CUESTIONES PROCESALES RELATIVAS A LA INVESTIGACIÓN DE LOS

DELITOS EN RED

Roberto Valverde Megías

Delegado de Criminalidad Informática
de la Fiscalía Provincial de Barcelona

1
 RESUMEN

La generalización del uso de los equipos informáticos e Internet ha supuesto un

desafío para las estructuras procesales de persecución de los delitos, que se han visto
obligadas a superar fronteras formativas, técnicas y reales. Las primeras han forzado a
los operadores jurídicos a extender sus conocimientos más allá de lo legislativo y
dotarse de unas nociones indispensables para poder continuar ejerciendo sus
correspondientes funciones. Las segundas han obligado a los Estados a dotarse de
instrumentos normativos que garanticen la conservación e inmutabilidad de los
volátiles rastros del delito, de cuerpos policiales especializados que no queden un paso
por detrás de los delincuentes y de equipos de análisis forense de la inconmensurable
cantidad de información que se reúne. Este proceso de reconfiguración y desarrollo de
los procedimientos de instrucción hace preciso el examen de las actuaciones que, sobre
la legislación vigente, pueden llevarse a cabo, sus limitaciones y la incidencia en los
derechos fundamentales, así como la necesidad crear nuevas figuras o medidas que
completen el conjunto de facultades del instructor a través de reformas entre las que
destaca de forma sobresaliente la reforma de la Ley de Enjuiciamiento Criminal a
través de la Ley Orgánica de modificación de la Ley de Enjuiciamiento Criminal para
el fortalecimiento de las garantías procesales y la regulación de las medidas de
investigación tecnológica.
.

SUMARIO: 1.- INTRODUCCIÓN. DIFICULTADES GENERALES DE

LA INVESTIGACIÓN PROCESAL. 2.- INVESTIGACIÓN. 2.1.- FUENTES DE
CONOCIMIENTO DEL HECHO DELICTIVO. 2.2.- INVESTIGACIÓN DE
FUENTES ABIERTAS: OPEN SOURCE INTELLIGENCE (OSINT). 2.3.-
INVESTIGACIÓN DE DATOS PROTEGIDOS. LEY 25/2007, DE 18 DE OCTUBRE,
DE CONSERVACIÓN DE DATOS. 2.3.1.- Exigencia de autorización judicial.
2.3.2.- Exigencia de gravedad. 2.3.3.- Sentencia del Tribunal de Justicia de la
Unión Europea de 8 de abril de 2014. 2.3.4.- Reforma de la Ley de Enjuiciamiento
Criminal en materia de datos de tráfico. 2.4.- REGISTRO DE DISPOSITIVOS. 2.5.-
AGENTE ENCUBIERTO INFORMÁTICO. 2.6.- ENTRADAS Y REGISTROS.
INFORMES PERICIALES. 3. MEDIDAS ACCESORIAS A LA INSTRUCCIÓN.
3.1.- SOBRE LOS DATOS. 3.2.- SOBRE LOS CONTENIDOS. 3.2.1.- Problemas
prácticos del bloqueo de contenidos. 3.3.- SOBRE LAS PERSONAS.

1.- INTRODUCCIÓN. DIFICULTADES GENERALES DE LA

INVESTIGACIÓN PROCESAL.

El primer obstáculo al que se enfrenta la investigación de la delincuencia

informática no radica en la mayor o menor adecuación de nuestras normas
procedimentales sino en la propia complejidad técnica que deriva de la vinculación
entre delitos a sistemas y redes informáticos.

A su vez, de la relativa complejidad técnica de la materia deriva una

consecuencia indeseable en todo proceso judicial como es la dilación de las actuaciones,
en este caso, a causa de la demora en la tramitación del proceso. No es infrecuente en la

2
práctica diaria que la instrucción de estos asuntos devenga en un ir y venir de
mandamientos, oficios y propuestas entre los Juzgados, las Fuerzas Policiales
investigadoras, las partes y las empresas prestadoras de servicios.

Por otro lado, las dificultades técnicas que se plantean en sede de instrucción se
trasladan posteriormente a la fase de enjuiciamiento, en la que nuevamente Jueces,
Fiscales y Letrados deberían tener unos mínimos conocimientos que les permitan eludir
planteamientos o conclusiones incorrectas a la hora de sostener la acusación o planificar
la estrategia de defensa (ni que decir tiene que, con mayor motivo, a la hora de
fundamentar el fallo), así como aligerar el acto del juicio de pruebas testificales y
periciales prolijas que versen no ya sobre el objeto del proceso en el caso concreto sino
sobre nociones elementales que permitan la comprensión de los elementos más básicos.

Otro obstáculo que de forma constante se plantea en los delitos cometidos por
medio de Internet es la transfronterización del conflicto, esto es, la conexión del hecho
delictivo con el espacio y la soberanía de diferentes Estados como consecuencia de la
vinculación espacial con los mismos del hecho delictivo, lo que puede producirse por la
colaboración de varios autores ubicados en diferentes Estados, la diferente localización
de los servidores, la utilización de proxys en la navegación, la atomización de los
resultados,… Ello plantea en la investigación diversos problemas como la
determinación de la competencia internacional o la diversidad de legislaciones
aplicables.

Por último, cabe destacar en esta primera aproximación a la problemática que

plantea la delincuencia informática la volatilidad de los datos digitales. Si bien la
actuación criminal en Internet da una falsa apariencia de anonimato lo cierto es que en
la mayoría de las ocasiones la actuación deja rastros que pueden ser trazados hasta la
identificación del origen del ataque. Estos rastros, sin embargo, son notablemente
frágiles, por lo que el instructor corre el riesgo de que hayan desaparecido en el
momento de pretender acceder a ellos o bien que, al intentar recomponer la cadena de
pasos y conexiones realizadas por el delincuente hasta su origen tales pasos hayan sido
eliminados de manera automatizada.

2.- INVESTIGACIÓN.

2. 1.- FUENTES DE CONOCIMIENTO DEL HECHO DELICTIVO.

Es frecuente que la primera noción que se tiene de la comisión de un delito por

medio de las Tecnologías de la Información y la Comunicación proceda de la misma
víctima, que comparece en sede policial o judicial para exponer los hechos,
acompañando tal declaración de la aportación de documentos o de la misma exhibición
del dispositivo a través del cual ha tenido conocimiento de los hechos. Así, acaba por no
resultar infrecuente que la aportación de documentos o informes a las actuaciones venga
desde el primer momento afectada por carencias que podrían llegar a afectar al curso del
procedimiento, como la unión a la denuncia de una impresión directa (“pantallazo”) de

3
correos electrónicos o conversaciones en programas de mensajería instantánea de los
que resulte la comisión del delito: asumiendo que tales correos electrónicos son
documentos, no debería bastar la unión de una mera copia sin garantías, siendo exigible
que, como mínimo, el Secretario Judicial realice el oportuno cotejo, si no acudir
directamente a la fuente en que se aloja el correo (el equipo en caso de almacenamiento
local, los servidores remotos en caso de clientes de correo electrónico) para interesar la
aportación íntegra y exacta. En ausencia de estas formalidades, habrá de recurrirse para
hacer valer la existencia de delito a la aportación de testificales que corroboren el
contenido de la copia aportada y su correspondencia con el original.

A esto se ha referido la STS 300/2015, de 19 de mayo (Pte: Marchena Gómez) al

indicar que «la prueba de una comunicación bidireccional mediante cualquiera de
los múltiples sistemas de mensajería instantánea debe ser abordada con todas las
cautelas. La posibilidad de una manipulación de los archivos digitales mediante los que
se materializa ese intercambio de ideas, forma parte de la realidad de las cosas. El
anonimato que autorizan tales sistemas y la libre creación de cuentas con una
identidad fingida, hacen perfectamente posible aparentar una comunicación en la que
un único usuario se relaciona consigo mismo. De ahí que la impugnación de la
autenticidad de cualquiera de esas conversaciones, cuando son aportadas a la causa
mediante archivos de impresión, desplaza la carga de la prueba hacia quien pretende
aprovechar su idoneidad probatoria. Será indispensable en tal caso la práctica de una
prueba pericial que identifique el verdadero origen de esa comunicación, la identidad
de los interlocutores y, en fin, la integridad de su contenido».

2.2.- INVESTIGACIÓN DE FUENTES ABIERTAS: OPEN SOURCE

INTELLIGENCE (OSINT)

La investigación de un delito informático deberá iniciarse con el examen de los

resultados y los medios lesivos para, a partir de los mismos, avanzar en la identificación
del autor y las circunstancias del delito. Ahora bien, dicho examen no necesariamente
vendrá subordinado a la previa existencia de habilitación judicial puesto que son
muchos los datos que pueden averiguarse y aportarse al proceso sin que ello suponga
una limitación de derechos fundamentales:

En primer lugar, los datos pueden ser aportados voluntariamente al proceso por
los propios perjudicados al venir referidos a comunicaciones en las que han sido
interlocutores1, si bien con las prevenciones anticipadas en el inciso anterior respecto a
las garantías de las que pueden carecer los documentos o archivos que contengan tales
datos aportados.
1
Ello deriva de no resultar exigible el deber de secreto de las comunicaciones a los interlocutores de la
propia comunicación. Así, STC 114/1984, de 29 de noviembre de 1984: «debe afirmarse que no
constituye contravención alguna del secreto de las comunicaciones la conducta del interlocutor en la
conversación que graba ésta (que graba también, por lo tanto, sus propias manifestaciones personales».
En el mismo sentido, la STS 710/2000, de 6 de julio, dispone que «En consecuencia, no cabe apreciar, en
principio, que la grabación de una conversación por un interlocutor privado implique la violación de un
derecho constitucional, que determine la prohibición de valoración de la prueba así obtenida».

4
 De esta forma, en caso de que el medio para la comisión del delito haya sido el
envío de correos electrónicos podrá procederse a identificar en la cabecera técnica del
mensaje la dirección IP de envío, que permitiría localizar a la postre al remitente, sin
que ello implique vulneración del secreto de las comunicaciones.

De la misma manera, si lo recibido son documentos digitales tales como

archivos de imagen puede obtenerse relevante información no sólo a partir del estudio
directo de las imágenes en sí que puedan visionarse, sino también de los metadatos
asociados. No sólo a través de ellos podremos ubicar el momento exacto de creación del
archivo (pudiendo ser o no el de la captación de la fotografía) o la máquina o dispositivo
con que se ha realizado, sino que del cotejo on line de la imagen puede, por ejemplo,
revelar coincidencias con otras imágenes que permitan orientar la investigación (por
ejemplo, con imágenes publicadas en redes sociales). También el estudio de los
metadatos asociados a documentos ofimáticos puede revelar información de interés para
la investigación tales como el nombre de usuario o de la empresa a que pertenezca el
equipo en que ha sido redactado, el sistema operativo y la aplicación utilizada para su
confección2.

Tratándose de páginas web, del estudio de las mismas podrá obtenerse datos
como la geolocalización de su dirección IP o los resultantes de la consulta de los datos
asociados al dominio. Especialmente destacado desde hace ya años resulta para una
primera aproximación a la identidad del delincuente el estudio de las redes sociales, de
la actividad del mismo en ellas, sus contactos o relaciones con otros individuos3.

2.3.- INVESTIGACIÓN DE DATOS PROTEGIDOS. LEY 25/2007, DE 18 DE

OCTUBRE, DE CONSERVACIÓN DE DATOS.

