El legislador español efectuó en su día un aporte fundamental en cuanto a las medidas de investigación mediante la reforma de la Ley Orgánica 13/2015, de 5 de octubre, que regula por primera vez en la Ley de Enjuiciamiento Criminal(LECrim) la utilización de medios tecnológicos avanzados en la investigación judicial de los hechos delictivos. Esta regulación pretende dotar de mayor eficacia al derecho procesal respetando sus garantías, sobre todo, cuándo se puede afectar a los derechos fundamentales reconocidos en el artículo 18 de la Constitución Española. Asimismo, se cumple con las obligaciones que resultan de la ratificación del Convenio de Budapest sobre Ciberdelincuencia, de 23 de noviembre de 2001, que se aplica a la obtención de pruebas electrónicas y que ha dado cobertura legal a las medidas de investigación tecnológica y del que se ha hablado anteriormente en este blog.
Se entiende, entonces, que el carácter de herramienta imprescindible que han adquirido los ordenadores o los teléfonos móviles actuales, y la flexibilidad de los programas espías determina que estos últimos puedan ser utilizados para llevar a cabo una amplia gama de medidas de investigación y monitorización en el marco de procesos criminales. En este sentido, dentro de los posibles usos de spyware para la investigación criminal, destaca el acceso remoto a los sistemas informáticos, que se encuentra previsto en el nuevo artículo 588 septies de la LECrim.
El propio artículo 588 septies a. LECrim en su apartado primero desprende que el Juez competente podrá autorizar la utilización de datos de identificación y códigos, así como la instalación de software que permitan, de forma remota y telemática, el examen a distancia de cualquier dispositivo apto para generar, recibir, transmitir, o almacenar datos digitales, sin conocimiento del usuario y siempre que persiga la investigación de delitos cometidos en el seno de organizaciones criminales, de terrorismo, contra menores o personas con capacidad modificada judicialmente, contra la Constitución, de traición y relativos a la defensa nacional, o cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación o servicio de comunicación.
Además, para que se cumpla con la normativa y no se incurra en ningún delito, el apartado segundo del artículo mencionado dispone las especificaciones que la resolución judicial debe cumplir para autorizar el registro, entre las que se incluyen el propio dispositivo objeto de la medida, su alcance, los agentes autorizados, la autorización para realizar copias de la información, y las medidas de preservación de los datos almacenados. Un matiz que se realiza en el apartado tercero es que, en el caso de que el agente autorizado tenga razones para creer que la información que busca está en otro dispositivo, deberá pedir autorización al Juez competente para poder registrarlo.
Concretamente, el artículo 588 septies a. LECrim establece lo siguiente:
“1. El juez competente podrá autorizar la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos, siempre que persiga la investigación de alguno de los siguientes delitos:
a) Delitos cometidos en el seno de organizaciones criminales.
b) Delitos de terrorismo.
c) Delitos cometidos contra menores o personas con capacidad modificada judicialmente.
d) Delitos contra la Constitución, de traición y relativos a la defensa nacional.
e) Delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación o servicio de comunicación.
La resolución judicial que autorice el registro deberá especificar:
a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios informáticos de almacenamiento de datos o bases de datos, datos u otros contenidos digitales objeto de la medida.
b) El alcance de la misma, la forma en la que se procederá al acceso y aprehensión de los datos o archivos informáticos relevantes para la causa y el software mediante el que se ejecutará el control de la información.
c) Los agentes autorizados para la ejecución de la medida.
d) La autorización, en su caso, para la realización y conservación de copias de los datos informáticos.
e) Las medidas precisas para la preservación de la integridad de los datos almacenados, así como para la inaccesibilidad o supresión de dichos datos del sistema informático al que se ha tenido acceso.
Cuando los agentes que lleven a cabo el registro remoto tengan razones para creer que los datos buscados están almacenados en otro sistema informático o en una parte del mismo, pondrán este hecho en conocimiento del juez, quien podrá autorizar una ampliación de los términos del registro.”
