Articulo 3 registro Registro de dispositivos y equipos informáticos

Como ya se ha señalado, el registro que regula el art. 588 sexies a incluye también el acceso a repositorios telemáticos de datos. Por otro lado, el apartado tercero del art. 588 sexies c, transcribiendo casi literalmente el contenido del art. 19.2 del Convenio sobre la Ciberdelincuencia, prevé la posibilidad de ampliar los registros judicialmente autorizados a otros sistemas informáticos que sean accesibles desde el que se está registrando. Ambos supuestos presentan ciertas peculiaridades que no concurren en los casos ordinarios de registro de dispositivos de almacenamiento masivo de información, lo que obliga a su análisis conjunto.

Como ya se ha indicado ut supra, los repositorios telemáticos de datos son dispositivos de almacenamiento masivo de información a los que se tiene acceso de manera telemática. Pueden formar parte del propio sistema informático del usuario o estar ubicados en sistemas informáticos independientes a los que el usuario accede a través de internet con la finalidad de gestionar la información digital que allí se encuentra almacenada. Los sistemas pueden ser propios del usuario o ajenos, igual que la información que se almacena en los mismos, que también puede ser propia o ajena, en los casos en los que el acceso a la misma y su gestión forman parte de una actividad laboral, por ejemplo.

Este acceso a información digital de manera telemática constituye la esencia de lo que hoy en día se denomina cloud computing (computación en la nube), nuevo concepto que ofrece nuevas respuestas a las demandas que la informática moderna ha venido planteando en los últimos años. La esencia del cloud computing reside en sustituir los dispositivos de almacenamiento masivo de información clásicos por el almacenamiento en servidores de internet. Así, la información y, en muchos casos, los programas informáticos, ya no se guardan en el disco duro del ordenador, sino en los servidores a los que se accede a través de internet. Este sistema ofrece la ventaja de proporcionar al usuario capacidades de almacenamiento mucho mayores que las que va a encontrar en su propio dispositivo (ordenador, teléfono móvil, etc.), seguridad en la conservación de sus datos (en muchos casos, estos repositorios se utilizan para hacer copias de seguridad de los datos alojados en el propio sistema informático) y, sobre todo, la posibilidad de acceder a sus datos en cualquier lugar en que se halle desde cualquier dispositivo que se conecte a internet y no solo a través del propio dispositivo en el que tuviera almacenados los datos. Esta posibilidad se revela especialmente útil en el mundo actual de los smartphones o teléfonos inteligentes que, por un lado, carecen de capacidad para almacenar grandes cantidades de datos y, por otro, permiten el acceso a los repositorios con una gran movilidad espacio- temporal.

El cloud computing, sin embargo, no es el único servicio que permite el almacenamiento de datos a través de internet. Habría que incluir también aquí, por ejemplo, numerosos servicios comerciales que se ofrecen a través de internet, como la banca electrónica, que permite al usuario acceder a su banco y realizar operaciones bancarias, generando con ello información en forma de asientos contables de movimientos, que quedarán almacenados en los servidores de la entidad bancaria. Igualmente habría que incluir numerosas modalidades de teletrabajo en las que el usuario accede telemáticamente a los sistemas informáticos de la empresa para la que trabaja, gestionando a través de ese acceso diversas formas de información. Finalmente, y aunque podría considerarse también como una forma de cloud computing, destacarían algunas herramientas de comunicación, como el correo electrónico, alojado en servidores web a los que el usuario accede telemáticamente. En todos estos casos, aunque no se trata de servicios específicamente destinados al almacenamiento de datos personales, se generan depósitos de información en alojamientos externos a los que se accede a través del dispositivo o sistema propio del usuario.

Pues bien, estas nuevas formas de creación, acceso y gestión de información a través de internet son las que contempla el legislador en los preceptos a los que se ha hecho referencia, previendo la posibilidad de su registro ante la probabilidad de que puedan albergar datos relevantes para la investigación de los delitos. Esa posibilidad debe aparecer suficientemente fundada y motivada, bien desde un primer momento, lo que provocará que el Juez autorice su registro ya en la resolución inicial que dicte (art. 588 sexies a.1), bien como consecuencia de los datos que se obtengan con el registro ya autorizado (por ejemplo, un acceso directo a un repositorio de datos externo), lo que dará lugar a la ampliación del registro que regula el art. 588 sexies c.3.