Con independencia de la información que puede obtenerse de las circunstancias

y autoría del delito mediante el examen de datos disponibles en fuentes de información
abiertas de acuerdo con lo ya expuesto, lo cierto es que la investigación de los delitos
informáticos precisará en la mayoría de los supuestos la práctica de diligencias de
investigación sólo susceptibles de ser acordadas por la autoridad judicial y en la primera
línea de estas diligencias se encuentra la cesión de datos “generados o tratados en el
marco de la prestación de servicios de comunicaciones electrónicas o redes públicas de

2
Como se puso de manifiesto en, la investigación de la trama Gürtel, en que tres empresas habrían
efectuado los pagos a Orange Market, la sociedad de la trama que organizaba los actos electorales y,
estudiadas las facturas y la documentación relativa a las mismas, resultó que los presupuestos habían sido
fechados en momentos diferentes (25 de enero, 6 de febrero, 17 de abril y 2 de julio de 2007), pero fueron
redactados consecutivamente entre las 18.46 y las 18.49 del 17 de julio de 2007
(http://ccaa.elpais.com/ccaa/2012/06/11/valencia/1339444907_683693.html).
3
Así, recuérdese que saltaron a los medios de comunicación la información del perfil social de A.
Arístegui y J. R. Palenzuela, con antecedentes por kale borroka y colaborar con ETA, y fotografías de
ambos posando con la camiseta de la selección española («http://www.elmundo.es/elmundo/2010/02/17/
espana/1266441847.html» o «http://www.abc.es/20100217/nacional-terrorismo/etarra-rosales-aparece-
facebook-201002172150.html»).

5
comunicación” (artículo 1 de la L25/2007, de Conservación de Datos relativos a las
comunicaciones electrónicas y a las redes públicas de comunicaciones).

Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las

comunicaciones electrónicas y a las redes públicas de comunicaciones, responde a la
necesidad de trasponer a nuestro ordenamiento jurídico la Directiva 2006/24/CE, del
Parlamento Europeo y del Consejo, de 15 de marzo, sobre la conservación de datos
generados o tratados en relación con la prestación de servicios de comunicaciones
electrónicas de acceso público o de redes públicas de comunicaciones

Los datos que son objeto de regulación por esta Ley son, conforme a su artículo
3 y en relación al acceso a internet, son:
a.- Los datos necesarios para rastrear e identificar el origen y destino de una
comunicación: esto es, los datos del abonado (identificación, dirección y línea
telefónica) a que corresponden las IPs en el momento de la comunicación.
b.- Los datos necesarios para determinar el destinatario de la comunicación:
identificación del usuario o abonado y su dirección.
c.- Los datos necesarios para determinar la fecha, hora y duración de una comunicación:
fecha y hora de conexión y desconexión, así como dirección IP.
d.- Los datos necesarios para identificar el tipo de comunicación: el servicio de Internet
utilizado.
e.- Los datos necesarios para identificar el equipo de comunicación de los usuarios: tipo
de conexión (ADSL,…).
f.- Datos necesarios para identificar la localización del equipo.

La L25/2007 establece la obligación de los operadores de servicios de conservar

los datos necesarios para rastrear el origen y destino de las comunicaciones, duración,
fecha y hora, localización e identificación del equipo utilizado en la comunicación
durante un plazo general de un año (art. 5 L25/2007), en concordancia con las
exigencias derivadas de la Directiva 2006/24/CE, que fijaba un período de tiempo no
inferior a seis meses ni superior a dos años. Esta obligación de conservación habilita,
por lo tanto, un período de un año desde que tenga lugar el proceso comunicativo que se
debe investigar para que el Juez de Instrucción pueda autorizar la cesión de los datos
relativos al mismo a las Fuerzas y Cuerpos de Seguridad del Estado, con arreglo a lo
dispuesto en el artículo 6 de la Ley.

Ahora bien, no todas las empresas y operadores de internet están obligados a la

conservación de datos y, anudada a ella, la obligación de cesión sujeta a autorización
judicial que veremos. Tan solo serán exigibles tales previsiones respecto de aquellos
operadores que, tal como dispone el artículo 2, presten servicios de comunicaciones
electrónicas disponibles al público o exploten redes públicas de comunicaciones, en los
términos establecidos en la Ley General de Telecomunicaciones. La Ley 32/2003, de 3
de noviembre, General de Telecomunicaciones ha sido sustituida por la Ley 9/2014, de
9 de mayo, de Telecomunicaciones, que define en su Anexo II al “operador” como “26.
Operador: persona física o jurídica que explota redes públicas de comunicaciones
electrónicas o presta servicios de comunicaciones electrónicas disponibles al público y
ha notificado al Ministerio de Industria, Energía y Turismo el inicio de su actividad o
está inscrita en el Registro de operadores”.

6
 Consiguientemente y en tanto no resulte aprobada definitivamente y entre en
vigor la reforma de la Ley de Enjuiciamiento Criminal en materia de garantías
procesales y la regulación de las medidas de investigación tecnológica, cabría sostener
que aquellas personas físicas o jurídicas que, actuando en internet, no tengan la
consideración de “operadores”a los efectos indicados, en tanto no están sujetos a la Ley
25/2007, no están sujetos a las obligaciones en ella establecidas; y, de haberse
procedido a conservar datos, puesto que los mismos no se encontrarán entre los que son
objeto de afectación por dicha Ley, su aportación al proceso no necesariamente
requeriría de autorización judicial, conforme a lo que se desarrollará en el siguiente.

2.3.1.- Exigencia de autorización judicial

La Ley 25/2007 supuso la exclusión del Ministerio Fiscal como autoridad

facultada para requerir a las operadoras la cesión de estos datos, así como la derogación
expresa del artículo 12 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de
la Información y de Comercio Electrónico que, en su apartado 3º, disponía que “Los
datos se conservarán para su utilización en el marco de una investigación criminal o
para la salvaguardia de la seguridad pública y la defensa nacional, poniéndose a
disposición de los Jueces o Tribunales o del Ministerio Fiscal que así los requieran. La
comunicación de estos datos a las Fuerzas y Cuerpos de Seguridad se hará con sujeción
a lo dispuesto en la normativa sobre protección de datos personales”.

La exigencia de autorización judicial para la cesión de datos (art. 1 y 6 de la

L25/2007), sin embargo, ha sido cuestionada por la doctrina por haber supuesto la
extensión de las garantías constitucionales establecidas para la protección del derecho al
secreto de las comunicaciones del artículo 18.3 de la Constitución Española a elementos
que quedan fuera de esta tutela y corresponden al derecho a la intimidad del artículo
18.1, que no prevé reserva de previa resolución judicial.

Si bien es cierto que, con arreglo a la doctrina sentada por el Tribunal Europeo
de Derechos Humanos en el caso Malone (STDH de 2 de agosto de 1984), el Tribunal
Constitucional ha venido estableciendo que el secreto de las comunicaciones ampara no
solo al contenido de la comunicación sino también a los datos relativos a la misma que
permitan determinar su duración o identificar a los interlocutores o su localización4,
también se ha afirmado que concluido el proceso comunicativo cesa la protección del
derecho al secreto de las comunicaciones, como dispone el propio Tribunal
Constitucional en la Sentencia 70/2002, de 3 de abril: “La protección del derecho al
secreto de las comunicaciones alcanza al proceso de comunicación mismo, pero
finalizado el proceso en que la comunicación consiste, la protección constitucional de lo
recibido se realiza en su caso a través de las normas que tutelan la intimidad u otros
derechos”. Consiguientemente, desaparecida la protección del secreto de las
comunicaciones, desaparece igualmente la exigencia constitucional de autorización
judicial previa, no prevista en el artículo 18.1. De lo expuesto derivaría que la cesión de
datos de tráfico, que generalmente tendrá lugar una vez concluido el proceso
4
Sentencias del Tribunal Constitucional 114/1984, de 29 de noviembre, 70/2002, de 3 de abril, 123/2002,
de 20 de mayo, entre otras.

7
comunicativo en que tales datos se han generado, no debería considerarse dentro del
ámbito de protección del derecho a las comunicaciones como argumenta la Exposición
de Motivos de la L25/2007 (precisamente haciendo referencia a la doctrina resultante de
la jurisprudencia constitucional ahora citada), sino al del derecho a la intimidad.

En relación a esta cuestión y el alcance de la exigencia de autorización judicial,

el Pleno de la Sala Segunda del Tribunal Supremo tuvo oportunidad de pronunciarse en
Acuerdo de 23 de febrero de 2010 estableciendo que «Es necesaria la autorización
judicial para que los operadores que prestan servicios de comunicaciones electrónicas o
de redes públicas de comunicación cedan los datos generados o tratados con tal motivo.
Por lo cual, el Ministerio Fiscal precisará de tal autorización para obtener de los
operadores los datos conservados que se especifican en el art. 3 de la Ley 25/2007, de
18 de octubre». Ahora bien, la STS 247/2010, de 18 de marzo, arroja un matiz
extremadamente importante sobre la cuestión en el sentido de convalidar la actividad
investigadora del Ministerio Fiscal al solicitar como diligencia de investigación la
cesión de los datos asociados a una dirección IP antes de la vigencia de la L25/2007,
considerando la sentencia que tales datos, concluida la comunicación, quedan bajo la
protección del derecho a la intimidad5 y que por tanto la investigación de los mismos
quedaría dentro del ámbito de investigaciones descrito en los artículos 5 del Estatuto
Orgánico del Ministerio Fiscal y 773.2 de la Ley de Enjuiciamiento Criminal de no
existir la limitación resultante del artículo 6 de la L25/2007. Y, consiguientemente, la
necesidad de resolución judicial previa responde a una cuestión de legalidad ordinaria y
no a una exigencia constitucional, lo que implicaría que la ausencia de resolución
judicial, aun después de la vigencia de la L25/2007, no conllevaría la nulidad de toda la
prueba derivada de conformidad con el artículo 11 de la Ley Orgánica del Poder
Judicial6.

A pesar de este último razonamiento defendido por algunos autores, las

peticiones de cesiones de datos realizadas por Ministerio Fiscal sin autorización judicial
posteriores a la entrada en vigor de la L25/2007 (noviembre de 2007) han dado lugar a
pronunciamientos en que se han considerado vulneradoras del derecho al secreto de las

5
“En el caso concernido es patente que los datos cuyo obtención se pretende por el Fiscal no tienen
relación ni afectan ni interceptan ni descubren ni tratan de descubrir una comunicación concreta, sino que
por ser preciso para la acción investigadora el conocimiento del domicilio, número de teléfono o
identidad del titular del terminal informático que opera en la Red (I.P.), la solicita a la operadora, al
objeto de pedir del juez un mandamiento de entrada y registro con fines indagatorios o de investigación
de un posible delito, acerca del que se conocen datos indiciarios. El Mº Fiscal se hallaba en el ejercicio de
sus funciones, entre otras, promover la acción de la justicia (art. 126 C.E. y art. 3 de su Estatuto Orgánico)
y también investigando los hechos delictivos, dentro del marco de unas diligencias preprocesales de
naturaleza criminal (art. 773-2 L.E.Cr. ). CUARTO.- Tal proceder del Mº Fiscal no afecta al secreto de
las comunicaciones sino que se desenvuelve en el marco del derecho a la intimidad, más concretamente
dada la escasa intensidad en que es efectuada, la cuestión se proyectaría sobre la obligación que establece
la Ley Orgánica de Protección de Datos de no publicar los datos personales de los usuarios que un
servidor de Internet posee, los cuales no pueden cederse sin el consentimiento del titular, pero la ley
establece diversas excepciones. Así el art. 11.2 d) de la Ley Orgánica 15/1999 de 13 de diciembre nos
dice que el consentimiento del interesado a que se refiere el párrafo anterior no será necesario.... d)
"Cuando la comunicación que deba efectuarse tenga por destinatario el Defensor del Pueblo, el Ministerio
Fiscal, los Jueces o Tribunales o el Tribunal de Cuentas en el ejercicio de las funciones que tienen
atribuidas.
6
Diaz Cappa, José. “Confidencialidad, secreto de las comunicaciones e intimidad en el ámbito de los
delitos informáticos”. Diario La Ley, nº7666, 5 de julio de 2011 (LA LEY 12753).

