Circular 5/2019, de 6 de marzo, de la Fiscal General del Estado, sobre sobre registro de dispositivos y equipos informáticos.

ÍNDICE

1. Introducción.

2. Derecho fundamental afectado.

3. Registro de dispositivos de almacenamiento masivo de información.

3.1 Regulación legal.

3.2 Los dispositivos de almacenamiento masivo de información.

3.3 La resolución judicial como presupuesto de la medida.

3.3.1 La resolución judicial habilitante.

3.3.2 El consentimiento del afectado y otros supuestos excepcionales.

3.3.3 La resolución judicial en los supuestos de registros domiciliarios.

3.3.4 Incautación de dispositivos fuera del domicilio.

3.4 Alcance del registro.

3.4.1 Fijación de los términos y alcance del registro.

3.4.2 Realización de copias.

3.4.3 Fijación de las condiciones para asegurar la integridad de los datos y las garantías de su preservación.

3.4.4 Incautación de los soportes físicos que contienen los datos.

3.5 Registro de repositorios telemáticos de datos y ampliación del registro a otros sistemas.

3.6 Registro policial de dispositivos.

3.7 Deber de colaboración.

4. Registros remotos sobre equipos informáticos.

4.1 Regulación legal.

4.2 Sistemas de acceso.

4.3 Ámbito de aplicación.

4.4 Contenido de la resolución judicial.

4.5 Ampliación del registro.

4.6 Deber de colaboración.

4.7 Duración de la medida.

5. Cláusula de vigencia.

6. Conclusiones.

1. Introducción

Entre las medidas de investigación tecnológica a las que la Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica, ha dado entrada en la Ley de Enjuiciamiento Criminal (en adelante, LECrim) no podía faltar el registro de los dispositivos y sistemas informáticos. Efectivamente, la informática se ha convertido en los últimos años, no ya en una parte importante de la vida de las personas, sino en el centro en torno al cual gravitan numerosas actividades cotidianas en las sociedades modernas.

Ese protagonismo adquirido por la informática se ha dejado sentir, también, en el modo en el que se desarrollan numerosos comportamientos delictivos que, o bien recaen directamente sobre los dispositivos o sistemas informáticos, provocando así el nacimiento de nuevas formas de delito, o bien utilizan la informática como medio o instrumento privilegiado para su desarrollo. Precisamente por esto, en los últimos años el uso de la informática ha resultado también capital para la persecución del delito. Ambas circunstancias constituyen el motivo esencial de la irrupción progresiva de la informática en el proceso penal, no ya como instrumento de trabajo, sino como objeto y medio de prueba y, al mismo tiempo, como medio de investigación de los delitos.

Esta situación, en buena medida huérfana de regulación legal, es la que ha venido a abordar en profundidad la LO 13/2015 y, entre las medidas que regula, ocupando un lugar destacado, el registro de dispositivos y sistemas informáticos.

El punto de partida de esta regulación y que da sentido a la misma aparece recogido en el Preámbulo de la Ley 13/2015, cuando descarta que los dispositivos de almacenamiento masivo de información puedan ser considerados como simples piezas de convicción. Su capacidad para recoger y conservar datos de muy diferente índole permite que el acceso a los mismos pueda llegar a afectar de manera intensa a diversos derechos fundamentales y, de ahí, la naturaleza y exigencias de la regulación legal. Esta idea, ya reconocida por la jurisprudencia, deriva de la consideración de los ordenadores como algo más que un instrumento recipiendario de una serie de datos con mayor o menor relación con el derecho a la intimidad del usuario (STS n.º 342/2013, de 17 de abril).

La nueva regulación ha venido a dar cumplimiento a diversas exigencias internacionales, como la que recogía el art. 19 del Convenio sobre la Ciberdelincuencia, hecho en Budapest el 23 de noviembre de 2001 (BOE de 17 de septiembre de 2010), que señalaba: «Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para facultar a sus autoridades competentes a registrar o a tener acceso de una forma similar: a) A un sistema informático o a una parte del mismo, así como a los datos informáticos almacenados en el mismo; y b) a un medio de almacenamiento de datos informáticos en el que puedan almacenarse datos informáticos, en su territorio». Ya antes, incluso, se venía poniendo de relieve en diversos instrumentos internacionales la grave afectación de la intimidad que podía derivar del acceso inconsentido a datos informáticos almacenados, como ocurría en el Convenio núm. 108 del Consejo de Europa de 28 de Enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal o en la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas); se llegaba a hablar ya de la necesidad de control judicial en cualquier clase de medida de vigilancia informática, como en la Resolución del Parlamento Europeo de 17 de diciembre de 1998, sobre el respeto de los derechos humanos en la Unión Europea (apartado 23).

