Читать книгу La transformación digital de la cooperación jurídica penal internacional - María de las Nieves Jiménez López - Страница 8

En materia de cibercrimen, la UE creó un centro asociado a Europol llamado European Cybercrime Center (EC3) hace ya diez años, concretamente a mediados de 2013. Su creación venia motivada por el cumplimiento de la Estrategia de Seguridad Interior de la Unión Europea Hacia un modelo europeo de seguridad17 vinculada al Programa de Estocolmo desde el año 2010 y al cumplimiento a su vez del Convenio de Cibercrimen del Consejo de Europa del 2001.

En este sentido, la UE instaba a crear instituciones concretas destinadas a luchar contra delitos cibernéticos por su propio perfil transfronterizo. Esta lucha puso su acento en la fase de investigación de los mismos, a sabiendas de que el peligro de anonimato y la amplia difusión de los mismos a través de Internet hacían necesaria una respuesta ya no solo preventiva, sino que atajara el problema en sus inicios a través de agentes policiales especializados en cibercriminalidad y que al mismo tiempo estuvieran interconectados en los diferentes estados miembros. El objetivo sería recabar pruebas electrónicas que pudieran imputar la comisión de hechos delictivos a sus presuntos autores en el mundo del ciberespacio y dar cumplimiento así a los principios de investigación y legalidad.

El propio Convenio de Cibercrimen indicaba expresamente en su punto 4.4 que “pues los grupos delictivos han sabido aprovechar con eficacia la tecnología. Esto, a su vez, dificulta las investigaciones de las autoridades policiales”; por lo que se pedía una “respuesta rápida” ante los ciberataques. Igualmente en el año 2017, el Consejo de Europa inicia la preparación de un segundo protocolo adicional al Convenio de Budapest sobre la Ciberdelincuencia para un régimen de cooperación más eficiente a través de la inclusión de incluirá garantías y requisitos exigentes en materia de protección de datos, que fuera de aplicación potencial a todo el mundo y que deberían haber concluido antes de acabar el 2020, cuestión que finalmente se ha pospuesto seguramente por efecto de la pandemia del Covid-19 tal y como ahondaremos en el próximo punto del presente estudio. El objetivo de este protocolo es “mejorar el canal de cooperación tradicional e incluir disposiciones para la cooperación directa entre las autoridades con funciones coercitivas y los proveedores de servicios transfronterizos, así como disposiciones sobre el acceso directo a los datos por parte de dichas autoridades18”.

No debemos olvidar que la función del derecho no es solo la de resolver los conflictos, sino que tiene una labor principal anterior en la prevención de los mismos. Se necesitan así instrumentos enfocados a inteligencia, es decir, saber prever lo que puede ocurrir e incluso poder infiltrarse de alguna forma en las organizaciones que prevén este tipo de ataques para poder frenarlos antes de que se ejecuten. Es realmente complicado impulsar instrumentos de esta naturaleza, pero creemos que el EC3 a través de Europol es un buen ejemplo parar crear una especie de servicio de inteligencia coordinado en la lucha contra el cibercrimen en la UE19. Por tanto, hablamos también de funciones de ciberseguridad y ciberdefensa y de una concepción futurista, pensada en investigar delitos cibernéticos de nueva generación y que a su vez funcione como una especie de plataforma con ramificaciones que esté conectada con agencias nacionales de seguridad y operadores jurídicos o policiales que se dediquen a lo mismo en cada uno de los países de los estados miembros. Podemos decir que se plantea como una especie de plataforma cooperativa sobre esta materia que funciona principalmente a través de Europol pero que puede ayudar a otras instituciones ya apuntadas en este estudio como Eurojust. De igual modo, tiene también una cierta función pedagógica o divulgativa sobre la materia, a través de la creación de guías de buenas prácticas, estudios estadísticos o documentos con recomendaciones20. Con ello va creando de manera progresiva un cierto corpus de soft law destinado a guiar y a formar jurídicamente tanto a operadores jurídicos como a la sociedad en general, al encontrarse en dominio abierto. Además de estas labores, Europol a través del EC3 realiza una acción coordinada en materia de diligencias de investigación a través de la coordinación y potenciación de quipos conjuntos de investigación entre diversos estados. Es decir, operadores policiales de distintos países que colaboran en operaciones cibernéticas con componente transfronterizo para investigar ciberdelitos de alta tecnología, pornografía infantil, fraude electrónico, etc.

