La Audiencia Nacional analiza si los miles de archivos de españoles intervenidos por Europol en EncroChat se obtuvieron legalmente

Testimonios ofrecidos por guardias civiles ante jueces revelan numerosas irregularidades

La Sección Segunda de la Sala de lo Penal de la Audiencia Nacional deberá pronunciarse sobre la validez judicial de los datos obtenidos en la Operación EncroChat tras la aparición de nuevos hechos que acreditan una posible ocultación de información por parte de los agentes de la UCO de la Guardia Civil sobre dos elementos determinantes en el desarrollo del Procedimiento Ordinario 5/22.

O sea, la forma y la fecha en la que comenzó la recepción de los millones de mensajes encriptados que Francia, en el seno de una operación liderada por la Europol, puso a disposición de las autoridades españolas.

En base a esos datos, se iniciaron investigaciones generalizadas pero sin permiso judicial a supuestas organizaciones que se dedicaban a actividades ilícitas como el tráfico de drogas.

Ambas cuestiones (el cómo y el cuándo) colocan en el centro del debate prácticas aparentemente poco ortodoxas, como la ocultación al juez de intervenciones telefónicas, su posterior utilización como prueba sin control judicial, la ruptura de la cadena de custodia y una eventual manipulación de la integridad las pruebas tenidas en cuenta durante el proceso.

El tribunal, por tanto, deberá dilucidar sobre cuestiones fundamentales que llegan al fondo del asunto, como el alcance legal de la inteligencia policial, sus límites operativos y las garantías judiciales, que deben respetarse incluso en investigaciones sensibles.

El citado órgano judicial se encuentra presidido por Ana Victoria Revuelta Iglesias y por los magistrados José Joaquín Hervás Ortiz y Joaquín Delgado Martín.

Estos tres juristas fueron los mismos que propiciaron inicialmente la legalidad de las pruebas extraídas de EncroChat y ahora deberán determinar, tras tener constancia de hechos hasta hora inéditos, si mantienen su postura inicial sobre la validez judicial de las informaciones obtenidas-

O imponen limitaciones de aplicación o declaran la nulidad de las mismas en procedimientos penales. La rectitud en la obtención de pruebas es un elemento sagrado.

Mientras tanto, las contradicciones entre los propios investigadores de la UCO se suceden en sede judicial.

Estas discrepancias versan, por un lado, sobre la forma en la que se extrajeron las conversaciones de los usuarios de EncroChat y, por otro, sobre la fecha concreta en la que comenzaron a recibir datos de esta herramienta.

Dos aspectos de trascendencia evidente que afectan de manera directa a la de las pruebas y que ponen en entredicho, por ello, la licitud del material probatorio.

La fecha en la que se empezaron a recibir los datos es el primer aspecto que ha generado significativas contradicciones entre los agentes intervinientes en el operativo.

En este sentido, el teniente al mando del Grupo de Blanqueo de Capitales (D05252Y) aseveró que se enviaron datos desde Francia meses antes de que él mismo recogiese el disco duro con los oficiales.

Esta circunstancia ha sido avalada por el grueso de los miembros del operativo salvo por el agente M72267Z, supuesto creador de la herramienta EncroChat Detective, que se aparta de lo manifestado por sus homólogos al sostener que los datos con los que trabajó antes de la llegada del soporte físico desde Francia eran ficticios o de prueba.

Pero, en ningún caso, reales. De esta forma, niega un trabajo previo con información en tiempo real aún habiendo razones objetivas que respaldan que existió actividad diaria con material ‘en vivo’.

Sobre ello, también se expresó en el primer juicio de EncroChat en la misma Sección de la Audiencia Nacional, el agente con identificación K59790L, quien sostuvo que los datos estaban almacenados en un servidor en Francia y que solo fueron accesibles a la Guardia Civil tras la llegada del disco duro.

A pesar de que esta versión fue avalada por el tribunal, no parece ajustarse a la realidad de los hechos y, unida a la del Guardia Civil M72262Z,
puede enmascarar un intento coordinado y premeditado por presentar una narrativa de lo sucedido con el objetivo de validar las pruebas obtenidas.

