REGLAMENTO (UE) 2023/1543 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 12 de julio de 2023
sobre las órdenes europeas de producción y las órdenes europeas de conservación a efectos de prueba electrónica en procesos penales y de ejecución de penas privativas de libertad a raíz de procesos penales
(…)
(2) Las medidas para obtener y conservar pruebas electrónicas son cada vez más importantes a efectos de las investigaciones penales y de los procesos penales en toda la Unión. Unos mecanismos eficaces para obtener pruebas electrónicas son esenciales para combatir la delincuencia, y dichos mecanismos han de estar sujetos a unas condiciones y salvaguardias que garanticen el pleno respeto de los derechos fundamentales y de los principios reconocidos en el artículo 6 del Tratado de la Unión Europea (TUE) y la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), en particular, los principios de necesidad y proporcionalidad, las garantías procesales, la protección de la intimidad y de los datos personales y la confidencialidad de las comunicaciones.
(…)
4) Las Conclusiones del Consejo de 9 de junio de 2016 resaltaron la importancia creciente de las pruebas electrónicas en los procesos penales, y la importancia de proteger el ciberespacio de los abusos y las actividades delictivas en beneficio de las economías y las sociedades, y, por tanto, la necesidad de que las autoridades policiales y las autoridades judiciales dispongan de herramientas eficaces para investigar y enjuiciar los actos delictivos relacionados con el ciberespacio.
(5) En la Comunicación conjunta de la Comisión y de la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad al Parlamento Europeo y al Consejo, de 13 de septiembre de 2017, titulada «Resiliencia, disuasión y defensa: fortalecer la ciberseguridad de la UE», la Comisión destacó que la investigación y el emprendimiento de acciones penales eficaces contra la ciberdelincuencia son fundamentales para desalentar los ataques, y que el marco procesal actual debe adaptarse mejor a la era de internet. Los procedimientos actuales pueden a veces verse superados por la velocidad de los ciberataques, creándose de este modo la necesidad de una rápida cooperación transfronteriza.
(…)
(10) El presente Reglamento respeta los derechos fundamentales y observa los principios reconocidos por el artículo 6 del TUE y la Carta, por el Derecho internacional y por los acuerdos internacionales de los que son parte la Unión o todos los Estados miembros, incluido el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, así como por las constituciones de los Estados miembros en sus respectivos ámbitos de aplicación. Entre estos derechos y principios se incluyen, en particular, el derecho a la libertad y a la seguridad, el respeto de la vida privada y familiar, la protección de los datos de carácter personal, la libertad de empresa, el derecho a la propiedad, el derecho a la tutela judicial efectiva y a un juez imparcial, la presunción de inocencia y el derecho a la defensa, los principios de legalidad y de proporcionalidad, así como el derecho a no ser juzgado o condenado penalmente dos veces por la misma infracción penal.
(13) El respeto de la vida privada y familiar, así como la protección de las personas físicas en relación con el tratamiento de datos personales, son derechos fundamentales. De conformidad con el artículo 7 y el artículo 8, apartado 1, de la Carta, toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones y a la protección de los datos de carácter personal que le conciernan.
(14) Al aplicar el presente Reglamento, los Estados miembros deben velar por que los datos de carácter personal estén protegidos y sean tratados de conformidad con el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680, así como con la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas), también en los casos de utilización posterior, transmisiones y transferencias ulteriores de los datos obtenidos.
(15) Los datos personales obtenidos en virtud del presente Reglamento deben tratarse solo cuando sea necesario y de un modo proporcionado en relación con los fines de prevención, investigación, detección y enjuiciamiento de delitos, la aplicación de sanciones penales y el ejercicio de los derechos de defensa. En particular, los Estados miembros deben garantizar que se apliquen las políticas y medidas adecuadas en materia de protección de datos a la transmisión de datos personales por parte de las autoridades pertinentes a los prestadores de servicios para los fines del presente Reglamento, incluidas medidas destinadas a garantizar la seguridad de los datos. Los prestadores de servicios deben garantizar que las mismas salvaguardias se aplican a la transmisión de datos personales a las autoridades pertinentes. Solo las personas autorizadas deben tener acceso a información que contenga datos de carácter personal que puedan conseguirse a través de procesos de autenticación.
