualquier forma, y la mera colocación o empleo de tales sustancias o de los medios o artificios adecuados, serán castigados con la pena de prisión de ocho a quince años cuando los hechos se cometan con cualquiera de las finalidades expresadas en el apartado 1 del artículo 573. 2. Se impondrá la pena de diez a veinte años de prisión cuando se trate de armas, sustancias o aparatos nucleares, radiológicos, químicos o biológicos, o cualesquiera otros de similar potencia destructiva. 3. Serán también castigados con la pena de diez a veinte años de prisión quienes, con las mismas finalidades

indicadas en el apartado 1, desarrollen armas químicas o biológicas, o se apoderen, posean, transporten, faciliten a otros o manipulen materiales nucleares, elementos radioactivos o materiales o equipos productores de radiaciones ionizantes. Artículo 575. 1. Será castigado con la pena de prisión de dos a cinco años quien, con la finalidad de capacitarse para llevar a cabo cualquiera de los delitos tipificados en este Capítulo, reciba adoctrinamiento o adiestramiento militar o de combate, o en técnicas de desarrollo de armas químicas o biológicas, de elaboración o preparación de sustancias o aparatos explosivos, inflamables, incendiarios o asfixiantes, o específicamente destinados a facilitar la comisión de alguna de tales infracciones. 2. Con la misma pena se castigará a quien, con la misma finalidad de capacitarse para cometer alguno de los delitos tipificados en este Capítulo, lleve a cabo por sí mismo cualquiera de las actividades previstas en el apartado anterior. Se entenderá que comete este delito quien, con tal finalidad, acceda de manera habitual a uno o varios servicios de comunicación accesibles al público en línea o contenidos accesibles a través de Internet o de un servicio de comunicaciones electrónicas cuyos contenidos estén dirigidos o resulten idóneos para incitar a la incorporación a una organización o grupo terrorista, o a colaborar con cualquiera de ellos o en sus fines. Los hechos se entenderán cometidos en España cuando se acceda a los contenidos desde el territorio español. Asimismo se entenderá que comete este delito quien, con la misma finalidad, adquiera o tenga en su poder documentos que estén dirigidos o, por su contenido, resulten idóneos para incitar a la incorporación a una

organización o grupo terrorista o a colaborar con cualquiera de ellos o en sus fines. 3. La misma pena se impondrá a quien, para ese mismo fin, o para colaborar con una organización o grupo terrorista, o para cometer cualquiera de los delitos comprendidos en este Capítulo, se traslade o establezca en un territorio extranjero controlado por un grupo u organización terrorista. Artículo 576. 1. Será castigado con la pena de prisión de cinco a diez años y multa del triple al quíntuplo de su valor el que, por cualquier medio, directa o indirectamente, recabe, adquiera, posea, utilice, convierta, transmita o realice cualquier otra actividad con bienes o valores de cualquier clase con la intención de que se utilicen, o a sabiendas de que serán utilizados, en todo o en parte, para cometer cualquiera de los delitos comprendidos en este Capítulo. 2. Si los bienes o valores se pusieran efectivamente a disposición del responsable del delito de terrorismo, se podrá imponer la pena superior en grado. Si llegaran a ser empleados para la ejecución de actos terroristas concretos, el hecho se castigará como coautoría o complicidad, según los casos. 3. En el caso de que la conducta a que se refiere el apartado 1 se hubiera llevado a cabo atentando contra el patrimonio, cometiendo extorsión, falsedad documental o mediante la comisión de cualquier otro delito, éstos se castigarán con la pena superior en grado a la que les corresponda, sin perjuicio de imponer además la que proceda conforme a los apartados anteriores. 4. El que estando específicamente sujeto por la ley a colaborar con la autoridad en la prevención de las actividades de financiación del terrorismo dé lugar, por imprudencia grave en el cumplimiento de dichas

obligaciones, a que no sea detectada o impedida cualquiera de las conductas descritas en el apartado 1 será castigado con la pena inferior en uno o dos grados a la prevista en él. 5. Cuando, de acuerdo con lo establecido en el artículo 31 bis, una persona jurídica sea responsable de los delitos tipificados en este artículo se le impondrán las siguientes penas: a) Multa de dos a cinco años si el delito cometido por la persona física tiene prevista una pena de prisión de más de cinco años. b) Multa de uno a tres años si el delito cometido por la persona física tiene prevista una pena de más de dos años de privación de libertad no incluida en la letra anterior. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas previstas en las letras b) a g) del apartado 7 del artículo 33. Artículo 577. 1. Será castigado con las penas de prisión de cinco a diez años y multa de dieciocho a veinticuatro meses el que lleve a cabo, recabe o facilite cualquier acto de colaboración con las actividades o las finalidades de una organización, grupo o elemento terrorista, o para cometer cualquiera de los delitos comprendidos en este Capítulo. En particular son actos de colaboración la información o vigilancia de personas, bienes o instalaciones, la construcción, acondicionamiento, cesión o utilización de alojamientos o depósitos, la ocultación, acogimiento o traslado de personas, la organización de prácticas de entrenamiento o la asistencia a ellas, la prestación de servicios tecnológicos, y cualquier otra forma equivalente de cooperación o ayuda a las actividades de las organizaciones

o grupos terroristas, grupos o personas a que se refiere el párrafo anterior. Cuando la información o vigilancia de personas mencionada en el párrafo anterior ponga en peligro la vida, la integridad física, la libertad o el patrimonio de las mismas se impondrá la pena prevista en este apartado en su mitad superior. Si se produjera la lesión de cualquiera de estos bienes jurídicos se castigará el hecho como coautoría o complicidad, según los casos. 2. Las penas previstas en el apartado anterior se impondrán a quienes lleven a cabo cualquier actividad de captación, adoctrinamiento o adiestramiento, que esté dirigida o que, por su contenido, resulte idónea para incitar a incorporarse a una organización o grupo terrorista, o para cometer cualquiera de los delitos comprendidos en este Capítulo. Asimismo se impondrán estas penas a los que faciliten adiestramiento o instrucción sobre la fabricación o uso de explosivos, armas de fuego u otras armas o sustancias nocivas o peligrosas, o sobre métodos o técnicas especialmente adecuados para la comisión de alguno de los delitos del artículo 573, con la intención o conocimiento de que van a ser utilizados para ello. Las penas se impondrán en su mitad superior, pudiéndose llegar a la superior en grado, cuando los actos previstos en este apartado se hubieran dirigido a menores de edad o personas con discapacidad necesitadas de especial protección o a mujeres víctimas de trata con el fin de convertirlas en cónyuges, compañeras o esclavas sexuales de los autores del delito, sin perjuicio de imponer las que además procedan por los delitos contra la libertad sexual cometidos. 3. Si la colaboración con las actividades o las finalidades de una organización o grupo terrorista, o en la comisión de

cualquiera de los delitos comprendidos en este Capítulo, se hubiera producido por imprudencia grave se impondrá la pena de prisión de seis a dieciocho meses y multa de seis a doce meses. Artículo 578. 1. El enaltecimiento o la justificación públicos de los delitos comprendidos en los artículos 572 a 577 o de quienes hayan participado en su ejecución, o la realización de actos que entrañen descrédito, menosprecio o humillación de las víctimas de los delitos terroristas o de sus familiares, se castigará con la pena de prisión de uno a tres años y multa de doce a dieciocho meses. El juez también podrá acordar en la sentencia, durante el período de tiempo que él mismo señale, alguna o algunas de las prohibiciones previstas en el artículo 57. 2. Las penas previstas en el apartado anterior se impondrán en su mitad superior cuando los hechos se hubieran llevado a cabo mediante la difusión de servicios o contenidos accesibles al público a través de medios de comunicación, Internet, o por medio de servicios de comunicaciones electrónicas o mediante el uso de tecnologías de la información. 3. Cuando los hechos, a la vista de sus circunstancias, resulten idóneos para alterar gravemente la paz pública o crear un grave sentimiento de inseguridad o temor a la sociedad o parte de ella se impondrá la pena en su mitad superior, que podrá elevarse hasta la superior en grado. 4. El juez o tribunal acordará la destrucción, borrado o inutilización de los libros, archivos, documentos, artículos o cualquier otro soporte por medio del que se hubiera cometido el delito. Cuando el delito se hubiera cometido a través de tecnologías de la información y la comunicación se acordará la retirada de los contenidos.

Si los hechos se hubieran cometido a través de servicios o contenidos accesibles a través de Internet o de servicios de comunicaciones electrónicas, el juez o tribunal podrá ordenar la retirada de los contenidos o servicios ilícitos. Subsidiariamente, podrá ordenar a los prestadores de servicios de alojamiento que retiren los contenidos ilícitos, a los motores de búsqueda que supriman los enlaces que apunten a ellos y a los proveedores de servicios de comunicaciones electrónicas que impidan el acceso a los contenidos o servicios ilícitos siempre que concurra alguno de los siguientes supuestos: a) Cuando la medida resulte proporcionada a la gravedad de los hechos y a la relevancia de la información y necesaria para evitar su difusión. b) Cuando se difundan exclusiva o preponderantemente los contenidos a los que se refieren los apartados anteriores. 5. Las medidas previstas en el apartado anterior podrán también ser acordadas por el juez instructor con carácter cautelar durante la instrucción de la causa. Artículo 579. 1. Será castigado con la pena inferior en uno o dos grados a la prevista para el delito de que se trate el que, por cualquier medio, difunda públicamente mensajes o consignas que tengan como finalidad o que, por su contenido, sean idóneos para incitar a otros a la comisión de alguno de los delitos de este Capítulo. 2. La misma pena se impondrá al que, públicamente o ante una concurrencia de personas, incite a otros a la comisión de alguno de los delitos de este Capítulo, así como a quien solicite a otra persona que los cometa. 3. Los demás actos de provocación, conspiración y proposición para cometer alguno de los delitos regulados en

este Capítulo se castigarán también con la pena inferior en uno o dos grados a la que corresponda respectivamente a los hechos previstos en este Capítulo. 4. En los casos previstos en este precepto, los jueces o tribunales podrán adoptar las medidas establecidas en los apartados 4 y 5 del artículo anterior. Artículo 579 bis. 1. El responsable de los delitos previstos en este Capítulo, sin perjuicio de las penas que correspondan con arreglo a los artículos precedentes, será también castigado, atendiendo proporcionalmente a la gravedad del delito, el número de los cometidos y a las circunstancias que concurran en el delincuente, con las penas de inhabilitación absoluta, inhabilitación especial para profesión u oficio educativos, en los ámbitos docente, deportivo y de tiempo libre, por un tiempo superior entre seis y veinte años al de la duración de la pena de privación de libertad impuesta en su caso en la sentencia. 2. Al condenado a pena grave privativa de libertad por uno o más delitos comprendidos en este Capítulo se le impondrá además la medida de libertad vigilada de cinco a diez años, y de uno a cinco años si la pena privativa de libertad fuera menos grave. No obstante lo anterior, cuando se trate de un solo delito que no sea grave, y su autor hubiere delinquido por primera vez, el tribunal podrá imponer o no la medida de libertad vigilada, en atención a su menor peligrosidad. 3. En los delitos previstos en este Capítulo, los jueces y tribunales, razonándolo en sentencia, podrán imponer la pena inferior en uno o dos grados a la señalada para el delito de que se trate, cuando el sujeto haya abandonado voluntariamente sus actividades delictivas, se presente a las autoridades confesando los hechos en que haya participado y colabore activamente con éstas para impedir la

producción del delito, o coadyuve eficazmente a la obtención de pruebas decisivas para la identificación o captura de otros responsables o para impedir la actuación o el desarrollo de organizaciones, grupos u otros elementos terroristas a los que haya pertenecido o con los que haya colaborado. 4. Los jueces y tribunales, motivadamente, atendiendo a las circunstancias concretas, podrán imponer también la pena inferior en uno o dos grados a la señalada en este Capítulo para el delito de que se trate, cuando el hecho sea objetivamente de menor gravedad, atendidos el medio empleado o el resultado producido. Artículo 580. En todos los delitos de terrorismo, la condena de un juez o tribunal extranjero será equiparada a las sentencias de los jueces o tribunales españoles a los efectos de aplicación de la agravante de reincidencia.

