Carlos B Fernández. Tal como estaba previsto, el Pleno del Parlamento Europeo ha aprobado sendas propuestas de la Comisión para mejorar la práctica de la prueba electrónica en la Unión.
Se trata del Reglamento del Parlamento Europeo y del Consejo sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal (COM(2018) 225 final) y de la Directiva del Parlamento Europeo y del Consejo, que lo desarrolla en parte, por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales (COM(2018) 226 final).
Esta nueva normativa es consecuencia de una iniciativa del Consejo que, en 2016, planteó la necesidad de hacer posible una asistencia jurídica mutua más eficaz entre las autoridades judiciales de los Estados miembros y los proveedores de servicios radicados en países no pertenecientes a la UE, en relación con las pruebas electrónicas.
Pese a que las investigaciones penales se basan cada vez más en pruebas electrónicas, que abarcan tanto "datos de contenido" (correos electrónicos y fotografías) y como "datos no de contenidos", como datos de abonados y de tráfico, el hecho de que muchos proveedores de servicios están ubicados o almacenan datos fuera del país investigado, provoca que las autoridades judiciales y policiales de toda la UE suelen tener dificultades para acceder a esos datos.
Y si bien existen varios canales formales e informales para solicitar el acceso transfronterizo a esas pruebas, incluida la asistencia jurídica mutua en virtud de convenios internacionales y acuerdos bilaterales, así como intercambios directos con los proveedores de servicios que almacenan datos en el extranjero, ninguno de estos medios es adecuado para asegurar el intercambio rápido y coherente de estas pruebas.
Posteriormente, el Parlamento Europeo también puso de relieve los retos que el actualmente fragmentado marco jurídico puede suponer para los proveedores de servicios que desean dar cumplimiento a los requerimientos legales e hizo un llamamiento en favor de un marco jurídico europeo que incluya salvaguardias para los derechos y las libertades de los interesados.
En este contexto, el 17 de abril de 2018, la Comisión propuso un conjunto de nuevas normas sobre el acceso a las pruebas electrónicas en la UE, en forma de un reglamento y una directiva.
Esta propuesta aborda el problema específico derivado del carácter volátil de las pruebas electrónicas y su dimensión internacional, e intenta adaptar los mecanismos de cooperación a la era digital, ofreciendo a las autoridades judiciales y policiales herramientas para abordar la forma en que los delincuentes se comunican en la actualidad, y para luchar contra las nuevas formas de delincuencia. Estos instrumentos están ligados a unos sólidos mecanismos de protección de los derechos fundamentales.
Sobre la base del artículo 82, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) (LA LEY 6/1957), el Reglamento propuesto permitiría a una autoridad de un Estado miembro solicitar directamente a un prestador de servicios establecido o representado en otro Estado miembro que presente o conserve los datos electrónicos necesarios para la investigación y el enjuiciamiento de delitos, independientemente de la ubicación de estos datos. Para ello, el texto introduce dos nuevas medidas de investigación: la orden europea de presentación y la orden europea de conservación. Esta última se utilizaría con vistas a una solicitud posterior de presentación de datos.
Por su parte, la propuesta de Directiva --basada en las disposiciones del mercado interior de los artículos 53 (LA LEY 6/1957) y 62 del TFUE (LA LEY 6/1957)-- obligará a los prestadores de servicios con sede o que operen en la UE a designar un representante legal en al menos un Estado miembro de la UE, como punto de contacto encargado de recibir y ejecutar las órdenes emitidas por las autoridades competentes de todo el territorio de la UE.
En el Parlamento, las propuestas se asignaron a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE), que, en sus informes de diciembre de 2020, introdujo numerosos cambios en la propuesta de reglamento y recomendó integrar las partes pertinentes de la directiva en el reglamento, en lugar de tener dos instrumentos separados. Sin embargo, en noviembre de 2022 los colegisladores alcanzaron un acuerdo provisional sobre ambas propuestas, que fue refrendado por el Consejo y la Comisión LIBE en enero de 2023.