8
comunicaciones (así, Auto de 25 de febrero de 2011, de AP Las Palmas, declara su
nulidad y las de las diligencias que de la identificación se realizaron).

2.3.1.- Exigencia de gravedad

Otro problema que se plantea en relación a la aportación al proceso de estos

datos se produce por la exigencia de gravedad que recoge el artículo 1 de la Ley de
Conservación de Datos cuando se refiere a la “cesión de dichos datos a los agentes
facultados siempre que les sean requeridos a través de la correspondiente autorización
judicial con fines de detección, investigación y enjuiciamiento de delitos graves
contemplados en el Código Penal o en las leyes penales especiales”.

Teniendo en cuenta que el Código Penal establece en su artículo 13.1 que “Son
delitos graves las infracciones que la ley castiga con pena grave” y que el art. 33
considera penas graves las de prisión superior a cinco años (entre otras de distinta
naturaleza), no en pocas ocasiones se han denegado la práctica de las diligencias
necesarias para la investigación de un delito informático por ausencia de este requisito.
Así, por Auto de 26 de marzo de 2012, la Sección 3ª de la AP Barcelona, desestimando
recurso contra denegación de la práctica de la diligencia que fue acordado por el
Juzgado de Instrucción nº7 de Cerdanyola del Vallès.

Esta cuestión ha sido abordada por la Jurisprudencia Constitucional, que ha

desarrollado qué debe tenerse en cuenta para valorar si el delito es grave a estos efectos,
considerando no sólo la pena señalada por el Código Penal sino también la importancia
del bien jurídico protegido, la relevancia social de los hechos, bien por afectar a un
importante número de personas o bien porque sea un ataque reducido pero infamante o
intolerable y potencialidad lesiva por el uso de elementos informáticos para la comisión
del delito, tanto por la gran difusión que alcanza el delito a través de internet como por
la dificultad en la investigación. Así, STC 104/2006, de 3 de abril, recoge que “En
efecto, la trascendencia social y la relevancia jurídico-penal de los hechos, a efectos de
legitimar el recurso a la limitación del derecho fundamental al secreto de las
comunicaciones, deriva en el caso de la potencialidad lesiva del uso de instrumentos
informáticos para la comisión del delito (…) ha de añadirse otro elemento consistente
en las dificultades en la persecución del delito por otras vías”

No obstante, las resoluciones del Tribunal Constitucional que se han

pronunciado en este sentido son anteriores a la Ley de Conservación de Datos de 2007,
por lo que se puede mantener que esta línea interpretativa ha sido superada por la propia
legislación, particularmente considerando que la L25/2007 proviene de la trasposición a
nuestro ordenamiento de la Directiva 2006/24/CE del Parlamento Europeo y del
Consejo de 15 de marzo de 2006 sobre la conservación de datos generados o tratados en
relación con la prestación de servicios de comunicaciones electrónicas de acceso
público o de redes públicas de comunicaciones, que expresamente se refería en su
artículo 1º a “la detección y enjuiciamiento de delitos graves, tal como se definen en la
legislación nacional de cada Estado miembro”.

La literalidad del texto llevaría a que sólo en casos de que las penas de prisión
asociadas a los delitos que hayan de ser objeto de investigación superen los cinco años
de duración (entre otras) estaría satisfecha la exigencia legal y el juez de instrucción

9
habilitado para la solicitud a las empresas proveedoras de servicios de unos datos que,
por los expuesto anteriormente, más participan de la naturaleza de datos relativos a la
intimidad que al secreto de las comunicaciones del artículo 18.3 de la Constitución. Con
ello, quedaría excluida de las posibilidades de investigación (y frecuentemente abortada,
en definitiva, toda investigación) en la gran mayoría de los innumerables delitos
cometidos por medio de internet, tales como el descubrimiento y revelación de secretos
(salvo la concurrencia de circunstancias cualificadoras y fines lucrativos del apartado 6º
del artículo 197 in fine), destacando especialmente los supuestos de intrusiones en
sistemas informáticos ajenos del artículo 197 bis, que resultaría casi de imposible
investigación; acoso o embaucamiento de menores por medio de tecnologías de la
información del 183 ter; las estafas que no alcanzasen las circunstancias calificadoras
del artículo 250 del Código Penal, haciendo especial hincapié en las estafas
informáticas, en que toda investigación pasará por la aportación al proceso de estos
datos; daños informáticos no cualificados del art. 264 y 264bis.1, …

Otro contrasentido de la interpretación estricta de la literalidad de la Ley

25/2007 es que mientras para conocer datos como la línea telefónica que en un
momento pasado correspondió a una dirección IP conocida o la identidad del titular
contractual de una línea telefónica sería necesario que el delito a investigar tuviese
señalada pena superior a cinco años de prisión, para acordar la intervención de las
comunicaciones del investigado, con escucha y grabación de conversaciones y
contenido de correos electrónicos o mensajes entrantes y salientes, no se precisa este
límite sino los requisitos desarrollados jurisprudencialmente de necesidad y
proporcionalidad.

Más allá del recurso a la jurisprudencia constitucional citada, a la hora de

argumentar una interpretación racional del artículo 1 de la L25/2007 cabría poner de
manifiesto la posibilidad de acudir al artículo 3 del Código Civil como norma básica de
los criterios interpretativos (“Las normas se interpretarán según el sentido propio de sus
palabras, en relación con el contexto, los antecedentes históricos y legislativo y la
realidad social del tiempo en que han de ser aplicadas atendiendo fundamentalmente al
espíritu y finalidad de aquéllas”) y el artículo 10.2 de la Constitución Española (“Las
normas relativas a los derechos fundamentales y a las libertades que la Constitución
reconoce se interpretarán de conformidad con la Declaración Universal de Derechos
Humanos y los tratados y acuerdos internacionales sobre las mismas materias
ratificados por España”) para, a partir de estas normas, poner en relación con el
controvertido artículo 1 de la Ley 25/2007 la interpretación que el Consejo de Europa ha
dado al término “delitos graves”, concretamente en la Decisión Marco del Consejo de
26 de junio de 2001 relativa al blanqueo de capitales, la identificación, seguimiento,
embargo, incautación y decomiso de los instrumentos y productos del delito, en cuyo
artículo 1 establece como que entre los delitos graves “deben incluirse en todo caso los
delitos que lleven aparejada una pena privativa de libertad o medida de seguridad de
duración máxima superior a un año o, en los Estados en cuyo sistema jurídico exista un
umbral mínimo para los delitos, aquellos que lleven aparejada una pena privativa de
libertad o medida de seguridad de duración mínima superior a seis meses”.

A esta materia se ha referido también la Circular 1/2013 de la Fiscalía General

del Estado, sobre intervención de las comunicaciones, indicando que «al margen de que
los Sres. Fiscales defiendan de lege data la interpretación superadora de la literalidad
del precepto, es a todas luces aconsejable de lege ferenda la modificación de la Ley

10
25/2007 para sustituir la expresión “delito grave” por otra que delimite el perímetro de
aplicación de la Ley en términos más amplios y razonables».

A pesar de estos argumentos y en tanto no entre en vigor la reforma de la Ley de

Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la
regulación de las medidas de investigación tecnológica, lo cierto es que sigue sin existir
una posición jurisprudencial unánime. Así , la Sección 4ª de la Audiencia Provincial de
Madrid en Auto 131/2015, de 25 de febrero, opta por considerar que «no son
exclusivamente los delitos castigados con pena superior a cinco años, sino que también
han de incluirse en tal expresión aquellos otros delitos castigados con pena inferior y
que, por tanto, tienen la calificación legal de "delitos menos graves", pero que merezcan
la consideración de graves en atención a otros parámetros, tales como la importancia del
bien jurídico protegido, la trascendencia social de los efectos que el delito genera o la
inexistencia de medios alternativos, menos gravosos, que permitan su investigación y
esclarecimiento. En este punto no puede desconocerse que los efectos socialmente
nocivos de determinados hechos delictivos pueden verse incrementados
exponencialmente desde el momento en que se alcanza la convicción social de su
impunidad, con el consiguiente fracaso de los fines preventivos que su tipificación penal
persigue» afirmando que «hasta que el legislador no aborde la necesaria tarea de fijar,
con la exigible precisión, los requisitos y límites a los que han de sujetarse las medidas
restrictivas del derecho fundamental a la intimidad y al secreto de las comunicaciones,
entre ellas la investigación tecnológica a que se refiere la Ley 25/2007, los órganos
judiciales tendrán que seguir operando, a la hora de adoptar sus decisiones en ese
campo, con los parámetros ya fijados por el Tribunal Constitucional». Pero junto a ella,
encontramos Autos como el 304/2014, de 3 de junio, de la Sección 3ª de la Audiencia
Provincial de Girona, que se manifiesta en sentido diametralmente opuesto indicando
que «Tal como ya expusimos en el AAP de Girona, Sección 4ª, dictado en el Rollo de
Apelación 217/2012, si bien es cierto que la regulación española podía haber sido
menos restrictiva a la hora de establecer el elenco de los delitos que permitirían la
cesión de datos por las operadoras (véase que en la Sentencia del Tribunal de Justicia de
19-4-2012, Caso Bonnier, se concluye que el derecho nacional puede facultar, incluso, a
los jueces civiles para recabar datos personales de internet para la protección de los
derechos de autor), no lo es menos que limita expresamente dicha cesión a la detección,
investigación y enjuiciamiento de delitos graves (…) esta Sala debe concluir que
únicamente procederá hacer uso de las facultades de petición de datos que otorga la ley
25/2007 en los casos que se investiguen delitos graves, entendido este último término en
el sentido legal estricto previsto en nuestra legislación penal ( art. 33.2 CP)».

2.3.1.- Sentencia del Tribunal de Justicia de la Unión Europea de 8 de abril

de 2014.

Dentro del estudio de la incidencia de la Ley 25/2007 en la investigación de la

delincuencia informática mención propia merece la Sentencia del Tribunal de Justicia
de la Unión Europea de 8 de abril de 20147 en cuanto la misma ha supuesto la anulación

7
Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la
conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones
electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la
Directiva 2002/58/CE (http://www.boe.es/doue/2006/105/L00054-00063.pdf).

11
de la Directiva 2006/24/CE8 cuya trasposición al ordenamiento jurídico español motivó,
como se ha indicado, la aprobación de la Ley 25/2007.

Tal Directiva establecía la necesidad de que los Estados miembros adoptasen las
medidas necesarias para garantizar la conservación, durante un períodos de entre 6
meses y dos años, de los datos generados o tratados en el curso de las comunicaciones
electrónicas así como su entrega a las autoridades nacionales competentes “con fines de
investigación, detección y enjuiciamiento de delitos graves, tal como se definen en la
normativa nacional de cada Estado miembro” (Considerando 21), dejando a cada Estado
miembro libertad para determinar la forma y procedimiento de atender a estas
obligaciones.

Motivada por sendas peticiones de decisión prejudicial planteadas por Irlanda y

Austria (C-293/12 y C-594/12, respectivamente), la sentencia de 8 de abril de 2014
declaró inválida la Directiva 2006/24/CE entendiendo que la misma no respectaba el
principio de proporcionalidad precisamente por la falta de concreción de procedimiento,
forma y tiempo de conservación y control así como el carácter general de la obligación
de conservación (extensivo a toda comunicación y, por ende, a todos los ciudadanos) y
la imprecisión respecto a la seguridad de los datos conservados.

