ANO 2024 N.º 3
ISSN 2182-9845
Implicaciones del Reglamento (UE) 2023/1543 sobre ordenes europeas de entrega y conservación de pruebas electrónicas y la Directiva (UE) 2023/1544 en el proceso penal
Juan A. Muriel Diéguez
Palavras-chave
Orden europea de entrega; orden europea de conservación; prueba electrónica; Reglamento, proceso penal.
Resumo
El objeto de este trabajo se centra en el análisis crítico del Reglamento (UE) 2023/1543 del Parlamento europeo y del Consejo de 12 de julio de 2023 “sobre las órdenes europeas de producción y las órdenes europeas de conservación a efectos de prueba electrónica en procesos penales y de ejecución de penas privativas de libertad a raíz de procesos penales, y la Directiva (UE) 2023/1544 del Parlamento Europeo y del Consejo de 12 de julio de 2023, por la que se establecen normas armonizadas para la designación de establecimientos designados y de representantes legales a efectos de recabar pruebas electrónicas en procesos penales, que complementa el Reglamento, ambas aprobadas el 13 de junio de 2023. Este Reglamento largamente esperado viene a dar respuesta a la necesidad de buscar instrumentos eficaces a la hora de combatir los delitos tecnológicos, intentando superar la fragmentación normativa entre Estados miembros de la Unión Europea en el ámbito del proceso penal.
Sumário
1. Introducción
2. Antecedentes legislativos
3. Reglamento (UE) 1543/2023 sobre entrega y conservación de prueba electrónica en el proceso penal
3.1. Objeto, ámbito de aplicación y definiciones
3. 2. Autoridad emisora, condiciones y destinatarios
4. Directiva (UE) 1544/2023
4.1. Objeto y ámbito de aplicación
4.2. Definiciones
4.3. Establecimientos designados y representantes legales
4.4. Notificaciones, sanciones y autoridades centrales
5. Conclusiones
Bibliografía
Texto Completo HTML
1. Introducción
Después de un largo proceso legislativo que ha durado más de cinco años, el Parlamento Europeo aprobó el pasado trece de junio el Reglamento (UE) 2023/1543 del Parlamento europeo y del Consejo de 12 de julio de 2023 “sobre las órdenes europeas de producción y las órdenes europeas de conservación a efectos de prueba electrónica en procesos penales y de ejecución de penas privativas de libertad a raíz de procesos penales”[1].
Junto a este esperado texto legislativo, el mismo día trece se aprobó en primera lectura una Directiva del Parlamento Europeo y del Consejo por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales[2], complemento necesario para la aplicación del Reglamento mencionado, precisamente por el hecho de que una de sus principales novedades consiste en la ampliación del ámbito de aplicación del mismo más allá de las fronteras de la Unión, concerniendo a terceros Estados y a entidades privadas con sede fuera de la Unión Europea.
Los mencionados textos normativos vienen a dar respuesta a los problemas derivados de la sociedad actual, cada vez más tecnificada y, donde el uso de la tecnología se ha generalizado. Por este motivo, se han incrementado el número de delitos de carácter tecnológico, resultando cada vez más necesario legislar el ámbito digital en el que se producen estos hechos ilícitos e intentar regularlo de manera que los investigadores cuenten con mecanismos ágiles y eficientes[3]. A esto hay que añadir, que el uso de estos sistemas posibilita que los delincuentes puedan realizar sus actividades ilícitas o parte de ellas, desde lugares lejanos, lo que introduce un elemento de extranjería que dificulta la persecución de estos[4]. Por ello, es necesaria la colaboración entre Estados a la hora de compartir estas pruebas digitales o electrónicas (e-evidences), algo que hasta ahora ralentizaba y dificultaba enormemente el desarrollo de las investigaciones de tipo penal, tanto las que se desarrollaban mediante el uso de las nuevas tecnologías, como aquellas que utilizan el ámbito digital —internet— como lugar de comisión del delito. El deseo de los investigadores y autoridades judiciales siempre tuvo su foco en la agilización de los trámites de colaboración entre Estados en los procesos penales, pero esta rapidez, suele conducir a una laxitud en el respeto de derechos y garantías de los investigados[5].
El Reglamento e-evidence viene a dar respuesta o, por lo menos a ayudar en la investigación y persecución de estas actividades ilegales al regular algo fundamental como es la aportación en el proceso penal de las pruebas digitales, cada vez más habituales, logrando así y de manera añadida, una unificación en la normativa procesal penal, superando en parte la muy criticada fragmentación jurídica que suponen las diversas y divergentes legislaciones en materia procesal penal y en concreto de carácter tecnológico vigentes en cada Estado miembro de la Unión[6].
En cuanto, a la Directiva de acompañamiento —Directiva (UE) 2023/1544—, su finalidad es complementar el Reglamento e-evidence, estableciendo una serie de obligaciones dirigidas a las entidades privadas que prestan servicios digitales[7].
2. Antecedentes legislativos
La búsqueda de una mayor eficiencia y agilidad en los instrumentos procesales que han de dar cumplimiento al principio de reconocimiento mutuo[8]—piedra angular en que se basa la cooperación entre Estados miembros de la Unión Europea— puede ser problemática. La fragmentación de normas procesales penales entre los diversos Estados puede provocar incumplimientos por parte de algunas autoridades judiciales. Para evitarlo, se venía pidiendo el establecimiento por parte del legislador de unas normas comunes mínimas, como se codifica en el art. 82 del Tratado de Funcionamiento de la Unión Europea (TFUE)[9].
En la Unión Europea, con el fin de intentar paliar este problema se creó la Orden Europea de Investigación (OEI), que fue aprobada a través de la Directiva 2014/41/UE relativa a la orden europea de investigación en materia penal[10]. No obstante, hay que reseñar que ya existían precedentes en el ámbito de las investigaciones tecnológicas como nos informa la propia Exposición de motivos de la Propuesta de Reglamento, al recordarnos que la misma vino a sustituir al Convenio de 2000[11].
Del mismo modo debemos mencionar otros instrumentos normativos creados por la Unión y que tiene una gran influencia y relación con la presente Directiva al tratar sobre la protección de datos, como son el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y la Directiva 2002/58/CE del Parlamento y del Consejo[12], a los que se refiere de manera concreta la propia Directiva 2023/1544 en su considerando cuarto.
La importancia de este Reglamento 2016/679 reside en que, en él ya se regulaba en el año 2016 las figura del “representante legal” de las empresas de servicios digitales asentadas en la Unión con el fin de responsabilizarse del tratamiento de datos de los clientes residentes en la Unión. En este caso la Directiva se inspira en el citado Reglamento, pero en esta ocasión con el objeto concreto de obtener pruebas electrónicas en el ámbito de un proceso penal, para lo cual habrán de dirigirse a empresas en muchos casos establecidas fuera de la Unión Europea, por lo cual será necesario que cuenten —si ofrecen servicios dentro del territorio europeo— con quién deba ser destinatario de las oportunas solicitudes de entrega o conservación de pruebas electrónicas necesarias para el esclarecimiento de una investigación criminal.
No debemos olvidar que el objetivo del legislador al crear esta Directiva de acompañamiento es completar y dar apoyo al Reglamento e-evidence, por cuanto la Directiva regula las figuras del “representante legal” y el “establecimiento designado”, que habrán de ser los destinatarios de las órdenes de entrega y conservación de pruebas electrónicas en el proceso penal.
Del mismo modo, hay que mencionar la vinculación con el artículo 34 del Tratado de la Unión Europea, en relación con la Asistencia judicial mutua entre Estados miembros en materia penal y el Convenio celebrado por el Consejo de conformidad con el mismo[13].
Por último, en el año 2018 se publicó una Propuesta de Directiva del Parlamento europeo y del Consejo por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales, con el fin de conseguir un instrumento legal que permitiese de la manera más eficiente posible la correcta colaboración entre Estados miembros en cuanto al delicado objetivo de la entrega y conservación de la prueba electrónica en el proceso penal. En dicha Propuesta ya se advertía la base jurídica para la adopción de medidas en este ámbito es el artículo 82, apartado 1, del Tratado de Funcionamiento de la Unión Europea[14].
El iter legislativo de esta propuesta ha sido largo y dificultoso, por cuanto se permitió y alentó por parte del legislador europeo la participación de distintos operadores jurídicos en el desarrollo del texto legal con sus propuestas y opiniones, como el Consejo de la Abogacía Europeo (CCBE) —véase ut infra— o la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento europeo, a través del informe sobre la Propuesta del Reglamento — conocido como Informe LIBE 2020[15]— que señalaron diversas mejoras, las cuales se han ido introduciendo desde la publicación del primer texto transaccional de 2018, hasta el texto transaccional final de 2023[16].
La mayoría de estas modificaciones aconsejadas por la CCBE o el Informe LIBE versaban sobre las garantías procesales que los textos iniciales no parecían asegurar satisfactoriamente, priorizando la rapidez en le ejecución de las órdenes de entrega y conservación en detrimento de la protección de derechos del investigado[17].
3. Reglamento 1543/2023 sobre entrega y conservación de prueba electrónica en el proceso penal
La principal novedad del Reglamento de entrega y conservación de pruebas electrónicas consiste en la posibilidad de dirigir estas solicitudes a entidades privadas —los prestadores de servicios— al contrario que los instrumentos anteriores de cooperación judicial que se reservaban a las autoridades de los Estados miembros. Esta situación ha provocado una fuerte controversia entre los operadores jurídicos, pues se considera que obligar de manera coercitiva a una entidad privada a entregar y/o conservar datos de un particular investigado constituiría una vulneración de sus derechos fundamentales y garantías procesales, más aún cuando los prestadores de servicios destinatarios de estas órdenes se encuentren en Estados terceros[18].
Del mismo modo, otro de los objetivos del Reglamento reconocido en la exposición de motivos, es el de agilizar los trámites para la obtención de pruebas electrónicas, pues se había observado en la práctica procesal que el uso de la orden europea de investigación (OEI), presentaba una serie de inconvenientes, entre ellos, su dudosa eficacia a la hora de “…recabar las pruebas electrónicas […] y la burocracia provocada por los procedimientos de cooperación judicial en los que se basa la mencionada OIE…”[19]. En las Propuestas iniciales parece que se sacrificó la rigurosidad en la observancia de las garantías procesales del investigado en aras de una mayor rapidez en el proceso penal.
Afortunadamente, y a través de modificaciones y observaciones planteadas por diversos operadores jurídicos que fueron invitados a plantear sus ideas por la Comisión[20], se han introducido mejoras relacionadas con las garantías procesales de los investigados. Entre las modificaciones introducidas en el Reglamento y que tienen mayor relación con la Directiva objeto de este estudio, destacaríamos la ampliación del artículo 2 sobre definiciones que en un anterior apartado cuarto se refería de manera genérica al término “establecimiento”, mientras que en la Propuesta finalmente aprobada por el Parlamento Europeo se convierte en un ampliado apartado quinto que recoge de manera minuciosa las figuras del “establecimiento”, que pasa a desdoblarse en un 5 bis, que define al “establecimiento delegado” y un 5 ter referido al “representante legal”[21].
Ambas figuras son de suma importancia ya que están directamente involucradas en la posibilidad de aplicar el Reglamento propuesto a terceros[22], es decir empresas o entidades que, sin presencia en el territorio de la UE, realicen parte de su actividad en la misma —algo regulado en el artículo 3 sobre el ámbito de aplicación[23]— de manera que cuenten con alguna delegación física o deban nombrar a una persona que las represente ante las autoridades de la UE, existiendo eso sí, ciertas salvedades, como que los datos solo se emitirán para procesos penales[24] y que esos datos requeridos se han de circunscribir a los datos relativos a servicios ofrecidos por el proveedor dentro de la UE.
No obstante, y debido al carácter digital de estas pruebas, quizá debamos preguntarnos hasta qué punto sigue siendo válido aplicar el principio de territorialidad en estos casos. Actualmente, cada vez más información se encuentra almacenada en la “nube” y esto añade interrogantes sobre a quién debemos dirigir las solicitudes de pruebas electrónicas[25].
3.1. Objeto, ámbito de aplicación y definiciones
En el primer artículo del Reglamento, que desarrolla el objeto del mismo, ya se advierte que las normas establecidas, tienen como finalidad que cualquier autoridad de un Estado miembro de la UE, pueda dirigirse directamente a una entidad privada “…que ofrezca servicios en la Unión y esté establecido en otro Estado miembro o, si no está establecido, que esté representado por un representante legal en otro Estado miembro, que entregue o que conserve pruebas electrónicas, con independencia de la ubicación de los datos”[26], lo que indica claramente la intención del legislador de desbordar el principio de territorialidad, aplicando lo que podríamos denominar como principio de funcionalidad. De manera que, si una empresa de servicios digitales ofrece sus contenidos, aplicaciones o demás servicios a consumidores o empresas asentadas en la Unión Europea, debe someterse a esta legislación. Tampoco debemos olvidar, la intención del legislador de resaltar que la finalidad de la obtención de estas pruebas digitales, se circunscribe a los procesos penales, logrando así superar ciertas reticencias de Estados miembros y operadores jurídicos de algunos Estados, que siempre consideraron que estos mecanismos de cooperación transfronteriza debían limitarse a los procesos de carácter civil y mercantil, dejando los de carácter penal, por lo delicado de las consecuencias que pueden acarrear estos delitos, a una aplicación propia de cada Estado.
