Requisitos para la obtención e identificación de direcciones IP durante la instrucción penal

Actuaciones del sumario que limitan el derecho a la intimidad del investigado

Durante la fase de instrucción del proceso penal se llevan a cabo las actuaciones orientadas a preparar el juicio oral. Estas incluyen la averiguación de los hechos y su calificación penal, y la identificación e investigación de los denunciados.

Las indagaciones realizadas durante el sumario pueden colisionar con los derechos fundamentales del investigado. Desde la reforma operada en la ley procesal penal por la LO 13/2015, de 5 de octubre, el título III de la LECrim regula especialmente aquellas medidas que limitan el derecho fundamental a la intimidad reconocido en el art. 18 de la CE.

Un ejemplo de estas medidas es la interceptación de las comunicaciones telefónicas y telemáticas (capítulo V), que consiste en la intervención y grabación de llamadas y otras comunicaciones realizadas a través de medios telemáticos con el fin de obtener pruebas en la investigación de los siguientes delitos (art. 588 ter a en relación con el art. 579 de la LECrim) :

• Delitos dolosos castigados con pena con límite máximo de, al menos, tres años de prisión.
• Los cometidos en el seno de un grupo u organización criminal.
• Delitos de terrorismo.
• Los cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación.

Una de las modalidades que contempla el capítulo V consiste en permitir el acceso de las autoridades a los datos necesarios para la identificación de usuarios, terminales y dispositivos de conectividad (arts. 588 ter k y 588 ter l de la LECrim) , como por ejemplo el acceso a la dirección IP de un ordenador.

El acceso a la dirección IP

Tal como dispone el artículo 588 ter k de la LECrim, cuando, en el curso de su investigación, la policía judicial tuviera acceso a una dirección IP utilizada para la comisión un delito y no constara la identificación y localización del equipo, ni los datos del usuario, esta solicitará al juez de instrucción que requiera al prestador de servicios de internet la cesión de los datos que permitan identificar y localizar el terminal e identificar al sospechoso.

En el citado artículo, introducido en la ley procesal penal en virtud de la LO 13/2015, de 5 de octubre, cristaliza la doctrina jurisprudencial del Tribunal Supremo anterior a la reforma. Según el preámbulo de la ley orgánica: «Se da un tratamiento jurídico individualizado al acceso por agentes de policía al IMSI, IMEI, dirección IP y otros elementos de identificación de una determinada tarjeta o terminal, en consonancia con una jurisprudencia del Tribunal Supremo ya consolidada sobre esta materia».

¿Requiere autorización judicial?

Con carácter general, y como recuerda la STS n.º 292/2008, de 28 de mayo, ECLI:ES:TS:2008:3346, «La comunicación de una persona con otra, a través de las posibilidades que ofrece la Red, se encuentra dentro del ámbito constitucionalmente protegido por el art. 18.3 C.E ., que, recordemos, garantiza el secreto de las comunicaciones (...)».

Sin embargo, la Sala matiza que ni todas las interacciones, ni todos los datos implicados en estas son confidenciales, ya que «(...) cuando la comunicación a través de la Red se establece mediante un programa P2P, (...) al que puede acceder cualquier usuario de aquélla, el operador asume que muchos de los datos que incorpora a la red pasen a ser de público conocimiento para cualquier usuario de Internet, como, por ejemplo el I.P., (...). Y fue este dato, el I.P. del acusado, el que obtuvo la Guardia Civil en su rastreo (...) era público al haberlo introducido en la Red el propio usuario -el acusado- al utilizar el programa P2P. Por ello, no se precisa autorización judicial para conocer lo que es público, y esos datos legítimamente obtenidos por la Guardia Civil en cumplimiento de su obligación de persecución del delito y detención de los delincuentes, no se encuentran protegidos por el art. 18.3 C.E.

La sentencia recuerda que la dirección IP del acusado no identifica a la persona del usuario, y que, por tanto, es necesario solicitar al juzgado que ordene a los operadores de Internet la aportación el número del teléfono y la identidad del titular del contrato.

A TENER EN CUENTA. Las redes P2P (Peer-to-Peer) son sistemas donde cada dispositivo conectado, denominado nodo, interactúa directamente con otros, compartiendo datos sin intermediación de un servidor central. Esto posibilita el intercambio eficiente de archivos o información y es clave en muchas plataformas en línea. Al emplear redes P2P, los usuarios hacen pública información —como la dirección IP— al participar en la red, de modo que cualquiera puede acceder a dichos datos. De acuerdo con la jurisprudencia del Tribunal Supremo y la LECrim, esta característica justifica que la obtención policial de direcciones IP en tales entornos no requiera autorización judicial, al considerarse información de acceso público.

A la anterior sentencia hace referencia la circular 2/2019, de 6 de marzo, de la Fiscal General del Estado, sobre interceptación de comunicaciones telefónicas y telemáticas. La FGE aclara que, una vez averiguada la dirección IP, las subsiguientes actuaciones de identificación y localización de la persona que tiene asignada la IP se deben llevar a cabo bajo control judicial, pero que cabe distinguir dos casos:

a) El mero rastreo policial del espacio público.

b) Aquellos supuestos en los que es necesario oficiar a una operadora para acceder a una información sobre IP.

Sólo en el segundo supuesto es necesario obtener autorización judicial, «(...)conforme a las previsiones de la Ley 25/2007 (SSTS n.º 292/2008, de 28 de mayo; n.º 236/2008, de 9 de mayo; n.º 680/2010, de 14 de julio)».