2. LEY DE ENJUICIAMIENTO CRIMINAL Real Decreto de 14 de septiembre de 1882 por el que se aprueba la Ley de Enjuiciamiento Criminal. […] LIBRO II Del sumario […] TÍTULO VIII De las medidas de investigación limitativas de los derechos reconocidos en el artículo 18 de la Constitución […] CAPÍTULO IV

Disposiciones comunes a la interceptación de las comunicaciones telefónicas y telemáticas, la captación y grabación de comunicaciones orales mediante la utilización de dispositivos electrónicos, la utilización de dispositivos técnicos de seguimiento, localización y captación de la imagen, el registro de dispositivos de almacenamiento masivo de información y los registros remotos sobre equipos informáticos Artículo 588 bis a. Principios rectores. 1. Durante la instrucción de las causas se podrá acordar alguna de las medidas de investigación reguladas en el presente capítulo siempre que medie autorización judicial dictada con plena sujeción a los principios de especialidad, idoneidad, excepcionalidad, necesidad y proporcionalidad de la medida. 2. El principio de especialidad exige que una medida esté relacionada con la investigación de un delito concreto. No podrán autorizarse medidas de investigación tecnológica que tengan por objeto prevenir o descubrir delitos o despejar sospechas sin base objetiva. 3. El principio de idoneidad servirá para definir el ámbito objetivo y subjetivo y la duración de la medida en virtud de su utilidad. 4. En aplicación de los principios de excepcionalidad y necesidad solo podrá acordarse la medida: a) cuando no estén a disposición de la investigación, en atención a sus características, otras medidas menos gravosas para los derechos fundamentales del investigado o encausado e igualmente útiles para el esclarecimiento del hecho, o b) cuando el descubrimiento o la comprobación del hecho investigado, la determinación de su autor o autores, la

averiguación de su paradero, o la localización de los efectos del delito se vea gravemente dificultada sin el recurso a esta medida. 5. Las medidas de investigación reguladas en este capítulo solo se reputarán proporcionadas cuando, tomadas en consideración todas las circunstancias del caso, el sacrificio de los derechos e intereses afectados no sea superior al beneficio que de su adopción resulte para el interés público y de terceros. Para la ponderación de los intereses en conflicto, la valoración del interés público se basará en la gravedad del hecho, su trascendencia social o el ámbito tecnológico de producción, la intensidad de los indicios existentes y la relevancia del resultado perseguido con la restricción del derecho. Artículo 588 bis b. Solicitud de autorización judicial. 1. El juez podrá acordar las medidas reguladas en este capítulo de oficio o a instancia del Ministerio Fiscal o de la Policía Judicial. 2. Cuando el Ministerio Fiscal o la Policía Judicial soliciten del Juez de Instrucción una medida de investigación tecnológica, la petición habrá de contener: 1.º La descripción del hecho objeto de investigación y la identidad del investigado o de cualquier otro afectado por la medida, siempre que tales datos resulten conocidos. 2.º La exposición detallada de las razones que justifiquen la necesidad de la medida de acuerdo a los principios rectores establecidos en el artículo 588 bis a, así como los indicios de criminalidad que se hayan puesto de manifiesto durante la investigación previa a la solicitud de autorización del acto de injerencia. 3.º Los datos de identificación del investigado o encausado y, en su caso, de los medios de comunicación empleados

que permitan la ejecución de la medida. 4.º La extensión de la medida con especificación de su contenido. 5.º La unidad investigadora de la Policía Judicial que se hará cargo de la intervención. 6.º La forma de ejecución de la medida. 7.º La duración de la medida que se solicita. 8.º El sujeto obligado que llevará a cabo la medida, en caso de conocerse. Artículo 588 bis c. Resolución judicial. 1. El Juez de Instrucción autorizará o denegará la medida solicitada mediante auto motivado, oído el Ministerio Fiscal. Esta resolución se dictará en el plazo máximo de veinticuatro horas desde que se presente la solicitud. 2. Siempre que resulte necesario para resolver sobre el cumplimiento de alguno de los requisitos expresados en los artículos anteriores, el juez podrá requerir, con interrupción del plazo a que se refiere el apartado anterior, una ampliación o aclaración de los términos de la solicitud. 3. La resolución judicial que autorice la medida concretará al menos los siguientes extremos: a) El hecho punible objeto de investigación y su calificación jurídica, con expresión de los indicios racionales en los que funde la medida. b) La identidad de los investigados y de cualquier otro afectado por la medida, de ser conocido. c) La extensión de la medida de injerencia, especificando su alcance así como la motivación relativa al cumplimiento de los principios rectores establecidos en el artículo 588 bis a. d) La unidad investigadora de Policía Judicial que se hará cargo de la intervención.

e) La duración de la medida. f) La forma y la periodicidad con la que el solicitante informará al juez sobre los resultados de la medida. g) La finalidad perseguida con la medida. h) El sujeto obligado que llevará a cabo la medida, en caso de conocerse, con expresa mención del deber de colaboración y de guardar secreto, cuando proceda, bajo apercibimiento de incurrir en un delito de desobediencia. Artículo 588 bis d. Secreto. La solicitud y las actuaciones posteriores relativas a la medida solicitada se sustanciarán en una pieza separada y secreta, sin necesidad de que se acuerde expresamente el secreto de la causa. Artículo 588 bis e. Duración. 1. Las medidas reguladas en el presente capítulo tendrán la duración que se especifique para cada una de ellas y no podrán exceder del tiempo imprescindible para el esclarecimiento de los hechos. 2. La medida podrá ser prorrogada, mediante auto motivado, por el juez competente, de oficio o previa petición razonada del solicitante, siempre que subsistan las causas que la motivaron. 3. Transcurrido el plazo por el que resultó concedida la medida, sin haberse acordado su prórroga, o, en su caso, finalizada ésta, cesará a todos los efectos. Artículo 588 bis f. Solicitud de prórroga. 1. La solicitud de prórroga se dirigirá por el Ministerio Fiscal o la Policía Judicial al juez competente con la antelación suficiente a la expiración del plazo concedido. Deberá incluir en todo caso: a) Un informe detallado del resultado de la medida.

b) Las razones que justifiquen la continuación de la misma. 2. En el plazo de los dos días siguientes a la presentación de la solicitud, el juez resolverá sobre el fin de la medida o su prórroga mediante auto motivado. Antes de dictar la resolución podrá solicitar aclaraciones o mayor información. 3. Concedida la prórroga, su cómputo se iniciará desde la fecha de expiración del plazo de la medida acordada. Artículo 588 bis g. Control de la medida. La Policía Judicial informará al Juez de Instrucción del desarrollo y los resultados de la medida, en la forma y con la periodicidad que este determine y, en todo caso, cuando por cualquier causa se ponga fin a la misma. Artículo 588 bis h. Afectación de terceras personas. Podrán acordarse las medidas de investigación reguladas en los siguientes capítulos aun cuando afecten a terceras personas en los casos y con las condiciones que se regulan en las disposiciones específicas de cada una de ellas. Artículo 588 bis i. Utilización de la información obtenida en un procedimiento distinto y descubrimientos casuales. El uso de las informaciones obtenidas en un procedimiento distinto y los descubrimientos casuales se regularan con arreglo a lo dispuesto en el artículo 579 bis. Artículo 588 bis j. Cese de la medida. El juez acordará el cese de la medida cuando desaparezcan las circunstancias que justificaron su adopción o resulte evidente que a través de la misma no se están obteniendo los resultados pretendidos, y, en todo caso, cuando haya transcurrido el plazo para el que hubiera sido autorizada. Artículo 588 bis k. Destrucción de registros.

1. Una vez que se ponga término al procedimiento mediante resolución firme, se ordenará el borrado y eliminación de los registros originales que puedan constar en los sistemas electrónicos e informáticos utilizados en la ejecución de la medida. Se conservará una copia bajo custodia del secretario judicial. 2. Se acordará la destrucción de las copias conservadas cuando hayan transcurrido cinco años desde que la pena se haya ejecutado o cuando el delito o la pena hayan prescrito o se haya decretado el sobreseimiento libre o haya recaído sentencia absolutoria firme respecto del investigado, siempre que no fuera precisa su conservación a juicio del Tribunal. 3. Los tribunales dictarán las órdenes oportunas a la Policía Judicial para que lleve a efecto la destrucción contemplada en los anteriores apartados. CAPÍTULO V La interceptación de las comunicaciones telefónicas y telemáticas Sección 1.ª Disposiciones generales Artículo 588 ter a. Presupuestos. La autorización para la interceptación de las comunicaciones telefónicas y telemáticas solo podrá ser concedida cuando la investigación tenga por objeto alguno de los delitos a que se refiere el artículo 579.1 de esta ley o delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación. Artículo 588 ter b. Ámbito. 1. Los terminales o medios de comunicación objeto de intervención han de ser aquellos habitual u ocasionalmente utilizados por el investigado.

