Captura de pantalla 2023 11 05 a las 19 54 56 300x171

El Convenio de Budapest regula en el art. 18 la obtención de los datos de abonado, mediante una solicitud al proveedor de servicios que preste sus servicios en el territorio para que comunique los datos que obren en su poder o bajo su control relativos a los abonados en relación con dichos servicios. 

¿Qué comprende los datos de abonado?

El Convenio en sus art. 1 recoge las definiciones de dato informático y datos de tráfico, las cuales nos permiten obtener, por exclusión, el concepto de datos de contenido. El art. 18 contiene una definición autentica de lo que se debe entender por dato de abonado, estableciendo con carácter excluyente la obtención de cualquier dato que pueda formar parte del contenido del hecho comunicante y por lo tanto, que deba ser considerado como dato de tráfico.

La información del suscriptor es el tipo de datos más solicitados por las autoridades de justicia penal en las investigaciones penales de la ciberdelincuencia y otros casos relacionados con pruebas electrónicas. La información del abonado comprende los datos de que dispone el proveedor de servicio para la contratación y facturación de los servicios que presta, y que por lo tanto se extiende a la identidad, la dirección postal o situación geográfica, y el número de teléfono del abonado, así como a cualquier otro número de acceso.

Además de los datos de facturación también comprenden los datos de abonado, el tipo de servicio de comunicación utilizado, las disposiciones técnicas al respecto, el periodo de servicio y la información relativa a la localización de los equipos.

No contiene el articulo una referencia expresa a la identificación de la IP de conexión, ni tampoco, en sentido inverso, a la resolución de una IP especifica utilizada en un delito, si bien ambos conceptos deben quedar comprendidos en el término «disposiciones técnicas», pues tal y como indica el parágrafo 178 del Informe Explicativo del Convenio y recoge la nota orientativa del T-CY  Production orders for subscriber information 10 #,   incluye todas las medidas adoptadas para permitir a un abonado disfrutar del servicio de comunicación ofrecido. Dichas disposiciones incluyen la reserva de un número o dirección técnica (número de teléfono, dirección del sitio web o nombre de dominio, dirección de correo electrónico, etc.), así como el suministro y registro de equipos de comunicación utilizados por el suscriptor, como dispositivos telefónicos, centros de llamadas o LAN (redes de área local).

En general, los datos más demandados en una investigación penal por ciberdelitos son

▪ Datos de direcciones IP relacionados con una cuenta específica, sitio web o datos similares utilizados en una infracción penal. Los datos de la dirección IP incluyen la dirección IP utilizada para crear la cuenta, la última dirección IP de inicio de sesión o la dirección IP utilizada en un momento específico;

▪ Información del suscriptor relacionada con una dirección IP específica utilizada en un delito.

Estos datos o informaciones podemos, pues, obtenerlos a través de la orden de presentación que. recoge el art. 18 del Convenio, al considerarse que al no afectar al tráfico presentan una menor injerencia en el derecho a la privacidad. Así lo ha entendido la jurisprudencia del TJUE en su sentencia de 2 de octubre de 2018, en el asunto C-207/16  (Ministerio Fiscal), que resolvió una cuestión prejudicial planteada por la Audiencia Provincial de Tarragona con motivo de un recurso interpuesto por el Ministerio Fiscal español.

Ha sido motivo de controversia en la jurisprudencia de determinados países establecer una protección distinta entre las IP fija e IP dinámica, considerando que mientras en las primera las ISP se limitaban a consultar un listado en donde se recogía la IP utilizada, en las segundas es necesario determinar el dato temporal de utilización para poder proceder a su identificación y búsqueda, lo que conlleva considerarla como un dato de tráfico. Destacar en este sentido la sentencia del TEDH Benedik vs. Slovenia del 24 de abril de 2018 y el documento elaborado por el T-CY en la preparacion del Segundo Protocolo denominado “Conditions for obtaining subscriber information in relation to dynamic versus static IP addresses: overview of relevant court decisions and developments”. (oct. 2018).