Sin embargo, el resto de los agentes interrogados reconocieron que tuvieron acceso previo a los datos por vía inteligencia cuando todavía no existía orden judicial.

Añadieron, además, que el contenido de dicha inteligencia creen que era exactamente el mismo que después se usó como prueba en sede judicial, porque no han visto lo que hay en el disco duro, solo han trabajado con lo anterior .

Para sustentar su argumentación, el teniente D05252Y afirmó que cada día recibía los archivos JSON con todos los datos (ubicaciones, conversaciones, notas y pines de desbloqueo de los terminales ) de los 4653 usuarios de EncroChat ubicados en España.

Intervenciones masivas

Este testimonio enlaza con el del también teniente de la UCO Felipe Rubio Moreno que, al igual que su homólogo, participó activamente en la operación.

En su artículo ‘Caso EncroChat y la prueba resultante de las intervenciones masivas de comunicaciones encriptadas en procesos penales extranjeros’ publicado en La Ley penal reconoció de forma expresa que durante la fase operativa (también llamada fase en vivo) se accedió a todas las copias interceptadas y que, además, existía una manifiesta inseguridad jurídica
entre los propios investigadores acerca de la validez legal de dicha información en el ámbito penal español.

La misma línea argumental sostiene otro agente de la EDOA (Equipo de Delincuencia Organizada y Antidroga) que declaró que ‘la legalidad, por llamarla de alguna manera’ no la había recibido.

De esta afirmación se deduce que no es posible determinar que los datos obtenidos en la fase en vivo sean iguales a los que ser recibieron posteriormente en soporte físico.

Estas declaraciones contrapuestas no hacen sino evidenciar la confusión entre los propios miembros de los cuerpos de seguridad españoles sobre el estatus jurídico de la información con la que trabajaron con carácter previo a la recepción formal de los datos.

Por ello, tanto la validez como la licitud del material probatorio quedarían puestos en entredicho.

No determinar el eje temporal concreto en el que se produjo el volcado de datos resulta significativo puesto que es un dato que sí consta en otros procedimientos europeos donde se evidencia que la fase activa de envío de datos se inició el 4 de abril de 2020 y se prolongó hasta el 12 de junio de ese mismo año.

Con envíos diarios de todos los paquetes de datos por parte de las autoridades francesas.

Discutida recepción de datos

El otro aspecto clave es que se desconoce cómo (la forma) llegaron las conversaciones a la EDOA. En relación a la manera en que se habían recepcionado las mismas, un miembro del operativo (J51280C), en una vista judicial, desveló que, en formato Excel.

Y continuó diciendo que no recordaba haberse trasladado a Madrid a por las conversaciones. Este testimonio no solo contraviene al del teniente D05252Y sino que suscita dudas de transparencia en torno a la forma en que se recibieron los datos de EncroChat.

Ante todo lo expuesto por las partes intervinientes, los hechos parecen apuntar a que la información usada para construir la acusación procedería de una copia cargada extrajudicialmente y que el traslado del disco pudo ser una maniobra para dotar de legalidad aparente una actuación que carecía de ella.

De ello se infiere una posible ocultación de datos determinantes que podrían invalidar múltiples causas penales en las que se están usando los datos de EncroChat como prueba judicial cuando podría haberseusado como inteligencia operativa.

Alegaciones de los abogados defensores de los acusados:
el primero en formular sus alegaciones finales fue el abogado Tomás Torres Dusmet, quien realizó un llamamiento expreso al tribunal para que se pronuncie sobre la validez o invalidez del mecanismo usado para la obtención de los datos que fueron manejados sin la preceptiva autorización judicial española,amparándose en un mandato judicial francés
sin legitimidad para actuar en España.

Así, el abogado, tras una prolija exposición de motivos, instó a los miembros del tribunal al pronunciamiento porque ‘ni siquiera el
agente principal de la UCO en este caso sabía si lo que estaba haciendo era legal’, en referencia al testimonio del agente D05252Y.

