Condemna penal sobre la base de correus electrònics del reu que van ser obtinguts a partir del correu electrònic d’un tercer.
En la present publicació s’analitza la Sentència de data 13 de febrer de 2025 dictada pel Tribunal Europeu de Drets Humans (d’ara endavant, “*TEDH”) en l’assumpte *Macharik *vs. República Txeca, per la qual s’estima una demanda per vulneració de drets fonamentals recollits en el Conveni Europeu de Drets Humans (d’ara endavant, el “Conveni”).
La resolució aborda un supòsit en el qual, en el marc d’un procediment penal, el Tribunal de Districte núm. 3 de Praga, emparant-se en la normativa processal penal de la República Txeca, va dictar una ordre d’intervenció de comunicacions, en la qual s’interessava a un proveïdor de serveis de comunicacions que remetés tots els missatges rebuts en la bústia de correu electrònic de determinada empresa, incloent tota la informació disponible sobre l’usuari registrat d’aquesta bústia, així com el contingut de tots els missatges.
Entre la información recabada por el proveedor de servicios se localizaron varios mensajes de la demandante que fueron reenviados, por un tercer sospechoso, al titular del correo electrónico intervenido. Con ello, se inició una investigación contra la demandante, la cual interesó, en varias ocasiones, que sus mensajes de correo electrónico fueran retirados del procedimiento penal, por cuanto la orden que había permitido la intervención de sus comunicaciones carecía de fundamento legal.
Admetent la validesa d’aquests missatges i considerant-los prova de càrrec suficient – atès que van ser decisius per a acreditar el caràcter fictici de determinats contractes i factures que comprometien a la demandant– es va dictar sentència condemnatòria per un delicte de frau fiscal contra la demandant davant el *TEDH, entenent que l’òrgan judicial que havia acordat la citada ordre era competent per a això i que aquesta mesura s’ajustava als requisits legalment exigits en entendre les autoritats judicials que el judici de proporcionalitat s’havia realitzat degudament.
Aquesta resolució va ser recorreguda, al·legant la condemnada que les proves incriminatòries havien estat portades al procediment de manera il·lícita, en la mesura que, conforme a la legislació nacional, estava permès l’accés a determinades dades operatives i de localització, però en cap cas la normativa aplicable – Llei de Comunicacions Electròniques – permetia l’accés al contingut dels missatges que obraven en el correu electrònic intervingut. Conforme a aquesta norma, la recurrent va manifestar que els proveïdors de serveis de comunicacions no estaven autoritzats a emmagatzemar el contingut d’aquests missatges.
Tant el Tribunal d’Apel·lació com, posteriorment, el Tribunal Suprem, van desestimar els recursos interposats, confirmant en tots dos casos la sentència dictada en primera instància. Tots dos tribunals van entendre que, malgrat l’existència d’uns certs defectes formals, l’ordre d’intervenció trobava base legal, tot això ja que i) la ingerència havia estat proporcional a la naturalesa del delicte penal que s’investigava, *ii) s’havia limitat únicament al període corresponent al moment de la comissió del delicte i *iii) s’havia recopilat únicament la informació necessària per a la recerca.
Esgotada la via interna, la condemnada, a l’empara de l’article 34 del Conveni, va interposar demanda davant el *TEDH, al·legant vulneració dels articles 8 i 6.1 del Conveni.
En aquest sentit, l’article 8 del Conveni reconeix el dret de tota persona al respecte de la seva vida privada, el seu domicili i la seva correspondència, i afegeix que “no podrà haver-hi ingerència de l’autoritat pública en l’exercici d’aquest dret sinó mentre aquesta ingerència estigui prevista per la llei i constitueixi una mesura que, en una societat democràtica, sigui necessària per a la seguretat nacional, la seguretat pública, el benestar econòmic del país, la defensa de l’ordre i la prevenció de les infraccions penals (…)”.
Segons la demandant, l’ordre d’intervenció de les comunicacions, que ja havia estat objecte d’impugnació prèviament en la jurisdicció interna, mancava de base legal atès que la regulació nacional només permetia obtenir dades de les comunicacions, però, en cap cas, el contingut de les mateixes i, per tant, la referida ordre s’havia basat en un fonament jurídic erroni.
A fi de determinar si va existir aquesta vulneració, el *TEDH analitza dos aspectes, en primer lloc, si va existir ingerència i, d’altra banda, si la mateixa estava justificada.
Doncs bé, en la seva sentència, el *TEDH és clar en acceptar la ingerència produïda, entenent que, atès que la mesura s’havia aplicat al compte de correu electrònic d’una empresa a la qual un tercer havia reexpedit correus de la demandant, aquesta última tenia una clara expectativa raonable que es respectés la privacitat de les seves comunicacions.
Adquireix especial rellevància la interpretació que realitza el *TEDH en reconèixer que els missatges continguts en el correu electrònic professional, malgrat tenir un grau d’afectació menor al dret a la privacitat, es consideren “correspondència” i, per tant, resulta d’aplicació l’article 8 del Conveni (Copland *vs. United *Kingdom, núm. 62617/00, 7 *December 2006, Tena *Arregui *vs. *Spain núm. 42541/18, 11 *January 2024).
D’altra banda, per a determinar si aquesta ingerència estava justificada, la jurisprudència del *TEDH exigeix no sols una base legal formal, sinó també que s’estableixin garanties clares, adequades i suficients per a limitar la discrecionalitat estatal, impedint abusos i protegint l’individu enfront de possibles accions arbitràries.
Analitzada la normativa interna sobre la qual s’havia dictat l’ordre d’intervenció dels correus electrònics, el *TEDH entén que, efectivament, no es permetia als proveïdors de serveis de comunicació emmagatzemar el contingut d’aquests missatges.
