Los tribunales dudan de la legalidad de los miles de archivos que obtuvo la policía en EncroChat sin orden judicial

La polémica operación policial se produjo de forma «indiscriminada, prospectiva y selectiva», razonan numerosos abogados europeos con clientes afectados

Alemania absolvió al hombre cuyo caso llevó al Tribunal de Justicia de la Unión Europea a pronunciarse sobre la legalidad de las pruebas obtenidas tras una masiva infiltración policial en Encrochat.

Es decir, la policía se infiltró ilegalmente en Internet y logró clonar miles de archivos de cientos de ciudadanos europeos que luego ha distribuido por los países en los que estos residen porque entienden que han podido cometer delitos.

Y lo ha hecho tratando de darles visos de legalidad y que los tribunales los utilicen para establecer condenas en los casos en que se releve la existencia de delitos.

Los tribunales alemanes han dictado ya sentencias absolutorias. No se puede juzgar ni condenar a nadie con intromisión de derechos fundamentales obtenidos ilícitamente y sin la autorización de los jueces de los diferentes países afectados.

El tribunal de Berlín que planteó las cuestiones prejudiciales en el caso de uno de los absuletos, cuya resolución esperaban cientos de abogados, considera que se han vulnerado los derechos del investigado; en otras palabras, que la prueba es inadmisible.

La sala adopta y razona así una decisión que pone en entredicho la interpretación que han hecho otros magistrados tras la sentencia del alto tribunal europeo.

Obstáculos

Tanto la justicia alemana como la española han condenado posteriormente avalando o restando peso a los datos procedentes de esa fuente, EncroChat, tratando de salvar los obstáculos para señalar otros elementos de la investigación que han tratado de desconectar de EncroChat.

Es decir, en España se ha condenado pero solo si el tribunal ha dispuesto de otro tipo de información que avale la de Encrochat. Pero solo con los datos de EncroChat, no.

Los abogados de los investigados por EncroChat siempre han sostenido que incorporar al proceso esas pruebas es incompatible con el principio de legalidad.

Puesto que mantienen que la operación policial se produjo de forma indiscriminada y no selectiva; que las investigaciones se realizaron de forma prospectiva; y que los cauces seguidos a la hora de compartir la información entre Francia, donde, en la primavera de 2020, se autorizó judicialmente la operación policial, y el resto de países no fueron los adecuados.

Estos argumentos han sido desoídos hasta ahora.
Lo que el Tribunal de Justicia de la Unión Europea (TJUE) ha señalado al respecto el artículo 31 de la Directiva 2014/41 (la norma que regula las Órdenes Europeas de Investigación).

A través de este instrumento la fiscalía española solicitó los datos a Francia, donde se hizo la operación, y advierte: «Una medida que implique la infiltración de dispositivos terminales con el fin de recopilar datos de tráfico, localización y comunicación de un servicio de comunicación basado (…) debe ser notificada a la autoridad designada a tal efecto por el Estado miembro en cuyo territorio se encuentre el objeto de la interceptación”-

La finalidad, que esa autoridad pueda comprobar si se respetan los derechos de las personas investigadas.

Guardia Civil

Resulta claro que eso no sucedió, pues fue la propia Guardia Civil quien advirtió a la Fiscalía Especial Antidroga de la existencia de datos que podrían resultar de interés por tener relación con posibles hechos delictivos en España.

El artículo 31 de la Directiva “tiene por objeto proteger también los derechos de los usuarios afectados por una medida de interceptación de telecomunicaciones”, añaden los jueces de Luxemburgo.

Respondiendo también a las cuestiones planteadas por el tribunal de Berlín, el TJUE añade algo que resulta clave: “En los procesos penales contra una persona sospechosa de haber cometido delitos, los tribunales penales nacionales están obligados a hacer caso omiso de la información y las pruebas si esa persona no está en condiciones de comentar eficazmente sobre esa información y sobre esas prueba; cuando es probable que dicha información y evidencia tengan una influencia preponderante en las conclusiones de hecho”.

Y esto es exactamente lo que ha hecho el tribunal que activó la maquinaria de Luxemburgo: obviar dichas evidencias.

En España, esas pruebas fueron trasladadas en virtud de una orden europea de información en el marco de unas diligencias de investigación de la fiscalía; esto es, unas diligencias preprocesales, sin juez de por medio y sin que los investigados tuvieran derecho a recurrir de ningún modo.

El tribunal alemán destaca en su resolución, que aún no está por escrito, que “no se estableció que fuera razonable siquiera sospechar que todos los usuarios fueran delincuentes o que cometieran delitos lo suficientemente graves como para piratear o interceptar sus comunicaciones completas».