(16) Los derechos procesales establecidos en las Directivas 2010/64/UE ( 9 ), 2012/13/UE ( 10 ), 2013/48/UE ( 11 ), (UE) 2016/343 ( 12 ), (UE) 2016/800 ( 13 ) y (UE) 2016/1919 ( 14 ) del Parlamento Europeo y del Consejo deben aplicarse, dentro del alcance de dichas Directivas, a los procesos penales incluidos en el ámbito del presente Reglamento en lo que respecta a los Estados miembros vinculados por dichas Directivas. También deben aplicarse las garantías procesales en virtud de la Carta.
(…)
(20) La aplicación del presente Reglamento no debe afectar al uso del cifrado por parte de los prestadores de servicios o sus usuarios. Los datos solicitados mediante una orden europea de producción o una orden europea de conservación deben facilitarse o conservarse con independencia de que estén cifrados o no. No obstante, el presente Reglamento no debe establecer ninguna obligación de descifrar los datos para los prestadores de servicios.
(…)
(27) Los prestadores de servicios más importantes a efectos de obtener pruebas para procesos penales son los proveedores de servicios de comunicaciones electrónicas y los prestadores de servicios de la sociedad de la información específicos que facilitan la interacción entre usuarios. Así pues, el presente Reglamento debe aplicarse a ambos grupos. Los servicios de comunicaciones electrónicas se definen en la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo ( 15 ) e incluyen servicios de comunicaciones interpersonales tales como servicios de voz sobre IP, servicios de mensajería instantánea y servicios de correo electrónico. El presente Reglamento debe aplicarse también a otros prestadores de servicios de la sociedad de la información en el sentido de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo que no puedan calificarse como proveedores de servicios de comunicaciones electrónicas, pero que ofrezcan a sus usuarios la capacidad de comunicarse entre sí o les ofrezcan servicios que puedan utilizar para almacenar o tratar datos de otro modo en su nombre. Ello estaría en consonancia con el Convenio del Consejo de Europa sobre la Ciberdelincuencia (ETS n. o 185), hecho en Budapest el 23 de noviembre de 2001 (Convenio de Budapest). El tratamiento de datos debe entenderse en un sentido técnico, como creación o manipulación de datos, es decir, operaciones técnicas destinadas a producir o modificar datos mediante la capacidad de procesamiento de un ordenador. Las categorías de prestadores de servicios a los que se aplica el presente Reglamento han de incluir, por ejemplo, los mercados en línea que proporcionan a los consumidores y las empresas la capacidad de comunicarse entre sí, y otros servicios de alojamiento de datos, también en los casos en que el servicio se presta a través de la computación en nube, así como las plataformas de juegos y de juegos de apuestas en línea. Cuando un prestador de servicios de la sociedad de la información no proporcione a sus usuarios la capacidad de comunicarse entre sí, sino únicamente con el prestador de servicios, o no proporcione la capacidad de almacenar o tratar datos de otro modo, o cuando el almacenamiento de datos no sea un componente definitorio, esto es, una parte esencial, del servicio prestado a los usuarios, como los servicios jurídicos, de arquitectura, de ingeniería y de contabilidad prestados en línea a distancia, no debe entrar dentro del alcance de la definición de «prestador de servicios» establecida en el presente Reglamento, aun cuando los servicios prestados por dicho prestador de servicios sean servicios de la sociedad de la información en el sentido de la Directiva (UE) 2015/1535.