En su debate, los eurodiputados introdujeron disposiciones que garantizan que las autoridades puedan rechazar las solicitudes de pruebas cuando les preocupe la libertad de los medios de comunicación o las violaciones de los derechos fundamentales en el Estado miembro solicitante, y los proveedores de servicios podrán señalar las preocupaciones relativas a la libertad de los medios de comunicación. Los eurodiputados también han garantizado que, en la mayoría de los casos, las autoridades que soliciten datos sensibles (como datos de tráfico, excepto cuando sólo se utilicen para la identificación, y datos de contenido) tendrán que notificarlo a las autoridades del país de destino para garantizar la transparencia.
El Reglamento
Los eurodiputados aprobaron el reglamento sobre órdenes de obtención de pruebas por 433 votos a favor, 157 en contra y 34 abstenciones.
Entrará en vigor a los veinte días de su publicación en el DOUE y será aplicable 36 meses después de su entrada en vigor.
Su texto consta de 102 Considerandos y 34 artículos, agrupados en seis Capítulos, más seis anexos.
Su estructura es la siguiente:
Capítulo I: Objeto, ámbito de aplicación y definiciones (arts. 1 a 3)
Capítulo II: Orden europea de producción, orden europea de conservación y certificados (arts. 4 a 14), el más relevante y extenso.
Capítulo III: Sanciones y ejecución (arts. 15 y 16)
Capítulo IV: Conflictos de leyes y recursos (arts. 17 a 25)
Capítulo V: Sistema informático descentralizado (arts. 19 a 26), incluye previsiones sobre la comunicación digital segura y el intercambio de datos entre autoridades competentes y proveedores de servicios y entre autoridades competentes
Capítulo VI Disposiciones finales (arts. 27 a 34)
Anexo I. Certificado europeo de orden de presentación (EPOC) para la presentación de pruebas electrónicas
Anexo II. Certificado de orden europea de conservación (EPOC-PR) para la conservación de pruebas electrónicas
Anexo III. Información sobre la imposibilidad de ejecutar un EPOC / EPOC-PR
Anexo IV. Categorías de delitos contemplados en el artículo 12, apartado 1, letra d)
Anexo V. Confirmación de la emisión de una solicitud de presentación a raíz de una orden europea de conservación
Anexo VI. Prórroga de la conservación de pruebas electrónicas. Establece normas relativas a la representación legal en la Unión de determinados proveedores de servicios a efectos de recabar pruebas para procesos penales. Además, se precisa un instrumento adoptado sobre la base del artículo 82, apartado 1, del TFUE (LA LEY 6/1957) que prevea la notificación directa de órdenes a los proveedores de servicios en situaciones transfronterizas.
Resumen de la propuesta de Reglamento
La propuesta de Reglamento introduce las órdenes europeas vinculantes de entrega y conservación de datos. Ambas órdenes deben ser emitidas o validadas por una autoridad judicial de un Estado miembro. Puede emitirse una orden para solicitar la conservación o la entrega de datos almacenados por un proveedor de servicios de pago ubicado en otra jurisdicción y que sean necesarios como prueba en investigaciones o procesos penales.
Estas órdenes solo podrán emitirse si existe una medida similar para la misma infracción en una situación comparable a nivel nacional en el Estado emisor. Ambas órdenes pueden ser notificadas a proveedores de servicios de comunicaciones electrónicas, redes sociales y mercados en línea, a otros proveedores de servicios de alojamiento de datos en internet, y a proveedores de infraestructuras, tales como registros de nombres de dominio y de direcciones IP, o a sus representantes legales, cuando existan.
La orden europea de conservación, de forma similar a la orden europea de entrega, se remite al representante legal fuera de la jurisdicción del Estado miembro emisor a efectos de conservar los datos en vista de una solicitud posterior para entregarlos, por ejemplo mediante la asistencia judicial en caso de países terceros o a través de una orden europea de investigación entre los Estados miembros participantes.