Además, «no se determinó por qué las pruebas no podrían haberse obtenido de una forma que no supusiera hackear a todos y cada uno de los usuarios de este sistema”, subraya el abogado que ha defendido al investigado en este caso, Christian Lödden.

“Es la primera vez que un tribunal se pronuncia en este sentido, afirmando que esta forma de proceder viola el derecho nacional y el europeo”, añade Lödden, que recuerda que la justicia alemana, hasta ahora, se había escudado en el principio de no indagación entre países de la UE para evitar entrar a valorar la forma en la que fue obtenida la información.

“Creemos que esta opinión sobre el artículo 31 tendrá y debería tener efecto para todos los procedimientos basados en este tipo de pruebas, al menos dentro de la Unión Europea”, concluye el letrado alemán.

La cronología

Hoy por hoy, el futuro de decenas de causas en España depende de la interpretación que se haga de la legalidad del origen de las pruebas de EncroChat y del peso que estas tengan en la investigación concreta.

Por eso, no son pocos los abogados que siguen pidiendo que se ponga negro sobre blanco la forma en que dicha información fue obtenida.

La Audiencia Nacional autorizó el año pasado una serie de diligencias encaminadas a determinar el origen de estos datos.

Especialmente importantes fueron las Diligencias 16/20, con tres investigados, que fueron enviados de España a Francia, donde ingresaron en prisión.

Fueron acusados de distribuir los dispositivos con este sistema de comunicación. Este marco fue el utilizado para incorporar información que excedía claramente una causa concreta. Si bien desde la fiscalía se han dado respuestas incompletas y desde organismos como Eurojust se ha recurrido al secreto para no desvelar determinadas cuestiones.

La cronología de los hechos y la naturaleza de las miles de conversaciones intervenidas resulta cada vez más clara.

La infiltración ilegal

En la primavera de 2020 un equipo conjunto de policía holandesa, británica, francesa y belga consiguen introducir un malware en el sistema EncroChat y acceder a los datos de todos los dispositivos de los usuarios.

El 22 de julio de 2020, la UCO de la Guardia Civil comunica a la Fiscalía Especial Antidroga la existencia de estos datos y solicita que se abran unas diligencias de investigación y se emita a Francia una Orden Europea de Investigación para recabarlos.

Es algo que el Ministerio Público hace tres días más tarde. No se pedían unas informaciones concretas, sino todos los datos de los usuarios de este sistema que se hallasen registrados en España, algo que ya es contrario al espíritu de la Ley de Reconocimiento Mutuo (art 193).

El 14 de septiembre de ese año, una jueza de Lille (Francia) autoriza la cesión de los datos y el 12 de noviembre, un teniente de la Guardia Civil de la UCO ( D05252Y) recibe en Francia un disco duro de 250 GB con conversaciones que se utilizan para iniciar cientos de causas.

Seis días mas tarde, la Fiscalía autoriza a la Guardia Civil a hacer uso de los datos.

No obstante, este mismo teniente ya había accedido en tiempo real a las conversaciones con la autorización de las autoridades francesas, pero sin la supervisión de ningún juez español y con acceso a miles de diálogos mantenidos entre españoles en territorio nacional.

Se trata de un hecho que, en un principio, se intentó mantener oculto. De hecho, esa información “en vivo” fue la que permitió identificar a los presuntos vendedores de dispositivos Encro en España.

De modo que la OEI que finalmente tramitó la Fiscalía recogía exactamente el mismo contenido que el teniente de la UCO ya manejaba como inteligencia policial.

Desde el 2021, los tribunales españoles han recurrido al principio de no indagación para evitar verificar la cadena de legalidad y han restado peso a las pruebas, asegurando que el posible vicio era salvable puesto que, de una u otra forma, la investigación habría acabado descubriendo el delito.

Lo cierto es que, en muchos de los casos, la investigación surge precisamente del ingente volumen de datos recopilados por la policía.

Además, la justicia española asegura que la Fiscalía es competente para solicitar este tipo de datos y esquiva la cuestión de que los datos obtenidos afectan a derechos fundamentales, cuya tutela es exclusiva de los jueces.

Ignoran igualmente la imposibilidad de recurrir o de estar informado del investigado, al no estar los asuntos judicializados.

Los argumentos de los investigados

Lo primero que se ha de tener en cuenta es que, según el artículo 11 de la Ley Orgánica del Poder Judicial En España, una prueba que se haya obtenido violando los derechos fundamentales del investigado es nula y no puede ser utilizada en un proceso penal.