Para evitar, suspicacias y reticencias al respecto, el propio precepto, en su último párrafo, hace una salvaguarda de los derechos que las autoridades al emitir una Orden europea de entrega o conservación han de respetar[27].
En el artículo segundo sobre “Ámbito de aplicación”, se reitera la idea antes señalada de extender la aplicación del Reglamento a cualquier “prestador de servicios”[28] que ofrezca sus servicios en la UE, dando a entender claramente, que el hecho de no estar domiciliada en la Unión no la exime de cumplir con el presente Reglamento. Ahora bien, para evitar una extralimitación en cuanto a la aplicación de este, en el tercer apartado del precepto, acota las órdenes de entrega y conservación (EPOC y EPOC-PR)[29] a datos que se hayan ofrecido dentro de la Unión, del mismo modo, el cuarto apartado, advierte que tampoco será de aplicación el texto normativo, cuando ya se haya iniciado un proceso a través de la asistencia judicial mutua.
3.2. Autoridad emisora, condiciones y destinatarios
En el artículo 4 se codifica quienes pueden emitir una orden europea de entrega o conservación de datos en el supuesto de un proceso penal. Resulta significativo, que el precepto haga una diferenciación entre datos de abonado “…para obtener datos solicitados con el único fin de identificar al usuario, …” y, los datos de tráfico cuyo fin no sea el anteriormente mencionado o “…para obtener datos de contenido…”. En el primero de los casos podrá autorizar la orden no solo un juez, juez de instrucción o fiscal sino también otra autoridad competente que el Estado emisor considere competente para realizar la investigación en procesos penales. En el segundo caso, el precepto establece exactamente el mismo supuesto, de una manera innecesariamente redundante. Suponemos que el motivo, se encuentra en propuestas anteriores, en las que el primer supuesto sobre datos que se han de utilizar para obtener la identidad del abonado no necesitaba de la actuación de una autoridad judicial, lo cual provoco críticas por parte de diversos operadores jurídicos y organismo invitados a realizar propuestas por parte de la Comisión, que consideraron que la emisión por parte de autoridades encargadas de la investigación —como podían ser los fiscales[30]— sin la supervisión de un juez o tribunal, constituía una vulneración del derecho a la tutela judicial efectiva[31].
En cuanto a las condiciones que han de cumplir las órdenes europeas de entrega, el artículo 5, hace una concreta referencia a los principios de necesidad y proporcionalidad, estableciendo como referencia de cumplimiento de estos principios que se cumplan los mismos requisitos por los que en el Estado emisor, en un asunto similar se hubiese accedido a la emisión de una orden de entrega de pruebas. A continuación, y para definir claramente cómo cumplir con la proporcionalidad, se señala un límite de punibilidad de los delitos investigados “…para las infracciones penales punibles en el Estado emisor con una pena máxima de privación de libertad de al menos tres años”[32]. Del mismo modo, indica una delimitación cualitativa, con respecto de delitos penales codificados en diferentes Directivas del Parlamento y del Consejo, así como Decisiones marco del Consejo.
También se incluye en el apartado quinto una exhaustiva enumeración de información que ha de incluir la EPOC, como son la identidad de la autoridad emisora, el destinatario de la orden, el usuario, categoría de los datos y en los casos que se invoque urgencia, la motivación de dicha invocación, finalizando por una breve descripción del caso. Es importante, que cuando se solicita información a través de la EPOC, estos se encuentren perfectamente acotados y, asegurarse de solicitar solo los necesarios, según recomendaciones de las unidades de investigación tecnológica de los Fuerzas y Cuerpos de seguridad del Estado, siguiendo el modelo que aparece en el Anexo I[33], aunque bien es cierto, que la cautela de los investigadores a la hora de proporcionar datos a prestadores de servicios se debe a una lógica intención de no exponer datos personales y sensibles de investigados a entidades privadas[34].
El apartado sexto, hace una interesante referencia a los supuestos en los que la EPOC se dirija al “prestador de servicios”, que a su vez actúe como responsable del tratamiento de datos, que nos deriva al Reglamento (UE) 2016/679[35], además de mencionar el supuesto excepcional en que una EPOC pueda dirigirse al prestador de servicios que “…almacene o trate de otro modo los datos en nombre del responsable del tratamiento, …”. Del mismo modo, en los siguientes apartados se codifican los supuestos en los que la entrega de pruebas electrónicas pudiera vulnerar “inmunidades y privilegios”[36] o normas en las que delimita la responsabilidad penal, la autoridad emisora podrá detener el proceso y pedir aclaraciones consultando a las autoridades del Estado de ejecución.
El artículo 6, regula las condiciones que ha de cumplir una orden europea de conservación de datos (EPOC-PR). Después de hacer un recordatorio de deber de cumplir con los principios de necesidad y proporcionalidad, que inspiran todo el texto normativo, se recuerda que la orden de conservación no deja de ser el paso previo a la orden de entrega, pues como señala el apartado segundo del precepto será necesaria “…con vistas a emitir una solicitud posterior de entrega de estos datos a través de la asistencia judicial mutua, una orden europea de investigación o una orden europea de producción, teniendo en cuenta los derechos de la persona sospechosa o acusada”.
El artículo 7 del Reglamento e-evidence, trata sobre los “destinatarios de las EPOC y EPOC-PR”, donde se haya la principal novedad del texto normativo que analizamos, pues en el primer apartado reseña la posibilidad de dirigir las órdenes de manera directa al prestador de servicios, el cual habrá de designar un establecimiento designado, o bien, un representante legal, si desarrolla sus actividades en territorio de la Unión Europea[37]. A nadie se le escapa, que esta posibilidad ahora codificada tiene destinatario principal, como son los Estados Unidos de América, pues la mayoría de las empresas de servicios digitales tiene allí su sede y se muestran reacias a someterse a la jurisdicción de otros Estados, incluidos los miembros de la Unión Europea[38]. Esta situación podría provocar dificultades en el futuro, en cuanto a la cooperación internacional en el ámbito penal por haber extendido su aplicación a terceros Estados[39], que se mostraran seguramente reacios a permitir la aplicación de una normativa europea a sus empresas. Consecuentemente, se está buscando por parte de las autoridades europeas un acuerdo con los Estados no miembros de la Unión Europea con los que exista mayor intercambio de información digital[40].
Como ya señalamos anteriormente, lo relevante de este supuesto, es la superación del principio de territorialidad, pasando a una más pragmática búsqueda de las pruebas digitales allá donde se encuentren, lo que motiva que las solicitudes deben enviarse en muchos casos a terceros Estados[41]. Precisamente este es el motivo —prestar sus servicios digitales en la Unión Europea— por el cual las empresas digitales se verán obligadas a designar un “representante legal” para recabar pruebas en procesos penales. En el caso de que no se hubiera designado un representante en concreto, las órdenes se podrán dirigir a cualquiera de los establecimientos del prestador de servicios que se encuentre en territorio de la Unión[42].
No podemos olvidar que este supuesto es realmente llamativo y novedoso en el proceso penal, por cuanto, se establece un nuevo tipo de relación de cooperación trasfronteriza en la obtención y entrega de pruebas, al pasar de la clásica relación entre las autoridades judiciales de los Estados miembros a una en la que la autoridad judicial de un Estado emisor podrá dirigir sus órdenes a empresas privadas. No obstante, esta situación ha provocado una importante controversia al considerar que existe una suerte de “privatización de la cooperación judicial”[43]. Ante esta situación, parece obvio suponer que las empresas obligadas a actuar de tal manera releguen a un segundo lugar la salvaguarda de los derechos de los investigados en favor de sus intereses empresariales, como indica acertadamente el Profesor Tosza[44], al preguntarse hasta qué punto es recomendable la participación de entidades privadas en el proceso penal, como parece que está sucediendo actualmente [45].
Resulta interesante hacer referencia a los plazos fijados para la entrega de los datos contenido en la EPOC, pues uno de los objetivos primordiales de este Reglamento es el de agilizar las investigaciones entre Estados miembros. Por ello, resulta llamativa la confusa manera de codificar los plazos de entrega y conservación que han de respetarse tanto a la hora de solicitar una EPOC, como una EPOC-PR, por parte del legislador. En el art. 10 se establece un plazo de diez días de manera genérica para que la autoridad de ejecución conteste a la solicitud de la autoridad emisora, previendo casos de urgencia, en los que se establece un plazo de contestación de solo ocho horas, a no ser que se den alguno de los motivos de denegación, en cuyo caso, tendrá noventa y seis horas para notificarlo a la autoridad emisora.
No obstante, el art. 11. 2 establece la posibilidad de “Cuando, durante el período de conservación establecido en el apartado 1, la autoridad emisora confirme que se ha emitido una solicitud posterior de entrega, el destinatario conservará los datos durante el tiempo necesario para entregarlos una vez que la solicitud posterior de entrega haya sido recibida”, lo cual en mi opinión es una decisión censurable, pues esta absoluta indefinición temporal provocará con total seguridad problemas de inseguridad jurídica, como acertadamente advierte Cuadrado Salinero “… en este sentido poco ha cambiado el texto de la propuesta con el del reglamento vigente. ya se criticaba, y con razón, que los datos pueden llegar a estar conservados “el tiempo que sea necesario” (artículo 11.2), lo que en la práctica puede generar problemas en relación con los derechos de los usuarios, de forma que debería haberse establecido un periodo de tiempo limitado para la eliminación de los datos en caso de no solicitase su entrega a la autoridad competente”[46]
En cuanto a los plazos que afectan a las EPOC-PR, se establecen sesenta días en los cuales los proveedores de servicios han de guardar los datos solicitados, prorrogables otros treinta días cuando “… sea necesario para permitir la emisión de una solicitud posterior de entrega”[47].
4. Directiva (UE) 1544/2023[48]
La obligación de designar un “establecimiento designado” que establece el reglamento hace que el legislador determinase acompañar el texto normativo de una Directiva sobre “representantes legales para recabar pruebas electrónicas en el proceso penal”. Por ello, en este caso, resulta especialmente determinante el contenido de la Directiva (UE) 2023/1544 del Parlamento Europeo y del Consejo de 12 de julio de 2023, por la que se establecen normas armonizadas para la designación de establecimientos designados y de representantes legales a efectos de recabar pruebas electrónicas en procesos penales.
4.1. Objeto y ámbito de aplicación
En él se determina qué requisitos habrán de observar las empresas de servicios digitales a la hora de cumplir el Reglamento de entrega y conservación de prueba electrónica en el proceso penal. Para que el Reglamento sea eficiente, debe tener un destinatario concreto al que poder enviar las citadas órdenes. De ahí, que se establezca la obligación de las entidades privadas que realicen actividades digitales propias de su campo en la Unión Europea, de nombrar un representante legal para realizar la misión de recepción de las órdenes. Es interesante resaltar que, en el último texto aprobado por el Parlamento en el 13 de junio, se añadió otro supuesto, como es el de designar “…un establecimiento designado” (sic)[49].
A continuación, se reseñan los límites materiales dentro de los cuales será de aplicación la Directiva y se advierte que la Directiva no entrará en colisión con las competencias de las que ya dispongan los Estados miembros para dirigirse a las entidades privadas en el ámbito del proceso penal. Esta salvaguarda no se encontraba codificada en propuestas anteriores y podría ocasionar conflicto en la práctica penal, por cuanto podía darse una colisión entre diversas normas.
Los últimos dos apartados del precepto establecen una serie de limitaciones materiales y territoriales. Advirtiendo que no se podrán exigir requisitos fuera de los estipulados por la presente Directiva, por parte de los Estados miembros de manera unilateral, del mismo modo, que la regulación sobre la materia no se aplicará a servidores establecidos y que operen únicamente en un Estado miembro[50], remitiéndonos a la definición de “prestadores de servicio”, que recoge el art.2.1, como veremos ut infra.
4.2. Definiciones
En el segundo precepto se codifica de manera extensa y prolija las definiciones de los distintos términos con un alto contenido técnico —de ahí la necesidad de ser escrupuloso— que se refieren al objeto principal de la Directiva, como ya hemos visto.
Se hace hincapié en qué ha de entenderse como “prestador de servicios”, para lo que realiza una enumeración tasada de los supuestos que deben considerarse como tales, con referencia a diversas Directivas[51]. Curiosamente, el apartado primero, empieza advirtiendo de una excepción a la regla general, al señalar que no será de aplicación “… servicios financieros a que se refiere el artículo 2, apartado 2, letra b), de la Directiva 2006/123/CE del Parlamento Europeo y del Consejo”[52]. Algo que podría explicarse por la materia de dicha Directiva, que se circunscribe a los servicios financieros, mientras que la presente Directiva, así como el Reglamento que complementa son de aplicación exclusiva y excluyente al ámbito penal[53].