La regulación legal del registro de dispositivos y sistemas informáticos, por lo demás, venía siendo demandada, igualmente, por los Tribunales al resultar evidente la trascendencia que para la tutela de los derechos fundamentales podía suponer la protección del contenido almacenado (en este sentido, STC n.º 173/2011, de 7 de noviembre).

Al abordar el registro de dispositivos o equipos informáticos, el legislador ha optado por distinguir entre un registro estático, el de los dispositivos de almacenamiento masivo de información, y un registro dinámico, el registro remoto sobre equipos informáticos que, si bien presentan numerosas notas comunes, también ofrecen aspectos singulares que invitan a su tratamiento independiente. Toda la regulación que ahora se establece, además, estará siempre presidida por las disposiciones comunes de aplicación general a todas las diligencias de investigación tecnológica que se recogen en el Capítulo IV del Título VIII del Libro II LECrim que han sido objeto de análisis en la Circular 1/2019.

2. Derecho fundamental afectado

Tradicionalmente, la doctrina jurisprudencial venía considerando que en el registro de dispositivos o sistemas informáticos podían verse comprometidos dos diferentes derechos fundamentales. Con carácter general, se entendía que se afectaba la intimidad del usuario del dispositivo, ya que todos los datos que es posible almacenar en el mismo (en forma de documentos, carpetas, fotografías, vídeos, etc.) son susceptibles de «afectar al núcleo más profundo de su intimidad por referirse a ideologías, creencias religiosas, aficiones personales, información sobre la salud, orientaciones sexuales, etc.» (STC n.º 173/2011, de 7 de noviembre). Pero, al mismo tiempo, podían también derivarse limitaciones para el derecho fundamental al secreto de las comunicaciones si el registro del dispositivo (ordenador o teléfono móvil, por ejemplo) alcanzaba a datos almacenados que formaran parte de procesos comunicativos. A esta distinción aludía la Circular 1/2013, de 11 de enero, sobre pautas en relación con la diligencia de intervención de las comunicaciones telefónicas, señalando que «lo determinante para la delimitación del contenido de los derechos fundamentales recogidos en los arts. 18.1 y 18.3 CE no es el tipo de soporte, físico o electrónico, en el que la agenda de contactos esté alojada ni el hecho de que la agenda sea una aplicación de un terminal telefónico móvil, que es un instrumento de y para la comunicación, sino el carácter de la información a la que se accede».

La distinción en el tratamiento del registro de los contenidos de esta clase de dispositivos generaba no pocos problemas en atención al diferente grado de exigencia que ambos derechos fundamentales requerían para su limitación: autorización judicial en el caso del art. 18.3 CE y no necesidad de la misma en el del art. 18.1 CE. Así, por ejemplo, se venía distinguiendo una diferente naturaleza a los mensajes de correo electrónico según que hubiesen sido ya leídos o no, al entenderse que el proceso comunicativo había finalizado ya en el primer caso y no así en el segundo, no resultando precisa autorización judicial para su incautación en un caso y sí en el otro (STS n.º 864/2015, de 10 de diciembre). Igualmente, se distinguía entre el registro de la agenda de contactos de un teléfono móvil, no necesitada de autorización judicial (STC n.º 115/2013, de 9 de mayo) y la revisión del registro de llamadas entrantes y salientes que, por afectar al derecho fundamental al secreto de las comunicaciones, precisaba de autorización judicial (STC n.º 230/2007, de 5 de noviembre).

La solución al problema vino dada por el nacimiento de una nueva doctrina jurisprudencial que abordaba de manera unitaria el problema, introduciendo el concepto del «derecho al entorno virtual» como un derecho omnicomprensivo que abarca la protección de la gran diversidad de datos que pueden guardarse en un dispositivo o sistema informático, como puede ser un ordenador. De esta manera, señalaba la STS n.º 342/2013, de 17 de abril: «la ponderación judicial de las razones que justifican, en el marco de una investigación penal, el sacrificio de los derechos de los que es titular el usuario del ordenador, ha de hacerse sin perder de vista la multifuncionalidad de los datos que se almacenan en aquel dispositivo. Incluso su tratamiento jurídico puede llegar a ser más adecuado si los mensajes, las imágenes, los documentos y, en general, todos los datos reveladores del perfil personal, reservado o íntimo de cualquier encausado, se contemplan de forma unitaria. Y es que, más allá del tratamiento constitucional fragmentado de todos y cada uno de los derechos que convergen en el momento del sacrificio, existe un derecho al propio entorno virtual».

