Articulo 3 deber Registro de dispositivos y equipos informáticos

La regulación de los registros de almacenamiento masivo de información en la LECrim termina con una previsión que establece el deber de colaboración con las autoridades y agentes encargados de la investigación, de quienes conozcan el funcionamiento del sistema informático o las medidas de seguridad que protejan los datos. A este deber de colaboración ya se hace referencia en la Circular 1/2019, al abordar el análisis de las disposiciones comunes a todas las medidas de investigación tecnológica, como una de las menciones que habrá de recoger la resolución judicial habilitante (art. 588 bis c.3.h), así como en la Circular 2/2019 en relación con su alcance en el caso de la interceptación de las comunicaciones telefónicas y telemáticas (art. 588 ter e) y en la Circular 4/2019 en el caso de los dispositivos técnicos de seguimiento y localización (art. 588 quinquies b.3). En consecuencia, con las salvedades y especialidades que a continuación se indicarán, cabe remitirse a lo allí expuesto.

La previsión legal se encarga de precisar el concreto alcance, en los casos de registros de dispositivos de almacenamiento masivo de información, de la genérica obligación de colaborar con los Jueces que imponen los arts. 118 CE y 17 LOPJ. Su inclusión en la LECrim responde, al mismo tiempo, al compromiso alcanzado con la firma del Convenio de Budapest sobre la Ciberdelincuencia, cuyo art. 19.4, prácticamente transcribe. El informe explicativo del Convenio justifica esta previsión como medida necesaria para identificar y obtener los datos que puedan servir de prueba en el proceso ante dos dificultades concretas que pueden encontrarse las autoridades: la dificultad de localizar los datos en sistemas que contengan un gran volumen de información y la dificultad de acceder a los datos protegidos por medidas de seguridad. La obligación de colaboración la justifica, además, como un remedio para evitar que la excesiva duración de los registros llevados a cabo por los investigadores pueda perjudicar a los titulares de los sistemas registrados.

El deber de colaboración debe requerirse en el marco de una investigación por delito, como todas las medidas de investigación tecnológica, por lo que no resulta aplicable a cualquier actuación policial. Son acreedores de esa colaboración las autoridades (Juez o Ministerio Fiscal) y los agentes de Policía Judicial que participen en la investigación. La colaboración resultará procedente para llevar a cabo el registro del dispositivo, sin que pueda imponerse limitación alguna en cuanto al contenido o naturaleza de los datos a registrar, siempre dentro de los términos en que se haya acordado judicialmente la práctica de la diligencia. Como se viene señalando, la regulación de la LECrim tiene por objeto la protección del derecho al entorno virtual del investigado, derecho éste integrado por un conjunto de datos heterogéneos que, individualmente considerados, afectarían a diversos derechos fundamentales. La colaboración, por tanto, podrá afectar al registro de cualesquiera de estos datos.

Los sujetos obligados, destinatarios de este deber de colaboración, serán, según el precepto, las personas que conozcan el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos. Para la interpretación del alcance de esta previsión deberán tenerse en cuenta las reflexiones contenidas en el informe explicativo del Convenio del Cibercrimen a las que antes se hacía referencia. De este modo, cualquier persona que pueda conocer dónde se encuentran ubicados dentro de un sistema informático los datos relevantes que son buscados o que pueda proporcionar información para sortear las medidas de seguridad que pudieran existir para protegerlos, quedará afectada por el deber de colaboración. No tienen por qué ser, necesariamente, personas con conocimientos técnicos que pudieran proporcionar información sobre el diseño o comportamiento de los sistemas de seguridad; se puede tratar de simples empleados de una empresa, incluso de los niveles jerárquicos más bajos, que dispongan de la información que se busca, como podrían ser las contraseñas de acceso a los datos o la ubicación de éstos dentro de la estructura del sistema informático registrado.

Podrán ser destinatarios del deber de colaboración, tanto las personas físicas como las personas jurídicas, aunque únicamente las primeras podrían ser criminalmente responsables del delito que la LECrim anuda a su incumplimiento. Por eso, cuando la información necesaria para el registro obre en poder de una persona jurídica, deberá previamente identificarse la persona física que pudiera tener acceso a ella. Cuando se trate de recabar la colaboración de personas que se encuentren en el extranjero, en principio, deberá emplearse el cauce de la cooperación jurídica internacional.

Los problemas de territorialidad y jurisdicción se harán más patentes en los casos de registro de dispositivos o sistemas informáticos accesibles telemáticamente desde España pero que se encuentren en el extranjero (los referidos ut supra como cloud computing o computación en la nube). Cuando, en estos casos, se encuentre en territorio español alguna persona que pudiera prestar la colaboración que prevé el precepto, quedará la misma plenamente sujeta a la obligación, con independencia del lugar donde se encuentren los datos.

No debe confundirse este concreto deber de colaboración que resulta del art. 588 sexies c.5 con las obligaciones que impone el art. 2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante, LSSICE) a los prestadores de servicios de la sociedad de la información establecidos en España. De igual modo, tampoco pueden extenderse las presunciones de establecimiento en España y sujeción al ordenamiento jurídico español que prevé la citada Ley a los obligados por la LECrim. Por un lado, el deber de colaboración que imponen ambas normas es diferente, pero, además, las consecuencias y sanciones ante su incumplimiento, también son distintas. De esta manera, podría existir un prestador de servicios que cumpliera todas las obligaciones que le impone la LSSICE y, sin embargo, no pudiera facilitar la colaboración que prevé el art. 588 sexies c.5, al no disponer de la información que se le requiere u obrar ésta en sus servicios centrales ubicados en el extranjero.