Los siguientes apartados han sido añadidos en el texto final con la intención de evitar situaciones que buscaban rehuir el cumplimiento de las obligaciones que emanan del Reglamento definiendo claramente cuanto se ha de aplicar la norma, al buscar “una conexión sustancial con un Estado miembro de la UE”[54]. Se ha considerado que, si un prestador de servicios no dispone de un establecimiento físico, bastará con que tenga un “… número significativo de usuarios en uno o más Estados miembros, o se orienten actividades hacia uno o más Estados miembros…”, para estar sujeto a la legislación emanada del Reglamento y Directiva objeto de este estudio[55]. Se hace especial énfasis en que la figura del “establecimiento”, ejerza efectivamente dicha actividad económica. Esta insistencia tendría por objeto evitar el uso de figuras fraudulentas para bordear el cumplimiento de la ley. Supuestos en los que se nombra un espacio físico como sede de una entidad privada que realmente no realiza actividad alguna. Por último, se hace una mención curiosa a la territorialidad —pues la idea que emana de todo el texto normativo es la de superar el principio de territorialidad— para recordar que el “establecimiento” debe encontrarse en un Estado miembro de la Unión y, que haya aceptado el presento texto normativo[56].
Finalmente, se regula la figura del “representante legal”, de gran importancia, ya que representará a aquellos prestadores de servicios que no tengan presencia física en ningún Estado miembro[57].
4.3. Establecimientos designados y representantes legales
En el tercer precepto se encuentra el núcleo principal de la Directiva, por ser donde se codifica el aspecto fundamental y novedoso del Reglamento (UE) 2023/1543 que origina la necesidad de esta Directiva de acompañamiento. Se constituye en el más amplio y profuso de la Directiva, lo cual da buena idea de la importancia que concede a los “establecimientos designados” y los “representantes legales”. Algo que subyace en el texto legal desde los considerandos iniciales. Asimismo, ha sufrido importantes modificaciones fruto de las propuestas de distintos operadores jurídicos invitados por la Comisión[58].
En un primer apartado, se consigna la obligación de los Estados miembros de “velar” porque los prestadores de servicio nombren un destinatario al cual poder dirigir las solicitudes de entrega de datos. Ahora bien, el término “velar”, indica más una opción facultativa o deseo bienintencionado, que una obligación legal o imperativa emanada de un Reglamento de la Unión. Eso sí, limita claramente el ámbito material de este consejo al señalar que su objeto es “…a efectos de recabar pruebas para procesos penales…”. Continúa enumerando tres supuestos concretos que derivan del precepto anterior. En el caso de que los prestadores de servicio tengan personalidad jurídica propia y se encuentren en la Unión, deberán designar un “establecimiento designado” (sic)[59].
En cuanto a la posibilidad de un prestador con personalidad jurídica, que ofrezca sus servicios dentro de la UE, pero sin presencia en la Unión, deberá nombrar un “representante legal” que se hará responsable de las actividades de la entidad de servicios digitales.
Por último, se preceptúa el supuesto por el cual el prestador de servicios se encuentre asentado en un Estado miembro de la Unión, al que no vincule este Reglamento y Directiva. En este caso, los Estados miembros se asegurarán de que se nombre igualmente un “representante legal” que se responsabilice de las actividades empresariales del prestador en los Estados sí vinculados por el texto normativo. Resulta llamativo que, en este supuesto, la Directiva se abstenga de obligar al Estado miembro anfitrión, aunque no sea firmante de la Directiva o el Reglamento que complementa. Aunque por otra parte no se hace más que adoptar la recomendación del Informe de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, en cuya exposición de motivos se advierte de los problemas legales que plantearía obligar a los Estados no firmantes de este instrumento nombrar “representantes legales”[60].
El siguiente apartado regula deberes dirigido a los Estado miembros, como el de asegurar que los “destinatarios” de los que habla el apartado primero, se encuentren de manera real establecidos en alguno de los Estados miembro de la Unión, donde a su vez ofrezcan sus servicios digitales, además de garantizar que se les pueda impeler de manera efectiva —puedan ser objeto de procedimientos de ejecución— a la hora de cumplir con sus obligaciones legales.
En el siguiente apartado se tiene en cuenta la posibilidad de que las entidades privadas intenten soslayar el cumplimiento efectivo de la normativa europea, constituyendo establecimientos vacíos de contenido y representantes sin poderes suficientes. Para ello se recuerda a los Estados miembros su deber de comprobar que los mencionados “representantes legales” y los “establecimientos” cuenten con los recursos y competencias suficientes que garanticen el cumplimiento del Reglamento y la Directiva.
Continúa el articulado exponiendo supuestos de posibles incumplimientos de la norma, demostrando cierta desconfianza en la intención de los Estados en hacer cumplir esta Directiva, compeliendo a los Estados miembros a establecer los instrumentos necesarios para obligar a los servidores a responsabilizarse de manera solidaria junto a sus establecimientos designados y sus representantes legales en los Estados en los que se encuentren asentados, para que de esta manera no puedan abstraerse del cumplimiento de sus obligaciones —principalmente pecuniarias— en el caso de ser sancionados y, del mismo modo que no acudan a las legislaciones internas que les pudieran beneficiar —forum shopping— para justificar dicho incumplimiento. Hemos de señalar que en el texto finalmente aprobado por el Parlamento se ha introducido una modificación que consiste en el establecimiento de una excepción en cuanto a la responsabilidad solidaria aplicable de manera general[61].
Para finalizar se hace referencia a los plazos de aplicación de la Directiva, de manera que se otorga un plazo de treinta meses —desde la aprobación de la Directiva— a los prestadores de servicios que se establezcan en la Unión para nombrar los “establecimientos designados” en un plazo a su vez de treinta y seis meses desde la aprobación del texto.
4.4. Notificaciones, sanciones y autoridades centrales
En los siguientes artículos se regula el muy delicado aspecto de los medios de imponer a las entidades privadas el cumplimiento de esta normativa. En primer lugar, cómo se notificará a los “proveedores de servicios” su obligación de colaborar con las autoridades. Para ello, los Estados han de garantizar que las empresas tengan una Autoridad Central que actuará como interlocutora de los Estados miembros con las entidades privadas. En el texto finalmente aprobado se ha añadido una referencia a la posibilidad de dirigirse en las lenguas que sean oficiales en el Estado miembro donde se encuentre el establecimiento o resida el representante[62], para lo que se delega en el derecho interno nacional su determinación concreta, algo en mi opinión erróneo, por cuanto rompe con la intención de unificar criterios en la actuación en los diverso Estados miembros. Asimismo, se establece en el artículo 5 el sistema sancionador, que ya ha sido objeto de atención en este trabajo, pues se considera muy polémico, al provocar la actuación obligada de entidades privadas. Para empeorar la situación, el precepto vuelve a encomendar el establecimiento de dicho régimen sancionador a los diferentes Estados miembros, lo cual provocará una evidente desigualdad, que a su vez ahondará en la fragmentación normativa entre Estados en el proceso penal y conducirá una indeseable inseguridad jurídica[63]. Con esta decisión se está conduciendo a un forum shopping de los prestadores de servicios que, con toda seguridad elegirán establecerse en los Estados con un régimen sancionador más laxo, con respectos de otros Estados con regímenes sancionadores más severos[64].
5. Conclusiones
Aunque el enfoque de este trabajo es crítico con resultado del Reglamento e-evidence y su Directiva de acompañamiento, debemos congratularnos de la buena intención del legislador a la hora de intentar regular un aspecto de gran relevancia en la actualidad, como es el de la utilización de pruebas de carácter tecnológico en el proceso penal, además de hacerlo desde una perspectiva de cooperación internacional, debido a las propias características de las pruebas electrónicas.
No obstante, debemos resaltar aspectos claramente mejorables en los textos normativos analizados. En primer lugar, la excesiva focalización del Reglamento en conseguir una “agilización” del proceso penal a la hora de entregar y conservar pruebas digitales, puede resultar perjudicial para la debida protección de los derechos y garantías procesales del investigado.
En segundo lugar y, ya centrándonos en los aspectos más novedosos de las normas analizadas, debemos referirnos a la muy controvertida posibilidad de ampliar el ámbito de aplicación del presente Reglamento a terceros Estados no pertenecientes a la Unión Europea, con la única condición de que los proveedores de servicios digitales domiciliados en esos terceros Estados presten sus servicios en la Unión. Consideramos, que, aunque esta posibilidad responde a una necesidad de colaboración cada vez más habitual, no deja de presentar inconvenientes reales y prácticos, pues esos terceros Estados, podrían considerar esta extensión de la legislación europea sobre sus nacionales, como una vulneración del principio de soberanía nacional, al conculcar la prevalencia de su jurisdicción.
Por último, e incardinado en el punto anterior, se encuentra el problemático asunto que aborda la Directiva de acompañamiento sobre los establecimientos designados y sus representantes legales, pues con la finalidad de conseguir una agilización del proceso penal, se permite dirigir las órdenes de entrega y conservación a entidades privadas. Este hecho, realmente novedoso, presenta en nuestra opinión grandes dudas. La posibilidad de imponer a proveedores de servicios —empresa privadas, en la mayoría de casos— la obligación de recibir órdenes de entrega y conservación de pruebas electrónicas en una situación tan delicada como es un proceso penal, podría en nuestra opinión poner en serio riesgo la tutela judicial efectiva que ha de recibir el investigado, pues los derechos y garantías procesales de este quedarían supeditados ante los intereses empresariales, basados en fines privados o en el mero temor a represalias por parte de las autoridades, que advierten claramente de la posibilidad de sanciones pecuniarias en la normativa analizada. Por lo cual, estas entidades privadas evitaran realizar un minucioso examen de las notificaciones recibidas —para garantizar los derechos de los investigados— limitándose a tramitar las órdenes lo antes posible y rehuir cualquier controversia en dicha tramitación.
Todo ello, redunda en el debilitamiento de la idea de cooperación judicial internacional, pues ésta es en esencia, una comunicación entre autoridades judiciales que garantizan, como ocurre actualmente, un mayor respeto de los sensibles datos que se obtienen en el caso de las pruebas electrónicas, como son los datos personales y profesionales, que afectan directamente en los derechos fundamentales de las personas a las que se investiga, más aún en un proceso de carácter penal. Sin olvidar, la deficiente codificación en cuanto a los plazos de entrega y conservación, en especial, por la indefinición a la hora de establecer el tiempo que deberá conservar los datos objeto de solicitud el destinatario de esta.
Por tanto, tenemos serias dudas de la aplicabilidad real de este, ya que al intentar el legislador en el texto finalmente aprobado, reforzar las garantías procesales de los investigados, desaparece el supuesto beneficio buscado de una mayor agilidad, perdurando la posibilidad de vulneración de derechos de los mismos, de manera, que finalmente, puede ser más conveniente el uso de los mecanismos de cooperación judicial ya existentes, ante la posibilidad de sentencias del Tribunal de Justicia de la Unión Europea y tribunales nacionales de los Estados miembros que consideren la aplicación de este Reglamento y su Directiva como contrarias a derecho.
