Dimensión jurídico-penal del correo electrónico
Por MANUEL MARCHENA GÓMEZ
Fiscal del Tribunal Supremo. Doctor en Derecho El uso generalizado del correo electrónico ha puesto de manifiesto la existencia de problemas jurídicos de muy diversa índole, en la mayoría de las ocasiones insuficientemente tratados por la dogmática y la jurisprudencia. El intercambio de información a través de las redes telemáticas presenta implicaciones, tanto de naturaleza sustantiva como procesal. Algunas de estas cuestiones son objeto de análisis en el presente artículo.
I. INTRODUCCIÓN
Las ventajas del correo electrónico como instrumento de comunicación hacen explicable que el número de usuarios que ha hecho de su utilización una práctica cotidiana nada tenga que ver con las previsiones manejadas hace sólo escasos años. El uso generalizado del correo electrónico representa un hecho irreversible, abierto a inéditas posibilidades a la vista de un avance tecnológico que no parece conocer límites. Todo apunta, huyendo de cualquier tono profético, a que en los próximos años la capacidad de intercomunicación de los usuarios se habrá multiplicado, abriendo la puerta a un escenario virtual en el que la calidad, la cantidad y la velocidad de lo transmitido experimentará cambios difícilmente imaginables. El servidor británico Telewest Broadband ya tiene en avanzada fase de prueba un e-mail aromático, creado a partir de un ambientador de alta tecnología, que se conecta con el ordenador y produce un determinado olor relacionado con el mensaje. El sistema --argumentan sus creadores-- servirá para grandes superficies, que podrían tentar a sus clientes con el olor del pan recién hecho o agencias de viajes, que podrían reproducir los olores de playas paradisíacas (1). Cada vez es más evidente que el correo electrónico no es --nunca lo fue-- un simple instrumento de mensajería. Mediante su utilización se transfieren declaraciones de voluntad, de conocimiento, noticias, documentos, archivos, programas y todo aquello susceptible de viajar a través de las redes telemáticas.
Y hoy más que nunca es perceptible la sensación de que algo se mueve en Internet, de que el espacio virtual de libertad y anomia que la red representó en sus orígenes está evolucionando en un sentido muy distinto. No faltan propuestas doctrinales para modificar la arquitectura de Internet que implicarían un cambio radical en la extendida cultura del anonimato (2). Desde el punto de vista político, se suceden iniciativas que alimentan las razones para la inquietud. La puesta en funcionamiento del sistema ECHELON nos desnuda como emisores y como destinatarios. En efecto, la National Security Agency (NSA) ha creado un sistema global de información y vigilancia con esa denominación, que captura y analiza virtualmente cualquier llamada telefónica, fax, correo electrónico y telemensaje enviado desde cualquier parte del mundo (3). El sistema ECHELON es controlado por la NSA conjuntamente con la General Communications Head Quarters (GCHQ) de Inglaterra, la Communications Security Establishment (CSE) de Canadá, la Australian Defense Security Directorate (DSD) y la General Communications Security Bureau (GCSB) de Nueva Zelanda (4).
Y la reciente decisión (5) de la presidencia británica de la Unión Europea de elaborar una propuesta de directiva sobre la retención de datos surgidos de las comunicaciones electrónicas y telemáticas advierte de que la reivindicada transparencia puede dejar paso a un control por los poderes públicos de cuanto transmitimos y recibimos por medios electrónicos o telemáticos de comunicación. La seguridad representa otro de los pilares del ambicioso plan i2010 A European Information Society for growth and employement(6), presentado el 1 de junio de este mismo año en el marco de la relanzada Estrategia de Lisboa, adoptada en el Consejo Europeo de Lisboa de 2000.
El actual estado de cosas, pues, alienta la idea de que, hoy por hoy, el análisis jurídico de las implicaciones de la red y, con ella, del correo electrónico, está más instalado en el deber ser que en el ser. El funcionamiento actual de la red no puede explicarse, sin más, con arreglo al sustrato conceptual históricamente asociado a los derechos a la intimidad y el secreto de las comunicaciones. De cómo sepamos modular tales derechos y adaptar la extensión material de los mismos a las nuevas tecnologías va a depender el futuro de Internet o, lo que es lo mismo, el futuro de un día a día cada vez más ligado a las nuevas tecnologías (7).
A partir de esa idea inicial, las cuestiones sustantivas y procesales convergen a la hora de plantearse el análisis de las implicaciones jurídicas derivadas del uso del correo electrónico. Esas implicaciones no se limitan a un único orden jurisdiccional, sino que muestran una clara proyección interdisciplinar. Este hecho condiciona, por sí solo, el alcance del presente trabajo. Pretender abarcar en un estudio de estas características todas y cada una de las derivaciones jurídicas predicables del correo electrónico resultaría, no sólo una osadía metódica, sino un intento difícilmente encajable en los comprensibles límites de espacio a los que se subordina el presente trabajo. La multitud de cuestiones abordables bajo un epígrafe excesivamente genérico aconseja poner límites. De ahí que se haya considerado procedente centrar nuestro interés en el ámbito penal, analizando el significado jurídico de la utilización del correo electrónico desde la doble perspectiva sustantiva y procesal. Ello no impide que, con ocasión del estudio de los problemas de antijuricidad asociados al delito de apoderamiento de mensajes de correo electrónico, nuestras consideraciones se extiendan al análisis de materias que hoy ocupan de modo preferente al Derecho laboral.
II. EL APODERAMIENTO Y LA INTERCEPTACIÓN DEL CORREO ELECTRÓNICO COMO DELITO CONTRA LA INTIMIDAD PERSONAL
1. Puntualización sistemática
El art. 197.1 incluye y sanciona, entre las acciones típicas que describe, al que para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus (...) mensajes de correo electrónico.
Bajo ese enunciado legal --Título X, Libro II del CP-- se esconden numerosos interrogantes ligados a la novedad de un precepto en cuya indagación, sin embargo, pesa demasiado el valor interpretativo del apoderamiento de papeles y cartas a que se refería el previgente art. 497 del CP. Las limitaciones de espacio que son propias de este trabajo obligan a renunciar anticipadamente a una exposición detallada de la estructura del tipo básico y de los tipos agravados que acoge el art. 197. Valga, pues, una remisión a los excelentes trabajos de la dogmática que se ha encargado del análisis de ese precepto (8).
Quizás convenga ahora resaltar algunos aspectos sugeridos por la exégesis doctrinal del precepto. Así, por ejemplo, la consideración del apoderamiento de mensajes de correo electrónico como un delito intencional de resultado cortado (9), el alcance del elemento tendencial abarcado por el tipo subjetivo (10)--descubrir los secretos o vulnerar la intimidad de otro-- y, en fin, las dificultades aplicativas (11) de algunos de los tipos agravados (art. 197.4 y 5), que parecen estar concebidos más en orden a la protección penal frente al tratamiento automatizado de datos que frente al delito de apoderamiento de mensajes de correo electrónico. Las aludidas limitaciones imponen sus propias reglas y obligan a un criterio sistemático selectivo en el que nuestro interés se centrará en dos bloques sistemáticos. El primero, ligado a cuestiones relacionadas con el objeto del delito y la innecesariedad de que el mensaje penalmente tutelado sea el mensaje encriptado. El segundo, relacionado con la antijuricidad y la confluencia de otros derechos o intereses que podrían legitimar el acto de injerencia. Aquí abordaremos el debatido problema de la inspección por el empresario del correo electrónico del trabajador y lo que podríamos denominar los actos de injerencia en el seno de la comunidad familiar.
2. Objeto: innecesariedad de encriptación del mensaje
El objeto del apoderamiento ha de estar representado por mensajes de correo electrónico. Pese a su aparente sencillez, la fijación de lo que por tal haya de entenderse suscita algunos interrogantes. Aun tratándose de una descripción cuyos contornos parecen ser desbordados por la realidad, el art. 2 h) de la Directiva 58/2002/CE, de 12 de julio, tiene el mérito de proporcionar un concepto legal de correo electrónico. Por tal debe entenderse "todo mensaje de texto, voz, sonido o imagen enviado a través de una red de comunicaciones pública que pueda almacenarse en la red o en el equipo terminal del receptor hasta que éste acceda al mismo". Quedan fuera de la protección penal ante su falta de conexión con el bien jurídico los mensajes en bitácoras, listas de distribución (mailing list) y chat-room abiertos.
En los programas más usuales de gestión de correo electrónico, el mensaje se integra por el juicio, pensamiento o declaración de voluntad que quiere emitirse y por otros aspectos relativos a la hora, fecha, dirección de correo y demás datos que permiten la identificación del remitente. De hecho, sin necesidad de acceder al contenido del mensaje, se puede obtener una valiosa información --campos de cabecera-- que plantea la duda de si también se halla protegida por el derecho a la intimidad. La respuesta no es, desde luego, fácil. La jurisprudencia del Tribunal Constitucional, con apoyo en la sentencia del TEDH --Caso Malone-- ha declarado que el concepto de secreto que aparece en el art. 18.3 no cubre sólo el contenido de la comunicación, sino también, en su caso, otros aspectos de la misma, como, por ejemplo, la identidad subjetiva de los interlocutores o de los corresponsales (12). Más adelante --como se verá infra-- esa doctrina autolimita su alcance, declarando el Tribunal Constitucional que el secreto de las comunicaciones propiamente dicho sólo abarca el proceso de comunicación, mientras que los datos generados por ese proceso encuentran su referencia jurídica en el derecho a la intimidad, cuya tutela constitucional no se identifica con el derecho al secreto (SSTC 70/2002 y 132/2002 --LA LEY JURIS 6264/2002--). Tratándose del correo electrónico, es más que dudoso que el conocimiento puramente vestibular de datos pueda llegar a integrar el tipo. Si bien se mira, el correo convencional permite sin dificultad alguna --basta la lectura del remite-- para conocer la identidad del remitente y su domicilio. Cuestión bien distinta es que el acopio y tratamiento fraudulento de tales datos pueda colmar las exigencias típicas del art. 197.2. Recuérdese al respecto que, conforme al art. 3 a) de la Ley Orgánica de Protección de Datos de Carácter Personal --LO 15/1999, de 13 de diciembre-- dato es cualquier información concerniente a personas físicas identificadas o identificables.
Nótese, en cualquier caso, que aquí estamos tratando de dar respuesta a un interrogante sobre uno de los elementos del tipo objetivo. Como tendremos ocasión de comprobar infra en el epígrafe VI, el problema resurge cuando se aborda el significado de esos datos desde la perspectiva de la definición de los límites a los poderes públicos en el momento de legitimar un acto de injerencia y de reglar el régimen jurídico de su incorporación al proceso.
Conviene limitar el alcance interpretativo de la perturbadora alusión que el epígrafe del Capítulo I hace a los secretos como objeto del descubrimiento y revelación. Carecería de sentido exigir un contenido cualitativo determinado a los mensajes descubiertos o revelados. En efecto, el alcance del término secreto habría de obtenerse a partir de una doble inferencia. Por una parte, excluyendo aquellas otras manifestaciones del secreto a las que el CP confiere un tratamiento específico. De otra parte, fijando un adecuado enlace valorativo entre ese aspecto y la referencia a la intimidad que también acoge el precepto. De ahí que a los efectos de fijación del juicio de tipicidad, todo aquello que haya querido ser excluido por su titular del conocimiento por terceros, está amparado por la protección penal, con independencia de la significación secreta o no del mensaje. Esa dualidad ha sido resaltada por la jurisprudencia del TS, que recuerda que, aunque no pueda hablarse de secreto, si hay invasión del ámbito de privacidad estaremos ante el delito, pues se podrá hablar de vulneración de la intimidad (cfr. STS 1641/2000, de 23 de octubre).
La idea de excluir de la protección penal todos aquellos mensajes de correo electrónico que no vayan cifrados mediante cualesquiera de las técnicas de encriptación, no parece aceptable. Equiparar a tales efectos el sobre cerrado del correo convencional con el correo encriptado de la comunicación telemática supone debilitar sin razón el vigor de la protección penal de la intimidad y el secreto de las comunicaciones cuando su ejercicio se acoge al formato virtual. De hecho, derivar de la no encriptación del mensaje de correo electrónico una renuncia implícita a la intimidad o al secreto supone ir en contra, no ya de la jurisprudencia constitucional acerca de los requisitos para validar la renuncia a los derechos, sino de la idea que late en la regulación general de esa figura extintiva en el art. 6.2 del Código Civil.
3. Antijuricidad
El presente delito puede quedar excluido como consecuencia de la convergencia de otros derechos cuyo ejercicio excluiría la antijuricidad. En tales casos, la conclusión acerca de la existencia del tipo estará siempre condicionada por la previa ponderación de los bienes jurídicos en juego. El examen de tales supuestos, dada su naturaleza fronteriza, no siempre resulta fácil. Para que la exclusión del tipo pueda llegar a afirmarse resultará indispensable que el ejercicio del derecho se ajuste de modo escrupuloso a las condiciones y presupuestos que disciplinan su ejercicio.
Mención específica merecen dos supuestos. El primero de ellos se refiere al tratamiento jurídico del acceso por el empresario a la cuenta de correo de su empleado. En el segundo se alude a lo que podríamos denominar el espionaje doméstico, esto es, a la fiscalización del correo electrónico por parte de uno de los cónyuges al otro o del progenitor a sus hijos menores.
A) La inspección por el empresario del correo electrónico de los trabajadores
Las leyes laborales reconocen al empresario la facultad de organización del trabajo y, como correlativa consecuencia, el deber del trabajador de obediencia. Además, se reconoce a aquél capacidad de control y vigilancia sobre el cumplimiento contractual --cfr. arts. 5 a) y c) y 20.1.2 y 3 del Estatuto de los Trabajadores aprobado por RDL 1/1995, de 24 de marzo--. En definitiva, el empresario goza de la capacidad para adoptar las medidas que aseguren la adecuada utilización del material puesto a disposición del trabajador. Entre los instrumentos imprescindibles para el desarrollo de determinadas tareas puede encontrarse el correo electrónico. Es obligado, pues, conciliar dos intereses contrapuestos. El del trabajador buscando preservar su intimidad y el del empresario a la hora de llevar a cabo actos autorizados de fiscalización.