Amb tot això, disposa el *TEDH que la forma en què els tribunals nacionals van interpretar i van aplicar les disposicions legals va ser incoherent i va demostrar la falta de claredat del marc normatiu, afirmant que no s’havien complert els estàndards mínims de previsibilitat i precisió exigits pel Conveni. Així doncs, el *TEDH va considerar que aquesta ingerència no estava justificada, entenent vulnerat l’art. 8 del Conveni.
En aquest mateix sentit també s’ha manifestat el Tribunal de Justícia de la Unió Europea (d’ara endavant, “*TJUE”), la jurisprudència en matèria de la qual d’emmagatzematge massiu de les dades de telecomunicació ha evolucionat establint límits estrictes per a les obligacions de retenció o accés públic d’aquesta mena de dades. Així, el *TJUE va anul·lar la Directiva 2006/24CE perquè imposava una obligació general i indiscriminada de conservar les dades de comunicacions de tots els usuaris sense diferenciar ni limitar la finalitat amb la qual s’emmagatzemaven aquestes dades, la qual cosa suposava una ingerència greu i desproporcionada en els drets fonamentals al respecte de la vida privada i a la protecció de dades consagrades en la Carta de Drets Fonamentals de la UE.
Entén el *TJUE que la normativa nacional que obligui a conservar de manera general i indiscriminada dades de localització és contrària al Dret de la Unió.
La conclusió aconseguida pel *TJUE és que la retenció massiva i indiscriminada de dades de telecomunicacions no pot justificar-se només amb finalitats de lluita contra el delicte o seguretat general, sinó que les retencions de dades han d’estar clarament justificades – complint amb els requisits d’aptitud i necessitat respecte de l’objectiu perseguit –, limitades el temps i estar subjectes a controls judicials (entre altres, cas TELE2 *SVERIGE A.B. i WATSON i Digital *Rights *Ireland).
D’altra banda, la sentència analitzada resol la invocació del dret fonamental recollit en l’article 6.1 del Conveni, el qual reconeix el dret a un procés equitatiu i al fet que tota causa sigui jutjada per un tribunal imparcial. Segons el *TEDH aquesta qüestió ha d’analitzar-se tenint en compte si el procediment en el seu conjunt va ser just, examinant si en via interna es va donar l’oportunitat al demandant d’impugnar l’autenticitat de les proves i d’oposar-se a la seva utilització.
Conclou el *TEDH que, atès que la demandant va tenir oportunitat d’oposar-se a l’ús de les proves obtingudes, no va existir vulneració del citat article 6 del Conveni.
Com s’analitzarà a continuació, l’anteriorment exposat adquireix especial rellevància en matèria de recerques internes.
En primer lloc, perquè el règim legal per a l’obtenció de la informació guardada en un ordinador personal confiscat no és el mateix que el previst per a l’obtenció de la informació conservada pels servidors de telecomunicacions, encara que tots dos parteixen dels principis de legalitat, necessitat, proporcionalitat i control judicial.
Quan es tracta d’un ordinador personal, es produeix una ingerència puntual lligada al contingut existent i emmagatzemat en el dispositiu, per la qual cosa normalment es produeix una afectació al dret a la intimitat recollit en l’article 18.1 de la Constitució Espanyola (d’ara endavant, CE).
No obstant això, en el cas d’obtenció de dades conservades per tercers prestadors de serveis de telecomunicacions (contingut de la comunicació, dades del trànsit associats a un procés de comunicació concreta), la ingerència sol incidir en el dret al secret de les comunicacions recollit en l’article 18.3 CE -encara que a vegades, en funció del tipus de dada, només afecta al dret a la intimitat de l’art. 18.1 CE- i en la protecció de dades personals (art. 18.4 CE) per ser dades generades en el marc d’una comunicació i no arxius prèviament emmagatzemats. Referent a això, resulta d’aplicació la jurisprudència ja citada del *TJUE.
D’altra banda, atès que els servidors de telecomunicació manquen de legitimació per a guardar les dades de manera indiscriminada i per temps indefinit, la perspectiva del dret a la privacitat i a la protecció de dades ens porta a plantejar-nos el temps que una empresa pot conservar les dades de les telecomunicacions que els seus empleats mantenen mitjançant l’ús dels dispositius TIC posats a la seva disposició per a fins laborals.
En aquest sentit, ni el Reglament General de Protecció de Dades a nivell europeu, ni la Llei orgànica de Protecció de Dades Personals i garantia dels drets digitals (d’ara endavant, *LOPDGDD) a nivell nacional, estableixen un límit temporal concret, sinó que disposen que hauran de ser conservats “durant no més temps del necessari per als fins del tractament” existint obligació de bloquejar o suprimir les dades quan ja no siguin necessaris. Per tant, la conservació de les dades dels dispositius electrònics haurà d’avaluar-se atès el cas concret i als fins per als quals es conserven aquestes dades.
El que sí que estableix la normativa nacional i internacional és la necessitat de justificar el termini de conservació de les dades, per a això l’empresa haurà de poder explicar quines concretes dades conserva, amb quina fi es conserven i durant quant temps es conserven.
En conclusió, tant la informació recollida pels prestadors de serveis de comunicacions com la informació emmagatzemada en dispositius electrònics personals constitueixen una important font de prova tant en matèria de recerques internes com en procediments judicials, havent de ser conscients que la seva validesa conforme a la jurisprudència del *TEDH i del *TJUE és limitada.
Referent a això, la sentència *Macharik *v. República Txeca reflecteix un missatge clar, això és, l’accés a correus electrònics és una de les formes més intrusives d’intervenció en l’esfera privada, per la qual cosa exigeix un estàndard especialment estricte de previsibilitat, proporcionalitat i control judicial.