(…)
(32) Las direcciones IP, así como los números de acceso y la información conexa, pueden constituir un punto de partida crucial para las investigaciones penales en las que no se conozca la identidad de un sospechoso. Son normalmente parte de un registro de acontecimientos, también conocido como registro de servidor, que indica el comienzo y el fin de la sesión de acceso de un usuario a un servicio. A menudo es una dirección IP (estática o dinámica) u otro identificador el que señala la interfaz de red utilizada durante la sesión de acceso. Se necesita información conexa sobre el comienzo y el fin de una sesión de acceso de un usuario a un servicio, como los puertos de origen y el sello de tiempo, ya que las direcciones IP suelen compartirse entre usuarios, por ejemplo, cuando se dispone de una traducción de direcciones de redes de alta fiabilidad (CGN) o de equivalentes técnicos. Sin embargo, de conformidad con el acervo de la Unión, las direcciones IP deben considerarse datos personales y gozar de plena protección en virtud del acervo de la Unión en materia de protección de datos. Además, en determinadas circunstancias, las direcciones IP pueden considerarse datos de tráfico. Asimismo, los números de acceso y la información conexa se consideran datos de tráfico en algunos Estados miembros. No obstante, a efectos de una investigación penal específica, las autoridades policiales pueden solicitar una dirección IP, así como números de acceso e información conexa, con el único fin de identificar al usuario antes de que puedan solicitarse al prestador de servicios los datos de los abonados relacionados con ese identificador. En tales casos, procede aplicar el mismo régimen que a los datos de los abonados, tal como se definen en el presente Reglamento.
(33) Cuando las direcciones IP, los números de acceso y la información conexa no se soliciten con el único fin de identificar al usuario en una investigación penal específica, suelen solicitarse para obtener información más intrusiva en la vida privada, como los contactos y el paradero del usuario. Como tales, podrían servir para establecer un perfil completo de una persona afectada, pero al mismo tiempo pueden tratarse y analizarse más fácilmente que los datos de contenido, ya que se presentan en un formato estructurado y normalizado. Por lo tanto, es esencial que, en tales situaciones, las direcciones IP, los números de acceso y la información conexa no solicitada con el único fin de identificar al usuario en una investigación penal específica se traten como datos de tráfico y se soliciten con arreglo al mismo régimen que los datos de contenido, tal como se definen en el presente Reglamento.
(34) Todas las categorías de datos contienen datos personales, y están por tanto cubiertas por las garantías establecidas en el acervo de la Unión sobre protección de datos. Sin embargo, la intensidad del impacto en los derechos fundamentales varía entre las distintas categorías, en particular entre los datos de los abonados y los datos solicitados con el único fin de identificar al usuario, tal como se definen en el presente Reglamento, por una parte, y los datos de tráfico, excepto los datos solicitados con el único fin de identificar al usuario tal como se definen en el presente Reglamento, y los datos de contenido, por otra. Mientras que los datos de los abonados, así como las direcciones IP, los números de acceso y la información conexa, cuando se soliciten con el único fin de identificar al usuario, podrían ser útiles para obtener unos primeros indicios en una investigación sobre la identidad de un sospechoso, los datos de tráfico, excepto los datos solicitados con el único fin de identificar al usuario, tal como se definen en el presente Reglamento, y los datos de contenido suelen ser más pertinentes como material probatorio. Es por tanto esencial que todas esas categorías de datos estén cubiertas por el presente Reglamento. Dado el diverso grado de injerencia en los derechos fundamentales, han de imponerse salvaguardias y condiciones adecuadas para obtener esos datos.
(35) Las situaciones en las que exista una amenaza inminente para la vida, la integridad física o la seguridad de una persona deben tratarse como casos urgentes y comportan plazos más breves para el prestador de servicios y la autoridad de ejecución. Cuando la perturbación o destrucción de una infraestructura crítica, tal como se define en la Directiva 2008/114/CE del Consejo (19), implique una amenaza de ese tipo, también mediante perjuicios graves al suministro de productos básicos a la población o al ejercicio de las funciones básicas del Estado, esa situación debe tratarse asimismo como un caso urgente, de conformidad con el Derecho de la Unión.
