Revista Española de Derecho Europeo
92 | Octubre – Diciembre 2024
pp. 43-91
Madrid, 2024
DOI: 10.37417/REDE/num92_2024_2730
© Marcial Pons Ediciones Jurídicas y Sociales
© Luis Gómez Amigo
ISSN: 1579-6302
Recibido: 15/10/2024 | Aceptado: 11/12/2024
ESTUDIO DE LAS ÓRDENES EUROPEAS DE PRODUCCIÓN Y CONSERVACIÓN: Un instrumento eficaz para la obtención transfronteriza de pruebas penales electrónicas
ANALYSIS OF THE EUROPEAN PRODUCTION AND PRESERVATION ORDERS: AN EFFECTIVE INSTRUMENT FOR THE CROSS-BORDER ACQUISITION OF ELECTRONIC EVIDENCE IN CRIMINAL MATTERS
Luis Gómez Amigo*
RESUMEN: En este trabajo se estudian las nuevas órdenes europeas de producción y conservación de pruebas penales electrónicas, establecidas por el Reglamento (UE) 2023/1543 y la Directiva UE 2023/1544, ambos de 12 de julio de 2023, y que serán aplicables a partir del 18 de agosto de 2026. Con ellas, la Unión Europea pretende instaurar un instrumento efectivo para la obtención transfronteriza de pruebas penales electrónicas, que se adapte al carácter volátil y la dimensión transfronteriza de las pruebas electrónicas. Por medio de las órdenes europeas de producción y conservación la autoridad competente del Estado emisor puede ordenar directamente a un prestador de servicios que ofrezca servicios de comunicaciones electrónicas y de la sociedad de la información en la Unión que entregue o conserve, respectivamente, pruebas penales electrónicas, con independencia de la ubicación de los datos.
PALABRAS CLAVE: ordenes europeas de producción y conservación; obtención transfronteriza de pruebas penales electrónicas.
ABSTRACT: This paper examines the new European Production and Preservation Orders for electronic evidence in criminal matters, established by Regulation (EU) 2023/1543 and Directive (EU) 2023/1544, both dated 12 July 2023, which will become applicable from 18 August 2026. Through these instruments, the European Union aims to establish an effective mechanism for the cross-border acquisition of electronic evidence in criminal matters, adapted to the volatile nature and transnational dimension of electronic evidence. By means of the European Production and Preservation Orders, the competent authority of the issuing State may directly order a service provider offering electronic communication services and information society services within the Union to produce or preserve, respectively, electronic evidence in criminal matters, irrespective of the location of the data.
KEYWORDS: European Production and Preservation Orders; Cross-Border Acquisition of Electronic Evidence in Criminal Matters.
SUMARIO: INTRODUCCIÓN.— 1. LA ESTRATEGIA EUROPEA EN MATERIA DE OBTENCIÓN TRANSFRONTERIZA DE PRUEBAS PENALES ELECTRÓNICAS.— 2. PRINCIPALES DIFERENCIAS ENTRE EL SISTEMA DE PRUEBA PENAL ELECTRÓNICA TRANSFRONTERIZA PREVISTO EN LAS PROPUESTAS DE 2018 Y EL FINALMENTE APROBADO: 2.1. Planteamiento. 2.2. Cambio de denominación y del ámbito de aplicación. 2.3. Las categorías de datos. 2.4. La notificación inicial a la autoridad de ejecución. 2.5. La posibilidad de denegación inicial de la orden europea de producción.— 3. LAS ÓRDENES EUROPEAS DE PRODUCCIÓN Y CONSERVACIÓN DE PRUEBAS ELECTRÓNICAS A EFECTOS DE ENJUICIAMIENTO Y EJECUCIÓN PENAL: 3.1. Finalidad y ámbito de aplicación de las órdenes europeas de producción y conservación. 3.2. Autoridades emisoras, condiciones de emisión y transmisión de las órdenes europeas de producción y conservación: 3.2.1. Autoridades emisoras. 3.2.2. Condiciones para la emisión de las órdenes europeas de producción y conservación. 3.2.3. Transmisión de las órdenes europeas de producción y conservación. 3.3. Cumplimiento de las órdenes europeas de producción y conservación por los prestadores de servicios. 3.4. Denegación inicial de una orden europea de producción y ejecución de las órdenes europeas de producción y conservación por la autoridad competente del Estado de ejecución: 3.4.1. Denegación inicial de una orden europea de producción. 3.4.2. Trámite de reconocimiento y ejecución de las órdenes europeas de producción y conservación. 3.5. Procedimiento de reexamen y recursos: 3.5.1. Procedimiento de reexamen en caso de obligaciones en conflicto. 3.5.2. Vías de recurso efectivas. 3.6. El sistema informático descentralizado.— CONCLUSIONES.— BIBLIOGRAFÍA.
Recientemente la Unión Europea se ha dotado de dos instrumentos normativos con la finalidad de establecer un régimen adecuado para el acceso transfronterizo a las pruebas penales electrónicas. Esto es, para la entrega y conservación de este tipo de pruebas en el territorio de la Unión, a través de las órdenes europeas de producción y de las órdenes europeas de conservación, respectivamente. Se trata del Reglamento (UE) 2023/1543, del Parlamento Europeo y del Consejo, de 12 de julio de 2023, sobre las órdenes europeas de producción y las órdenes europeas de conservación a efectos de prueba electrónica en procesos penales y de ejecución de penas privativas de libertad a raíz de procesos penales 1. Y de la Directiva (UE) 2023/1544, del Parlamento Europeo y del Consejo, de 12 de julio de 2023, por la que se establecen normas armonizadas para la designación de establecimientos designados y de representantes legales a efectos de recabar pruebas electrónicas en procesos penales 2, necesaria para hacer posible la efectividad del reglamento anterior.
Las órdenes europeas de producción y conservación se presentan como instrumentos realmente efectivos para la obtención transfronteriza de las pruebas penales electrónicas, ya que se adaptan a la naturaleza volátil y deslocalizada de este tipo de pruebas, superando por ello el régimen establecido por la orden europea de investigación, en cuanto a esta clase pruebas.
En efecto, con la promulgación de la Directiva 2014/41/UE, del Parlamento Europeo y del Consejo, de 3 de abril de 2014, relativa a la orden europea de investigación en materia penal (en adelante, OEI) 3, se produjo un avance fundamental en materia de obtención de prueba penal transfronteriza en el ámbito de la Unión Europea. En cuanto al ordenamiento español, la incorporación de la OEI se realizó en virtud de la reforma de la Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión Europea (en adelante, LRM), operada por la Ley 3/2018, de 11 de junio, que introdujo la OEI como nuevo instrumento de reconocimiento mutuo en materia penal en el Título X de la LRM (arts. 186-223), en sustitución del exhorto europeo de obtención de pruebas.
La OEI vino a sustituir, en las relaciones entre los Estados miembros a los que les es aplicable 4, al sistema anterior de obtención de prueba penal transfronteriza 5, de carácter disperso y fragmentario, que incluía tanto instrumentos de asistencia judicial (Convenio europeo de asistencia judicial en materia penal de 20 de abril de 1959, Convenio de aplicación del Acuerdo de Schengen de 19 de junio de 1990 y Convenio relativo a la asistencia judicial en materia penal entre los Estados miembros de la Unión Europea de 29 de mayo de 2000) como de reconocimiento mutuo (Decisión Marco 2003/577/JAI del Consejo, de 22 de julio de 2003, relativa a la ejecución en la Unión Europea de las resoluciones de embargo preventivo de bienes y de aseguramiento de pruebas; y Decisión Marco 2008/978/JAI del Consejo, de 18 de diciembre de 2008, relativa al exhorto europeo de obtención de pruebas para recabar objetos, documentos y datos destinados a procedimientos en materia penal) 6.
La OEI supuso un destacado avance frente a los anteriores instrumentos de reconocimiento mutuo, ya que el exhorto europeo de obtención de pruebas (Decisión Marco 2008/9789/JAI) sólo permitía la entrega de pruebas ya existentes, pero no su obtención; mientras que las resoluciones de embargo preventivo con el fin de aseguramiento de pruebas (Decisión Marco 2003/577/JAI) debían ir acompañadas de una solicitud por separado de transferencia de la prueba, presentada de conformidad con el sistema de asistencia judicial penal.
Frente a ello, la Directiva sobre la OEI estableció un sistema ágil y rápido para la obtención y traslado entre los Estados miembros de cualquier tipo de prueba (con excepción de la creación de equipos conjuntos de investigación y la obtención de pruebas en dichos equipos) 7, aplicable tanto a las medidas de investigación propias de la instrucción como a pruebas en sentido estricto, y abarcando la obtención de prueba y también el traslado de pruebas que ya obren en poder de las autoridades del Estado de ejecución, así como las medidas de aseguramiento de la prueba. La eficacia y agilidad de este instrumento de reconocimiento mutuo 8 se consigue configurando la OEI como una resolución judicial que se transmite directamente entre autoridades judiciales (u otras autoridades competentes para la investigación en procesos penales, requiriéndose en este caso la validación de la OEI por una autoridad judicial), por medio de formularios, debiendo ser reconocida y ejecutada en el Estado de ejecución, salvo que concurran una serie de motivos tasados de denegación, y estableciéndose plazos breves para el reconocimiento y la ejecución de la OEI.
No obstante, a pesar de que la prueba penal electrónica también puede obtenerse a través de la orden europea de investigación, la Unión seguía muy interesada en establecer mecanismos específicos para la obtención transfronteriza de este tipo de pruebas, que por adaptarse a su naturaleza, fuesen verdaderamente eficaces.
De manera especial a partir de los atentados terroristas de París de noviembre de 2015 y Bruselas de marzo de 2016, la Unión Europea ha establecido como una de sus prioridades esenciales en materia penal facilitar la obtención de pruebas electrónicas de carácter transfronterizo, esenciales para poder investigar, y así evitar y perseguir de manera eficaz los delitos graves, en especial, los atentados terroristas. Téngase en cuenta, además, que a menudo las redes sociales y los servicios de correo electrónico y de mensajería instantánea son el único lugar donde los investigadores pueden hallar pistas para investigar el delito y pruebas para enjuiciarlo. Ya hemos señalado que la Directiva sobre la OEI cubre todas las medidas de investigación, incluido el acceso a las pruebas electrónicas, pero no contiene disposiciones específicas sobre este tipo de pruebas. Por ello, estas pruebas pueden seguir obteniéndose a través de la OEI, pero la Unión ha aprobado una norma para establecer instrumentos de reconocimiento mutuo con esa finalidad de obtener pruebas penales electrónicas en otro Estado miembro, que se adapten mejor a las particularidades de esta clase de pruebas: el Reglamento (UE) 2023/1543, de 12 de julio de 2023, sobre las órdenes europeas de producción y conservación 9.
En efecto, la prueba penal electrónica presenta características especiales. Los servicios de comunicaciones electrónicas y los servicios de la sociedad de la información (redes sociales, por ejemplo) pueden prestarse desde cualquier lugar del mundo y no exigen una infraestructura física ni empresarial en el Estado miembro en el que se ofrece el servicio, y normalmente el almacenamiento de datos no está ubicado en dicho Estado miembro. De manera que las autoridades de los Estados miembros necesitan acceder a datos que pueden servir de prueba y que están almacenados fuera de su país o por prestadores de servicios de otros Estados miembros o de terceros países 10.
Con este nuevo Reglamento, se pretenden establecer instrumentos penales de reconocimiento mutuo adaptados al carácter volátil y la dimensión transfronteriza de las pruebas electrónicas, de manera que una autoridad judicial de un Estado miembro pueda ordenar a un prestador de servicios que ofrezca servicios de comunicaciones electrónicas y de la sociedad de la información en la Unión 11 que entregue o conserve pruebas electrónicas, con independencia de la ubicación de los datos, a través de una orden europea de producción o de una orden europea de conservación, respectivamente. Y es que una de las novedades más relevantes de esta nueva norma reside en que las órdenes europeas de producción y conservación no se dirigen a una autoridad del Estado de ejecución, sino directamente al prestador de servicios establecido o representado en otro Estado miembro, que es el que deberá cumplirlas, interviniendo la autoridad competente del Estado de ejecución en caso de incumplimiento de aquéllos, adoptando las medidas necesarias para su ejecución. No obstante, cuando se trate de la entrega de los datos de carácter más sensible, también habrá que notificar la orden europea de producción a la autoridad de ejecución, que podrá oponer directamente determinados motivos de denegación de la misma.
Con carácter complementario al Reglamento sobre las órdenes europeas de producción y conservación y en la misma fecha, la Unión Europea ha aprobado la Directiva (UE) 2023/1544, de 12 de julio de 2023, por la que se establecen normas armonizadas para la designación de establecimientos designados y de representantes legales a efectos de recabar pruebas electrónicas en procesos penales. En ella, se establece la obligación de que los prestadores de servicios que ofrezcan servicios en la Unión Europea 12 designen un establecimiento designado o representante legal, dependiendo de si están establecidos o no en la Unión, para la recepción, el cumplimiento y la ejecución de las resoluciones y órdenes emitidas por las autoridades competentes de los Estados miembros a efectos de recabar pruebas electrónicas en procesos penales. Con ello, se consigue que exista siempre un claro destinatario de dichas resoluciones y órdenes, y se facilita a los prestadores de servicios el cumplimiento de las mismas, ya que será el establecimiento designado o el representante legal el responsable de recibir y cumplir las resoluciones y órdenes en nombre del prestador de servicios.
Ya desde el año 2015 la Comisión ha considerado prioritaria una estrategia común europea en materia de acceso transfronterizo a la prueba penal electrónica, que garantice su admisibilidad ante los tribunales, y así lo manifestó en la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones: Agenda Europea de Seguridad, de 28 de abril de 2015 13. En este primer momento, la estrategia se planteó como una medida necesaria para luchar contra la ciberdelincuencia, enfoque que se mantiene en la Resolución del Parlamento Europeo, de 3 de octubre de 2017, sobre la lucha contra la ciberdelincuencia 14. En esta resolución, el Parlamento Europeo solicitaba a la Comisión que presentase una propuesta legislativa que posibilitara la obtención transfronteriza, de manera eficaz y rápida, de pruebas penales electrónicas, y que incorporase las disposiciones necesarias para facilitar la admisibilidad de las pruebas electrónicas ante los tribunales. El nuevo sistema se articularía sobre la OEI, adaptando su régimen a las especialidades de las pruebas electrónicas.
El enfoque inicial centrado en la lucha contra la ciberdelincuencia se ha corregido posteriormente, diseñándose la estrategia europea en materia de prueba electrónica transfronteriza como un instrumento para luchar contra la delincuencia grave, especialmente, los delitos de terrorismo. En definitiva, lo relevante no es tanto que los delitos se comentan a través de las nuevas tecnologías de la información y la comunicación, sino poder utilizar las fuentes de prueba que estas nuevas tecnologías proporcionan 15.
Ese es el enfoque que finalmente siguió la Comisión en sus Propuestas de 17 de abril de 2018, de Reglamento sobre las órdenes europeas de entrega y conservación de pruebas penales electrónicas, y de Directiva para la designación de representantes legales a efectos de recabar pruebas penales electrónicas, abandonándose la idea originaria de basar el sistema sobre la OEI, que pasa a articularse sobre dos nuevos instrumentos de reconocimiento mutuo: la orden europea de entrega y la orden europea de conservación 16.
Se trata de la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal, de 17 de abril de 2018 17. Y de la Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales, de 17 de abril de 2018 18.
Las Propuestas de Reglamento y Directiva de 17 de abril de 2018 se acompañaron con el Documento de trabajo de los Servicios de la Comisión: Evaluación de impacto, también de 17 de abril de 2018 19, y el 12 de julio de 2018 el Comité Económico y Social Europeo emitió Dictamen sobre las mismas 20. Por su parte, el Supervisor Europeo de Protección de Datos emitió dictamen sobre dichas propuestas el 6 de noviembre de 2019, habiéndose publicado sólo un resumen del mismo en lengua española en el DOUE 21. También se ha pronunciado al respecto el Consejo de Colegios de Abogados de Europa (CCBE: Council of Bars and Law Societies of Europe), con unos comentarios prelimares el 29 de junio de 2018 22, y fijando su posición el 19 de octubre de 2018 23.
Otras actuaciones de la Unión Europea en materia de prueba penal electrónica no se refieren al acceso transfronterizo a dicha clase de pruebas entre sus Estados miembros, sino en relación con terceros Estados. Al respecto, en la misma fecha, 5 de febrero de 2019, la Comisión Europea presentó dos iniciativas. Por una parte, la Recomendación de Decisión del Consejo por la que se autoriza la participación en las negociaciones de un Segundo Protocolo adicional al Convenio del Consejo de Europa sobre la Ciberdelincuencia (STE núm. 185) 24. Por otra, la Recomendación de Decisión del Consejo por la que se autoriza la apertura de negociaciones para un Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el acceso transfronterizo a las pruebas electrónicas para la cooperación judicial en materia penal 25.
El Segundo Protocolo adicional al Convenio sobre la Ciberdelincuencia, relativo al refuerzo de la cooperación y de la divulgación de pruebas electrónicas 26, fue adoptado por el Comité de Ministros del Consejo de Europa el 17 de noviembre de 2021, quedando abierto a la firma el 12 de mayo de 2022, fecha en que fue firmado por 22 paises, entre ellos España. El Consejo de la Unión Europea ha autorizado a los Estados miembros para firmarlo, por medio de la Decisión (UE) 2022/722 del Consejo, de 5 de abril de 2022 27; y también para ratificarlo, por medio de la Decisión (UE) 2023/436 del Consejo, de 14 de febrero de 2023 28.