En el orden jurisdiccional laboral existe ya un amplísimo abanico de resoluciones que abordan la tensión entre ambos derechos. En todas ellas se aprecian las naturales fricciones derivadas de la convergencia entre derechos de distinto signo. Sin adentrarnos en una enumeración exhaustiva de aquellos pronunciamientos --lo que nos apartaría del verdadero objeto del presente trabajo--, baste mencionar dos de los más significativos, remitiéndonos al certero tratamiento doctrinal que sobre esta materia ya existe y a la abundante cita de sentencias que en los mismos se contienen (13). La STSJ de Cataluña de 11 de marzo de 2004 (LA LEY JURIS 1182/2004) confirmó el despido de la auxiliar de una academia que, en el período de un mes, había invertido más de 10 horas semanales de acceso privado a un chat. En el presente caso, el contrato que disciplinaba la relación de trabajo reconocía capacidad expresa a la empresa para revisar periódicamente las webs visitadas. No fue apreciada, pues, vulneración del derecho a la intimidad de quien luego resultó sancionada (14). La STS de 5 de diciembre de 2003 (LA LEY JURIS 486/2004) consideró que no existía quebranto alguno de derecho a la intimidad de los trabajadores de una teleoperadora en el caso en el que la empresa se reservara la capacidad para vigilar y monitorizar las conversaciones en las que los trabajadores ofrecían y concertaban las ventas con los clientes. El hecho de que tal facultad estuviera expresamente prevista y que se reconociera a los trabajadores el derecho a una línea privada, fueron determinantes de la solución jurisdiccional de la Sala Cuarta del TS (15).
La STC 98/2000, de 10 de abril (LA LEY JURIS 96061/2000), si bien referida a la instalación de cámaras en el interior de un casino, sienta conclusiones de indispensable ponderación cuando se trate de resolver cualquier problema interpretativo que gire en torno a la tensión entre el derecho a la intimidad y las facultades de dirección del empresario: "... debe rechazarse la premisa de la que parte la sentencia recurrida, consistente en afirmar que el centro de trabajo no constituye por definición un espacio en el que se ejerza el derecho a la intimidad por parte de los trabajadores, de tal manera que las conversaciones que mantengan los empleados entre sí y con los clientes en el desempeño de su actividad laboral no están amparadas por el art. 18.1 CE y no hay razón alguna para que la empresa no pueda conocer el contenido de aquéllas, ya que el referido derecho se ejercita en el ámbito de la esfera privada del trabajador, que hay que entenderlo limitado en el centro de trabajo a los lugares de descanso o esparcimiento, vestuarios, lavabos o análogos, pero no a aquellos lugares en los que se desarrolla la actividad laboral".
La sentencia que se comenta pone de manifiesto la necesidad de que las resoluciones judiciales preserven "el necesario equilibrio entre las obligaciones dimanantes del contrato para el trabajador y el ámbito --modulado por el contrato, pero en todo caso subsistente-- de su libertad constitucional" (STC 6/1988, de 21 de enero --LA LEY JURIS 53529-JF/0000). Pues dada la posición preeminente de los derechos fundamentales en nuestro ordenamiento, esa modulación sólo se producirá "en la medida estrictamente imprescindible para el correcto y ordenado desenvolvimiento de la actividad productiva" (STC 99/1994 --LA LEY JURIS 13125/1994--). "(...) Estas limitaciones o modulaciones tienen que ser las indispensables y estrictamente necesarias para satisfacer un interés empresarial merecedor de tutela y protección, de manera que si existen otras posibilidades de satisfacer dicho interés menos agresivas y afectantes del derecho en cuestión, habrá que emplear estas últimas y no aquellas otras más agresivas y afectantes. Se trata, en definitiva, de la aplicación del principio de proporcionalidad" (16).
Puede resultar de especial utilidad, en la búsqueda de criterios seguros para resolver situaciones como las descritas, el documento emanado del Grupo de Trabajo del art. 29. En él se proclama como punto de partida una idea tan obvia como decisiva para el análisis: "los trabajadores no dejan su derecho a la vida privada y la protección de datos cada mañana en la puerta de su trabajo. Esperan legítimamente encontrar allí un grado de privacidad, ya que en él desarrollan una parte importante de sus relaciones con los demás". A partir de esa afirmación, se sugieren fórmulas de injerencia siempre inspiradas en dos principios claves: el principio de prevención y el principio de proporcionalidad. En el mencionado documento se establecen como pautas recomendables para la anticipada previsión de conflictos los siguientes: a) la incorporación a la negociación colectiva o a las cláusulas contractuales de acuerdos relativos al uso de Internet y del correo electrónico por los trabajadores; b) la fijación, en su caso, de la capacidad de los empleados para abrir y gestionar cuentas privadas, definiendo los términos y condiciones de su utilización, así como autorizando fórmulas de acceso al contenido de los mensajes en casos excepcionales de ausencia, enfermedad..., señalando la finalidad específica de ese acceso; c) la regulación de cuestiones de seguridad de los datos; d) el anuncio de mecanismos de fiscalización que sólo afecten al continente; e) la consolidación de una política de utilización de nuevas tecnologías en la empresa pactada con los representantes de los trabajadores (17).
A la vista de los principios derivados de la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, para que la fiscalización por el empresario pueda considerarse justificada y ajustada a Derecho, se ha señalado doctrinalmente (18) la necesidad de respetar tres principios fundamentales: a) principio de necesidad --ha de otorgarse preferencia a medios convencionales de fiscalización, menos invasivos, debiendo concurrir una causa justificada que haga necesario el acto de injerencia; b) principio de finalidad --el acceso a los datos del trabajador ha de realizarse con fines determinados, explícitos y legítimos--, y c) principio de transparencia --el control secreto de las comunicaciones no está amparado por la ley--.
B) El "espionaje doméstico"
La realidad ofrece casos en los que el grupo familiar puede convertirse en el escenario para la realización de conductas como las sancionadas en el art. 197.1. El cónyuge que sospecha de la infidelidad del otro e intercepta sus mensajes de correo electrónico o el progenitor que se adentra en la cuenta de correo de su hijo menor de edad.
La singularidad de tales supuestos ha llegado a suscitarse ante la alegación defensiva de que la intimidad en el seno del matrimonio ha de ser modulada, adaptando su alcance a la comunidad de derechos e intereses que representa la relación matrimonial y, cómo no, las uniones de hecho. No han faltado argumentos exculpatorios basados incluso en la necesidad de defenderse ante la sospecha de incumplimiento del deber de fidelidad, deber jurídico básico proclamado por el art. 68 del Código Civil.
Tales alegaciones, sin embargo, no parecen de recibo. Ningún precepto del Código Civil atribuye al matrimonio un efecto especial en relación con la vigencia de los derechos constitucionales de cada uno de los cónyuges. Antes al contrario, el derecho a la intimidad y a la inviolabilidad de las comunicaciones sigue autorizando a su titular a definir las fronteras de exclusión que considere oportunas, sin que el vínculo matrimonial pueda considerarse como una institución puesta al servicio del debilitamiento de la posición jurídica de cada uno de los miembros de la pareja. Así lo ha entendido, además, la jurisprudencia de la Sala Segunda, que no ha dudado en condenar al cónyuge que intercepta las comunicaciones del otro cónyuge para preconstituir una prueba en un procedimiento de separación o divorcio (SSTS 872/2001, de 14 de mayo --LA LEY JURIS 3665/2001--; 694/2003, de 20 de junio --LA LEY JURIS 2776/2003--).
La capacidad de los padres para acceder a los mensajes de correo electrónico de sus hijos sugiere matices propios. En principio, es previsible que sean escasísimos los supuestos que puedan llegar a trascender y a reivindicar una respuesta jurisdiccional. El problema, de surgir, encontrará la solución impuesta por los usos sociales y las propias reglas de convivencia familiar. Sin embargo, no es descartable la existencia de algún supuesto excepcional que, por una u otra razón, dé lugar a una denuncia por vulneración del derecho a la intimidad. Se trataría entonces de discernir si en el ejercicio de la facultad-deber de educar a los hijos y procurarles una formación integral (art. 154.1 del Código Civil) tiene cabida la lectura de las comunicaciones telemáticas de los hijos menores de edad. No faltarán voces que estimen que entre las facultades de corrección razonable y moderada que otorga el art. 154 a los titulares de la patria potestad se incluye la legitimidad del acto de injerencia. Aun reconociendo las dificultades para fijar reglas generales, no parece que el Código Civil conciba el ejercicio de la patria potestad como una fuente de legitimación de cualquier clase de injerencia. La relación paterno filial no puede construirse y explicarse a partir del sacrificio previo de los derechos de la personalidad del educando. El juicio que los titulares de la patria potestad tengan acerca de las repercusiones que en la formación integral del menor pueda acarrear la incontrolada utilización del correo electrónico, puede condicionar, desde luego, la decisión acerca de si el hijo ha de ser o no titular de una cuenta, pero no debería, una vez concedida la autorización, invocarse para defender injerencias injustificadas. Idea sólo referida a supuestos más graves que desborden las formas de intromisión toleradas por el uso social.
III. EL CORREO ELECTRÓNICO COMO VEHÍCULO INSTRUMENTAL PARA LA OFENSA DE BIENES JURÍDICOS AJENOS
Como se ha comentado supra, las implicaciones jurídicas del correo electrónico no se manifiestan en una única dirección. Su funcionalidad está ordinariamente puesta al servicio de la intercomunicación y, consecuentemente, protegida por los derechos a la intimidad y al secreto de las comunicaciones. La injerencia inconsentida generará la correspondiente responsabilidad criminal. Pero también el correo electrónico puede ser concebido como una poderosa herramienta, no ya para servir de vehículo a la vigencia y el ejercicio de derechos de rango constitucional, sino para vulnerar otros bienes jurídicos de primer orden.
La realidad viene poniendo de manifiesto que mediante el correo electrónico se puede menoscabar cualquier bien jurídico ajeno. Es ciertamente difícil imaginar un bien tutelado penalmente que pueda considerarse inmune a la acción de un usuario de correo electrónico. Mediante su utilización es perfectamente posible coparticipar en cualquier proyecto criminal en cuya realización se hayan concertado varias personas. Las investigaciones desarrolladas para el esclarecimiento de algunos de los delitos de terrorismo más graves de los últimos años dan por seguro el empleo del correo electrónico como instrumento de conexión entre quienes compartían un mismo designio criminal. Con carácter general puede afirmarse que, más allá de la facilidad comisiva que autoriza el anonimato que permite la red, las reglas de participación no deben resultar afectadas en sus principios generales. Quien emplea el correo electrónico como instrumento para ejecutar por sí o sumarse a la realización del delito, ha de contribuir a su comisión mediante la realización de actos u omisiones de alcance típico. La naturaleza de éstos determinará el carácter necesario o no de la participación conforme a las reglas generales, no siendo descartable, en principio, cualquiera de las categorías de autoría y coparticipación descritas en el CP (arts. 27 y 28 CP).
1. Casuismo
El examen de las sentencias dictadas por las Audiencias Provinciales pone de manifiesto la existencia de un rico casuismo a la hora de ponderar la idoneidad del correo electrónico como instrumento para la ofensa de otros bienes jurídicos. Su utilización con fines delictivos ha sido ya objeto de tratamiento jurisdiccional. Forma parte de los ejemplos más extendidos el uso del correo electrónico, por ejemplo, para la obtención de un propósito lucrativo mediante engaño (19). La difusión del phishing alcanza ya unas cifras ciertamente preocupantes. Como es sabido, se trata de hacer llegar a un usuario de correo electrónico un enlace que le dirige a una página duplicada, normalmente de su propia entidad financiera, que es reproducción exacta de la web verdadera. Mediante esa apariencia se engaña al destinatario, quien confiadamente entrega datos bancarios o claves personales que permiten su fraudulenta utilización ulterior. En 2004, se estima que la estafa electrónica ocasionó a los bancos y entidades emisoras de tarjetas de crédito de los Estados Unidos pérdidas por valor de aproximadamente 1,2 miles de millones de dólares. Además, se considera que más de 1,78 millones de personas han sido víctimas del fraude en línea como resultado de la estafa electrónica (20). Más allá de la originalidad del sistema ideado para materializar el engaño, de las facilidades para lograr el anonimato y, en fin, de los problemas de competencia para la investigación de tales hechos, los supuestos de phishing no plantean especiales problemas de tipicidad. El art. 248.2 del CP ofrece la cobertura precisa para la sanción de acciones de esa naturaleza.
Las ofensas al honor (21), la libertad e indemnidad sexuales (22) o la existencia misma de un delito de coacciones (23) o contra la integridad moral (24), ya han sido objeto de tratamiento por la jurisprudencia de las Audiencias Provinciales.
A) Consideración especial del "mailing bombing"
La utilización del correo electrónico con el fin de perturbar el funcionamiento ordinario de una cuenta o un servidor ofrece algunas singularidades que aconsejan una referencia particular. Sin necesidad de poseer grandes conocimientos técnicos, es perfectamente posible multiplicar de forma exponencial el número de correos electrónicos enviados a una determinada dirección. De esta manera puede llegar a paralizarse temporalmente la operatividad de un sistema informático, con las imaginables perturbaciones que ello puede acarrear, sobre todo cuando el usuario afectado por ese envío masivo de correo indeseado presta un servicio de interés general o tiene en el correo electrónico un instrumento indispensable para el ejercicio de su actividad profesional.
Recientemente los medios de comunicación se hacían eco de los daños ocasionados por un ciudadano español que había logrado colapsar una agencia de viajes mediante el envío, valiéndose del correo electrónico, de 700.000 reservas falsas. La empresa, propiedad de Telefónica y el grupo Amadeus, habría sufrido pérdidas ascendentes a 30.000 euros (25).
Conductas como la descrita no son hechos aislados. Tampoco pueden considerarse absolutamente novedosos y, como tales, ayunos de tratamiento jurisdiccional. En efecto, la saturación del servidor y consiguiente disminución de su funcionalidad ha sido ya abordada por distintas Audiencias. En los dos casos que van a ser objeto de comentario, se produjo una coincidencia a la hora de negar la relevancia jurídico-penal de los hechos.