Cabría cuestionarse si los argumentos que justificaron la declaración de

invalidez de la Directiva pueden prosperar en una cuestión previa planteada en un
procedimiento penal español en que hayan sido objeto de conservación y aportación al
proceso datos de tráfico de conformidad con las previsiones establecidas por la Ley
25/2007, aun cuando la sentencia indicada no ha dado lugar a la anulación de la Ley de
trasposición. Al respecto, sin embargo, debe tenerse en cuenta que la Ley de
Conservación de datos de 2007, per se, da cobertura a algunas de las deficiencias
apuntadas por la sentencia de 2014, de tal manera que no podrá admitirse con carácter
general una pretensión general de nulidad de toda diligencia practicada de conformidad
con la legislación vigente cuando en la práctica de la misma no sólo se ha respetado la
legislación nacional en materia de conservación de datos y aportación al procedimiento
sino que además no resultarían aplicables el grueso de las objeciones desgranadas en la
sentencia del TJUE. Así, el plazo de conservación en España está concretado en un año,
la aportación al proceso penal se lleva a cabo conforme a un procedimiento legalmente
tasado que incluye el control de la gravedad de los delitos que se investiga y la
necesidad de previa autorización judicial, que obligará a ponderar si en el caso concreto
se dan los presupuestos habilitantes necesarios para acordar una medida que habrá de
afectar a derechos fundamentales.

2.3.4.- Reforma de la Ley de Enjuiciamiento Criminal en materia de datos

de tráfico.

Tras dos proyectos de Código Procesal Penal que no llegaron a ver la luz, a la
fecha del presente trabajo han sido aprobados por el Senado el Proyecto de Ley de
modificación de la Ley de Enjuiciamiento Criminal para la agilización de la justicia
penal y el fortalecimiento de las garantías procesales9 y el Proyecto de Ley Orgánica de
8
http://curia.europa.eu/juris/celex.jsf?celex=62012CJ0293&lang1=es&type=TXT&ancre=
9
http://www.senado.es/legis10/publicaciones/pdf/senado/bocg/BOCG_D_10_597_4118.PDF

12
modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las
garantías procesales y la regulación de las medidas de investigación tecnológica10.

Esta última dota al ordenamiento jurídico procesal penal de una regulación (ya
inaplazable) de determinadas diligencias que, por afectar o precisar la intervención de
dispositivos tecnológicos, habían carecido de una auténtica cobertura legal hasta la
fecha. En relación al acceso a datos de tráfico, debe partirse de las disposiciones
generales que regulan la interceptación de las comunicaciones telefónicas y telemáticas
y concretamente, en relación al problema desarrollado más arriba sobre los delitos que
justifican el acceso a los mismos y la gravedad de los mismos, el artículo 588 ter.a
establece como presupuesto de la interceptación que se trate de alguno de los delitos
recogidos en el artículo 579.1 (dolosos con pena máxima de al menos 3 años de prisión,
organizaciones o grupos criminales y terrorismo) “o delitos cometidos a través de
instrumentos informáticos o de cualquier otra tecnología de la información o la
comunicación o servicio de comunicación”.

Por su parte, el artículo 588 ter.j del Proyecto regula la aportación al proceso
penal disponiendo que «1.Los datos electrónicos conservados por los prestadores de
servicios o personas que faciliten la comunicación en cumplimiento de la legislación
sobre retención de datos relativos a las comunicaciones electrónicas o por propia
iniciativa por motivos comerciales o de otra índole y que se encuentren vinculados a
procesos de comunicación, solo podrán ser cedidos para su incorporación al proceso con
autorización judicial. 2. Cuando el conocimiento de esos datos resulte indispensable
para la investigación, se solicitará del juez competente autorización para recabar la
información que conste en los archivos automatizados de los prestadores de servicios,
incluida la búsqueda entrecruzada o inteligente de datos, siempre que se precisen la
naturaleza de los datos que hayan de ser conocidos y las razones que justifican la
cesión».

Se observa, por tanto, que el principio establecido es la previa autorización

judicial, de forma coincidente con lo ahora regulado en la Ley 25/2007. Ahora bien, esta
necesidad de autorización judicial se generaliza a todo dato de tráfico conservado, ya
sea en virtud de las obligaciones dispuestas en la Ley 25/2007 o por cualquier otro
motivo. Consiguientemente, la entrada en vigor de esta reforma excluirá definitivamente
el debate de si la aportación de los datos de tráfico conservados por quienes no se
encuentran sujetos a la Ley 25/2007 precisa también de forma indispensable de
autorización judicial.

El artículo 588 ter.j se completa con el 588 ter.k, relativo a la “identificación

mediante número IP”, aclarando que la necesidad de autorización judicial se extiende
también a la cesión de datos vinculados a una dirección IP de la que se hubiera tenido
conocimiento que es utilizada para la comisión del delito, esto es, los datos que las
proveedoras de acceso a internet conservarán y que indicarán la línea asociada a la
conexión identificada. Vemos que, nuevamente, la demanda de autorización judicial no
dependerá de la sujeción de la proveedora de acceso a la Ley 25/2007.

Aunque de la dicción literal de este artículo, que se refiere a la “cesión de los

datos que permitan la identificación y localización del terminal o del dispositivo de

10
http://www.senado.es/legis10/publicaciones/pdf/senado/bocg/BOCG_D_10_597_4138.PDF

13
conectividad y la identificación del sospechoso” podría llegarse a la conclusión de que
la exigencia de autorización judicial se extiende no sólo a la identificación por la
empresa proveedora de la línea a la que se asocia la dirección IP de la conexión
averiguada, sino también a la titularidad de dicha línea puesto que tal titularidad es
también un dato que llevará a la “identificación del sospechoso”. Sin embargo, el
artículo 588 ter.k se debe completar con el artículo 588 ter.m, que de forma expresa
dispensa esta exigencia judicial entendiendo que dicha titularidad es un dato contractual
que debe quedar excluido de cualquier protección dispensada al secreto de las
comunicaciones, por lo que tanto el Ministerio Fiscal como la Policía Judicial podrán
dirigirse directamente a los prestadores de servicios de telecomunicaciones, de acceso a
una red de telecomunicaciones o de servicios de la sociedad de la información cuando
“necesiten conocer la titularidad de un número de teléfono o de cualquier otro medio de
comunicación, o, en sentido inverso, precisen el número de teléfono o los datos
identificativos de cualquier medio de comunicación”

En esta línea se sitúa también el art. 588 ter.m, relativo a la utilización por la
Policía Judicial de dispositivos que permitan conocer “la numeración IMSI o IMEI y, en
general, de cualquier medio técnico que, de acuerdo con el estado de la tecnología, sea
apto para identificar el equipo de comunicación utilizado o la tarjeta utilizada para
acceder a la red de telecomunicaciones”, sin que se establezca en este caso necesidad de
previa autorización judicial (y sin perjuicio de que esta devenga después necesaria para
intervenir las comunicaciones, en cuyo caso habrá de hacerse constar en la solicitud de
intervención formulada el empleo del recurso técnico indicado).

2.4.- REGISTRO DE DISPOSITIVOS.

Los conflictos generados por la línea en ocasiones desdibujada entre el derecho a

la intimidad y el derecho al secreto de las comunicaciones no son patrimonio exclusivo
del acceso a los datos de tráfico. También en el caso del acceso a la información
contenida en los dispositivos electrónicos que permiten tanto la comunicación como el
almacenamiento de información se ha planteado la posible vulneración del derecho al
secreto de las comunicaciones por haberse accedido a los mismos sin previa
autorización judicial para obtener información necesaria para la averiguación de la
identidad del sospechoso o el conocimiento mismo de la actividad ilícita.

En este sentido, el Tribunal Constitucional, en sentencia 115/2013, de 9 de

mayo, tuvo ocasión de pronunciarse sobre la posible afectación del derecho al secreto de
las comunicaciones consagrado en el artículo18.3 de la Constitución en un supuesto en
que la policía, en el curso de una actuación policial, encontró dos teléfonos móviles de
los sospechosos y, tras acceder a las agendas de contactos telefónicos, llegó a la
identificación de uno de ellos –recurrente en amparo-. Al respecto, la citada sentencia
dispuso que «El acceso policial al teléfono móvil del recurrente se limitó
exclusivamente a los datos recogidos en la agenda de contactos telefónicos del terminal
—entendiendo por agenda el archivo del teléfono móvil en el que consta un listado de
números identificados habitualmente mediante un nombre—, por lo que debe concluirse
que dichos datos “no forman parte de una comunicación actual o consumada, ni

14
proporcionan información sobre actos concretos de comunicación pretéritos o futuros”
(STC 142/2012, FJ 3), de suerte que no cabe considerar que en el presente caso la
actuación de los agentes de la Policía Nacional en el ejercicio de sus funciones de
investigación supusiera una injerencia en el ámbito de protección del art. 18.3 CE».
Sentado esto, pasa el Tribunal Constitucional a valorar si, en el caso concreto, se daban
los requisitos de urgencia, necesidad y proporcionalidad que, respecto de las
limitaciones al derecho a la intimidad, excepcionan la exigencia de autorización
judicial, entendiéndose que «el acceso policial a la agenda de contactos de los teléfonos
móviles que encontraron encendidos en el lugar de los hechos constituye una diligencia
urgente y necesaria para tratar de averiguar la identidad de alguna de las personas que
huyeron cuando fueron sorprendidas, in fraganti, custodiando un importante alijo de
droga, evitando así que pudieran sustraerse definitivamente a la acción de la Justicia».

Estas conclusiones, que llevaron a la denegación del amparo solicitado, se

completa en la misma sentencia con un razonamiento obiter dicta el en que el Tribunal
se plantea la hipótesis, no contemplada en los hechos probados, de que «el acceso
policial lo hubiera sido a cualquier otra función del teléfono móvil que pudiera desvelar
procesos comunicativos, supuesto en el que tal acceso solo resultaría
constitucionalmente legítimo si media consentimiento del propio titular del terminal o
autorización judicial, dada la circunstancia indubitada de que un teléfono móvil es un
instrumento cuyo fin esencial es la participación en un proceso comunicativo protegido
por el derecho al secreto de las comunicaciones ex art. 18.3 CE, como también
advertimos en la citada STC 142/2012». Resultaría así que el acceso a los registros de
llamadas recibidas, realizadas o perdidas, en tanto identifican el número de teléfono del
otro interlocutor, así como la fecha y hora –pretéritas- de tales llamadas, tal como ya
había recogido el mismo Tribunal Constitucional en Sentencia 230/2007, de 5 de
noviembre: «debe concluirse, conforme también interesa el Ministerio Fiscal, que se ha
vulnerado al recurrente el derecho al secreto de las comunicaciones (art. 18.3 CE), en
tanto que, acreditado y reconocido por las resoluciones judiciales el presupuesto fáctico
del acceso policial al registro de llamadas del terminal móvil intervenido al recurrente
sin su consentimiento ni autorización judicial, dicho acceso no resulta conforme a la
doctrina constitucional reiteradamente expuesta sobre que la identificación de los
intervinientes en la comunicación queda cubierta por el secreto de las comunicaciones
garantizado por el art. 18.3 CE y, por tanto, que resulta necesario para acceder a dicha
información, en defecto de consentimiento del titular del terminal telefónico móvil
intervenido, que se recabe la debida autorización judicial». Dichas fundamentaciones,
en todo caso, pueden dar lugar a dificultades interpretativas de pronunciamiento previos
como el ya señalado en Sentencia 70/2002, de 3 de abril, esto es, que “finalizado el
proceso en que la comunicación consiste, la protección constitucional de lo recibido se
realiza en su caso a través de las normas que tutelan la intimidad u otros derechos”.