El Convenio del Consejo de Europa sobre Ciberdelincuencia, hecho en Budapest el 23 de noviembre de 2001 29, tiene por objeto facilitar la persecución de los delitos cometidos por medio de un sistema informático. Posteriormente, se adoptó el Primer Protocolo adicional al Convenio sobre la Ciberdelincuencia relativo a la penalización de actos de índole racista y xenófoba cometidos por medio de sistemas informáticos, hecho en Estrasburgo el 28 de enero de 2003 30. Desde hacía tiempo, las Partes en el Convenio sobre Ciberdelincuencia venían denunciando dificultades en el acceso a las pruebas electrónicas necesarias para la investigación y persecución de los delitos cometidos por medio de sistemas informáticos, debido a su frecuente almacenamiento en sistemas informaticos de jurisidcciones extranjeras. Por ello, el Segundo Protocolo adicional al Convenio de Budapest pretende reforzar la cooperación internacional en materia de investigaciones y procedimientos penales específicos relativos a delitos relacionados con sistemas y datos informáticos y a la obtención de pruebas en formato electrónico sobre delitos de cualquier tipo. A tales efectos, prevé también la coooperación directa de las autoridades competentes con los proveedores de servicios, aunque sólo para obtener información sobre el registro de nombres de dominio e información de los abonados. En cambio, para la entrega de datos informaticos almacenados, se establecen procedimientos tramitados entre las autoridades competentes, tanto para la entrega acelerada de información sobre los abonados y datos de tráfico, como para la divulgación acelerada, en casos de emergencia, de datos informáticos almacenados.
Como puede observarse, nos encontramos con dos instrumentos de cooperación internacional para la obtención de prueba electrónica transfronteriza, aplicables a los países europeos. A estos efectos, el art. 15.1.b del Segundo Protocolo adicional al Convenio de Budapest establece que los Estados miembros de la Unión Europea que también sean parte del Segundo Protocolo pueden aplicar en sus relaciones mutuas la legislación de la Unión Europea y, por tanto, el Reglamento (UE) 2023/1543, de 12 de julio de 2023 y la Directiva (UE) 2023/1544, de 12 de julio de 2023. A este respecto, podemos decir que las normas europeas sobre las órdenes europeas de producción y conservación son de aplicación preferente, entre los Estados miembros de la Unión Europea, al Segundo Protocolo adicional al Convenio de Budapest.
Por otra parte, la Unión Europea pretende alcanzar un Acuerdo con los Estados Unidos sobre el acceso transfronterizo, por parte de las autoridades judiciales penales, a las pruebas de carácter electrónico que obren en poder de los proveedores de servicios 31. Y para ello, la Comisión Europea presentó la Recomendación de Decisión del Consejo por la que se autoriza la apertura de negociaciones para un Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el acceso transfronterizo a las pruebas electrónicas para la cooperación judicial en materia penal, de 5 de febrero de 2019 32. A continuación, trataremos de explicar los aspectos más relevantes de los objetivos y las directrices de negociación contenidos en este documento.
En cuanto al contexto y la situación de partida de esta propuesta, Estados Unidos es el principal receptor de solicitudes de asistencia judicial mutua emitidas desde los Estados miembros de la Unión Europea para acceder a pruebas penales electrónicas, ya que los principales proveedores de servicios operan sujetos a la jurisdicción de aquel país. Pero la cooperación judicial con Estados Unidos resulta demasiado lenta, si se tiene en cuenta el carácter volátil de las pruebas electrónicas, y puede suponer un gasto desproporcionado de recursos. Por ello, la cooperación directa con los proveedores de servicios de los Estados Unidos se ha convertido en un canal alternativo a la cooperación judicial. No obstante, aunque ofrece un acceso más rápido, la cooperación directa se limita a los datos sin contenido y, además, tiene carácter voluntario, según la legislación norteamericana. Por ello, menos de la mitad de las solicitudes efectuadas a proveedores de servicios norteamericanos reciben respuesta. En cuanto a las solicitudes recíprocas, las autoridades de los Estados Unidos, con carácter general, sólo pueden obtener las pruebas electrónicas a través de la asistencia judicial mutua, pues muchos Estados miembros de la Unión Europea prohíben a los proveedores de servicios nacionales responder directamente a solicitudes de autoridades extranjeras, incluso las que se refieren a datos sin contenido 33.
Según las directrices de negociación elaboradas por la Comisión Europea 34, el Acuerdo debe aclarar el carácter vinculante y la ejecutoriedad de las órdenes dirigidas a los proveedores de servicios y detallar las obligaciones de las autoridades judiciales. Y el objetivo del Acuerdo debe ser triple: a) establecer normas comunes y resolver los conflictos de leyes que puedan suscitar las órdenes sobre datos de contenido y datos sin contenido procedentes de una autoridad judicial de una Parte contratante y dirigidas a un proveedor de servicios sujeto a la legislación de otra Parte contratante; b) con base en dichas órdenes, permitir las transferencia de pruebas electrónicas directamente y con carácter recíproco, de un proveedor de servicios a la autoridad solicitante; c) velar por el respeto de los derechos y libertades fundamentales y de los principios generales del Derecho de la Unión Europea, reconocidos en los Tratados y en la Carta de Derechos Fundamentales.
Conforme a las mismas directrices, el Acuerdo entre la Unión Europea y los Estados Unidos debe ser compatible con el Reglamento y la Directiva europeas sobre las órdenes europeas de producción y conservación de pruebas penales electrónicas. Además, en el marco de las relaciones entre los Estados Unidos de América y la Unión Europea, el Acuerdo debe tener prioridad frente al Convenio sobre Ciberdelincuencia del Consejo de Europa y al Segundo Protocolo adicional a dicho Convenio, en la medida en que las disposiciones de estos últimos contemplen cuestiones previstas en el Acuerdo 35.
Finalmente, las directrices de negociación de la Comisión Europea contemplan una serie de garantías adicionales al Acuerdo entre la Unión Europea y los Estados Unidos en materia de protección de datos y privacidad, conocido como el Acuerdo Marco, que entró en vigor el 1 de febrero de 2017 36. Estas garantías son de dos tipos. Las primeras, son garantías adicionales en materia de privacidad y protección de datos, y están referidas a los objetivos para los que pueden solicitarse y transferirse los datos personales y los datos de comunicaciones electrónicas y a los requisitos para su uso y divulgación, y su transferencia posterior. Las segundas son derechos procesales adicionales que la Comisión propone teniendo en cuenta la especialidad de los requisitos para la transferencia de pruebas electrónicas directamente por los proveedores de servicios, en lugar de entre autoridades. “Entre esos derechos se incluye el de que los datos no puedan ser solicitados para su uso en procesos penales que pueden conducir a la pena de muerte, la proporcionalidad de las órdenes, y garantías específicas en el caso de datos protegidos por privilegios e inmunidades. Los privilegios e inmunidades de determinadas profesiones, como la de abogado, así como los intereses fundamentales de seguridad y defensa nacionales del Estado destinatario, también deberán tenerse en cuenta durante el proceso en el Estado emisor. La revisión por una autoridad judicial funciona como una garantía adicional a este respecto” 37.
Se trata de examinar en este apartado las principales diferencias que existen entre el sistema de obtención de prueba penal electrónica transfronteriza previsto inicialmente en las Propuestas de Reglamento y Directiva de 2018 y el finamente aprobado por el Reglamento 2023/1543 y la Directiva 2023/1544.
Ha de advertirse que existen muchas diferencias, pero en este momento inicial sólo vamos a abordar las principales, es decir, aquellas que podemos denominar sistémicas porque determinan un cambio esencial en el sistema, mejorándolo notablemente.
En primer lugar, se cambia la denominación de la orden europea prevista para solicitar la entrega de pruebas penales electrónicas, que inicialmente se llamaba orden europea de entrega en la Propuesta de Reglamento de 2018, y que pasa a denominarse orden europea de producción en el Reglamento (UE) 2023/1543, de 12 de julio de 2023. Con ello se unifica la denominación con otras versiones, como la inglesa, francesa e italiana 38. Por tanto, los instrumentos finalmente establecidos para la obtención transfronteriza de prueba penal electrónica son las órdenes europeas de producción y las órdenes europeas de conservación 39.
El Reglamento 2023/1543 también modifica el ámbito de aplicación de las órdenes europeas de producción y conservación. A este respecto, la Propuesta de Reglamento de 2018 establecía que estas órdenes sólo podían emitirse para procesos penales, “tanto durante las fases previas al juicio como durante la fase procesal” (art. 3.2 de la Propuesta de Reglamento de 2018) 40. El Reglamento 2023/1543 mantiene este ámbito, al señalar que las órdenes europeas de producción y conservación pueden emitirse en el marco y a efectos de procesos penales, incluidas las investigaciones penales (nos aclara el Considerando 18); pero lo amplía, añadiendo que también pueden dictarse para fines de ejecución de una pena privativa de libertad o de una medida de seguridad privativa de libertad de al menos 4 meses impuestas en un proceso penal, en los casos en que la persona condenada haya huido de la justicia y siempre que la resolución no haya sido dictada en rebeldía [art. 2.2 del Reglamento (UE) 2023/1543, de 12 de julio de 2023].
También se produce un cambio entre la Propuesta de Reglamento de 2018 y Reglamento (UE) 2023/1543, de 12 de julio de 2023, en cuanto a las categorías de datos que pueden solictarse a través de las órdenes europeas de producción y conservación. En ambos casos las categorías de datos previstas son similares, aunque cambien los nómbres en algunos casos: datos de los abonados, datos solicitados con el único fin de identificar al usuario, datos de tráfico y datos de contenido, en el Reglamento; frente a datos de los abonados, datos relativos al acceso; datos de transacciones y datos de contenido, en la Propuesta. Sin embargo, a diferencia de la Propuesta, en el Reglamento viene a reconocerse que los datos contenidos en la segunda clase de datos no conforman una categoría con entidad propia, sino que deben ser tratados y seguir el régimen y requisitos aplicables a, según sea el caso, los datos de los abonados o los datos de tráfico.
En efecto, las direcciones IP, así como los números de acceso y la información conexa pueden constituir un punto de partida crucial para las investigaciones penales en las que no se conozca la identidad del sospechoso. Además, en determinadas circunstancias, las direcciones IP pueden considerarse datos de tráfico, mientras que los números de acceso y la información conexa se consideran datos de tráfico en algunos Estados miembros. No obstante, en una investigación penal específica, las autoridades policiales pueden solicitar una dirección IP, números de acceso e información conexa, con la única finalidad de identificar al usuario antes de solicitar al prestador de servicios los datos de los abonados. En estos casos, debe aplicarse el mismo régimen que a los datos de los abonados. En cambio, si las direcciones IP, los números de acceso y la información conexa no se solicitan con el único fin de identificar al usuario en una investigación penal específica, pueden utilizarse para obtener una información más intrusiva en la vida privada, como los contactos y el paradero del usuario, y servir para establecer el perfil completo de la persona afectada. En tal caso, deben tratarse como datos de tráfio y someterse a su mismo régimen jurídico 41.
En realidad, podríamos considerar que sólo existen tres categorías de datos cubiertas por el Reglamento 2023/1543: datos de los abonados, datos de tráfico y datos de contenido, tal y como reconoce el propio Reglamento en su Considerando 31, señalando que estas categorías son acordes con el Derecho de muchos Estados miembros; el Derecho de la Unión, en particular, con la Directiva 2002/58/CE, de 12 de julio de 2002, sobre la privacidad y las comunicaciones electrónicas 42; la jurisprudencia del Tribunal de Justicia de la Unión Europea; y el Derecho internacional, concretamente, el Convenio de Budapest sobre Ciberdelincuencia de 2001. Por eso, el art. 3.8 del Reglamento 2023/1543 define las pruebas electrónicas como los datos de los abonados, datos de tráfico o datos de contenido almacenados por un proveedor de servicios en formato electrónico 43. Y a lo largo del articulado, el Reglamento 2023/1543 asimila el régimen jurídico de las direcciones IP, los números de acceso y la información conexa al de los datos de tráfico, excepto cuando se trate de datos solicitados con el único fin de identificar al usuario. Podemos decir, por tanto, que estos últimos son datos de tráfico pero de carácter menos sensible y de ahí que se les aplique el régimen propio de los datos de los abonados.
Sin embargo, la clasificación de datos utilizada en el Reglamento 2023/1543 resulta algo compleja. Comprende cuatro categorías de datos, agrupadas de dos en dos, como hemos dicho: los datos de los abonados y los solicitados con el único fin de identificar al usuario; y los datos de tráfico y los de contenido. Pero como los datos solicitados con el único fin de identificar al usuario son realmente datos de tráfico, pero de carácter menos sensible, ello obliga al Reglamento a distinguir continuamente los datos de tráfico de aquéllos solicitados con el único fin de identificar al usuario. Lo cual es, si no disfuncional, al menos engorroso.
Todas las categorías de datos previstas por el Reglamento 2023/1543 contienen datos personales y, por tanto, están protegidos por las garantías establecidas en el acervo de la Unión sobre protección de datos. Ahora bien, la intensidad del impacto en los derechos fundamentales es distinta entre los datos de los abonados y los datos solicitados con el único fin de identificar al usuario, por un lado; y los datos de tráfico y los datos de contenido, por el otro. Los datos del primer grupo pueden servir para obtener unos primeros indicios sobre la identidad del sospechoso, mientras que los datos de tráfico y los de contenido tienen mayor peso probatorio o incriminatorio 44. Por ello, la obtención de cada grupo de estos datos esta sometido a requisitos distintos, siendo mayores las garantías requeridas en el caso de los datos de tráfico y de los datos de contenido.
Como hemos señalado, quizá el aspecto más novedoso de la Propuesta de Reglamento de 2018 era que la autoridad del Estado de emisión debía dirigir las órdenes europeas de entrega y conservación directamente a los proveedores de servicios, que quedaban obligados a su cumplimiento (con posibilidad de imposición de sanciones pecuniarias), interviniendo la autoridad del Estado de ejecución sólo en caso de incumplimiento por el proveedor de servicios, a instancia de la autoridad emisora. Pero precisamente esta novedad, sobre la que se hace recaer en gran medida la eficacia del sistema, resulta también el aspecto más problemático. Porque la Propuesta de la Comisión Europea caracterizaba a las órdenes europeas de entrega y conservación como instrumentos de reconocimiento mutuo en el ámbito de la cooperación judicial penal, pero, paradójicamente, articulaba un sistema, no de comunicación directa entre autoridades judiciales, sino entre una autoridad judicial y un proveedor de servicios, que es una entidad privada. Con ello, el control judicial en el Estado de ejecución era sólo eventual, en una materia que afecta de lleno a los datos personales y la privacidad y, por tanto, a los derechos fundamentales 45. Puede decirse que con el sistema de la Propuesta de Reglamento de 2018 el control sobre el respeto de los derechos fundamentales quedaba, en gran medida, en manos de los proveedores de servicios.
Muchas fueron las críticas a este sistema, propugnándose la comunicación desde el principio a la autoridad de ejecución de las órdenes europeas, además de al proveedor de servicios, de manera que aquélla pudiera controlar su legalidad y el respeto de los derechos fundamentales 46.
Recogiendo estas críticas, el art. 8 del Reglamento 2023/1543 introduce la notificación inicial al Estado de ejecución, para los supuestos más invasivos y, por tanto, sólo cuando se emita una orden europea de producción (no de conservación) para obtener datos de tráfico, excepto los datos solicitados con el único fin de identificar al usuario, y también datos de contenido. En dichos casos, la autoridad emisora notificará la orden europea de producción a la autoridad de ejecución al mismo tiempo que al destinatario (establecimiento designado o un representante legal del prestador de servicios afectado) (art. 8.1). Esta notificación inicial a la autoridad de ejecución permite que ésta oponga alguno de los motivos de denegación de la orden europea de producción del art. 12 del Reglamento 2023/1543.
Ya hemos señalado que los destinatarios de las órdenes europeas de producción y conservación y obligados a su cumplimiento son los propios establecimientos designados o el representante legal del prestador de servicios, quedando reservada la ejecución por la autoridad competente del estado de ejecución a los supuestos de incumplimiento, a instancia de la autoridad emisora. Es un sistema complejo, en el que los destinatarios pueden invocar determinados motivos que imposibilitan su cumplimiento, y además posteriormente, cuando la autoridad emisora solicite la ejecución de las órdenes europeas de producción y conservación, la autoridad de ejecución puede denegar la ejecución de dichas órdenes por unos motivos tasados, que también pueden oponer los destinatarios en este procedimiento de ejecucción. Con algunos cambios, el Reglamento 2023/1543 mantiene el sistema de la Propuesta de Reglamento de 2018.