A diferencia de las medidas de vigilancia o las obligaciones de conservación de datos estipuladas por ley, que no están previstas en el presente Reglamento, la orden europea de conservación es emitida o validada por una autoridad judicial en un proceso penal concreto tras una evaluación individual de la proporcionalidad y necesidad en cada caso. Al igual que la orden europea de entrega, se refiere a los autores específicos, conocidos o desconocidos, de una infracción penal que ya ha ocurrido.
Igualmente, la orden europea de conservación solo permite conservar datos que ya se encuentren almacenados en el momento de la recepción de la orden, no acceder a datos en un momento futuro tras la recepción de la orden. Ambas órdenes solo pueden utilizarse en procesos penales, desde la fase inicial de investigación previa al juicio hasta el cierre del proceso mediante sentencia u otra resolución.
La Directiva
La Directiva sobre representantes legales, fue aprobada por 438 votos a favor, 152 en contra y 34 abstenciones.
Su objeto principal es identificar al destinatario de las órdenes de las autoridades de los Estados miembros para obtener pruebas en materia penal que obren en poder de los proveedores de servicios. Por consiguiente, la presente propuesta tiene como objetivo eliminar los obstáculos para dirigirse a los proveedores de servicios, ofreciendo una solución común a escala de la UE para notificarles órdenes por medio de un representante legal. Esto elimina la necesidad de enfoques nacionales individualizados y descoordinados y proporciona seguridad jurídica a nivel de la UE.
A tal fin, la propuesta establece las obligaciones de los Estados miembros de garantizar que los proveedores de servicios designen representantes legales responsables jurídicamente del cumplimiento de las órdenes judiciales en nombre de dichos proveedores.
Asimismo, un enfoque armonizado crea una situación de igualdad de condiciones para todas las empresas que ofrecen el mismo tipo de servicios en la UE, independientemente de dónde estén establecidas o desde dónde operen, respetando al mismo tiempo el principio del país de origen expuesto en el artículo 3 de la Directiva sobre el comercio electrónico.
Este principio se aplica únicamente a los proveedores de servicios de la sociedad de la información que estén establecidos en la UE, y está sujeto asimismo a una serie de excepciones y posibles exenciones.
Consta de 34 Considerandos y 10 artículos.
El artículo 1 define el objeto de la Directiva, que es establecer normas relativas a la representación legal en la Unión de determinados proveedores de servicios a efectos de recabar pruebas para procesos penales. El tipo de obligación que se impone a los proveedores de servicios puede revestir distintas formas, como la recepción, en procesos penales, de una orden de un fiscal o un juez con consecuencias jurídicas, la aportación de datos necesarios en el marco del citado proceso penal, la adopción de determinadas medidas para la conservación de datos en procesos penales, o ser objeto de un procedimiento de ejecución forzosa en caso de incumplimiento.
Los Estados miembros no podrán imponer a los proveedores de servicios obligaciones adicionales a las derivadas de la presente Directiva, como obligarles a establecer un representante legal en su propio territorio en lugar de en cualquier otro lugar de la Unión en el que ofrezcan servicios.
Las normas armonizadas sobre la representación legal no deberán limitar las competencias conferidas por el Derecho nacional y el Derecho de la Unión a las autoridades competentes para dirigirse a los proveedores de servicios establecidos en su territorio.
El artículo 2 establece las definiciones aplicables en este instrumento. Entre ellas, destacar que entran en el ámbito de aplicación de la Directiva los siguientes tipos de proveedores de servicios: proveedores de servicios de comunicaciones electrónicas; proveedores de servicios de la sociedad de la información que almacenen datos como parte del servicio prestado al usuario, incluidas las redes sociales, los mercados en línea y otros proveedores de servicios de alojamiento de datos; y proveedores de servicios de asignación de nombres y números en internet.
El artículo 3, apartados 1 a 3, establece también qué Estados miembros son responsables de imponer la obligación a los proveedores de servicios.