2. La intervención judicialmente acordada podrá autorizar el acceso al contenido de las comunicaciones y a los datos electrónicos de tráfico o asociados al proceso de comunicación, así como a los que se produzcan con independencia del establecimiento o no de una concreta comunicación, en los que participe el sujeto investigado, ya sea como emisor o como receptor, y podrá afectar a los terminales o los medios de comunicación de los que el investigado sea titular o usuario. También podrán intervenirse los terminales o medios de comunicación de la víctima cuando sea previsible un grave riesgo para su vida o integridad. A los efectos previstos en este artículo, se entenderá por datos electrónicos de tráfico o asociados todos aquellos que se generan como consecuencia de la conducción de la comunicación a través de una red de comunicaciones electrónicas, de su puesta a disposición del usuario, así como de la prestación de un servicio de la Sociedad de la Información o comunicación telemática de naturaleza análoga. Artículo 588 ter c. Afectación a tercero. Podrá acordarse la intervención judicial de las comunicaciones emitidas desde terminales o medios de comunicación telemática pertenecientes a una tercera persona siempre que: 1.º exista constancia de que el sujeto investigado se sirve de aquella para transmitir o recibir información, o 2.º el titular colabore con la persona investigada en sus fines ilícitos o se beneficie de su actividad. También podrá autorizarse dicha intervención cuando el dispositivo objeto de investigación sea utilizado

maliciosamente por terceros conocimiento de su titular.

por

vía

telemática,

sin

Artículo 588 ter d. Solicitud de autorización judicial. 1. La solicitud de autorización judicial deberá contener, además de los requisitos mencionados en el artículo 588 bis b, los siguientes: a) la identificación del número de abonado, del terminal o de la etiqueta técnica, b) la identificación de la conexión objeto de la intervención o c) los datos necesarios para identificar el medio de telecomunicación de que se trate. 2. Para determinar la extensión de la medida, la solicitud de autorización judicial podrá tener por objeto alguno de los siguientes extremos: a) El registro y la grabación del contenido de la comunicación, con indicación de la forma o tipo de comunicaciones a las que afecta. b) El conocimiento de su origen o destino, en el momento en el que la comunicación se realiza. c) La localización geográfica del origen o destino de la comunicación. d) El conocimiento de otros datos de tráfico asociados o no asociados pero de valor añadido a la comunicación. En este caso, la solicitud especificará los datos concretos que han de ser obtenidos. 3. En caso de urgencia, cuando las investigaciones se realicen para la averiguación de delitos relacionados con la actuación de bandas armadas o elementos terroristas y existan razones fundadas que hagan imprescindible la

medida prevista en los apartados anteriores de este artículo, podrá ordenarla el Ministro del Interior o, en su defecto, el Secretario de Estado de Seguridad. Esta medida se comunicará inmediatamente al juez competente y, en todo caso, dentro del plazo máximo de veinticuatro horas, haciendo constar las razones que justificaron la adopción de la medida, la actuación realizada, la forma en que se ha efectuado y su resultado. El juez competente, también de forma motivada, revocará o confirmará tal actuación en un plazo máximo de setenta y dos horas desde que fue ordenada la medida. Artículo 588 ter e. Deber de colaboración. 1. Todos los prestadores de servicios de telecomunicaciones, de acceso a una red de telecomunicaciones o de servicios de la Sociedad de la Información, así como toda persona que de cualquier modo contribuya a facilitar las comunicaciones a través del teléfono o de cualquier otro medio o sistema de comunicación telemática, lógica o virtual, están obligados a prestar al juez, al Ministerio Fiscal y a los agentes de la Policía Judicial designados para la práctica de la medida la asistencia y colaboración precisas para facilitar el cumplimiento de los autos de intervención de las telecomunicaciones. 2. Los sujetos requeridos para prestar colaboración tendrán la obligación de guardar secreto acerca de las actividades requeridas por las autoridades. 3. Los sujetos obligados que incumplieren los anteriores deberes podrán incurrir en delito de desobediencia. Artículo 588 ter f. Control de la medida. En cumplimiento de lo dispuesto en el artículo 588 bis g, la Policía Judicial pondrá a disposición del juez, con la periodicidad que este determine y en soportes digitales distintos, la transcripción de los pasajes que considere de

interés y las grabaciones íntegras realizadas. Se indicará el origen y destino de cada una de ellas y se asegurará, mediante un sistema de sellado o firma electrónica avanzado o sistema de adveración suficientemente fiable, la autenticidad e integridad de la información volcada desde el ordenador central a los soportes digitales en que las comunicaciones hubieran sido grabadas. Artículo 588 ter g. Duración. La duración máxima inicial de la intervención, que se computará desde la fecha de autorización judicial, será de tres meses, prorrogables por períodos sucesivos de igual duración hasta el plazo máximo de dieciocho meses. Artículo 588 ter h. Solicitud de prórroga. Para la fundamentación de la solicitud de la prórroga, la Policía Judicial aportará, en su caso, la transcripción de aquellos pasajes de las conversaciones de las que se deduzcan informaciones relevantes para decidir sobre el mantenimiento de la medida. Antes de dictar la resolución, el juez podrá solicitar aclaraciones o mayor información, incluido el contenido íntegro de las conversaciones intervenidas. Artículo 588 ter i. Acceso de las partes a las grabaciones. 1. Alzado el secreto y expirada la vigencia de la medida de intervención, se entregará a las partes copia de las grabaciones y de las transcripciones realizadas. Si en la grabación hubiera datos referidos a aspectos de la vida íntima de las personas, solo se entregará la grabación y transcripción de aquellas partes que no se refieran a ellos. La no inclusión de la totalidad de la grabación en la transcripción entregada se hará constar de modo expreso. 2. Una vez examinadas las grabaciones y en el plazo fijado por el juez, en atención al volumen de la información

contenida en los soportes, cualquiera de las partes podrá solicitar la inclusión en las copias de aquellas comunicaciones que entienda relevantes y hayan sido excluidas. El Juez de Instrucción, oídas o examinadas por sí esas comunicaciones, decidirá sobre su exclusión o incorporación a la causa. 3. Se notificará por el Juez de Instrucción a las personas intervinientes en las comunicaciones interceptadas el hecho de la práctica de la injerencia y se les informará de las concretas comunicaciones en las que haya participado que resulten afectadas, salvo que sea imposible, exija un esfuerzo desproporcionado o puedan perjudicar futuras investigaciones. Si la persona notificada lo solicita se le entregará copia de la grabación o transcripción de tales comunicaciones, en la medida que esto no afecte al derecho a la intimidad de otras personas o resulte contrario a los fines del proceso en cuyo marco se hubiere adoptado la medida de injerencia. Sección 2.ª Incorporación al proceso de datos electrónicos de tráfico o asociados Artículo 588 ter j. Datos obrantes en archivos automatizados de los prestadores de servicios. 1. Los datos electrónicos conservados por los prestadores de servicios o personas que faciliten la comunicación en cumplimiento de la legislación sobre retención de datos relativos a las comunicaciones electrónicas o por propia iniciativa por motivos comerciales o de otra índole y que se encuentren vinculados a procesos de comunicación, solo podrán ser cedidos para su incorporación al proceso con autorización judicial. 2. Cuando el conocimiento de esos datos resulte indispensable para la investigación, se solicitará del juez competente autorización para recabar la información que conste en los archivos automatizados de los prestadores de

servicios, incluida la búsqueda entrecruzada o inteligente de datos, siempre que se precisen la naturaleza de los datos que hayan de ser conocidos y las razones que justifican la cesión. Sección 3.ª Acceso a los datos necesarios para la identificación de usuarios, terminales y dispositivos de conectividad Artículo 588 ter k. Identificación mediante número IP. Cuando en el ejercicio de las funciones de prevención y descubrimiento de los delitos cometidos en Internet, los agentes de la Policía Judicial tuvieran acceso a una dirección IP que estuviera siendo utilizada para la comisión algún delito y no constara la identificación y localización del equipo o del dispositivo de conectividad correspondiente ni los datos de identificación personal del usuario, solicitarán del Juez de Instrucción que requiera de los agentes sujetos al deber de colaboración según el artículo 588 ter e, la cesión de los datos que permitan la identificación y localización del terminal o del dispositivo de conectividad y la identificación del sospechoso. Artículo 588 ter l. Identificación de los terminales mediante captación de códigos de identificación del aparato o de sus componentes. 1. Siempre que en el marco de una investigación no hubiera sido posible obtener un determinado número de abonado y este resulte indispensable a los fines de la investigación, los agentes de Policía Judicial podrán valerse de artificios técnicos que permitan acceder al conocimiento de los códigos de identificación o etiquetas técnicas del aparato de telecomunicación o de alguno de sus componentes, tales como la numeración IMSI o IMEI y, en general, de cualquier medio técnico que, de acuerdo con el estado de la tecnología, sea apto para identificar el equipo

de comunicación utilizado o la tarjeta utilizada para acceder a la red de telecomunicaciones. 2. Una vez obtenidos los códigos que permiten la identificación del aparato o de alguno de sus componentes, los agentes de la Policía Judicial podrán solicitar del juez competente la intervención de las comunicaciones en los términos establecidos en el artículo 588 ter d. La solicitud habrá de poner en conocimiento del órgano jurisdiccional la utilización de los artificios a que se refiere el apartado anterior. El tribunal dictará resolución motivada concediendo o denegando la solicitud de intervención en el plazo establecido en el artículo 588 bis c. Artículo 588 ter m. Identificación de titulares o terminales o dispositivos de conectividad. Cuando, en el ejercicio de sus funciones, el Ministerio Fiscal o la Policía Judicial necesiten conocer la titularidad de un número de teléfono o de cualquier otro medio de comunicación, o, en sentido inverso, precisen el número de teléfono o los datos identificativos de cualquier medio de comunicación, podrán dirigirse directamente a los prestadores de servicios de telecomunicaciones, de acceso a una red de telecomunicaciones o de servicios de la Sociedad de la Información, quienes estarán obligados a cumplir el requerimiento, bajo apercibimiento de incurrir en el delito de desobediencia. CAPÍTULO VI Captación y grabación de comunicaciones orales mediante la utilización de dispositivos electrónicos Artículo 588 quater a. Grabación de las comunicaciones orales directas. 1. Podrá autorizarse la colocación y utilización de dispositivos electrónicos que permitan la captación y

grabación de las comunicaciones orales directas que se mantengan por el investigado, en la vía pública o en otro espacio abierto, en su domicilio o en cualesquiera otros lugares cerrados. Los dispositivos de escucha y grabación podrán ser colocados tanto en el exterior como en el interior del domicilio o lugar cerrado. 2. En el supuesto en que fuera necesaria la entrada en el domicilio o en alguno de los espacios destinados al ejercicio de la privacidad, la resolución habilitante habrá de extender su motivación a la procedencia del acceso a dichos lugares. 3. La escucha y grabación de las conversaciones privadas se podrá complementar con la obtención de imágenes cuando expresamente lo autorice la resolución judicial que la acuerde. Artículo 588 quater b. Presupuestos. 1. La utilización de los dispositivos a que se refiere el artículo anterior ha de estar vinculada a comunicaciones que puedan tener lugar en uno o varios encuentros concretos del investigado con otras personas y sobre cuya previsibilidad haya indicios puestos de manifiesto por la investigación. 2. Solo podrá autorizarse cuando concurran los requisitos siguientes: a) Que los hechos que estén siendo investigados sean constitutivos de alguno de los siguientes delitos: 1.º Delitos dolosos castigados con pena con límite máximo de, al menos, tres años de prisión. 2.º Delitos cometidos en organización criminal. 3.º Delitos de terrorismo.

el

seno

de

un

grupo

u

b) Que pueda racionalmente preverse que la utilización de los dispositivos aportará datos esenciales y de relevancia probatoria para el esclarecimiento de los hechos y la identificación de su autor. Artículo 588 quater c. Contenido de la resolución judicial. La resolución judicial que autorice la medida, deberá contener, además de las exigencias reguladas en el artículo 588 bis c, una mención concreta al lugar o dependencias, así como a los encuentros del investigado que van a ser sometidos a vigilancia. Artículo 588 quater d. Control de la medida. En cumplimiento de lo dispuesto en el artículo 588 bis g, la Policía Judicial pondrá a disposición de la autoridad judicial el soporte original o copia electrónica auténtica de las grabaciones e imágenes, que deberá ir acompañado de una transcripción de las conversaciones que considere de interés. El informe identificará a todos los agentes que hayan participado en la ejecución y seguimiento de la medida. Artículo 588 quater e. Cese. Cesada la medida por alguna de las causas previstas en el artículo 588 bis j, la grabación de conversaciones que puedan tener lugar en otros encuentros o la captación de imágenes de tales momentos exigirán una nueva autorización judicial. CAPÍTULO VII Utilización de dispositivos técnicos de captación de la imagen, de seguimiento y de localización Artículo 588 quinquies a. Captación de imágenes en lugares o espacios públicos.