En lo que cambia sustancialmente el sistema de cumplimiento y ejecución de las órdenes europeas de entrega y conservación es en la posibilidad de que la autoridad de ejecución deniegue de modo inicial una orden europea de producción emitida para obtener datos de tráfico (excepto los datos solictados con el único fin de identificar al usuario) o para obtener datos de contenido. Ya hemos explicado que dicha notificación inicial a la autoridad de ejecución, además de al destinatario, es una de las novedades introducidas por el Reglamento 2023/1543 (art. 8), que permite a la autoridad de ejecución oponer inicialmente unos motivos de denegación específicos, que excluyen el cumplimiento de la orden europea de producción por el destinatario (art. 12): a) que los datos solicitados están protegidos por inmunidades o privilegios en virtud del Derecho del Estado de ejecución, o cubiertos por la libertad de prensa o la libertad de expresión; b) cuando la ejecución de la orden conlleve una vulneración manifiesta de un derecho fundamental; c) que la ejecución es contraria al principio non bis in idem; d) que la conducta origen de la emisión de la orden europea de producción no es constitutiva de infracción penal con arreglo al Derecho del Estado de ejecución, salvo que esté recogida en la categoría de delitos que figuran en el anexo IV y además en el Estado emisor esté castigada con una pena o una medida de seguridad privativas de libertad de una duración mámixa no inferior a tres años. Se incluye, por tanto, como último motivo de denegación el incumplimiento de la exigencia de la doble incriminación, con excepción de los 32 eurodelitos recogidos en el anexo IV, como venía exigiendo la doctrina 47.
Atendiendo al objeto del Reglamento 2023/1543 (art. 1), las órdenes europeas de producción y conservación son las ordenes que la autoridad de un Estado miembro puede dirigir, con carácter vinculante, a los prestadores de servicios de comunicaciones electrónicas y de la sociedad de la información en la Unión, que estén establecidos en otro Estado miembro o, en su defecto, cuenten con un representante legal en otro Estado miembro (en adelante, prestadores de servicios), para que entregue pruebas penales electrónicas (orden europea de producción) o las conserve de cara a una solicitud de entrega subsiguiente (orden europea de conservación), con independencia de la ubicación de los datos. Además, del art. 32 del Reglamento 2023/1543 se deduce que las órdenes europeas de producción y conservación son compatibles con la OEI, de manera que los Estados miembros pueden seguir emitiendo una OEI para la obtención de pruebas penales electrónicas.
Conforme a su ámbito de aplicación objetivo, las órdenes europeas de producción y conservación sólo pueden emitirse en el marco y a efectos de procesos penales (para la investigación y el enjuiciamiento de delitos) y para fines de ejecución de una pena privativa de libertad o de una medida de seguridad privativa de libertad de al menos cuatro meses, impuestas tras un proceso penal por una resolución que no se haya dictado en rebeldía. También pueden ser dictadas en procesos relativos a infracciones penales por las que una persona jurídica pueda ser considerada responsable o ser castigada en el Estado emisor (art. 3.2). Por tanto, estas órdenes son procedentes en procesos penales específicos, incluida la instrucción o investigación penal, en que se persigan infracciones penales concretas ya producidas, tras una valoración individual de la necesidad y proporcionalidad de esas órdenes en cada caso concreto 48. Y también a efectos de ejecución penal, para localizar a una persona condenada que haya huido de la justicia, con el fin de ejecutar una pena o una medida de seguridad privativas de libertad de determinada gravedad (al menos, cuatro meses), salvo que la condena haya sido dictada en rebeldía, ya que existen diferencias considerables entre los Derechos nacionales de los Estados miembros en cuanto al régimen de las condenas penales dictadas en rebeldía 49. Pero las órdenes europeas de producción y conservación no sólo pueden ser emitidas a efectos de la persecución de los delitos o del cumplimiento de las condenas, sino también con fines probatorios pero exculpatorios, puesto que su emisión puede ser solicitada asimismo por una persona sospechosa o acusada o por un abogado en nombre de dicha persona (art. 1.2).
Por otra parte, las órdenes europeas de producción y de conservación sólo pueden emitirse para solicitar datos relativos a servicios de comunicaciones electrónicas y de la sociedad de la información ofrecidos en la Unión (art. 2.3). En cambio, los servicios ofrecidos exclusivamente fuera de la Unión no entran dentro del ámbito de aplicación del Reglamento 2023/1543, ni siquiera en el caso de que el prestador de servicios esté establecido en la Unión 50.
El sistema europeo de obtención transfronteriza de prueba penal electrónica establecido por el Reglamento 2023/1543 y la Directiva 2023/1544 está diseñado para poder reclamar directamente las pruebas electrónicas a los prestadores que ofrezcan servicios en la Unión, con independencia de la ubicación de los datos 51. Lo único que se les exige es que, si están establecidos en la Unión, designen un establecimiento (establecimiento designado) en el Estado miembro en el que estén establecidos, al que se dirigirán las ordenes de producción o conservación; o designen un representante legal al que dirigir dichas órdenes en los Estados miembros en los que presten servicios, en el caso de que no estén establecidos en la Unión (art. 3.1 de la Directiva 2023/1544) 52. No obstante, este sistema sólo se aplica a los asuntos transfronterizos, es decir, a aquellas solicitudes de órdenes europeas producción y conservación que una autoridad de un Estado miembro dirija a un prestador de servicios establecido o representado en otro Estado miembro. Las autoridades de un Estado miembro pueden dirigirse a los prestadores de servicios establecidos o representados en su propio territorio, pero a tales solicitudes no se les aplica el Reglamento 2023/1543, precisamente porque no son transfronterizas, encontrándonos en un contexto puramente nacional (art. 1.1) 53.
Según el Reglamento 2023/1543, un proveedor ofrece servicios en la Unión cuando permite que personas físicas o jurídicas los utilicen en uno o más Estados miembros 54, siempre que también tenga una conexión sustancial con tales Estados miembros, basada en criterios fácticos específicos: cuando el prestador de servicios disponga de un establecimiento en un Estado miembro o, en ausencia de dicho establecimiento, cuando exista un número significativo de usuarios en uno o más Estados miembros, o cuando oriente actividades hacia uno o más Estados miembros (art. 3.4). En definitiva, no basta la mera accesibilidad del servicio, sino que es necesaria una vinculación significativa a dichos Estados 55.
Entran dentro de la categoría de prestadores de servicios, las personas físicas o jurídicas que presten uno o más de las siguientes clases de servicios (art. 3.3) 56: a) servicios de las comunicaciones electrónicas, tal y como se definen en el art 2.4 de la Directiva (UE) 2018/1972 (Código Europeo de las Comunicaciones Electrónicas) 57; b) servicios de nombres de dominio de internet y de direcciones IP, tales como asignación de direcciones IP, registro de nombres de dominio, registrador de nombres de dominio y servicios de privacidad y representación relacionados con nombres de dominio 58; c) otros servicios de la sociedad de la información a que se refiere el art. 1.1.b) de la Directiva (UE) 2015/1535, que permitan a sus usuarios comunicarse entre sí, o que permitan almacenar o tratar datos de otro modo en nombre de los usuarios a los que se presta el servicio, siempre que el almacenamiento de datos sea un componente esencial del servicio prestado al usuario 59.
El objetivo de este nuevo sistema de obtención transfronteriza de prueba penal electrónica es obtener la entrega o conservación de pruebas electrónicas, entendidas éstas como datos de los abonados, datos de tráfico o datos de contenido almacenados por un prestador de servicios, o en nombre de un prestador de servicios, en formato electrónico, en el momento de la recepción de una orden europea de producción o una orden europea de conservación (art. 3.8).
En cuanto a las categorías de datos almacenados que pueden solicitarse a través de las órdenes europeas de producción y conservación, el art. 3 distingue entre: a) datos de los abonados: cualquier dato relacionado con la identidad del abonado o cliente (como nombre, fecha de nacimiento, dirección postal o geográfica, facturación y pagos, número de teléfono o dirección de correo electrónico); y el tipo de servicio y su duración (incluidos los datos técnicos que identifiquen las medidas técnicas correspondientes o las interfaces, y los datos relativos a la validación del uso del servicio, excluyendo las contraseñas) (art. 3.9); b) datos solicitados con el único fin de identificar al usuario: las direcciones IP y, cuando sea necesario, los puertos de origen y el sello de tiempo pertinentes, a saber, la fecha y hora o equivalentes técnicos de dichos identificadores e información conexa, cuando lo soliciten las autoridades policiales o judiciales con el único fin de identificar al usuario en una investigación penal específica (art. 3.10); c) datos de tráfico: datos relacionados con la prestación de un servicio ofrecido por un prestador de servicios que sirvan para facilitar información contextual o adicional sobre dicho servicio y sean generados y tratados por un sistema de información del prestador de servicios, tales como el origen y destino de un mensaje u otro tipo de interacción, la ubicación del dispositivo, la fecha y hora, duración, tamaño, ruta, formato, protocolo utilizado y el tipo de compresión, y otros metadatos de las comunicaciones electrónicas (art. 3.11); d) datos de contenido: cualquier dato en formato digital, como texto, voz, vídeos, imágenes y sonidos, distinto de los datos de los abonados o datos de tráfico (art. 3.12).
En el epígrafe 2.3 ya hemos hecho referencia al mayor peso probatorio e incriminatorio de los datos de tráfico y de contenido, frente a los datos de los abonados y los solicitados con el único fin de identificar al usuario, lo que determina que los requisitos y garantías para obtener aquéllos sean más rigurosos.
El Reglamento 2023/1543 sólo regula la obtención de datos almacenados, esto es, la obtención de datos que obren en poder del prestador de servicios cuando reciba una orden europea de producción o de conservación 60. Pero no establece una obligación general de retención de datos, ni ampara la retención generalizada e indiscriminada de datos por los prestadores de servicios. Tampoco permite la obtención de datos futuros, interceptados o almacenados tras la recepción de una orden europea de producción o de conservación 61. Además, los datos solicitados deben proporcionarse o conservarse con independencia de que estén cifrados o no, sin que el Reglamento 2023/1543 imponga a los prestadores de servicios la obligación de descifrar los datos 62.
El ámbito de aplicación territorial incluye a Irlanda (a diferencia de la orden europea de investigación, en la que no participa), que ha manifestado su voluntad de participar en la adopción y aplicación del Reglamento 2023/1543 63, pero excluye a Dinamarca, que no ha participado en la adopción del Reglamento y, por tanto, no queda vinculada por el mismo ni sujeta a su aplicación 64.
En cuanto al ámbito de aplicación temporal, el Reglamento 2023/1543, que entró en vigor a los veinte días de su publicación en el DOUE, será aplicable a partir del 18 de agosto de 2026. No obstante, la obligación de las autoridades competentes y los prestadores de servicios de utilizar el sistema informático descentralizado para la comunicación digital y el intercambio de datos se aplicará a partir de un año después de la adopción por la Comisión de los actos de ejecución necesarios para el establecimiento y la utilización de dicho sistema informático descentralizado, previstos en el art. 25 (art. 34). Además, los Estados miembros deben comunicar a la Comisión, hasta el 18 de agosto de 2025 como fecha límite, las autoridades emisoras y de ejecución, el órgano jurisdiccional del Estado emisor competente para el procedimiento de reexamen en caso de conflicto con el Derecho de un tercer país y las lenguas aceptadas para la notificación y transmisión de las órdenes europeas de producción y conservación (art. 31.1).
Por su parte, la Directiva 2023/1544, que acompaña al Reglamento 2023/1543 y completa el sistema de prueba penal electrónica transfronteriza establecido, entró en vigor en la misma fecha que el Reglamento, disponiendo los Estados miembros hasta el 18 de febrero de 2026 como fecha límite para poner en vigor las disposiciones legales, reglamentarias y administrativas necesarias para transponer la Directiva 2023/1543 (art. 7 de la misma).
Las diferencias de régimen entre las distintas clases de datos almacenados están presentes en la regulación de las autoridades emisoras y de las condiciones para la emisión de las ordenes europeas de producción y conservación.
En cuanto a las autoridades emisoras, el art. 4 establece que las órdenes europeas de producción para obtener datos de los abonados o datos solicitados con el único fin de identificar al usuario, así como las órdenes europeas de conservación, podrán ser emitidas por un juez, tribunal, juez de instrucción o fiscal competente; o por cualquier otra autoridad competente que actúe como autoridad de investigación en procesos penales y que tenga competencia para ordenar la obtención de pruebas, aunque en este caso la orden debe ser validada por alguna de las autoridades judiciales anteriormente señaladas (teniendo en cuenta que el concepto europeo de autoridad judicial incluye a los fiscales). En cambio, los fiscales no tienen competencia para emitir o validar una orden europea de producción para obtener datos de tráfico (excepto los datos solicitados con el único fin de identificar al usuario) o datos de contenido 65.
Como sabemos, la diferencia en cuanto al régimen de emisión, más riguroso para la obtención de datos de tráfico y de contenido responde al carácter especialmente sensible de este tipo de datos, frente al carácter menos sensible de los datos de los abonados y de los solicitados con el único fin de identificar al usuario.
No obstante, en los casos urgentes previstos en el art. 3.18 (amenaza inminente para la vida, la integridad física o la seguridad de una persona o para una infraestructura esencial) las autoridades de investigación en procesos penales pueden emitir, como excepción, una orden europea de producción de datos de los abonados o de datos solicitados con el único fin de identificar al usuario, así como una orden europea de conservación, sin previa validación, cuando la validación no pueda obtenerse a tiempo y siempre que dichas autoridades puedan emitir una orden en un asunto nacional similar sin validación previa. Además, la autoridad emisora solicitará la validación posterior de la orden, a más tardar en un plazo de 48 horas, debiendo retirar la orden inmediatamente y suprimir cualquier dato obtenido si la validación no se concede (art. 4.5).
Cada Estado miembro puede designar una o varias autoridades centrales responsables de la transmisión administrativa de las órdenes europeas de producción y conservación y de las notificaciones, así como de la recepción de datos y notificaciones (art. 4.6).
Conforme al art. 5, también la emisión de una orden europea de producción con respecto a datos de tráfico (excepto que se trate de datos solicitados con el único fin de identificar al usuario) o datos de contenido está sometida a requisitos más rigurosos que cuando se soliciten datos de los abonados o datos relativos al acceso. Así, siempre que se cumplan los requisitos generales (necesidad y proporcionalidad de la medida solicitada y posibilidad de emitir una orden similar en las mismas condiciones en un asunto nacional similar), los datos de los abonados y aquellos que sólo buscan identificar al usuario pueden solicitarse sin ningún tipo de restricción, dentro del ámbito general de las órdenes europeas de producción y conservación: esto es, en la investigación de cualquier infracción penal y para fines de ejecución de una pena o medida de seguridad privativas de libertad de al menos cuatro meses, cuando el condenado haya huido de la justicia y siempre que la condena penal no se haya dictado en rebeldía.
En cambio, sólo puede emitirse una orden europea de producción relativa a datos de tráfico (excepto que se trate de datos solicitados con el único fin de identificar al usuario) o de contenido con respecto a: a) infracciones penales punibles en el Estado emisor con una pena máxima de privación de libertad de al menos tres años; b) las infracciones penales, cometidas total o parcialmente por medio de un sistema de información, definidas en los arts. 3 a 8 de la Directiva (UE) 2019/713 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo; los arts. 3 a 7 de la Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil; y los arts. 3 a 8 de la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información; c) las infracciones penales definidas en los arts. 3 a 12 y 14 de la Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo, de 15 de marzo de 2017, relativa a la lucha contra el terrorismo; d) la ejecución de una pena o medida de seguridad privativas de libertad de al menos cuatro meses, cuando el condenado haya huido de la justicia y siempre que la condena penal no se haya dictado en rebeldía, cuando se trate de las infracciones penales anteriormente enumeradas.
Por su parte, según el art. 6, una orden europea de conservación podrá emitirse cuando sea necesaria y proporcionada para impedir la retirada, supresión o alteración de datos con vistas a una posterior solicitud de entrega de esos datos a través de la asistencia judicial mutua, una OEI o una orden europea de producción. Y puede emitirse para la investigación de cualquier infracción penal, siempre que pueda emitirse en las mismas condiciones en un asunto similar nacional, y para fines de ejecución de una pena o medida de seguridad privativas de libertad de al menos cuatro meses, cuando el condenado haya huido de la justicia y siempre que la condena penal no se haya dictado en rebeldía.
Como puede apreciarse, se condiciona la entrega de datos de tráfico y de contenido, a través de una orden europea de producción, a un umbral de gravedad del delito investigado que es proporcionado (pena máxima privativa de libertad de al menos tres años), pues circunscribe dicha entrega a casos de investigación de delitos de determinada gravedad, pero sin restringirlos excesivamente, y utilizando un criterio que es fácilmente aplicable en la práctica 66. Sin aplicar el umbral de pena, también es posible la solicitud de datos de tráfico y de contenido para la investigación de determinadas infracciones cometidas por medio de un sistema de información, en las que las pruebas están normalmente disponibles sólo en formato electrónico, que por su naturaleza es especialmente volátil. Tampoco es aplicable el umbral de pena para la investigación de los delitos relacionados con los abusos sexuales y la explotación sexual de menores, ni a los relacionados con el terrorismo, de especial gravedad en sí mismos 67.
La previsión de autoridades y requisitos distintos para la emisión de ordenes europeas de producción y conservación puede dar lugar a problemas, ya que es posible que los datos conservados no puedan luego ser entregados si son datos de tráfico o de contenido.
