La lucha contra el crimen es una actividad que cuenta con el apoyo popular, y con razón. Los ciudadanos suelen entender que la lucha contra los delincuentes debe disponer de los medios necesarios, y por ello, no se suelen oponer a la introducción de cambios legislativos que se justifiquen en base a ello. Basta con mostrar en medios generalistas el auge de conflictos e informar del incremento en los delitos tecnológicos para conseguir que la opinión pública apoye muchos cambios que, en situaciones normales, requerirían de un estudio mucho más profundo para su justificación y serían objeto de numerosas críticas por las limitaciones de derechos que suponen. Un claro ejemplo lo podemos encontrar en el reciente debate surgido sobre el cifrado y el anonimato, en el cual multitud de cargos públicos apelan a la lucha contra el terrorismo y la pornografía infantil para que se establezcan limitaciones al uso de herramientas tecnológicas que dificultan la investigación.
No podemos negar que el número de delitos tecnológicos no ha hecho más que crecer en los últimos tiempos. El Informe de la Fiscalía se hace eco de esta circunstancia y habla de un crecimiento en España del 71,2% de las prácticas ilícitas en Internet en 2014, con un elevado porcentaje correspondiendo a estafas informáticas. Nos encontramos así con un marco donde la Ley sí resulta aplicable y busca castigar determinadas conductas, pero no se cuenta simultáneamente ni con herramientas tecnológicas ni personales para su persecución, y es esta deficiencia la que quiere solventar la nueva modificación de la Ley de Enjuiciamiento Criminal.
En mi opinión, en el debate sobre estas nuevas leyes debemos evitar hablar en términos generales de una “Ley Torquemada” o una censura generalizada en Internet a causa de esta Ley. Nada aporta al debate una crítica que no se centre en los aspectos realmente deficientes de la Ley, dado que para solucionar un problema el primer paso es localizarlo. Y esto es aún más cierto cuando, afortunadamente, el texto definitivo ha introducido en las actuaciones más críticas (como era la autorización a los agentes informáticos encubiertos de intercambiar o enviar por sí mismos archivos ilícitos) la necesidad de contar con autorización judicial para llevarlas a cabo. Ahora bien, esto no quiere decir que la Ley no presente serias deficiencias desde el punto de vista estrictamente técnico-jurídico.
Bajo el paraguas de la lucha contra las actividades criminales más deleznables y criticables por la sociedad, esta Ley contempla la aplicación de medidas de especial delicadeza a supuestos excesivamente ambiguos y amplios cuando se refiere a los denominados ‘delitos tecnológicos’. En vez de limitar a supuestos especialmente graves las medidas de vigilancia, interceptación de comunicaciones o instalación de troyanos para la realización de registros remotos, la Ley busca una habilitación generalizada cuando el investigado pueda estar cometiendo, según el cuerpo policial, algún tipo de delito “a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación”.
Es cierto que los jueces deberán realizar un análisis de proporcionalidad y adecuación de las medidas a adoptar, pero corresponde al legislador tener en cuenta dichos principios a la hora de redactar el texto. Resulta clara a primera vista la diferencia entre actuaciones como llevar a cabo estafas o acoso a través de Internet con meros accesos a sistemas de información que, recordemos, el actual Código Penal también tipifica como delito. Y estas diferencias deberían ser tenidas en cuenta de manera expresa al delimitar qué tipo de medidas podrán autorizarse en cada supuesto, mucho más allá de hablar del mero uso de instrumentos informáticos y similares como supuesto habilitante.
Otro ejemplo en que la aplicación podría ser discutible lo podemos encontrar en las actuaciones dentro del denominado “hacktivismo”. Estos últimos días ha tenido repercusión en los medios el ataque DDOS que ha sufrido el Ayuntamiento de Tordesillas por parte de Anonymous, a través del cual se mostró la oposición de este colectivo a la realización de un evento taurino y que finalizó con varias de las sedes electrónicas de este municipio caídas. En la medida (se refiere a ‘medida’ de ‘decisión?’ o quiere decir realmente ‘manera’?) en que se impidió el acceso a un sistema informático de una Administración Pública (con las consecuencias que ello pueda tener para los ciudadanos que requiriesen de sus servicios) puede llegarse a entender que la acción no puede quedar impune desde el marco legal. Sin embargo, este supuesto con la actual redacción podría incluso calificarse de terrorismo, contemplándose la posibilidad de imponer 10 días de detención incomunicada. ¿Realmente sería una medida justa y proporcionada en el ejercicio de actuaciones de protesta como la indicada? Al final nos encontramos con un texto legal que establece medidas sin delimitar de forma clara y expresa los supuestos a que correspondería su aplicación, bastando con que se utilicen solo determinados medios técnicos. Ello podría llegar a ser una excusa para aplicar estas a casi cualquier usuario, por mucho que ahora se regulen excepciones como la contemplada en determinados supuestos para el derecho de información.