Resulta también de interés la STC 173/2011, de 7 de noviembre, en la que se

analiza el descubrimiento casual de material pedófilo en un ordenador portátil que había
sido entregado por su titular en un establecimiento de informática para sustituir una
grabadora, puesto después en conocimiento de la Policía Nacional, que procedió a la
intervención del portátil. Dicha sentencia desestimó la petición de amparo formulada
por el titular del ordenador condenado entendiendo, respecto del responsable del
establecimiento, que no hubo extralimitación del mandato recibido para la reparación
con advertencia de que el ordenador no tenia contraseña y «sin pretender adentrarse en
otras carpetas respecto de las que, por hallarse más ocultas o por expresarlo así el título

15
asignado a las mismas, pudiera presumirse un mayor revestimiento de protección y
reserva». A su vez, respecto de la actuación policial, que llevó a cabo un examen del
contenido del ordenador sin previa autorización judicial habilitante, dispone la sentencia
que «nos encontramos ante uno de los supuestos excepcionados de la regla general, que
permite nuestra jurisprudencia, pues existen y pueden constatarse razones para entender
que la actuación de la Policía era necesaria, resultando, además, la medida de
investigación adoptada razonable en términos de proporcionalidad (…) los expresados
agentes pretendían, con la conveniente celeridad que requerían las circunstancias,
comprobar la veracidad de lo ya descubierto por este ciudadano, así como constatar si
existían elementos suficientes para la detención de la persona denunciada. Hemos de
valorar, además, que la investigación se circunscribía de manera específica a un delito
de distribución de pornografía infantil, lo que resulta relevante, no sólo por la
modalidad delictiva y la dificultad de su persecución penal al utilizarse para su comisión
las nuevas tecnologías e Internet, sino fundamentalmente en atención a la gravedad que
estos hechos implican». Concluye esta exposición el argumento (sorprendente,
tratándose de un equipo informático físicamente en poder de la policía) de que «hay que
tener en cuenta que la persona denunciada no estaba detenida cuando se practica la
intervención, por lo que tampoco aparece como irrazonable intentar evitar la
eventualidad de que mediante una conexión a distancia desde otra ubicación se
procediese al borrado de los ficheros ilícitos de ese ordenador o que pudiera tener en la
“nube” de Internet».

El registro de dispositivos que permitan el almacenamiento tales como teléfonos

y ordenadores son también contemplados en la reforma de la LECrim. relativa a la
regulación de las medidas de investigación tecnológica. Así, el artículo 588 sexies las
posibilidades de acceso a tales dispositivos estableciendo una regulación común tanto si
permiten comunicaciones (teléfonos, ordenadores, tablets, …) como si tan sólo permiten
el almacenamiento masivo de información (discos duros externos, memorias USB,…),
lo cual llama la atención teniendo en cuenta la tajante separación que parecía hacer
hasta ahora el Tribunal Constitucional no ya entre tales dispositivos sino incluso dentro
de las aplicaciones de los mismos que fueran accedidas.

Como regla general, los artículos 588 sexies.a, b y c establecen la exigencia de

autorización judicial expresa para acceder a los dispositivos, sean incautados o no en el
curso de una entrada y registro, esto es, no se tendrá por autorizado el acceso a tales
equipos de forma implícita por la mera autorización judicial para la práctica de una
entrada y registro sino que será preciso pronunciamiento ad hoc debidamente
justificado. Tal autorización judicial no se circunscribirá exclusivamente a la
procedencia del acceso sino que, además, deberá establecer conforme al artículo 588
sexies.c “los términos y el alcance del registro”, la posibilidad (o no) de realizar copias
y “las condiciones necesarias para asegurar la integridad de los datos y las garantías de
su preservación”. Es previsible que habrá de ser la jurisprudencia la que en última
instancia dibuje el nivel de concreción que sobre estos puntos haya de exigirse a estos
autos habilitantes. Finalmente, se establece la posibilidad de solicitar una ampliación del
registro autorizado cuando hubiera “razones fundadas para considerar que los datos
buscados están almacenados en otro sistema informático o en una parte de él” y tal
registro ampliado pudiera llevarse a cabo por medio del sistema inicialmente autorizado,
precisión que tendrá especial incidencia, a nuestro entender, en el caso de que en el
curso del acceso a un equipo informático en el curso de una entrada y registro se

16
detectase la posibilidad imprevista de acceder a sistemas de almacenamiento en nube o
perfiles en redes de interés para la investigación.

No obstante, sentada esta regla general, el propio artículo 588 sexies c, apartados
3 y 4, articula la excepción permitiendo que los accesos a dispositivos –o las
ampliaciones de registros inicialmente autorizados judicialmente- se lleven a cabo sin
previa autorización judicial “en los casos de urgencia en que se aprecie un interés
constitucional legítimo que haga imprescindible la medida”, siempre comunicándolo
motivadamente en un plazo no superior a 24 horas al juez competente, que confirmará o
revocará tal actuación.

La inclusión de esta excepción por motivo de urgente necesidad parece suponer

todo un posicionamiento del legislador respecto a los derechos fundamentales en
cuestión: claramente se ha articulado una norma que recoge los pronunciamientos
constitucionales respecto a la protección del derecho a la intimidad en los términos ya
expuestos y tales previsiones se extienden a todos los dispositivos en que hay o puede
haber datos relativos a comunicaciones ya concluidas. Habrá que ver si en la futura
aplicación de este precepto, no obstante, surgirán matizaciones jurisprudenciales que
exceptúen del régimen legal establecido los datos referentes a registros de llamadas,
correos electrónicos ya abiertos o mensajería y entiendan que la reforma que ahora se
aprueba no contiene en realidad una revisión de la naturaleza de tales comunicaciones
pasadas sino una laguna en su exposición.

2.5.- EL AGENTE ENCUBIERTO INFORMÁTICO.

En la investigación de determinados tipos delictivos cometidos mediante

Tecnología de la Información y la Comunicación, particularmente en materia de
pornografía infantil, puede ser esencial la utilización de figuras de investigación como
el agente encubierto.

El uso de redes P2P para la difusión de este material resulta aún muy común si
bien los usuarios de las mismas en principio carecen de una relación personal, de
manera que entre ellos no suele existir otra comunicación que la automatizada entre los
pares conectados a las redes, y no hay otro acuerdo que el implícito entre quien ofrece
de forma genérica archivos con pornográfico infantil y quien ordena al programa la
descarga de los archivo ignorando completamente de quién o quiénes está descargando
el mismo. Sin embargo, frente a esta vía de difusión encontramos grupos cerrados de
usuarios con relación entre sí que se las ingenian de muy distintas formas para que, a
través de la red y asegurando la clandestinidad de sus comunicaciones, solicitan y
comparten tal material. Se trata de una forma delictiva mucho más peligrosa, dado que
las propias relaciones estables que se establecen entre los delincuentes llevan a una
conducta más activa para la búsqueda o creación de nuevos contenidos y un estímulo
para pasar del consumo de videos o fotografías al abuso directo sobre menores puesto
que la actividad de unos dota de justificación a la de los otros. Asimismo, estos grupos
se dotan de fuertes medidas de seguridad para garantizar su anonimato e impunidad,
organizándose en grupos cerrados y estructurados internamente a los que sólo se puede

17
acceder por invitación de uno de los miembros y previa aportación de material
pornográfico.

Es precisamente en esta segunda forma en la que resulta útil la figura del agente
encubierto, puesto que la introducción del mismo en el foro o grupo es la forma idónea
de tener conocimiento de sus actividades y poner de manifiesto los ilícitos que se estén
desarrollando.

El recurso al agente encubierto –tradicional, no el informático al que nos

referiremos a continuación-, hasta ahora tenía cabida teórica en la redacción del artículo
282 bis de la Ley de Enjuiciamiento Criminal puesto que nos hallamos en el marco de
investigaciones que afectarán a “actividades propias de la delincuencia organizada” en
los términos que el propio artículo establece “asociación de tres o más personas para
realizar, de forma permanente o reiterada, conductas que tengan como fin cometer
alguno o algunos de los delitos siguientes…Delitos relativos a la prostitución previstos
en los arts. 187 a 189 del Código Penal” (282 bis, .4.d)); y los hechos que se pretenda
investigar serían susceptibles de tipificarse con arreglo al artículo 189.2.f) del Código
Penal, esto es, pertenencia a una a una organización o asociación, incluso de carácter
transitorio, que se dedicare a la realización de actividades de elaboración, distribución y
demás conductas relacionadas con la pornografía infantil.

Dicho esto, sin embargo debe admitirse que la redacción del artículo 282bis de
la Ley de Enjuiciamiento Criminal presenta carencias importantes a la hora de aplicarse
a la persecución de delitos relacionados con la pornografía infantil:

En primer lugar, por las peculiaridades de la organización virtual resultante de la

interacción de los criminales en internet, frecuentemente más difusa que una
organización criminal no virtual, con métodos no acostumbrados de imposición coactiva
de disciplina (por ejemplo, bannear al usuario desobediente), escasos –por innecesarios-
medios y efectos al servicio de la organización y finalidades en principio ajenas a todo
beneficio económico. Así, si se realizase una interpretación restrictiva del concepto de
organización se estaría realizando una exigencia de complejidad en la estructuración
que excedería la resultante de la mayoría de los supuestos de comunidades virtuales
Esta es la línea que fue sostenida por la STS 913/2006, de 20 de septiembre, que
excluyó la agravación por pertenencia a organización en un supuesto de aportación de
material pornográfico a una comunidad virtual considerando inadecuada la agravación
tanto por falta de estructura jerarquizada: «“Los autores de hechos como el que estamos
examinando casi siempre actuarán en función de sus instintos sexuales y nunca por
medio de órdenes, instrucciones o cualquier otra tarea previamente convenida») como
por responder a una desproporción en la respuesta penal (no puede obviarse a la hora de
entender los razonamientos que llevan a excluir la consideración de organización que en
la sentencia el Ponente afirma que a la acción «se le da una inconmensurable extensión
de tal manera que la satisfacción de un placer sexual solitario se convierte en delito. No
está claro que la vía de la protección del bien jurídico sea la más adecuada» y critica la
inclusión en el Código Penal de la organización en relación a estos delitos,
considerándola «decisión de los órganos legislativos en el conjunto de una campaña
mundial contra esta clase de conductas»). Frente a este criterio restrictivo, encontramos
sin embargo el punto de vista contrario en la STS 1444/04, de 10 de diciembre que, por
hechos esencialmente iguales, aportación de material pornográfico a una comunidad
virtual privada, sí aprecia la agravación de pertenencia a organización.

18
 En segundo lugar, plantea dudas el artículo 282.bis en cuanto a este tipo de
grupos por las facultades que pueda tener el agente encubierto y en particular la
posibilidad de intercambiar o proporcionar pornografía infantil a la comunidad, punto
esencial puesto que si el requisito de entrada es la aportación de material difícilmente
podrá tener ningún recorrido la investigación del agente encubierto que no logra el
ingreso en ella. La posibilidad puede considerarse implícita en el artículo 282bis.5), que
declara la exención de responsabilidad criminal por las “actuaciones que sean
consecuencia necesaria del desarrollo de la investigación, siempre que guarden la
debida proporcionalidad con la finalidad de la misma y no constituyan una provocación
al delito”. En este punto, no obstante, la falta de desarrollo legislativo que ha existido
hasta ahora planteaba un debate sobre la admisibilidad de esta práctica, sosteniéndose
de una parte que no puede admitirse una actuación policial que de tal manera incida
sobre la dignidad de la infancia como medio para el desarrollo de una investigación. Por
el contrario, quienes han defendido esta posibilidad se amparaban en la exigencia de
debida proporcionalidad referida en el artículo 282.bis.5 de manera que resultaría
admisible previa ponderación de la finalidad que se persigue y el acto concreto de
distribución de pornografía infantil, autorizado judicialmente y referido a materiales
relativos a adolescentes sin carácter particularmente degradante que hayan tenido una
difusión generalizada en internet.

