M5.

256 – ASPECTES PROCESSALS DE LA CIBERDELINQÜÈNCIA

Semestre març – juny 2023 Mòdul 4

Solucions a la prova d'avaluació contínua – PAC 4

Cooperació jurídica internacional en la investigació del ciberdelicte

CAS PRÀCTIC 1

A. Respon motivadament si les següents afirmacions són veritables o falses:

1. Un jutge d'instrucció espanyol pot remetre una ordre europea d’investigació perquè un jutge
noruec citi a un testimoni per la celebració d'un judici oral.

És fals. Quan un jutge espanyol necessita la col·laboració d'un altre jutge de la Unió Europea haurà
de remetre la corresponent ordre europea de recerca, regulada a la Llei 23/14 de 20 de novembre de
reconeixement mutu de resolucions penals a la Unió Europea que regula al seu Títol X l'Ordre
Europea de Recerca (OEI). A efectes de simple coneixement, podem acudir al Conveni d'Aplicació de
l'Acord de Schengen de 14 de juny de 1985, en virtut del qual en aquests casos les sol·licituds
d'assistència judicial es poden fer directament entre les autoritats judicials i es poden remetre per la
mateixa via, sense perjudici de la facultat d'enviament i reenviament entre ministeris de justícia o a
través de les oficines centrals nacionals de l'Organització Internacional de Policia Criminal.

2. Digi, amb seu a Romania, té l'obligació de facilitar directament a un jutge espanyol les dades
d'identificació d'una IP que s'ha utilitzat per cometre un delicte d'estafa informàtica.

És fals. Quan es tracta d'una empresa de telecomunicacions multinacional amb seu social en un altre
país actualment caldrà articular la comissió rogatòria corresponent o, tractant-se d'empreses
domiciliades a la Unió Europea, com és l'enunciat, acudirem a l'Ordre Europea de Recerca (art. 202
Llei 3/2018). Això és així perquè encara no està en vigor la proposta de reglament del Parlament
Europeu i del Consell sobre les ordres europees de lliurament de proves electròniques a efectes
d'enjudiciament penal.

3. Citar una persona que visqui a l'estranger a l'ambaixada del nostre país perquè declari com
a testimoni a l'acte del judici és una pràctica correcta.

Fals. No és una actuació processal ajustada a dret perquè s'ha practicat al marge del procediment
previst i sense les garanties processals. El que és procedent és aplicar l'article 24 de la Directiva
2014/41/CE del Parlament Europeu i del Consell que estableix que “quan una persona es trobi al
territori de l'Estat d'execució i hagi de ser escoltada com a testimoni o perit per les autoritats
competents de l'Estat d'emissió, l'autoritat d'emissió pot emetre una OEI perquè la compareixença del
testimoni o del pèrit es faci per videoconferència o altres mitjans de transmissió audiovisual, de
 ASPECTES PROCESSALS DE LA CIBERDELINQÜÈNCIA
Criteris de solució PAC 4

conformitat amb els apartats 5 a 7. L'autoritat d'emissió també pot emetre una OEI a efectes que un
investigat o acusat siguin escoltats per videoconferència o un altre mitjà de transmissió audiovisual”.

4. L'instrument normatiu de cooperació que permet a Espanya adreçar-se a Colòmbia perquè

acordi facilitar una evidència digital obtinguda en aquell país és el Conveni de Budapest.

La resposta és veritable. Colòmbia va signar a finals de 2018 el Conveni de Budapest de 2001.

Aquest instrument exigeix prestar-se la més àmplia assistència judicial recíproca en les investigacions
o els procediments relatius a delictes relacionats amb sistemes i dades informàtiques o per a
l'obtenció de proves en format electrònic d'un delicte. Concretament, l'art. 31 disposa que una part
podrà sol·licitar a una altra part que registri o accedeixi de forma similar, confisqui o obtingui de forma
similar i reveli dades emmagatzemades per mitjà d'un sistema informàtic situat al territori de la part
requerida, incloses les dades conservades en aplicació de l'article 29. La part requerida ha de donar
resposta a la sol·licitud aplicant els instruments internacionals, els acords i la legislació esmentats a
l'article 23, així com de conformitat amb altres disposicions aplicables en aquest capítol. Es donarà
resposta com més aviat millor a la sol·licitud quan: a) Hi hagi motius per creure que les dades
pertinents estan especialment exposades al risc de pèrdua o modificació; o b) els instruments, els
acords o la legislació esmentats a l'apartat 2 prevegin la cooperació ràpida.

5. En el curs d'una entrada i escorcoll, es confisca un ordinador on hi ha descarregades

determinades aplicacions els servidors de les quals es troben a l'estranger. Cal recórrer a la
cooperació penal internacional per accedir al contingut.

La resposta és falsa.