Efectivamente, como expresa la STC n.º 173/2011, de 7 de noviembre, «quizás, estos datos que se reflejan en un ordenador personal puedan tacharse de irrelevantes o livianos si se consideran aisladamente, pero si se analizan en su conjunto, una vez convenientemente entremezclados, no cabe duda que configuran todos ellos un perfil altamente descriptivo de la personalidad de su titular, que es preciso proteger frente a la intromisión de terceros o de los poderes públicos, por cuanto atañen, en definitiva, a la misma peculiaridad o individualidad de la persona».

Piénsese, por ejemplo, que cualquier persona conserva actualmente en su teléfono móvil información sobre todos sus contactos (personales y profesionales), su agenda, con información acerca de sus hábitos más íntimos, sus mensajes de correo electrónico y mensajería instantánea, fotografías familiares, íntimas o relacionadas con secretos profesionales, la geolocalización que resulte de las rutas o desplazamientos que haya realizado en los últimos meses (o años), etc. Por eso, el registro de alguno de los actuales dispositivos de almacenamiento, como los ordenadores o los smartphones o teléfonos inteligentes, puede suponer una intromisión en los derechos fundamentales del individuo que supere ampliamente la limitación aislada de cada uno de los derechos comprometidos, justificando de esta manera su tratamiento unitario para, de esta forma, llevar a cabo una ponderación y valoración, también unitaria, de los derechos e intereses que pudieran resultar comprometidos.

Así lo reconocía ya la citada STS n.º 342/2013, de 17 de abril, cuando señalaba que en el derecho al entorno virtual se integraría «sin perder su genuina sustantividad como manifestación de derechos constitucionales de nomen iuris propio, toda la información en formato electrónico que, a través del uso de las nuevas tecnologías, ya sea de forma consciente o inconsciente, con voluntariedad o sin ella, va generando el usuario, hasta el punto de dejar un rastro susceptible de seguimiento por los poderes públicos». Esta resolución pone de relieve «la necesidad de dispensar una protección jurisdiccional frente a la necesidad del Estado de invadir, en las tareas de investigación y castigo de los delitos, ese entorno digital».

Pero es que, además, el tratamiento unitario de los derechos comprometidos resulta necesario para garantizar la eficacia de un eventual registro, en atención a la gran diversidad de datos y archivos que pueden encontrarse en un dispositivo o sistema informático. Así, no sería extraño que se autorizase el acceso a datos íntimos amparados por el art. 18.1 CE y, en el curso del registro, aparecieran comunicaciones relevantes para la investigación amparadas por el art. 18.3 CE (STS n.º 204/2016, de 10 de marzo). Por ello, la autorización para el registro de un dispositivo o sistema informático en la que se habilite para el acceso a la totalidad del entorno virtual de su usuario, evitará que puedan surgir problemas derivados de la naturaleza del contenido que pudiera ser hallado.

Este es el fundamento de la nueva regulación que incorpora la LO 13/2015. El registro de dispositivos de almacenamiento masivo de información o de equipos o sistemas informáticos se regirá ahora por las previsiones que la LECrim contiene para esta clase de diligencias. Resultará innecesario, por lo tanto, plantearse si resulta comprometido el derecho a la intimidad o el secreto de las comunicaciones. La nueva regulación legal encomienda ahora al Juez valorar normalmente con carácter previo, aunque, en algunos supuestos con posterioridad al registro, como se verá– la procedencia de la medida en el caso concreto, teniendo en cuenta que, con ella, como se ha señalado, los poderes públicos accederán a ese entorno virtual constitucionalmente protegido del que es titular el investigado. Como expresa la STS n.º 786/2015, de 4 de diciembre, «la ponderación judicial de las razones que justifican, en el marco de una investigación penal, el sacrificio de los derechos de los que es titular el usuario del ordenador, ha de hacerse sin perder de vista la multifuncionalidad de los datos que se almacenan en aquel dispositivo». Solo a la hora de motivar específicamente la medida deberá descenderse al análisis particular de los derechos controvertidos, cuyo mayor o menor protagonismo y afectación, determinarán la mayor o menor exigencia de los principios rectores que habrán de presidir la medida.