En conclusión, el acceso a la dirección IP de un ordenador por parte de la policía judicial en el curso de una investigación no requiere autorización judicial cuando se trata de datos públicos, como es el caso de las direcciones IP obtenidas a través de programas P2P. Sin embargo, para la posterior identificación y localización del usuario asociado a dicha dirección IP, es necesario obtener una autorización judicial. Esto se debe a que, aunque la dirección IP en sí misma no está protegida por el derecho al secreto de las comunicaciones, la identificación del usuario sí lo está, conforme a lo dispuesto en la Ley 25/2007 y la jurisprudencia del Tribunal Supremo.

Jurisprudencia del Tribunal Supremo

La jurisprudencia del Alto Tribunal posterior a la LO 13/2015, de 5 de octubre, consolida el criterio —presente en la ya citada STS n.º 292/2008, de 28 de mayo, ECLI:ES:TS:2008:3346— de la necesidad de autorización judicial para la identificación del usuario de una dirección IP.

En la STS n.º 197/2021, de 4 de marzo, ECLI:ES:TS:2021:816, la Sala confirma la condena impuesta al acusado, al considerar probado que había accedido y utilizado una red social desde su dispositivo móvil para descargar, difundir y enviar imágenes y vídeos de menores de edad con contenido sexual explícito. El procedimiento se inició a raíz de una comunicación de una ONG estadounidense colaboradora con las autoridades de su país, que alertó de la presencia de material de explotación infantil en una red social gestionada por una empresa internacional. La ONG aportó el número de IP desde el que se habían realizado las conexiones ilícitas y este dato fue transferido a través de la embajada estadounidense a la Policía Nacional en España, lo que permitió, una vez recabadas las autorizaciones judiciales pertinentes, identificar al usuario de dicha dirección y proceder al registro en el que se incautaron pruebas incriminatorias.

Durante las investigaciones, el acusado admitió ante la policía, en declaraciones no asistidas, haber subido ese tipo de vídeos a la red social, aunque, en posteriores comparecencias oficiales, limitó su responsabilidad al consumo de dicho material, negando su difusión.

La defensa del acusado cuestionó la validez de las pruebas obtenidas, alegando infracción del derecho fundamental a la intimidad (art. 18.1 CE) y de la Ley 25/2007, de 18 de octubre, sobre conservación de datos de comunicaciones electrónicas, al considerar que la empresa titular de la red social comunicó la dirección IP utilizada sin la exigible autorización judicial. Con base en tal argumento, sostuvo que, al estar la entrega del dato «contaminada» en su origen, toda la cadena probatoria quedaba afectada por la ilicitud y, en consecuencia, sostenía que no había base suficiente para mantener la condena sin quebrar la presunción de inocencia. Estos argumentos fueron objeto de análisis tanto por el Tribunal sentenciador como por el Tribunal Supremo, que abordó varias cuestiones relativas a la cooperación internacional, la aplicación extraterritorial de la legislación española y la ponderación de los derechos fundamentales involucrados.

La sentencia descarta la pretensión de la defensa, en primer lugar, recordando que la investigación se activó a instancia de una entidad privada (la ONG estadounidense), que actuó conforme a la normativa estadounidense y en cumplimiento de obligaciones legales destinadas a evitar la perpetuación de delitos graves, como la explotación sexual infantil.

El Alto Tribunal indicó que el conocimiento y transmisión de la dirección IP, como dato técnico, no constituye una injerencia profunda en el derecho a la intimidad, dado que, por sí sola, la IP no identifica a la persona física y solo revela su identidad cuando se cruzan otros datos para los que sí se requiere autorización judicial. La sentencia se remitió a precedentes (por ejemplo, la STS n.º 1299/2011, de 17 de noviembre, ECLI:ES:TS:2011:8595 y la Circular 2/2019, de 6 de marzo de la Fiscalía General del Estado, en su epígrafe 11.3) que subrayan que la obtención de una dirección IP no invade la privacidad garantizada constitucionalmente de forma equiparable a otros datos. El Tribunal Supremo también aclaró que las posteriores diligencias policiales desarrolladas en España, como el registro domiciliario e identificación final del recurrente, sí estuvieron debidamente autorizadas y cumplieron las exigencias legales de obtención de pruebas.

El fallo hace especial hincapié en la distinción entre distintos grados de afectación al derecho a la intimidad y subraya que no toda cesión de datos exige una habilitación judicial, especialmente si estos no vinculan al destinatario con la comisión de un delito, hasta que se realiza una investigación más profunda, esta sí bajo tutela judicial. Además, recalca que la empresa titular de la red social tenía la obligación legal y contractual de denunciar cualquier actividad sospechosa relacionada con contenido de abuso sexual infantil, tal y como se advierte expresamente en su política de uso, visible y accesible para todos los usuarios. Asimismo, el Supremo insiste en que la colaboración internacional en la lucha contra delitos como la pornografía infantil justifica el intercambio de información técnica bajo condiciones que respeten los estándares mínimos en materia de derechos fundamentales, sin imponerse de forma rigurosa la legislación de un país sobre las actuaciones lícitas desarrolladas conforme a la normativa de otro.

Con la desestimación del recurso de la defensa, el Alto Tribunal consolida la interpretación de que la persecución eficaz de delitos como la explotación sexual infantil en el entorno digital puede justificar, en el marco de la legalidad vigente, la obtención y cesión de datos técnicos como la dirección IP por parte de entidades privadas en cumplimiento de sus obligaciones legales y contractuales, siempre que las investigaciones subsiguientes se desarrollen bajo garantías judiciales.

La sentencia reafirma que la protección de los derechos fundamentales y el correcto desarrollo de la cooperación internacional no deben convertirse en plataformas para la impunidad de delitos especialmente lesivos y transversales como la pornografía infantil, marcando así un importante criterio para las futuras investigaciones que requieran la colaboración entre entidades privadas, autoridades extranjeras y fuerzas de seguridad en España.