La ley 31/2010 excluye como inteligencia la información que haya requerido de medidas coercitivas. Esta información, para estar amparada por la norma debe atenerse a la legislación en materia de protección de datos, que tiene como uno de sus ejes la minimización: esto es, no usar más datos de los necesarios.

“El propio decreto del fiscal antidroga autorizando investigaciones en barbecho muestra lo lejos que estaban de la protección de datos. La directiva 2023/977 de intercambio de información de inteligencia de 10 de mayo, al definir lo que puede ser objeto de intercambio remite al anexo 2 del reglamento de Europol, que excluye el contenido de las comunicaciones”, explica uno de los abogados que defiende a investigados por EncroChat.

Aunque el Tribunal de Justicia de la Unión Europea establece unas bases legales comunes, el derecho interno de los distintos países resulta determinante a la hora de analizar la legalidad de una medida invasiva como la intervención de las comunicaciones de miles de dispositivos de forma inmotivada.

En España, la injerencia en el secreto de las comunicaciones tiene una reserva jurisdiccional; esto es, al ser restrictiva de derechos fundamentales, solo puede ser ordenada por un juez.

La Ley de Enjuiciamiento Criminal no autoriza al fiscal a realizar intervenciones telefónicas o a trasladar su contenido entre procedimientos judiciales sin autorización judicial.

Esto pone en cuestión la competencia del fiscal para emitir una OEI que tenía como finalidad recabar dichos datos.

“La Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la UE reconoce a la Fiscalía, en su artículo 187, como autoridad de emisión de órdenes europeas de investigación en los procedimientos que dirija y lleve la dirección de la fase de instrucción, lo hace siempre que la medida que contenga la OEI no sea limitativa de derechos fundamentales, es imposible emitir una OEI con carácter general”, ahonda el penalista Ricardo Álvarez Ossorio.

Este abogado alude también a la Circular de la Fiscalía General del Estado 2/2022 en la que las diligencias de investigación practicadas por la fiscalía “no pueden aspirar a transmutar su naturaleza y convertirse en actos de prueba”, al desarrollarse en un contexto preprocesal y estar estos atribuidos a la función del juez de instrucción.

El Tribunal Europeo de Derechos Humanos ya ha declarado violado el Convenio Europeo de Derechos Humanos en varias ocasiones cuando se han aplicado medidas coercitivas contra personas sobre las que solo existiría como indicio el uso de tecnología encriptada, como en algunos de los casos relacionados con EncroChat.

Por ejemplo, el caso Akgun contra Turquía, 2021.

O cuando no se ha permitido a las defensas acceder a las fuentes de prueba originales al invocar secretos de defensa o Estado.

En este caso, los investigados no sabían que lo estaban siendo y no han podido recurrir puesto que no se han judicializado los asuntos hasta mucho después de la injerencia en los derechos.

Más que contundente fue la sentencia de este mismo tribunal cuando, en el año 2023, condenó a Turquía por violar varios artículos del Convenio Europeo de Derechos humanos.

Penó a un hombre por su supuesta pertenencia a un movimiento terrorista basándose que hacía uso de Bylock, otra aplicación de mensajería encriptada, el “EncroChat turco”.

Turquía violó el derecho a un juicio justo porque, como sucede en el caso de EncroChat, las defensas de las personas investigadas no tuvieron acceso a las pruebas en su formato original y estas no pudieron ser examinadas.

Los investigados no fueron conscientes de que estaban siendo investigados y, por tanto, no pudieron recurrir o impugnar las medidas que se estaban tomando contra ellos.

La operación Emma

(Mensaje del 25/05/20, donde se admite llevar dos meses de interceptación en vivo )

Hay pocas dudas del origen de la información y de los cauces que se siguieron en su transmisión. En un caso similar, relacionado con el sistema de comunicación encriptada SkyECC, una teniente de la Guardia Civil admitía durante un interrogatorio judicial, el pasado año en la Audiencia Nacional: «A nosotros, a nivel policial, nos facilitan la información antes de que llegue al juzgado, para ver si hay algo de interés antes de solicitar la OEI”.

En el caso de EncroChat, añadió, «hemos tenido acceso a documentos que acreditan cómo las policías de distintos países se pusieron de acuerdo para desarrollar este sistema de infiltración masiva y compartieron cuestiones operativas y de contenido».

Es la Operación Emma:

Las primeras comunicaciones policiales se remontan a finales de febrero del año 2019. “La policía de Holanda, Reino Unido y Francia crearon un equipo para luchar contra una organización criminal con un sistema de comunicaciones utilizado para la distribución de droga.