En el primero de ellos, se trataba de un envío masivo de correos electrónicos que fue empleado como estratagema obstaculizadora del oponente, en el marco de una contienda electoral. La Sala sentenciadora relativizó el alcance de los hechos denunciados y remitió a las partes a la jurisdicción civil, al entender que los perjuicios materiales ocasionados carecían de trascendencia penal (26). Similar línea argumental fue compartida en el momento de calificar la conducta de quien, conocedor de la dirección de correo electrónico de una revista que tenía por objeto la información, el ocio y la cultura, sometió a la misma al envío de miles de mensajes idénticos que también recibían sus lectores y colaboradores, con el propósito de paralizar u obstaculizar el normal desarrollo de la actividad profesional de la revista, consiguiendo así la alteración y pérdida parcial del servicio. El restablecimiento de la normalidad exigió dos jornadas de trabajo por parte de un especialista. La Audiencia Provincial revocó la sentencia condenatoria dictada por el Juez de lo Penal y estimó la irrelevancia penal de los hechos denunciados. Se trata de la SAP de Zaragoza 242/2002, de 18 de julio. Es entendible que el hecho de que el denunciante no reclamara "... cantidad alguna, añadiendo que formuló la denuncia para tener un documento formal con el que poder decir a sus lectores que los mensajes no venían de él...", haya influido de forma decisiva en el desenlace del juicio. De ahí la afirmación que también hace la Sala de que "... no consta que concurra ninguno de los requisitos establecidos por el art. 264.2 del CP para tipificar el delito estudiado. En efecto, de lo actuado, no se desprende que se hayan destruido, alterado, inutilizado o dañado, datos, programas o documentos electrónicos del denunciante...".
No parece fácil razonar que la puesta fuera de servicio de una determinada web durante cuarenta y ocho horas no implique, cuando menos, la alteración funcional que el propio art. 264.2 del CP describe entre las formas de acción típica. Sin embargo, parece lógico que en el ámbito del Derecho penal la simple alteración --pese a que el precepto citado utiliza expresamente los términos altere e inutilice--, cuando no vaya acompañada de un destrozo visible y apreciable del sistema, más allá del simple entorpecimiento temporal del servicio, pueda colmar el tipo exigido por el delito de daños. Sin embargo, la Decisión-Marco 2005/222/JAI, de 24 de febrero, sobre Ataques a los sistemas de información, propugna que el acto intencionado, cometido sin autorización, de obstaculizar o interrumpir de manera significativa el funcionamiento de un sistema de información, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, sea sancionable como infracción penal, al menos en los casos que no sean de menor gravedad (art. 3).
B) El sabotaje informático mediante virus: entre los delitos de daños y desórdenes públicos
Hace ya algunos años, un estudio elaborado por la Universidad de California hacía saltar las alarmas. De acuerdo con sus conclusiones, los ordenadores conectados a Internet recibían a la semana en torno a 4.000 ataques de denegación de servicio. De hecho, el CERT fue creado en 1989 como respuesta a la necesidad de una mayor seguridad en las redes informáticas (27). Los efectos del llamado gusano de Morris provocaron importantes incidentes y una situación de alerta en las redes militares y universidades americanas. Se trataba de un virus que aprovechaba Internet para entrar en ordenadores vulnerables. El estudio se hacía eco del mayor riesgo para algunos países, como Rumanía, cuya pobreza de infraestructuras le convierte en destino preferente de los saboteadores. De hecho, no han faltado voces que han sugerido el abandono de actitudes defensivas para pasar decididamente al ataque (28).
Estadísticas elaboradas al inicio del presente milenio ponían ya de manifiesto que un 90 por ciento de las empresas había sufrido el ataque de algún virus o de piratas informáticos, provocando problemas de seguridad que conllevan un descenso en la productividad del 3,3 por ciento y que ocasionan pérdidas por valor de 280 billones de pesetas en el mundo, sólo en el año 1999 (29). Tales datos no parecían reflejar una tendencia al estancamiento: antes al contrario, evidenciaban una tendencia a incrementarse. De acuerdo con un informe elaborado por el Gartner Group, se estimaba que el coste del cibercrimen podría crecer un 10.000 por cien hasta el año 2004 (30).
Nuestro sistema penal permite calificar, en principio, tales conductas como integrantes de un delito contra el patrimonio, previsto en el art. 264.2 del CP(31). En él se castiga "... al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes, o sistemas informáticos". El análisis de los elementos que integran el tipo objetivo plantea variadas cuestiones, algunas de no fácil respuesta. De entrada, el daño al que alude el precepto se identificará normalmente, no con un daño material y tangible, sino como un destrozo funcional, un menoscabo de la correcta operatividad del sistema, incorrección que, a su vez, puede ser la causa del menoscabo de otros bienes jurídicos cuya vigencia sea inseparable del correcto funcionamiento del ordenador. El Derecho penal alemán ha incorporado un tipo específico de sabotaje informático, castigando con penas de prisión de hasta 5 años o multa, al que "... perturbare un proceso de datos que sea de importancia esencial para una empresa o establecimiento industrial ajeno o para la Administración" (32). En nuestro sistema, la determinación del objeto del delito --el art. 264.2 alude a datos, programas o documentos electrónicos contenidos en redes, soportes o sistemas informáticos-- también sugiere algunas críticas. Sin embargo, en lo que constituye el centro de nuestro interés, se trata de dar respuesta a si aquel precepto abarca todos los supuestos imaginables o si, por el contrario, habrá casos en los que la defensa penal del patrimonio individual no colme la intensidad del injusto.
La destrucción generalizada, por ejemplo, de programas de gestión de correo electrónico tiene que ser vista como algo más que como un acto contra el patrimonio del afectado. No se alude a los problemas relativos a la posible quiebra del derecho a la inviolabilidad de la correspondencia, conducta con encaje en otros preceptos del Código y que normalmente escapa al propósito del cracker. Estamos hablando, de una parte, del entorpecimiento temporal o definitivo de las comunicaciones mediante correo electrónico o, a mayor escala, del riesgo potencial de deterioro de otro tipo de comunicaciones con base telemática. Y es aquí donde surgen las incógnitas. La Decisión-Marco 2005/222/JAI, de 24 de febrero, sobre Ataques a los sistemas de información refleja que "... crece la inquietud ante la posibilidad de ataques terroristas contra sistemas de información que forman parte de las infraestructuras vitales de los Estados miembros. Esto pone en peligro la realización de una sociedad de la información segura y de un espacio de libertad, seguridad y justicia..." (Cnd. 2.º). De ahí que sugiera la necesidad de aproximar las respectivas legislaciones penales "... en materia de ataques contra los sistemas de información para conseguir la mayor cooperación policial y judicial posible respecto de las infracciones penales vinculadas a esa clase de ataques" (Cnd. 8.º).
Parece fuera de duda que, en tales casos, la acción típica genera un resultado que escapa a los moldes que proporciona el art. 264.2. El deterioro de las comunicaciones y el posible riesgo que para otros bienes jurídicos puede derivarse de ello, no están abarcados por aquel tipo. No puede tener idéntico tratamiento penal la conducta de quien destruye un ordenador a golpes con un bate de béisbol y quien destroza miles de sistemas operativos --algunos de ellos ligados a la prestación de servicios esenciales-- como consecuencia de la inoculación de un potente virus. Es entonces cuando se hace necesario ponderar la aplicabilidad del art. 560.1 del Código Penal, que castiga con la pena de prisión de uno a cinco años a "los que causaren daños que interrumpan, obstaculicen o destruyan líneas o instalaciones de telecomunicaciones o la correspondencia postal".
La literalidad del art. 560, en la medida en que sanciona los daños ocasionados en las líneas o instalaciones de telecomunicaciones o la correspondencia postal, sugiere la duda acerca de si la inutilización o deterioro del correo electrónico ha de escapar siempre del precepto general establecido en el art. 264.2 y encontrar su referente típico en el art. 559. En principio, podría cuestionarse que la locución líneas o instalaciones de telecomunicaciones o la expresión correspondencia postal engloben al correo electrónico. Sin embargo, el diccionario de la Real Academia de la Lengua proclama una definición de la palabra telecomunicaciones que no sugiere un rechazo absoluto respecto del correo electrónico. En efecto, telecomunicación es cualquier sistema de comunicación telegráfica, telefónica o radiotelegráfica y demás análogos. Al propio tiempo, define postal como "... concerniente al ramo de correos" y las acepciones del vocablo correos son tan amplias que no parece difícil incluir entre alguna de ellas el significado que es propio del correo electrónico. La gestión y operatividad del correo electrónico exige el funcionamiento de un programa que, de destruirse, ocasiona un quebranto económico sancionado inicialmente en el art. 264.2. Pero, al propio tiempo, puede también llevar aparejada la interrupción u obstaculización de la correspondencia postal, resultado incriminado en el art. 560, siempre que concurran las notas que, con carácter general, definen el delito de desórdenes públicos, singularmente la pluralidad de afectados.
Se trata de una propuesta interpretativa que no está exenta de dificultades. Precisamente por ello urge una reforma legal que adapte algunos de esos tipos penales a retos y desafíos, no del futuro, sino de un presente que ya nos envuelve a todos. Sería lamentable que el tiempo obligara a aceptar la impunidad de conductas que día a día están avisando de su alta capacidad ofensiva.
C) Irrelevancia jurídico-penal del "spam"
La utilización del correo electrónico con fines comerciales, haciendo llegar las más variadas ofertas al usuario --deseadas o no--, representa una de las utilidades que en los últimos años amenaza con convertirse en un verdadero riesgo para el funcionamiento mismo de la red. Al problema derivado de la utilización inconsentida de direcciones de correo obtenidas por los más variados términos --cuestión propia del ámbito de la protección de datos--, se añade la cotidiana perturbación de servidores que se ven saturados con correo basura (junk mail), cuyo número puede llegar a colapsar una determinada cuenta.
De su incidencia en el normal funcionamiento de la red y de la existencia de importantes intereses económicos que ven en Internet el espacio idóneo para el anuncio de sus productos, habla el hecho de que, a diferencia de otras cuestiones, el spam haya sido objeto de detenido tratamiento legislativo. Prescindiendo de antecedentes más lejanos, la Directiva 2000/31/CE del Parlamento y del Consejo, de 8 de junio, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular del correo electrónico (Directiva sobre el comercio electrónico), la Directiva 2002/58/CE del Parlamento y del Consejo, de 12 de julio, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) y la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del correo electrónico (LSSI), ofrecen un cuadro normativo, no exento de dudas, pero que pretende hacer frente a los problemas suscitados (33). El margen de maniobra que parecía desprenderse de la última de las Directivas permitió a la LSSI proclamar un régimen jurídico identificado con la opción definida como opt-in, o de listas de inclusión. Así, se prohibía el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas (art. 21). Sin embargo, ha bastado un año de vigencia de ese mensaje proteccionista para que la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones haya matizado, hasta casi dejar sin efecto, el criterio inicial. Su disposición final primera añade un segundo apartado al art. 21, conforme al cual el criterio prohibicionista no será de aplicación cuando exista una relación contractual previa, siempre que el prestador haya obtenido de forma lícita los datos de contacto del destinatario y los emplee para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija (34).
No han faltado voces que advierten del peligro que una política complaciente con el spam puede llegar a acarrear en el futuro. De hecho, la legislación estadounidense no duda en someter a graves penas privativas de libertad a quienes hacen del spam una dedicación lucrativa. La Cam-Spam Act, en vigor desde el primero de enero de 2004, conocida como Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003, asocia en un mismo texto legal la lucha contra la pornografía y el correo comercial no solicitados. Prohíbe la utilización de falsos encabezamientos y la ocultación de la materia sobre la que versa el correo. La Federal Trade Commission es autorizada para la creación de un registro de personas que rechazan la recepción de tales correos. Y, lo que es más llamativo desde el punto vista penal, se fijan penas de hasta 5 años de cárcel (Sección 4.ª Fraud and related activity in connection with electronic mail).
Aún sin vigencia efectiva, la Crimininal Spam Act fue presentada el 19 de junio de 2003. Este proyecto, de aprobarse, sería aplicable sólo a cantidades de más de 100 mensajes en 24 horas, 1.000 en 30 días y 10.000 en el período de 1 año (35).
El caso español no ofrece un tipo específico para el tratamiento penal del spam. Su posible incardinación en el delito de daños previsto en el art. 264.2 del CP --como ya se ha expresado supra-- ha sido descartada en supuestos similares, sólo singularizados por el carácter no comercial de los mensajes. La solución extrapenal parece lo más acertado. De hecho, el spam no provoca un daño penalmente relevante. La saturación del correo, por sí sola, no daña --en términos penales-- el ordenador. El tiempo que tales mensajes indeseados tardan en bajar del servidor es normalmente el tiempo exigido para la restauración de la plena funcionalidad del correo electrónico (36). Todo ello, claro es, sin perjuicio de que los supuestos caracterizados por su mayor gravedad puedan ser objeto de reparación civil por los perjuicios ocasionados (37). Al margen de lo anterior, conviene tener presente las importantes sanciones administrativas asociadas al envío por correo electrónico de publicidad no solicitada o respecto de la cual se haya ejercido el derecho de oposición. El art. 38.3 b) de la LSSI, modificado por la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, describe esa conducta como infracción grave, sujeta a una sanción de multa de 30.001 hasta 150.000 euros [art. 39 b)].
2. La responsabilidad penal de los prestadores de servicio
Ciertamente, no es el ámbito de la delincuencia mediante correo electrónico donde la cuestión sobre la responsabilidad penal de los prestadores de servicio adquiere su verdadera dimensión. El estudio y análisis de la posible contribución al delito por parte de aquéllos afecta de modo preferente a los delitos relacionados con contenidos ilícitos alojados en la web. Tratándose del correo electrónico --cuyo contenido, por definición, queda excluido a terceros-- no tiene mucho sentido plantearse alguna forma de cooperación necesaria por parte de quienes se limitan a proporcionar el soporte técnico preciso para el acceso a Internet. Ello iría en contra de los principios generales que informan la autoría y la participación en el Derecho penal. Sin embargo, en la sociedad de la información, además de proveedores de acceso, existen otros intermediarios que pueden llegar a ofrecer algo más que la simple incorporación a una red de telecomunicaciones. El régimen jurídico de su responsabilidad exige, pues, algunos matices, todo ello en función del tipo de servicios que cada operador de red ofrezca y proporcione.