Algunas de estas cuestiones han sido particularmente contempladas por el

Tribunal Supremo en la Sentencia 767/2007, de 3 de octubre, en un supuesto en que se
detectó por la Guardia Civil un chat en que se abordaba el tema de las relaciones
sexuales con menores. Los agentes, sin revelar su condición, establecieron contacto con
uno de sus usuarios y éste les envió archivos con pornografía infantil y comentó la
existencia de un grupo de pedófilos en internet denominado “la gran familia” que se
reunían con sus hijos menores para mantener relaciones sexuales con ellos. A partir de
aquí, por Decreto del Fiscal de Pontevedra, fue autorizado a actuar el agente encubierto
(autorización que ratificó el Juzgado Instructor). Entre las conclusiones que se extraen
de esta sentencia destacan:
a.- expresamente declara que los delitos relacionados con la pornografía infantil
tienen cabida en los supuestos que legalmente justifican la utilización de la figura del
agente encubierto.
b.- pese a que no se llegó a determinar suficientemente la existencia de la
organización “la gran familia”, la sentencia convalida el recurso del agente encubierto
puesto que la existencia de organización constituye un juicio de valor “ex ante” que no
puede interpretarse a la vista del resultado final.
c.- convalida igualmente la actuación policial previa a la autorización como
agente encubierto ocultando su condición de agente (“Tampoco cabe hacer objeción
alguna al primer material grabado que le remite al agente de la guardia civil, antes de su
nombramiento como infiltrado”).

El agente encubierto informático es una de las nuevas figuras desarrolladas en la

reforma de la LECrim. relativa a la regulación de las medidas de investigación
tecnológica. Así, el artículo 282 bis .6 regula lo que a nuestro entender, y por las
peculiaridades que presenta, es en realidad una figura nueva y autónoma del agente
encubierto “ordinario” desarrollado en los apartados anteriores del mismo artículo.

19
 Comenzando por los presupuestos, vemos que el artículo 288 bis .6 amplía el
catálogo de delitos que permiten el uso de la figura, de manera que a los ya indicados en
el 282 bis .4 se añaden los delitos previstos en el artículo 588 ter .a, esto es, delitos
dolosos con pena máxima de al menos 3 años de prisión, organizaciones o grupos
criminales y terrorismo (por remisión al 579.1) “o delitos cometidos a través de
instrumentos informáticos o de cualquier otra tecnología de la información o la
comunicación o servicio de comunicación”. Queda con ello resuelto el conflicto antes
expuesto sobre la catalogación jurídica de los grupos cerrados y clandestinos de
distribución de pornografía infantil de usuarios.

Una segunda diferencia la hallamos en la propia autorización, dado que

exclusivamente contempla la posibilidad de que tal autorización sea concedida por el
Juez de Instrucción. Sorprende, por tanto, que el agente encubierto “ordinario” pueda
ser autorizado bien por el Juez de Instrucción competente o bien por el Ministerio
Fiscal, en este caso, dando cuenta inmediata al Juez mientras que el agente encubierto
informático no puede ser autorizado por el Ministerio Fiscal, a pesar de que los
supuestos que se incorporan al catálogo de delitos objeto de la investigación no son de
más gravedad que los que ya estaban listados en el 282 bis.4 y el listado de facultades,
aun con las diferencias que veremos, no justifican la exclusión del Fiscal como
autorizante.

Examinando los términos en que se describe la función esencial prevista para el

agente encubierto informático, vemos que se prevé la de «actuar bajo identidad supuesta
en comunicaciones mantenidas en canales cerrados de comunicación». A sensu
contrario, por tanto, debemos entender que si los canales de comunicación no son
cerrados no será preciso el recurso a la figura, lo que se encuentra en línea con la
concepción jurisprudencial de que no se precisa de autorización judicial para conseguir
lo que es público, de manera que las actividades públicas realizadas en internet,
susceptibles de ser conocidas por tanto también por la policía no se hallan protegidas
por el art. 18.1 ni por el 18.3 de la Constitución (Así, STS 249/08, 630/08, 776/08,
940/08, 960/08, 40/09, 688/09 o 921/09). La duda que queda abierta a partir de la
redacción del artículo 282 bis .6 es qué debemos considerar por canal de comunicación
“cerrado” o, más concretamente, qué barreras de exclusión o exigencias de privacidad
cualifican un canal de comunicación. A falta de desarrollo jurisprudencial, entendemos
que un dato esencial que debe orientar la interpretación de si, en cada caso, cabe o no
considerar cerrado el canal de comunicación, se encuentra en la participación activa y
voluntaria del interlocutor consintiendo en admitir en su círculo de contactos a quien
pretende intervenir en ese canal de comunicación. Así, por ejemplo, aun cuando para
ver los contenidos de una red social (vg. Facebook) es necesaria la creación de un perfil
que será dado de alta, lo cierto es que dicha incorporación a la red responde a una
operación automatizada y, una vez incorporado, todos los contenidos que el resto de los
usuarios no hayan restringido a sus propios contactos seleccionados podrán ser
visualizados; sin embargo, una vez dentro de la red, debería considerarse canal cerrado
aquél que precise que el sospechoso activamente autorice o consienta la inclusión del
perfil del agente investigador entre sus contactos, puesto que los contenidos o
comunicaciones a los que así se pudiera llegar estaban por el sospechoso excluidos del
carácter público general y sólo habrán estado disponibles al haber mediado un engaño,
puesto que razonablemente el sospechoso no habría autorizado como contacto de
confianza al agente de haber sabido quién era y cuál era su finalidad.

20
 Pasando ya al examen de las concretas facultades reconocidas al agente
encubierto informático, encontramos como primera y destacada la posibilidad de enviar
o intercambiar con autorización específica «archivos ilícitos por razón de su contenido y
analizar los resultados de los algoritmos aplicados para la identificación de dichos
archivos ilícitos». Es de resaltar la mejora técnica que ha supuesto el paso por el Senado
de estas funciones puesto que en la versión inicialmente proyectada no se hacía mención
alguna a la necesidad de autorización específica de tal manera que legalmente no existía
control previo para esta actividad; y, asimismo, se hacía referencia tan solo a “analizar
los algoritmos asociados”, lo que había sido duramente criticado por la impropiedad de
la expresión utilizada ya que, evidentemente, de lo que se trata es de analizar y cotejar el
resultado de la aplicación de tales algoritmos para constatar la identidad de archivos, no
de que la Policía Judicial haya de revisar si los algoritmos diseñados para el cálculo de
estas funciones son correctos.

Finalmente, el apartado .7 del artículo 282 bis recoge la posibilidad de captación

de imágenes y grabación de conversaciones entre agente encubierto e investigado, aun
cuando se desarrollen en el interior de un domicilio, para lo cual será precisa expresa
autorización judicial. Ha de tenerse en cuenta que esta previsión no se refiere al “agente
encubierto informático” sino al “agente encubierto” y, de hecho, para garantizar la
claridad expositiva en este sentido durante el paso del Proyecto por el Senado se ha
reubicado la facultad de intercambio de archivos del informático, antes en este inciso,
en el apartado .6. Ahora bien, la posibilidad de que las conversaciones entre un agente
encubierto informático y un investigado puedan desarrollarse más allá del mero
intercambio de mensajes o correos y llegar a establecerse, por ejemplo,
videoconferencias obliga a tener en cuenta la posibilidad de que también en este caso
sea precisa la expresa autorización judicial ya que, de encontrarse en su domicilio el
investigado y grabarse policialmente la videoconferencia, se produciría la captación de
imágenes del mismo.

2.5.- ENTRADAS Y REGISTROS. INFORMES PERICIALES.

La entrada y registro constituye un paso más en la investigación del delito

informático que presupone la previa identificación del imputado o, cuanto menos, de la
ubicación desde la que se ha operado para la ejecución del delito, resultando aplicable a
su práctica la doctrina general en la materia. Ahora bien, la especialidad de la
delincuencia informática obliga a realizar determinadas precisiones:

En primer lugar, debe tenerse en cuenta la posibilidad nada remota de que la

localización, generalmente resultante de la averiguación de los datos asociados a una
dirección IP, no necesariamente habrá de conducir a la identidad exacta del imputado,
sino que la identificación resultante llevará a la persona que haya contratado con la
compañía correspondiente la prestación del servicio y la dirección asociada a dicho
contrato. Por lo tanto, pueden entrar en juego varios factores que distorsionen el
resultado de la investigación y que obliguen a la práctica de ulteriores diligencias de
instrucción, como la existencia de equipos y redes de compartido, lo que habrá de
conducir a la averiguación de la persona que se servía del terminal en el momento

21
exacto de la conexión para la comisión del delito. Finalmente, debe también tomarse en
consideración la posibilidad de que el ordenador cuya conexión ha sido identificada y
trazada haya sido a su vez víctima de un ataque y se encuentre bajo el control a
distancia del delincuente mediante alguna herramienta de acceso remoto, de manera que
el equipo encontrado en la entrada y registro sería simplemente un equipo infectado de
malware que ha servido como pantalla o puente para la comisión del delito sin que su
titular haya llegado a tener el menor conocimiento.

En todo caso, cuando se practique una entrada y registro en la que se espere la

ocupación de equipos informáticos de los que puedan extraerse datos o contenidos
relevantes para la investigación, será necesario que la misma sea efectuada por
profesionales de las Fuerzas y Cuerpos de Seguridad del Estado especializados en
análisis forense informático para que el examen de los equipos encontrados sea correcto
y no se produzca la pérdida accidental de datos por una inadecuada manipulación de los
equipos, sea como consecuencia del borrado accidental de archivos o como
consecuencia de operaciones que aparentemente pudieran ser inocuas como encender el
ordenador apagado para examinarlo o apagar el encendido para trasladarlo (lo que
conllevaría la pérdida de datos o claves alojados en la memoria RAM del equipo). Esta
intervención especializada, además, permite que el examen “en caliente” del equipo sea
suficientemente completo como para obtener, cuanto menos, una primera aproximación
a la existencia del delito y las características del mismo, evitando que un análisis
superficial pueda llevar a pasar por alto datos que tengan relevancia para la
investigación (piénsese en la posibilidad de que el imputado hubiera ocultado imágenes
o vídeos comprometidos mediante la simple modificación de las extensiones de los
archivos y ubicación en una subcarpeta oculta del sistema). Otra de las vicisitudes que
puede plantearse durante la entrada y registro es la negativa del imputado a
proporcionar sus datos de usuario y claves, para lo cual se encuentra amparado por el
derecho a no declarar contra sí mismo y no confesarse culpable del artículo 520.2.b) de
la Ley de Enjuiciamiento Criminal y el artículo 24 de la Constitución, circunstancia que
bien in situ o bien en el momento del análisis forense del sistema para la elaboración del
correspondiente informe pericial podrá ser resuelta mediante el empleo de técnicas de
descubrimiento de claves como ataques de “fuerza bruta”, que tendrían amparo en el
artículo 568 de la Ley de Enjuiciamiento Criminal.

El papel del Secretario Judicial durante la entrada y registro será el de dar fe de

las actuaciones que se realicen, levantando “acta del resultado, de la diligencia y de sus
incidencias”, tal como prevé con carácter general el artículo 569 de la Ley de
Enjuiciamiento Criminal. Sin perjuicio de la lógica exigencia de exactitud en el acta que
se deberá extender, es necesario que en la misma se consignen de manera clara las
operaciones y búsquedas realizadas sobre los equipos. Asimismo, el acta será
complementada con la fe pública del Secretario Judicial sobre los “pantallazos”, es
decir, impresiones directas de la pantalla del equipo que documentarán el proceso de
búsqueda y los hallazgos encontrados.