La primera duda que surge ante la posibilidad de estos registros es la de si los mismos pueden alcanzar únicamente a los repositorios de datos propios del investigado o pueden también extenderse a sistemas informáticos ajenos a los que el investigado acceda a través de su propio sistema, como serían, por ejemplo, su cuenta corriente bancaria o su actividad laboral telemática. Planteada la duda en otros términos, cabría preguntarse si puede accederse a estos datos como parte del registro autorizado o, por el contrario, ello no es posible y es necesario que el Juez se los requiera a la entidad bancaria o empresa en la que trabaje el investigado.

La respuesta positiva parece recogerla el art. 588 sexies c.3, cuando permite el acceso a otro sistema informático, sin especificar la titularidad propia o ajena del mismo, eso sí, condicionándolo siempre a que los datos sean lícitamente accesibles por medio del sistema inicial o estén disponibles para este. La licitud del acceso, junto con la autorización judicial, se configuran así como los requisitos esenciales para la validez del registro.

El acceso resultará lícito siempre que no derive de alguna diligencia de investigación que vulnere derechos fundamentales como sería, por ejemplo, la obtención de las claves de acceso mediante procedimientos fraudulentos. Resultará, sin embargo, lícito, cuando sean reveladas voluntariamente por el investigado (tal es el caso que resuelve la STS n.º 97/2015, de 24 de febrero), o cuando su averiguación derive de la investigación policial previa al registro, o cuando las claves se hayan obtenido con motivo del registro lícito de los dispositivos del investigado, por ejemplo. En cualquier caso, debe tratarse de repositorios o sistemas informáticos a los que pueda accederse desde el sistema inicial para el que se autorizó el registro.

En cuanto a la autorización judicial, es posible distinguir tres supuestos. Que se autorice ya desde el primer momento el acceso a un repositorio telemático de datos o sistema informático externo específicos cuyo uso por el investigado sea conocido; que se autorice de manera genérica el acceso a cualquier repositorio o sistema informático a los que el investigado pueda acceder desde su equipo de manera telemática; o que no se haya previsto este acceso telemático, en cuyo caso establece el precepto la necesidad de recabar autorización judicial ampliatoria, suspendiendo para ello necesariamente la práctica del registro, sin perjuicio de la posibilidad de que la Policía Judicial o el Fiscal, cuando se esté ante un caso de urgencia, puedan llevarlo a cabo. Para este último supuesto establece el precepto la posibilidad de que la Policía Judicial o el Fiscal puedan llevarlo a cabo, informando al juez inmediatamente, y en todo caso dentro del plazo máximo de veinticuatro horas, de la actuación realizada, la forma en que se ha efectuado y su resultado. El juez competente, también de forma motivada, revocará o confirmará tal actuación en un plazo máximo de setenta y dos horas desde que fue ordenada la interceptación.

Esta posibilidad resultará de aplicación ante situaciones de peligro inminente de que la información pueda desaparecer ya que, al resultar accesible a través de internet para cualquier persona que conozca las claves de acceso, podría ser borrada por cualquier tercero que tuviera conocimiento de la detención del investigado, por ejemplo. La circunstancia de que los datos contenidos en sistemas informáticos externos puedan contener información que afecte al derecho al secreto de las comunicaciones (por ejemplo, los correos electrónicos, como se ha dicho), no debe ser obstáculo para admitir su acceso por la Policía Judicial o el Ministerio Fiscal con la convalidación judicial posterior, ya que el art. 18.3 CE exige resolución judicial, pero no impide que esta sea posterior o convalidante. En particular, la regulación contenida en los artículos que se analizan, con la necesaria concurrencia de la nota de urgencia, es suficiente para culminar las exigencias de previsibilidad de la Ley.

El acceso a sistemas informáticos externos puede plantear también problemas de jurisdicción. Efectivamente, la inexistencia de fronteras en internet, unida a los menores costes que para el servicio se generan en determinados países, hará que resulte frecuente que los servidores de almacenamiento de datos estén ubicados físicamente fuera del territorio en el que el Juez que autorice el registro ejerza su jurisdicción (o incluso se desconozca el lugar en que se encuentren localizados). En estos casos, si se parte de una concepción tradicional de los límites de la jurisdicción basada en criterios territoriales, podría parecer más correcto para la obtención de esos datos acudir a mecanismos de cooperación judicial internacional que, sin embargo, resultarían absolutamente incompatibles con la celeridad que requieren este tipo de investigaciones.