(…)
(40) Habida cuenta del carácter especialmente sensible de los datos de tráfico, excepto en el caso de los datos solicitados con el único fin de identificar al usuario, tal como se definen en el presente Reglamento, y de los datos de contenido, ha de hacerse una distinción en lo que se refiere al ámbito de aplicación material del presente Reglamento. Debe ser posible emitir una orden europea de producción para obtener datos de los abonados o para obtener datos solicitados con el único fin de identificar al usuario, tal como se definen en el presente Reglamento, para cualquier infracción penal, mientras que una orden europea de producción para obtener datos de tráfico, excepto los datos solicitados con el único fin de identificar al usuario, tal como se definen en el presente Reglamento, o para obtener datos de contenido, debe estar sujeta a requisitos más estrictos para reflejar el carácter más sensible de estos datos. El presente Reglamento ha de establecer un umbral en relación con su ámbito de aplicación que permita un enfoque proporcionado, junto con varias otras condiciones previas y posteriores y salvaguardias destinadas a garantizar el respeto de la proporcionalidad y los derechos de las personas afectadas. Al mismo tiempo, dicho umbral no debe limitar la eficacia del presente Reglamento ni su uso por los profesionales. Permitir la emisión de órdenes europeas de producción en procesos penales únicamente por infracciones que lleven aparejada una pena máxima privativa de libertad de al menos tres años va a limitar el alcance del presente Reglamento a infracciones más graves, sin afectar excesivamente a las posibilidades de uso por los profesionales. Tal limitación excluiría del ámbito de aplicación del presente Reglamento un gran número de infracciones que los Estados miembros consideran menos graves, tal como se desprende de su pena máxima inferior. Dicha limitación también tendría la ventaja de ser fácilmente aplicable en la práctica.
41) Existen determinadas infracciones para las que las pruebas estarán normalmente disponibles solo en formato electrónico, que por su naturaleza es especialmente fugaz. Este es el caso de las infracciones relacionadas con el ámbito cibernético, incluso las que no pueden considerarse graves en sí mismas, pero que podrían causar daños extensos o considerables, en particular las infracciones con limitado impacto individual, pero de elevado volumen y perjuicio general. En la mayoría de los casos en que la infracción se haya cometido por medio de un sistema de información, la aplicación del mismo umbral que para otros tipos de infracciones daría lugar en gran medida a impunidad. Esto justifica la aplicación del presente Reglamento a tales infracciones, también cuando lleven aparejada una pena máxima privativa de libertad inferior a tres años. Otras infracciones correspondientes a los delitos relacionados con el terrorismo a que se refiere la Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo ( 20 ), así como a los delitos relacionados con los abusos sexuales y la explotación sexual de los menores a que se refiere la Directiva 2011/93/UE del Parlamento Europeo y del Consejo (21), no deben exigir el umbral de pena máxima privativa de libertad de al menos tres años.
(…)
las siguientes infracciones penales, siempre que hayan sido cometidas total o parcialmente por medio de un sistema de información:
i) las definidas en los artículos 3 a 8 de la Directiva (UE) 2019/713 del Parlamento Europeo y del Consejo
(Directiva (UE) 2019/713 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo)
ii) las definidas en los artículos 3 a 7 de la Directiva 2011/93/UE,
(Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil)
iii) las definidas en los artículos 3 a 8 de la Directiva 2013/40/UE;
Artículo 3
Acceso ilegal a los sistemas de información
Los Estados miembros adoptarán las medidas necesarias para que, cuando haya sido realizado intencionalmente, el acceso sin autorización al conjunto o a una parte de un sistema de información sea sancionable como infracción penal cuando se haya cometido con violación de una medida de seguridad, al menos en los casos que no sean de menor gravedad.
Artículo 4
Interferencia ilegal en los sistemas de información
Los Estados miembros adoptarán las medidas necesarias para que la obstaculización o la interrupción significativas del funcionamiento de un sistema de información, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, intencionalmente y sin autorización, sea sancionable como infracción penal, al menos en los casos que no sean de menor gravedad.