En relación al papel del Secretario Judicial, debe hacerse especial hincapié en el

debate que se ha suscitado en relación al papel que el mismo debe jugar en la apertura
de equipos informáticos para extraer los discos duros y en el clonado de los mismos.
Cierto es que la presencia del Secretario Judicial garantizará desde el punto de vista
teórico la exactitud de estas operaciones y la ausencia de manipulación. Ahora bien, no
podemos ignorar que estas operaciones, particularmente el clonado, tienen carácter

22
técnico y son ejecutadas de manera automatizadas por lo que más allá de la intervención
formal en el acta del proceso difícilmente el Secretario Judicial podrá dar fe de que el
proceso se ejecuta correctamente, limitándose a consignar lo que se le dice por los
agentes técnicos que se está realizando. En este sentido, la STS 1599/1999, de 15 de
noviembre, indicó que «En lo que se refiere a lo que se denomina "volcaje de datos", su
práctica se llevó a cabo con todas las garantías exigidas por la ley. En primer lugar, la
entrada y registro se realizó de forma correcta y con la intervención del Secretario
Judicial que cumplió estrictamente con las previsiones procesales y ocupó los tres
ordenadores, los disquetes y el ordenador personal. Lo que no se puede pretender es que
el fedatario público esté presente durante todo el proceso, extremadamente complejo e
incomprensible para un profano, que supone el análisis y desentrañamiento de los datos
incorporados a un sistema informático. Ninguna garantía podría añadirse con la
presencia del funcionario judicial al que no se le puede exigir que permanezca
inmovilizado durante la extracción y ordenación de los datos, identificando su origen y
procedencia”. En el mismo sentido, Sentencia del Tribunal Supremo 480/2009, de 22
de mayo.

A pesar de estos dos pronunciamientos, lo cierto es que este debate ha subsistido

y ha llegado a tener su reflejo en la Comisión Nacional de Coordinación de la Policía
Judicial, que el 16 de octubre de 2014 recogió entre el orden del día el Punto
“VOLCADOS INFORMATICOS : Apertura o volcado del disco duro y memoria de
almacenamiento de datos de los equipos informáticos ante la presencia del Secretario
Judicial” acordando por unanimidad y de conformidad con la propuesta del Comité
Técnico «no ser necesaria la presencia, del Secretario Judicial para la apertura, volcado
de disco duro y memoria de almacenamiento de datos de los equipos informáticos».

Tal acuerdo, por el foro en que es adoptado y su carácter unánime tiene

relevancia como criterio orientador. En todo caso, no puede dejar de criticarse que en la
plasmación del acuerdo se hayan recogido impropiedades como hacer referencia a la
“apertura de discos duros” cuando a lo que entendemos que se pretendía hacer
referencia es a la apertura de los equipos informáticos en los que dichos discos duros
están instalados. No parece que la apertura de la carcasa exterior de un disco duro
interno sea especialmente útil o necesaria en la mayoría de las investigaciones,
especialmente teniendo en cuenta que la retirada de la carcasa no hará más accesibles
los datos a clonar y en cambio sí se corre un gravísimo riesgo de dañar los soportes de
almacenamiento del disco original. En cambio, sí es práctica común la apertura del
ordenador para extraer del mismo el disco duro, que tendrá su propia marca y modelo y
su propio número de serie identificador e individualizador. Si en algún punto del
proceso de obtención y examen de evidencias técnicas puede aportar algo el Secretario
Judicial es precisamente, a nuestro entender, este momento de extracción física del
disco duro, pudiendo por sí mismo el Secretario comprobar y consignar en el acta el
número de serie del dispositivo que se incauta y remite a los laboratorios de análisis. Sin
embargo, y a pesar de lo poco acertado de la plasmación en el acuerdo, compartimos
que efectivamente al proceso de clonado o volcado poco o nada aporta su presencia. Y,
en todo caso, no debemos olvidar la finalidad de la diligencia que se practica, que no es
otra que la de crear una copia idéntica a la del original que se conserva por lo que si
alguna de las partes, aportado el correspondiente informe pericial, cuestiona sus
conclusiones entendiendo que puede haberse producido una supuesta manipulación en
el proceso de clonado nada impide acudir nuevamente al original conservado y cotejar

23
las posibles discrepancias o manipulaciones o incluso obtener una nueva copia para
segundo análisis.

Recientemente ha tenido el Tribunal Supremo nueva oportunidad de

pronunciarse sobre este particular, exponiendo en Sentencia 187/2015, de 14 de abril,
que «La jurisprudencia establece que la presencia de este fedatario en el acto del
volcado de datos no actúa como presupuesto de validez (STS 480/2009). Lo decisivo es
despejar cualquier duda sobre la integridad de los datos que contenía, garantizar la
correlación entre la información aprehendida en el acto de intervención del dispositivo y
la que se obtiene en la diligencia de acceso al aparato. La incorporación de los soportes
informáticos debe hacerse en condiciones que preserven su identidad plena y la
integridad del contenido de lo intervenido (STC 170/2003), aunque no hay duda de que
el secretario judicial es una instancia formal de garantía, la jurisprudencia aconseja no
sobrevalorar su mediación, por su propia condición de profano en materia de
conocimientos informáticos (STS 256/2008)».

Los sistemas ocupados a partir de la entrada y registro, según las circunstancias

del caso, podrán precisar de ser analizados de forma tan minuciosa como sea necesaria
para la elaboración de un informe pericial del que cabe que se obtengan datos e
informaciones de muy distinta índole, como elementos que corroboren las
comunicaciones investigadas o en el marco de las cuales se ha cometido el delito,
historiales y registros del equipo para su posterior procesamiento o la configuración del
equipo (que, por ejemplo, podrá denotar unos conocimientos avanzados de informática
incompatibles con alegaciones defensivas de ignorancia). Asimismo, el análisis forense
podrá llevar a cabo la recuperación de archivos borrados o la desencriptación de los
especialmente protegidos por el imputado. En todo caso, cabe recordar que tal búsqueda
de datos deberá estar referida al delito sobre el que versa la investigación, de manera
que la búsqueda no podrá ser prospectiva si bien, en caso de localizarse vestigios de
delito diferente del que es objeto de instrucción, habrá de procederse de conformidad
con la doctrina jurisprudencial elaborada para los casos de hallazgos casuales en los que
se ponga de manifiesto una nota de flagrancia11.

11
En este sentido, Sentencia del Tribunal Supremo de 23 diciembre 2010 “…esta Sala Segunda ha
venido marcando las diferencias existentes en la diligencia de intervención telefónica y en el registro
domiciliario en los supuestos en que es descubierto un objeto delictivo distinto al que hubiera motivado la
respectiva diligencia Así en las sentencias 22.3.99 y 981/2003 de 3.7 se recuerda como esta Sala ha tenido
oportunidad en diversas ocasiones de pronunciarse sobre el extremo que nos ocupa y viene sentando una
doctrina consolidada en la que, resumiendo anteriores argumentos, se afirma que: “Es cierto que esta
Sala, trasladando su doctrina sobre las escuchas telefónicas a la entrada y registro, resolvió algunos
supuestos bajo un denominado principio de especialidad, concepto, a su vez, trasladado de la extradición.
La jurisprudencia más reciente abandona dicha interpretación jurisprudencial destacando las diferencias
existentes entre la intervención telefónica y la entrada y registro, tanto por la distinta afectación de una y
otra diligencia sobre la intimidad, verdaderamente más intensa y directa en la intervención telefónica,
como por la prolongación temporal de una y otra injerencia, pues la entrada y registro tiene acotada su
duración temporal en una jornada y se desarrolla en unidad de acto, en tanto que la intervención
telefónica tiene una duración que se prolonga a un mes susceptible de ampliación y, consecuentemente,
con unas facultades de control judicial distintos (SSTS 28-4-1995 y 7-6-1997), que ya se señaló que si en
la práctica del registro aparecen objetos constitutivos de un cuerpo de posible delito distinto a aquel para
cuya investigación se extendió el mandamiento habilitante, tal descubrimiento se instala en la nota de
flagrancia por lo que producida tal situación la inmediata recogida de las mismas no es sino consecuencia
de la norma general contenida en el art. 286 de la Ley Procesal". En igual sentido, la reciente STS
167/2010 de 24.2, recoge la doctrina de otras sentencias precedentes como la 315/2003 de 4.3 que,
admitió la validez de la diligencia cuando, aunque el registro se dirigiera a la investigación de un delito se

24
 Finalmente, es de reseñar que en la práctica diaria la saturación de los
laboratorios de análisis forense informático como consecuencia del incremento
constante de procedimientos en los que resulta necesario el examen de dispositivos
electrónicos ha dado lugar a la necesidad de restringir estos análisis sólo a los casos en
que sea indispensable para el buen fin de la investigación, mientras que en otros
supuestos podrá considerarse que el acta de la diligencia de entrada y registro y la
documentación de la inspección “en caliente” del equipo en su ubicación mediante las
impresiones de pantalla realizadas en presencia del Secretario Judicial podrán ser
consideradas como indicios suficientes del delito, su autoría y circunstancias.

3. MEDIDAS ACCESORIAS A LA INSTRUCCIÓN.

3.1.- SOBRE LOS DATOS.

Ya se ha puesto de manifiesto la importancia esencial de los datos de tráfico

como vía de investigación de los delitos informáticos, así como el escaso plazo de
conservación de los mismos. A fin de evitar la pérdida, cabe dirigir petición de
retención directamente a los mismos operadores obligados a su conservación general de
conformidad con las previsiones de la L25/2007, sin que hasta ahora la Ley de
Enjuiciamiento Criminal hubiese contemplado de forma específica tal medida aun
cuando la misma tuviera encaje en las “primeras diligencias” tendentes a “consignar las
pruebas del delito que puedan desaparecer, la de recoger y poner en custodia cuanto
conduzca a su comprobación y a la identificación del delincuente”, conforme expone el
artículo 13 de la propia Ley. No obstante, la falta de referencia expresa suscitaba dudas
y necesidad de determinar si su naturaleza jurídica es de medida cautelar, cuestión de
relevancia práctica esencial en la tramitación de Diligencias de Investigación del
Ministerio Fiscal, dado que el artículo 5 del Estatuto Orgánico del Ministerio Fiscal veta
su adopción.

Si bien esta diligencia participa de gran medida de las notas que caracterizan las
medidas cautelares, como son la temporalidad, el carácter accesorio o la necesidad de
que exista una situación de riesgo a que subvenir con la misma, lo cierto es que no
puede considerarse que la diligencia afecte al derecho a la intimidad y menos aún al
secreto de las comunicaciones puesto que no tendrá por finalidad la revelación de dato
alguno sino sólo de preservarlo hasta que sea judicialmente requerida su cesión.

encontraran efectos o instrumentos de otro que pudiera entenderse como delito flagrante. La teoría de la
flagrancia ha sido, pues, una de las manejadas para dar cobertura a los hallazgos casuales , y también la
de la regla de la conexidad de los arts. 17.5 y 300 LECrim, teniendo en cuenta que no hay novación del
objeto de la investigación sino simplemente "adición", y la STS. 742/2003 de 22.5 que expresa que la
autorización judicial para la entrada y registro se concreta en actividades delictivas concretas, ello, sin
embargo, no supone que el hallazgo de efectos o instrumentos que se refieren a conductas delictivas
distintas queden desamparados de la autorización judicial que cubre la intromisión en la esfera privada
que entraña un domicilio. Se ha impuesto en la doctrina de esta Sala una posición favorable a la licitud de
la investigación de aquellas otras conductas delictivas que nacen de los hallazgos acaecidos en un registro
judicialmente autorizado”.