En efecto, mientras que cualquier autoridad judicial competente, incluyendo al fiscal, puede emitir o validar una orden de conservación o una orden de producción relativa a datos de los abonados y datos solicitados con el único fin de identificar al usuario, las órdenes de producción referidas a datos de tráfico (excepto cuando se soliciten con el único fin de identificar al usuario) y datos de contenido sólo pueden ser emitidas o validadas por una autoridad judicial en sentido estricto, por lo tanto, con exclusión de los fiscales. De modo que puede suceder que el fiscal emita la orden europea de conservación, pero no sea competente para emitir la subsiguiente orden europea de producción, si ésta viene referida a datos de tráfico o de contenido 68. Y de manera parecida, como la emisión de una orden de producción relativa a estos datos de tráfico y de contenido está sometida a una serie de requisitos específicos (así, un umbral de gravedad delictiva, o la investigación de determinados delitos cometidos por medio de un sistema de información o bien delitos específicos de especial gravedad) puede suceder también que, emitida una orden europea de conservación por un fiscal o incluso por una autoridad judicial en sentido estricto, sin embargo, posteriormente no sea posible solicitarlos por medio de una orden europea de producción, si no se cumplen tales requisitos.
Por todo ello, hubiese sido más lógico asimilar las autoridades emisoras y los requisitos según se trate de obtener o conservar datos de los abonados y datos solicitados con el único fin de identificar al usuario, de un lado; y datos de tráfico y datos de contenido, de otro. Por tanto, sería preferible una regulación que no establezca distinciones entre órdenes de producción y de conservación, a estos efectos.
Los arts. 5.5 y 6.4 establecen, respectivamente, la información que deben incluir las órdenes europeas de producción y conservación: a) la autoridad emisora y, cuando proceda, la autoridad validadora; b) el destinatario de la orden; c) el usuario, excepto cuando la única finalidad de la orden sea identificar al usuario, o cualquier otro identificador único, como el nombre del usuario, el identificador de inicio de sesión o el nombre de la cuenta a fin de determinar los datos solicitados; d) la categoría de los datos que se solicitan para su entrega o conservación (datos de los abonados, datos solicitados con el único fin de identificar al usuario, datos de tráfico, o datos de contenido); e) en su caso, el periodo de tiempo que abarca la solicitud de entrega o conservación; f) las disposiciones de Derecho penal aplicables en el Estado emisor; g) la justificación de la necesidad y proporcionalidad de la medida.
Este es el contenido común a las órdenes europeas de producción y conservación. Además, el art. 5.5 exige a las órdenes de producción que, en los casos urgentes del art. 3.18, incluyan las razones que justifican la urgencia; y, con carácter general, una descripción sucinta del caso.
Mención especial merecen dos supuestos especiales relativos a la emisión de una orden europea de producción. En primer lugar, en los casos de datos protegidos por el secreto profesional en virtud del Derecho del Estado emisor, que sean almacenados o tratados por un prestador de servicios como parte de una infraestructura proporcionada a profesionales amparados por el secreto profesional en su actividad empresarial, sólo puede emitirse una orden de producción para obtener datos de tráfico (salvo los solicitados con el único fin de identificar al usuario) o datos de contenido cuando se dé alguna de las siguientes condiciones: cuando el profesional amparado por el secreto profesional resida en el Estado emisor; cuando dirigirse a dicho profesional pueda perjudicar la investigación; o cuando se haya renunciado a las prerrogativas del secreto profesional (art. 5.9).
En segundo lugar, la autoridad emisora no debe emitir una orden europea de producción para obtener datos de tráfico (excepto los solicitados con el único fin de identificar al usuario) o de contenido si considera que están protegidos por inmunidades o privilegios reconocidos por el Derecho del Estado de ejecución o están sujetos en dicho Estado a normas sobre determinación y limitación de la responsabilidad penal en relación con la libertad de prensa o la libertad de expresión en otros medios de comunicación. A este respecto, la autoridad emisora puede solicitar aclaraciones antes de emitir la orden, también consultando a las autoridades competentes del Estado de ejecución, bien directamente o a través de Eurojust o de la Red Judicial Europea (art. 5.10).
Las órdenes europeas de producción y conservación deben remitirse directamente al establecimiento designado [en el caso de prestadores de servicios establecidos en la Unión: arts. 3.6 del Reglamento 2023/1543 y 3.1.a) de la Directiva 2023/1544] o a un representante legal [en el caso de prestadores de servicios que no estén establecidos en la Unión: arts. 3.7 del Reglamento 2023/1543 y 3.1.b) de la Directiva 2023/1544] del prestador de servicios afectado (art. 7.1) 69. Como excepción, en los casos urgentes del art. 3.18 del Reglamento 2023/1543, cuando el establecimiento designado o el representante legal no reaccione en los plazos establecidos ante la transmisión de las órdenes de producción o conservación, éstas pueden dirigirse a cualquier otro establecimiento o representante legal del prestador de servicios en la Unión (art. 7.2) 70.
Conforme al art. 9, la transmisión al destinatario de estas órdenes europeas se realiza por medio de un certificado de orden europea de producción, contenido en el anexo I del Reglamento e identificado en el propio Reglamento 2023/1543 como EPOC 71; o de un certificado de orden europea de conservación, contenido en el anexo II del Reglamento e identificado en el propio Reglamento 2023/1543 como EPOC-PR 72. Tanto el EPOC como el EPOC-PR deben contener toda la información exigida para la emisión de las órdenes europeas de producción y conservación, respectivamente 73, salvo la justificación de la necesidad y la proporcionalidad de la medida, y específicamente para el EPOC, una descripción sucinta del caso, que no deben incluirse 74 (salvo en el caso de notificación inicial al Estado de ejecución, en el que el EPOC contendrá la información completa de la orden europea de producción).
El EPOC o el EPOC-PR se traducirán a una lengua oficial de la Unión aceptada por el destinatario, y si el prestador de servicios no ha especificado ninguna, se traducirán a la lengua oficial del Estado miembro en el que esté situado el establecimiento designado o el representante legal de prestador de servicios. Y cuando sea preceptiva la notificación inicial al Estado de ejecución, el EPOC se traducirá a una lengua oficial del Estado de ejecución o a otra lengua de la Unión aceptada por dicho Estado 75.
Nada dice el art. 9 sobre la forma de transmisión de los certificados, que se realizará por medio del sistema informático descentralizado, previsto en los arts. 19 a 25 del Reglamento 2023/1543 para la comunicación digital e intercambio seguro de datos entre autoridades competentes y prestadores de servicios y entre autoridades competentes (incluido el intercambio de formularios y de los datos solicitados por medio de las órdenes europeas de producción y conservación), que examinaremos posteriormente.
Aunque el art. 7 establece que los EPOC y EPOC-PR se dirigirán directamente al establecimiento designado o a un representante legal del prestador de servicios afectado, ya hemos señalado que el art. 8 del Reglamento 2023/1543 establece una salvaguardia para los supuestos más invasivos para los derechos fundamentales. En efecto, cuando se emita una orden europea de producción para obtener datos de tráfico (salvo los solicitados con el único fin de identificar al usuario) o de contenido debe realizarse la notificación inicial de la misma a la autoridad de ejecución, de manera que se transmitirá el EPOC a dicha autoridad al mismo tiempo que al destinatario (art. 8.1). Esta notificación inicial permite a la autoridad de ejecución oponer, también en este momento inicial, los motivos de denegación del art. 12, lo que releva al destinatario de su obligación de entregar los datos solicitados y debe llevar a la autoridad emisora a retirar la orden europea de producción. Por ello, cuando transmita el EPOC a la autoridad de ejecución, la autoridad emisora incluirá la información adicional que pueda ser necesaria para valorar la posibilidad de invocar alguno de los motivos de denegación del art. 12 (art. 8.3).
No obstante, dicha comunicación inicial a la autoridad de ejecución no debe realizarse cuando la autoridad emisora tenga, en el momento de emitir la orden europea de producción, motivos razonables para suponer que la infracción se ha cometido, se está cometiendo o es probable que se cometa en el Estado emisor; y la persona cuyos datos se solicitan reside en el Estado emisor (art. 8.2 del Reglamento 2023/1543) 76. En estos supuestos, se presume que el proceso penal tiene vinculos sustanciales y sólidos con el Estado emisor, y no precede realizar la notificación inicial a la autoridad de ejecución 77.
Los arts. 10 y 11 regulan, respectivamente, la ejecución del EPOC y del EPOC-PR. No obstante, no se trata de una ejecución en sentido propio, sino del cumplimiento de los mismos por parte del destinatario, es decir, el establecimiento designado o el representante legal del prestador de servicios. El procedimiento de ejecución en sentido propio se regula en el art. 16 y se atribuye a la autoridad competente del Estado de ejecución (el Estado miembro en el que tenga su sede el establecimiento designado o en el que resida el representante legal del prestador de servicios) para el supuesto de que el destinatario no haya cumplido un EPOC o un EPOC-PR. Asimismo, hay que tener en cuenta que la autoridad de ejecución puede invocar los motivos de denegación del art. 12, en cuyo caso el destinatario no debe cumplir la orden y entregar los datos, y la autoridad emisora retirará la orden. Pero recuérdese que esto es únicamente posible en los supuestos de notificación inicial a la autoridad de ejecución del art. 8, que sólo son aplicables a las órdenes europeas de producción que, además, soliciten datos de tráfico (excepto los solicitados con el único fin de identificar al usuario) o datos de contenido. Por tanto, los motivos de denegación del art. 12 son aplicables únicamente a este tipo de órdenes.
En cuanto al cumplimiento del EPOC (art. 10), se establecen plazos breves para que el destinatario transmita directamente los datos solicitados a la autoridad emisora o a las autoridades policiales o judiciales indicadas en el EPOC: diez días desde su recepción, con carácter general; y sin demora en los casos urgentes, a más tardar en un plazo de ocho horas.
Cuando sea preceptiva la notificación inicial a la autoridad de ejecución, el destinatario debe esperar a que transcurran diez días sin que dicha autoridad invoque ningún motivo de denegación, salvo que antes de que transcurra dicho plazo confirme que no los invocará. Y en los casos urgentes, la autoridad de ejecución puede invocar un motivo de denegación en un plazo de 96 horas a partir de la notificación inicial, en cuyo caso si los datos ya han sido transmitidos a la autoridad emisora, ésta los suprimirá o restringirá su uso en los términos indicados por la autoridad de ejecución.
El anexo III del Reglamento 2023/1543 contiene un formulario para que el destinatario del EPOC comunique, sin demora indebida, a la autoridad emisora 78 las circunstancias que le impiden su cumplimiento, que pueden ser de distintos tipos.
Así, puede, en primer lugar, que el destinatario deba recurrir a dicho formulario para comunicar a la autoridad emisora que considera que la ejecución del EPOC puede interferir con inmunidades o privilegios, o con normas sobre determinación o limitación de la responsabilidad penal relacionadas con la libertad de prensa o la libertad de expresión en otros medios de comunicación, en virtud del Derecho del Estado de ejecución, debiendo decidir la autoridad emisora si retira, adapta o mantiene la orden europea de producción (art. 10.5). También puede alegar el destinatario que el EPOC está incompleto, contiene errores manifiestos o no contiene suficiente información para poder cumplirlo, solicitando las aclaraciones pertinentes, debiendo responder la autoridad emisora sin demora y, en todo caso, en un plazo máximo de cinco días (art. 10.6). En tercer lugar, puede que el destinatario tenga que utilizarlo para informar a la autoridad emisora que no puede cumplir la orden europea de producción por una imposibilidad de hecho debida a circunstancias ajenas a su voluntad, lo que dará lugar, una vez comprobados los motivos, a que la autoridad emisora indique que no es necesario ejecutar el EPOC (art. 10.7) 79. Además, el destinatario también utilizará el formulario del anexo III en todos los casos en los que, por otros motivos, no facilite los datos solicitados o no lo haga de forma exhaustiva o en el plazo establecido, pudiendo la autoridad emisora fijar un nuevo plazo al proveedor para la entrega de los datos (art. 10.8).
Una vez recibido el EPOC, el destinatario debe actuar con prontitud para conservar los datos solicitados (art.10.1), que se conservarán, en la medida de lo posible, hasta su entrega o hasta que sea retirada la orden europea de producción. Cuando la entrega y conservación de los datos ya no sean necesarias, la autoridad emisora (y, en su caso, la autoridad de ejecución) deberá informar al destinatario sin demora (art. 10.9).
En cuanto al cumplimiento del EPOC-PR (art. 11), el destinatario debe conservar, sin demora injustificada, los datos solicitados durante sesenta días, salvo cuando la autoridad emisora confirme, utilizando el formulario del anexo V, que ha emitido una solicitud posterior de entrega, en cuyo caso el destinatario deberá conservarlos hasta su entrega. Y durante el periodo de sesenta días, la autoridad emisora podrá, por medio del formulario del anexo VI prorrogar la duración de la obligación de conservar los datos por un periodo adicional de 30 días, cuando sea necesario para emitir una solicitud posterior de entrega. De la misma manera que con el EPOC, la autoridad emisora informará sin demora al destinatario cuando la conservación ya no sea necesaria.
El destinatario también debe utilizar el formulario del anexo III para informar, sin demora indebida, a la autoridad emisora que no puede cumplir el EPOC-PR por las mismas causas que para el EPOC (inmunidades o privilegios y limitación de la responsabilidad penal relacionada con la libertad de prensa o la libertad de expresión en otros medios de comunicación, conforme al Derecho del Estado de ejecución; certificado incompleto, con errores manifiestos o que no contenga información suficiente para ejecutarlo; imposibilidad de hecho debido a circunstancias ajenas a su voluntad; y cualquier otro motivo) y con las mismas consecuencias, en su caso.
Conforme al art. 13, la autoridad emisora debe informar sin demora indebida a la persona afectada de la entrega de los datos obtenidos por medio de una orden europea de producción, aunque podrá demorar o restringir la información, o no informar en absoluto cuando sea necesario para preservar la investigación penal, o para proteger la seguridad pública o nacional o los derechos y libertades de otras personas, en la medida y mientras se cumplan las condiciones para ello 80. Al informar a la persona afectada, la autoridad emisora incluirá información sobre las vías de recurso disponibles conforme al art. 18 del propio Reglamento 2023/1543 81.
Como se ve, la obligación de informar del art. 13 permite a los afectados utilizar las vías de recurso efectivas del art. 18. No obstante, el art. 13.1 obliga a la autoridad emisora a informar a la persona afectada de la entrega de los datos solicitados. Pues bien, si queremos que las vías de recurso sean realmente efectivas, habrá que entender que la autoridad emisora debe informar de la emisión de la orden europea de producción (salvo en los casos del art. 13.3 de la Directiva 2016/680), para que las personas afectadas puedan impugnarla, si entienden que no concurren los requisitos establecidos en el art. 5 para su emisión, de manera que no se lleve a efecto si prospera su impugnación. Ello, sin perjuicio de la comunicación posterior a los afectados de la entrega de los datos ya obtenidos y su incorporación al proceso penal en el Estado emisor.
Además, el destinatario debe garantizar la confidencialidad, el secreto y la integridad del EPOC o del EPOC-PR y de los datos entregados o conservados (art. 13.4).
Los proveedores de servicios podrán reclamar el rembolso de los gastos al Estado emisor, siempre que se contemple en la legislación nacional de éste con respecto a situaciones similares (art. 14) 82.
Finalmente, para garantizar el cumplimiento de las órdenes europeas de entrega y conservación, y sin perjuicio de las posibles sanciones penales previstas en los Derechos nacionales, los Estados miembros deben establecer normas que prevean sanciones pecuniarias, tanto en casos de incumplimiento de un EPOC o un EPOC-PR, cuya ejecutoriedad haya sido confirmada por la autoridad de ejecución, como del deber de confidencialidad. Dichas sanciones pecuniarias deben ser eficaces, proporcionadas y disuasorias, pudiendo alcanzar hasta el 2% del total del volumen anual de negocios mundial del ejercicio precedente del prestador de servicios (arts. 15.1 y 16.10) 83. Sin embargo, los prestadores de servicios no serán responsables por el perjuicio causado a los usuarios o terceros derivado exclusivamente del cumplimiento de buena fe de un EPOC o un EPOC-PR (art. 15.2).
El art. 16 regula el procedimiento de ejecución, aplicable a los casos de incumplimiento por parte del destinatario. Como hemos señalado, los destinatarios de un EPOC o un EPOC-PR y obligados a su cumplimiento son los propios prestadores de servicios, quedando reservada la ejecución forzosa por la autoridad competente del Estado de ejecución a los supuestos de incumplimiento, a instancia de la autoridad emisora. No obstante, con carácter previo debemos hacer referencia a los motivos de denegación inicial del EPOC, previstos por el art. 12.
Como sabemos, el art. 8 establece que cuando se emita una orden europea de producción para obtener datos de tráfico (excepto los solicitados con el único fin de identificar al usuario) o de contenido procede realizar la notificación inicial del EPOC a la autoridad de ejecución, al mismo tiempo que al destinatario, salvo la excepción que el propio art. 8.2 prevé. Dicha notificación permite a la autoridad de ejecución oponer una serie de motivos de denegación inicial del EPOC, informando tanto al destinatario como a la autoridad emisora, lo que liberará al destinatario de su obligación de cumplir el EPOC y entregar los datos solicitados, y obligará a la autoridad emisora a retirar el EPOC (art. 12.2).