Es un sistema de comunicación cifrado que se ha vendido a más de 55.000 usuarios en todo el mundo. Es un sistema diseñado para evitar actividades policiales”, se puede leer.

Desde el primer momento son conscientes de que su plan puede comprometer la privacidad de decenas de miles de usuarios, pero resuelven: “Actualmente no existe ninguna razón objetiva para creer que un usuario (de EncroChat) no realice actividades delictivas”.

En esas primeras conversaciones ya explican que la policía francesa ha copiado la infraestructura completa del sistema de comunicación.

El 6 de septiembre de 2019 ya hay una reunión en Lille, Francia, y se intensifica el intercambio de conversaciones. Reino Unido, por entonces miembro de la UE, tiene un papel muy activo.

A principios de febrero del 2020, los distintos cuerpos policiales se citan para un encuentro que dura tres días: 19, 20 y 21 de febrero.

Asisten, al menos, miembros de Francia, Holanda, Reino Unido, Bélgica y de Europol. Según las intenciones de los promotores franceses, el encuentro busca “coordinar asuntos operativos entre países involucrados, resolver una estrategia y aspectos del análisis de datos o establecer una estrategia para compartir inteligencia a partir de interceptaciones en vivo”.

El acta posterior a ese encuentro detalla que serán Países Bajos y Francia quienes especificarán los datos que se compartirán con los países que no son miembros del JIT (equipo de trabajo policial conjunto) y los términos y condiciones para su uso y difusión.

“Lo ideal sería que los países que no son JIT proporcionen las decisiones de sus autoridades competentes antes del inicio de la operación común. En caso de no haber respuesta de un país en particular, los datos relacionados serán conservados pero no difundidos. Europol eliminará los datos de sus sistemas”.

En esta reunión ya se habla de cómo se distribuirían esos datos: “La intención del JIT es crear paquetes específicos para los que no son miembros del JIT basados en torres de telefonía móvil del teléfonos, en la hora y fecha de la acción”.

Y ponen fechas: “La fecha indicativa de inicio de la acción está fijada provisionalmente para el 10 de marzo de 2020. Se espera que la recopilación de datos dure hasta 2 meses”.

“No deseamos comunicar el número de usuarios que pueden haber sido afectados por esta medida”

En otro documento, fechado el 9 de marzo, cuando se produce otro encuentro, se concreta que “el intercambio de información se realizará inicialmente a través de Europol (en forma de inteligencia policial).

Y que estarán sujetos a un alto nivel de confidencialidad. Cada país individual debe encargarse posteriormente de enviar sus solicitudes de asistencia mutua a las autoridades francesas, para que los datos puedan incorporarse a procedimientos judiciales”.

Esto evidencia, una vez más, el orden en el que se produjo el intercambio de información. El 29 de junio ya se propone un texto borrador común para las órdenes europeas de investigación.

Datos en tiempo real

Según la documentación intercambiada a través de Siena, el canal de comunicación entre policías, los agentes accedieron a datos en tiempo real desde el mes de abril. Una interceptación que se prorroga posteriormente, a partir de junio.

Son los datos con los que se inicia la investigación policial sobre el vendedor en España de los dispositivos móviles, una investigación que derivaría en las diligencias de la fiscalía 16/2020.

“Pretendemos que esta etapa sea lo más confidencial y prolongada posible para observar cómo reaccionan los grupos criminales”, apunta las diferentes policías en mayo.

Entre las normas restrictivas que se trasladan en mayo a todas las policías que intervienen de una u otra forma en la operación, es que “no se haga ninguna revelación sobre la operación Emma” o que se “haga uso de sus posibilidades procesales para mantener en secreto durante el mayor tiempo posible la fuente de los datos obtenidos”.

Cualquier imprudencia en la comunicación institucional podía tener consecuencias procesales. Saben que la acción afecta a personas que pueden no estar cometiendo delitos.

“No deseamos comunicar el número de usuarios que pueden haber sido afectados por esta medida, ni sobre la duración de esta medida, ni sobre los modelos comprometidos para evitar cualquier peligro jurídico”.

El 4 de junio, la empresa, EncroChat, se percata de la brecha que han sufrido y envía un mensaje a los usuarios advirtiendo de ello.

El 25 de junio la policía ya habla de la operación como “un gran logro”, aunque añade que el “pleno éxito sólo se conseguirá si conseguimos, todos juntos, desmantelar los OCG detectados garantizando un nivel de evidencia suficiente para obtener convicciones significativas contra sus miembros”.