Uno de los argumentos que más se ha repetido desde los cargos públicos a este respecto es que no hay que dudar sobre la profesionalidad de los funcionarios de la Policía Judicial y de los jueces. Que la habilitación para actuar bajo identidad supuesta, instalación de troyanos en equipos remotos, o las obligaciones de colaboración dirigidas a empresas que prestan servicios de la sociedad de la información, solo afectarán a aquellos que cometen acciones delictivas y siempre bajo un estricto control de legalidad. Un argumento demasiado similar al “si no tienes nada que ocultar, no tienes nada de qué preocuparte” utilizado para defender las limitaciones a tecnologías de cifrado y que no podemos admitir.
La práctica ha demostrado que en el caso de intervención de comunicaciones se han llegado a transcribir conversaciones especialmente protegidas como lo son las realizadas entre una persona y su abogado. En algunos casos incluso han llegado hasta el sumario, aunque posteriormente se ha ordenado su eliminación. Por lo tanto, si en medidas que no resultan tan tecnológicamente complejas como las planteadas podemos observar deficiencias graves, ¿qué nos puede garantizar que esto no se agrave al establecer como hemos dicho los supuestos de aplicación de forma tan vaga?
Pero el problema es aún mayor en el caso de la habilitación para realizar el registro remoto de equipos. No podemos simplemente equipararlo a un registro domiciliario (como desde algunos sectores se quiere hacer, sobre simplificando su naturaleza), realizado en presencia de un secretario judicial que será quien dará fe de las actuaciones llevadas a cabo durante el mismo. El desarrollo de un registro remoto es muy distinto. Para empezar, toda la medida será llevada a cabo por los agentes autorizados, que serán los que observarán y registrarán el ordenador. Sin la intervención del secretario difícilmente se podrá garantizar sin ningún género de dudas que las actuaciones sean llevadas a cabo dentro de los límites de la autorización judicial, pero además tenemos los problemas de la necesaria delimitación en el tiempo de la actuación y la posible afectación de otros derechos como es el de privacidad de las comunicaciones, que no resultaría amparada por la autorización. Las soluciones informáticas especializadas en registros remotos de equipos informáticos incluyen entre sus funcionalidades la de almacenar un historial de todas las tareas llevadas a cabo en el equipo remoto por el agente autorizado. Sin embargo, esto no impide que la vulneración de derechos se produzca ni supone que se lleve un control efectivo durante su realización.
Asimismo, el software utilizado para estos registros remotos debe asegurar que no se realizan modificaciones en el equipo remoto para poder garantizar la legalidad de la prueba. Gracias a las recientes filtraciones del código utilizado por Hacking Team en las herramientas que facilitaba a diversos gobiernos se ha visto cómo estas contemplan la posibilidad, por ejemplo, de inyectar contenido de pornografía infantil en el equipo registrado sin que el usuario del mismo tenga conocimiento de ello. Surgen múltiples dudas sobre la viabilidad de las pruebas obtenidas a través de estos registros remotos, así como la dificultad de controlar que no se accede a partes del sistema no autorizadas, o a documentos especialmente protegidos que superen el alcance de la autorización obtenida.
Por si no fuera poco, a los prestadores de servicios se les impone una obligación de asistencia y colaboración precisa para facilitar el cumplimiento de los autos de intervención de las telecomunicaciones, circunscribiéndola (a mi juicio de nuevo con una excesiva amplitud) a casos en los que se haya cometido delito informático. Este tipo de medidas debería quedar circunscrita a los supuestos más graves, y no encontrarse regulado tal y como se ha hecho finalmente.
Nos encontramos de nuevo con una normativa que plantea serias dudas sobre cómo afectará a los derechos de la sociedad, mucho más allá de los sujetos contra los que se ha afirmado que se actuará durante su tramitación. Hay que dotar de herramientas adecuadas para luchar contra los delitos tecnológicos, sí, pero no a cualquier precio y de cualquier modo.