1. La Policía Judicial podrá obtener y grabar por cualquier medio técnico imágenes de la persona investigada cuando se encuentre en un lugar o espacio público, si ello fuera necesario para facilitar su identificación, para localizar los instrumentos o efectos del delito u obtener datos relevantes para el esclarecimiento de los hechos. 2. La medida podrá ser llevada a cabo aun cuando afecte a personas diferentes del investigado, siempre que de otro modo se reduzca de forma relevante la utilidad de la vigilancia o existan indicios fundados de la relación de dichas personas con el investigado y los hechos objeto de la investigación. Artículo 588 quinquies b. Utilización de dispositivos o medios técnicos de seguimiento y localización. 1. Cuando concurran acreditadas razones de necesidad y la medida resulte proporcionada, el juez competente podrá autorizar la utilización de dispositivos o medios técnicos de seguimiento y localización. 2. La autorización deberá especificar el medio técnico que va a ser utilizado. 3. Los prestadores, agentes y personas a que se refiere el artículo 588 ter e están obligados a prestar al juez, al Ministerio Fiscal y a los agentes de la Policía Judicial designados para la práctica de la medida la asistencia y colaboración precisas para facilitar el cumplimiento de los autos por los que se ordene el seguimiento, bajo apercibimiento de incurrir en delito de desobediencia. 4. Cuando concurran razones de urgencia que hagan razonablemente temer que de no colocarse inmediatamente el dispositivo o medio técnico de seguimiento y localización se frustrará la investigación, la Policía Judicial podrá proceder a su colocación, dando cuenta a la mayor brevedad posible, y en todo caso en el plazo máximo de veinticuatro horas, a la autoridad judicial, quien podrá

ratificar la medida adoptada o acordar su inmediato cese en el mismo plazo. En este último supuesto, la información obtenida a partir del dispositivo colocado carecerá de efectos en el proceso. Artículo 588 quinquies c. Duración de la medida. 1. La medida de utilización de dispositivos técnicos de seguimiento y localización prevista en el artículo anterior tendrá una duración máxima de tres meses a partir de la fecha de su autorización. Excepcionalmente, el juez podrá acordar prórrogas sucesivas por el mismo o inferior plazo hasta un máximo de dieciocho meses, si así estuviera justificado a la vista de los resultados obtenidos con la medida. 2. La Policía Judicial entregará al juez los soportes originales o copias electrónicas auténticas que contengan la información recogida cuando éste se lo solicite y, en todo caso, cuando terminen las investigaciones. 3. La información obtenida a través de los dispositivos técnicos de seguimiento y localización a los que se refieren los artículos anteriores deberá ser debidamente custodiada para evitar su utilización indebida. CAPÍTULO VIII Registro de dispositivos de almacenamiento masivo de información Artículo 588 sexies a. Necesidad de motivación individualizada. 1. Cuando con ocasión de la práctica de un registro domiciliario sea previsible la aprehensión de ordenadores, instrumentos de comunicación telefónica o telemática o dispositivos de almacenamiento masivo de información digital o el acceso a repositorios telemáticos de datos, la resolución del Juez de Instrucción habrá de extender su razonamiento a la justificación, en su caso, de las razones

que legitiman el acceso de los agentes facultados a la información contenida en tales dispositivos. 2. La simple incautación de cualquiera de los dispositivos a los que se refiere el apartado anterior, practicada durante el transcurso de la diligencia de registro domiciliario, no legitima el acceso a su contenido, sin perjuicio de que dicho acceso pueda ser autorizado ulteriormente por el juez competente. Artículo 588 sexies b. Acceso a la información de dispositivos electrónicos incautados fuera del domicilio del investigado. La exigencia prevista en el apartado 1 del artículo anterior será también aplicable a aquellos casos en los que los ordenadores, instrumentos de comunicación o dispositivos de almacenamiento masivo de datos, o el acceso a repositorios telemáticos de datos, sean aprehendidos con independencia de un registro domiciliario. En tales casos, los agentes pondrán en conocimiento del juez la incautación de tales efectos. Si éste considera indispensable el acceso a la información albergada en su contenido, otorgará la correspondiente autorización. Artículo 588 sexies c. Autorización judicial. 1. La resolución del Juez de Instrucción mediante la que se autorice el acceso a la información contenida en los dispositivos a que se refiere la presente sección, fijará los términos y el alcance del registro y podrá autorizar la realización de copias de los datos informáticos. Fijará también las condiciones necesarias para asegurar la integridad de los datos y las garantías de su preservación para hacer posible, en su caso, la práctica de un dictamen pericial. 2. Salvo que constituyan el objeto o instrumento del delito o existan otras razones que lo justifiquen, se evitará la incautación de los soportes físicos que contengan los

datos o archivos informáticos, cuando ello pueda causar un grave perjuicio a su titular o propietario y sea posible la obtención de una copia de ellos en condiciones que garanticen la autenticidad e integridad de los datos. 3. Cuando quienes lleven a cabo el registro o tengan acceso al sistema de información o a una parte del mismo conforme a lo dispuesto en este capítulo, tengan razones fundadas para considerar que los datos buscados están almacenados en otro sistema informático o en una parte de él, podrán ampliar el registro, siempre que los datos sean lícitamente accesibles por medio del sistema inicial o estén disponibles para este. Esta ampliación del registro deberá ser autorizada por el juez, salvo que ya lo hubiera sido en la autorización inicial. En caso de urgencia, la Policía Judicial o el fiscal podrán llevarlo a cabo, informando al juez inmediatamente, y en todo caso dentro del plazo máximo de veinticuatro horas, de la actuación realizada, la forma en que se ha efectuado y su resultado. El juez competente, también de forma motivada, revocará o confirmará tal actuación en un plazo máximo de setenta y dos horas desde que fue ordenada la interceptación. 4. En los casos de urgencia en que se aprecie un interés constitucional legítimo que haga imprescindible la medida prevista en los apartados anteriores de este artículo, la Policía Judicial podrá llevar a cabo el examen directo de los datos contenidos en el dispositivo incautado, comunicándolo inmediatamente, y en todo caso dentro del plazo máximo de veinticuatro horas, por escrito motivado al juez competente, haciendo constar las razones que justificaron la adopción de la medida, la actuación realizada, la forma en que se ha efectuado y su resultado. El juez competente, también de forma motivada, revocará o confirmará tal actuación en un plazo máximo de 72 horas desde que fue ordenada la medida.

5. Las autoridades y agentes encargados de la investigación podrán ordenar a cualquier persona que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que facilite la información que resulte necesaria, siempre que de ello no derive una carga desproporcionada para el afectado, bajo apercibimiento de incurrir en delito de desobediencia. Esta disposición no será aplicable al investigado o encausado, a las personas que están dispensadas de la obligación de declarar por razón de parentesco y a aquellas que, de conformidad con el artículo 416.2, no pueden declarar en virtud del secreto profesional. CAPÍTULO IX Registros remotos sobre equipos informáticos Artículo 588 septies a. Presupuestos. 1. El juez competente podrá autorizar la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos, siempre que persiga la investigación de alguno de los siguientes delitos: a) Delitos criminales.

cometidos

en

el

seno

de

organizaciones

b) Delitos de terrorismo. c) Delitos cometidos contra menores o personas con capacidad modificada judicialmente. d) Delitos contra la Constitución, de traición y relativos a la defensa nacional.

e) Delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación o servicio de comunicación. 2. La resolución judicial que autorice el registro deberá especificar: a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios informáticos de almacenamiento de datos o bases de datos, datos u otros contenidos digitales objeto de la medida. b) El alcance de la misma, la forma en la que se procederá al acceso y aprehensión de los datos o archivos informáticos relevantes para la causa y el software mediante el que se ejecutará el control de la información. c) Los agentes autorizados para la ejecución de la medida. d) La autorización, en su caso, para la realización y conservación de copias de los datos informáticos. e) Las medidas precisas para la preservación de la integridad de los datos almacenados, así como para la inaccesibilidad o supresión de dichos datos del sistema informático al que se ha tenido acceso. 3. Cuando los agentes que lleven a cabo el registro remoto tengan razones para creer que los datos buscados están almacenados en otro sistema informático o en una parte del mismo, pondrán este hecho en conocimiento del juez, quien podrá autorizar una ampliación de los términos del registro. Artículo 588 septies b. Deber de colaboración. 1. Los prestadores de servicios y personas señaladas en el artículo 588 ter e y los titulares o responsables del sistema informático o base de datos objeto del registro están obligados a facilitar a los agentes investigadores la

colaboración precisa para la práctica de la medida y el acceso al sistema. Asimismo, están obligados a facilitar la asistencia necesaria para que los datos e información recogidos puedan ser objeto de examen y visualización. 2. Las autoridades y los agentes encargados de la investigación podrán ordenar a cualquier persona que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que facilite la información que resulte necesaria para el buen fin de la diligencia. Esta disposición no será aplicable al investigado o encausado, a las personas que están dispensadas de la obligación de declarar por razón de parentesco, y a aquellas que, de conformidad con el artículo 416.2, no pueden declarar en virtud del secreto profesional. 3. Los sujetos requeridos para prestar colaboración tendrán la obligación de guardar secreto acerca de las actividades requeridas por las autoridades. 4. Los sujetos mencionados en los apartados 1 y 2 de este artículo quedarán sujetos a la responsabilidad regulada en el apartado 3 del artículo 588 ter e. Artículo 588 septies c. Duración. La medida tendrá una duración máxima de un mes, prorrogable por iguales períodos hasta un máximo de tres meses. CAPÍTULO X Medidas de aseguramiento Artículo 588 octies. Orden de conservación de datos. El Ministerio Fiscal o la Policía Judicial podrán requerir a cualquier persona física o jurídica la conservación y protección de datos o informaciones concretas incluidas en un sistema informático de almacenamiento que se

encuentren a su disposición hasta que se obtenga la autorización judicial correspondiente para su cesión con arreglo a lo dispuesto en los artículos precedentes. Los datos se conservarán durante un período máximo de noventa días, prorrogable una sola vez hasta que se autorice la cesión o se cumplan ciento ochenta días. El requerido vendrá obligado a prestar su colaboración y a guardar secreto del desarrollo de esta diligencia, quedando sujeto a la responsabilidad descrita en el apartado 3 del artículo 588 ter e.