Según el art. 12.1, la autoridad de ejecución, en el plazo de diez días a partir de la recepción de la notificación, o 96 horas en casos urgentes, puede oponer uno o varios de los siguientes motivos de denegación:
a) que los datos solicitados no pueden entregarse por estar protegidos por inmunidades o privilegios concedidos en virtud del Derecho del Estado de ejecución, o cubiertos por normas sobre la determinación o limitación de la responsabilidad penal relacionadas con la libertad de prensa o la libertad de expresión en otros medios de comunicación 84.
b) que, en situaciones excepcionales, existen motivos fundados para suponer, sobre la base de pruebas concretas y objetivas, que la ejecución del EPOC conllevaría, en el caso concreto, una vulneración manifiesta de alguno de los derechos fundamentales reconocidos en la Carta de los Derechos Fundamentales de la Unión Europea 85.
c) que la ejecución del EPOC es contraria al principio non bis in idem.
d) que la conducta que dio origen a la emisión del EPOC nos es constitutiva de infracción penal con arreglo al Derecho del Estado de ejecución, salvo que esté recogida en la categoría de delitos que figuran en el anexo IV y además en el Estado emisor esté castigada con una pena o una medida de seguridad privativas de libertad de una duración máxima no inferior a tres años. Como vemos, se incluye como motivo de denegación el incumplimiento del requisito de la doble incriminación o doble tipificación, salvo que se trate de alguno de los 32 eurodelitos recogidos en el anexo IV que, por su naturaleza y gravedad, están exentos del control de la doble incriminación cuando son punibles en el Estado emisor con un umbral de pena de determinada gravedad (duración máxima no inferior a tres años). La exigencia del requisito de la doble incriminación es habitual en los instrumentos de reconocimiento mutuo, de ahí que su inclusión final en el Reglamento 2023/1543 resulte lógica, puesto que no tendría sentido obligar al prestador de servicios a cumplir un EPOC en supuestos que no serían exigibles en el Estado de ejecución, al no ser punible en el mismo la conducta perseguida 86.
Antes de oponer formalmente un motivo de denegación, la autoridad de ejecución debe ponerse en contacto con la autoridad emisora para discutir sobre las medidas apropiadas que deberían adoptarse, dando a la autoridad emisora la oportunidad de adaptar o retirar el EPOC. Cuando ello no suceda, queda expedito entonces el camino a la autoridad de ejecución para invocar formalmente los motivos de denegación que estime procedentes, informando de ello a la autoridad emisora y al destinatario (art. 12.3). Además, al invocar estos motivos de denegación la autoridad de ejecución puede determinar su alcance, indicando si se opone a la transferencia de todos los datos solicitados o si los mismos sólo pueden transferirse o utilizarse parcialmente en las condiciones que la propia autoridad de ejecución especifique (art.12.4).
Al margen de estos supuestos 87, el art. 16 prevé un trámite de reconocimiento y ejecución por parte de la autoridad de ejecución, que la autoridad emisora puede instar en los supuestos de incumplimiento de un EPOC o de un EPOC-PR por parte de los destinatarios, solicitando su ejecución, también cuando la autoridad emisora no considere aceptables los motivos esgrimidos por los destinatarios para justificar su incumplimiento. En estos casos, la autoridad emisora trasladará la orden europea de producción o conservación (debe entenderse que la orden completa, y no sólo el EPOC o el EPOC-PR), así como el formulario del anexo III cumplimentado por el destinatario (haciendo constar los motivos del incumplimiento) y cualquier otro documento pertinente por medio del sistema informático descentralizado 88, a la autoridad de ejecución, la cual deberá decidir sobre su reconocimiento y ejecución en el plazo máximo de cinco días hábiles (art. 16. 1 y 2). No obstante, antes denegar el reconocimiento y la ejecución, la autoridad de ejecución debe consultar a la autoridad emisora, y puede requerirle información adicional, en cuyo caso el plazo general de 5 días hábiles establecido como plazo máximo para decidir deberá computarse una vez transcurrido el plazo de cinco días hábiles que tiene, a su vez, la autoridad emisora para responder a la solicitud de información adicional (art. 16.7).
La autoridad de ejecución reconocerá, sin más trámites, la orden europea de entrega o la orden europea de conservación y procederá a su ejecución de conformidad con su Derecho nacional 89, salvo que concurra alguno de los motivos de denegación enumerados en el propio art. 16. Según el art. 16.3, la autoridad de ejecución requerirá formalmente al destinatario para que, en el plazo que la propia autoridad determine, proceda al cumplimiento o presente oposición. Si el destinatario presenta oposición, la autoridad de ejecución decidirá si ejecuta o no la orden, teniendo en cuenta la información facilitada por el destinatario y también, la información adicional solicitada, en su caso, a la autoridad emisora (art. 16.6).
Los motivos de denegación están tasados, y, con carácter general son comunes, ya que funcionan como motivos de oposición que pueden alegar los prestadores de servicios, pero también son motivos de denegación que puede apreciar de oficio la autoridad de ejecución. Existe, no obstante, un único motivo denegación de la ejecución que sólo es apreciable de oficio por la autoridad de ejecución. A su vez, los motivos son los mismos, con carácter general, para oponerse o denegar la ejecución tanto de una orden europea de producción, como de una orden europea de conservación.
Los apartados 4 y 5 del art. 16 enumeran las siguientes causas de oposición o denegación, aplicables tanto a la orden europea de producción (art. 16.4) como a la de conservación (art. 16.5): 1) la orden no ha sido emitida o validada por una autoridad emisora conforme a los requisitos legales; 2) el destinatario no ha podido cumplir la orden por imposibilidad de hecho debido a circunstancias ajenas a su voluntad, o porque el certificado contiene errores manifiestos; 3) la orden no se refiere a datos almacenados por el prestador de servicios, o en su nombre, en el momento de su recepción; 4) el servicio no entra dentro del ámbito del Reglamento; 5) los datos solicitados están protegidos por inmunidades o privilegios otorgados por el Derecho del Estado de ejecución, o están cubiertos por normas sobre determinación o limitación de la responsabilidad penal relacionadas con la libertad de prensa o la libertad de expresión en otros medios de comunicación, que impiden la ejecución de la orden.
Además, el apartado 4 del art. 16 incluye un motivo de oposición o denegación adicional, que sólo es aplicable a la orden europea de producción: que, solicitándose datos de tráfico (excepto los solicitados con el único fin de identificar al usuario) o de contenido, la infracción penal no sea de las que permiten la entrega de este tipo de datos (art. 5.4). En cambio, la ausencia de necesidad y proporcionalidad de la orden (arts. 5.2 y 6.2), y la falta de legalidad de la misma (previsión de una medida similar en las mismas condiciones en un asunto nacional similar: art. 5.2) únicamente parecen poder combatirse por medio de recurso en el Estado emisor, posibilidad que el art. 17 de la Propuesta de Reglamento sólo contempla con respecto a las órdenes europeas de producción (art. 17.2).
Como hemos dicho, estos motivos pueden ser apreciados de oficio por la autoridad de ejecución y alegados como causa de oposición por los prestadores de servicios. Además, coinciden en gran parte con los que los prestadores de servicios pueden alegar para justificar el incumplimiento de un EPOC o de un EPOC-PR, conforme a los arts. 10 y 11, pudiendo entenderse que los no contemplados expresamente en estos preceptos entrarían dentro de la categoría “otros motivos” (arts. 10.8 y 11.7). No obstante, sería deseable que los arts. 10, 11 y 16 coincidieran exactamente en cuanto a los motivos que los prestadores de servicios pueden oponer al cumplimiento y la ejecución de las órdenes europea de producción y conservación 90.
Como ya hemos adelantado, junto a los motivos que acabamos de examinar, el art. 16. 4 y 5 incluye otra causa de denegación del reconocimiento y la ejecución tanto de una orden europea de producción como de conservación, que sólo puede apreciar de oficio la propia autoridad de ejecución: cuando, en situaciones excepcionales, basándose únicamente en la información contenida en el EPOC o en el EPOC-PR, existan motivos fundados para suponer, sobre la base de pruebas concretas y objetivas, que su ejecución conllevaría, en el caso concreto, una vulneración manifiesta de alguno de los derechos fundamentales reconocidos en la Carta de los Derechos Fundamentales de la Unión Europea 91.
Téngase en cuenta que estas causas de oposición o denegación de la ejecución de las órdenes europeas de producción y conservación coexisten con los motivos para la denegación inicial del art. 12, que sólo son aplicables a las órdenes europeas de producción emitidas para obtener datos de tráfico (excepto los solicitados con el único fin de identificar al usuario) o de contenido, pues sólo éstas pueden dar lugar a la notificación inicial a la autoridad de ejecución. Sucede, sin embargo, que la invocación de alguno de los motivos de denegación inicial libera al destinatario de su obligación de cumplir la orden europea de producción y obliga a la autoridad emisora a retirarla. Por tanto, la invocación de los motivos de denegación inicial del art. 12 excluye la posibilidad de aplicación de los motivos de oposición o de denegación del art. 16. Además, para incrementar la complejidad del sistema de reconocimiento y ejecución del Reglamento 2023/1543 nos encontramos con que los motivos de denegación inicial del art. 12 no son los mismos que los previstos en el art. 16 para la oposición o la denegación de la ejecución, sino que sólo coinciden parcialmente. Así, de los motivos de denegación inicial, sólo dos de ellos constituyen, además, motivos de oposición o denegación de la ejecución: que los datos solicitados estén protegidos por privilegios e inmunidades concedidos por el Derecho del Estado de ejecución o por la libertad de prensa o de expresión; y que la ejecución de la orden puede dar lugar a la vulneración de derechos fundamentales. En cambio, no son motivos de oposición o denegación de la ejecución los otros dos motivos de denegación inicial contemplados en el art. 12: que la ejecución de la orden sea contraria al non bis in idem; y el incumplimiento del requisito de la doble incriminación.
Obsérvese, que de todos los motivos de oposición a la entrega de datos electrónicos contemplados en el Reglamento 2023/1543, el que mayor protección recibe es el de que los datos solicitados estén protegidos por inmunidades o privilegios según el Derecho del Estado de ejecución o cubiertos por normas sobre determinación o limitación de la responsabilidad penal relacionadas con la libertad de prensa o la libertad de expresión en otros medios de comunicación. En efecto, en dicha situación se excluye la emisión de una orden europea de producción para datos de tráfico o de contenido (art. 5.10). Pero también lo pueden oponer los prestadores de servicios para justificar el incumplimiento de una orden europea de producción o de conservación (arts. 10.5 y 11.4), y la autoridad de ejecución invocarlo como motivo de denegación inicial de una orden europea de producción para datos de tráfico o de contenido (art. 12.1). Finalmente, puede esgrimirse como motivo de oposición y denegación de la ejecución de las órdenes europeas de producción y conservación, respectivamente, por los prestadores de servicios y por la autoridad de ejecución (art. 16.4 y 5).
Las decisiones de la autoridad de ejecución, positivas o negativas, sobre el reconocimiento y la ejecución se notificarán inmediatamente a la autoridad emisora y al destinatario (art. 16.8). Y la autoridad de ejecución transmitirá a la autoridad emisora los datos obtenidos en virtud de una orden europea de producción sin demora indebida (art. 16.9). Como hemos señalado, se contempla la posibilidad de que la autoridad de ejecución imponga sanciones pecuniarias conforme a lo previsto en el art. 15, en el caso de que el prestador de servicios no cumpla una orden cuya ejecutoriedad haya sido confirmada por la autoridad de ejecución (art. 16.10) 92.
Como conclusión común en cuanto a la regulación del cumplimiento y la ejecución de las órdenes europeas de producción y conservación, entendemos que el régimen de incidencias previsto es excesivamente amplio, con distintas posibilidades de oposición al cumplimiento en sentido propio y a la ejecución; y con diversidad de incidentes sustanciados con las autoridades emisoras y las de ejecución. Téngase en cuenta que los prestadores de servicios pueden oponerse tanto al cumplimiento 93 como a la ejecución de las órdenes europeas de producción y conservación, fundándose precisamente en las mismas causas, además de la potestad de la autoridad de ejecución de denegar, de oficio, el reconocimiento y la ejecución por esas mismas causas y por otra adicional. Y a ello debe añadirse la potestad de la autoridad de ejecución de denegar en un momento inicial las órdenes europeas de producción, por motivos sólo en parte coincidentes con los previstos para la denegación de la ejecución.
Por otra parte, el procedimiento de reexamen de las órdenes europeas de producción, que se analiza a continuación, no son sino incidentes de oposición basados en el conflicto de una orden europea de producción con el Derecho de un tercer país, supuesto que puede implicar la consulta a autoridades del tercer país.
El art. 17 prevé un procedimiento de reexamen aplicable sólo a las ordenes europeas de producción, en casos de conflicto con el Derecho de un tercer país (es decir, un Estado no miembro de la Unión Europea) 94.
Así, cuando el destinatario considere que la ejecución de una orden europea de producción entraría en conflicto con una obligación en virtud del Derecho de un tercer país, dentro de los diez días siguientes a la recepción del EPOC, notificará a la autoridad emisora y a la autoridad de ejecución los motivos para no ejecutar la orden europea de producción (objeción motivada) 95, a través del formulario del anexo III, conteniendo la información sobre el derecho del país tercero, su aplicabilidad al caso y la naturaleza de la obligación en conflicto (art. 17.1 y 2) 96.
La autoridad emisora revisará la orden, pudiendo anularla. Pero si entiende que procede su confirmación, debe solicitar su revisión o reexamen por el órgano jurisdiccional competente de su propio Estado miembro (Estado emisor), quien finalmente confirmará o anulará la orden europea de producción, suspendiéndose su ejecución mientras no concluya el procedimiento de reexamen (art. 17.3) 97.
En su revisión, el órgano jurisdiccional competente analizará, en primer lugar, si existe un conflicto de obligaciones, examinando si el Derecho del tercer país es aplicables en el supuesto específico; y si ese Derecho prohíbe la revelación de los datos solicitados en el caso concreto (art. 17.4). Si concluye que no existe conflicto de obligaciones confirmará la orden europea de producción (art. 17.5). Pero cuando compruebe que el Derecho del tercer país prohíbe la revelación de los datos solicitados, deberá decidir si confirma o retira la orden, analizando los siguientes criterios (art. 17.6), de los cuales debe dar mayor peso a los dos primeros:
a) el interés protegido por el Derecho del tercer país, incluidos los derechos fundamentales y otros intereses fundamentales que impidan la revelación de los datos, en particular, los intereses de seguridad nacional del tercer país.
b) el grado de conexión entre la causa penal en la que se haya emitido la orden europea de producción y uno u otro territorio, determinado, entre otros extremos, por la ubicación, nacionalidad y lugar de residencia de la persona cuyos datos se solicitan o de la víctima; y por el lugar de comisión del delito investigado.
c) el grado de conexión entre el prestador de servicios y el país tercero, sin que sea suficiente el lugar de almacenamiento de los datos para establecer un grado sustancial de conexión.
d) los intereses del Estado investigador en obtener las pruebas reclamadas, en función de la gravedad del delito y la importancia de la obtención de pruebas con prontitud.
e) las posibles consecuencias para el destinatario o para el prestador de servicios de cumplir la orden europea de producción, incluidas las posibles sanciones.
Para tomar su decisión, el órgano jurisdiccional competente puede solicitar información a la autoridad competente del tercer país 98, y debe hacerlo necesariamente cuando el conflicto de obligaciones afecte a derechos fundamentales u otros intereses fundamentales del tercer país relacionados con la seguridad nacional y la defensa (art. 17.7). El órgano jurisdiccional competente notificará su resolución a la autoridad emisora y al destinatario, y en caso de confirmar la orden europea de producción, el destinatario deberá proceder a su ejecución (art. 17.8). A su vez, la autoridad emisora informará a la autoridad de ejecución del resultado del procedimiento de reexamen (art. 17.10).
El art. 18, aplicable también únicamente a las órdenes europeas de producción, regula las vías de recurso efectivas. Todas las personas afectadas, es decir, cualquier persona cuyos datos hayan sido solicitados por medio de una orden europea de producción, deben poder impugnarla, tanto los sospechosos o acusados, durante el propio proceso penal en el que se estén utilizando los datos; como los que no lo son, que también deben tener vías de recurso efectivas en el Estado emisor 99. Además, deberán respetarse las garantías de los derechos fundamentales en el Estado de ejecución (art. 18.1 y 2).
Estos recursos se ejercitarán ante un órgano jurisdiccional del Estado emisor conforme a su Derecho nacional 100, y deberán incluir en todo caso la posibilidad de impugnar la legalidad (hay que entender que se refiere a la previsión en el Estado emisor de una orden similar en las mismas condiciones en un asunto similar nacional), la necesidad y la proporcionalidad de la orden europea de entrega, requisitos exigidos por el art. 5.2 del Reglamento 2023/1543 (art. 18.2) 101. A este respecto, la autoridad emisora debe velar por que se facilite información a la persona afectada sobre las posibilidades de recurso previstas en el Derecho nacional, garantizando su ejercicio efectivo, sin perjuicio de la posibilidad de aplazar esta información en los casos previstos por el art. 13 del Reglamento 2023/1543, para no comprometer el buen fin de la investigación penal, o para proteger la seguridad pública o nacional o los derechos y libertades de otras personas (art. 18.3).