Bibliografía
Arangüena Fanego, Coral / De Hoyos Sancho, Montserrat / Rodríguez-Medel Nieto, C. (Dir. y Coor.), Reconocimiento Mutuo de Resoluciones Penales en la Unión Europea, Thomson Reuters Aranzadi, Navarra, 2015
Bueno de Mata, Federico, “Análisis de las medidas de cooperación judicial internacional para la obtención transfronteriza de pruebas en materia de cibercrimen, La transformación digital de la cooperación jurídica penal internacional, Thomson Reuters Aranzadi, Navarra, 2021, pp, 19-46
Cuadrado Salinas, Carmen, “La Directiva Europea y las Órdenes de Producción y Conservación de pruebas electrónicas en los procesos penales. ¿Nuevas perspectivas?”, IUS ET SCIENCIA, Vol. 9, n.º 2, 2023, pp. 117-135
De Hoyos Sancho, Montserrat, “Novedades en materia de obtención transfronteriza de información electrónica necesaria para la investigación y enjuiciamiento penal en el ámbito europeo”, Revista de Estudios Europeos, Vol. N.º Extraordinario monográfico 1, 2022, pp. 99-128
De Hoyos Sancho, Montserrat, “Reflexiones acerca de la Propuesta de Reglamento UE sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal”, Revista General de Derecho Procesal, Vol. N.º 58, 2022, pp. 1-37
De Hoyos Sancho, Montserrat, La nueva regulación en la Unión Europea sobre obtención transfronteriza de información electrónica en procesos penales, Thomson Reuters Aranzadi, Navarra, 2024
Fuentes Soriano, Olga, “Europa ante el reto de la prueba digital. El establecimiento de instrumentos probatorios comunes: las órdenes europeas de entrega y conservación de pruebas electrónicas”, Era digital, sociedad y derecho, Tirant lo Blanch, Valencia, 2020, pp. 288-294
Gascón Marcen, Ana, “Las órdenes europeas de entrega y conservación de pruebas electrónicas: evaluación de la propuesta de la comisión europea”, El mercado único en la Unión Europea. Balance y perspectivas jurídico-políticas, Dykinson, Madrid, 2019, pp. 1121-1134
Gómez Amigo, Luis, “Las órdenes europeas de entrega y conservación de pruebas penales electrónicas: Una regulación que se aproxima”, Revista Española de Derecho Europeo, Vol. 71, 2019, pp. 23–56
González Pulido, Irene, “Perspectivas de futuro respecto a la obtención de pruebas electrónicas transfronterizas y a la cooperación con proveedores de servicios: investigación y prueba de los ciberdelitos graves en la Unión Europea”, Diario La Ley, n.º 10266, Sección Tribuna, 2023
Laro González, Elena, “El Reglamento E-evidence: instrumento adicional a la Orden europea de investigación”, La Ley Probática, n.º 3, 2021
Laro González, Elena, “Prueba penal transfronteriza: de la orden europea de investigación a las órdenes europeas de entrega y conservación de pruebas electrónicas”, Revista de Estudios Europeos, vol. n.º 79, 2022, pp. 285-303
Mitsilegas, Valsamis, “The privatisation of mutual trust in Europe’s area of criminal Justice: The case of e-evidence”, Maastricht Journal of European and Comparative Law, 2018, p. 263
Muriel Diéguez, Juan A., “La Directiva sobre representantes legales para recabar pruebas electrónicas en el proceso penal”, Paideia: Perspéctivas jurídico-procesales en un mundo digital cambiante, Colex, La Coruña, 2024, pp. 99-116
Muriel Diéguez, Juan A., “Las órdenes de entrega y conservación de pruebas electrónicas en el proceso penal europeo”, Revista de Estudios Europeos, Vol. 83, 2024, pp. 172-201
Tosza, Stanislaw, “All evidence is equal, but electronic evidence is more equal than any other: The relationship between the European Investigation Order and the European Production Order” New Journal of European Criminal Law, 11(2), 2020, pp. 161–183
Tosza, Stanislaw, ”Internet service providers as law enforcers and adjudicators. A public role of private actors”, Computer law & security review, 43, 2022 [Consultado el 12 de febrero de 2024] [Disponible en www.elsevier.com/locate/CLSR]
Después de un largo proceso legislativo que ha durado más de cinco años, el Parlamento Europeo aprobó el pasado trece de junio el Reglamento (UE) 2023/1543 del Parlamento europeo y del Consejo de 12 de julio de 2023 “sobre las órdenes europeas de producción y las órdenes europeas de conservación a efectos de prueba electrónica en procesos penales y de ejecución de penas privativas de libertad a raíz de procesos penales”[1].
Junto a este esperado texto legislativo, el mismo día trece se aprobó en primera lectura una Directiva del Parlamento Europeo y del Consejo por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales[2], complemento necesario para la aplicación del Reglamento mencionado, precisamente por el hecho de que una de sus principales novedades consiste en la ampliación del ámbito de aplicación del mismo más allá de las fronteras de la Unión, concerniendo a terceros Estados y a entidades privadas con sede fuera de la Unión Europea.
Los mencionados textos normativos vienen a dar respuesta a los problemas derivados de la sociedad actual, cada vez más tecnificada y, donde el uso de la tecnología se ha generalizado. Por este motivo, se han incrementado el número de delitos de carácter tecnológico, resultando cada vez más necesario legislar el ámbito digital en el que se producen estos hechos ilícitos e intentar regularlo de manera que los investigadores cuenten con mecanismos ágiles y eficientes[3]. A esto hay que añadir, que el uso de estos sistemas posibilita que los delincuentes puedan realizar sus actividades ilícitas o parte de ellas, desde lugares lejanos, lo que introduce un elemento de extranjería que dificulta la persecución de estos[4]. Por ello, es necesaria la colaboración entre Estados a la hora de compartir estas pruebas digitales o electrónicas (e-evidences), algo que hasta ahora ralentizaba y dificultaba enormemente el desarrollo de las investigaciones de tipo penal, tanto las que se desarrollaban mediante el uso de las nuevas tecnologías, como aquellas que utilizan el ámbito digital —internet— como lugar de comisión del delito. El deseo de los investigadores y autoridades judiciales siempre tuvo su foco en la agilización de los trámites de colaboración entre Estados en los procesos penales, pero esta rapidez, suele conducir a una laxitud en el respeto de derechos y garantías de los investigados[5].
El Reglamento e-evidence viene a dar respuesta o, por lo menos a ayudar en la investigación y persecución de estas actividades ilegales al regular algo fundamental como es la aportación en el proceso penal de las pruebas digitales, cada vez más habituales, logrando así y de manera añadida, una unificación en la normativa procesal penal, superando en parte la muy criticada fragmentación jurídica que suponen las diversas y divergentes legislaciones en materia procesal penal y en concreto de carácter tecnológico vigentes en cada Estado miembro de la Unión[6].
En cuanto, a la Directiva de acompañamiento —Directiva (UE) 2023/1544—, su finalidad es complementar el Reglamento e-evidence, estableciendo una serie de obligaciones dirigidas a las entidades privadas que prestan servicios digitales[7].
2. Antecedentes legislativos
La búsqueda de una mayor eficiencia y agilidad en los instrumentos procesales que han de dar cumplimiento al principio de reconocimiento mutuo[8]—piedra angular en que se basa la cooperación entre Estados miembros de la Unión Europea— puede ser problemática. La fragmentación de normas procesales penales entre los diversos Estados puede provocar incumplimientos por parte de algunas autoridades judiciales. Para evitarlo, se venía pidiendo el establecimiento por parte del legislador de unas normas comunes mínimas, como se codifica en el art. 82 del Tratado de Funcionamiento de la Unión Europea (TFUE)[9].
En la Unión Europea, con el fin de intentar paliar este problema se creó la Orden Europea de Investigación (OEI), que fue aprobada a través de la Directiva 2014/41/UE relativa a la orden europea de investigación en materia penal[10]. No obstante, hay que reseñar que ya existían precedentes en el ámbito de las investigaciones tecnológicas como nos informa la propia Exposición de motivos de la Propuesta de Reglamento, al recordarnos que la misma vino a sustituir al Convenio de 2000[11].
Del mismo modo debemos mencionar otros instrumentos normativos creados por la Unión y que tiene una gran influencia y relación con la presente Directiva al tratar sobre la protección de datos, como son el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y la Directiva 2002/58/CE del Parlamento y del Consejo[12], a los que se refiere de manera concreta la propia Directiva 2023/1544 en su considerando cuarto.
La importancia de este Reglamento 2016/679 reside en que, en él ya se regulaba en el año 2016 las figura del “representante legal” de las empresas de servicios digitales asentadas en la Unión con el fin de responsabilizarse del tratamiento de datos de los clientes residentes en la Unión. En este caso la Directiva se inspira en el citado Reglamento, pero en esta ocasión con el objeto concreto de obtener pruebas electrónicas en el ámbito de un proceso penal, para lo cual habrán de dirigirse a empresas en muchos casos establecidas fuera de la Unión Europea, por lo cual será necesario que cuenten —si ofrecen servicios dentro del territorio europeo— con quién deba ser destinatario de las oportunas solicitudes de entrega o conservación de pruebas electrónicas necesarias para el esclarecimiento de una investigación criminal.
No debemos olvidar que el objetivo del legislador al crear esta Directiva de acompañamiento es completar y dar apoyo al Reglamento e-evidence, por cuanto la Directiva regula las figuras del “representante legal” y el “establecimiento designado”, que habrán de ser los destinatarios de las órdenes de entrega y conservación de pruebas electrónicas en el proceso penal.
Del mismo modo, hay que mencionar la vinculación con el artículo 34 del Tratado de la Unión Europea, en relación con la Asistencia judicial mutua entre Estados miembros en materia penal y el Convenio celebrado por el Consejo de conformidad con el mismo[13].
Por último, en el año 2018 se publicó una Propuesta de Directiva del Parlamento europeo y del Consejo por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales, con el fin de conseguir un instrumento legal que permitiese de la manera más eficiente posible la correcta colaboración entre Estados miembros en cuanto al delicado objetivo de la entrega y conservación de la prueba electrónica en el proceso penal. En dicha Propuesta ya se advertía la base jurídica para la adopción de medidas en este ámbito es el artículo 82, apartado 1, del Tratado de Funcionamiento de la Unión Europea[14].
El iter legislativo de esta propuesta ha sido largo y dificultoso, por cuanto se permitió y alentó por parte del legislador europeo la participación de distintos operadores jurídicos en el desarrollo del texto legal con sus propuestas y opiniones, como el Consejo de la Abogacía Europeo (CCBE) —véase ut infra— o la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento europeo, a través del informe sobre la Propuesta del Reglamento — conocido como Informe LIBE 2020[15]— que señalaron diversas mejoras, las cuales se han ido introduciendo desde la publicación del primer texto transaccional de 2018, hasta el texto transaccional final de 2023[16].
La mayoría de estas modificaciones aconsejadas por la CCBE o el Informe LIBE versaban sobre las garantías procesales que los textos iniciales no parecían asegurar satisfactoriamente, priorizando la rapidez en le ejecución de las órdenes de entrega y conservación en detrimento de la protección de derechos del investigado[17].
3. Reglamento 1543/2023 sobre entrega y conservación de prueba electrónica en el proceso penal
La principal novedad del Reglamento de entrega y conservación de pruebas electrónicas consiste en la posibilidad de dirigir estas solicitudes a entidades privadas —los prestadores de servicios— al contrario que los instrumentos anteriores de cooperación judicial que se reservaban a las autoridades de los Estados miembros. Esta situación ha provocado una fuerte controversia entre los operadores jurídicos, pues se considera que obligar de manera coercitiva a una entidad privada a entregar y/o conservar datos de un particular investigado constituiría una vulneración de sus derechos fundamentales y garantías procesales, más aún cuando los prestadores de servicios destinatarios de estas órdenes se encuentren en Estados terceros[18].
Del mismo modo, otro de los objetivos del Reglamento reconocido en la exposición de motivos, es el de agilizar los trámites para la obtención de pruebas electrónicas, pues se había observado en la práctica procesal que el uso de la orden europea de investigación (OEI), presentaba una serie de inconvenientes, entre ellos, su dudosa eficacia a la hora de “…recabar las pruebas electrónicas […] y la burocracia provocada por los procedimientos de cooperación judicial en los que se basa la mencionada OIE…”[19]. En las Propuestas iniciales parece que se sacrificó la rigurosidad en la observancia de las garantías procesales del investigado en aras de una mayor rapidez en el proceso penal.
Afortunadamente, y a través de modificaciones y observaciones planteadas por diversos operadores jurídicos que fueron invitados a plantear sus ideas por la Comisión[20], se han introducido mejoras relacionadas con las garantías procesales de los investigados. Entre las modificaciones introducidas en el Reglamento y que tienen mayor relación con la Directiva objeto de este estudio, destacaríamos la ampliación del artículo 2 sobre definiciones que en un anterior apartado cuarto se refería de manera genérica al término “establecimiento”, mientras que en la Propuesta finalmente aprobada por el Parlamento Europeo se convierte en un ampliado apartado quinto que recoge de manera minuciosa las figuras del “establecimiento”, que pasa a desdoblarse en un 5 bis, que define al “establecimiento delegado” y un 5 ter referido al “representante legal”[21].
Ambas figuras son de suma importancia ya que están directamente involucradas en la posibilidad de aplicar el Reglamento propuesto a terceros[22], es decir empresas o entidades que, sin presencia en el territorio de la UE, realicen parte de su actividad en la misma —algo regulado en el artículo 3 sobre el ámbito de aplicación[23]— de manera que cuenten con alguna delegación física o deban nombrar a una persona que las represente ante las autoridades de la UE, existiendo eso sí, ciertas salvedades, como que los datos solo se emitirán para procesos penales[24] y que esos datos requeridos se han de circunscribir a los datos relativos a servicios ofrecidos por el proveedor dentro de la UE.
No obstante, y debido al carácter digital de estas pruebas, quizá debamos preguntarnos hasta qué punto sigue siendo válido aplicar el principio de territorialidad en estos casos. Actualmente, cada vez más información se encuentra almacenada en la “nube” y esto añade interrogantes sobre a quién debemos dirigir las solicitudes de pruebas electrónicas[25].
3.1. Objeto, ámbito de aplicación y definiciones
En el primer artículo del Reglamento, que desarrolla el objeto del mismo, ya se advierte que las normas establecidas, tienen como finalidad que cualquier autoridad de un Estado miembro de la UE, pueda dirigirse directamente a una entidad privada “…que ofrezca servicios en la Unión y esté establecido en otro Estado miembro o, si no está establecido, que esté representado por un representante legal en otro Estado miembro, que entregue o que conserve pruebas electrónicas, con independencia de la ubicación de los datos”[26], lo que indica claramente la intención del legislador de desbordar el principio de territorialidad, aplicando lo que podríamos denominar como principio de funcionalidad. De manera que, si una empresa de servicios digitales ofrece sus contenidos, aplicaciones o demás servicios a consumidores o empresas asentadas en la Unión Europea, debe someterse a esta legislación. Tampoco debemos olvidar, la intención del legislador de resaltar que la finalidad de la obtención de estas pruebas digitales, se circunscribe a los procesos penales, logrando así superar ciertas reticencias de Estados miembros y operadores jurídicos de algunos Estados, que siempre consideraron que estos mecanismos de cooperación transfronteriza debían limitarse a los procesos de carácter civil y mercantil, dejando los de carácter penal, por lo delicado de las consecuencias que pueden acarrear estos delitos, a una aplicación propia de cada Estado.