Bibliografía AGUADO CORREA, Teresa, Estudios sobre Delincuencia Organizada, Medios, instrumentos y estrategias de la investigación policial, Editorial Mergablum, Sevilla, 2001. AGUIAR DE LUQUE, Luis, «Los límites de los derechos fundamentales», Revista del Centro de Estudios Constitucionales, N.o 14, 1993. ALEXY, Robert, Teoría de los derechos fundamentales, Editorial Centro de Estudios Constitucionales, Madrid, 1993. ALMAGRO NOSETE, José, Derecho procesal, Editorial Tirant lo Blanch, Valencia, 1992, 4ª edición. ALONSO PÉREZ, Francisco, Medios de investigación en el proceso penal, Legislación, comentarios, jurisprudencia, formularios, Editorial Dykinson, Madrid, 2003, 2ª edición. ANDRÉS DÍAZ, Gonzalo, «El delito informático, su problemática y la cooperación internacional como paradigma de su solución: el Convenio de Budapest», Revista electrónica del Departamento de Derecho de la Universidad de Navarra, N.o 8, 2010. ANDRÉS IBÁÑEZ, Perfecto, «La función de las garantías en la actividad probatoria. La restricción de los derechos fundamentales de la persona en el proceso penal», Cuadernos de Derecho Judicial, Madrid, 1993.

ANTÓN ONECA, José, Voz «Estafa» en Nueva Enciclopedia Jurídica, Editorial Francisco Seix, Barcelona, 1958. ARAGONESES MARTÍNEZ, Sara; HINOJOSA SEGOVIA, Rafael; MUERZA ESPARZA, Julio; TOMÉ GARCÍA, José Antonio; y DE LA OLIVA SANTOS, Andrés, Derecho Procesal Penal, Editorial Centro de Estudios Ramón Areces, Madrid, 2007, 8ª edición. ARMENTA DEU, Teresa, «La verdad en el filo de la navaja (nuevas tendencias en materia de prueba ilícita)», Revista Ius et Praxis, N.o 2, 2007. — La prueba ilícita (Un estudio comparado), Editorial Marcial Pons, Madrid, 2011, 2ª edición. ASENCIO MELLADO, José María, «La exclusión de la prueba ilícita en la fase de instrucción como expresión de garantía de los derechos fundamentales», Diario La Ley, N.o 8009, 2013. — (dir.), Justicia penal y nuevas formas de delincuencia, Editorial Tirant lo Blanch, Valencia, 2017. — Prueba prohibida y prueba preconstituida, Editorial Trivium, Madrid, 1989. BACHMAIER WINTER, Lorena, Terrorismo, Proceso Penal y Derechos Fundamentales, Editorial Marcial Pons, Madrid, 2012. BARRIO ANDRÉS, Moisés (dir.), Derecho de los Robots, Editorial Wolters Kluwer, Madrid, 2018. — «Breve comentario a la sentencia Uber: cómo regular los servicios compuestos o mixtos en la economía digital», Diario La Ley, Sección Ciberderecho, N.o 1, 2018. — «Criminalidad e Internet: Retos del Siglo XXI», Sentencias de TSJ y AP y otros Tribunales, N.o 15, 2003. — «De nuevo sobre los ciberdelitos en el derecho español tras la reforma de 2015», Revista de privacidad y derecho

digital, N.o 3, 2016. — «El procedimiento para el cierre de páginas web en el derecho español», Asamblea: revista parlamentaria de la Asamblea de Madrid, N.o 26, 2012. — «Hacking, cracking, grooming y otras conductas ilícitas en Internet en el Código Penal español», La Ley Penal, N.o 121, 2016. — «La ciberdelincuencia en el Derecho español», Revista de las Cortes Generales, N.o 83, 2011. — «Los delitos cometidos en Internet. Marco comparado, internacional y Derecho español tras la reforma penal de 2010», La Ley Penal, N.o 86, 2011. — «Luces y sombras del procedimiento para el cierre de páginas web (A propósito del desarrollo reglamentario de la ‘Ley Sinde’)», Diario La Ley, N.o 7789, 2011. — Ciberderecho. Bases estructurales, modelos de regulación e instituciones de gobernanza de Internet, Editorial Tirant lo Blanch, Valencia, 2018. — Derecho Público e Internet: la actividad administrativa de regulación de la Red, Editorial Instituto Nacional de Administración Pública, Madrid, 2017. — Derecho Público y propiedad intelectual: su protección en Internet, Editorial Reus, Madrid, 2017. — Fundamentos del Derecho de Internet, Editorial Centro de Estudios Políticos y Constitucionales, Madrid, 2017. — Internet de las Cosas, Editorial Reus, Madrid, 2018. — Lemas del «Derecho de las Telecomunicaciones» y del «Derecho de Internet» en MUÑOZ MACHADO, Santiago (dir.), Diccionario del español jurídico, Editorial Espasa, Madrid, 2016. BECK, Ulrich, La metamorfosis del mundo, Editorial Paidós, Barcelona, 2017.

— La sociedad del riesgo: hacia una nueva modernidad, Editorial Planeta, Barcelona, 1998. BERCOVITZ RODRÍGUEZ-CANO, Rodrigo, Comentarios a la Ley de Propiedad Intelectual, Editorial Tecnos, Madrid, 2007. BLANE, John (dir.), Cybercrime and Cyberterrorism: current issues, Editorial Nova Science Pub, Nueva York, 2003. BORREGO BORREGO, Javier, «La jurisprudencia de los órganos de Estrasburgo (Comisión y Tribunal Europeo de Derechos Humanos), en aplicación del art. 3 del Convenio Europeo», Cuadernos de Derecho Judicial, Madrid, 1993. BRENNER, Susan, Cybercrime and evolving threats from cyberspace, Editorial Praeger Publishers Inc, Toronto, 2018, 2ª edición. BUENO DE MATA, Federico, Prueba electrónica y proceso 2.0: especial referencia al proceso civil, Editorial Tirant lo Blanch, Valencia, 2014. — «La utilización de drones como diligencia de investigación tecnológica: consecuencias probatorias», Diario La Ley, Sección Ciberderecho, 20 de marzo de 2018. — «Comentarios de legislación: Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica», Ars Iuris Salmanticensis, Vol. 4, No. 1, 2016. BURGOS LADRÓN DE GUEVARA, Juan, El valor probatorio de las diligencias sumariales en el proceso penal español, Editorial Civitas, Madrid, 1992. — Modelo y propuestas para el proceso penal español, Editorial Epraxis, Sevilla, 2012. CAMACHO LOSA, Luis, Góndor, Madrid, 1987.

El

delito

informático,

Editorial

CARMONA SALGADO, Concepción, La nueva Ley de Propiedad Intelectual, Editorial Montecorvo, Madrid, 1988. CASTILLO BLANCO, Federico, «La Ley de Seguridad Ciudadana: reflexiones sobre algunos puntos controvertidos», Revista de Administración Pública, N.o 130, 1993. CAVERO FORRADELLAS, Gerardo y CORTÉS PÉREZ-MUÑOZ, Juan Francisco, Medidas de investigación tecnológica en el Derecho Procesal español, Editorial B de F, Buenos Aires, 2018. CHOCLÁN MONTALVO, José Antonio, «Estafa por computación y criminalidad económica vinculada a la informática», Actualidad Penal, N.o 47, 1997. CHRISTENSEN, Clayton, The innovator’s dilemma: when new technologies cause great firms to fail, Editorial Harvard Business Review Press, Boston, 1997. CLIMENT BARBERÁ, Juan, «La justicia penal en Internet. Territorialidad y competencias penales», Cuadernos de Derecho Judicial, N.o 10, 2001. CLOUGH, Jonathan, Principles of Cybercrime, Editorial Cambridge University Press, Cambridge, 2015, 2ª edición. COLEMAN, Gabriella, Las mil caras de Anonymous, Editorial Arpa Editores, Barcelona, 2016. CONDE-PUMPIDO TOURÓN, Cándido, Comentarios al Código Penal, Editorial Bosch, Barcelona, 2007. — «Novedades legislativas en la lucha contra la piratería», Actualidad civil, N.o 4, 2015. — «El Ministerio fiscal frente a la nueva criminalidad», Eguzkilore: Cuaderno del Instituto Vasco de Criminología, N.o 20, 2006. CORCOY BIDASOLO, Mirentxu y MIR PUIG, Santiago (dirs.), Comentarios al Código Penal, Editorial Tirant lo Blanch,

Valencia, 2015. CORCOY BIDASOLO, Mirentxu, «Problemática de la persecución penal de los denominados delitos informáticos: particular referencia a la participación criminal y al ámbito espacio temporal de comisión de los hechos», Eguzkilore: Cuaderno del Instituto Vasco de Criminología, N.o 21, 2007. — «Protección penal del sabotaje informático. Especial consideración de los delitos de daños», La Ley: Revista jurídica española de doctrina, jurisprudencia y bibliografía, N.o 1, 1999. CORTÉS DOMÍNGUEZ, Valentín y MORENO CATENA, Víctor, Derecho Procesal Penal, Editorial Tirant lo Blanch, Valencia, 2017, 8ª edición. CUELLO CALÓN, Eugenio, «Los nuevos métodos científicos de investigación criminal y los derechos de la persona», Anuario de Derecho Penal, N.o 1949. DAVARA RODRÍGUEZ, Miguel Ángel, Derecho Informático, Editorial Aranzadi, Madrid, 1993. DE CUPIS, Adriano, I diritti della personalità, Editorial Giuffrè, Milán, 1961. DE DIEGO DÍEZ, Luis Alfredo, «La voz como elemento identificador del delincuente», Revista Poder Judicial, N.o 69, 2003. DE MIGUEL ASENSIO, Pedro Alberto, Derecho Privado de Internet, Editorial Civitas, Madrid, 2015, 5ª edición. DE VEGA RUIZ, José Augusto, Proceso penal y derechos fundamentales desde la perspectiva jurisprudencial, Editorial Colex, Madrid, 2014. DELGADO GARCÍA, Dolores, «La justicia universal: en la jurisprudencia española», en OLLÉ SESÉ, Manuel (coord.),