No obstante, la regulación de las vías de recurso efectivas por el art. 18 no resulta completamente satisfactoria. Así, en primer lugar, no resulta adecuado que dichas vías de recurso efectivas se prevean sólo para las órdenes europeas de producción, excluyendo las órdenes europeas de conservación 102, que, sin embargo, sí podrían ser impugnables de conformidad con el Derecho nacional, atendiendo al primer inciso del art. 18.1 (“sin perjuicio de otras vías de recurso posibles de conformidad con el Derecho nacional”). Es verdad que podría entenderse que las órdenes europeas de producción conllevan un mayor grado de injerencia en los derechos de las personas afectadas, especialmente cuando se soliciten datos de tráfico (salvo cuando únicamente se pretenda identificar al usuario) o datos de contenido, pero esta distinción resulta artificial, teniendo en cuenta que el fin último de una orden europea de conservación es la entrega de los datos conservados, lo cual no sólo puede conseguirse por medio de una orden europea de producción (en cuyo caso sí entrarían en juego las vías de recurso efectivas del art. 18), sino también a través de una OEI o la asistencia judicial mutua. Por tanto, en la legislación nacional de desarrollo del Reglamento 2023/1543 debe recogerse la posibilidad de impugnar las ordenes europeas de conservación en términos similares a lo previsto para las órdenes europeas de producción, cuando se incumplan los requisitos o los plazos previstos en el Reglamento.
Pero además, en segundo lugar, el sistema de impugnación está previsto para reaccionar contra la entrega de los datos obtenidos por medio de una orden europea de producción y su incorporación al proceso penal, tal y como se deduce de los arts. 13.1 (según el cual debe informarse al afectado de la entrega de los datos solicitados sobre la base de una orden europea de producción) y 18.1 (conforme al cual, el sospechoso o acusado tendrá vías de recurso efectivas contra una orden europea de producción durante el proceso penal en el que se estén utilizando los datos; y se concede, con carácter general, la posibilidad de recurrir a cualquier persona cuyos datos hayan sido ya solicitados por medio de una orden europea de producción). Es decir, se prevé la impugnación de la incorporación, utilización y valoración de los datos ya obtenidos en el proceso penal en el Estado emisor. Pues bien, creo que lo primero que debe poder impugnarse es la emisión de la propia orden europea de producción si no se cumplen los requisitos establecidos en el art. 5 para poder emitirla. Y esta posibilidad de impugnar el incumplimiento de las condiciones para emitir una orden europea de producción, incluyendo su legalidad, necesidad y proporcionalidad, debe estar referida al momento mismo de su emisión, lo que es compatible con lo previsto por el art. 18.2, que remite para la impugnación de una orden europea de producción a los órganos jurisdiccionales del Estado emisor.
El Reglamento 2023/1543 también se refiere a las garantías relativas a la incorporación de los datos obtenidos al proceso penal, y así, el art. 18.5 dispone que tanto el Estado emisor como cualquier otro Estado miembro al que se hayan trasmitido las pruebas electrónicas debe velar por el respeto de los derechos de defensa y equidad del proceso al valorar las pruebas obtenidas a través de la orden europea de producción, lo que también debe dar lugar a que las partes procesales y los sujetos afectados puedan hacer valer sus derechos a través de los recursos previstos por el respectivo Derecho nacional 103.
El art. 19 del Reglamento 2023/1543 dispone el establecimiento de un sistema informático descentralizado, seguro y fiable, para la realización de las comunicaciones previstas en el propio Reglamento, en concreto, para las comunicaciones escritas entre las autoridades competentes y los establecimientos designados o los representantes legales, incluido el intercambio de formularios y de los datos solicitados por una orden europea de producción o de conservación. Se trata de que el sistema informático descentralizado permita el intercambio electrónico transfronterizo rápido, directo, interoperable, sostenible, fiable y seguro de los formularios, los datos y la información necesaria 104.
El sistema informático descentralizado está integrado por el sistema informático desarrollado por la Comisión, denominado programa informático de aplicación de referencia, así como por los programas informáticos de los Estados miembros y los puntos de acceso interoperables a través de los cuales estarán interconectados 105. No obstante, los Estados miembros pueden optar por utilizar el programa informático de aplicación de referencia como su sistema de fondo, en lugar de su sistema informático nacional (art. 22).
Cuando la comunicación electrónica a través del sistema informático descentralizado no sea posible, la transmisión se realizará por los medios alternativos más adecuados, siempre que garanticen un intercambio de información rápido, seguro y fiable, y permitan al destinatario establecer su autenticidad 106. Además, en estos casos quien realice la transmisión procederá posteriormente a su registro, sin demora indebida, en el sistema informático descentralizado, incluyendo en el registro, la fecha y hora de la transmisión, el remitente y el destinatario, el nombre del archivo y su tamaño (art. 19.5 y 6).
Los documentos electrónicos transmitidos por medio del sistema informático descentralizado surtirán efectos jurídicos y cuando requieran un sello o firma electrónica, el documento deberá presentar un sello electrónico cualificado o una firma electrónica cualificada, de conformidad con el Reglamento (UE) 910/2014, de 23 de julio de 2014 (arts. 20 y 21).
Conforme al art. 34 del Reglamento 2023/1543, la obligación de utilizar el sistema informático descentralizado se aplicará a partir de un año después de la adopción por parte de la Comisión de los actos de ejecución necesarios para la implantación de aquél, previstos en el art. 25, que deberán llevarse a cabo a más tardar el 18 de agosto de 2025, determinándose: a) las especificaciones técnicas que definan los modos de comunicación por medios electrónicos; b) las especificaciones técnicas de los protocolos de comunicación; c) los objetivos en materia de seguridad de la información y las medidas técnicas que garanticen las normas mínimas de seguridad de la información; d) los objetivos mínimos de disponibilidad y los requisitos técnicos conexos para los servicios prestados por el sistema informático descentralizado 107.
Resulta muy satisfactorio que la Unión Europea se haya dotado de un sistema eficaz de obtención transfronteriza de pruebas penales electrónicas. Es verdad que el proceso ha sido lento, iniciado con las Propuestas de Reglamento y de Directiva de 17 de abril de 2018, pero las normas finalmente adoptadas, el Reglamento (UE) 2023/1543, de 12 de julio de 2023, y la Directiva (UE) 2023/1544, de 12 de julio de 2023, han mejorado el sistema, incorporando la notificación inicial a la autoridad de ejecución, cuando se trate de órdenes europeas de producción para obtener datos de tráfico (excepto los solicitados con el único fin de identificar al usuario) o de contenido. Ello, a su vez, permite que la autoridad de ejecución esgrima unos determinados motivos de denegación inicial de la orden europea de producción, que obligan a que la autoridad de emisión retire la misma. Esta denegación inicial es también una novedad del Reglamento 2023/1543, e incorpora el incumplimiento del requisito de la doble incriminación como motivo de esta denegación.
Aunque esta nueva regulación también presenta algunos aspectos mejorables. Ya hemos señalado que nos parece criticable la previsión de autoridades y requisitos distintos para la emisión de las órdenes europeas de producción y las de conservación, habiendo abogado por la asimilación de las autoridades emisoras y los requisitos según se trate de obtener o conservar datos de los abonados y datos solicitados con el único fin de identificar al usuario, de un lado; y datos de tráfico y datos de contenido, de otro. También hemos criticado la excesiva amplitud del régimen de incidencias previsto en cuanto al cumplimiento y la ejecución, con distintas posibilidades de oposición al cumplimiento en sentido propio y a la ejecución; y con diversidad de incidentes sustanciados con las autoridades emisoras y las de ejecución, e incluso con consulta a autoridades de terceros países, en el caso del procedimiento de reexamen en caso de obligaciones en conflicto. Sería deseable la simplificación de este panorama de posibles incidencias.
A las críticas anteriores, añadimos que también resultan discutibles otras diferencias que se establecen entre las órdenes europeas de producción y las de conservación, basadas en la supuesta menor injerencia en los derechos de las personas afectadas de las órdenes de conservación con respecto a las de producción, y que justifican que el procedimiento de reexamen (art. 17) y las vías de recurso efectivas (art. 18) sólo se apliquen a las órdenes europeas de producción y no a las de conservación. Tampoco vemos que exista razón suficiente para restringir la notificación inicial a la autoridad de ejecución (y la correlativa posibilidad de denegación inicial) a las órdenes europeas de producción para obtener datos de tráfico o de contenido, que debería aplicarse también a las órdenes europeas de conservación, cuando se trate de la conservación de la misma clase de datos.
Por lo demás, las pruebas electrónicas pueden ser más fáciles de manipular por lo que necesitan garantías adicionales y específicas que permitan mantener la cadena de custodia, asegurando su autenticidad e integridad durante todo el proceso de recogida, conservación, transmisión y entrega de las mismas. Tratándose de un sistema europeo de obtención transfronteriza de pruebas penales electrónicas sería deseable que la Unión Europea estableciese unas normas mínimas comunes al respecto, que garantizasen la admisibilidad de las pruebas electrónicas en el Estado que las solicitó 108.
Amann, P. y Dillon, M. P. (2018), “Electronic Evidence Management at the ICC: Legal, Technical, Investigative and Organizational Considerations”, en International Criminal Investigations. Law and Practice (Eds. A. Babinton-Ashaye, A. Comrie and A. Adeniran), Eleven International Publishing, (231-252).
Bachmaier Winter, L. (2023), “Mutual Admissibility of Evidence and Electronic Evidence in the EU. A New Try for European Minimun Rules in Criminal Proceedings?”, Eucrim, 2023/2 (223-229).
Bachmaier Winter, L. (2024), “The Quest for Evidentiary Rules in EU Cross-Border Criminal Proceedings: Electronic Evidence, Efficiency and Fair Trail Rights”, en Admissibility of Evidence in EU Cross-Border Criminal Proceedings (Anthology Editors L. Bachmaier Winter y F. Salimi), Bloomsbury Publishing.
Biasiotti, M.ª A. (2017), “A proposed electronic evidence exchange across the European Union”, Digital Evidence and Electronic Signature Law Review, 14 (2017).
Bujosa Vadell, L. M. (2022), “Cooperación judicial para la obtención y transmisión de pruebas electrónicas”, en A vueltas con la cooperación jurídico penal internacional (Dir. L. Fontestad Portalés), Pamplona (69-97).
Cuadrado Salinas, C. (2021), “La efectividad de las pruebas penales obtenidas en el marco de la futura normativa europea relativa a la obtención y conservación de pruebas electrónicas”, Revista General de Derecho Procesal, núm. 55.
Cuadrado Salinas, C. (2023), “La Directiva Europea y las Órdenes de Producción y Conservación de pruebas electrónicas en los procesos penales. ¿Nuevas perspectivas?”, Ius et Scientia, vol. 9, núm. 2 (117-135).
De Hoyos Sancho, M. (2022), “Reflexiones acerca de la Propuesta de Reglamento UE sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal”, en Revista General de Derecho Procesal, núm. 58.
De Hoyos Sancho, M. (2023), “Novedades en materia de obtención transfronteriza de información electrónica necesaria para la investigación penal en el ámbito europeo”, Revista de Estudios Europeos, núm. Extraordinario monográfico 1 (2023) (109-113).
De Hoyos Sancho, M. (2023 b), Proceso penal europeo: últimas tendencias, análisis y perspectivas (Dirs. A. Hernández López y M.ª E. Laro González), Pamplona (139-15).
De Hoyos Sancho, M. (2024), La nueva regulación en la Unión Europea sobre obtención transfronteriza de información electrónica en procesos penales. Análisis y valoración del “e-evidence package”, Madrid.
Domínguez Ruiz, L. (2019), La orden europea de investigación. Análisis legal y aplicaciones prácticas, Valencia.
Forlani, G. (2023), “The e-evidence Package. The Happy Ending of a Long Negotiation Saga”, Eucrim, 2023/2 (174-181).
Fuentes Soriano, O. (2020), “Europa ante el reto de la prueba digital. El establecimiento de instrumentos probatorios comunes: las órdenes europeas de entrega y conservación de pruebas electrónicas”, en Era digital, sociedad y derecho (Dir. O. Fuentes Soriano), Valencia (281-320).
Fuentes Soriano, O. (2021), “La (futura) orden europea de entrega de pruebas electrónicas”, en La justicia penal del siglo XXI ante el desafío del blanqueo de dinero (Dir. A. Sanz Hermida), Valencia (207-226).
Fuentes Soriano, O. (2024), “Prueba penal transfronteriza: la normativa «e-evidence» como complemento de la orden europea de investigación”, en Hacia un Derecho Procesal Europeo (Dirs. C. Arangüena Fanego y M. de Hoyos Sancho), Barcelona (219-259).
Gómez Amigo, L. (2019), “Nuevas perspectivas para la obtención transfronteriza de prueba penal electrónica en la Unión Europea”, Diario La Ley, núm. 9340.
Gómez Amigo, L. (2019 b), “Las órdenes europeas de entrega y conservación de pruebas penales electrónicas: una regulación que se aproxima”, Revista Española de Derecho Europeo, núm. 71 (23-55).
González Pulido, I. (2023), “Perspectivas de futuro respecto a la obtención de pruebas electrónicas transfronterizas y a la cooperación con proveedores de servicios: investigación y prueba de los ciberdelitos graves en la Unión Europea”, Diario La Ley, núm. 10266.
Jiménez López, R. (2019), “El nuevo marco jurídico transfronterizo de las pruebas electrónicas. Las órdenes de entrega y conservación de las pruebas electrónicas”, Revista General de Derecho Europeo, núm. 49.
Laro González, M.ª E. (2019), “Prueba electrónica (e-evidence) en el marco de la Unión Europea. Necesidad de adaptación de la prueba a las nuevas tecnologías”, en El mercado único en la Unión europea. Balance y perspectivas jurídico-políticas (Dirs. J. M. Martín Rodríguez y L. García Álvarez), Madrid (1163-1176).
Laro González, M.ª E. (2021), “El Reglamento E-evidence: instrumento adicional a la Orden europea de investigación”, La Ley Probática, núm. 3.
Laro González, M.ª E. (2022), “Prueba penal transfronteriza: de la orden europea de investigación a las órdenes europeas de entrega y conservación de pruebas electrónicas”, Revista de Estudios Europeos, vol. 79 (285-303).
Martínez Santos, A. (2023), “Admisibilidad mutua de prueba penal transfronteriza en la Unión Europea: la Propuesta de Directiva del European Law Institute”, Revista General de Derecho Procesal, núm. 61.
Mitsilegas, V. (2018), “The privatisation of mutual trust in Europe’s area of criminal justice: The case of e-evidence”, Maastricht Journal of European and Comparative Law, Vol. 25(3) (263-265).
Ormazabal Sánchez, G. (2018), “El tortuoso camino hacia la construcción del espacio judicial europeo en materia penal. Algunas consideraciones en torno al reconocimiento mutuo de pruebas, la euro-orden y la Fiscalía Europea”, en Derecho y Proceso. Liber Amicorum del Profesor Francisco Ramos Méndez (Coords. M. Cachón Cadenas y J. Franco Arias), Barcelona, vol. III (1797-1814).
Pérez Tortosa, F. (2022), “La propuesta de implantación de las órdenes europeas de entrega y conservación de pruebas electrónicas como instrumentos complementarios a la orden europea de investigación”, en A vueltas con la cooperación jurídico penal internacional (Dir. L. Fontestad Portalés), Pamplona (231-248).
Stefan, M. y González Fuster, G. (2018), “Cross-border Access to Electronic Data through Judicial Cooperation in Criminal Matters. State of the art and latest developments in the EU and the US”, CEPS Paper in Liberty and Security in Europe, núm. 2018-07.
Tinoco Pastrana, A. (2021), “Las órdenes europeas de entrega y conservación: la futura obtención transnacional de la prueba electrónica en los procesos penales en la Unión Europea”, Cuadernos de Política Criminal, núm. 135, III, Época II (203-246).
Tinoco Pastrana, A. (2022), “Las medidas de investigación tecnológica en el Espacio de Libertad, Seguridad y Justicia”, en La evolución del espacio judicial europeo en materia civil y penal: su influencia en el proceso español (Dir. M. Jimeno Bulnes), Valencia (319-358).
Topalnakos, P. G. (2023), “Critical Issues in the New EU Regulation on Electronic Evidence in Criminal Proceedings”, Eucrim, 2023/2 (200-203).
* Catedrático de Derecho Procesal de la Universidad de Almería; lgomez@ual.es; ORCID: 0000-0001-5021-5809.
Estudio realizado en el marco del Proyecto de Fortalecimiento de Grupos de Investigación PPIT-UAL, Junta de Andalucía-FEDER 2021-2027, Programa 54.A, Grupo PAIDI: SEJ384.
1 DOUE L 191, de 28 de julio de 2023.
2 DOUE L 191, de 28 de julio de 2023.
3 Téngase en cuenta que la denominación original Directiva 2014/41/CE de la versión española fue rectificada a Directiva 2014/41/UE, por la corrección de errores publicada en el DOUE L 328, de 12 de diciembre de 2017.
4 Conforme a los Considerandos 44 y 45, la Directiva sobre la OEI no se aplica ni a Irlanda ni a Dinamarca.
5 Así lo dispone el art. 34 de la Directiva sobre la OEI.
6 La Directiva sobre la OEI ha sustituido a las disposiciones correspondientes de los Convenios y a las Decisiones Marco. La sustitución de la Decisión Marco 2003/577/JAI por la Directiva sobre la OEI es parcial, pues sólo se produce en relación con el aseguramiento de pruebas. Posteriormente, se ha dictado el Reglamento (UE) 2018/1805 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, sobre el reconocimiento mutuo de las resoluciones de embargo y decomiso, que también sustituye a las disposiciones de la Decisión Marco 2003/577/JAI en lo referente al embargo de bienes entre los Estados miembros vinculados por el Reglamento, a partir del 19 de diciembre de 2020. Además, el Reglamento (UE) 2016/95, de 20 de enero de 2016, ha derogado la Decisión Marco 2008/978/JAI.