3. Registro de dispositivos de almacenamiento masivo de información

3.1 Regulación legal.

El Capítulo VIII, del Título VIII, del Libro II, LECrim, aparece dedicado al registro de dispositivos de almacenamiento masivo de información. Comprende tres preceptos (arts. 588 sexies a a 588 sexies c), a lo largo de los cuales se condensa toda la regulación que, igual que ocurre con el resto de diligencias de investigación tecnológica, aparece complementada por las Disposiciones Comunes que se incluyen en el Capítulo IV de este mismo Título (arts. 588 bis a a 588 bis k).

Al analizar la aplicación de estos preceptos no debe desconocerse, igual que ocurre en relación con otras medidas de investigación tecnológica, que la regulación que la LECrim recoge quedará circunscrita a los supuestos que la justifican en atención a su encuadramiento sistemático dentro de la propia Ley; en particular, de la rúbrica que encabeza el Título VIII –De las medidas de investigación limitativas de los derechos reconocidos en el artículo 18 de la Constitución– se desprende que los preceptos que se analizan resultarán únicamente aplicables a aquellos registros de dispositivos de almacenamiento masivo de información que sean acordados por las autoridades públicas en la persecución de delitos, pudiendo resultar afectados los derechos reconocidos en el art. 18 CE.

Así, por ejemplo, quedarán excluidos del ámbito de la regulación los accesos a dispositivos de almacenamiento masivo de información llevados a cabo por particulares en contextos desconectados de la investigación de los delitos. En este sentido, proclama la STS n.º 287/2017, de 19 de abril: «se trata de una prueba proporcionada por un particular a los agentes de la autoridad sin que esa entrega haya sido concebida como un mecanismo de elusión de las garantías que el sistema constitucional reconoce para la protección de los derechos a la intimidad y al entorno virtual. Hemos dicho que “… las reglas de exclusión probatoria se distancian de su verdadero sentido cuando no tienen relación con la finalidad que está en el origen mismo de su formulación. De lo que se trata es de limitar el afán del Estado en la persecución de los ilícitos penales, de apartar a los agentes de la autoridad de la tentación de valerse de medios de prueba que, por su alto grado de injerencia en el círculo de los derechos fundamentales, están sometidos a unas garantías constitucionales concebidas para la salvaguardia de aquéllos. Se ha dicho con acierto que la proscripción de la prueba ilícita se explica por el efecto disuasorio que para el aparato oficial del Estado representa tener plena conciencia de que nunca podrá valerse de pruebas obtenidas con vulneración de las reglas constitucionales en juego». En este mismo sentido, el ejercicio de la patria potestad por los padres les confiere también a estos una facultad de control sobre la intimidad de sus hijos menores que puede traducirse en el acceso y registro legítimo de sus datos íntimos, pudiendo llegar a generar prueba valorable por un Tribunal, no obstante su obtención al margen de la previsión legal (STS n.º 864/2015, de 10 de diciembre).

Igualmente quedarían excluidos de la regulación los supuestos de registro de dispositivos que, por el objeto y fines para los que se utilizan, resultaran extraños al ejercicio del derecho a la intimidad por particulares. Es el caso de la STS n.º 426/2016, de 19 de mayo, que señala que «no obstante lo anterior en el caso presente no se trata de despachos, ni ordenadores privados del recurrente sino de los existentes en un organismo público como es la Jefatura Provincial de Tráfico, que no ampara la intimidad que protege el domicilio y quienes trabajan en ellos y los utilizan por razón de su trabajo, no tienen una pretensión de privacidad que el lugar no les puede proporcionar». La falta de expectativa razonable de privacidad constituye también el argumento del Tribunal Constitucional (STC n.º 170/2013, de 7 de octubre) para no considerar vulnerados los derechos fundamentales de un trabajador cuyo ordenador fue intervenido y registrado por la empresa.

De manera congruente con la regulación del resto de las medidas de investigación tecnológica, el legislador parte de los criterios generales ya establecidos en el Capítulo IV, para precisar en este Capítulo VIII las especialidades que presenta esta medida en relación con otras.