Para evitar, suspicacias y reticencias al respecto, el propio precepto, en su último párrafo, hace una salvaguarda de los derechos que las autoridades al emitir una Orden europea de entrega o conservación han de respetar[27].
En el artículo segundo sobre “Ámbito de aplicación”, se reitera la idea antes señalada de extender la aplicación del Reglamento a cualquier “prestador de servicios”[28] que ofrezca sus servicios en la UE, dando a entender claramente, que el hecho de no estar domiciliada en la Unión no la exime de cumplir con el presente Reglamento. Ahora bien, para evitar una extralimitación en cuanto a la aplicación de este, en el tercer apartado del precepto, acota las órdenes de entrega y conservación (EPOC y EPOC-PR)[29] a datos que se hayan ofrecido dentro de la Unión, del mismo modo, el cuarto apartado, advierte que tampoco será de aplicación el texto normativo, cuando ya se haya iniciado un proceso a través de la asistencia judicial mutua.
3.2. Autoridad emisora, condiciones y destinatarios
En el artículo 4 se codifica quienes pueden emitir una orden europea de entrega o conservación de datos en el supuesto de un proceso penal. Resulta significativo, que el precepto haga una diferenciación entre datos de abonado “…para obtener datos solicitados con el único fin de identificar al usuario, …” y, los datos de tráfico cuyo fin no sea el anteriormente mencionado o “…para obtener datos de contenido…”. En el primero de los casos podrá autorizar la orden no solo un juez, juez de instrucción o fiscal sino también otra autoridad competente que el Estado emisor considere competente para realizar la investigación en procesos penales. En el segundo caso, el precepto establece exactamente el mismo supuesto, de una manera innecesariamente redundante. Suponemos que el motivo, se encuentra en propuestas anteriores, en las que el primer supuesto sobre datos que se han de utilizar para obtener la identidad del abonado no necesitaba de la actuación de una autoridad judicial, lo cual provoco críticas por parte de diversos operadores jurídicos y organismo invitados a realizar propuestas por parte de la Comisión, que consideraron que la emisión por parte de autoridades encargadas de la investigación —como podían ser los fiscales[30]— sin la supervisión de un juez o tribunal, constituía una vulneración del derecho a la tutela judicial efectiva[31].
En cuanto a las condiciones que han de cumplir las órdenes europeas de entrega, el artículo 5, hace una concreta referencia a los principios de necesidad y proporcionalidad, estableciendo como referencia de cumplimiento de estos principios que se cumplan los mismos requisitos por los que en el Estado emisor, en un asunto similar se hubiese accedido a la emisión de una orden de entrega de pruebas. A continuación, y para definir claramente cómo cumplir con la proporcionalidad, se señala un límite de punibilidad de los delitos investigados “…para las infracciones penales punibles en el Estado emisor con una pena máxima de privación de libertad de al menos tres años”[32]. Del mismo modo, indica una delimitación cualitativa, con respecto de delitos penales codificados en diferentes Directivas del Parlamento y del Consejo, así como Decisiones marco del Consejo.
También se incluye en el apartado quinto una exhaustiva enumeración de información que ha de incluir la EPOC, como son la identidad de la autoridad emisora, el destinatario de la orden, el usuario, categoría de los datos y en los casos que se invoque urgencia, la motivación de dicha invocación, finalizando por una breve descripción del caso. Es importante, que cuando se solicita información a través de la EPOC, estos se encuentren perfectamente acotados y, asegurarse de solicitar solo los necesarios, según recomendaciones de las unidades de investigación tecnológica de los Fuerzas y Cuerpos de seguridad del Estado, siguiendo el modelo que aparece en el Anexo I[33], aunque bien es cierto, que la cautela de los investigadores a la hora de proporcionar datos a prestadores de servicios se debe a una lógica intención de no exponer datos personales y sensibles de investigados a entidades privadas[34].
El apartado sexto, hace una interesante referencia a los supuestos en los que la EPOC se dirija al “prestador de servicios”, que a su vez actúe como responsable del tratamiento de datos, que nos deriva al Reglamento (UE) 2016/679[35], además de mencionar el supuesto excepcional en que una EPOC pueda dirigirse al prestador de servicios que “…almacene o trate de otro modo los datos en nombre del responsable del tratamiento, …”. Del mismo modo, en los siguientes apartados se codifican los supuestos en los que la entrega de pruebas electrónicas pudiera vulnerar “inmunidades y privilegios”[36] o normas en las que delimita la responsabilidad penal, la autoridad emisora podrá detener el proceso y pedir aclaraciones consultando a las autoridades del Estado de ejecución.
El artículo 6, regula las condiciones que ha de cumplir una orden europea de conservación de datos (EPOC-PR). Después de hacer un recordatorio de deber de cumplir con los principios de necesidad y proporcionalidad, que inspiran todo el texto normativo, se recuerda que la orden de conservación no deja de ser el paso previo a la orden de entrega, pues como señala el apartado segundo del precepto será necesaria “…con vistas a emitir una solicitud posterior de entrega de estos datos a través de la asistencia judicial mutua, una orden europea de investigación o una orden europea de producción, teniendo en cuenta los derechos de la persona sospechosa o acusada”.
El artículo 7 del Reglamento e-evidence, trata sobre los “destinatarios de las EPOC y EPOC-PR”, donde se haya la principal novedad del texto normativo que analizamos, pues en el primer apartado reseña la posibilidad de dirigir las órdenes de manera directa al prestador de servicios, el cual habrá de designar un establecimiento designado, o bien, un representante legal, si desarrolla sus actividades en territorio de la Unión Europea[37]. A nadie se le escapa, que esta posibilidad ahora codificada tiene destinatario principal, como son los Estados Unidos de América, pues la mayoría de las empresas de servicios digitales tiene allí su sede y se muestran reacias a someterse a la jurisdicción de otros Estados, incluidos los miembros de la Unión Europea[38]. Esta situación podría provocar dificultades en el futuro, en cuanto a la cooperación internacional en el ámbito penal por haber extendido su aplicación a terceros Estados[39], que se mostraran seguramente reacios a permitir la aplicación de una normativa europea a sus empresas. Consecuentemente, se está buscando por parte de las autoridades europeas un acuerdo con los Estados no miembros de la Unión Europea con los que exista mayor intercambio de información digital[40].
Como ya señalamos anteriormente, lo relevante de este supuesto, es la superación del principio de territorialidad, pasando a una más pragmática búsqueda de las pruebas digitales allá donde se encuentren, lo que motiva que las solicitudes deben enviarse en muchos casos a terceros Estados[41]. Precisamente este es el motivo —prestar sus servicios digitales en la Unión Europea— por el cual las empresas digitales se verán obligadas a designar un “representante legal” para recabar pruebas en procesos penales. En el caso de que no se hubiera designado un representante en concreto, las órdenes se podrán dirigir a cualquiera de los establecimientos del prestador de servicios que se encuentre en territorio de la Unión[42].
No podemos olvidar que este supuesto es realmente llamativo y novedoso en el proceso penal, por cuanto, se establece un nuevo tipo de relación de cooperación trasfronteriza en la obtención y entrega de pruebas, al pasar de la clásica relación entre las autoridades judiciales de los Estados miembros a una en la que la autoridad judicial de un Estado emisor podrá dirigir sus órdenes a empresas privadas. No obstante, esta situación ha provocado una importante controversia al considerar que existe una suerte de “privatización de la cooperación judicial”[43]. Ante esta situación, parece obvio suponer que las empresas obligadas a actuar de tal manera releguen a un segundo lugar la salvaguarda de los derechos de los investigados en favor de sus intereses empresariales, como indica acertadamente el Profesor Tosza[44], al preguntarse hasta qué punto es recomendable la participación de entidades privadas en el proceso penal, como parece que está sucediendo actualmente [45].
Resulta interesante hacer referencia a los plazos fijados para la entrega de los datos contenido en la EPOC, pues uno de los objetivos primordiales de este Reglamento es el de agilizar las investigaciones entre Estados miembros. Por ello, resulta llamativa la confusa manera de codificar los plazos de entrega y conservación que han de respetarse tanto a la hora de solicitar una EPOC, como una EPOC-PR, por parte del legislador. En el art. 10 se establece un plazo de diez días de manera genérica para que la autoridad de ejecución conteste a la solicitud de la autoridad emisora, previendo casos de urgencia, en los que se establece un plazo de contestación de solo ocho horas, a no ser que se den alguno de los motivos de denegación, en cuyo caso, tendrá noventa y seis horas para notificarlo a la autoridad emisora.
No obstante, el art. 11. 2 establece la posibilidad de “Cuando, durante el período de conservación establecido en el apartado 1, la autoridad emisora confirme que se ha emitido una solicitud posterior de entrega, el destinatario conservará los datos durante el tiempo necesario para entregarlos una vez que la solicitud posterior de entrega haya sido recibida”, lo cual en mi opinión es una decisión censurable, pues esta absoluta indefinición temporal provocará con total seguridad problemas de inseguridad jurídica, como acertadamente advierte Cuadrado Salinero “… en este sentido poco ha cambiado el texto de la propuesta con el del reglamento vigente. ya se criticaba, y con razón, que los datos pueden llegar a estar conservados “el tiempo que sea necesario” (artículo 11.2), lo que en la práctica puede generar problemas en relación con los derechos de los usuarios, de forma que debería haberse establecido un periodo de tiempo limitado para la eliminación de los datos en caso de no solicitase su entrega a la autoridad competente”[46]
En cuanto a los plazos que afectan a las EPOC-PR, se establecen sesenta días en los cuales los proveedores de servicios han de guardar los datos solicitados, prorrogables otros treinta días cuando “… sea necesario para permitir la emisión de una solicitud posterior de entrega”[47].
4. Directiva (UE) 1544/2023[48]
La obligación de designar un “establecimiento designado” que establece el reglamento hace que el legislador determinase acompañar el texto normativo de una Directiva sobre “representantes legales para recabar pruebas electrónicas en el proceso penal”. Por ello, en este caso, resulta especialmente determinante el contenido de la Directiva (UE) 2023/1544 del Parlamento Europeo y del Consejo de 12 de julio de 2023, por la que se establecen normas armonizadas para la designación de establecimientos designados y de representantes legales a efectos de recabar pruebas electrónicas en procesos penales.
4.1. Objeto y ámbito de aplicación
En él se determina qué requisitos habrán de observar las empresas de servicios digitales a la hora de cumplir el Reglamento de entrega y conservación de prueba electrónica en el proceso penal. Para que el Reglamento sea eficiente, debe tener un destinatario concreto al que poder enviar las citadas órdenes. De ahí, que se establezca la obligación de las entidades privadas que realicen actividades digitales propias de su campo en la Unión Europea, de nombrar un representante legal para realizar la misión de recepción de las órdenes. Es interesante resaltar que, en el último texto aprobado por el Parlamento en el 13 de junio, se añadió otro supuesto, como es el de designar “…un establecimiento designado” (sic)[49].
A continuación, se reseñan los límites materiales dentro de los cuales será de aplicación la Directiva y se advierte que la Directiva no entrará en colisión con las competencias de las que ya dispongan los Estados miembros para dirigirse a las entidades privadas en el ámbito del proceso penal. Esta salvaguarda no se encontraba codificada en propuestas anteriores y podría ocasionar conflicto en la práctica penal, por cuanto podía darse una colisión entre diversas normas.
Los últimos dos apartados del precepto establecen una serie de limitaciones materiales y territoriales. Advirtiendo que no se podrán exigir requisitos fuera de los estipulados por la presente Directiva, por parte de los Estados miembros de manera unilateral, del mismo modo, que la regulación sobre la materia no se aplicará a servidores establecidos y que operen únicamente en un Estado miembro[50], remitiéndonos a la definición de “prestadores de servicio”, que recoge el art.2.1, como veremos ut infra.
4.2. Definiciones
En el segundo precepto se codifica de manera extensa y prolija las definiciones de los distintos términos con un alto contenido técnico —de ahí la necesidad de ser escrupuloso— que se refieren al objeto principal de la Directiva, como ya hemos visto.
Se hace hincapié en qué ha de entenderse como “prestador de servicios”, para lo que realiza una enumeración tasada de los supuestos que deben considerarse como tales, con referencia a diversas Directivas[51]. Curiosamente, el apartado primero, empieza advirtiendo de una excepción a la regla general, al señalar que no será de aplicación “… servicios financieros a que se refiere el artículo 2, apartado 2, letra b), de la Directiva 2006/123/CE del Parlamento Europeo y del Consejo”[52]. Algo que podría explicarse por la materia de dicha Directiva, que se circunscribe a los servicios financieros, mientras que la presente Directiva, así como el Reglamento que complementa son de aplicación exclusiva y excluyente al ámbito penal[53].