A la vista de su funcionalidad, los arts. 14 a 17 de la LSSI diversifican los presupuestos de esa responsabilidad, diferenciando según que se limiten al almacenamiento automático, provisional y transitorio de los datos, siempre que sirva exclusivamente para permitir su transmisión por la red de telecomunicaciones y su duración no supere el tiempo razonablemente necesario para ello (caching); ofrezcan el almacenamiento de datos con la finalidad de hacer más eficaz su transmisión ulterior a otros destinatarios que lo soliciten o con el simple objeto de albergar esos datos (hosting); o faciliten enlaces a contenidos o instrumentos de búsqueda (linking).
Hecha la puntualización precedente, la determinación de un criterio aceptable sobre la posible responsabilidad penal de los prestadores de servicios por los contenidos web representa una cuestión controvertida. El art. 30 del CP establece un sistema de responsabilidad en cadena en relación con los delitos y faltas que se cometan utilizando medios o soportes de difusión mecánicos. Esa responsabilidad escalonada, excluyente y subsidiaria --conforme a la terminología legal-- alcanza, en defecto del autor material o de quien haya inducido a éste, a los directores de la publicación o programa en que se difunda, a los directores de la empresa editora, emisora o difusora o a los directores de la empresa grabadora, reproductora o impresora. Se completa esa tradicional atribución de responsabilidad con el principio general de que en tales delitos "no responderán criminalmente ni los cómplices ni quienes los hubieran favorecido personal o realmente".
La primera de las dudas es la de si ese régimen de atribuibilidad es aplicable a los delitos cometidos en Internet. Se trata de dar respuesta a si la vigencia del art. 30 del CP, concebido para los delitos cometidos mediante soportes de difusión mecánicos, puede extenderse a las infracciones penales que tienen a la red como escenario y que se valen de la difusión telemática. Las opiniones no son coincidentes. Hacemos nuestro el criterio de aquellos autores (38) que no ven obstáculo para la aplicación de las reglas del art. 30 y que rechazan la idea de que su proyección sobre la delincuencia cibernética implique una analogía in malam partem(39). Sin embargo, también resulta indispensable poner límites, huyendo de una aplicación puramente mecánica del art. 30 a cualquier delito cometido en la red. De ser así, estaríamos avalando situaciones de impunidades absolutamente escandalosas. Piénsese, por ejemplo, en los efectos que la exclusión de los cómplices y encubridores que proclama el art. 30 podría tener en delitos como el tráfico de drogas o la estafa cometidos en Internet. De ahí la necesidad de limitar su aplicación a aquellas figuras delictivas que tienen más que ver con la transmisión de la información --pornografía infantil, difusión de imágenes interceptadas ilícitamente...-- que con su generación, incorporando la difusión a la estructura típica del delito (40).
La responsabilidad penal de los prestadores de servicio, pues, no debe desconectarse de las reglas generales. Su papel no puede ser, a la vista de la actual arquitectura de la red, el de censores garantes de la licitud de contenidos. El art. 15 de la Directiva 2000/31/CE es claro al respecto cuando señala que "... los Estados miembros no impondrán a los prestadores de servicios una obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de hechos o circunstancias que impliquen actividades ilícitas...".
La simple omisión difícilmente podrá generar responsabilidad penal. El art. 16 de la LSSI (Ley 34/2002) proclama el principio general de exoneración de la responsabilidad de los prestadores de servicios de alojamiento o almacenamiento de datos siempre que no tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptible de indemnización o, si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos. Este precepto no puede ser concebido como una norma extrapenal de delimitación de autoría ni, por supuesto, de determinación del dolo a partir de una presunción legal (41). Se opone a ello, no sólo un problema de jerarquía normativa, sino un elemental sentido de técnica legislativa. Sin embargo, sí proporciona las bases para definir una autoría por comisión por omisión, a partir de la fijación de un deber jurídico de actuar, conforme a la estructura descrita por el art. 11 del CP(42).
Al margen de la responsabilidad por contenidos, tan sujeta a matices, conviene insistir en lo apuntado supra. La responsabilidad de los proveedores de servicios, en el ámbito del correo electrónico, no puede desconectarse --a diferencia de los contenidos web-- de la condición del e-mail como vehículo de mensajes que, por definición, no son de libre acceso por terceros distintos al destinatario.
IV. ASPECTOS PROCESALES
Las implicaciones jurídico-penales del correo electrónico no se limitan a los problemas suscitados por la aplicación de uno u otro tipo penal. Alcanzan también a cuestiones íntimamente ligadas al proceso penal. Su importancia no tiene que ser argumentada. La íntima conexión entre el correo electrónico y los derechos constitucionales a la intimidad y al secreto de las comunicaciones ya advierte de la transcendencia que puede acarrear la vulneración de esos derechos en el marco de una investigación penal (art. 11.1 LOPJ). Algo similar puede afirmarse cuando se trata de dar una respuesta a quién deba ser el órgano jurisdiccional competente para la investigación de un determinado hecho ilícito cometido mediante el correo electrónico. De la respuesta que se ofrezca a este interrogante dependerá el grado de cumplimiento de las normas procesales que se ocupan de reglar la competencia y, con ella, de asegurar la vigencia del derecho al juez predeterminado por la ley (art. 24.2 CE).
Problemas de competencia territorial
La LECrim. establece un criterio que, tras su engañosa sencillez, alimenta importantes dudas. Como es sabido, la regla segunda del art. 14 fija que será competente para la instrucción de las causas el Juez de instrucción del partido en el que el delito se haya cometido.
La experiencia enseña, sin embargo, que la fijación del forum delicti comissi no siempre es tarea fácil. Tal cuestión ha estado desde siempre presente en el día a día de la jurisdicción criminal. Sin embargo, en los últimos años ha adquirido singular importancia a raíz del fenómeno ligado a la criminalidad cibernética, esto es, el conjunto de delitos que tienen por escenario la red telemática por antonomasia, Internet. En este tipo de infracciones penales lo más normal será que entre el lugar en el que el sujeto ejecuta el comando que activa el programa y el lugar en el que se produce la ofensa al bien jurídico exista una notable distancia geográfica. Internet hace posible un anonimato que facilita enormemente esa estrategia multiplicadora de los efectos del delito.
El problema tiene, además, dos fuentes añadidas de complejidad. La primera de ellas, asociada al hecho de que es frecuente que el resultado ofensivo al bien jurídico no se produzca en un único lugar. De hecho, es consustancial al correo electrónico la producción de efectos en todos aquellos lugares a los que haya alcanzado el mensaje telemático. Por ejemplo, una estafa cometida a través del correo electrónico, en la que la estrategia engañosa alcanza su objetivo respecto de numerosos usuarios de ordenadores diseminados por toda la geografía nacional. El segundo dato que puede contribuir a dificultar la respuesta viene dado por el hecho de que, en no pocas ocasiones, el problema no es ya un problema competencial, sino genuinamente jurisdiccional. Entonces, con carácter previo a la solución acerca de qué órgano judicial ha de asumir el conocimiento de un determinado asunto resulta obligado discernir si el hecho debe entenderse ejecutado o no en los límites de la jurisdicción española.
El principio de ubicuidad y el significado jurídico de las rutas telemáticas de tránsito
La Sala Segunda del Tribunal Supremo, en su Acuerdo de pleno no jurisdiccional, Sala General, fechado el día 3 de marzo de 2005, proclamó que el delito se comete en todas las jurisdicciones en las que se haya realizado algún elemento del tipo. En consecuencia, el Juez de cualquiera de ellas que primero haya iniciado las actuaciones procesales será en principio competente para la instrucción de la causa.
Como puede apreciarse por la simple lectura del enunciado, el Acuerdo no distingue entre jurisdicción y competencia. Ello puede ser interpretado como el deseo de ofrecer una solución bien amplia, comprensiva de los dos tipos de problemas que han quedado expuestos supra. Es decir, tanto en los casos en los que el marco territorial del delito se circunscribe al ámbito jurisdiccional español como en aquellos otros en los que pueden converger los límites jurisdiccionales de distintos Estados, la solución propugnada permite optar por el doble criterio de lugar de ejecución y lugar del resultado. La teoría de la ubicuidad, por ejemplo, permitirá entender que la inoculación de un potente virus destructivo mediante el correo electrónico, llevada a cabo desde fuera de España por un no nacional, pero que expande sus nocivos efectos en sistemas informáticos radicados en territorio español, puede ser perseguida en nuestro país, en la medida en que el delito, atendiendo al resultado, también puede reputarse cometido en España. Esa conclusión estaría vedada si entendiéramos aplicable la teoría de la actividad, pues el delito, en la medida en que la acción se habría desarrollado por un extranjero, fuera de nuestro territorio y el delito de daños no se halla en el catálogo de figuras delictivas del art. 23 de la LOPJ, no se entendería cometido en los límites jurisdiccionales españoles.
En esa tarea encaminada a la fijación del lugar en el que el hecho delictivo ha acaecido o ha desplegado sus efectos, Internet exige algún matiz complementario. No debe olvidarse que entre el lugar de la acción y el lugar del resultado pueden existir idas y venidas que afecten a los límites jurisdiccionales de otros Estados. La ubicación de los nodos conlleva como efecto ciertos saltos territoriales que podrían plantear la duda acerca de si en cualquiera de los Estados en que se sitúa uno de aquéllos, podría también estimarse cometido el delito. No parece, sin embargo, que la respuesta positiva encuentre fundado apoyo. El simple recorrido telemático a través del cual discurre el sofisticado medio ejecutivo no puede aspirar a definir una pretensión de jurisdiccionalidad allí donde no se ha desplegado la acción ni se ha verificado el resultado. Sólo el lugar en el que se ejecuta la acción y el lugar en el que se hace visible el resultado pueden aportar los elementos necesarios para su ponderación. La irrelevancia jurídica de esa ruta telemática a los efectos de afirmar o negar la propia jurisdicción parece consecuencia obligada --como regla general y partiendo de la no contribución al delito por parte del prestador de servicios-- a la vista de la ausencia de ofensa del bien jurídico en los llamados "lugares de tránsito" (43).
Nuestro sistema jurídico ofrece algún ejemplo concreto en el que esa irrelevancia tiene acogida normativa. Es el caso de la LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal [art. 2.1 c)], que, en esta materia, acoge los criterios que proclamaba la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, cuyo art. 4.1 c), al definir el ámbito aplicativo de los respectivos instrumentos jurídicos nacionales, excluía aquellos casos en que los medios automatizados se hallaren situados en territorio de algún Estado miembro a los exclusivos fines de tránsito.
La respuesta a la duda planteada ha estado siempre en función de los diversos referentes normativos. En la actualidad, el art. 7 del Código Penal de 1995 --frente al silencio del texto penal previgente-- deja bien claro que "a los efectos de determinar la ley penal aplicable en el tiempo, los delitos y faltas se considerarán cometidos en el momento en el que el sujeto ejecuta la acción u omite el acto que está obligado a realizar". Una primera lectura de ese precepto da a entender que el legislador ya ha expresado su preferencia por la teoría de la acción: el delito se entiende cometido en el lugar en el que el delincuente despliega la acción desencadenante del resultado lesivo. También aporta, además, un valioso criterio práctico para determinar el lugar del delito cuando éste se comete por cualquier operador de red que, requerido para la clausura de un contenido ilícito, omite el deber jurídico de actuar.
La aceptación de este criterio en el ámbito de la delincuencia cibernética tendría una traducción inmediata en forma de restricción de las posibilidades de investigación y enjuiciamiento. Cualquier ofensa a bienes jurídicos, ejecutada por un no español, valiéndose de medios telemáticos, desplegada fuera del territorio nacional y que no afectara a bienes jurídicos cuya defensa amparan otros principios --real o universal-- resultaría de imposible persecución en España (44).
No parece seguro, sin embargo, que sea éste el propósito del legislador. Repárese en que el art. 7 del Código Penal asocia la regla que proclama a la determinación de la ley penal en el tiempo, no pareciendo abarcar más supuestos de los estrictamente mencionados por el precepto. No resulta, pues, fácil sostener en nuestro sistema jurídico que el art. 7 defina claramente la opción legislativa a favor de la teoría de la acción cuando de lo que se trata es de afirmar o negar la jurisdicción española. De hecho, el TS ya se ha pronunciado a favor de una interpretación restrictiva del mandato del art. 7 del Código Penal, limitado a la determinación de la ley penal aplicable desde el punto de vista de la aplicación temporal de la norma penal. Vid.SSTS 143/1999, de 21 de diciembre, caso Roldán, (LA LEY JURIS 4019/2000), 933/1998, de 16 de octubre (LA LEY JURIS 654/1999) y 1030/1998, de 22 de septiembre (LA LEY JURIS 9677/1998).
Si bien se mira, existen otros preceptos que parecen apuntar en la dirección contraria, no desdeñando el lugar del resultado a la hora de afirmar el lugar de comisión. Es el caso, por ejemplo, del art. 15 de la Ley de Enjuiciamiento Criminal que establece unos criterios de competencia territorial que, como es sabido, actúan con carácter subsidiario. Tales reglas sólo son operativas, en palabras del legislador, "... cuando no conste el lugar en que se haya cometido una falta o delito...". Los cuatro apartados que conforman ese precepto fijan reglas ajenas a la valoración, tanto de la acción como del resultado (lugar de descubrimiento de las pruebas materiales del delito, lugar de aprehensión del reo, lugar de la residencia del reo y lugar en el que se hubiera tenido noticia del delito). Ello indica que la entrada en juego de tales reglas sólo está prevista para los supuestos de imposible determinación del lugar de comisión. Y éste no podrá dilucidarse atendiendo sólo al espacio geográfico de desarrollo de la acción, sino que habrá de ser ponderado también el del resultado. Dicho con otras palabras, la constancia del lugar de la acción o del resultado excluirán la aplicación de las reglas del art. 15, pues, en tales casos, será conocible el lugar de comisión.