La Circular de la Fiscal General de l'Estat núm. 5/2019 es planteja aquest problema i li dona resposta
en els termes següents:

L'accés a sistemes informàtics externs també pot plantejar problemes de jurisdicció. Efectivament, la
inexistència de fronteres a internet, unida als menors costos que es generen per al servei en
determinats països, farà que resulti freqüent que els servidors d'emmagatzematge de dades estiguin
ubicats físicament fora del territori on el jutge que autoritzi el registre exerceixi la seva jurisdicció (o
fins i tot es desconegui el lloc on es trobin localitzats). En aquests casos, si es parteix d'una concepció
tradicional dels límits de la jurisdicció basada en criteris territorials, podria semblar més correcte per
obtenir aquestes dades acudir a mecanismes de cooperació judicial internacional que, tanmateix,
resultarien absolutament incompatibles amb la celeritat que requereixen aquest tipus de recerca.

A més, en molts supòsits, o bé es desconeix la localització de les dades (deslocalització) o bé

aquestes es troben fragmentades en servidors ubicats a diversos territoris o la seva ubicació en un o
altre lloc és aliena a la voluntat del titular dels mateixos i depèn exclusivament de la conveniència
tècnica o operativa del proveïdor de serveis d'emmagatzematge que modifica la ubicació segons les
necessitats pròpies. Per això, condicionar l'obtenció de les dades al lloc on es troben, conduiria al
fracàs de moltes investigacions simplement perquè es desconeix el lloc exacte de la seva ubicació, de
manera que resultarien ineficaces les mesures de cooperació internacional adoptades.

Semestre març– juny 2023 2

 ASPECTES PROCESSALS DE LA CIBERDELINQÜÈNCIA
Criteris de solució PAC 4

Davant d'aquesta perspectiva, el legislador espanyol s'ha decantat decididament per la licitud de
l'accés amb la simple autorització judicial, fins i tot en els casos en què les dades estiguin fora
d'Espanya. Així s'evidencia la interpretació literal de la regulació legal, i més si es compara amb el
precedent immediat, l'art. 350.4 de la Proposta de Codi Processal Penal, que limitava l'accés a les
dades emmagatzemades en sistemes informàtics ubicats al territori espanyol, remetent a la
cooperació judicial internacional en la resta dels casos. Aquesta previsió seguia els criteris de l’art.
19.2 del Conveni sobre la Ciberdelinqüència que, al seu Informe Explicatiu, assenyalava
expressament que la norma no permetia el registre de sistemes ubicats fora de les fronteres nacionals
pròpies, remetent també a la cooperació judicial internacional per a aquests casos.

El plantejament que ara es fa, però, és considerar els repositoris telemàtics d'emmagatzematge com
una part més del sistema que es registra. El que és realment determinant no serà on es trobin
físicament les dades, sinó des d'on s'hi accedeixi.

D'aquesta manera, igual que es pot afirmar que el titular d'aquestes dades les posseeix des
d'Espanya i exercita els seus drets sobre elles des d'Espanya i d'acord amb el dret espanyol, es pot
afirmar que quan s'hi accedeix en un registre judicial, es fa a Espanya i d'acord amb el dret espanyol
sempre, és clar, que, com s'ha assenyalat, es pugui parlar d'un accés lícit. De la mateixa manera que
resultaria il·lògic considerar que el posseïdor de pornografia infantil no pot ser perseguit a Espanya si
els arxius es troben a servidors ubicats a l'estranger, resultarà il·lògic considerar que el jutge espanyol
no pot accedir a dades d'un sistema informàtic ubicat a Espanya per la circumstància que la dada
concreta a què s'accedeix es trobi en un servidor ubicat a l'estranger.

CAS PRÀCTIC 2

Aquest exercici consisteix a respondre cinc preguntes interrelacionades entre si, amb la
singularitat que us facilito el text normatiu que hi és aplicable: i) La Clarifying Lawful Overseas
Use of Data Act, més coneguda com a Cloud Act. Es pot veure a https://
www.congress.gov/bill/115th-congress/house-bill/4943/text ii) la Proposta de Reglament del
Parlament Europeu i del Consell de 20 de gener de 2023
https://data.consilium.europa.eu/doc /document/ST-5448-2023-INIT/en/pdf; iii) els articles 588
ter j i octies de la Llei d'Enjudiciament Criminal; iv) la Llei 3/2018, d'11 de juny; i v) el Conveni
sobre la Ciberdelinqüència de 2001, amb el segon Protocol Addicional adoptat pel Comitè de
Ministres del Consell d'Europa el 17 de novembre de 2021 https://rm.coe.int/1680a49dab i
https://www.boe .es/buscar/doc.php?id=DOUE-L-2023-80291. La seva lectura total o parcial
resulta imprescindible per donar resposta a les preguntes següents:

1. Quin és el punt en comú d'aquestes cinc normes?

Són normes que regulen l'accés de les autoritats judicials a dades obrants en arxius automatitzats
dels prestadors de serveis.

