+34.911735181 pablo@pablofb.com   Contenido basado en normas de España (Europa), salvo indicación expresa en contrario.

Resumen de la Circular de Fiscalía sobre registro de equipos informáticos

La Fiscal General del Estado ha publicado la Circular 5/2019 sobre registro de dispositivos y equipos informáticos. Este registro es una de las medidas de investigación tecnológicas incluidas en la Ley de Enjuiciamiento Criminal de especial utilidad en la investigación por las autoridades.

A continuación indico lo que considero más interesante de la norma.

Notas clave:

  • Título completo: Circular 5/2019, de 6 de marzo, de la Fiscal General del Estado, sobre sobre registro de dispositivos y equipos informáticos.
  • Resumen: Establece instrucciones para el registro de dispositivos y equipos informáticos de manera que se obtengan los mayores resultados minimizando el impacto de esta medida sobre los derechos y libertades fundamentales de las personas.
  • Enlace oficial: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2019-4244
  • Rango: Circular
  • Fecha de disposición: 06/03/2019
  • Fecha de publicación: 22/03/2019

Resumen de la Circular de Fiscalía sobre registro de equipos informáticos

La Ley de Enjuiciamiento Criminal abre la vía para el registro de los dispositivos y sistemas informáticos. Esta forma de acceder a información se enfrenta al «derecho al entorno virtual» de los afectados.

Como expresa la STC n.º 173/2011, de 7 de noviembre, «quizás, estos datos que se reflejan en un ordenador personal puedan tacharse de irrelevantes o livianos si se consideran aisladamente, pero si se analizan en su conjunto, una vez convenientemente entremezclados, no cabe duda que configuran todos ellos un perfil altamente descriptivo de la personalidad de su titular, que es preciso proteger frente a la intromisión de terceros o de los poderes públicos, por cuanto atañen, en definitiva, a la misma peculiaridad o individualidad de la persona».

Adicionalmente, la STS n.º 786/2015 (citada en la STS 5809/2015), de 4 de diciembre, expresa que «la ponderación judicial de las razones que justifican, en el marco de una investigación penal, el sacrificio de los derechos de los que es titular el usuario del ordenador, ha de hacerse sin perder de vista la multifuncionalidad de los datos que se almacenan en aquel dispositivo».

Publicidad
Protección de datos y ciberseguridad para tu empresa

1.- Autorización judicial y jurisdicción competente:

  • El registro de dispositivos y equipos informáticos limita el denominado derecho fundamental al entorno virtual del individuo. Para llevarlo a cabo será necesaria siempre autorización judicial, independientemente de que resulte afectado el derecho al secreto de las comunicaciones o simplemente el derecho a la intimidad del investigado.
  • La motivación de la resolución judicial que autorice el registro deberá tener en cuenta la multifuncionalidad de los datos que se almacenan en el dispositivo, justificando conforme a los principios rectores el acceso a cada categoría de datos cuyo registro autorice, en función de la mayor o menor gravedad de los hechos investigados. El ámbito tecnológico de comisión del delito deberá ser especialmente considerado para autorizar el registro.
  • No será necesaria autorización judicial para el registro de dispositivo de almacenamiento masivo de información cuando el afectado preste su consentimiento al mismo. La prestación del consentimiento podrá hacerse de manera expresa o tácita, aunque siempre de forma inequívoca y libre, sin vicios que la condicionen. Cuando el afectado estuviere detenido, solo será válido el consentimiento otorgado con asistencia letrada.
  • La práctica de una diligencia de entrada y registro habilita para la aprehensión de dispositivos de almacenamiento masivo de información, pero no para su registro, que requiere una motivación judicial específica independiente de la que justifica la limitación del derecho a la inviolabilidad domiciliaria. Dicha motivación podrá hacerse en la misma o en diferente resolución judicial del auto de entrada y registro.
  • La resolución judicial habilitante deberá precisar los concretos dispositivos de almacenamiento masivo de información que podrán ser registrados y, dentro de estos, los concretos datos a los que podrá alcanzar el registro, justificando la decisión conforme a los principios de excepcionalidad, necesidad y proporcionalidad.
  • En todos los casos de registro de dispositivos de almacenamiento masivo de información será necesario que el Juez recoja en la resolución habilitante las concretas garantías que aseguren la integridad y preservación de los datos, garantías que, de ordinario, se proyectarán sobre la recogida de los dispositivos y su posterior conservación.
  • La jurisdicción de los órganos judiciales españoles se extenderá al registro de cualquier sistema informático que se encuentre en territorio español, con independencia de que los datos se hallen almacenados en servidores ubicados fuera del territorio nacional, siempre que fueren lícitamente accesibles desde el sistema registrado.