De por si, esta labor plantea inconvenientes pues no existe una armonización legislativa a nivel de diligencias de investigación tecnológica en la UE y países como en el caso de España, Holanda, Alemania o Francia plantean particularidades propias en cuanto al uso de la interceptación de las comunicaciones o de otras más avanzas como la inclusión de virus espías o la infiltración de agentes encubiertos en Internet. Se tiene por tanto que actuar con un principio de garantismo preventivo absoluto con el fin de no poner en peligro el resultado de la investigación pensando desde el punto de vista global.

Sin ir más lejos, una de las operaciones más conocidas activadas coordinadas por el EC3 a través de equipos conjuntos de investigación fue la del caso de Sweetie, el cual refleja al mismo tiempo alguna laguna adicional en el caso de España. En este caso, hablamos de aplicar inteligencia artificial como diligencia de investigación, cuestión que en España no está regulada pero que si ha tenido un avance importante en Holanda.

Entre Holanda, su organización a favor de los derechos humanos de los niños Terre des hommes (Tierra de hombres) y Europol, a través de una niña creada por inteligencia artificial, se logró atraer a más de 20 mil pedófilos en todo el mundo entre 2013 y 2014, por lo que ya fue una estrategia coordinada gracias al EC3 y toda su operativa21. Si trasladáramos la ejecución propia de las medidas a nuestro país, nos encontraríamos con una cuestión que tendría seguramente trabas legales y problemas de reconocimiento judicial en España debido a la falta de regulación de este tipo de tecnología en su momento. Con ello, vemos un claro ejemplo de infiltración de agentes encubiertos en Internet coordinados por el EC3 cuyo objetivo es recabar pruebas electrónicas con el fin último de que sean válidas para probar un determinado ciberdelito y que a su vez tengan validez en diferentes Estados miembros.

Así, partimos de que cada país tiene su propia regulación en el uso de las diligencias de investigación, sus principios rectores para su autorización y una modalidad de ejecución particular, así como características para la concesión de resoluciones judiciales para su concesión y un largo etcétera que debe ser validado para que la prueba surta efecto y se puedan respetar los principios suficientes que aseguren una obtención valida y preservar una cada de custodia eficaz. Es por ello interesante explorar la medida de los Equipos Conjuntos de Investigación (ECI), en el que los estados involucrados a través de sus agencias policiales autorizadas realizan un acuerdo previo y un acto de constitución del alcance de las medidas de investigación a adoptar. El EC3 realiza así una importante labor de inteligencia e información criminal y ayuda igualmente a través de un análisis operacional y de coordinación personal e instrumental entre los estados para abordar ciberdelitos transfronterizos de alta tecnología. En definitiva, facilita la conexión entre las agencias encargadas de cumplir la ley, la academia, el sector privado y otros grupos de interés que se ocupan de la seguridad de la Red, al tiempo que ofrece y apoya programas de training para construir capacidades cibernéticas en los países miembros y poner al servicio de los mismo asistencia técnica y digital forense destinadas a apoyar investigaciones tecnológicas u operativos determinados. Estas funciones las puede realizar el EC3 mediante el denominado Programme Board que indica como alcanzar los objetivos puestos en la EC3 y que se compone por agencias judiciales, policiales e informáticas, así como por instituciones europeas de carácter multidisciplinar22.