25
Avalaba esta interpretación, por un lado, que la reserva de jurisdicción del artículo 6 de
la L25/2007.

Esta orden de conservación ha sido específicamente contemplada en la reforma

de la LECrim. relativa a la regulación de las medidas de investigación tecnológica. Así,
el artículo 588 octies autoriza al Ministerio Fiscal o la Policía Judicial para requerir la
conservación y protección de estos u otros datos informáticos por un plazo máximo de
90 días (prorrogables sólo una vez) hasta que se obtenga la autorización judicial para la
cesión.

3.2.- SOBRE LOS CONTENIDOS.

Siguiendo con la finalidad de salvaguardar el bien jurídico protegido de un

ataque delictivo que puede prolongarse en el tiempo, puede resultar necesario adoptar
en el procedimiento medidas que tiendan a eliminar o impedir el acceso a los contenidos
ilícitos mediante su retirada o suspensión a través de mandamiento judicial dirigido a las
empresas que alojen los mismos.

Esta vía, sin embargo, puede quedar cerrada en aquellos casos en que las
empresas que alojen los contenidos queden fuera del alcance de la jurisdicción española.
En tales casos la vía adecuada para la exclusión del contenido será la orden judicial de
oscurecimiento o bloqueo del acceso al nombre de dominio dirigida a los proveedores
de servicio. La articulación de esta medida hasta la entrada en vigor de la Ley Orgánica
1/2015 de reforma del Código Penal hubo de realizarse sobre el artículo 8 de la Ley
34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio
electrónico, que prevé tal posibilidad para “la salvaguarda del orden público, la
investigación penal, la seguridad pública y la defensa nacional” (artículo 8.1.a)). Tal
medida, una vez aplicada, supondrá que las empresas proveedoras de acceso a Internet
impedirán que se acceda a través suyo a las páginas web cuyos nombres de dominio
hayan sido identificados en la resolución judicial, de manera que las mismas, con todos
sus contenidos, quedarían fuera del alcance de los usuarios de Internet clientes de las
compañías afectadas por la medida.

El bloqueo y retirada de contenidos ha tenido entrada en el Código Penal como

decíamos en virtud de la reforma introducida por la Ley Orgánica 1/2015, pero no como
una medida que con carácter general sea aplicable como consecuencia accesoria a
cualquier delito sino tan solo se contempla en relación a determinadas tipologías. Así,
en materia de pornografía infantil (art. 189.8 CP), delitos contra la propiedad intelectual
(art. 270.3 CP), delitos de promoción de odio y discriminación, negación o
enaltecimiento del genocidio (y demás figuras recogidas en el artículo 510.6 CP). Y
sólo en el caso de la pornografía infantil se recoge la posibilidad de que la medida sea
adoptada con carácter cautelar a petición del Ministerio Fiscal. Fuera de estos casos no
se contempla el bloqueo o retirada de contenidos, lo que plantea ahora si tratándose de
otros delitos la jurisdicción penal tiene vetada la aplicación de estas medidas
precisamente porque el legislador ha optado deliberadamente por no hacer una previsión
general o bien cabe aún el recurso de adoptar estas medidas a través del artículo 8 de la
34/2002, de 11 de julio, de servicios de la sociedad de la información.

26
 La subsistencia de la posibilidad podría defenderse a partir de los artículos 8 y
11 de la Ley de Servicios de la Sociedad de Información: el artículo 8 de la Ley
encomienda la labor de ordenar la interrupción de la prestación de servicios al órgano
competente para la protección de los principios enumerados en el propio artículo entre
los que se encuentran la salvaguarda del orden público, la seguridad pública, el respeto a
la dignidad de la persona y protección de la juventud y de la infancia. Por tanto, si
entendemos que el órgano judicial penal puede ser competente por tener materialmente
encomendadas estas funciones quedaría así habilitado para ordenar bloqueos
cautelarmente o más allá de la firmeza de la sentencia, debiendo por su parte los
proveedores de acceso a internet destinatarios de la orden judicial de bloqueo colaborar
en la aplicación de la medida en virtud de las obligaciones que el artículo 11.1 de la Ley
le impone al respecto

3.2.1.- Problemas prácticos del bloqueo de contenidos.

La retirada directa de contenidos puede, en ocasiones, quedar fuera del

alcance de la autoridad española. Así, cuando el material ilícito no se encuentre alojado
en servidores ubicados en España ni su difusión dependa de prestadores de servicio
sometidos a la jurisdicción española y la vía de la cooperación internacional no resulte
fructífera el medio adecuado para la impedir, al menos dentro de las fronteras españolas,
la difusión de esos contenidos, pasa por ordenar el bloqueo de estas páginas. Se trata, en
definitiva, de cortar las vías de los internautas españoles para conectarse a las páginas
afectadas por la medida. El efecto, por tanto, no será propiamente la supresión del
contenido ilícito, que seguirá estando disponible a todo individuo que no resulte
afectado por la medida o logre burlar los medios técnicos empleados para este bloqueo.

La forma de llevar a cabo el denominado bloqueo por DNS, o también

oscurecimiento o bloqueo del acceso al nombre de dominio, a grandes rasgos, consiste
en interferir la asociación de los nombres de dominio a direcciones IP, de tal manera
que, aplicada la medida, el usuario de internet que intente conectarse a la página web
introduciendo su nombre de dominio o enlazando con ella vería frustrada la conexión
porque el servidor DNS no realizaría la operación de traducción. Por tanto, será
necesario expedir un mandamiento dirigido a las empresas que gestionan los servidores
DNS que realizan esta función de traducción para que en el caso concreto de los
nombres de dominio que se indiquen en la resolución judicial no ejecuten la operación
de relación.

Pese a lo expuesto, la medida presenta algunos problemas prácticos que derivan

de las ideas fundamentales en que descansan los presupuestos de la medida:

1.- “Casi todo el mundo contrata el acceso a internet con las mismas empresas”.
Pese a ello, existen en realidad un elevado número de empresas que ofrecen los
servicios de acceso a internet. Aunque la gran mayoría de los usuarios de Internet
efectivamente tienen contratada la prestación del servicio con un número muy limitado
de proveedores, si el mandamiento se dirige sólo a las proveedoras de acceso
mayoritarias quien contrate con las restantes compañías podría seguir accediendo a las

27
páginas afectadas por el bloqueo, mientras que la pretensión de cobertura total puede
conllevar una notable complejidad a la hora de llevar a la práctica la medida12.

2.- “Casi nadie sabe las direcciones IP de las páginas que quiere visitar”.
Efectivamente así sucede en la mayoría de las ocasiones, pero si el usuario de internet
en lugar de intentar acceder a la página web con contenidos ilícitos mediante su nombre
de dominio lo hiciese escribiendo directamente la dirección IP de la página afectada por
la medida podría acceder a ella porque el paso afectado por la medida es el de la
asociación de nombres a direcciones, no el de conexión con esas direcciones.

3.- “Casi todo el mundo utiliza los servidores DNS de las mismas compañías de
acceso a internet con las que ha contratado”. En efecto, la mayoría de los usuarios de
internet se sirven en su navegación de los valores establecidos por defecto y, por tanto,
de los servidores DNS de sus propias proveedoras de acceso afectadas por la medida,
pero si el usuario edita esta opción en las propiedades de conexión a internet y se
establece un servidor DNS distinto (libre), se estaría eludiendo la medida de bloqueo
puesto que el ordenador realizaría la consulta necesaria para asociar el nombre de
dominio a la dirección IP a un servidor (“traductor”) no afectado por la resolución
judicial de bloqueo.

3.3.- SOBRE LAS PERSONAS.

Junto a las medidas cautelares personales tradicionales (prisión provisional,

prohibición de acercamiento,…) cabe plantearse si puede adoptarse en el seno del
proceso penal la medida cautelar de prohibición de acceder a Internet, de acceder a
sistemas o equipos informáticos o alguna otra forma de impedir al imputado el uso de
Internet. Al respecto, desde el punto de vista legal, cabe articular tal medida a través del
artículo 48.1 del Código Penal (prohibición de acudir al lugar –virtual- de comisión del
delito) o a través del 56.3 (privación al penado de “cualquier otro derecho”) o como
forma de libertad vigilada (art. 106.i. “La prohibición de desempeñar determinadas
actividades que puedan ofrecerle o facilitarle la ocasión para cometer hechos delictivos
de similar naturaleza”)

Aun cuando la prohibición total de la utilización de Internet, a priori, pudiera

resultar coherente con el tipo de delito cometido, su adopción efectiva plantearía una
reducción de las facultades personales, sociales y profesionales del individuo de tal
magnitud que difícilmente puede justificarse siquiera como medida amparada en la
libertad vigilada en caso de condena. Por ello, debe tenerse en cuenta la posibilidad de
que tal prohibición no sea indiscriminada sino que se restrinja a determinadas formas de
acceso, sitios o servicios dentro de la red. Así, por ejemplo, la prohibición de
contratación con empresas proveedoras de acceso a internet sería una forma más

12
Como ejemplo de adopción de esta medida cautelar en el curso de un proceso penal cabe citar el Auto de 17 de
diciembre de 2007 del Juzgado de Instrucción nº 32 de Barcelona. Dicho Auto, tras una notable fundamentación
jurídica de las bases legales de la medida que adopta, acaba disponiendo de forma dirigir el mandamiento a “los
diferentes proveedores de servicios de Internet que operan en España y que dispongan de DNS para sus clientes, por
el que se les requiera a todos y cada uno de ellos, a fin de que procedan al bloqueo de cualquier resolución a nivel
DNS del dominio nikebrother.com”.

28
ajustada de concretar la restricción que una mera referencia genérica; la prohibición de
acudir a lugares de acceso público a internet (tales como cibercafés o redes wifi
abiertas) supone una discriminación de la forma de acceso que afectaría a la posibilidad
de que el imputado realizase conexiones anónimas o de muy difícil rastreo para la
comisión de nuevos delitos; y, especialmente, la prohibición general de utilización de
determinadas redes sociales o determinados programas de comunicación o intercambio
de archivos, atenderían a una restricción discriminada por el tipo de delito cometido
(pudiendo concretarse en la solicitud de prohibición de utilización de chats informáticos
o telefónicos, redes sociales y redes peer to peer de intercambio de ficheros).

Esta consideración, que responde a la finalidad de prevención de nuevos delitos

de idéntica naturaleza a que responde el artículo 48.1, ha sido objeto de estudio en las
Jornadas de Especialistas organizadas por la Fiscalía de Sala de Criminalidad
Informática de 4 y 5 de marzo de 2013 (Sesión de Trabajo sobre imposición de reglas de
conducta en ejecución de las sentencias relacionadas con hechos ilícitos cometidos a
través de la red), siendo recogido por la Fiscalía de Sala el criterio de consideración de
las prohibiciones descritas amparadas por los artículos indicados.

Aun cuando estos planteamientos han sido aceptados por la jurisprudencia

menor (sentencia de 12 de noviembre de 2014, de la Sección Novena de la Audiencia
Provincial de Barcelona; sentencia 127/2013, de 12 de febrero, de la Sección Tercera de
la Audiencia Provincial de Barcelona; sentencias 70/2009, de 6 de octubre, de la
Sección 23ª de la Audiencia Provincial de Madrid o 138/2009, de 25 de marzo, de la
Sección 6ª de la Audiencia Provincial de Madrid) podemos encontrar, sin embargo,
voces discordantes en cuanto a si estas medidas, a falta de expresa mención en el
catálogo penológico, carecen de viabilidad, como expone la sentencia de 6 de mayo de
2015 de la Sección 21ª de la Audiencia Provincial de Barcelona.

29