Derechos Humanos y Justicia Penal Internacional, Editorial Universidad Internacional de Andalucía, Sevilla, 2008. DELGADO MARTÍN, Joaquín, Investigación tecnológica y prueba digital en todas las jurisdicciones, Editorial Wolters Kluwer, Madrid, 2016. DÍAZ REVORIO, Francisco Javier, «La intimidad corporal en la jurisprudencia constitucional», Cuadernos Constitucionales de la Cátedra Fadrique Furió Ceriol, N.o 20/21, 1997. ELVIRA PERALES, Ascensión, El derecho al secreto de las comunicaciones, Editorial Iustel, Madrid, 2007. FAIRÉN GUILLÉN, Víctor, Temas del ordenamiento procesal, Editorial Tecnos, Madrid, 1969. FARALDO CABANA, Patricia, Las nuevas tecnologías en los delitos contra el patrimonio y el orden socioeconómico, Editorial Tirant lo Blanch, Valencia, 2009. FENECH NAVARRO, Miguel, El proceso penal, Editorial José M.ª Bosch, Barcelona, 1956. FERNÁNDEZ TERUELO, Javier Gustavo, Cibercrimen. Los delitos cometidos a través de Internet, Editorial Constitutio Criminales Carolina, Madrid, 2007. FERRAJOLI, Luigi, Derecho y razón. Teoría del garantismo penal, Editorial Trotta, Madrid, 2001. GABOSO, Gustavo, Derecho Penal cibernético, Editorial B de f, Buenos Aires, 2017. GALÁN MUÑOZ, Alfonso, El fraude y la estafa mediante sistemas informáticos, Editorial Tirant lo Blanch, Valencia, 2005. GALÁN PASCUAL, Carlos, «El derecho a la ciberseguridad», en DE LA QUADRA-SALCEDO FERNÁNDEZ DEL CASTILLO, Tomás y PIÑAR MAÑAS, José Luis (dirs.), y BARRIO ANDRÉS, Moisés y TORREGROSA VÁZQUEZ, José

(coords.) Sociedad digital y Derecho, Editorial Boletín Oficial del Estado, Madrid, 2018. —«Ciberseguridad pública: el marco integrador de la estrategia de ciberseguridad nacional», en PAREJO ALFONSO, Luciano y VIDA FERNÁNDEZ, José (coords.), Los retos del Estado y la Administración en el siglo XXI. Libro homenaje al profesor Tomás de la Quadra-Salcedo Fernández del Castillo, Editorial Tirant lo Blanch, Valencia, 2017. GARCÍA GUILABERT, Natalia, El ciberacoso: análisis de la victimización de menores en el ciberespacio desde la teoría de las actividades cotidianas, Editorial B de f, Buenos Aires, 2017. GARCÍA MEXÍA, Pablo, Derecho europeo Editorial Netbiblo, La Coruña, 2009.

de

Internet,

— Derechos y libertades, Internet y Tics, Editorial Tirant lo Blanch, Valencia, 2014. — La Internet abierta. Retos regulatorios de una Red nacida libre, Editorial RDU Editores, Madrid, 2017. — Historias de Internet. Casos y cosas de la Red de redes, Editorial Tirant Humanidades, Valencia, 2012. GARCÍA MORENO, Luis, «El delito informático», Revista Chip, año III. GIBSON, William, Neuromancer, Editorial AceBooks, Nueva York, 1984. GIMENO SENDRA, Vicente; CONDE-PUMPIDO TOURÓN, Cándido y GARBERÍ LLOBREGAT, José, Comentarios a la Ley de Enjuiciamiento Criminal, Editorial Bosch, Barcelona, 2014. GONZÁLEZ-CUÉLLAR SERRANO, Nicolás, «El principio de proporcionalidad en el Derecho Procesal español», Cuadernos de Derecho Público, septiembre-diciembre 1998.

GONZÁLEZ RIVAS, Juan José, La interpretación de la Constitución Española por el Tribunal Constitucional (1980-2005), Editorial Civitas, Madrid, 2005, 2ª edición. GONZÁLEZ RUS, Juan José, «Aproximación al tratamiento penal de los ilícitos patrimoniales relacionados con medios o procedimientos informáticos», Revista de la Facultad de Derecho de la Universidad Complutense, N.o 12, 1986. — «Los ilícitos en la Red (I): hackers, crackers, cyberpunks, sniffers, denegación de servicio y otros comportamientos semejantes», en ROMEO CASABONA, Carlos (coord.), El cibercrimen: nuevos retos jurídico-penales, nuevas respuestas político-criminales, Editorial Comares, Granada, 2006. GRABOSKY, Peter, Cybercrime, Editorial Oxford University Press, Londres, 2015. GRANDE-MARLASKA GÓMEZ, Fernando: «La obtención de fuentes de prueba en la Unión Europea y su validez en el proceso penal español», Revista General de Derecho Europeo, No. 24, 2011. — «El acoso escolar por razón de orientación sexual: el bullying», en GALLARDO RODRÍGUEZ, Almudena (coord.), Igualdad: retos para el siglo XXI, Andavira Editora, Madrid, 2012. GUARIGLIA, Fabricio, «Las prohibiciones de valoración probatoria en el procedimiento penal», Jueces para la democracia, N.o 26, 1996. GUASP DELGADO, Jaime, Derecho Procesal, Editorial Instituto de Estudios Políticos, Madrid, 1977. GUTIÉRREZ FRANCÉS, María Luz, Fraude Informático y Estafa, Editorial Ministerio de Justicia, Madrid, 1991. HAN, Byung-Chul, Barcelona, 2014.

En

el

enjambre,

Editorial

Herder,

— La sociedad de la transparencia, Barcelona, 2013.

Editorial

Herder,

HERNÁNDEZ DÍAZ, Leyre, «Aproximación a un concepto de Derecho Penal informático», en DE LA CUESTA ARZAMENDI, José Luis (dir.), Derecho Penal informático, Editorial Aranzadi, Navarra, 2010. HERRERA DE LAS HERAS, Ramón, Responsabilidad civil por vulneración del derecho al honor en las redes sociales, Editorial Reus, Madrid, 2017. HILGENDORF, Eric; FRANK, Thomas y VALERIUS, Brian, Computer- und Internetstrafrecht: Ein Grundriss, Editorial Springer, Berlín, 2005. HIMANEM, Pekka, La ética del hacker y el espíritu de la era de la información, Editorial Destino, Madrid, 2002. LASCURAÍN SÁNCHEZ, Juan Antonio y RODRÍGUEZ MOURULLO, Gonzalo, Código Penal, Editorial Civitas, Madrid, 2004. LEUKFELDT, Rutger, Cybercriminal networks: origin, groth and criminal capabilities, Editorial Eleven International Publishing, La Haya, 2017. LÓPEZ-BARAJAS PEREA, Inmaculada, «Garantías constitucionales en la investigación tecnológica del delito: previsión legal y calidad de la ley», Revista de Derecho Político UNED, N.o 98, 2017. LÓPEZ BARJA DE QUIROGA, Jacobo, Las escuchas telefónicas y la prueba ilegalmente obtenida, Editorial Akal, Madrid, 1989. — Tratado de Derecho Procesal penal, Editorial Aranzadi, Pamplona, 2014. LÓPEZ CALVO, José (dir), El nuevo marco regulatorio derivado del Reglamento Europeo de Protección de Datos, Editorial Bosch, Madrid, 2018.

LÓPEZ LÓPEZ, Antonio, «La investigación policial en Internet: estructuras de cooperación internacional», en III Congreso Internet, Derecho y Política (IDP). Nuevas perspectivas y publicado en Revista de Internet, Derecho y Política, N.o 5, 2007. LOZANO EIROA, Marta, «Prueba prohibida y confesión: la excepción de la "conexión de antijuridicidad"», Revista General de Derecho Procesal, N.o 28, 2012. LUCAS MURILLO DE LA CUEVA, Pablo, «El derecho a la autodeterminación informativa y la protección de datos personales», Azpilcueta: cuadernos de derecho, N.o 20, 2008. LUNDBERG, Steven (dir.), Electronic and software patents: law and practice, Editorial BNA, Nueva York, 2016, 4ª edición. LUZÓN CUESTA, José María, Compendio de Derecho Penal. Parte especial, Editorial Dykinson, Madrid, 2017, 20ª edición. — La presunción de inocencia ante la casación, Editorial Colex, Madrid, 2001. MAGRO SERVET, Vicente, «El "grooming" o ciber acoso infantil, el nuevo artículo 183 bis del Código Penal», Diario La Ley, N.o 7492, 2010. MANZANARES SAMANIEGO, José Luis, CÓDIGO PENAL. Adaptado a la Ley Orgánica 5/2010, de 22 de junio. Comentarios y Jurisprudencia, Editorial Comares, Granada, 2010. MARCHENA GÓMEZ, Manuel y GONZÁLEZ-CUELLAR SERRANO, Nicolás, La reforma de la Ley de Enjuiciamiento Criminal en 2015, Ediciones Jurídicas Castillo de Luna, Madrid, 2015. MARCHENA GÓMEZ, Manuel, «Algunos aspectos procesales de Internet», Cuadernos de Derecho Judicial, N.o 4, 2000.

— «El sabotaje informático: entre los delitos de daños y desórdenes públicos», Cuadernos de Derecho Judicial, N.o 10, 2001. MARTÍ SÁNCHEZ, Nicolás, «La llamada "prueba ilícita" y sus consecuencias procesales», Actualidad Penal, N.o 7, 1998. MARTÍN BRAÑAS, Carlos, «La prueba anticipada en el proceso penal», Revista de Derecho Procesal, N.o 1-3, 2001. MARTÍN GARCÍA, Pedro, «La conexión de antijuridicidad: Solución errónea al tema de la ilicitud de las pruebas derivadas de otra originariamente ilícita», Revista Jurídica de Catalunya, N.o 4, 2003. MARTÍN MORALES, Ricardo (coord.), El principio constitucional de intervención indiciaria. Test de alcoholemia, videovigilancia, cacheos, redadas y controles policiales, hallazgos casuales, intervenciones domiciliarias, telefónicas, penitenciarias, aduaneras y otras, Grupo Editorial Universitario, Granada, 2010. MARTÍN-RETORTILLO BAQUER, Lorenzo, «La calidad de la ley según la jurisprudencia del Tribunal Europeo de Derechos Humanos (Especial referencia a los casos "Valenzuela Contreras" y "Prado Bugallo", ambos contra España)», Derecho Privado y Constitución, N.o 17, 2003. MARTÍNEZ MARTÍNEZ, Ricard, Derecho y cloud computing, Editorial Aranzadi, Pamplona, 2012. — Protección de datos. Comentarios al Reglamento de desarrollo de la LOPD, Editorial Tirant lo Blanch, Valencia, 2009. — Protección de datos de carácter personal, Editorial Tirant lo Blanch, Valencia, 2013. MATA Y MARTÍN, Ricardo, Estafa convencional, estafa informática y robo en el ámbito de los medios electrónicos de pago, Editorial Aranzadi, Pamplona, 2007.