Los siguientes apartados han sido añadidos en el texto final con la intención de evitar situaciones que buscaban rehuir el cumplimiento de las obligaciones que emanan del Reglamento definiendo claramente cuanto se ha de aplicar la norma, al buscar “una conexión sustancial con un Estado miembro de la UE”[54]. Se ha considerado que, si un prestador de servicios no dispone de un establecimiento físico, bastará con que tenga un “… número significativo de usuarios en uno o más Estados miembros, o se orienten actividades hacia uno o más Estados miembros…”, para estar sujeto a la legislación emanada del Reglamento y Directiva objeto de este estudio[55]. Se hace especial énfasis en que la figura del “establecimiento”, ejerza efectivamente dicha actividad económica. Esta insistencia tendría por objeto evitar el uso de figuras fraudulentas para bordear el cumplimiento de la ley. Supuestos en los que se nombra un espacio físico como sede de una entidad privada que realmente no realiza actividad alguna. Por último, se hace una mención curiosa a la territorialidad —pues la idea que emana de todo el texto normativo es la de superar el principio de territorialidad— para recordar que el “establecimiento” debe encontrarse en un Estado miembro de la Unión y, que haya aceptado el presento texto normativo[56].
Finalmente, se regula la figura del “representante legal”, de gran importancia, ya que representará a aquellos prestadores de servicios que no tengan presencia física en ningún Estado miembro[57].
4.3. Establecimientos designados y representantes legales
En el tercer precepto se encuentra el núcleo principal de la Directiva, por ser donde se codifica el aspecto fundamental y novedoso del Reglamento (UE) 2023/1543 que origina la necesidad de esta Directiva de acompañamiento. Se constituye en el más amplio y profuso de la Directiva, lo cual da buena idea de la importancia que concede a los “establecimientos designados” y los “representantes legales”. Algo que subyace en el texto legal desde los considerandos iniciales. Asimismo, ha sufrido importantes modificaciones fruto de las propuestas de distintos operadores jurídicos invitados por la Comisión[58].
En un primer apartado, se consigna la obligación de los Estados miembros de “velar” porque los prestadores de servicio nombren un destinatario al cual poder dirigir las solicitudes de entrega de datos. Ahora bien, el término “velar”, indica más una opción facultativa o deseo bienintencionado, que una obligación legal o imperativa emanada de un Reglamento de la Unión. Eso sí, limita claramente el ámbito material de este consejo al señalar que su objeto es “…a efectos de recabar pruebas para procesos penales…”. Continúa enumerando tres supuestos concretos que derivan del precepto anterior. En el caso de que los prestadores de servicio tengan personalidad jurídica propia y se encuentren en la Unión, deberán designar un “establecimiento designado” (sic)[59].
En cuanto a la posibilidad de un prestador con personalidad jurídica, que ofrezca sus servicios dentro de la UE, pero sin presencia en la Unión, deberá nombrar un “representante legal” que se hará responsable de las actividades de la entidad de servicios digitales.
Por último, se preceptúa el supuesto por el cual el prestador de servicios se encuentre asentado en un Estado miembro de la Unión, al que no vincule este Reglamento y Directiva. En este caso, los Estados miembros se asegurarán de que se nombre igualmente un “representante legal” que se responsabilice de las actividades empresariales del prestador en los Estados sí vinculados por el texto normativo. Resulta llamativo que, en este supuesto, la Directiva se abstenga de obligar al Estado miembro anfitrión, aunque no sea firmante de la Directiva o el Reglamento que complementa. Aunque por otra parte no se hace más que adoptar la recomendación del Informe de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, en cuya exposición de motivos se advierte de los problemas legales que plantearía obligar a los Estados no firmantes de este instrumento nombrar “representantes legales”[60].
El siguiente apartado regula deberes dirigido a los Estado miembros, como el de asegurar que los “destinatarios” de los que habla el apartado primero, se encuentren de manera real establecidos en alguno de los Estados miembro de la Unión, donde a su vez ofrezcan sus servicios digitales, además de garantizar que se les pueda impeler de manera efectiva —puedan ser objeto de procedimientos de ejecución— a la hora de cumplir con sus obligaciones legales.
En el siguiente apartado se tiene en cuenta la posibilidad de que las entidades privadas intenten soslayar el cumplimiento efectivo de la normativa europea, constituyendo establecimientos vacíos de contenido y representantes sin poderes suficientes. Para ello se recuerda a los Estados miembros su deber de comprobar que los mencionados “representantes legales” y los “establecimientos” cuenten con los recursos y competencias suficientes que garanticen el cumplimiento del Reglamento y la Directiva.
Continúa el articulado exponiendo supuestos de posibles incumplimientos de la norma, demostrando cierta desconfianza en la intención de los Estados en hacer cumplir esta Directiva, compeliendo a los Estados miembros a establecer los instrumentos necesarios para obligar a los servidores a responsabilizarse de manera solidaria junto a sus establecimientos designados y sus representantes legales en los Estados en los que se encuentren asentados, para que de esta manera no puedan abstraerse del cumplimiento de sus obligaciones —principalmente pecuniarias— en el caso de ser sancionados y, del mismo modo que no acudan a las legislaciones internas que les pudieran beneficiar —forum shopping— para justificar dicho incumplimiento. Hemos de señalar que en el texto finalmente aprobado por el Parlamento se ha introducido una modificación que consiste en el establecimiento de una excepción en cuanto a la responsabilidad solidaria aplicable de manera general[61].
Para finalizar se hace referencia a los plazos de aplicación de la Directiva, de manera que se otorga un plazo de treinta meses —desde la aprobación de la Directiva— a los prestadores de servicios que se establezcan en la Unión para nombrar los “establecimientos designados” en un plazo a su vez de treinta y seis meses desde la aprobación del texto.
4.4. Notificaciones, sanciones y autoridades centrales
En los siguientes artículos se regula el muy delicado aspecto de los medios de imponer a las entidades privadas el cumplimiento de esta normativa. En primer lugar, cómo se notificará a los “proveedores de servicios” su obligación de colaborar con las autoridades. Para ello, los Estados han de garantizar que las empresas tengan una Autoridad Central que actuará como interlocutora de los Estados miembros con las entidades privadas. En el texto finalmente aprobado se ha añadido una referencia a la posibilidad de dirigirse en las lenguas que sean oficiales en el Estado miembro donde se encuentre el establecimiento o resida el representante[62], para lo que se delega en el derecho interno nacional su determinación concreta, algo en mi opinión erróneo, por cuanto rompe con la intención de unificar criterios en la actuación en los diverso Estados miembros. Asimismo, se establece en el artículo 5 el sistema sancionador, que ya ha sido objeto de atención en este trabajo, pues se considera muy polémico, al provocar la actuación obligada de entidades privadas. Para empeorar la situación, el precepto vuelve a encomendar el establecimiento de dicho régimen sancionador a los diferentes Estados miembros, lo cual provocará una evidente desigualdad, que a su vez ahondará en la fragmentación normativa entre Estados en el proceso penal y conducirá una indeseable inseguridad jurídica[63]. Con esta decisión se está conduciendo a un forum shopping de los prestadores de servicios que, con toda seguridad elegirán establecerse en los Estados con un régimen sancionador más laxo, con respectos de otros Estados con regímenes sancionadores más severos[64].
5. Conclusiones
Aunque el enfoque de este trabajo es crítico con resultado del Reglamento e-evidence y su Directiva de acompañamiento, debemos congratularnos de la buena intención del legislador a la hora de intentar regular un aspecto de gran relevancia en la actualidad, como es el de la utilización de pruebas de carácter tecnológico en el proceso penal, además de hacerlo desde una perspectiva de cooperación internacional, debido a las propias características de las pruebas electrónicas.
No obstante, debemos resaltar aspectos claramente mejorables en los textos normativos analizados. En primer lugar, la excesiva focalización del Reglamento en conseguir una “agilización” del proceso penal a la hora de entregar y conservar pruebas digitales, puede resultar perjudicial para la debida protección de los derechos y garantías procesales del investigado.
En segundo lugar y, ya centrándonos en los aspectos más novedosos de las normas analizadas, debemos referirnos a la muy controvertida posibilidad de ampliar el ámbito de aplicación del presente Reglamento a terceros Estados no pertenecientes a la Unión Europea, con la única condición de que los proveedores de servicios digitales domiciliados en esos terceros Estados presten sus servicios en la Unión. Consideramos, que, aunque esta posibilidad responde a una necesidad de colaboración cada vez más habitual, no deja de presentar inconvenientes reales y prácticos, pues esos terceros Estados, podrían considerar esta extensión de la legislación europea sobre sus nacionales, como una vulneración del principio de soberanía nacional, al conculcar la prevalencia de su jurisdicción.
Por último, e incardinado en el punto anterior, se encuentra el problemático asunto que aborda la Directiva de acompañamiento sobre los establecimientos designados y sus representantes legales, pues con la finalidad de conseguir una agilización del proceso penal, se permite dirigir las órdenes de entrega y conservación a entidades privadas. Este hecho, realmente novedoso, presenta en nuestra opinión grandes dudas. La posibilidad de imponer a proveedores de servicios —empresa privadas, en la mayoría de casos— la obligación de recibir órdenes de entrega y conservación de pruebas electrónicas en una situación tan delicada como es un proceso penal, podría en nuestra opinión poner en serio riesgo la tutela judicial efectiva que ha de recibir el investigado, pues los derechos y garantías procesales de este quedarían supeditados ante los intereses empresariales, basados en fines privados o en el mero temor a represalias por parte de las autoridades, que advierten claramente de la posibilidad de sanciones pecuniarias en la normativa analizada. Por lo cual, estas entidades privadas evitaran realizar un minucioso examen de las notificaciones recibidas —para garantizar los derechos de los investigados— limitándose a tramitar las órdenes lo antes posible y rehuir cualquier controversia en dicha tramitación.
Todo ello, redunda en el debilitamiento de la idea de cooperación judicial internacional, pues ésta es en esencia, una comunicación entre autoridades judiciales que garantizan, como ocurre actualmente, un mayor respeto de los sensibles datos que se obtienen en el caso de las pruebas electrónicas, como son los datos personales y profesionales, que afectan directamente en los derechos fundamentales de las personas a las que se investiga, más aún en un proceso de carácter penal. Sin olvidar, la deficiente codificación en cuanto a los plazos de entrega y conservación, en especial, por la indefinición a la hora de establecer el tiempo que deberá conservar los datos objeto de solicitud el destinatario de esta.
Por tanto, tenemos serias dudas de la aplicabilidad real de este, ya que al intentar el legislador en el texto finalmente aprobado, reforzar las garantías procesales de los investigados, desaparece el supuesto beneficio buscado de una mayor agilidad, perdurando la posibilidad de vulneración de derechos de los mismos, de manera, que finalmente, puede ser más conveniente el uso de los mecanismos de cooperación judicial ya existentes, ante la posibilidad de sentencias del Tribunal de Justicia de la Unión Europea y tribunales nacionales de los Estados miembros que consideren la aplicación de este Reglamento y su Directiva como contrarias a derecho.