Por último, debemos reseñar el valor que tienen los J-CAT (Joint Cybercrime Action Task Force, o Grupo de Trabajo Conjunto de Acción contra el Cibercrimen) que surgen como complemento a los ECI con el fin de ayudar en investigaciones de gran complejidad23, mediante un acuerdo de colaboración operacional de las agencias policiales con el EC3 de Europol que permita colaborar a través de la compartición de datos o el desarrollo de planes conjuntos de actuación. Cada equipo de trabajo será dirigido por el país que ha llevado el caso al EC3 y se atenderá al marco legal de dicho Estado para dirigir las posibles pesquisas, con el fin de dotarlas del mayor garantismo posible.

Los J-CAT nacen además con un afán de estabilidad, y hasta el momento los resultados son muy fructíferos en términos de cooperación procesal internacional. Podemos decir con ello que a nivel de investigación las medidas adoptadas se inspiran en los fines propios del Convenio de Budapest, apostando por medidas colaborativas y el reconocimiento mutuo ante ciberdelitos de componente transfronterizo. Así, son unidades de apoyo que velan por la colaboración entre países, teniendo en cuenta los límites marcados por el principio de exclusividad en la jurisdicción de cada país, pero que sirve para identificar a través de una labor colaborativa, los instrumentos técnicos, personales e instrumentales que hacen falta para abordar un delito informático que traspasa la jurisdicción de un único estado. Cuestión esta, que va enfocada sobre todo en el traspaso de información a fines de investigación, y para la que la Convención del Cibercrimen da cobertura legal, al estar ratificada por España, mediante lo indicado en su art. 26 al referirse al término “información espontánea”. El precepto en este sentido indica que: “dentro de los límites de su derecho interno, y sin petición previa, una parte podrá comunicar a otra Parte información obtenida en el marco de sus propias investigaciones cuando considere que la revelación de dicha información podría ayudar a la Parte receptora a iniciar o llevar a cabo investigaciones o procedimientos en relación con delitos previstos en el presente convenio o podría dar lugar a una petición de cooperación”.

Con todo lo anterior llegamos a la conclusión de que la propia finalidad es la obtención de pruebas electrónicas para acreditar los hechos vinculados a determinados ciberdelitos. Hemos realizado así un análisis del marco legal orgánico existente en Europa que facilita la investigación de este tipo de hechos mediante una cooperación ardua entre agencias policiales de distintos Estados con un nexo común organizativo a través del EC3, pero sin duda falta algo más para poder completar este puzle que aún se presenta inacabado: una regulación propia para la obtención de pruebas electrónicas en la UE.

Como hemos indicado en el apartado anterior, la Comisión Europea de Justicia es consciente de esta importante laguna, y es por ello que el 24 de marzo de 2016, tras los atentados terroristas de Bruselas, se pone el foco en dotar de mejores medios legales que permitan obtener pruebas electrónicas en el orden jurisdiccional penal, con una mayor facilidad y rapidez.

Así, a través de una Declaración conjunta de los ministros de Justicia y asuntos de interior de la UE24, indican que es prioritario, entre otras cuestiones:

a) Potenciar la comunicación sobre fronteras inteligentes e interoperabilidad: Reforzar con urgencia la alimentación sistemática, la utilización coherente y la interoperabilidad de las bases de datos europeas e internacionales en el ámbito de la seguridad, los viajes y la migración, aprovechando todos los avances tecnológicos e incorporando salvaguardias en materia de privacidad desde el inicio.

b) Mejorar el acceso a pruebas electrónicas: Encontrar, con carácter prioritario, formas de proteger y obtener más rápida y eficazmente pruebas digitales, estrechando la cooperación con terceros países y con proveedores de servicios activos en el territorio europeo y fuera del mismo.

Por todo ello, a continuación, dedicaremos la segunda parte de este trabajo al estudio concreto de las últimas iniciativas legales de la UE para lograr una obtención y una conservación de pruebas electrónicas eficaz.