MATELLANES RODRÍGUEZ, Nuria, «Algunas notas sobre las formas de delincuencia informática en el Código Penal», en SÁNCHEZ LÓPEZ, Virginia (coord.), Hacia un Derecho Penal sin fronteras, Editorial Colex, Madrid, 2000. MEDINA GUERRERO, Manuel, «El principio de proporcionalidad y el legislador de los derechos fundamentales», Cuadernos de Derecho Público, septiembre-diciembre 1998. MIRANDA ESTRAMPES, Manuel, «La prueba ilícita: La regla de exclusión probatoria y sus excepciones», Revista Catalana de Seguretat Pública, N.o 2010. MIRÓ LLINARES, Fernando, El cibercrimen: fenomenología y criminología de la delincuencia en el ciberespacio, Editorial Marcial Pons, Madrid, 2012. MOLINA BLÁZQUEZ, Concepción, «Tratamiento penal de la violencia entre menores; especial referencia a la violencia escolar, el acoso y el ciberacoso», en MARTÍNEZ GARCÍA, Clara: (coord.), Protección jurídica de las personas menores de edad frente a la violencia, Editorial Thomsom Reuters Aranzadi, Pamplona, 2017. — Derecho Penal español: Parte General, Editorial Tecnos, Madrid, 2004, 3ª edición. MOLIST, Mercè: Hackstory.es, La historia nunca contada del underground hacker en la Península Ibérica, Editorial Amazon, Madrid, 2015. MONTERO AROCA, Juan y otros, Derecho Jurisdiccional, Editorial Tirant lo Blanch, Valencia, 2018, tres tomos, 26ª edición. MONTERO AROCA, Juan, Principios del proceso penal. Una explicación basada en la razón, Editorial Tirant lo Blanch, Valencia, 1997. MONTÓN REDONDO, Alberto; BARONA VILAR, Silvia; MONTERO AROCA, Juan; y GÓMEZ COLOMER, Juan Luis,

Derecho Jurisdiccional III. Proceso Penal, Editorial Tirant lo Blanch, Valencia, 2012, 20ª edición. MORALES GARCÍA, Óscar, «Apuntes de política criminal en el contexto tecnológico. Una aproximación a la Convención del Consejo de Europa sobre Cyber-crime», en AA.VV., Delincuencia Informática. Problemas de responsabilidad, Editorial Consejo General del Poder Judicial, Madrid, 2002. MORALES PRATS, Fermín, «Internet: riesgos para la intimidad», Cuadernos de Derecho Judicial, N.o 10, 2001. — «Los ilícitos en la Red (II): pornografía infantil y ciberterrorismo», en ROMEO CASABONA, Carlos (coord.), El cibercrimen: nuevos retos jurídico-penales, nuevas respuestas político-criminales, Editorial Comares, Granada, 2006. MORENO CATENA, Víctor, «Garantía de los derechos fundamentales en la investigación penal», Poder Judicial, N.o 2, 1987. MORENO CATENA, Víctor y CORTÉS DOMÍNGUEZ, Valentín, Derecho Procesal Penal, Editorial Tirant lo Blanch, Valencia, 2012, 6ª edición. MORÓN LERMA, Esther, Internet y Derecho Penal: Hacking y otras conductas ilícitas en la Red, Editorial Aranzadi, Pamplona, 1999. MUÑOZ CONDE, Francisco (dir.), Análisis de las reformas penales: presente y futuro, Editorial Tirant lo Blanch, Valencia, 2015. MUÑOZ DE MORALES ROMERO, Marta, «Hacia la cobertura legal de las intervenciones telefónicas en el ordenamiento jurídico español: La reforma del art. 579 LECRIM», Boletín de la Facultad de Derecho de la UNED, N.o 27, 2005. MUÑOZ MACHADO, Santiago, La regulación de la Red. Poder y Derecho en Internet, Editorial Taurus, Madrid, 2000.

NIEVA FENOLL, Jordi, «Las pulseras telemáticas: aplicación de las nuevas tecnologías a las medidas cautelares y a la ejecución en el proceso penal», Revista Poder Judicial, N.o 77, 2005. — «El discutido valor probatorio de las diligencias policiales», La Ley: Revista jurídica española de doctrina, jurisprudencia y bibliografía, N.o 2007. — «La protección de los derechos fundamentales en las diligencias policiales de investigación del proceso penal», La Ley Penal: Revista de Derecho Penal, Procesal y Penitenciario, N.o 50, 2008. — Fundamentos de Derecho Edisofer, Madrid, 2012.

Procesal

Penal,

Editorial

OLMO DEL OLMO, José Antonio, Garantías y tratamiento del imputado en el proceso penal, Editorial Trivium, Madrid, 1999. ORDUNA NAVARRO, Beatriz, «Intervención de las comunicaciones orales mediante dispositivos electrónicos. Alcance de la reforma de la LECrim. LO 13/15, de 5 de octubre», Diario La Ley, N.o 9190, 2018. ORSI, Omar (y otros), Análisis de redes sociales y sistema penal, Editorial Tirant lo Blanch, Valencia, 2017. ORTIZ PRADILLO, Juan Carlos, «"Hacking" legal al servicio de la investigación criminal: nuevos instrumentos para la investigación y prueba de la delincuencia informática», Revista de derecho y proceso penal, N.o 26, 2011. — «La investigación del delito en la era digital. Los derechos fundamentales frente a las nuevas medidas tecnológicas de investigación», Fundación Alternativas, N.o 74/2013. ORTS BERENGUER, Enrique y ROIG TORRES, Margarita, Delitos informáticos y delitos comunes cometidos a través de la informática, Editorial Tirant lo Blanch, Valencia, 2001.

PALACIOS CRIADO, María Teresa, «Diligencias que afectan a derechos fundamentales», Cuadernos de Derecho Judicial, Madrid, 1998. PARKER, Don, Crime by Computer, Scribner’s Sons, Nueva York, 1976.

Editorial

Charles

PAZ RUBIO, José María, Comentarios a la Ley de Enjuiciamiento Criminal, Editorial Colex, Madrid, 1993. — «La prueba en el proceso penal», Cuadernos de Derecho Judicial, Madrid, 1992. PEDRAZ PENALVA, Ernesto, «Ensayo histórico sobre la motivación de las resoluciones judiciales y su actual valoración», Revista General de Derecho, N.o 586-587, 1993. PEGUERA POCH, Miguel, «La exención de responsabilidad civil por contenidos ajenos en Internet», en MORALES PRATS, Fermín y MORALES GARCÍA, Óscar (dirs.), Contenidos ilícitos y responsabilidad de los prestadores de servicios de Internet, Editorial Aranzadi, Navarra, 2002. PERELLÓ DOMENECH, Isabel, «El principio de proporcionalidad y la jurisprudencia constitucional», Jueces para la democracia, N.o 28, 1997. PÉREZ GIL, Julio (coord.), El proceso penal en la Sociedad de la Información, Editorial Wolters Kluwer, Madrid, 2012. PÉREZ MARÍN, María Ángeles, «Sobre el consentimiento del sujeto pasivo de las diligencias de investigación corporal», Cuadernos de Política Criminal, N.o 95, 2008. PICA, Giorgio, Diritto penale delle tecnologie informatiche, Editorial Utet, Turín, 1999. PICÓ I JUNOY, Joan, Las garantías constitucionales del proceso, Editorial José M.ª Bosch editor, Barcelona, 2012, 2ª edición.

PIÑAR MAÑAS, José Luis, «Derecho e innovación tecnológica. Retos de presente y de futuro», Lección Magistral ante la festividad de San Raimundo de Peñafort en la Universidad CEU San Pablo, Madrid, 2018. — Reglamento general de protección de datos. Hacia un nuevo modelo europeo de protección de datos, Editorial Reus, Madrid, 2016. QUINTANO RIPOLLÉS, Antonio, «Tratado de la Parte Especial del Derecho Penal», Revista de Derecho privado, Madrid, 1977. QUINTERO OLIVARES, Gonzalo y MORALES PRATS, Fermín (dirs.), Comentarios a la Parte Especial del Derecho Penal, Editorial Aranzadi, 8ª edición, Pamplona, 2009. RALLO LOMBARTE, Artemi y MARTÍNEZ MARTÍNEZ, Ricard, Derecho y redes sociales, Editorial Civitas, Madrid, 2013. RAMOS MÉNDEZ, Francisco, Enjuiciamiento criminal. Décima lectura constitucional, Editorial Atelier, Barcelona, 2011. RAMOS PORTERO, Ramón, «Los delitos informáticos», Revista Latinoamericana de Derecho Penal y Criminología, N.o 6, 1989. RENEDO ARENAL, María Amparo, Problemas del imputado en el proceso penal, Editorial Centro de Estudios Ramón Areces, Madrid, 2007. RICHARD GONZÁLEZ, Manuel, «Licitud y validez de la prueba obtenida por particulares en el proceso penal: Comentario a la STS 116/2017 de 23 de febrero que declara la validez de la "Lista Falciani" para fundar una condena por delito fiscal», Diario La Ley, N.o 8946, 2017. RIFÁ SOLER, José María, «Estudios sobre Prueba Penal. Volumen I. Actos de investigación y medios de prueba en el proceso penal: competencia, objeto y límites», Editorial La Ley, Madrid, 2010.

RODOTÀ, Stefano, Iperdemocrazia. Come cambia la sovranità democratica con il web, Editorial Laterza, Roma, 2013. RODRÍGUEZ LAINZ, José Luis, La intervención judicial en los datos de tráfico de sistemas de telecomunicaciones y de comunicaciones electrónicas, Editorial Bosch, Barcelona, 2003. — «GPS y balizas policiales», Diario La Ley, N.o 8416, 2014. RODRÍGUEZ LÓPEZ, Martín, «Captación de imágenes en lugares o espacios públicos», Revista de Privacidad y Derecho Digital, N.o 8, 2018. RODRÍGUEZ MOURULLO, Gonzalo y JORGE BARREIRO, Agustín, Comentarios al Código Penal, Editorial Aranzadi, Pamplona, 1997. RODRÍGUEZ MOURULLO, Gonzalo; ALONSO GALLO, Jaime y LASCURAIN SÁNCHEZ, Juan Antonio, «Derecho Penal e Internet», en AA.VV., Régimen jurídico de Internet, Editorial La Ley, Madrid, 2002. RODRÍGUEZ-ZAPATA Y PÉREZ, Jorge, Teoría y práctica del Derecho Constitucional, Editorial Tecnos, Madrid, 2016, 3ª edición. ROMEO CASABONA, Carlos (coord.), El cibercrimen: nuevos retos jurídico-penales, nuevas respuestas políticocriminales, Editorial Comares, Granada, 2006. — Poder informático y seguridad jurídica. La función tutelar del Derecho Penal ante las nuevas tecnologías de la información, Editorial Fundesco, Madrid, 1987. ROVIRA DEL CANTO, Enrique, Delincuencia informática y fraudes informáticos, Editorial Comares, Granada, 2002. ROXIN, Claus, «La protección de la persona en el Derecho Procesal Penal alemán», Revista Penal, N.o 6, 2000.