El valor argumental del art. 15 no puede desconocer que se trata de una norma orientada a la fijación de criterios de competencia territorial que, por definición, presuponen resuelto el problema de los límites jurisdiccionales, pero no cabe duda que aportan un valioso punto de vista acerca de la previsión legislativa de lo que por lugar de comisión del delito o falta deba entenderse.
La importancia del proceso de unificación jurídica iniciado por el Convenio sobre el Cibercrimen (45) aprobado en Budapest en 2001 --eso sí, a un tempo lento ciertamente frustrante--, la aplicación de los generosos límites al principio de universalidad que establece el art. 23.4 de la LOPJ y, en fin, la apuesta por un criterio doctrinal extensivo en la determinación del resultado (46), son instrumentos decisivos para la solución de los problemas jurisdiccionales asociados al delito cometido en Internet. La mejor muestra de una apuesta legislativa por un criterio extensivo en la definición de los límites jurisdiccionales está representado por la Decisión Marco 2004/68/JAI, del Consejo, relativa a la Lucha contra la explotación sexual de los niños y la pornografía infantil, en vigor desde el 20 de enero de 2004 (DO L 13/44, de 20 de enero de 2004), que impone el deber de los Estados de asegurar que su competencia abarque a las situaciones definidas como delito, siempre que se cometan mediante un sistema informático al que se acceda desde su territorio, con independencia de que dicho sistema informático se encuentre o no en él.
V. LA INTERVENCIÓN DEL CORREO ELECTRÓNICO COMO ACTO DE INVESTIGACIÓN JURISDICCIONAL
No es infrecuente que los mensajes de correo electrónico recibidos y enviados por el imputado en un proceso penal representen una valiosísima fuente de información para la investigación del hecho delictivo. El problema se plantea por el hecho de que, si bien la LECrim. establece las pautas para la intervención de las comunicaciones telefónicas y para la apertura de la correspondencia postal o telegráfica del sospechoso, no hace lo propio con la intervención de las comunicaciones telemáticas. De ahí que existan tantas dudas como interrogantes quieran plantearse.
En principio, la ausencia de esa regulación justifica la censura al legislador, en la medida en que el clamoroso silencio normativo podría incidir de manera perturbadora en las exigencias derivadas del principio de reserva legal en materia de derechos fundamentales, tal y como lo ha configurado la jurisprudencia constitucional. La STC 70/2002, de 3 de abril, recuerda la doctrina ya proclamada en la STC 49/1999, de 5 de abril, FJ 4, conforme a la cual, "por mandato expreso de la Constitución, toda injerencia estatal en el ámbito de los derechos fundamentales y las libertades públicas, ora incida directamente sobre su desarrollo (art. 81.1 CE), o limite o condicione su ejercicio (art. 53.1 CE), precisa una habilitación legal". Una reserva de ley que "constituye, en definitiva, el único modo efectivo de garantizar las exigencias de seguridad jurídica en el ámbito de los derechos fundamentales y las libertades públicas" y que "no es una mera forma, sino que implica exigencias respecto del contenido de la Ley que, naturalmente, son distintas según el ámbito material de que se trate", pero "que en todo caso el legislador ha de hacer el "máximo esfuerzo posible" para garantizar la seguridad jurídica o dicho de otro modo, "la expectativa razonablemente fundada del ciudadano en cuál ha de ser la actuación del poder en aplicación del Derecho" (STC 36/1991, FJ 5 --LA LEY JURIS 1653-TC/1991--)". Y, profundizando en esa exigencia, en la STC 169/2001, de 16 de julio, FJ 6, sostuvo el propio Tribunal, en relación a las características exigidas por la seguridad jurídica respecto de la calidad de la ley habilitadora de las injerencias en un derecho reconocido en el Convenio, que "la ley debe definir las modalidades y extensión del ejercicio del poder otorgado con la suficiente claridad para aportar al individuo una protección adecuada contra la arbitrariedad". A las numerosas sentencias del TEDH mencionadas en la STC 169/2001, habría que añadir la reciente sentencia de 31 de mayo de 2005(Vetter vs. Francia), núm. 59842/00, en la que se reitera la doctrina expuesta ("... quant � l'article 81 du m�me code, il n'indique pas avec assez de clarté l'entendue et les modalités d'exercice du pouvoir d'appréciation des autorités pouvant autoriser les écoutes des conversations privées").
El art. 579 de la LECrim. autoriza al Juez a la detención de la correspondencia privada. Es cierto que tal locución es lo suficientemente amplia como para acoger en su ámbito esa otra forma de correspondencia que se vale de las rutas telemáticas para su envío y recepción. Y ello pese a que la definición gramatical del término correspondencia, parece identificarse con su significado más convencional. De acuerdo con el Diccionario de la Real Academia de la Lengua, correspondencia equivale, en la acepción que a nosotros interesa, con el conjunto de cartas que se reciben o expiden. Pese a todo, no parece que el legislador estuviera empleando su acepción literal en el momento de la redacción del precepto, pues éste admite que la correspondencia pueda ser de carácter telegráfica y, por tanto, alejada del formato más convencional representado por la carta.
Sea como fuere, la necesidad de una regulación detenida, que proporcione la cobertura legal precisa para un acto jurisdiccional de tanta incidencia en el ámbito de los derechos fundamentales, parece inaplazable. Con el actual estado de cosas no sólo se dificulta la práctica cotidiana de investigación de los delitos asociados a las nuevas tecnologías, sino que se corre el riesgo de abrir las puertas a la viabilidad de un recurso de amparo basado en la vulneración de derechos de carácter constitucional.
Hasta tanto esa reivindicada cobertura se produzca, es menester dar respuesta a si el correo electrónico --dicho en términos coloquiales-- es más correo que electrónico o es más electrónico que correo. Si ponemos el acento en su consideración como medio de comunicación telemática, su régimen jurídico estaría más próximo a la práctica de la intervención de las escuchas telefónicas. Si, por el contrario, destacamos su cualidad de medio para la transmisión escrita de mensajes, la intervención de aquéllos haría aconsejable acomodar su desarrollo y ejecución a las reglas establecidas para la detención de la correspondencia. Conviene tener presente que el régimen jurídico para la práctica de uno u otro acto de intervención no es coincidente. La jurisprudencia constitucional y de la Sala Segunda del Tribunal Supremo, en desarrollo del art. 579 de la LECrim., se han encargado de precisar los términos en los que la intervención telefónica ha de verificarse. El art. 586 de la LECrim., al propio tiempo, expresa la forma en que ha de practicarse la operación de apertura de la correspondencia, exigiendo que sea el Juez el que abra por sí mismo la correspondencia, apartando, después de leerla, la que haga referencia a los hechos de la causa y cuya conservación considere necesaria.
Que el correo electrónico constituye una comunicación parece estar fuera de dudas. Conforme al art. 2 d) de la Directiva 58/2002/CE, se entiende por tal "cualquier información intercambiada o conducida entre un número finito de interesados por medio de un servicio de comunicaciones electrónicas disponibles para el público". En una primera aproximación, pues, la intervención de las comunicaciones telemáticas mediante correo electrónico, en la medida en que representa una limitación del derecho constitucional al secreto de las comunicaciones, habría de ser siempre autorizada judicialmente (art. 18.3 CE).
Sin embargo, la jurisprudencia del Tribunal Constitucional ha tenido oportunidad de pronunciarse acerca del verdadero alcance del derecho al secreto de las comunicaciones, introduciendo un importante matiz en las SSTC 70/2002, de 3 de abril y 123/2002, de 20 de mayo (LA LEY JURIS 5840/2002). Su lectura da pie a pensar que no todo el correo electrónico es vehículo de expresión de aquel derecho constitucional. En efecto, conforme a la doctrina sentada en la primera de esas resoluciones, "... la protección del derecho al secreto de las comunicaciones alcanza al proceso de comunicación mismo, pero finalizado el proceso en que la comunicación consiste, la protección constitucional de lo recibido se realiza en su caso a través de las normas que tutelan la intimidad u otros derechos". La distinción es importante, pues mientras que la intervención de las comunicaciones --postales o telefónicas-- exige siempre resolución judicial habilitante ex art. 18.3, la CE no contempla respecto del derecho a la intimidad una reserva absoluta de previa resolución judicial. La propia STC 70/2002 recuerda que en la STC 37/1989, de 15 de febrero, en relación con la práctica de diligencias limitativas del ámbito constitucionalmente protegido del derecho a la intimidad, se proclamó que era "sólo posible por decisión judicial" (FJ 7), aunque sin descartar la posibilidad de que en determinados casos y con la conveniente habilitación legislativa tales actuaciones pudieran ser dispuestas por la policía judicial. En definitiva, "... la regla general es que el ámbito de lo íntimo sigue preservado (...) y sólo pueden llevarse a cabo injerencias en el mismo mediante la preceptiva autorización judicial motivada conforme a criterios de proporcionalidad. De no existir ésta, los efectos intervenidos que puedan pertenecer al ámbito de lo íntimo han de ponerse a disposición judicial, para que sea el juez quien los examine. Esa regla general se excepciona en los supuestos en que existan razones de necesidad de intervención policial inmediata, para la prevención y averiguación del delito, el descubrimiento de los delincuentes y la obtención de pruebas incriminatorias. En esos casos estará justificada la intervención policial sin autorización judicial, siempre que la misma se realice también desde el respeto al principio de proporcionalidad".
Ello ha dado pie a sostener (47) la necesidad de diversificar el régimen jurídico de la intervención de los mensajes de correo electrónico en función del momento en el que ese acto de intromisión se produce. Así, habría que distinguir un primer grupo integrado por el correo electrónico ya enviado y recibido pero aún no leído --se hallen los mensajes en el servidor o descargados en el ordenador del destinatario--, así como por los mensajes todavía en proceso de transferencia. La intervención jurisdiccional de este primer bloque de mensajes quedaría sujeta al régimen general del secreto de las comunicaciones, con la consiguiente aplicación, en función del criterio que se suscriba, de las normas relativas a la intervención judicial de las comunicaciones telefónicas o las que rigen la interceptación y apertura de la correspondencia. Pero, en todo caso, exigiendo siempre el presupuesto de legitimación representado por la previa autorización judicial. En cambio, un segundo bloque, compuesto por los mensajes de correo electrónico no enviados y los ya enviados, recibidos y leídos que se encuentren almacenados en el ordenador personal, se regirían por las normas generales sobre limitación al derecho a la intimidad, con la consiguiente modulación de los términos de la injerencia.
Este criterio, pese a su meritoria formulación técnica y a su acomodo a la jurisprudencia del Tribunal Constitucional, no está exento de dificultades prácticas. De ordinario, en cualquier programa de gestión de correo electrónico se agolpan mensajes recibidos y abiertos, no abiertos y eliminados sin abrir. Si bien se mira, la elección del régimen jurídico que va a legitimar el acto jurisdiccional de injerencia no puede hacerse depender del momento en el que se halla el proceso de comunicación cuando éste, por la misma realidad de las cosas, se desconoce ex ante. La investigación puede poner de manifiesto la existencia de una cuenta de correo desde la que se envían y reciben mensajes de interés para el seguimiento de los imputados. Resultará mucho más seguro estimar que el acceso a esos mensajes, ya sean los que se hallen en el servidor pendientes de descarga como los que se encuentren almacenados en el ordenador del sospechoso, abiertos o no, requiere una resolución jurisdiccional ajustada a las exigencias constitucionales y legales que legitiman la injerencia en el secreto de las comunicaciones. La doctrina constitucional sentada en la importante STC 70/2002 no puede entenderse sin conexión al supuesto de hecho que motivó el pronunciamiento del Tribunal Constitucional. Como se recordará, se trataba de discernir si la lectura y examen por un agente de la autoridad, sin autorización judicial, de una carta sin sobre hallada en el interior de una agenda de la persona detenida, podía considerarse vulnerador del derecho al secreto de las comunicaciones. La desestimación del amparo tuvo mucho que ver con las concretas circunstancias del caso, entre ellas la falta de apariencia externa del documento como comunicación postal (48). A ello habría que añadir el valioso argumento interpretativo aportado por la Sala Segunda en la sentencia que era objeto de recurso (STS 835/2001, de 12 de mayo --LA LEY JURIS 762545/2001--), en la que se razonaba que no nos encontramos ante una "comunicación postal" comprendida en el ámbito de protección del art. 18.3 CE, definiendo tales comunicaciones como "los envíos que puedan hacerse a través del servicio postal de correos y, por extensión, a través de entidades privadas que ofrezcan análogos servicios". Y es que el escrito en cuestión le había sido entregado al destinatario a través de una tercera persona.
Partiendo de la ya comentada ausencia de cobertura normativa, se hace aconsejable que todas las incógnitas que ocasione la práctica de ese acto de investigación se resuelvan con arreglo a una perspectiva garantista, que no añada a la lamentable omisión legislativa el debilitamiento de las garantías que ofrece la intervención jurisdiccional (49). Sin embargo, debe tenerse presente que la opción por una u otra alternativa no puede olvidar algo tan elemental como que el art. 584 de la LECrim. exige, tratándose de la apertura y registro de la correspondencia postal, que se practique en presencia del imputado (será citado el interesado...). Es imaginable que cualquier línea de investigación iniciada a partir del correo electrónico, que obligara a citar al interesado para acceder a su contenido, conduciría al clamoroso fracaso de las pesquisas.
Las razones para una reforma legal que dé solución a tales problemas prácticos parece ya inaplazable. El art. 35 de la Ley 33/2003, de 3 de noviembre, General de Telecomunicaciones, se limita a recordar la necesidad de autorización judicial para la interceptación de contenidos, "... con pleno respeto al derecho al secreto de las comunicaciones" y en los términos previstos en la LECrim.
VI. LOS DATOS RETENIDOS POR LOS PRESTADORES DE SERVICIO COMO ELEMENTO DE PRUEBA. RÉGIMEN JURÍDICO DE SU INCORPORACIÓN AL PROCESO
La importancia del correo electrónico como fuente de prueba no necesita ser argumentada. Y nos referimos no sólo al contenido del mensaje en sí mismo, sino a otros datos periféricos que acompañan a aquél y que permiten a los investigadores conocer aspectos que, en un momento dado, pueden llegar a ser cruciales para el esclarecimiento de un hecho delictivo. Con anterioridad, ya hemos analizado el régimen jurídico de la intervención del mensaje de correo electrónico. Es el momento ahora de cuestionarse en qué medida y bajo qué presupuestos ciertos datos relativos a la identidad de remitente y destinatario y al momento exacto del envío pueden llegar a incorporarse a un procedimiento penal (50).