El Reglamento (UE) 2023/1543 del Parlamento Europeo y del Consejo, de 12 de julio de 2023, sobre las órdenes europeas de producción y las órdenes europeas de conservación a efectos de prueba electrónica en procesos penales introduce una cuarta categoría de datos, constituida por los datos de conexión, los cuales sustrae de los datos de abonado para darle entidad propia. Así establece como categoría los “Datos solicitados con el único fin de identificar al usuario”, en los que incluye las direcciones IP y, cuando sea necesario, los puertos de origen y el sello de tiempo pertinentes, a saber, la fecha y la hora o equivalentes técnicos de dichos identificadores e información conexa, cuando así lo soliciten las autoridades policiales o las autoridades judiciales con el único fin de identificar al usuario en una investigación penal específica.

¿Quién puede solicitar los datos de abonado?

El Convenio de Budapest no determina normativamente quien puede solicitar este tipo de datos, limitándose a emplear la formula “autoridades competentes” dejando dicha precisión a la normativa interna de cada país.  La menor injerencia en el ámbito de la privacidad ha conllevado que las ordenes de presentación se puedan presentar por la policía o el Ministerio Fiscal sin necesidad de autorización judicial.

En España la reforma de la LECr operada por la LO 13/2015 permite “la cesión de datos desvinculados de los procesos de comunicación concernientes a la titularidad o identificación de un dispositivo electrónico, a los que podrá acceder el Ministerio Fiscal o la Policía Judicial en el ejercicio de sus funciones sin necesidad de autorización judicial». Sin embargo, para la identificación de una dirección IP se requiere la necesaria autorización judicial (art. 588 ter K LECr).

El TJUE en la sentencia (Gran Sala) de 2 de marzo de 2021, asunto c-746/2018, limita la solicitud de datos de tráfico por el Ministerio Fiscal y a los de localización vinculados a las comunicaciones electrónicas desde la premisa de que concurre en el Ministerio Fiscal la doble condición de acusación y parte.

Las órdenes europeas de entrega relativa a datos de los abonados y datos relativos al acceso, podrán ser emitidas por un juez, tribunal, juez de instrucción o fiscal competente; o por cualquier otra autoridad competente que actúe como autoridad de investigación en procesos penales y que tenga competencia para ordenar la obtención de pruebas, aunque en este caso la orden europea de entrega debe ser validada por alguna de las autoridades judiciales anteriormente señaladas (teniendo en cuenta que el concepto europeo de autoridad judicial incluye a los fiscales). En cambio, los fiscales no tienen competencia para emitir o validar una orden europea de entrega relativa a datos de tráfico o datos de contenido.

¿Cómo pueden obtenerse los datos de abonado?

El art. 18 del Convenio regula la orden de presentación como un requerimiento realizado a los proveedores de servicios que presten servicio en el territorio del país, aunque no tengan su sede física en el mismo, para que efectúen la entrega de los datos de abonado generados en ese territorio. La normativa interna del país deberá establecer el contenido obligacional que tienen las ISP para dar cumplimiento a este mandato.

Por lo tanto se establece una solicitud directa, al margen de un MLA, de las autoridades del país encargadas de la investigación penal de un delito concreto a una ISP que preste servicios en ese territorio.

Las dificultades que se observaron en el cumplimiento de estas órdenes, dada su voluntariedad, determinaron las modificaciones introducidas en el Segundo Protocolo Adicional que en la sección segunda del capítulo II, dedicada a las medidas para mejorar la cooperación directa con proveedores y entidades privadas se refiere a la relación directa de las autoridades públicas de un estado con entidades privadas que se encuentran en otro estado, para solicitar los datos correspondientes  a los nombres de dominio y los datos de abonado.

El artículo 7 del segundo Protocolo establece que los Estados que ratifiquen el mismo deben permitir en su legislación interna que los proveedores de servicio faciliten esos datos, directamente a las autoridades de otros países que se los soliciten, sin perjuicio de que puedan incorporar, si así lo estiman necesario, sus propias medidas internas de control, incluso la posibilidad de oponerse, en supuestos muy excepcionales a la entrega de la información solicitada.

El art. 8 destinado a la regulación de los datos de tráfico contiene, también, una referencia a los datos de abonado, la razón de ello, es permitir que aquellos Estados que no admiten la cooperación directa con los proveedores de servicio pudiesen firmar el Convenio. Por ello, la forma más rápida de obtener información de abonado es acudir al art. 7, comunicación directa con el proveedor, salvo aquellos supuestos en los que el Estado firmante haya introducido una reserva, y requiera que se acuda al art. 8