Condena penal sobre la base de correos electrónicos del reo que fueron obtenidos a partir del correo electrónico de un tercero.
En la presente publicación se analiza la Sentencia de fecha 13 de febrero de 2025 dictada por el Tribunal Europeo de Derechos Humanos (en adelante, “TEDH”) en el asunto Macharik vs. República Checa, por la que se estima una demanda por vulneración de derechos fundamentales recogidos en el Convenio Europeo de Derechos Humanos (en adelante, el “Convenio”).
La resolución aborda un supuesto en el que, en el marco de un procedimiento penal, el Tribunal de Distrito n.º 3 de Praga, amparándose en la normativa procesal penal de la República Checa, dictó una orden de intervención de comunicaciones, en la que se interesaba a un proveedor de servicios de comunicaciones que remitiera todos los mensajes recibidos en el buzón de correo electrónico de determinada empresa, incluyendo toda la información disponible sobre el usuario registrado de dicho buzón, así como el contenido de todos los mensajes.
Entre la información recabada por el proveedor de servicios se localizaron varios mensajes de la demandante que fueron reenviados, por un tercer sospechoso, al titular del correo electrónico intervenido. Con ello, se inició una investigación contra la demandante, la cual interesó, en varias ocasiones, que sus mensajes de correo electrónico fueran retirados del procedimiento penal, por cuanto la orden que había permitido la intervención de sus comunicaciones carecía de fundamento legal.
Admitiendo la validez de dichos mensajes y considerándolos prueba de cargo suficiente – toda vez que fueron decisivos para acreditar el carácter ficticio de determinados contratos y facturas que comprometían a la demandante– se dictó sentencia condenatoria por un delito de fraude fiscal contra la demandante ante el TEDH, entendiendo que el órgano judicial que había acordado la citada orden era competente para ello y que dicha medida se ajustaba a los requisitos legalmente exigidos al entender las autoridades judiciales que el juicio de proporcionalidad se había realizado debidamente.
Dicha resolución fue recurrida, alegando la condenada que las pruebas incriminatorias habían sido traídas al procedimiento de forma ilícita, en la medida que, conforme a la legislación nacional, estaba permitido el acceso a determinados datos operativos y de localización, pero en ningún caso la normativa aplicable – Ley de Comunicaciones Electrónicas – permitía el acceso al contenido de los mensajes que obraban en el correo electrónico intervenido. Conforme a esta norma, la recurrente manifestó que los proveedores de servicios de comunicaciones no estaban autorizados a almacenar el contenido de dichos mensajes.
Tanto el Tribunal de Apelación como, posteriormente, el Tribunal Supremo, desestimaron los recursos interpuestos, confirmando en ambos casos la sentencia dictada en primera instancia. Ambos tribunales entendieron que, pese a la existencia de ciertos defectos formales, la orden de intervención hallaba base legal, todo ello por cuanto que i) la injerencia había sido proporcional a la naturaleza del delito penal que se investigaba, ii) se había limitado únicamente al periodo correspondiente al momento de la comisión del delito y iii) se había recopilado únicamente la información necesaria para la investigación.
Agotada la vía interna, la condenada, al amparo del artículo 34 del Convenio, interpuso demanda ante el TEDH, alegando vulneración de los artículos 8 y 6.1 del Convenio.
En este sentido, el artículo 8 del Convenio reconoce el derecho de toda persona al respeto de su vida privada, su domicilio y su correspondencia, y añade que “no podrá haber injerencia de la autoridad pública en el ejercicio de este derecho sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención de las infracciones penales (…)”.
Según la demandante, la orden de intervención de las comunicaciones, que ya había sido objeto de impugnación previamente en la jurisdicción interna, carecía de base legal dado que la regulación nacional solo permitía obtener datos de las comunicaciones, pero, en ningún caso, el contenido de las mismas y, por tanto, la referida orden se había basado en un fundamento jurídico erróneo.
A fin de determinar si existió dicha vulneración, el TEDH analiza dos aspectos, en primer lugar, si existió injerencia y, por otro lado, si la misma estaba justificada.
Pues bien, en su sentencia, el TEDH es claro al aceptar la injerencia producida, entendiendo que, dado que la medida se había aplicado a la cuenta de correo electrónico de una empresa a la que un tercero había reenviado correos de la demandante, esta última tenía una clara expectativa razonable de que se respetara la privacidad de sus comunicaciones.
Adquiere especial relevancia la interpretación que realiza el TEDH al reconocer que los mensajes contenidos en el correo electrónico profesional, pese a tener un grado de afectación menor al derecho a la privacidad, se consideran “correspondencia” y, por lo tanto, resulta de aplicación el artículo 8 del Convenio (Copland vs. United Kingdom, nº 62617/00, 7 December 2006, Tena Arregui vs. Spain nº 42541/18, 11 January 2024).
Por otro lado, para determinar si dicha injerencia estaba justificada, la jurisprudencia del TEDH exige no solo una base legal formal, sino también que se establezcan garantías claras, adecuadas y suficientes para limitar la discrecionalidad estatal, impidiendo abusos y protegiendo al individuo frente a posibles acciones arbitrarias.
Analizada la normativa interna sobre la cual se había dictado la orden de intervención de los correos electrónicos, el TEDH entiende que, efectivamente, no se permitía a los proveedores de servicios de comunicación almacenar el contenido de dichos mensajes.