Además, en muchos supuestos, o bien se desconoce la localización de los datos (deslocalización) o bien estos se encuentran fragmentados en servidores ubicados en diversos territorios o su ubicación en uno u otro lugar es ajena a la voluntad del titular de los mismos y depende exclusivamente de la conveniencia técnica u operativa del proveedor de servicios de almacenamiento que modifica la ubicación según sus propias necesidades. Por ello, condicionar la obtención de los datos al lugar donde los mismos se encuentran, conduciría al fracaso de muchas investigaciones simplemente porque se desconoce el lugar exacto de su ubicación, de tal forma que resultarían ineficaces las medidas de cooperación internacional adoptadas.

Ante esta perspectiva, el legislador español se ha decantado decididamente por la licitud del acceso con la simple autorización judicial, incluso en los casos en que los datos se hallen fuera de España. Así se evidencia de la interpretación literal de la regulación legal, y más si se compara con el precedente inmediato, el art. 350.4 de la Propuesta de Código Procesal Penal, que limitaba el acceso a los datos almacenados en sistemas informáticos ubicados en territorio español, remitiendo a la cooperación judicial internacional en el resto de los casos. Esta previsión seguía los criterios del art. 19.2 del Convenio sobre la Ciberdelincuencia que, en su Informe Explicativo, señalaba expresamente que la norma no permitía el registro de sistemas ubicados fuera de las fronteras nacionales propias, remitiendo también a la cooperación judicial internacional para estos casos.

El planteamiento que ahora se realiza, sin embargo, es el de considerar los repositorios telemáticos de almacenamiento como una parte más del sistema que se registra. Lo realmente determinante no va a ser dónde se encuentren físicamente los datos, sino desde dónde se acceda a ellos.

De esta forma, igual que puede afirmarse que el titular de esos datos los posee desde España y ejercita sus derechos sobre ellos desde España y conforme al derecho español, puede afirmarse que cuando se accede a ellos en un registro judicial, se hace en España y conforme al derecho español siempre, claro está, que, como se ha señalado, pueda hablarse de un acceso lícito. De igual modo que resultaría ilógico considerar que el poseedor de pornografía infantil no puede ser perseguido en España si los archivos se encuentran en servidores ubicados en el extranjero, resultará ilógico considerar que el Juez español no puede acceder a datos de un sistema informático ubicado en España por la circunstancia de que el concreto dato al que se accede se encuentre en un servidor ubicado en el extranjero.

Finalmente, es preciso referirse a la necesidad de adoptar determinadas garantías o cautelas para asegurar la identidad e integridad de la prueba que pueda resultar de los datos almacenados en repositorios o sistemas informáticos externos. Como se ha dicho, las posibilidades de alterar estos datos resultan realmente sencillas, si se tiene en cuenta que el acceso a los mismos dependerá únicamente del conocimiento de las claves. Precisamente por ello, resultará necesaria la adopción de medidas que, o bien impidan la modificación de los datos almacenados, o bien constaten la existencia de determinados datos en un momento temporal preciso.

Entre las primeras destaca el cambio de las claves de acceso por el Juez, evitando de este modo que cualquier persona pueda acceder posteriormente a los datos y los modifique. La decisión de cambiar las claves ha de partir del Juez, al ser éste el competente para la adopción de medidas de conservación de pruebas (art. 326 LECrim), debiendo guardarse las nuevas claves con la debida reserva a fin de que la medida cumpla su cometido. Para ello, bastará con mantener el secreto parcial (en lo que afecte al conocimiento de las claves) de la pieza separada que se forme con la diligencia de registro de los dispositivos de almacenamiento masivo de información (art. 588 bis d). Se cumple con ello la previsión contenida en el art. 588 sexies c.1 cuando señala que el Juez «Fijará también las condiciones necesarias para asegurar la integridad de los datos y las garantías de su preservación para hacer posible, en su caso, la práctica de un dictamen pericial».

La segunda forma de garantizar la identidad e integridad de la prueba en estos casos consistirá en asegurar la información que exista en el repositorio o sistema externo en un momento determinado, permitiendo después la utilización del servicio sin ninguna limitación. Para ello, lo ideal será realizar un volcado de la información bajo la fe del Letrado de la Administración de Justicia que, de esta forma, garantizará el origen y contenido de los datos. Los volcados realizados por la Policía Judicial, en caso de imposibilidad de hacerse por el Letrado de la Administración de Justicia, no gozarán de las garantías que les confiere la intervención de este último, pero podrán hacerse valer como prueba en el juicio oral acompañada de la declaración de los agentes policiales que llevaron a cabo el volcado.