Artículo 5
Interferencia ilegal en los datos
Los Estados miembros adoptarán las medidas necesarias para que borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos contenidos en un sistema de información, intencionalmente y sin autorización, sea sancionable como infracción penal, al menos en los casos que no sean de menor gravedad.
Artículo 6
Interceptación ilegal
Los Estados miembros adoptarán las medidas necesarias para garantizar que la interceptación, por medios técnicos, de transmisiones no públicas de datos informáticos hacia, desde o dentro de un sistema de información, incluidas las emisiones electromagnéticas de un sistema de información que contenga dichos datos informáticos, intencionalmente y sin autorización, sea sancionable como infracción penal, al menos en los casos que no sean de menor gravedad.
Artículo 7
Instrumentos utilizados para cometer las infracciones
Los Estados miembros adoptarán las medidas necesarias para garantizar que la producción intencional, venta, adquisición para el uso, importación, distribución u otra forma de puesta a disposición de los siguientes instrumentos, sin autorización y con la intención de que sean utilizados con el fin de cometer cualquiera de las infracciones mencionadas en los artículos 3 a 6, sea sancionable como infracción penal, al menos en los casos que no sean de menor gravedad:
a) un programa informático, concebido o adaptado principalmente para cometer una infracción de las mencionadas en los artículos 3 a 6;
b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.
Artículo 8
Inducción, complicidad y tentativa
1. Los Estados miembros garantizarán que la inducción y la complicidad en la comisión de las infracciones mencionadas en los artículos 3 a 7 sean sancionables como infracciones penales.
2. Los Estados miembros garantizarán que la tentativa de cometer las infracciones mencionadas en los artículos 4 y 5 sea sancionable como infracción penal.
(Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información)
(…)
(45) En las situaciones en que los datos protegidos por el secreto profesional en virtud del Derecho del Estado emisor sean almacenados o tratados de otro modo por un prestador de servicios como parte de una infraestructura proporcionada a profesionales amparados por el secreto profesional, en su capacidad empresarial, solo debe ser posible emitir una orden europea de producción para obtener datos de tráfico, excepto los datos solicitados con el único fin de identificar al usuario, tal como se definen en el presente Reglamento, o para obtener datos de contenido cuando el profesional amparado por el secreto profesional resida en el Estado emisor, cuando dirigirse al profesional amparado por el secreto profesional pueda perjudicar la investigación, o cuando se haya renunciado a las prerrogativas de secreto profesional de conformidad con el Derecho aplicable.
(47) Los privilegios e inmunidades, que pueden referirse a determinadas categorías de personas, por ejemplo, diplomáticos, o a relaciones específicamente protegidas, como la prerrogativa de secreto profesional en la relación abogado-cliente o el derecho de los periodistas a no revelar sus fuentes de información, están contemplados en otros instrumentos de reconocimiento mutuo, como la Directiva 2014/41/UE relativa a la OEI. El alcance y los efectos de los privilegios e inmunidades difieren según el Derecho nacional aplicable que deba tenerse en cuenta en el momento de emitir una orden europea de producción o una orden europea de conservación, dado que la autoridad emisora solo debe poder emitirla en caso de que pudiera haberse emitido en las mismas condiciones en un asunto nacional similar. No existe en el Derecho de la Unión una definición común de lo que constituye un privilegio o una inmunidad. Por lo tanto, la definición precisa de estos términos se deja en manos del Derecho nacional y puede incluir protecciones que se aplican, por ejemplo, a las profesiones médicas y jurídicas, incluso cuando en dichas profesiones se utilicen plataformas especializadas. La definición precisa de privilegios e inmunidades también puede incluir normas sobre la determinación y limitación de la responsabilidad penal en relación con la libertad de la prensa y la libertad de expresión en otros medios de comunicación.