RUIZ MIGUEL, Carlos, «La nueva frontera del derecho a la intimidad», Revista de Derecho y Genoma Humano, N.o 14, 2001. RUIZ VADILLO, Enrique, «La actividad probatoria en el proceso penal español y las consecuencias de violarse en ella algún principio constitucional de producirse determinadas irregularidades procesales», Cuadernos de Derecho Judicial, Madrid, 1992. SALVADORI, Iván, «Los nuevos delitos informáticos introducidos en el Código Penal español con la Ley Orgánica 5/2010. Perspectiva de derecho comparado», Anuario de Derecho Penal y ciencias penales, T. 64, N.o 1, 2011. SÁNCHEZ MELGAR, Julián, Código Penal: comentarios y jurisprudencia, Editorial SEPIN, Madrid, 2006. — La nueva regulación de las medidas de investigación tecnológica. Estudio de su Parte General, Editorial SEPIN, Madrid, 2016. SARZANA, Carlo, Informatica, Internet e diritto penale, Editorial Giuffrè, Milán, 2003. SEGARRA CRESPO, María José, «Primeras diligencias: Adopción de medidas cautelares», Estudios sobre violencia familiar y agresiones sexuales, Vol. 2, 2000. SEMINARA, Sergio, «La piratería su Internet e il diritto penale», Revista Trimestrale di Diritto Penale o deIl’Economia, N. 1-2, 1997. SEOANE SPIEGELBERG, José Luis, «Recepción en el proceso de nuevos métodos de investigación científica y derechos fundamentales», Cuadernos de Derecho Judicial, Madrid, 1993. SERRA DOMÍNGUEZ, Manuel, El imputado, Editorial Ariel, Barcelona, 1969.

SERRANO PÉREZ, Mercedes, «El derecho fundamental a la protección de datos. Su contenido esencial», Nuevas Políticas Públicas: Anuario multidisciplinar para la modernización de las Administraciones Públicas, N.o 1, 2010. SIEBER, Ulrich, Computerkriminalität und Strafrecht, Editorial Heymann, Köln, 1977. — The international handbook on computer crime: computer-related economic crime and the infringements of privacy, Editorial John Wiley and Sons, Nueva York, 1986. SILVA SÁNCHEZ, Jesús María, La expansión del Derecho Penal, Editorial Aranzadi, Navarra, 2001. TABANSKY, Lior, Cybersecurity in Israel, Editorial Springer, Berlín, 2015. TAMARIT SUMALLA, Joseph María, «La protección penal del menor frente al abuso y la explotación sexual», en AA.VV., Análisis de las reformas penales en materia de abusos sexuales, prostitución y pornografía de menores, Editorial Aranzadi, Navarra, 2002, 2ª edición. TEJADA DE LA FUENTE, María Elvira, «La retención obligatoria de datos de tráfico de las comunicaciones electrónicas y la preservación especifica de datos informáticos como herramientas de investigación criminal», en PÉREZ BES, Francisco (coord.), El derecho de Internet, Editorial Atelier, Barcelona, 2016. TÉLLEZ AGUILERA, Abel, Nuevas tecnologías, intimidad y protección de datos (Estudio sistemático de la Ley Orgánica 15/1999), Editorial Edisofer, Madrid, 2011. THOMAS, Douglas y LOADER, Brian, Cybercrime. Law enforcement, security and surveillance in the information age, Editorial Routledge, Londres, 2000.

TIEDEMANN, Klaus, Poder económico y delito, Editorial Ariel, Barcelona, 1985. TIRADO ESTRADA, Jesús, «Los delitos relativos a la propiedad intelectual en la era digital. Especial referencia al tipo base nuclear y el nuevo tipo de facilitación del acceso y localización en Internet de contenidos protegidos», Actualidad civil, N.o 6, 2017. TOMÉ GARCÍA, José Antonio, «Las diligencias de identificación en dependencias policiales del art. 20.2 de la Ley Orgánica sobre Protección de la Seguridad Ciudadana», Revista de Derecho Procesal, N.o 3, 1994. TORRES-DULCE LIFANTE, Eduardo, «La inevitable reforma de la Administración de Justicia», Anales de la Academia Matritense del Notariado, Tomo 53, 2012-2013. — «El derecho a la libertad de expresión en la jurisprudencia del Tribunal Europeo de Derechos Humanos», Estudios jurídicos, N.o 2006, 2006. TORRES MORATO, Miguel Ángel y URBANO CASTRILLO, Eduardo, La prueba ilícita penal. Estudio jurisprudencial, Editorial Aranzadi, Pamplona, 2012, 6ª edición. VÁZQUEZ SOTELO, José Luis, Investigación y prueba en el proceso penal, Editorial Colex, Madrid, 2006. VELASCO NÚÑEZ, Eloy, Delitos cometidos a través de Internet. Cuestiones procesales, Editorial La Ley, Madrid, 2010. — Delitos tecnológicos: definición, investigación y prueba en el proceso penal, Editorial Sepin, Madrid, 2016. VELAYOS MARTÍNEZ, M.ª Isabel, «El derecho del imputado al silencio», Justicia, N.o 2, 1995. VIDA FERNÁNDEZ, José, «Las garantías para el acceso a una Internet abierta en el Reglamento (UE) 2015/2120:

una batalla perdida para la neutralidad de la red», Revista General de Derecho Europeo, N.o 40, 2016. — (coord.), Tratado de Derecho farmacéutico, Editorial Thomson Reuters-Aranzadi, Madrid, 2017. VIEIRA MORANTE, Francisco Javier, «Tratamiento de la prueba ilícita», Cuadernos de Derecho Judicial, Madrid, 2003. VILATA MENADAS, Salvador, «La motivación de la resolución judicial. La observancia del precedente», Revista General de Derecho, N.o 604-605, 1995. VILLAVERDE MENÉNDEZ, Ignacio, «Protección de datos personales, derecho a ser informado y autodeterminación informativa del individuo. A propósito de la STC 254/1993», Revista Española de Derecho Constitucional, N.o 41, 1994. VIVES ANTÓN, Tomás Salvador, «Doctrina constitucional y reforma del proceso penal», Poder Judicial, N.o 2, 1986. WALL, David, Cybercrime, Editorial Polity Press, Cambridge, 2017. — Cybercrime: the transformation of crime in the Information Age, Editorial Polity Press, Cambridge, 2007. YAR, Majid, Cybercrime and society, Editorial Sage Publications, Londres, 2006. ZARAGOZA TEJADA, Javier Ignacio (coord.), Investigación tecnológica y derechos fundamentales, Editorial Aranzadi, Pamplona, 2017.

Autor Abreviaturas Prólogo Capítulo I Introducción Capítulo II Del delito informático al ciberdelito Capítulo III Los problemas jurídico-penales de la ciberdelincuencia 1. UN NUEVO GRUPO DE DELINCUENTES CIBERNÉTICOS 2. PROBLEMAS DE PERSECUCIÓN (I): EL ANONIMATO 3. PROBLEMAS DE PERSECUCIÓN (II): DELITOS A DISTANCIA Y COMPETENCIA TERRITORIAL 4. OTROS PROBLEMAS Capítulo IV Derecho comparado, internacional y europeo 1. DERECHO COMPARADO 2. DERECHO INTERNACIONAL 3. EL CONVENIO DE CIBERDELINCUENCIA

BUDAPEST

SOBRE

LA

4. DERECHO DE LA UNIÓN EUROPEA Capítulo V Su tratamiento en el Derecho penal español Capítulo VI Ciberdelitos contra la intimidad y el derecho a la propia imagen 1. DESCUBRIMIENTO Y REVELACIÓN DE SECRETOS 2. INTRUSISMO INFORMÁTICO E INTERCEPTACIÓN DE LAS COMUNICACIONES (HACKING) 3. UTILIZACIÓN NO AUTORIZADA DE IMÁGENES PREVIAMENTE OBTENIDAS CON EL CONSENTIMIENTO DE LA VÍCTIMA EN UN LUGAR PRIVADO (SEXTING Y REVENGE PORN) 4. CAUSAS DE JUSTIFICACIÓN Capítulo VII Ciberdelitos de daños y sabotajes (cracking)

1. DAÑOS INFORMÁTICOS Y SABOTAJES (CRACKING) 2. OBSTACULIZACIÓN O INTERRUPCIÓN DE UN SISTEMA INFORMÁTICO 3. DELITO DE FACILITACIÓN INFORMÁTICAS DAÑINAS

DE

HERRAMIENTAS

Capítulo VIII Ciberdelitos contra el patrimonio 1. ESTAFA 2. ABUSO DE SISTEMAS INFORMÁTICOS (PHREAKING) Capítulo IX Ciberdelitos contra el honor y la libertad personal 1. CALUMNIAS E INJURIAS 2. CIBERACOSO (CYBERSTALKING) Capítulo X Ciberdelitos contra la libertad e indemnidad sexuales 1. PORNOGRAFÍA INFANTIL 2. DELITO DE ACERCAMIENTO Y EMBAUCAMIENTO POR MEDIO DE TECNOLOGÍAS DE LA COMUNICACIÓN (CHILDGROOMING) Capítulo XI Ciberdelitos contra la propiedad intelectual y derechos conexos 1. DELITOS CONTRA LA PROPIEDAD INTELECTUAL 2. PÁGINAS WEB DE ENLACES 3. SUPRESIÓN DE LAS MEDIDAS DE PROTECCIÓN Capítulo XII Ciberterrorismo 1. DELITOS DE TERRORISMO 2. CIBERTERRORISMO Capítulo XIII Aspectos procesales y policiales 1. DISPOSICIONES COMUNES A LOS NUEVOS ACTOS DE INVESTIGACIÓN TECNOLÓGICA 2. FUERZAS Y CUERPOS DE SEGURIDAD ESPECIALIZADOS 3. LÍNEAS DE EVOLUCIÓN FUTURA

Capítulo XIV Las distintas medidas de investigación tecnológica para los ciberdelitos 1. LAS DILIGENCIAS DE INVESTIGACIÓN TECNOLÓGICA EN PARTICULAR 2. MEDIDAS DE ASEGURAMIENTO Capítulo XV Ciberseguridad 1. DERECHO EUROPEO 2. DERECHO ESPAÑOL Capítulo XVI La responsabilidad de los proveedores y plataformas de Internet 1. RÉGIMEN LEGAL 2. RÉGIMEN DE EXCLUSIÓN DE RESPONSABILIDAD DE LOS INTERMEDIARIOS 3. PROHIBICIÓN DE IMPONER OBLIGACIONES GENERALES DE SUPERVISIÓN 4. EVOLUCIÓN FUTURA Conclusiones Anexo Bibliografía