A su juicio, esta situación plantea lo que considera una amenaza al Estado de Derecho, ya que, conforme a la legislación española, la recepción y utilización de comunicaciones privadas de miles de ciudadanos españoles requiere necesariamente de una orden judicial emitida por una autoridad judicial española competente, orden que, en este caso, nunca se emitió.

El letrado subrayó que es el momento para que el tribunal delimite con claridad qué puede y qué no puede entenderse bajo el concepto de ‘inteligencia policial’.

En particular, planteó una cuestión si por ‘inteligencia policial’ puede entenderse el envío y utilización de conversaciones íntegras, datos de posicionamiento o cualquier otra información invasiva sin control judicial previo, o si, por el contrario, ello excede de forma evidente los límites legales y constitucionales establecidos.

En su alegato mencionó la sesión del 2 de junio y se centró en la declaración del agente D05252Y, que se ha convertido en una pieza clave del proceso judicial en curso por su participación activa en las tres fases del procedimiento de EncroChat.

Particular relevancia adquieren las palabras del teniente porque se ha constatado que intervino activamente tanto en la fase previa del operativo como en la segunda fase -de lectura y escucha de las conversaciones en tiempo real- y en la tercera y última fase cuando se desplazó a Francia a por el disco duro proporcionado por la Gendarmería.

El segundo en intervenir fue el letrado Sergio Nuño Díez de la Lastra, quien centró su alegato haciendo hincapié en la falta de garantías técnicas y procesales que rodean la prueba digital utilizada.

Según expuso, ni la cadena de custodia ni la autenticidad de los datos del disco duro aportado por las autoridades francesas están acreditadas. Denunció también que ni la defensa ni los investigadores han tenido acceso a los mensajes (JSON), sino únicamente a documentos PDF y Excel generados por la propia policía, lo que impide realizar una pericial independiente sobre la integridad de la información.

Nuño cuestionó el origen y validez del disco duro entregado por
Francia. Tal y como refirió, la propia Guardia Civil admitió en Sala que hubo una fase policial previa, sin control judicial, en la que ya se accedía a los mensajes en tiempo real, y que fue con carácter posterior cuando se procedió a la formalización de la prueba.

Advirtió que, desde su inicio, la operación Encrochat fue prospectiva, afectando de manera desproporcionada a más de 30.000 teléfonos en 122 países, incluyendo 4.653 usuarios españoles, sin que existiera una orden judicial nacional para autorizar la intervención.

Al igual que ocurrió en el turno de Torres Dusmet, el letrado fue interrumpido por el tribunal y no pudo completar su intervención al aplicarse de forma inflexible el límite de tiempo asignado para la defensa.

Este hecho generó cierta controversia entre el conjunto
de los abogados de la defensa que consideran que la limitación temporal está afectando al derecho de defensa en un caso de especial complejidad técnica y jurídica.

El siguiente abogado en manifestarse fue Jorge Sánchez Zafra, quien denunció las contradicciones en las declaraciones de los agentes y una estrategia estructurada de ocultación de información por parte de los investigadores.

Recordó, como los demás abogados de los acusados, que varios agentes reconocieron en juicio que trabajaron durante semanas con datos reales en la llamada ‘fase en vivo’ antes de que llegara el disco duro oficial, y que esa información estaba sujeta a códigos de manejo de Europol que prohibían su uso judicial.

Esta fase, nunca revelada en procedimientos anteriores, a su juicio anularía la validez de toda la prueba derivada de Encrochat.

Resumen

En resumen, los abogados defensores coincidieron en que la prueba obtenida de Encrochat no puede considerarse válida conforme al jurídico español, puesto que admitir su uso equivaldría a aceptar una forma de vigilancia masiva sin control judicial, amparada en órdenes dictadas por un juez extranjero y bajo un concepto de ‘inteligencia policial’ aún no definido legalmente.

Consecuencias del uso de los datos de EncroChat como material probatorio:

El uso de los datos de EncroChat supone infringir la Directiva 2014/41 que rige las órdenes europeas que exigen que la comunicación a la autoridad judicial ha de hacerse antes o durante la intervención pero no después.