El artículo 3, apartado 1, se aplica a los proveedores de servicios establecidos en la Unión. Estos deberán designar al menos un representante legal en la Unión, más concretamente en un Estado miembro en el que ofrezcan servicios o estén establecidos.
El artículo 3, apartado 2, se aplica a los proveedores de servicios que no estén establecidos en la Unión. En tal caso, deberán designar un representante legal en uno de los Estados miembros en los que ofrezcan servicios.
El artículo 3, apartado 3, se aplica en ambos casos cubiertos por los apartados 1 y 2 de dicho artículo, e impone requisitos adicionales para abordar el problema inherente a la interacción entre un instrumento del mercado interior y los instrumentos de cooperación judicial adoptados en virtud del título V del Tratado.
Obliga a los proveedores que ofrezcan servicios en Estados miembros que participen en estos instrumentos a designar a un representante legal en uno de ellos. Como consecuencia de ello, un proveedor de servicios que designe un representante legal en un Estado miembro que participe en un instrumento de cooperación judicial con arreglo al Título V cumpliría sus obligaciones con arreglo a los apartados 1 o 2, según el caso, y con el apartado 3.
El artículo 3, apartado 6, aclara que los Estados miembros deben garantizar en su legislación nacional que un representante legal designado pueda ser considerado responsable de incumplimiento, sin perjuicio de la responsabilidad del propio proveedor de servicios. Los proveedores no deben poder alegar que no son responsables, por ejemplo del incumplimiento por parte de su representante legal. Tampoco pueden exculparse en razón de procedimientos internos ineficaces o de la falta de ellos, ya que son responsables de proporcionar los recursos y poderes necesarios para garantizar el cumplimiento de las órdenes y decisiones nacionales. El representante legal tampoco podrá exculparse alegando, por ejemplo, que no está facultado para entregar los datos.
El artículo 4 establece la obligación de los Estados miembros de garantizar que los proveedores de servicios designen uno o varios representantes legales y de facilitar sus datos de contacto. La notificación también deberá incluir información sobre la(s) lengua(s) en que es posible dirigirse al proveedor de servicios. Por defecto, se utilizará la lengua oficial del Estado miembro en el que esté situado el representante legal. En caso de que existan varias lenguas oficiales, el proveedor podrá elegir una o más de ellas. Por otra parte, los proveedores de servicios podrán elegir otras lenguas oficiales de la Unión para que las autoridades competentes de todos los Estados miembros se dirijan a ellos.
El artículo 5 regula las sanciones previstas para los casos en que los proveedores de servicios contemplados en la Directiva no cumplan las disposiciones nacionales adoptadas con arreglo a la misma, los Estados miembros deberán prever en su legislación nacional sanciones efectivas, proporcionadas y disuasorias que puedan imponerse a los proveedores de servicios en caso de que no designen un representante legal tal como se establece en la presente Directiva y no dispongan las competencias, recursos y condiciones necesarias, tales como infraestructura, para que el representante legal pueda cumplir las decisiones de las autoridades nacionales y entregar las pruebas solicitadas.
El artículo 6 regula el mecanismo de coordinación que, a fin de garantizar un enfoque coherente, prevé la Directiva. Este mecanismo permitirá a los Estados miembros intercambiar información, asistirse y colaborar en su enfoque de ejecución, por ejemplo, determinando el Estado miembro más idóneo para actuar en un caso concreto de incumplimiento.
Finalmente, los artículos 7, 8, 9 y 10 Estos artículos contienen otras disposiciones sobre la transposición por parte de los Estados miembros, la revisión por parte de la Comisión, la entrada en vigor de la Directiva y los destinatarios de la misma.
La previsión es que los Estados miembros transpongan la Directiva a su ordenamiento interno en el plazo de 30 meses desde la fecha de entrada en vigor de la misma, que tendrá lugar a los veinte días de su publicación en el DOUE.