La definitiva obligación jurídica impuesta a los prestadores de servicio de retener los datos de acompañamiento generados por un mensaje de correo electrónico parece un hecho irreversible. La Directiva 97/66/CE, del Parlamento y el Consejo de 15 de diciembre, ordena con carácter general la destrucción inmediata de tales datos, tan pronto cese la comunicación, si bien autorizando con carácter excepcional y restrictivo su conservación para fines de facturación y por el tiempo absolutamente imprescindible (art. 65 del RD 424/2005, de 15 de abril). La Ley 34/2002 (LSSI) --no sin cierta polémica derivada, entre otras razones, del empleo del vocablo máximo para definir el límite temporal de aquella obligación-- ya impone en su art. 12 el deber de retener los datos de conexión y tráfico generados durante la prestación de un servicio de la sociedad de información. El Convenio sobre el Cibercrimen, aprobado en Budapest el 23 de noviembre de 2001, proclama el deber de las operadores de retener, por el tiempo que determinen las legislaciones nacionales, cualesquiera datos informáticos relativos una comunicación por medio de un sistema informático o generados por un sistema informático que formen parte del proceso de comunicación, indicativos del origen, destino, camino, tiempo, fecha, tamaño, duración o tipo de servicio subyacente a la comunicación --arts. 16.1 y 1 d)--. Y en las últimas semanas, con ocasión de los trágicos atentados de Londres, las autoridades británicas, en el ejercicio de la presidencia de turno de la Unión Europea, han puesto en marcha (51) la maquinaria institucional encaminada a la aprobación de una directiva al servicio de la unificación jurídica en esta materia. En efecto, la Comisión ha presentado, en el marco del denominado Counter-Terrorism package, una propuesta de directiva dirigida a la armonización de las legislaciones, imponiendo a los operadores de redes la obligación de retener los datos generados por comunicaciones electrónicas --telefonía fija o móvil-- así como comunicaciones telemáticas a través de Internet, por un período de 1 año y 6 meses respectivamente. La propuesta incluye un sistema de compensaciones a las operadoras por los gastos ocasionados para la adaptación de infraestructuras. Esa iniciativa, además, irá en paralelo a la ya existente del Consejo para la aprobación de una decisión-marco con fines similares (52). Como es sabido, la decisión-marco que estudia el Consejo desde abril de 2004 a instancias de cuatro socios comunitarios (Francia, Irlanda, Suecia y el Reino Unido), no prevé esas compensaciones. Por otra parte, la duración mínima de almacenamiento de datos prevista en dicha decisión es de un año tanto para las comunicaciones telefónicas ordinarias como por Internet y el correo electrónico, aunque contempla situaciones excepcionales que justificarían retenciones de datos de hasta 48 meses.
Carecería de sentido admitir la legitimidad de la retención de tales datos con fines de facturación comercial y negar en cambio su utilización en el marco de una investigación criminal. Sin embargo, admitido lo anterior, la necesidad de fijar límites impuestos por los valores constitucionales en juego resulta incuestionable. Todo apunta, además, a que un uso desviado de tales datos, o ajeno a un estricto control jurisdiccional, puede convertir el empleo del correo electrónico en un arriesgado ejercicio de transparencia personal.
La conexión de tales datos con el derecho constitucional al secreto de las comunicaciones fue proclamada por el TEDH. La sentencia de 2 de agosto de 1984--caso Malone-- y la de 30 de julio de 1998--caso Valenzuela Contreras-- reconocieron la extensión material del derecho fundamental al secreto de las comunicaciones a todos aquellos datos que permitan identificar a los interlocutores o corresponsales o que se refieran a la existencia misma de la comunicación, fecha, duración y momento de la misma. Con idéntica inspiración, la STC 114/1984, de 29 de noviembre --FJ 7.º-- (LA LEY JURIS 9401-JF/0000) afirmaba ese nivel de protección. Ya hemos apuntado supra cómo la jurisprudencia del Tribunal Constitucional, sin embargo, ha llegado a matizar el alcance de esa doctrina. La SSTC 70/2002 proclama una conexión más clara con el derecho fundamental a la intimidad que con el derecho al secreto de las comunicaciones. La STC 123/2002, de 20 de mayo (LA LEY JURIS 5840/2002), propugna una protección jurídica de los listados de llamadas acorde con "... la menor intensidad de la injerencia" en el derecho fundamental al secreto de las comunicaciones. Aun así, la necesidad de autorización judicial --abriendo una vía de excepcionalidad a favor de las Fuerzas y Cuerpos de Seguridad del Estado en supuestos de urgencia y necesidad, con arreglo siempre al principio de proporcionalidad (SSTC 37/1989 y 207/1996)-- representa una exigencia constante, sin que se oponga a ello la validación que el Tribunal Constitucional confirió a esa autorización cuando se produjo en forma de providencia (STC 123/2002, FJ 7.º --LA LEY JURIS 5840/2002--).
Más incierta es la respuesta a la cuestión acerca de si tales datos deben ser cedidos a requerimiento del Ministerio Fiscal, en el marco de una investigación preprocesal autorizada por los arts. 773 de la LECrim. y 5 de la Ley 50/1981, de 30 de diciembre. Y, desde luego, no faltan referencias normativas que parecen inspirar la solución afirmativa. La LSSI establece en su art. 12.3 que los datos retenidos "... se conservarán para su utilización en el marco de una investigación criminal o para la salvaguardia de la seguridad pública y la defensa nacional, poniéndose a disposición de los Jueces o Tribunales y del Ministerio Fiscal". El art. 11.2 d) de la LOPDCP (LO 15/1999, 13 de diciembre) autoriza la comunicación de datos, además de a los Jueces y Tribunales, al Ministerio Fiscal, al Defensor del Pueblo, al Tribunal de Cuentas e instituciones autonómicas análogas a estas dos últimas cuando la petición se halle relacionada con el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y el cesionario.
La existencia de dos específicas previsiones legales y, lo que es más importante, una de ellas con rango de ley orgánica, dictada en desarrollo de lo previsto en el art. 18.4 de la CE, podría avalar una respuesta favorable a la capacidad jurídica del Fiscal para hacerse con tales datos. Sin embargo, no parece que esa solución pueda considerarse segura, sobre todo, a la vista del actual estado de la jurisprudencia constitucional. La doctrina tampoco se inclina por admitir esa posibilidad, destacando que el derecho a la protección de datos, ya sea como derecho autónomo, ya como manifestación positiva del derecho a la intimidad, tiene rango de derecho fundamental y, por tanto, es más que dudoso que pueda justificarse a partir de la previsión del art. 11 de la LOPDCP la solicitud por el Ministerio Fiscal de la cesión de datos personales automatizados de carácter sensible en sus funciones de investigación penal (53). La Fiscalía General del Estado también ha expresado un criterio opuesto a la legitimidad del Fiscal para la práctica de ese acto de investigación. En la Consulta 1/1999, de 22 de enero, sobre tratamiento automatizado de datos personales en el ámbito de las telecomunicaciones(54), se argumenta que el art. 11.2 d) de la LOPDCP en cuanto autoriza un flujo inconsentido de información hacia autoridades no judiciales debe ser interpretado con extraordinaria cautela cuando el dato cuya cesión se pide está protegido ab origine por una garantía constitucional autónoma --libertad de conciencia y su correlativo secreto, art. 16.2 CE--, núcleo duro de la privacy --art. 18.1 CE-- y, por supuesto, libertad y secreto de las comunicaciones --art. 18.3 CE--, porque si bien el sacrificio del derecho fundamental configurado a partir del art. 18.4 de la CE como derecho a controlar el flujo de las informaciones que conciernan a cada persona (STC 11/1998, 13 de enero, FJ 5.º --LA LEY JURIS 1407/1998--) puede ser justo y adecuado cuando dicha información no sea particularmente sensible, el sacrificio de otros derechos fundamentales concurrentes exigirá una previsión legal más específica y concreta (STC 207/1996, FJ 6.A --LA LEY JURIS 1527/1997--) que la que dispensa la cláusula abierta enunciada en el art. 11.2 d).
Nada se opone, sin embargo, a otras concepciones alternativas. En nuestra opinión es perfectamente posible referenciar el régimen jurídico de los datos retenidos, no en el derecho al secreto de las comunicaciones, ni siquiera en la intimidad entendida en su sentido más convencional. La información retenida por los operadores de red ha de verse como la más clara expresión de la necesidad anunciada por el art. 18.4 de la CE de fijar límites al tratamiento automatizado de datos, límites que han de ser definidos mediante una ley orgánica --LOPDCP--, con capacidad para fijar los términos de garantía y el régimen jurídico de acceso y conocimiento de tales datos. Esta opinión cuenta, además, con el aval de la Sala Segunda del Tribunal Supremo. Así se entendió en la STS 459/1999, 22 de marzo (LA LEY JURIS 5587/1999), mientras que la posterior STS 1167/2004, 22 de octubre (LA LEY JURIS 10266/2005 --con cita de la 2384/2001, 7 de diciembre, LA LEY JURIS 1000062/2001--, no duda en atribuir a esa interpretación el carácter de "doctrina de la Sala". Han acogido también ese criterio la STS 249/2004, de 26 de febrero (LA LEY JURIS 12512/2004), y el auto de la misma Sala 465/2001, de 16 de marzo.
A la vista del actual estado de cosas y moviéndonos en el terreno más práctico una conclusión es bien segura: la incorporación al proceso penal de datos retenidos por las operadoras obtenidos a instancias del Ministerio Fiscal, sin previa autorización judicial, corre el fundado riesgo, por aplicación de una jurisprudencia constitucional no coincidente con la de la Sala Segunda, de generar una licitud probatoria por vulneración de derechos fundamentales (art. 11 LOPJ). Cuestión bien distinta es que nos planteemos si la mecánica traslación de la jurisprudencia constitucional concebida para las comunicaciones telefónicas y postales nos sitúa en el camino correcto, sobre todo cuando a lo que se trata de dar respuesta es al régimen jurídico de cesión de unos datos de conexión que por su naturaleza y funcionalidad parecen reivindicar un tratamiento jurídico autónomo, vinculado si se quiere al derecho a la intimidad, pero con la suficiente autonomía conceptual como para tolerar un régimen de excepción en el marco de la ley orgánica aprobada en desarrollo del art. 18.4 del texto constitucional. En el fondo, la tesis que niega validez jurídica al enunciado del art. 11.2 d) de la LOPDCP nos conduce irremediablemente a la paradoja de negar al Fiscal lo que la propia ley sí admite respecto de los agentes de las Fuerzas y Cuerpos de Seguridad del Estado (cfr. art. 22 LOPDCP) que, por mandato del art. 126 de la CE, le están funcionalmente subordinados.
VII. EL ORDENADOR COMO PIEZA DE CONVICCIÓN. LOS PRESUPUESTOS DE SU INTERVENCIÓN. LA DUPLICACIÓN DEL DISCO DURO, UNA GARANTÍA IMPUESTA AL ACTO PERICIAL DEL ANÁLISIS DE SU CONTENIDO
Que el ordenador puede llegar a convertirse en un instrumento de comisión del delito y, como tal, en objeto de prueba, es algo que forma parte de una realidad criminógena que, como se viene insistiendo, ofrece cada día mayor número de ejemplos. En tales casos, cobran pleno sentido las disposiciones de la LECrim., que regulan la intervención de las piezas de convicción (55).
En principio, resulta innecesario precisar que, de hallarse en un lugar amparado por la garantía constitucional de inviolabilidad, la aprehensión material del ordenador desde el que se han enviado mensajes de correo electrónico de contenido delictivo estará amparada por las exigencias constitucionales y legales que rodean la entrada y registro en domicilio y otros lugares cerrados. Pese a todo, en aquellos casos en los que la intervención del ordenador resulte indispensable, sería deseable una motivación reforzada en la resolución jurisdiccional llamada a actuar como presupuesto habilitante del acto de injerencia. De hecho, no es sólo la inviolabilidad domiciliaria del imputado la que va a ceder a favor de otros derechos e intereses convergentes en el proceso penal, sino que las fronteras de la intimidad fijadas por el usuario para excluir a terceros de la información acumulada en su ordenador y, sobre todo, de la cuenta de correo de la que aquél sea titular, también van a ser objeto de sacrificio. Se impone, pues, un mecanismo de motivación reforzada que legitime el acto jurisdiccional de invasión de los poderes públicos en el espacio reservado por la garantía constitucional.
La exigencia de garantías no sólo debe imponerse al presupuesto habilitante de la aprehensión. Es de vital importancia que el acto material de intervención se verifique con el respeto debido a la naturaleza privada de la información contenida y al rango de los derechos constitucionales implicados. Desde esta perspectiva, el examen del disco duro y el análisis de sus contenidos han de considerarse como un acto pericial cuya práctica no tiene por qué implicar quiebra de los principios de contradicción y defensa (56). De ahí la necesidad de que el órgano instructor, conforme impone el art. 336 de la LECrim., provea lo necesario para asegurar, en su caso, la presencia del procesado y su defensor, en los términos fijados en el art. 333 de la LECrim.
Al margen de lo anterior, es conveniente que ese acto pericial de examen del contenido del ordenador vaya precedido de la obtención de un duplicado del disco duro que salve a éste de las necesarias manipulaciones que puedan producirse durante el análisis de su contenido. Además, no es descartable que el imputado pueda interesar una pericial contradictoria que, a la hora de practicarse, habrá de tomar como punto inicial una copia fehaciente del disco duro. Se hace indispensable, pues, reforzar el papel del Secretario Judicial con el fin de que ese acto de duplicación se rodee de las garantías que la fe pública judicial aporta a la práctica de los actos procesales (cfr. art. 453 LOPJ).