La obligación de colaboración no solo alcanzará a las personas que tengan relación directa con el sistema informático que se quiere registrar, sino que podría ir mucho más allá, pudiendo requerirse esa colaboración, por ejemplo, del fabricante del concreto dispositivo que forme parte del sistema informático que se registra. El precepto no establece limitaciones en este sentido y, por lo tanto, si los investigadores consideran que el fabricante puede facilitar información, por ejemplo, que permita vencer los sistemas de seguridad del dispositivo para acceder a los datos que almacena, podrán requerir su colaboración en los términos que establece el precepto. Incluso, podría ser requerido un tercero ajeno al sistema y a la fabricación del dispositivo que, en virtud de cualquier clase de conocimientos especializados (por ejemplo, un investigador científico que hubiera analizado un determinado sistema de seguridad), se encontrara en condiciones de facilitar la información a la que se está haciendo referencia.

Se suscitan dudas, también, acerca del alcance de la obligación de colaboración que establece el precepto. Concretamente, cabría plantearse si dicha colaboración se agota con la simple facilitación de información o, por el contrario, podría exigirse una mayor implicación del requerido que llegara, incluso, a desarrollar algún tipo de actividad o trabajo tendente a facilitar el registro del dispositivo, como podría ser, por ejemplo, el desarrollo de un programa informático que permitiera el acceso al sistema que se quiere registrar. El precepto, en este punto, parece claro; lo único que podrán ordenar las autoridades o agentes encargados de la investigación, será la facilitación de información, pero nada más.

El deber de colaboración que impone aquí la LECrim, sin embargo, está sujeto a ciertos límites. Es posible hablar de una limitación subjetiva, que restringiría los sujetos de los que se puede demandar la colaboración, y una limitación objetiva, que exime del deber cuando la colaboración resulte especialmente gravosa.

En cuanto a la limitación subjetiva, el precepto excluye expresamente del deber de colaborar al propio investigado o encausado, sus parientes más próximos y quienes, conforme a lo previsto en el art. 416.2 LECrim, se vean exentos de la obligación de declarar en virtud del secreto profesional. La dispensa que se otorga al investigado o encausado supone una consecuencia lógica del alcance de su propio derecho de defensa y de la facultad que de él deriva, que le permite no declarar contra sí mismo. La exclusión de los parientes (que el precepto concreta en los que, conforme al art. 416.1 LECrim, están dispensados de la obligación de declarar) tiene el mismo fundamento que el que justifica su dispensa de prestar declaración, evitar «el conflicto que eventualmente pudiera planteársele entre su deber legal de decir la verdad y el vínculo de solidaridad y familiaridad, cuando no afectivo, que le uniera con el acusado» (STS n.º 459/2010, de 14 de mayo). Finalmente, la inclusión entre estas exclusiones del secreto profesional tiene su justificación en el art. 24.2 CE, que consagra el secreto profesional como una tutela anticipada, de carácter formal, de otros derechos del investigado, como el derecho de defensa y el derecho a la intimidad personal (ATS de 19 de octubre de 2010). Ahora bien, por lo que al secreto profesional se refiere, el art. 588 sexies c.5 limita los sujetos dispensados de la obligación a los incluidos en el art. 416.2 LECrim, esto es, los abogados, pero no a otros también afectados por el secreto profesional, como podrían ser los traductores o intérpretes (art. 416.3), los eclesiásticos y ministros de cultos disidentes (art. 417.1) o los funcionarios públicos (art. 417.3), por ejemplo.

La limitación objetiva la concreta el art. 588 sexies c.5 señalando que deberán quedar excluidas del deber de colaboración las órdenes de las que pudiera derivarse una carga desproporcionada para el afectado. El legislador ha optado por emplear un concepto indeterminado, como es el de la desproporción, que será preciso interpretar. El precedente inmediato de la previsión legal se encuentra, como ya se ha señalado, en el art. 19.4 del Convenio sobre el Cibercrimen, que utiliza el concepto equivalente de la razonabilidad (obligación de facilitar la información necesaria, dentro de lo razonable, señala). El informe explicativo del Convenio cita como ejemplo de irrazonabilidad los casos en los que «la divulgación de la contraseña u otra medida de seguridad pudiera poner en peligro injustificadamente la vida privada de otros usuarios o de otros datos cuya revisión no ha sido autorizada».

Al supuesto de afectación de terceros, como es el que señala el informe explicativo, cabría añadir aquellos otros en los que, por ejemplo, la facilitación de información supusiera desvelar secretos industriales que pudieran perjudicar una actividad empresarial del afectado, como resultaría de facilitar información sobre los sistemas de seguridad de un determinado teléfono o dispositivo informático. Realmente, no cabe establecer apriorísticamente los supuestos que pueden presentarse, sino que deberán valorarse las circunstancias concurrentes en cada caso concreto.

En cualquier caso, el Juez, además de la proporcionalidad de la medida, deberá valorar, conforme a los criterios generales que se establecen en la LECrim, la proporcionalidad de la exigencia de colaboración. De esta forma, habrá de justificar que el sacrificio de los derechos e intereses de la persona afectada no resulte superior al beneficio que para el interés público y de terceros resulte del cumplimiento de ese deber de colaboración. Así, por ejemplo, en los casos de delitos especialmente graves, en los que esté comprometida la vida de alguna persona o la seguridad pública (como ocurriría en los delitos de terrorismo), deberán ceder, de ordinario, los intereses particulares de la persona requerida. Por el contrario, cuando se trate de delitos de menor importancia o cuando los datos que el registro pueda proporcionar a la investigación no sean especialmente determinantes, deberán valorarse con mayor intensidad los intereses del requerido.

Finalmente, no debe olvidarse que siempre que la colaboración requerida genere algún tipo de gasto o remuneración, procederá su resarcimiento, conforme a lo previsto en el art. 17.1 LOPJ.