7 Así lo dispone el art. 3 de la Directiva sobre la OEI. Al respecto, téngase en cuenta la Decisión Marco 2002/465/JAI del Consejo, de 13 de junio de 2002, sobre equipos conjuntos de investigación, cuya exigua regulación ha sido completada últimamente por el Reglamento (UE) 2023/969, del Parlamento Europeo y del Consejo, de 10 de mayo de 2023, por el que se establece una plataforma de colaboración en apoyo del funcionamiento de los equipos conjuntos de investigación y se modifica el Reglamento (UE) 2018/1726. Conforme al Considerando 9, la Directiva sobre la OEI tampoco se aplica a la vigilancia transfronteriza a la que se refiere el Convenio de aplicación del Acuerdo de Schengen.
8 El principio de reconocimiento mutuo puede ser insuficiente en cuanto a la admisibilidad de la prueba en el Estado de ejecución, por lo que debería complementarse con unas normas europeas comunes mínimas en materia de obtención de prueba. Cfr. en este sentido, G. Ormazabal (2018: 1805). Sin embargo, ésta es una cuestión que sigue pendiente desde su planteamiento por el Libro Verde sobre la obtención de pruebas en materia penal en otro Estado miembro y sobre la garantía de su admisibilidad, de 11 de noviembre de 2009, COM(2009) 624 final.
Recientemente, el ELI (European Law Institute), bajo la dirección de los Profesores Bachmaier Winter y Salimi, ha elaborado una Propuesta de Directiva sobre la admisibilidad mutua de las pruebas y las pruebas electrónicas en los procesos penales: ELI Proposal for a Directive of the European Parliament and the Council on Mutual Admissibility of Evidence and Electronic Evidence in Criminal Proceedings, European Law Institute, 8 de mayo de 2023, ISBN: 978-3-9505318-6-2, disponible en:
https://www.europeanlawinstitute.eu/fileadmin/user_upload/p_eli/Publications/ELI_Proposal_for_a_Directive_on_Mutual_Admissibility_of_Evidence_and_Electronic_Evidence_in_Criminal_Proceedings_in_the_EU.pdf
Puede verse una aproximación a esta Propuesta de Directiva en L. Bachmaier (2023: 223-229; y 2024); y también, en A. Martínez (2023).
9 Sobre las relaciones y el tránsito de la orden europea de investigación a las órdenes europeas de producción y conservación, véase, M.ª E. Laro (2019: 1163-1176; 2021; y 2022: 285-303).
10 Sobre la situación de la prueba electrónica en Europa, véase el último informe del Proyecto SIRIUS, Sirius EU Electronic Evidence Situation Report 2023, La Haya, noviembre de 2023, disponible en:
https://www.europol.europa.eu/publications-events/publications/sirius-eu-electronic-evidence-situation-report-2023
11 Concretamente, se trata de prestadores de servicios de comunicaciones electrónicas, de servicios de nombre de dominio de internet y de direcciones IP y de otros servicios de la sociedad de la información.
12 Igual que en el Reglamento (UE) 2023/1543, de 12 de julio de 2023, se trata de prestadores de servicios de comunicaciones electrónicas, de servicios de nombre de dominio de internet y de direcciones IP y de otros servicios de la sociedad de la información.
13 COM(2015) 185 final.
14 DOUE C 346, de 27 de septiembre de 2018.
15 “Al tiempo que crece el uso de las redes sociales, el correo electrónico, los servicios de mensajería y las aplicaciones para comunicarse, trabajar, socializar y obtener información, incluso con fines ilegítimos, aumentan también los flujos transfronterizos de datos. Consecuentemente, un número cada vez mayor de investigaciones penales se apoya en pruebas electrónicas que no son accesibles al público. La naturaleza carente de fronteras de internet y el modo en que pueden prestarse servicios desde cualquier parte del mundo, también por empresas que no sean europeas, hacen que facilitar el acceso transfronterizo a las pruebas electrónicas se haya convertido en una cuestión acuciante para casi cualquier tipo de infracción. En concreto, los recientes atentados terroristas han puesto de relieve la necesidad, prioritaria, de encontrar herramientas para que los fiscales y jueces de los Estados miembros de la Unión Europea obtengan las pruebas electrónicas de manera más rápida y eficaz.
Más de la mitad de las investigaciones penales actuales requieren del acceso a pruebas electrónicas transfronterizas. Las pruebas electrónicas se necesitan en cerca del 85 % de las investigaciones penales, y, en dos tercios de estas investigaciones, es preciso obtener pruebas de proveedores de servicios en línea establecidos en otra jurisdicción. El número de solicitudes a los principales proveedores de servicios en línea aumentó un 84 % en el período comprendido entre 2013 y 2018. Estos tipos de datos son fundamentales en las investigaciones penales para identificar a una persona u obtener información sobre su actividad” [Exposición de Motivos, epígrafe 1: “Contexto”, de la Recomendación de Decisión del Consejo por la que se autoriza la apertura de negociaciones para un Acuerdo entre la Unión Europea y los Estados Unidos de América sobre el acceso transfronterizo a las pruebas electrónicas para la cooperación judicial en materia penal, de 5 de febrero de 2019, COM(2019) 70 final].
16 Véase, sobre las Propuestas de Reglamento y de Directiva de 2018, L. Gómez Amigo (2019 y 2019 b: 23-55). También puede verse, R. Jiménez (2019); A. Tinoco (2021: 203-246; y 2022: 338 y ss.); L. M. Bujosa, (2022: 69-97); F. Pérez Tortosa, (2022: 231-248); I. Pulido (2023).
17 COM(2018) 225 final. Existe una segunda versión de la Propuesta de Reglamento sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal, de 4 de marzo de 2019, sólo en versión española y que incorpora una mínima corrección de errores: en la versión original española, las definiciones del art. 2 estaban numeradas incorrectamente, del 1 al 14, ya que en las dos primeras definiciones estaba repetido el mismo ordinal, numerándose del 1 al 15 en la versión corregida.
Para conocer mejor el contexto en que surge y su finalidad, puede consultarse la Exposición de Motivos de la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal, de 17 de abril de 2018, que contiene una explicación detallada de los preceptos contenidos en la Propuesta. Véase también el documento técnico de los Servicios de la Comisión, Measures to improve cross-border access to electronic evidence for criminal investigations following the adoption of the Council Conclusions on Improving Criminal Justice in Cyberspace, de 22 de mayo de 2017 (9554/17).
18 COM(2018) 226 final.
Sobre su contexto y finalidad, véase la Exposición de Motivos de la Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales, de 17 de abril de 2018, que contiene una explicación detallada de los preceptos contenidos en la Propuesta.
Sobre el largo proceso que llevó desde las Propuestas de Reglamento y Directiva de 2018 hasta el Reglamento (UE) 2023/1543, de 12 de julio de 2023, y la Directiva (UE) 2023/1544, de 12 de julio de 2023, finalmente adoptados, con análisis de las negociaciones entre la Comisión, el Consejo y el Parlamento Europeo, véase G. Forlani (2023: 174-181).
19 SWD(2018) 118 final. La versión íntegra se encuentra disponible únicamente en lengua inglesa. En castellano puede consultarse un Resumen de la Evaluación de impacto [SWD(2018) 119 final], que es una versión muy reducida del original.
20 DOUE C 367, de 10 de octubre de 2018.
21 Resumen del dictamen del Supervisor Europeo de Protección de Datos sobre las propuestas relativas a las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal, DOUE C 32, de 31 de enero de 2020.
22 https://www.ccbe.eu/fileadmin/speciality_distribution/public/documents/SURVEILLANCE/SVL_Position_papers/EN_SVL_20180629_CCBE-Preliminary-comments-on-the-Commission-proposal-for-a-Regulation-on-European-Production-and-Preservation-Orders-for-electronic-evidence-in-criminal-matters.pdf
23 https://www.ccbe.eu/fileadmin/speciality_distribution/public/documents/SURVEILLANCE/SVL_Position_papers/EN_SVL_20181019_CCBE-position-on-Commission-proposal-Regulation-on-European-Production-and-Preservation-Orders-for-e-evidence.pdf
24 COM(2019) 71 final.
25 COM(2019) 70 final.
26 STCE (Serie de Tratados del Consejo de Europa) núm. 224. DOUE L 63, de 28 de febrero de 2023.
27 DOUE L 134, de 11 de mayo de 2022.
28 DOUE L 63, de 28 de febrero de 2023.
29 STE (Serie de Tratados Europeos) núm. 185. Instrumento de Ratificación por España de 20 de mayo de 2010 (BOE núm. 226, de 17 de septiembre de 2010).
30 STE núm. 189. Instrumento de Ratificación por España de 11 de noviembre de 2014 (BOE núm. 26, de 30 de enero de 2015).
31 Este Acuerdo es posible al amparo de la Ley CLOUD estadounidense (Clarifying Lawful Overseas Use of Data, de 23 de marzo de 2018), que permite celebrar acuerdos ejecutivos con gobiernos extranjeros, según los cuales los proveedores de servicios norteamericanos podrían facilitar datos de contenido directamente a dichos gobiernos extranjeros.
32 COM(2019) 70 final. Aunque las negociaciones entre la Unión Europea y Estados Unidos comenzaron en septiembre de 2019, se interrumpieron mientras la Unión Europea ultimaba su normativa sobre las órdenes europeas de producción y conservación (Reglamento 2023/1543 y Directiva 2023/1544), anunciándose el 2 de marzo de 2023 la reanudación de dichas negociones.
33 Cfr. la Recomendación de Decisión del Consejo sobre un Acuerdo con los Estados Unidos de América sobre el acceso transfronterizo a las pruebas penales electrónicas, epígrafe 1: “Contexto”.
34 Cfr. el Anexo a la Recomendación de Decisión del Consejo sobre un Acuerdo con los Estados Unidos de América sobre el acceso transfronterizo a las pruebas penales electrónicas, epígrafe 1: “Objetivos”.
35 Cfr. el Anexo a la Recomendación de Decisión del Consejo sobre un Acuerdo con los Estados Unidos de América sobre el acceso transfronterizo a las pruebas penales electrónicas, epígrafe 1: “Objetivos”; y epígrafe 2: “Naturaleza y ámbito de aplicación del Acuerdo”.
36 Cfr. el Anexo a la Recomendación de Decisión del Consejo sobre un Acuerdo con los Estados Unidos de América sobre el acceso transfronterizo a las pruebas penales electrónicas, epígrafe 3: “Garantías”.
37 Recomendación de Decisión del Consejo sobre un Acuerdo con los Estados Unidos de América sobre el acceso transfronterizo a las pruebas penales electrónicas, epígrafe 3: “Disposiciones pertinentes en la misma política sectorial”.
38 También en la versión portuguesa se denominaba inicialmente orden europea de entrega, cambiándose en el Reglamento 2023/1543 por orden europea de producción.
39 El cambio de denominación se ha criticado, entendiendo más adecuado el de orden europea de entrega, puesto que no se trata de producir la prueba electrónica, sino de entregar aquella que ya obra en poder del prestador de servicios. Cfr. M. de Hoyos (2024: S30); O. Fuentes (2024: 235). De O. Fuentes pueden verse también, sobre la obtención transfronteriza de prueba penal electrónica en la Unión Europea (2020: 282-320; y 2021: 207-226).
40 Según la explicación del artículo 3 de la Exposición de Motivos de la Propuesta de Reglamento de 2018, “la vinculación con una investigación específica distingue estas órdenes de las medidas preventivas o de las obligaciones de conservación de datos establecidas por ley, y garantiza la aplicación de los derechos procesales aplicables en los procesos penales. La competencia para iniciar investigaciones respecto de una infracción específica constituye, por tanto, una condición necesaria para la aplicación del Reglamento”.
41 Cfr. los Considerandos 32 y 33 del Reglamento (UE) 2023/1543, de 12 de julio de 2023.
42 Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (DOUE L 201, de 31 de julio de 2002).
43 En cambio, la Propuesta de Reglamento de 2018 incluía los datos relativos al acceso (equivalente a los actuales datos solicitados con el único fin de identificar al usuario) entre las categorías cubiertas (Considerando 20 de la Propuesta) y también en la definición de pruebas electrónicas del art. 2.5.
44 Cfr. el Considerando 34 del Reglamento (UE) 2023/1543, de 12 de julio de 2023.
45 Articulado de ese modo, el sistema podía dar lugar a la privatización del reconocimiento mutuo. Cfr. en este sentido, V. Mitsilegas (2018: 263-265); M. Stefan y G. González Fuster (2018).
46 Así, en el Resumen del dictamen del Supervisor Europeo de Protección de Datos sobre las propuestas relativas a las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal, cit., Conclusión 72. También, la Posición del CCBE sobre la propuesta de la Comisión de Reglamento sobre las órdenes europeas de entrega y conservación de pruebas electrónica en materia penal, cit., epígrafe 2.
En una Nota de la Presidencia al Consejo, de 4 de octubre de 2018 (relativa a la Propuesta de Reglamento sobre las órdenes europeas de entrega y conservación, documento 12856/18), la Presidencia informó de que diversos Estados miembros habían propuesto que las órdenes se notificaran también a las autoridades judiciales del Estado miembro del destinatario o bien a las del Estado miembro de la persona cuyos datos se solicitaban, de modo que también éstas pudieran evaluar la legalidad de las órdenes y cualquier posible obstáculo para su ejecución, y tendrían la posibilidad de presentar objeciones a la ejecución, aunque no había consenso sobre a qué Estado miembro habría que enviar esta notificación, si al de ejecución o al de la persona afectada. Por su parte, la Presidencia propuso como solución transaccional la notificación, únicamente a efectos informativos, a las autoridades del Estado miembro de ejecución o del Estado miembro de la persona afectada. De este modo, “la autoridad notificada puede iniciar una consulta al Estado miembro de emisión, pero no tiene derecho a presentar objeciones a la ejecución de la orden”.
Sobre esta cuestión, véase ampliamente M. de Hoyos, quien analiza el Informe de la Comisión LIBE, que proponía remitir las órdenes europeas de entrega y conservación, directa y simultáneamente, tanto al proveedor de servicios como a la autoridad judicial del Estado de ejecución [Informe de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior sobre la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre las órdenes europeas de entrega y conservación de pruebas electrónicas a efectos de enjuiciamiento penal, de 11 de diciembre de 2020 (documento A9-0256/2020)]. Cfr. M. de Hoyos (2022: 24-28; 2023: 109-113; y 2023 b: 161-166).
47 Cfr. M. de Hoyos (2022: 19-20; 2023: 116-117; y 2023 b: 156-157).
48 Cfr. los Considerandos 18 y 24 del Reglamento (UE) 2023/1543, de 12 de julio de 2023.
49 Cfr. el Considerando 25 del Reglamento (UE) 2023/1543, de 12 de julio de 2023.
50 Cfr. el Considerando 26 del Reglamento (UE) 2023/1543, de 12 de julio de 2023.
51 Con ello, se supera el principio de territorialidad, que ha sido el aplicado tradicionalmente en la cooperación transfronteriza para la obtención de pruebas, y se sustituye por el del lugar de prestación del servicio. Cfr. M. de HOYOS (2024: 21-22).
52 Sobre esta cuestión, más ampliamente, C. Cuadrado (2023: 120-124). De C. Cuadrado puede verse también (2021).
53 Cfr. el Considerando 18 del Reglamento (UE) 2023/1543, de 12 de julio de 2023.
54 Conforme al Considerando 29 del Reglamento (UE) 2023/1543, de 12 de julio de 2023, “la mera accesibilidad de una interfaz en línea en la Unión (como, por ejemplo, la accesibilidad de una página web o una dirección de correo electrónico u otros datos de contacto de un prestador de servicios o de un intermediario), tomada aisladamente, debe considerarse insuficiente para determinar que un prestador de servicios ofrece servicios en la Unión en el sentido del presente Reglamento”.
55 Según el Considerando 30 del Reglamento (UE) 2023/1543, de 12 de julio de 2023, “debe considerarse que existe tal conexión sustancial cuando el prestador de servicios tenga un establecimiento en la Unión. A falta de tal establecimiento, el criterio de la conexión sustancial debe basarse en criterios fácticos específicos como la existencia de un número significativo de usuarios en uno o más Estados miembros, o la orientación de las actividades hacia uno o más Estados miembros. La orientación de las actividades hacia uno o más Estados miembros ha de determinarse en función de todas las circunstancias pertinentes, incluidos factores como el uso de una lengua o una moneda utilizada generalmente en ese Estado miembro, o la posibilidad de encargar productos o servicios. La orientación de las actividades hacia un Estado miembro también puede derivarse de la disponibilidad de una aplicación para móvil en la tienda de aplicaciones nacional correspondiente, de la existencia de publicidad local o publicidad en la lengua utilizada en dicho Estado miembro, o de una gestión de las relaciones con los clientes que incluya, por ejemplo, la prestación de servicios a los clientes en la lengua comúnmente utilizada en ese Estado miembro. También debe considerarse que existe una conexión sustancial cuando un prestador de servicios dirige su actividad hacia uno o varios Estados miembros con arreglo a lo establecido en el Reglamento (UE) n.º 1215/2012 del Parlamento Europeo y del Consejo. Por otro lado, la prestación de servicios con el fin de un mero cumplimiento de la prohibición de discriminación establecida en el Reglamento (UE) 2018/302 del Parlamento Europeo y del Consejo no debe, sin motivos adicionales, considerarse que dirige u orienta las actividades hacia un territorio determinado de la Unión. Las mismas consideraciones deben aplicarse a la hora de determinar si un prestador de servicios ofrece sus servicios en un Estado miembro”.