No se identifica con esta línea de razonamiento la SAP de Guadalajara núm. 84/2004, de 17 de junio, que se limita a concluir que el ordenador, en cuanto instrumento del delito, está sujeto a decomiso y, consiguientemente, a la intervención policial de su contenido: "... También se alega vulneración de derecho fundamental porque en esa entrada y registro se entró en el ordenador personal y correo electrónico del imputado. Y ello está protegido por la inviolabilidad de las comunicaciones. A raíz de esta alegación debemos recordar a la parte apelante, que en el auto de entrada y registro se mencionan los hechos que se están investigando, todos cometidos a través del ordenador que se encuentra en ese domicilio, es decir, lo que se va buscando y lo que se autoriza a decomisar es el propio ordenador como tal, que no lo olvidemos, en este caso, es el objeto con el que se comete el delito; y ese auto posibilitaba por el contenido del mismo, el comiso del ordenador o de los contenidos del mismo, y por lo tanto no podemos entender que se ha vulnerado el derecho al secreto de las comunicaciones con la actividad realizada en esta causa".
La jurisprudencia del Tribunal Supremo ha hecho alguna mención al tema de que se trata (57), revelando una preocupación por rodear el acto de aprehensión de las garantías exigidas para preservar los derechos fundamentales en juego, si bien relativizando la presencia jurídica del Secretario judicial en el momento del volcaje de datos (STS 1599/1999, de 15 noviembre --LA LEY JURIS 2501/2000--).
La práctica puede ofrecer supuestos en los que sea necesario dar respuesta a la cuestión de si el titular del ordenador estaría obligado a proporcionar, so pena de incurrir en un delito de desobediencia, el password para acceder a los contenidos previamente protegidos. El vigente art. 36 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, tras proclamar que el cifrado es un instrumento de seguridad de la información, admite la posibilidad de imponer la obligación de facilitar a un órgano de la Administración del Estado o a un organismo público los algoritmos o cualquier procedimiento de cifrado utilizado, así como la obligación de facilitar sin coste alguno los aparatos de cifra a efectos de su control de acuerdo con la normativa vigente. No es aceptable en términos constitucionales que, tratándose del imputado --distinto es el caso de los proveedores de servicios que pudieran ser requeridos judicialmente con el mismo fin--, su no colaboración con el acopio de elementos de prueba en su contra pueda ser fuente de una añadida responsabilidad criminal (58).
1 Véase www.navegante.com, edición de 23 de febrero de 2004.
(2)
LESSIG, L., El Código y otras leyes del Ciberespacio, Ed. Taurus
Digital, 2001, pág. 89, propugna la inaplazable tarea de construir
"arquitecturas de confianza". DAVARA RODRÍGUEZ, M. A., no ha dudado en
afirmar que "... ha comenzado la guerra mundial de las
telecomunicaciones", De las Autopistas de la Información a la Sociedad
Virtual, Ed. Aranzadi, 1996, pág. 15. MUÑOZ MACHADO, S., La regulación
de la red. Poder y Derecho en Internet, Ed. Taurus, 2000, se refiere a
la "estructura caótica de Internet" --pág. 34--, propugnando una
regulación "... con estructura en malla, que puede representarse con la
misma imagen física que la gran telaraña que trata de ordenarse. No es
necesario que toda su trama se llene de prescripciones, antes al
contrario, es posible que su equilibrio se sostenga con unos reducidos
puntos de apoyo situados en lugares distantes, y además, los vanos, las
zonas no ocupadas por norma alguna, forman parte esencial de su
arquitectura" --pág. 41--. CASTELLS, M., La galaxia Internet.
Reflexiones sobre Internet, empresa y sociedad, Ed. Plaza & Janés,
2001, se pregunta si no se ha acabado ya "... el sueño neoanarquista de
las redes ciudadanas de la primera etapa" --pág. 176--. El ciberespacio
--añade-- "... se ha convertido en un ágora electrónico global donde la
diversidad del descontento humano explota en una cacofonía de acentos"
--pág. 160--. ROMEO CASABONA, C., Poder informático y seguridad
jurídica, Ed. Los Libros de Fundesco, 1987, sugiere que "... la
problemática de la protección material, social y jurídica --sea o no
ésta penal-- de la información se ha planteado en términos nuevos: el
valor de la información sobre la información, es decir, la que permite
acceder a la información pertinente y la que permite conocerla".
(3)
Sobre los límites de la capacidad de interceptación de las
comunicaciones por parte de los servicios de inteligencia en nuestro
Derecho, MARROIG POL, L., "La seguridad nacional y el acceso a los datos
de tráfico de las comunicaciones electrónicas", Diario LA LEY, año
XXIV, núm. 5799, 10 de junio de 2003.
(4)
Un detallado informe sobre las características y funcionamiento de
ECHELON, en POOLE, P., ECHELON: America's Secret Global Surveillance
Network, Free Congress Research and Education Foundation 2002,
202/546-3000, http://www.freecongress.org/.
(5)
Pendiente de publicación el presente trabajo, ha sido ya aprobada, con
el voto en contra de Irlanda y Eslovaquia, la Directiva 2006/24/CE del
Parlamento Europeo y del Consejo de 15 de marzo de 2006, sobre la
conservación de datos generados o tratados en relación con la prestación
de servicios de comunicaciones electrónicas de acceso público o de
redes públicas de comunicaciones y por la que se modifica la Directiva
2002/58/CE, hallándose publicada en el Diario Oficial de la Unión
Europea del día 13 de abril de 2006.
(7)
MORALES PRAT, F., en "Internet: riesgos para la intimidad", Cuadernos
de Derecho Judicial, 10-2001, págs. 63-81, se refiere a "... esta suerte
de melancolía actual de la intimidad, mutada ahora en un suave concepto
de anonimato" (pág. 70), preguntándose si la confidencialidad del
e-mail, en el fondo, no es sino un "planteamiento fariseo" (pág. 78).
(8)
QUERALT, J., Derecho Penal Español. Parte Especial, 4.ª ed., 2002,
Barcelona, págs. 168-180. MUÑOZ CONDE, F., Derecho Penal. Parte
Especial, Valencia, 15.ª ed., págs. 256-265. MORALES PRAT, F.,
Comentarios al nuevo Código Penal, AA.VV., dir. Quintero Olivares,
coord. Valle Muñiz, Pamplona, 3.ª ed., págs. 1025-1073. ORTS BERENGUER,
E. y ROIG TORRES, M., Delitos informáticos y delitos comunes cometidos a
través de la informática, Ed. Tirant lo Blanch, Colección de Delitos,
núm. 41, 2001, págs. 17-61.
(9)
Vid. importante STS 1219/2004, de 10 de diciembre (LA LEY JURIS
252/2004). Si bien el supuesto de hecho que da pie a la Sala Segunda a
fijar los límites de aquel precepto se refería a la utilización de
artificios de escucha y grabación de la imagen y el sonido, la doctrina
proclamada es aplicable a las distintas modalidades que acoge el mismo
precepto. En sentido contrario, SAP Salamanca 42/2004, 14 de junio.
(10)
En aquellas ocasiones en que el acto de intrusión está movido por el
reto personal de demostrar la capacidad técnica del intruso (hacker)
para levantar las barreras de protección fijadas por cualquier usuario,
algunos autores --por todos, BARRIO ANDRÉS, M., "Criminalidad e
Internet. Retos del siglo XXI", Sentencias de TSJ y AP y otros
Tribunales, núm. 15/2000) sugieren la inexistencia de delito por
ausencia de tal elemento subjetivo. Desde nuestro punto de vista, es
posible que, en algunos casos, la concurrencia de ese desafío filtre el
propósito del agente hasta imponerse a otras finalidades, con la
obligada consecuencia de proclamar la falta de relevancia penal de los
hechos. Sin embargo, producido el acto de apoderamiento de los mensajes
de correo electrónico y rotas las fronteras protectoras impuestas por el
emisor/destinatario, no parece fácil afirmar la ausencia de lesión al
bien jurídico. El dolo del agente capta todos los elementos del tipo
objetivo y el ánimo de descubrir los secretos puede ser perfectamente
compatible con otros propósitos que entrarían más en el terreno de los
móviles que en el que es propio del dolo. Partidario de afirmar el
delito en aquellos supuestos en los que el acceso se proyecta sobre
datos que sirven de vehículo al bien jurídico, RUIZ MARCO, F., Los
delitos contra la intimidad. Especial referencia a los ataques cometidos
a través de la informática, Ed. Colex, 2001, pág. 27.
(11)
La STS 1219/2004, de 10 de diciembre (LA LEY JURIS 252/2005), se
refiere al art. 197 del CP como precepto de "... tipicidad ciertamente
complicada".
(12)
Véanse, entre otras, SSTC 34/1996 --LA LEY JURIS 3666/1996--, 114/1984
--LA LEY JURIS 9401-JF/200000--, 70/2002 y 132/2002 --LA LEY JURIS
6264/2002--.
(13)
Vid. SUÁREZ SÁNCHEZ DE LEÓN, A., y su comentario a la STS Sala de lo
Social, de 26 de noviembre de 2001 (LA LEY JURIS, 1567/2002), "El uso
sindical del correo electrónico", Diario LA LEY, núm. 5516, año XXIII, 4
de abril de 2002, Tomo III, pág. 1762. Véase también BARROS GARCÍA, M.,
"Problemas derivados de la utilización del correo electrónico e
Internet en el ámbito laboral", Actualidad Jurídica Uría & Menéndez,
núm. 8, 2004, págs. 51-63. Con consideraciones extendidas al uso
abusivo del teléfono móvil para fines privados, LÓPEZ MOSTEIRO, R.,
"Despido por uso de correo electrónico e Internet", Actualidad Laboral,
núm. 41, noviembre 2001, págs. 767-781; FALGUERA I BARÓ, M. A.,
"Trabajadores, empresas y nuevas tecnologías", Cuadernos de Derecho
Judicial, núm. IX, 2004, págs. 187-221. Este autor se refiere a la
ausencia de "... soluciones ecuménicas o universales, aplicables a todos
los supuestos. Así, habrá de diferenciarse en cada caso las
características productivas de la empresa, la contraparte en la
comunicación, el concreto contenido de la misma o la tipología
específica de los asalariados afectados, entre otros factores" (pág.
199). FLAGUERA I BARÓ, M. A., "Uso por el trabajador del correo
electrónico de la empresa para fines extraproductivos y competencias de
control del empleador", Relaciones Laborales, núm. 22, año 2000: "... el
correo electrónico es un instrumento productivo, pero también es un
mecanismo de comunicación entre las personas incluso en el centro de
trabajo".
(14)
Sobre esa sentencia, puede verse SAN MARTÍN MAZZUCCONI, C., "¿Cómo se
mide el uso moderado de Internet para fines personales? ¿Transgrede la
buena fe contractual tener abierto un programa para chatear? Comentario a
la STSJ Cataluña de 11 de marzo de 2004", Aranzadi Social, núm. 7/2004.
La autora reclama de los tribunales de justicia mayor finura a la hora
de abordar el concepto de uso de las nuevas tecnologías, sentando
conclusiones más acordes con la evolución tecnológica de algunos de los
modernos medios de comunicación telemática.
(15)
Una glosa crítica a esta sentencia, en SEMPERE NAVARRO, A. V. y SAN
MARTÍN MAZZUCCONI, C., "Escuchas telefónicas a teleoperadoras",
Repertorio de jurisprudencia, núm. 4/2004, Aranzadi, pág. 13. Ambos
autores, si bien comparten la conclusión de la Sala Cuarta, en el
sentido de estimar que estamos ante una forma de "control
proporcionado", lamentan el enfoque de la cuestión como de legalidad
ordinaria.
(16)
Tal doctrina ha sido también acogida por la STC 186/2000, de 10 de
julio (LA LEY JURIS 9715/2000). Con anterioridad, véase la STC 114/1984,
de 29 de noviembre (LA LEY JURIS 9401-JF/200000).
(18)
Una sistematización y desarrollo de tales principios puede verse en
CARDENAL CARRO, M., "El abuso de Internet en el trabajo ¿vamos bien?",
Aranzadi Social, núm. 12/2004.
(19)
En torno al casuismo de los delitos relacionados con Internet y a la
respuesta penal del sistema británico, BAINBRIDGE, D., Introduction to
Computer Law, Ed. Longman, 4.ª ed., 2000, quien advierte --pág. 285-- de
que, pese a la creencia popular, la ley está razonablemente equipada
para hacer frente a los delitos cibernéticos, sobre todo a raíz de la
Computer Misuse Act 1990.
(22)
GARCÍA VALDEZ, "Acerca del delito de pornografía infantil", en Estudios
penales en recuerdo del Profesor Ruiz Antón, Ed. Tirant lo Blanch,
Valencia, 2004, págs. 429-430, propugna un esfuerzo de unificación en el
tratamiento penal de la pornografía infantil, llamando la atención
sobre el hecho de que un mismo acto delictivo puede ser castigado en
Portugal con 1 año de prisión y en Italia con 12.
(24)
Se trataba de enjuiciar la conducta de una persona que, despechada por
la falta de atención de su compañera, estuvo durante cinco años
invadiendo su correo electrónico con mensajes inquietantes y obscenos.
Además, accedió a la cuenta de correo de la víctima y envió falsos
correos a amistades comunes. La SAP de Madrid 1031/2003, de 12 de
diciembre, estimó que los hechos enjuiciados --una singular forma de
spam afectivo-- eran algo más que un delito contra el honor y condenó
por el tipo previsto en el art. 173 del CP, o un delito contra la
integridad moral de la víctima.
(27)
Desde la perspectiva de las políticas de seguridad para la protección
de datos, DEL PESO NAVARRO, E. y RAMOS GONZÁLEZ, M. A., La seguridad de
los datos de carácter personal, IEE, 2.ª ed., Madrid, págs. 39-46.
(28)
Publicado en CiberP28is de 31 de mayo de 2001. Sobre el estudio de la
Universidad de California, véase:
www.caida.org/outreach/papers/backscatter. Vid. también en Cryptogram:
www.counterpane.com, donde el experto Bruce SCHNEIER afirma: "... si
queremos ganar la guerra, deberemos salir de nuestros bunkers
protectores y ocuparnos activamente de los atacantes".