En consonancia con lo anterior, el artículo 588 septies b LECrim recoge el deber de colaboración de los prestadores de servicios y personas señaladas por el artículo 588.ter.e, y de los titulares o responsables del sistema informático o base de datos objeto del registro con los agentes investigadores. Además, el precepto expone que estos agentes investigadores, podrán ordenar a cualquier persona que conozca el funcionamiento del sistema informático objeto de la medida que facilite la información que se precisa para las diligencias a realizar, excepto que exista una razón de parentesco o secreto profesional. De cualquier forma, la persona que colabore tendrá la obligación de guardar secretorespecto a las actividades requeridas y la información recopilada.
Así, el artículo 588 septies b. LECrim dispone:
“1. Los prestadores de servicios y personas señaladas en el artículo 588 ter e y los titulares o responsables del sistema informático o base de datos objeto del registro están obligados a facilitar a los agentes investigadores la colaboración precisa para la práctica de la medida y el acceso al sistema. Asimismo, están obligados a facilitar la asistencia necesaria para que los datos e información recogidos puedan ser objeto de examen y visualización.
- Las autoridades y los agentes encargados de la investigación podrán ordenar a cualquier persona que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que facilite la información que resulte necesaria para el buen fin de la diligencia.
Esta disposición no será aplicable al investigado o encausado, a las personas que están dispensadas de la obligación de declarar por razón de parentesco, y a aquellas que, de conformidad con el artículo 416.2, no pueden declarar en virtud del secreto profesional.
- Los sujetos requeridos para prestar colaboración tendrán la obligación de guardar secreto acerca de las actividades requeridas por las autoridades.
- Los sujetos mencionados en los apartados 1 y 2 de este artículo quedarán sujetos a la responsabilidad regulada en el apartado 3 del artículo 588 ter e.”
No obstante, cabe mencionar que el registro remoto de equipos informáticos guarda ciertas similitudes con el agente encubierto del artículo 282 bis LECrim, pues en él se prevé la designación a los funcionarios de la Policía Judicial que actúan en la clandestinidad, con identidad supuesta actuando pasivamente con sujeción a la Ley y bajo el control del Juez, para investigar delitos propios de la delincuencia organizada y de difícil averiguación (artículo 282 bis 4 LECrim), cuando han fracasado otros métodos de la investigación o estos sean manifiestamente insuficientes, para su descubrimiento.
Siguiendo esta línea y debido a la sociedad digital actual, la reforma de la Ley Orgánica 13/2015, introdujo en los apartados 6 y 7 del artículo 282 bis LECrim la figura del agente encubierto informático. Este también se enfoca en la delincuencia organizada (artículo 282 bis 4 LECrim) y se fija que podrá intercambiar o enviar archivos ilícitos, por razón de su contenido, para poder conseguir con ello algoritmos que le permitan conocer la identificación del investigado, siempre contando con la autorización judicial pertinente. A su vez, el último apartado regula la posibilidad de que el agente pueda filmar imágenes y grabar las conversaciones que éste mantenga con el investigado, incluso si se desarrollan en el interior de un domicilio, previa autorización del Juez competente. El agente encubierto informático recoge una lista más amplia de delitos objetivo que el acceso remoto, pero tienen una relación con la delincuencia existente en la actualidad.
En definitiva, siempre que se cumplan los requerimientos estipulados en la normativa, el acceso remoto a sistemas informáticos puede emplearse como medida de investigación en diligencias policiales. Si bien es cierto que, a pesar de que haya autorización judicial y se cumplan los requisitos, no se podrá sobrepasar los derechos fundamentales de las personas afectadas, pues se trataría de una medida ilícita. Con esta nueva medida, por tanto, se abre camino a una nueva forma de investigar que dará cabida a la averiguación de múltiples hechos delictivos.