Bibliografía
Arangüena Fanego, Coral / De Hoyos Sancho, Montserrat / Rodríguez-Medel Nieto, C. (Dir. y Coor.), Reconocimiento Mutuo de Resoluciones Penales en la Unión Europea, Thomson Reuters Aranzadi, Navarra, 2015
Bueno de Mata, Federico, “Análisis de las medidas de cooperación judicial internacional para la obtención transfronteriza de pruebas en materia de cibercrimen, La transformación digital de la cooperación jurídica penal internacional, Thomson Reuters Aranzadi, Navarra, 2021, pp, 19-46
Cuadrado Salinas, Carmen, “La Directiva Europea y las Órdenes de Producción y Conservación de pruebas electrónicas en los procesos penales. ¿Nuevas perspectivas?”, IUS ET SCIENCIA, Vol. 9, n.º 2, 2023, pp. 117-135
De Hoyos Sancho, Montserrat, “Novedades en materia de obtención transfronteriza de información electrónica necesaria para la investigación y enjuiciamiento penal en el ámbito europeo”, Revista de Estudios Europeos, Vol. N.º Extraordinario monográfico 1, 2022, pp. 99-128
De Hoyos Sancho, Montserrat, “Reflexiones acerca de la Propuesta de Reglamento UE sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal”, Revista General de Derecho Procesal, Vol. N.º 58, 2022, pp. 1-37
De Hoyos Sancho, Montserrat, La nueva regulación en la Unión Europea sobre obtención transfronteriza de información electrónica en procesos penales, Thomson Reuters Aranzadi, Navarra, 2024
Fuentes Soriano, Olga, “Europa ante el reto de la prueba digital. El establecimiento de instrumentos probatorios comunes: las órdenes europeas de entrega y conservación de pruebas electrónicas”, Era digital, sociedad y derecho, Tirant lo Blanch, Valencia, 2020, pp. 288-294
Gascón Marcen, Ana, “Las órdenes europeas de entrega y conservación de pruebas electrónicas: evaluación de la propuesta de la comisión europea”, El mercado único en la Unión Europea. Balance y perspectivas jurídico-políticas, Dykinson, Madrid, 2019, pp. 1121-1134
Gómez Amigo, Luis, “Las órdenes europeas de entrega y conservación de pruebas penales electrónicas: Una regulación que se aproxima”, Revista Española de Derecho Europeo, Vol. 71, 2019, pp. 23–56
González Pulido, Irene, “Perspectivas de futuro respecto a la obtención de pruebas electrónicas transfronterizas y a la cooperación con proveedores de servicios: investigación y prueba de los ciberdelitos graves en la Unión Europea”, Diario La Ley, n.º 10266, Sección Tribuna, 2023
Laro González, Elena, “El Reglamento E-evidence: instrumento adicional a la Orden europea de investigación”, La Ley Probática, n.º 3, 2021
Laro González, Elena, “Prueba penal transfronteriza: de la orden europea de investigación a las órdenes europeas de entrega y conservación de pruebas electrónicas”, Revista de Estudios Europeos, vol. n.º 79, 2022, pp. 285-303
Mitsilegas, Valsamis, “The privatisation of mutual trust in Europe’s area of criminal Justice: The case of e-evidence”, Maastricht Journal of European and Comparative Law, 2018, p. 263
Muriel Diéguez, Juan A., “La Directiva sobre representantes legales para recabar pruebas electrónicas en el proceso penal”, Paideia: Perspéctivas jurídico-procesales en un mundo digital cambiante, Colex, La Coruña, 2024, pp. 99-116
Muriel Diéguez, Juan A., “Las órdenes de entrega y conservación de pruebas electrónicas en el proceso penal europeo”, Revista de Estudios Europeos, Vol. 83, 2024, pp. 172-201
Tosza, Stanislaw, “All evidence is equal, but electronic evidence is more equal than any other: The relationship between the European Investigation Order and the European Production Order” New Journal of European Criminal Law, 11(2), 2020, pp. 161–183
Tosza, Stanislaw, ”Internet service providers as law enforcers and adjudicators. A public role of private actors”, Computer law & security review, 43, 2022 [Consultado el 12 de febrero de 2024] [Disponible en www.elsevier.com/locate/CLSR]
[1] El Reglamento (UE) 2023/1543 del Parlamento europeo y del Consejo de 12 de julio de 2023 “sobre las órdenes europeas de producción y las órdenes europeas de conservación a efectos de prueba electrónica en procesos penales y de ejecución de penas privativas de libertad a raíz de procesos penales” L191/137 28.7.2023.
[2] Resolución legislativa del Parlamento Europeo, de 13 de junio de 2023, sobre la propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales (COM (2018)0226 – C8-0154/2018 – 2018/0107(COD)).
[3] Como la propia Exposición de motivos de la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal presentada por la Comisión europea el 14 de abril de 2018. Documento COM (2018), 225 final, (en adelante texto inicial 2018), informa “En 2016, el Consejo pidió acciones concretas basadas en un enfoque común de la UE para una asistencia jurídica mutua más eficaz, para mejorar la cooperación entre las autoridades de los Estados miembros y los proveedores de servicios radicados en países no pertenecientes a la UE…”.
[4] Dictamen del Comité Económico y Social Europeo sobre la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal [COM(2018) 225 final — 2018/0108 (COD)] DOUE C 367/88, 10.10.2018 ,Contexto de la Propuesta, 2.1: ”Actualmente, más de la mitad de las investigaciones penales incluyen una petición transfronteriza de acceso a pruebas electrónicas como textos, correos electrónicos o aplicaciones de mensajería. Por este motivo, la Comisión propone nuevas normas para permitir a las autoridades policiales y judiciales obtener un acceso más rápido y sencillo a las pruebas electrónicas que consideren necesarias para la investigación con el fin de detener y condenar a delincuentes y terroristas”.
[5] Elena Laro González. “Prueba penal transfronteriza: de la orden europea de investigación a las órdenes europeas de entrega y conservación de pruebas electrónicas”. Revista de Estudios Europeos, volumen 79, 2022, pp. 285-303: “Centrándonos en las órdenes europeas de entrega y conservación, indicamos que hasta ahora la forma habitual de los instrumentos de reconocimiento mutuo eran las Decisiones Marco y las Directivas, optando en este caso por el Reglamento con el fin de tratar de manera unitaria la prueba electrónica. La elección del instrumento se basa en que al tratarse de procedimientos transfronterizos no es necesaria la transposición de la norma por los EEMM, sino que el mismo es directamente aplicable, lo que evitará las interpretaciones divergentes por parte de los Estados y aportará mayor seguridad jurídica”.
[6] Juan A. Muriel Diéguez, “Las órdenes de entrega y conservación de pruebas electrónicas en el proceso penal europeo”. Revista de Estudios Europeos. Vol. 83, 2024, p.172-201.
[7] Considerando 1: “Los servicios basados en la red pueden prestarse desde cualquier lugar y no requieren infraestructura física, instalaciones ni personal en el país en que se ofrece el servicio en cuestión ni en el mercado interior […] hacer cumplir las obligaciones establecidas en el Derecho nacional y de la Unión dirigidas a los prestadores de servicios afectados, y en particular la obligación de cumplir una orden o una decisión de una autoridad judicial”.
[8] Art. 82 TFUE: “ La cooperación judicial en materia penal en la Unión se basará en el principio de reconocimiento mutuo de las sentencias y resoluciones judiciales e incluye la aproximación de las disposiciones legales y reglamentarias de los Estados miembros en los ámbitos mencionados en el apartado 2 y en el artículo 83 […] En la medida en que sea necesario para facilitar el reconocimiento mutuo de las sentencias y resoluciones judiciales y la cooperación policial y judicial en asuntos penales con dimensión transfronteriza, el Parlamento Europeo y el Consejo podrán establecer normas mínimas mediante directivas adoptadas con arreglo al procedimiento legislativo ordinario. Estas normas mínimas tendrán en cuenta las diferencias entre las tradiciones y los sistemas jurídicos de los Estados miembros […] Estas normas se referirán a: a) la admisibilidad mutua de pruebas entre los Estados miembros; …”.
[9] Ídem.
[10] Directiva 2014/41/CE del Parlamento europeo y del Consejo, de 3 de abril de 2015, relativa a la orden europea de investigación en materia penal, DOUE 1.5.2014, L. 130/1. Transpuesta al ordenamiento español por Ley 3/2018, de 11 de junio, incorporando el instrumento OEI en el Título X de la Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión Europea, BOE núm. 282, de 21.11.2014.
[11] Acto del Consejo de 29 de mayo de 2000 por el que se celebra, de conformidad con el artículo 34 del Tratado de la Unión Europea, el Convenio relativo a la asistencia judicial en materia penal entre los Estados miembros de la Unión Europea. C 197/1. 12 de julio de 2000.
[12] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016). Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002).
[13] Convenio celebrado por el Consejo, de conformidad con el artículo 34 del Tratado de la Unión Europea, relativo a la asistencia judicial en materia penal entre los Estados miembros de la Unión Europea (DO C 197 de 12.7.2000, p. 3) y su Protocolo (DO C 326 de 21.11.2001).
[14] Propuesta de Directiva del Parlamento europeo y del Consejo por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales, COM (2018) 226 final. 2018/0107(COD)
[15] Comisión de libertades civiles, justicia y asuntos de interior –LIBE- del Parlamento europeo (2020), Informe sobre la Propuesta de Reglamento del Parlamento europeo y del Consejo sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal, Ponente: Birgit Sippel, de 11.12.2020 (COM (2018)0225 – C8-0155/2018 – 2018/0108(COD).
[16] Texto transaccional final de la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal presentada por la Comisión europea el 14 de abril de 2018. Documento 2018/0108(COD) 20 de enero de 2023.
[17] Para más información, véase: Monserrat de Hoyos Sancho, “Novedades en materia de obtención transfronteriza de información electrónica necesaria para la investigación y enjuiciamiento penal en el ámbito europeo”. Revista de Estudios Europeos, Vol. n.º Extraordinario monográfico 1, 2022, pp, 99-128, y Carmen Cuadrado Salinas, “La Directiva Europea y las Órdenes de Producción y Conservación de pruebas electrónicas en los procesos penales. ¿Nuevas perspectivas?”, IUS ET SCIENCIA, Vol.9, Nº2, 2023, pp. 117-135.
[18] Olga Fuentes Soriano. “Europa ante el reto de la prueba digital. El establecimiento de instrumentos probatorios comunes: las órdenes europeas de entrega y conservación de pruebas electrónicas”. Era digital, sociedad y derecho. Tirant lo Blanch, Valencia, 2020, pp. 288 - 294.
[19] Carmen Cuadrado Salinas. “La Directiva Europea y las Órdenes de Producción y Conservación de pruebas electrónicas en los procesos penales. ¿nuevas perspectivas?”, IUS ET SCIENCIA, Vol.9, Nº 2, 2023. pp.117-135.
[20] Véase Posición de CCBE -Council of Bars and Law Societies of Europe- sobre la propuesta de Reglamento de la Comisión sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal de 19 de octubre de 2018. Disponible en https://www.ccbe.eu/fileadmin/speciality_distribution/public/documents/SURVEILLANCE/SVL/Positions_papers/EN_SVL_20180629_CCBE-Preliminary-comments-on-the-Commision-proporsal-for-a-Regulation-on-European-Production-and-Preservation-Orders-for-electronic-evidence-in-criminal-matters.pdf. [Consultado 17 de diciembre de 2023].
[21] Relacionado con la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. L 119/1 de 4 de mayo de 2016.
[22] Federico Bueno de Mata, “Análisis de las medidas de cooperación judicial internacional para la obtención transfronteriza de pruebas en materia de cibercrimen”. En Leticia Fontestad Portalés (dir.), M. de las N. Jiménez López (coord.) La transformación digital de la cooperación jurídica penal internacional.Thomson Reuters Aranzadi, Navarra, 2021, pp. 19-46.
[23] Stanislaw Tosza “Internet service providers as law enforcers and adjudicators. A public role of private actors”. Computer law & security review, 2021,p. 43. [Disponible en www.elsevier.com/locate/CLSR] [Consultado el 12 de diciembre de 2023].
[24] Existe una persistente referencia a la acotación de este Reglamento a procesos de carácter estrictamente penal. Seguramente se deba a las dudas que suscitaron instrumentos de cooperación judicial anteriores que no diferenciaban entre procedimientos administrativos y penales. En Coral Arangüena Fanego; Montserrat de Hoyos Sancho y Carmen Rodríguez-Medel Nieto, (Dir. y Coor.): Reconocimiento Mutuo de Resoluciones Penales en la Unión Europea. Thomson Reuters Aranzadi, Navarra, 2015. pp. 509 y ss.
[25] Sobre las dudas en cuanto al principio de territorialidad en delitos tecnológicos, véase: Stanislaw Tosza, “All evidence is equal, but electronic evidence is more equal than any other: The relationship between the European Investigation Order and the European Production Order”. New Journal of European Criminal Law, 11(2), 2020, pp. 161–183.
[26] Reglamento (UE) 2023/1543, art.1.1.
[27] Reglamento (UE) 2023/1543, art 1.3: “El presente Reglamento no podrá tener por efecto modificar la obligación de respetar los derechos fundamentales y los principios jurídicos tal como están asentados en la Carta y en el artículo 6 del TUE, y cualesquiera obligaciones aplicables a las autoridades policiales o autoridades judiciales a este respecto permanecerán inmutables. El presente Reglamento se aplicará sin perjuicio de los principios fundamentales, en particular la libertad de expresión y de información, incluidos la libertad y el pluralismo de los medios de comunicación, el respeto de la vida privada y familiar, la protección de los datos personales y el derecho a la tutela judicial efectiva”.
[28] En cuanto a qué debemos entender por “prestador de servicios”, o en qué consiste “ofrecer servicios en la Unión”. El legislador ha decidido dedicar el artículo tercero de Reglamento a aclarar estos términos que son de vital importancia en el texto normativo. Asimismo, en la Directiva de acompañamiento se realiza una exhaustiva definición de términos clave en su artículo 2 como veremos ut infra.
[29] EPOC (European Production Order Certificate) son las siglas de su denominación en inglés. EPOC-PR (European Preservation Order Certificate) son las siglas de la denominación que reciben en inglés. No deja de resultar llamativo y podría crear cierta confusión que el legislador utilice el termino producción en la EPOC y no entrega.
[30] Dictamen del Comité Económico y Social Europeo sobre la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal [COM(2018) 225 final — 2018/0108 (COD)] DOUE C 367/88, 10.10.2018: “1.7.El CESE acoge con satisfacción que ambas órdenes deban ser emitidas o confirmadas por una autoridad judicial de un Estado miembro. Sin embargo, el CESE considera problemático que, para la obtención de datos de los abonados y de datos relativos al acceso, los fiscales también puedan emitir órdenes de entrega y respalda que la obtención de los datos de carácter personal se someta a la autorización de un juez”.