2.- Alcance, copias y clonado:

  • El registro de dispositivos de almacenamiento masivo de información podrá ampliarse a otros sistemas informáticos que sean lícitamente accesibles desde el que se esté registrando con autorización judicial, ya pertenezcan al propio investigado, ya pertenezcan a un tercero en cuyo sistema el investigado almacene datos.
  • Como regla general, deberán realizarse copias del contenido de los dispositivos de almacenamiento masivo de información, llevando a cabo el registro y análisis de los datos que contengan sobre las copias y no sobre los originales. La realización de copias deberá ser siempre autorizada previamente por el Juez.
  • No será necesaria la presencia del Letrado de la Administración de Justicia durante el clonado de dispositivos de almacenamiento, aunque sí es recomendable para garantizar la identidad de los dispositivos y su integridad en el caso de copias lógicas o selectivas.
  • Como regla general deberá evitarse la incautación de los dispositivos de almacenamiento masivo de información salvo en los supuestos previstos en la Ley y, en cualquier caso, adoptarse siempre las cautelas necesarias tendentes a evitar que de la instrucción penal se deriven perjuicios innecesarios para los afectados por la medida de investigación.

3.- Casos de urgencia

  • En caso de urgencia y concurriendo un interés constitucional legítimo, podrá la Policía Judicial llevar a cabo el registro de dispositivos de almacenamiento masivo de información sin habilitación judicial previa, pero siempre con su convalidación posterior. Este registro podrá alcanzar a cualquier dato íntimo o relativo al secreto de las comunicaciones que integre el derecho al entorno virtual del afectado.
  • El registro resultará urgente cuando sea necesario para la prevención y averiguación del delito, el descubrimiento de los delincuentes y la obtención de pruebas incriminatorias, y se ajustará a un interés constitucional legítimo cuando persiga la actuación del «ius puniendi» del Estado, la investigación de los delitos y la determinación de hechos relevantes para el proceso penal.

4.- Deber de colaboración

  • El deber de colaboración con las autoridades y sus agentes para facilitar el registro de dispositivos de almacenamiento masivo de información alcanzará a cualquier persona que conozca el funcionamiento del sistema informático o sus medidas de seguridad, aunque no llegue a tener ninguna relación con el sistema objeto de registro, como podrían ser los fabricantes de los dispositivos registrados o terceros con conocimientos sobre la seguridad del dispositivo o sistema informático.
  • Únicamente podrán ser destinatarias de la orden de colaboración las personas que se encuentren en territorio español. La colaboración de una persona que se encuentre en el extranjero deberá recabarse a través de los instrumentos de cooperación jurídica internacional.
  • El deber de colaboración en el registro comprende la facilitación de la información que resulte necesaria para el mismo, pero no el desarrollo de actividades o trabajos tendentes a posibilitar el registro, como sería el desarrollo de programas informáticos específicos para el registro.
  • Se exceptúan del deber de colaboración los supuestos que supongan una carga desproporcionada para el afectado. Para valorar la proporcionalidad de la colaboración deberá el Juez ponderar que el sacrificio de los derechos e intereses de la persona afectada no resulte superior al beneficio que para el interés público y de terceros resulte del cumplimiento de ese deber de colaboración.

5.- Caso especial: el registro remoto

  • El registro remoto sobre equipos informáticos conlleva una limitación del derecho al entorno virtual del afectado mucho más intenso que el registro de dispositivos de almacenamiento masivo de información, en atención a su carácter dinámico y su desarrollo sin conocimiento del afectado. Esta circunstancia determina las mayores exigencias que contiene su regulación en relación con los registros directos.
  • Cuando las técnicas que prevé la Ley para el registro remoto de equipos informáticos sean utilizadas únicamente para la interceptación de comunicaciones telemáticas, sin acceder al resto de los datos que pudieren existir en un sistema informático, serán de aplicación las previsiones de la LECrim establecidas para la interceptación de comunicaciones telemáticas. Por el contrario, serán aplicables las disposiciones previstas para el registro remoto cuando la medida de investigación autorice el acceso a los datos, independientemente de que también se acceda a las comunicaciones telemáticas.
  • La resolución judicial que acuerde un registro remoto deberá precisar, conforme a los principios rectores de las medidas de investigación tecnológica, el concreto dispositivo o sistema informático y, en su caso, la clase de datos, a los que se extenderá el registro. Igualmente, deberá señalar la técnica de acceso que se utilice y, si se tratara de un programa informático, la indicación de éste. Cuando se utilicen programas específicamente diseñados para su utilización policial deberá indicarse el tipo de programa utilizado, su alcance potencial y sus funcionalidades.
  • La realización de copias de los datos registrados remotamente deberá ser autorizada por el Juez. Para la obtención de copias se procurará volcar los datos registrados bajo la fe del Letrado de la Administración de Justicia, adoptándose las cautelas oportunas para garantizar la integridad e identidad de los datos volcados.
  • En los registros remotos de equipos informáticos, la ampliación del registro a otros sistemas en los que hubiera indicios de encontrarse allí los datos requerirá siempre autorización judicial previa, no siendo posible el registro policial con convalidación judicial posterior.
  • En los registros remotos se establece un deber de colaboración más amplio y que alcanza a más sujetos que el que se establece para los dispositivos de almacenamiento masivo de información. Este mismo fundamento justifica que, en estos registros, los sujetos obligados no puedan excusarse de su obligación por la desproporción de la carga que para ellos suponga.
  • Los plazos de duración que se establecen para el registro remoto sobre equipos informáticos se computarán siempre desde la fecha del auto por el que se acuerde la medida y no desde la fecha de efectividad de la misma.

 

He abierto una sección nueva en mi blog. Por si a alguien le entra curiosidad: https://www.pablofb.com/

Publicidad
Protección de datos y ciberseguridad para tu empresa