Con todo ello, dispone el TEDH que la forma en que los tribunales nacionales interpretaron y aplicaron las disposiciones legales fue incoherente y demostró la falta de claridad del marco normativo, afirmando que no se habían cumplido los estándares mínimos de previsibilidad y precisión exigidos por el Convenio. Así pues, el TEDH consideró que dicha injerencia no estaba justificada, entendiendo vulnerado el art. 8 del Convenio.
En este mismo sentido también se ha manifestado el Tribunal de Justicia de la Unión Europea (en adelante, “TJUE”), cuya jurisprudencia en materia de almacenamiento masivo de los datos de telecomunicación ha evolucionado estableciendo límites estrictos para las obligaciones de retención o acceso público de este tipo de datos. Así, el TJUE anuló la Directiva 2006/24CE porque imponía una obligación general e indiscriminada de conservar los datos de comunicaciones de todos los usuarios sin diferenciar ni limitar la finalidad con la que se almacenaban dichos datos, lo que suponía una injerencia grave y desproporcionada en los derechos fundamentales al respeto de la vida privada y a la protección de datos consagrados en la Carta de Derechos Fundamentales de la UE.
Entiende el TJUE que la normativa nacional que obligue a conservar de forma general e indiscriminada datos de localización es contraria al Derecho de la Unión.
La conclusión alcanzada por el TJUE es que la retención masiva e indiscriminada de datos de telecomunicaciones no puede justificarse solo con fines de lucha contra el delito o seguridad general, sino que las retenciones de datos deben estar claramente justificadas – cumpliendo con los requisitos de aptitud y necesidad respecto del objetivo perseguido –, limitadas el tiempo y estar sujetas a controles judiciales (entre otros, caso TELE2 SVERIGE A.B. y WATSON y Digital Rights Ireland).
Por otro lado, la sentencia analizada resuelve la invocación del derecho fundamental recogido en el artículo 6.1 del Convenio, el cual reconoce el derecho a un proceso equitativo y a que toda causa sea juzgada por un tribunal imparcial. Según el TEDH esta cuestión debe analizarse teniendo en cuenta si el procedimiento en su conjunto fue justo, examinando si en vía interna se dio la oportunidad al demandante de impugnar la autenticidad de las pruebas y de oponerse a su utilización.
Concluye el TEDH que, dado que la demandante tuvo oportunidad de oponerse al uso de las pruebas obtenidas, no existió vulneración del citado artículo 6 del Convenio.
Como se analizará a continuación, lo anteriormente expuesto adquiere especial relevancia en materia de investigaciones internas.
En primer lugar, porque el régimen legal para la obtención de la información guardada en un ordenador personal incautado no es el mismo que el previsto para la obtención de la información conservada por los servidores de telecomunicaciones, aunque ambos parten de los principios de legalidad, necesidad, proporcionalidad y control judicial.
Cuando se trata de un ordenador personal, se produce una injerencia puntual ligada al contenido existente y almacenado en el dispositivo, por lo que normalmente se produce una afectación al derecho a la intimidad recogido en el artículo 18.1 de la Constitución Española (en adelante, CE).
Sin embargo, en el caso de obtención de datos conservados por terceros prestadores de servicios de telecomunicaciones (contenido de la comunicación, datos del tráfico asociados a un proceso de comunicación concreta), la injerencia suele incidir en el derecho al secreto de las comunicaciones recogido en el artículo 18.3 CE -aunque a veces, en función del tipo de dato, solo afecta al derecho a la intimidad del art. 18.1 CE- y en la protección de datos personales (art. 18.4 CE) por ser datos generados en el marco de una comunicación y no archivos previamente almacenados. A este respecto, resulta de aplicación la jurisprudencia ya citada del TJUE.
Por otro lado, dado que los servidores de telecomunicación carecen de legitimación para guardar los datos de manera indiscriminada y por tiempo indefinido, la perspectiva del derecho a la privacidad y a la protección de datos nos lleva a plantearnos el tiempo que una empresa puede conservar los datos de las telecomunicaciones que sus empleados mantienen mediante el uso de los dispositivos TIC puestos a su disposición para fines laborales.
En este sentido, ni el Reglamento General de Protección de Datos a nivel europeo, ni la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) a nivel nacional, establecen un límite temporal concreto, sino que disponen que deberán ser conservados “durante no más tiempo del necesario para los fines del tratamiento” existiendo obligación de bloquear o suprimir los datos cuando ya no sean necesarios. Por tanto, la conservación de los datos de los dispositivos electrónicos deberá evaluarse atendiendo al caso concreto y a los fines para los cuales se conservan dichos datos.
Lo que sí establece la normativa nacional e internacional es la necesidad de justificar el plazo de conservación de los datos, para lo cual la empresa deberá poder explicar qué concretos datos conserva, con qué fin se conservan y durante cuánto tiempo se conservan.
En conclusión, tanto la información recogida por los prestadores de servicios de comunicaciones como la información almacenada en dispositivos electrónicos personales constituyen una importante fuente de prueba tanto en materia de investigaciones internas como en procedimientos judiciales, debiendo ser conscientes de que su validez conforme a la jurisprudencia del TEDH y del TJUE es limitada.
A este respecto, la sentencia Macharik v. República Checa refleja un mensaje claro, esto es, el acceso a correos electrónicos es una de las formas más intrusivas de intervención en la esfera privada, por lo que exige un estándar especialmente estricto de previsibilidad, proporcionalidad y control judicial.