También destacó que el tribunal se pronunció el 9 de mayo de 2024 en la tercera fase que era la única conocida. El letrado sostiene que en esta última fase existen nulidades que impiden por sí solas validar la incorporación a autos de los datos provenientes de
EncroChat y su uso como prueba jurídica al no cumplirse los estándares mínimos exigibles en un proceso penal.

Requisitos de las pruebas documentales

Torres Dusmet enumeró los requisitos que se deben cumplir para que
las conversaciones de EncroChat puedan considerarse pruebas documentales.

En primer lugar, se tiene que demostrar de forma técnica, objetiva y pericial que el contenido remitido por Francia es original. Así, la simple manifestación de un Guardia Civil no sería suficiente para ello.

Además, los archivos JSON no pueden ser editables sino que ha de existir una firma digital, respetarse la cadena de custodia y ser verificables. Tal y como señala el letrado, al no realizarse el cálculo del hash del disco duro el día que se recibió sino que se hizo siete días después no se puede certificar que los datos no hayan sido manipulados, cambiados o alterados.

Cabe destacar que los datos entregados eran una copia editable que no
genera garantía probatoria alguna y que supone el incumplimiento del artículo 11 de la Ley Orgánica del Poder Judicial (LOPJ) así como de los criterios técnicos internacionales, como la norma UNE- ISO 27037: 2016 y del Convenio de Budapest.

En relación al carácter editable de los archivos, la perito Ainhoa Celaya en testimonio del 16 de junio, sentenció que ‘como prueba documental no es ni auditable’.

En último lugar, para que pueda adquirir el rango de prueba documental válida, ha de mediar la documentación técnica que permita auditar la integridad y autenticidad de los datos recabados por esta vía.

La falta de pulcritud y rigurosidad a la hora de obtener los datos queda avalada también por un informe neerlandés que evidencia un error destacado en los campos ‘ahora’ y ‘hasta’.

Según refleja el documento, en tres de los cinco nicks analizados, no hay
coincidencia alguna de mensajes entre los móviles y el servidor. En este sentido, concluye que el historial de mensajes no es completo sin poder determinar si se se trata de un error aislado o si, por el contrario, existieron periodos largos en los que faltan mensajes.

Vulneración masiva de derechos fundamentales: acceso completo al terminal
El teniente D05252Y explicó de forma detallada que los paquetes de datos remitidos por Europol no contenían solo conversaciones sino también otro tipo de información almacenada en el dispositivo móvil tales como las ubicaciones geográficas diarias de los terminales e incluso los códigos de desbloqueo de cada uno de ellos.

Esto permitía geoposicionar todos los dispositivos que usaban EncroChat en España y ofrecía ingentes cantidades de información a los agentes.

Por su parte, también evidenciaría una obtención masiva y desproporcionada de datos que vulneraría de forma meridiana los derechos fundamentales de todos los clientes de la aplicación.

En su declaración, explicó el modus operandi que seguían los agentes intervinientes en la operación. En primer lugar, manifestó que se podían revisar todos los terminales sin omisión alguna incluidos los de personas desvinculadas de cualquier tipo de actividad ilícita que usaban esta herramienta a fin de preservar la intimidad en sus comunicaciones.

Con posterioridad, con todos los datos obtenidos, se realizaba una fase de cribado donde se identificaban posibles delitos y se comenzaba a realizar un mapeo de sujetos que supuestamente desarrollaban actividades al margen de la ley.

Con ese listado de usuarios y en base a las conversaciones interceptadas, se activaba una investigación para desarticular supuestas organizaciones criminales.

Con todos los datos y testimonios recogidos durante las diferentes vistas, corresponde al tribunal pronunciarse sobre si la forma de actuación ha sido legítima o si se ha dado una vulneración masiva de derechos fundamentales.

En este sentido, deberá de dilucidar si la intercepción masiva de conversaciones, localizaciones y datos privados de personas sin
identificar (tan solo se manejaban nombres de usuarios o nicks) justifica una intervención generalizada que requiere, en todo caso, la preceptiva autorización judicial.