[31] Luis Gómez Amigo, “Las órdenes europeas de entrega y conservación de pruebas penales electrónicas: Una regulación que se aproxima”. Revista Española de Derecho Europeo, Vol. N.º 71, Julio – septiembre 2019, pp. 23–56: “En cuanto a las autoridades emisoras, el art. 4 establece que las órdenes europeas de entrega relativa a datos de los abonados y datos relativos al acceso, así como las órdenes europeas de conservación, podrán ser emitidas por un juez, tribunal, juez de instrucción o fiscal competente; o por cualquier otra autoridad competente que actúe como autoridad de investigación en procesos penales y que tenga competencia para ordenar la obtención de pruebas, aunque en este caso la orden europea de entrega debe ser validada por alguna de las autoridades judiciales anteriormente señaladas (teniendo en cuenta que el concepto europeo de autoridad judicial incluye a los fiscales). En cambio, los fiscales no tienen competencia para emitir o validar una orden europea de entrega relativa a datos de transacciones o datos de contenido”.
[32] No deja de sorprender la complicada redacción de este apartado que establece una delimitación en el ámbito objetivo de la orden siguiendo un criterio cuantitativo y que ha sido objeto de críticas en las anteriores Propuestas del Reglamento por cuanto se remite a diversas Directivas que exceptúa el límite general de tres años. Véase: Olga Fuentes Soriano. ob. cit, p.303.
[33] Montserrat de Hoyos Sancho, “La nueva regulación en la Unión Europea sobre obtención transfronteriza de información electrónica en procesos penales”, Thomson Reuters Aranzadi, Navarra, 2024.
[34] Ídem.
[35] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. L 119/1 de 4 de mayo de 2016.
[36] https://www.echr.coe.int/documents/d/echr/handbook_access_justice_eng. Agencia de los Derechos Fundamentales de la Unión Europea y Consejo de Europa, 2016. Manual sobre el derecho europeo relativo al acceso a la Justicia, pp. 140-141: “Las inmunidades son un tipo muy específico de impedimento procesal. Los Estados también pueden establecer inmunidades para impedir que se presenten demandas. Una inmunidad jurídica es una exención de la totalidad o partes del proceso jurídico: por ejemplo, de una obligación legal, de una sanción o de una acusación. Algunas inmunidades están pensadas para cumplir obligaciones emanadas del Derecho internacional público, como la inmunidad del Estado o la inmunidad diplomática; otras se pueden otorgar en el ámbito interno: por ejemplo, para proteger a los funcionarios públicos de responsabilidades por decisiones tomadas en el ejercicio de sus funciones oficiales o para proteger la libertad de expresión de los parlamentarios”. [Consultado el 10/1/24].
[37] Montserrat de Hoyos Sancho, “Reflexiones acerca de la Propuesta de Reglamento UE sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal”. Revista General de Derecho Procesal, Vol. N º 58, 2022, p. 6: “Lo decisivo por tanto a los efectos de emplear este nuevo instrumento será que el proveedor esté prestando sus servicios al menos en un Estado de la Unión; de esa circunstancia surgirá su obligación de cooperar con la autoridad solicitante, quien estará investigando o enjuiciando una causa penal en un Estado miembro distinto”.
[38] Luis Gómez Amigo, “Las órdenes europeas de entrega y conservación de pruebas penales electrónicas: Una regulación que se aproxima”, Revista Española de Derecho Europeo, Vol. N º 71, Julio – septiembre 2019, p. 51: “…Estados Unidos es el principal receptor de solicitudes de asistencia judicial mutua emitidas desde los Estados miembros de la Unión Europea para acceder a pruebas penales electrónicas, ya que los principales proveedores de servicios operan sujetos a la jurisdicción de aquel país. Pero la cooperación judicial con Estados Unidos resulta demasiado lenta, si se tiene en cuenta el carácter volátil de las pruebas electrónicas, y puede suponer un gasto desproporcionado de recursos”.
[39] Ana Gascón Marcen, “Las órdenes europeas de entrega y conservación de pruebas electrónicas: evaluación de la propuesta de la comisión europea”. En J. M. Martín Rodríguez (dir.), L. García-Álvarez (dir.), A. Sánchez Rubio (coord.), J. M. Macarro Osuna (coord.) El mercado único en la Unión Europea. Balance y perspectivas jurídico-políticas, Dykinson. Madrid, 2019, p. 1129: “Por su parte, el Parlamento Europeo no ha adoptado todavía su posición sobre la propuesta, si bien encargó un informe a Martin Böse, experto en la materia, que se ha mostrado muy crítico con la misma. Según él, la propuesta de la Comisión extiende la jurisdicción sobre los proveedores de servicios establecidos y los datos almacenados en Estados no miembros y, por lo tanto, compromete el funcionamiento de la cooperación internacional con terceros Estados y genera incertidumbre legal tanto para los proveedores de servicios como para los usuarios”.
[40] Recomendación de Decisión del Consejo por la que se autoriza la apertura de negociaciones para un Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el acceso transfronterizo a las pruebas electrónicas para la cooperación judicial en materia penal, de 5 de febrero de 2019. COM(2019) 70 final.
[41] Véase Elena Laro González, “El Reglamento E-evidence: instrumento adicional a la Orden europea de investigación”, La Ley Probática, Vol. N º 3, 2021, pp. 1-30.
[42] Reglamento (UE) 1543/2023, art. 7.2: “Excepcionalmente, en los casos urgentes […] cuando el establecimiento designado o el representante legal de un prestador de servicios no reaccione ante un EPOC o un EPOC-PR en los plazos establecidos, dicho EPOC o EPOC-PR podrá dirigirse a cualquier otro establecimiento o representante legal del prestador de servicios en la Unión.
[43] Otros autores se refieren a “privatización de la confianza mutua”, como puede ser el Prof. Valsamis Mitsilegas en su trabajo “The privatisation of mutual trust in Europe’s area of criminal Justice: The case of e-evidence”, Maastricht Journal of European and Comparative Law, 2018, pp. 263 y ss., esp. p. 264, donde recuerda que con este nuevo modelo, las empresas privadas se convierten en ejecutores de las órdenes, que no podrán excusar su colaboración bajo amenaza de sanciones, de manera que difícilmente se convertirán en fiables protectores de los derechos procesales de los investigados, limitándose a cumplir con la entrega y conservación de datos por el miedo a las mencionadas sanciones.
[44] Stanislaw Tosza, “Internet service providers as law enforcers and adjudicators. A public role of private actors”, Computer Law & Security Review, 43, 2021, p.1 “…The paradigm shift in the role of private actors that this article analyses is not only relevant for the legal domains in question, but is also part of two larger fundamental reflec- tions. The first one stems from the dissatisfaction with the current shape of capitalism and the role of corporations, exac- erbated by the 2008 financial crisis and its unsatisfactory after- math. Should such corporations be driven only by profit max- imisation and serving their owners’ gain or should they bene- fit other stakeholders and society as a whole...”.
[45] Stanislaw Tosza, ob. cit, p. 12.
[46] Carmen Cuadrado Salinas, ob. cit. p. 132.
[47] Más ampliamente en Montserrat de Hoyos Sancho, La nueva regulación en la Unión Europea sobre obtención transfronteriza de información electrónica en procesos penales, Cizur menor (Navarra), Thomson Reuters Aranzadi, 2024.
[48] Directiva (UE) 2023/1544 del Parlamento europeo y del Consejo de 12 de julio de 2023 por la que se establecen normas armonizadas para la designación de establecimientos designados y de representantes legales a efectos de recabar pruebas electrónicas en procesos penales. L 191/181. 28.07.2023.
[49] Se busca con esta ampliación de los destinatarios de las órdenes no excluir la posibilidad de dirigir las solicitudes a personas jurídicas, más aún en el caso de empresa de servicios digitales no asentadas en la Unión y que podrían carecer de una persona física determinada y con poderes suficientes para representar al prestador de servicios, o bien que el representante legal sea un organismo o autoridad.
[50] Montserrat de Hoyos Sancho, “Novedades en materia de obtención transfronteriza de información electrónica necesaria para la investigación y enjuiciamiento penal en el ámbito europeo”, Revista de Estudios Europeos, n.º Extraordinario monográfico 1. 2023, p. 101, pie de página 3: “Si el proveedor de servicios que ha de proporcionar los datos electrónicos que se necesitan en una causa penal estuviera establecido en el mismo Estado en que se investigan o enjuician los hechos, no sería necesaria la cooperación transfronteriza para su obtención; se trataría entonces de una prueba ‘doméstica’“.
[51] Directiva (UE) 2018/1972, Directiva (UE) 2015/1535,
[52] Directiva del Parlamento Europeo y del Consejo por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales (COM (2018)0226 – C8-0154/2018 – 2018/0107(COD)). Art.2.1.
[53] Debemos señalar que el Reglamento sobre la prueba electrónica contiene reiteradas menciones sobre el límite material del texto normativo, reduciéndolo de manera estricta al ámbito penal. Pensamos que esto se debe a las dudas que surgieron en cuanto al ámbito material de aplicación en otros textos de cooperación judicial entre Estados de la UE. En Coral Arangüena Fanego; Montserrat de Hoyos Sancho y Carmen Rodríguez-Medel Nieto, (Dir. y Coor.) Reconocimiento Mutuo de Resoluciones Penales en la Unión Europea, Thomson Reuters Aranzadi, Navarra, 2015, p. 509 y ss.
[54] Considerando 30 del Reglamento de entrega y conservación de prueba electrónica en el proceso penal.
[55] Para mayor abundamiento, el Considerando 10 de la propia Directiva ha incluido en su último texto, algunas modificaciones con el fin de determinar con claridad que se entiende por un servicio ofrecido de manera habitual en la Unión : “… la mera accesibilidad de una interfaz en línea en la Unión (como, por ejemplo, la accesibilidad de una página web o una dirección de correo electrónico u otros datos de contacto de un prestador de servicios o de un intermediario […] debe considerarse insuficiente para determinar que un prestador de servicios ofrece servicios en la Unión en el sentido de la presente Directiva”.
[56] El Reino de Dinamarca no participa en la adopción del presente Reglamento (Considerando 101).
[57] Hay que señalar que las definiciones de estas figuras provienen de instrumentos jurídicos ya existentes en el acervo legal de la UE , como es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de4.5.2016, p. 1), y que sirven como dice el Considerando 4 de la propia Directiva para “…evitar divergencias en el marco jurídico y garantizar que las empresas que operan en el mercado interior estén sujetas a obligaciones idénticas o similares…”.
[58] Informe sobre la propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales (COM (2018)0226 –C8-0154/2018 – 2018/0107(COD)) Comisión de Libertades Civiles, Justicia y Asuntos de Interior [A9-0257/2020 de 11.12.20].
[59] En el propio término “designar un establecimiento…designado”, parece existir una redundancia, seguramente fruto de la traducción a nuestro idioma del original en inglés que no ha tenido en cuenta la similitud de términos.
[60] Informe sobre la propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales (COM (2018)0226 –C8-0154/2018 – 2018/0107(COD)): “No obstante, existe una discrepancia entre los dos instrumentos. La Directiva propuesta obligaría a todos los Estados miembros de la Unión a establecer un representante legal, incluso a aquellos que no participan en los instrumentos jurídicos adoptados en el ámbito de aplicación del título V, capítulo 4, del Tratado de Funcionamiento de la Unión Europea. Además, la propuesta de la Comisión no solo prevé introducir la figura de un representante legal para el funcionamiento del Reglamento propuesto, sino utilizarla igualmente para otros instrumentos futuros. A este respecto, la Directiva propuesta va más allá de su objetivo y plantea problemas graves con respecto a su base jurídica, a saber, los artículos 53 y 62 del TFUE. Por consiguiente, solo los Estados miembros que participan en el Reglamento propuesto deben estar sujetos a la obligación de designar representantes legales”.
[61] Art. 3.5 Directiva: “La responsabilidad solidaria no será aplicable a las acciones u omisiones del prestador de servicios, del establecimiento designado o del representante legal, en su caso, que constituyan una infracción penal en el Estado miembro que aplique las sanciones”.
[62] Reglamento n.º 1 del Consejo por el que se fija el régimen lingüístico de la Comunidad Económica Europea (DO 17 de 6.10.1958, p. 385).
[63] Como afirma Fernández Rozas, “ Al establecer normas armonizadas sobre la designación de establecimientos designados y de representantes legales de determinados prestadores de servicios en la Unión para la recepción, el cumplimiento y la ejecución de las resoluciones y órdenes emitidas por las autoridades competentes de los Estados miembros a efectos de recabar pruebas electrónicas en procesos penales, deberán suprimirse los obstáculos existentes a la libre prestación de servicios y deberá evitarse la imposición de enfoques nacionales divergentes a este respecto en el futuro”. En https://fernandezrozas.com/2023/08/08/la-union-europea-publica-las-normas-armonizadas-para-la-designacion-de-establecimientos-designados-y-de-representantes-legales-a-efectos-de-recabar-pruebas-electronicas-en-procesos-penales-28-junio-2/ [ Consultado el 17 de enero de 2024].
[64]Juan A. Muriel Diéguez, “La Directiva sobre representantes legales para recabar pruebas electrónicas en el proceso penal”. Paideia: Perspectivas jurídico-procesales en un mundo digital cambiante, Colex, La Coruña, 2024, pp. 99-116.