(29)
Se trata de datos divulgados en un reciente estudio encargado por la
empresa HISPASET, del que se hacía eco www.larazon.es, edición del día
16 de junio de 2000.
(31)
En los supuestos de "vandalismo electrónico", a favor de esa
calificación, sin descartar un encaje residual en el art. 261 CP, MORÓN
LERMA, E., Internet y Derecho Penal: Hacking y otras conductas ilícitas
en la red, Ed. Aranzadi, 2.ª ed., 2002, págs. 45-46. Un concepto de
sabotaje informático a partir del Derecho penal europeo puede verse en
ANDRÉS DOMÍNGUEZ, A. C., "Los daños informáticos en la Unión Europea",
Diario LA LEY, núm. 4725, 2 de febrero de 1999.
(32)
Son los parágrafos 303 y 303 a StGB. Sobre su alcance, M�HRENSCHLAGER,
M., "El nuevo Derecho Penal informático en Alemania", traducción SILVA
SÁNCHEZ, J., págs. 99-104, en Delincuencia Informática, Mir Puig S.
Comp., Ed. PPU, Barcelona, 1992. Acerca de las insuficiencias iniciales
del Derecho Penal alemán y la necesidad de un mejor tratamiento punitivo
del sabotaje informático, tanto mediante destrucción física de
instalaciones, como mediante el empleo de programas-crash, véase, en la
misma obra colectiva, SIEBER, U., "Criminalidad informática: peligro y
prevención", págs. 25 y 43.
(33)
Sobre la interpretación de ese cuadro jurídico y, en especial, acerca
del valor jurídico de los códigos de conducta tendentes a la
autorregulación, véase RIVERO GONZÁLEZ, M. D., "Régimen jurídico de la
publicidad en Internet y las comunicaciones no solicitadas por correo
electrónico", Revista de Derecho Mercantil, núm. 250, año 2003.
(34)
El verdadero alcance de la reforma exige también la lectura de la nueva
redacción dada al art. 22 de la LSSI, donde se regulan los derechos de
los destinatarios de servicios.
(36)
Partidario también de la interpretación restrictiva, BARRIO ANDRÉS, M.,
"Criminalidad e Internet...", op. cit., pág. 11, quien apunta que todos
aquellos ataques informáticos que causen la interrupción temporal del
servicio, sin menoscabo para los elementos informáticos, quedarían
extramuros del Derecho Penal. Este mismo autor, no obstante, sugiere la
referencia típica de los delitos de estragos y desórdenes públicos
tipificados en los arts. 346 --perturbación grave de cualquier medio de
comunicación-- y 560 --daños en líneas o instalaciones de
telecomunicaciones--, cuando el ataque tenga por objeto las
infraestructuras de Internet, "siempre y cuando cumplan los restantes
requisitos exigidos por el tipo y la jurisprudencia".
(37)
Centrado de forma preferente en el Derecho civil y con un detenido
examen de leyes y proyectos estadounidenses, vid. PLAZA SOLER, J. C.,
"La regulación de los correos electrónicos comerciales no solicitados en
el Derecho español, europeo y estadounidense", Revista Poder Judicial,
núm. 68, año 2002, págs. 61-103.
(38)
Vid. QUINTERO OLIVARES, G., Comentarios..., ob. cit., págs. 313 y 314.
Para este autor, "... el concepto mecánico no tiene límite, pues su
propio sentido de ingenio reproductor que el ser humano utiliza y que de
él se diferencia, abarca desde la más primitiva técnica de imprenta
hasta la captación de imágenes o sonido vía satélite. En todo caso, no
hay razón, pues, para limitarse al trío tradicional (prensa, radio y
televisión)". En contra, MORALES GARCÍA, O., "Criterios de
responsabilidad penal a los prestadores de servicios e intermediarios de
la sociedad de la información", Cuadernos de Derecho Judicial, IX,
2002, págs. 216-222: "... el régimen de responsabilidad del art. 30 CP
no se ajusta a la dinámica de Internet, donde existen operadores
difícilmente encuadrables en dicho precepto, ajenos por tanto a las
reglas de subsidiariedad y exclusión que en él se promocionan y,
viceversa, sujetos sometidos al alcance del art. 30 CP y que son
desconocidos en el ciberespacio".
(39)
Así lo señala GÓMEZ TOMILLO, M., Responsabilidad penal y civil por
delitos cometidos a través de Internet. Especial consideración del caso
de los proveedores de contenidos, servicio, acceso y enlaces, Ed.
Aranzadi, Pamplona, 2004, pág. 25, quien recuerda que "... aun cuando se
aceptase la imposibilidad literal de aplicar el art. 30 CP a los
delitos que examinamos, siempre cabría recurrir a la analogía in bonam
partem, en la medida en que el citado precepto supone una limitación de
la responsabilidad penal, nunca una ampliación de la misma".
MARTÍN-CASALLO LÓPEZ, J. J., advierte de las dificultades que encierra
aquel precepto y reprocha al legislador que no haya señalado unos
criterios específicos de participación en la red, "Internet y
pornografía infantil", Actualidad informática Aranzadi, núm. 40, julio
2001, pág. 7.
(40)
GÓMEZ TOMILLO, ob. cit., págs. 31 y ss. Este autor propugna un concepto
elástico de esa exigencia, llegando a formular un listado de aquellas
figuras delictivas en las que la difusión se presenta como un elemento
estructural del tipo.
(41)
El art. 16.1 b) segundo párrafo establece lo siguiente: "se entenderá
que el prestador de servicios tienen el conocimiento efectivo a que se
refiere el párrafo a) cuando un órgano competente haya declarado la
ilicitud de los datos, ordenado su retirada o que se imposibilite el
acceso a los mismos, o se hubiera declarado la existencia de la lesión, y
el prestador conociera la correspondiente resolución, sin perjuicio de
los procedimientos de detección y retirada de contenidos que los
prestadores apliquen en virtud de acuerdos voluntarios y de otros medios
de conocimiento efectivo que pudieran establecerse".
(43)
MARCHENA GÓMEZ, M., "Algunos aspectos procesales de Internet",
Problemática Jurídica en torno al fenómeno de Internet, en Cuadernos de
Derecho Judicial, 2000, págs. 74-77. En el mismo sentido, SÁNCHEZ GARCÍA
DE PAZ, I. y BLANCO CORDERO, I., "Problemas de derecho penal
internacional en la persecución de delitos cometidos a través de
Internet", Actualidad Penal, núm. 7, 11 a 17 febrero 2002, pág. 170.
(44)
Una propuesta restrictiva de los límites jurisdiccionales españoles, en
relación con determinados delitos, RODRÍGUEZ RAMOS, L. y GIL DE LA
FUENTE, J., "Límites de la jurisdicción penal universal española (A
propósito de los casos Pinochet y Guatemala)", Diario LA LEY, núm. 5788,
año XXIV, 26 de mayo de 2003.
(45)
En vigor desde el 1 de julio de 2004, si bien ratificado sólo por 11
Estados, entre los cuales no se encuentra España. Texto y proceso de
ratificación puede verse en http://www.coe.int/DefaultEN.asp. Un
análisis de algunas de las cuestiones procesales que suscita puede verse
en GONZÁLEZ LÓPEZ, J. J., "La respuesta procesal a la delincuencia
informática: especial atención al Convenio sobre el Cibercrimen", en
www.noticias.jurídicas.com.
(46)
En contra, partidarios de un criterio restrictivo, modulado por el
principio de universalidad, SÁNCHEZ GARCÍA y BLANCO CORDERO, "Problemas
de derecho penal...", ob. cit., págs. 171-186. MATA y MARTÍN, R. M.,
advierte de los riesgos de "funcionalizar los conceptos de acción y
resultado para lograr un mayor campo de aplicación de la ley penal", en
"Criminalidad informática: una introducción al cibercrimen",
Delincuencia Informática y Derecho Penal, Ed. Edisofer, Madrid, 2001,
pág. 959.
(47)
Tal es el criterio de GARCÍA RUIZ, J., "Correo electrónico y proceso
penal", Diario LA LEY, núm. 5805, año XXIV, 18 de junio de 2003.
(48)
STC 70/2002, de 3 de abril, FJ 9.º: "... la supuesta carta no
presentaba ninguna evidencia externa que hubiera permitido a la Guardia
Civil ex ante tener la constancia objetiva de que aquello era el objeto
de una comunicación postal secreta, tutelada por el art. 18.3 CE. Por el
contrario, la apariencia externa del hallazgo era equívoca: unas hojas
de papel dobladas en el interior de una agenda no hay por qué suponer
que fueran una carta y no resultaría exigible a la Guardia Civil que
actuara respecto de cualquier papel intervenido al delincuente, en el
momento de la detención, con la presunción de que se trata de una
comunicación postal. (...) Estos dos datos (falta de constancia o
evidencia "ex ante" de que lo intervenido es el objeto de una
comunicación secreta impenetrable para terceros y falta de interferencia
en un proceso de comunicación) son los decisivos en el presente
supuesto para afirmar que no nos hallamos en el ámbito protegido por el
derecho al secreto de las comunicaciones postales sino, en su caso, en
el ámbito del derecho a la intimidad del art. 18.1 CE. Pues, y esto debe
subrayarse, el art. 18.3 CE contiene una especial protección de las
comunicaciones, cualquiera que sea el sistema empleado para realizarlas,
que se declara indemne frente a cualquier interferencia no autorizada
judicialmente".
(49)
Favorables a la asimilación del correo electrónico al mensaje
telegráfico, HERNÁNDEZ GUERRERO, F. J. y ÁLVAREZ DE LOS RÍOS, J. L.,
"Medios informáticos y proceso penal", Estudios Jurídicos. Ministerio
Fiscal, IV, 1999, pág. 497. Comparte el argumento MATA y MARTÍN, R.,
Delincuencia informática y Derecho Penal, Ed. Edisofer, Madrid, 2001,
pág. 158.
(50)
Sobre el valor probatorio de los documentos con firma digital, el
control de las autoridades de certificación y los efectos jurídicos de
una arquitectura de red más segura y confiable, GALINDO, F., "La
admisión como prueba en juicios de carácter penal de documentos
electrónicos firmados digitalmente", Informe Final Proyecto Aequitas,
Infosec, DGXIII Unión Europea, julio 1998.
(51)
Hallándose en imprenta este artículo, la Directiva 2006/24/CE ha sido
ya aprobada y publicada en el Diario Oficial de la Unión Europea del día
13 de abril de 2006. El período de retención ha sido fijado en un
mínimo de seis meses y un máximo de dos años desde la fecha de la
comunicación (art. 6). También se prevé que esa duración máxima pueda
ser, en atención a circunstancias particulares, ampliada por los Estados
miembros durante un período limitado, habilitándose una forma de
control por la Comisión cuando le sea notificada la medida (art. 12).
(52)
La nota explicativa y una exposición justificativa de los objetivos de
la propuesta, así como de las diferencias con el proyecto de
decisión-marco del Consejo, puede verse en
http://europa.eu.int/rapid/pressReleasesAction.do?reference=MEMO/2005/328&format=HTML&aged=0&language=FR&guiLanguage=fr.
(53)
Es el caso, por ejemplo, de ETXEBERRÍA GURIDI, J. F., La protección de
los datos de carácter personal en el ámbito de la investigación penal,
Agencia de Protección de Datos, Madrid, 1998, págs. 98-101. También
partidario de autorización judicial duplicada para acceder a ficheros
históricos --una para conocer la dirección IP y el momento de la
conexión, otra para que el ISP que gestiona el rango que incluye esa
concreta dirección informe sobre el cliente que sea usuario de la
misma--, LÓPEZ MELGAREJO, A., "Investigación Criminal y proceso penal:
las directrices de la propuesta del Consejo de Europa sobre Cyber-crime y
de la directiva del comercio electrónico", en Contenidos ilícitos y
responsabilidad de los prestadores de servicios de Internet, monográfico
de Derecho y Proceso Penal, núm. 8, 2002, pág. 252.
(54)
El texto íntegro de la Consulta, de especial interés para la solución
al tema aquí abordado, puede verse en
http://www.fiscal.es/fiscal/public.
(56)
Sobre la pericial informática en el proceso civil, URBANO CASTILLO, E. y
MAGRO SERVET, V., La prueba tecnológica en la Ley de Enjuiciamiento
Civil, Ed. Thomson Aranzadi, 2003, págs. 95-97.
(57)
STS 1599/1999, 15 de noviembre (LA LEY JURIS 2501/2000): en lo que se
refiere a lo que se denomina "volcaje de datos", su práctica se llevó a
cabo con todas las garantías exigidas por la ley. En primer lugar, la
entrada y registro se realizó de forma correcta y con la intervención
del Secretario Judicial que cumplió estrictamente con las previsiones
procesales y ocupó los tres ordenadores, los disquetes y el ordenador
personal. Lo que no se puede pretender es que el fedatario público esté
presente durante todo el proceso, extremadamente complejo e
incomprensible para un profano, que supone el análisis y
desentrañamiento de los datos incorporados a un sistema informático.
Ninguna garantía podría añadirse con la presencia del funcionario
judicial al que no se le puede exigir que permanezca inmovilizado
durante la extracción y ordenación de los datos, identificando su origen
y procedencia...). La parte recurrente tuvo a su disposición, durante
toda la fase de instrucción, y pudo solicitar como prueba para el juicio
oral, una contrapericia que invalidase o matizase el contenido de la
que realizaron los peritos judiciales. No lo hizo así, lo que pone de
relieve que confiaba en su imparcialidad y objetividad. Ahora bien, por
sus especiales características y necesidad de conocimientos técnicos
especializados, sería conveniente que el Juez de Instrucción, de igual
manera que sucede en el art. 348 de la LECrim., ofreciera a la parte
interesada la posibilidad de designar otro perito que presenciase la
operación y pudiera solicitar una contrapericia.
(58)
Con ese mismo criterio resuelve el problema suscitado FERNÁNDEZ PINOS,
J.E., "cuestiones procesales relativas a la investigación y persecución
de conductas delictivas en Internet", Contenidos Ilícitos y
responsabilidad de los prestadores de servicio de Internet, monográfico
de la revista Derecho y Proceso Penal, núm. 8, 2002, pág. 247.
No hay comentarios:
Publicar un comentario