2. Quan hem d'aplicar els articles 588 ter j i octies de la Llei d'Enjudiciament Criminal, i quan la
Llei 3/2018, d'11 de juny

Semestre març– juny 2023 3

 ASPECTES PROCESSALS DE LA CIBERDELINQÜÈNCIA
Criteris de solució PAC 4

Aplicarem els articles 588 ter j i k quan es tracti d'empreses prestadores de serveis nacionals
domiciliades a Espanya. Quan les empreses estrangeres que tinguin la seu social en algun dels
països de la Unió Europea, caldrà remetre la corresponent ordre europea de recerca a l'empara de
les disposicions de la Llei 3/2018, d'11 de juny.

3. Per què és important l'article 588 octies de la Llei d'Enjudiciament Criminal?

Atenent al tenor del precepte, es tracta de la facultat de la Policia Judicial i del Ministeri Fiscal
d'ordenar a qualsevol persona física o jurídica l'assegurament i la conservació de dades
emmagatzemades que puguin ser incorporades al procés ulteriorment a través de les diferents
mesures que ja hem tot això amb l'objectiu preventiu d'evitar-ne l'eliminació o la manipulació i
garantir l'eficàcia d'aquelles mesures. Tal com explica la Circular FGE 1/2019, es tractaria del
contingut de comunicacions telemàtiques, dades electròniques associades o no a un procés de
comunicació, o dades contingudes en dispositius d'emmagatzematge.
El precepte especifica que les dades es conservaran durant un període màxim de noranta dies,
prorrogable una sola vegada fins que s'autoritzi la cessió o es compleixin cent vuitanta dies. El
requerit està obligat a prestar la seva col·laboració i a guardar secret del desenvolupament
d'aquesta diligència, i queda subjecte a la responsabilitat descrita a l'apartat 3 de l'art. 588 ter e”.
És important destacar que en el cas de dades de trànsit i associades, aquest deure de conservació
se superposa i complementa l'obligació dels operadors que prestin serveis de comunicacions
electròniques de conservar-los per un termini de 12 mesos, tal com estableix la Llei 25/2007 , de
18 d'octubre, de conservació de dades relatives a les comunicacions electròniques (art. 5).

4. A dia de la data, d'acord amb les normes esmentades, com puc obtenir el contingut d'uns
correus electrònics de Microsoft en el cas d'una estafa bàsica de l'article 248 del Codi Penal?

Quan es tracta d'obtenir dades de contingut, la pràctica evidència que caldrà remetre d'ordinari la
comissió rogatòria corresponent als Estats Units. Si, per contra, només són dades d'identificació
(titularitat d'un compte) intentaria una cooperació voluntària per part de Microsoft Espanya a través de
la policia judicial.

No obstant això, en un futur s'entreveuen vies per poder acudir directament a aquelles empreses.
Així, podem assenyalar i) el Reglament del Parlament Europeu i del Consell sobre les ordres
europees de lliurament i conservació de proves electròniques a efectes d'enjudiciament penal; ii) la
Llei Cloud Acta quan la Unió Europea o Espanya en particular signin un conveni amb els Estats Units
per poder cursar aquestes comunicacions directament amb Microsoft sota la protecció d'aquella llei
nord-americana, o iii) el Segon Protocol de Budapest, quan s'adoptin pels Estats part les mesures
legislatives i d'un altre tipus que siguin necessàries per facultar les seves autoritats competents a
emetre un requeriment que es presenti com a part d'una sol·licitud a una altra part, a fi d'obligar un
proveïdor de serveis que estigui al territori de la part requerida a presentar: a) informació específica i
emmagatzemada relativa als abonats, i b) dades relatives al trànsit específics i emmagatzemats, que
obrin en poder o estiguin sota el control del proveïdor de serveis esmentats i siguin necessàries per a
investigacions o processos penals específics de la Part (art. 8)

Semestre març– juny 2023 4

 ASPECTES PROCESSALS DE LA CIBERDELINQÜÈNCIA
Criteris de solució PAC 4

5. Quines conseqüències tindrà el Reglament pel que fa a l'estat actual de les ordres europees
d’investigació?

Facilitarà i agilitzarà l'accés de les autoritats a les proves electròniques, sigui quin sigui el lloc on
estiguin emmagatzemades les dades. Permetran a les autoritats judicials d'un país de la UE sol·licitar
directament l'accés a proves electròniques a qualsevol proveïdor que presti serveis a la Unió Europea
i estigui establert o tingui representació a un altre Estat membre.

6. Quines conseqüències té la Llei Cloud Act en relació amb empreses nord-americanes com
ara Facebook o Google?

En el marc de les preguntes prèvies realitzades, relatives a la cooperació jurídica internacional, la llei
nord-americana permet a les autoritats de països estrangers dirigir-se directament a proveïdors de
comunicacions electròniques nord-americanes per divulgar el contingut d'una comunicació electrònica
o informació pertanyent a un subscriptor o client; però aquesta possibilitat està condicionat al fet que
els Estats Units celebrin acords executius amb governs estrangers per regular l'accés a dades.

Semestre març– juny 2023 5