56 El propio precepto exceptúa, ya que no son servicios de comunicaciones electrónicas y de la sociedad de la información, los servicios financieros del art. 2.2.b) de la Directiva 2006/123/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior: “los servicios financieros, como los bancarios, de crédito, de seguros y reaseguros, de pensiones de empleo o individuales, de valores, de fondos de inversión, de pagos y asesoría sobre inversión, incluidos los servicios enumerados en el anexo I de la Directiva 2006/48/CE”.
57 “Los servicios de comunicaciones electrónicas se definen en la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo e incluyen servicios de comunicaciones interpersonales tales como servicios de voz sobre IP, servicios de mensajería instantánea y servicios de correo electrónico” [Considerando 27 del Reglamento (UE) 2023/1543, de 12 de julio de 2023].
58 “Los prestadores de servicios de infraestructura de internet relacionados con la asignación de nombres y números, como los registradores y los registros de nombres de dominio y los prestadores de servicios de privacidad y representación, o los registros regionales de direcciones de protocolo de internet (direcciones IP), revisten especial importancia en lo que respecta a la identificación de quienes están detrás de las páginas web maliciosas o comprometidas. Estos prestadores disponen de datos que podrían hacer posible la identificación de una persona física o jurídica responsable de un sitio web utilizado en actividades delictivas o la identificación de la víctima de una actividad delictiva” [Considerando 28 del Reglamento (UE) 2023/1543, de 12 de julio de 2023].
59 “El presente Reglamento debe aplicarse también a otros prestadores de servicios de la sociedad de la información en el sentido de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo que no puedan calificarse como proveedores de servicios de comunicaciones electrónicas, pero que ofrezcan a sus usuarios la capacidad de comunicarse entre sí o les ofrezcan servicios que puedan utilizar para almacenar o tratar datos de otro modo en su nombre. Ello estaría en consonancia con el Convenio del Consejo de Europa sobre la Ciberdelincuencia (ETS n.º 185), hecho en Budapest el 23 de noviembre de 2001 (Convenio de Budapest). El tratamiento de datos debe entenderse en un sentido técnico, como creación o manipulación de datos, es decir, operaciones técnicas destinadas a producir o modificar datos mediante la capacidad de procesamiento de un ordenador. Las categorías de prestadores de servicios a los que se aplica el presente Reglamento han de incluir, por ejemplo, los mercados en línea que proporcionan a los consumidores y las empresas la capacidad de comunicarse entre sí, y otros servicios de alojamiento de datos, también en los casos en que el servicio se presta a través de la computación en nube, así como las plataformas de juegos y de juegos de apuestas en línea. Cuando un prestador de servicios de la sociedad de la información no proporcione a sus usuarios la capacidad de comunicarse entre sí, sino únicamente con el prestador de servicios, o no proporcione la capacidad de almacenar o tratar datos de otro modo, o cuando el almacenamiento de datos no sea un componente definitorio, esto es, una parte esencial, del servicio prestado a los usuarios, como los servicios jurídicos, de arquitectura, de ingeniería y de contabilidad prestados en línea a distancia, no debe entrar dentro del alcance de la definición de «prestador de servicios» establecida en el presente Reglamento, aun cuando los servicios prestados por dicho prestador de servicios sean servicios de la sociedad de la información en el sentido de la Directiva (UE) 2015/1535” [Considerando 27 del Reglamento (UE) 2023/1543, de 12 de julio de 2023].
60 Por su parte, la intervención de las telecomunicaciones sí está prevista en los arts. 30 y 31 de la Directiva sobre la OEI.
61 Cfr. el Considerando 19 del Reglamento (UE) 2023/1543, de 12 de julio de 2023.
62 Cfr. el Considerando 20 del Reglamento (UE) 2023/1543, de 12 de julio de 2023.
63 Conforme al art. 3 del Protocolo núm. 21 sobre la posición del Reino Unido y de Irlanda, respecto del espacio de libertad, seguridad y justicia, anejo al TUE y al TFUE, y Considerando 100 del Reglamento (UE) 2023/1543, de 12 de julio de 2023.
64 Conforme a los arts. 1 y 2 del Protocolo núm. 22 sobre la posición de Dinamarca, anejo al TUE y al TFUE, y Considerando 101 del Reglamento (UE) 2023/1543, de 12 de julio de 2023.
65 En su Dictamen sobre la Propuesta de Reglamento de 2018, el Comité Económico y Social Europeo no consideraba adecuado que los fiscales pudieran emitir ordenes europeas de entrega en ningún caso, entendiendo preferible que la obtención de datos de carácter personal se someta siempre a la autorización de un juez (DOUE C 367, de 10 de octubre de 2018, p. 88).
66 Por su parte, en su Dictamen sobre la Propuesta de Reglamento de 2018, el Comité Económico y Social Europeo consideraba que el objetivo de que la orden europea de entrega sólo fuese aplicable para formas graves de delitos, se lograría mejor mediante un umbral mínimo de pena de tres meses que mediante un umbral máximo de tres años (DOUE C 367, de 10 de octubre de 2018, p. 88).
67 Cfr. los Considerandos 40 y 41 del Reglamento (UE) 2023/1543, de 12 de julio de 2023.
68 En sentido similar, O. Fuentes (2024: 239).
69 Conforme al art. 5.6 del Reglamento (UE) 2023/1543, de 12 de julio de 2023, las órdenes europeas de producción deben dirigirse al prestador de servicios que actúe como responsable del tratamiento, salvo que no se pueda identificar al responsable del tratamiento o cuando dirigirse al responsable del tratamiento pueda perjudicar la investigación, en cuyo caso la orden de producción podrá dirigirse directamente al prestador de servicios que almacene o trate de otro modo los datos en nombre del responsable del tratamiento. Y según el art. 5.7, aquél informará a éste de la entrega de los datos, a menos que la autoridad emisora haya solicitado al prestador de servicios que se abstenga de informar al responsable del tratamiento, durante el tiempo que sea necesario y proporcionado, a fin de nos obstruir el proceso penal pertinente.
70 Aclara el Considerando 51 del Reglamento (UE) 2023/1543, de 12 de julio de 2023, que esta remisión de las órdenes de producción y conservación a otro establecimiento o representante legal puede realizarse “junto con la adopción de medidas de ejecución de la orden inicial o en vez de adoptar dichas medidas”.
71 Por sus siglas en inglés: European Production Order Certificate.
72 Por sus siglas en inglés: European Preservation Order Certificate.
73 Incluyendo información suficiente que permitan al destinatario identificar y ponerse en contacto con la autoridad emisora, y en el caso del EPOC, también con la autoridad de ejecución.
74 Decía el Considerando 38 de la Propuesta de Reglamento de 2018, que la finalidad de esta previsión era evitar poner en peligro la investigación, aunque el sospechoso podrá conocerlas e impugnarlas posteriormente durante el proceso penal.
75 Según el Considerando 94 del Reglamento (UE) 2023/1543, de 12 de julio de 2023, el uso de formularios normalizados y pretraducidos, permitirá una comunicación más sencilla, rápida y eficaz, y reducir los costes de traducción.
76 Véanse los Considerandos 52 y 53 del Reglamento (UE) 2023/1543, de 12 de julio de 2023, sobre cómo valorar estas circunstancias.
Además, “el momento pertinente para determinar si es necesario proceder a la notificación a la autoridad de ejecución debe ser el momento en el que se emite la orden europea de producción. Cualquier cambio de residencia posterior no debe afectar al procedimiento” [Considerando 54 del Reglamento (UE) 2023/1543, de 12 de julio de 2023].
77 Cfr. el Considerando 51 del Reglamento (UE) 2023/1543, de 12 de julio de 2023.
78 Si además se ha realizado la notificación inicial del EPOC a la autoridad de ejecución, el anexo III se comunicará también a la autoridad de ejecución. Sin embargo, en el primero de los supuestos de incumplimiento contemplados, de posibles interferencias con inmunidades y privilegios, o limitación de la responsabilidad penal relacionada con la libertad de prensa, conforme al Derecho del Estado de ejecución, el anexo III se notificará siempre a la autoridad de ejecución, al entrar en juego inmunidades o privilegios reconocidos por su Derecho.
79 “Debe asumirse la existencia de una imposibilidad de hecho en caso de que la persona cuyos datos fueron solicitados no sea cliente del prestador de servicios o no sea posible identificar a dicha persona como cliente incluso después de haber solicitado informaciones complementarias a la autoridad emisora, o si los datos se han suprimido lícitamente antes de que se recibiera la orden en cuestión” [Considerando 59 del Reglamento (UE) 2023/1543, de 12 de julio de 2023].
80 Según lo previsto por el art. 13.3 de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, y la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo. En estos casos, la autoridad emisora indicará en el expediente los motivos de la demora, la restricción o la omisión, añadiendo también una breve justificación en el EPOC [art. 13.2 del Reglamento (UE) 2023/1543, de 12 de julio de 2023].
81 La exigencia de comunicación a la persona afectada no se aplica a la orden europea de conservación, dada su menor injerencia en los derechos afectados (cfr. la explicación del art. 11 de la Exposición de Motivos de la Propuesta de Reglamento de 2018), lo cual es coherente con la regulación del derecho al recurso del art. 18, aplicable sólo a la orden europea de producción.
82 Esta previsión no se aplica a los gastos del sistema informático descentralizado, que tienen su propia regulación en el art. 23, según el cual cada Estado miembro correrá con los gastos de instalación, funcionamiento y mantenimiento de los puntos de acceso del sistema informático descentralizado, así como con los de establecimiento o adaptación de los sistemas informáticos nacionales interoperables con los puntos de acceso. Por su parte, los órganos y organismos de la Unión correrán con los gastos de instalación, funcionamiento y mantenimiento de los componentes del sistema informático descentralizado que se encuentren bajo su responsabilidad, así como con los de establecimiento y adaptación de sus sistemas de gestión de casos para hacerlos interoperables con los puntos de acceso. Y los prestadores de servicios correrán con todos los gastos necesarios para integrarse con éxito e interactuar con el sistema informático descentralizado.
83 “Al valorar en un caso concreto la sanción pecuniaria adecuada, las autoridades competentes deben tener en cuenta todas las circunstancias pertinentes, como la naturaleza, la gravedad y la duración de la infracción, si se ha cometido intencionadamente o por negligencia, si el prestador de servicios ha sido considerado responsable de infracciones anteriores similares y la solidez financiera del prestador del servicio responsable. En circunstancias excepcionales, esta valoración podría llevar a la autoridad de ejecución a decidir abstenerse de imponer sanciones pecuniarias. A este respecto, se ha de prestar especial atención a las microempresas que no cumplan una orden europea de producción o una orden europea de conservación en un caso urgente por falta de recursos personales fuera del horario normal de oficina, si los datos se transmiten sin demora indebida” [Considerando 70 del Reglamento (UE) 2023/1543, de 12 de julio de 2023]. También nos dice el Considerando 73, que “la sanción debe ser proporcionada, en particular a la vista de circunstancias específicas tales como el incumplimiento repetido o sistemático”.
84 Conforme al art. 12.5 del Reglamento (UE) 2023/1543, de 12 de julio de 2023, cuando la facultad de levantar la inmunidad o privilegio competa a una autoridad del Estado de ejecución, la autoridad emisora podrá pedir a la autoridad de ejecución que se ponga en contacto con aquella autoridad solicitándole que ejerza esa competencia sin demora. Y cuando la facultad de levantar la inmunidad o el privilegio corresponda a una autoridad de otro Estado miembro, a un tercer país o a una organización internacional, la autoridad emisora podrá solicitarles que ejerzan dicha facultad.
85 Expresa al respecto el Considerando 64 del Reglamento (UE) 2023/1543, de 12 de julio de 2023: “En particular, al valorar dicho motivo de denegación, cuando la autoridad de ejecución disponga de pruebas o elementos como los expuestos en una propuesta motivada de un tercio de los Estados miembros, del Parlamento Europeo o de la Comisión Europea, adoptada en virtud del artículo 7, apartado 1, del TUE, que indiquen que existe un riesgo claro, en caso de ejecución de la orden, de vulneración grave del derecho fundamental a la tutela judicial efectiva y a un juez imparcial en virtud del artículo 47 de la Carta, debido a deficiencias sistémicas o generalizadas en lo que respecta a la independencia del poder judicial del Estado emisor, la autoridad de ejecución debe determinar de manera específica y precisa si, habida cuenta de la situación personal de la persona de que se trate, así como de la naturaleza de la infracción por la que se desarrolla el proceso penal y del contexto fáctico en el que se basa la orden, y a la luz de la información facilitada por la autoridad emisora, hay motivos fundados para suponer que existe un riesgo de vulneración del derecho de una persona a un juez imparcial”.
86 Cfr. M. de Hoyos (2024: 70-71). Con respecto a la exigencia de este requisito en la OEI, véase L. Domínguez (2019: 144-147).
No obstante, el alcance del requisito de la doble incriminación es limitada en este caso, puesto que sólo se aplica a las órdenes europeas de producción emitidas para obtener datos de tráfico (excepto los solicitados con el único fin de identificar al usuario) o datos de contenido, tal y como nos recuerda P. G. Topalnakos (2023: epígrafe III).
87 Decimos al margen de los supuestos denegación de un EPOC del art. 12, porque, como ya sabemos, la denegación inicial del EPOC por parte de la autoridad de ejecución excluye su cumplimiento por parte del destinatario y obliga a la autoridad emisora a retirar la orden.
88 Debidamente traducidos a una de las lenguas aceptadas por el Estado de ejecución.
89 Cfr. el Considerando 72 del Reglamento (UE) 2023/1543, de 12 de julio de 2023.
90 Aunque la técnica legislativa sea defectuosa, en el sistema del Reglamento (UE) 2023/1543, de 12 de julio de 2023, los motivos que pueden alegar los prestadores de servicios ante la autoridad emisora para justificar su incumplimiento, conforme a los arts. 10 y 11, y los que pueden esgrimir como motivos de oposición frente a la autoridad de ejecución, según el art. 16, son los mismos, lo cual se comprueba acudiendo al formulario del anexo III, Sección D, que recoge los motivos para justificar el incumplimiento de los arts. 10 y 11, haciéndolos coincidir con los de oposición a la ejecución del art. 16.
91 Cfr. en el mismo sentido, O. Fuentes (2024: 254).
92 Obviamente, la imposición de sanciones pecuniarias es recurrible judicialmente (art. 16.10).
93 La posibilidad de que los prestadores de servicios aleguen los motivos que justifican su incumplimiento por medio del formulario del anexo III no deja de ser una forma de oposición al cumplimiento.
94 Este procedimiento de reexamen previsto para casos de conflicto con el Derecho de un país tercero activa un control judicial y es equivalente a la cláusula de cortesía de la Ley estadounidense CLOUD [U.S. Cloud Act, Clarifying Lawful Overseas Use of Data, de 23 de marzo de 2018 (Ley de aclaración del uso legítimo de los datos en el extranjero)]. La cláusula de cortesía permite a los proveedores de servicios norteamericanos solicitar a un tribunal estadounidense que anule o modifique una orden emitida para la protección o divulgación de datos, si éstos se refieren a un nacional de un país distinto a los Estados Unidos y el acatamiento de la orden supone la violación de las leyes de un país con el que los Estados Unidos ha celebrado un acuerdo ejecutivo que contempla posibilidades similares para los proveedores de servicios con arreglo a sus leyes [cfr. la Nota de la Presidencia al Consejo, de 28 de mayo de 2018 (9418/18), relativa a las Propuestas de Reglamento sobre las órdenes europeas de entrega y conservación y de Directiva sobre los representantes legales para recabar pruebas para procesos penales]. Como ya hemos señalado, la Unión Europea pretende alcanzar un Acuerdo con los Estados Unidos de América, de manera que los proveedores de servicios estadounidenses y europeos puedan ofrecer datos directamente a las autoridades de la otra parte (los proveedores de servicios estadounidenses a las autoridades europeas, y los proveedores de servicios europeos a las autoridades estadounidenses).
95 No obstante, concreta el art. 17.2 que la oposición no podrá basarse en la ausencia, en el Derecho del país tercero, de procedimientos similares a la orden europea de producción, ni en el hecho de que los datos se almacenen en un tercer país.
96 La Sección D del formulario del anexo III incluye el conflicto con la legislación de un país tercero como motivo de oposición a una orden europea de producción, dedicándose la Sección E a las explicaciones relativas al Derecho del país tercero, su aplicabilidad al caso y la naturaleza de la obligación contradictoria.
97 Como es aplicable al procedimiento de reexamen el art. 10.9 del Reglamento (UE) 2023/1543, de 12 de julio de 2023, los datos deben conservarse hasta su entrega, en caso de confirmación de la orden europea de producción, o hasta su anulación. Y cuando se anule la orden europea de producción, puede emitirse una orden europea de conservación para permitir que la autoridad emisora solicite la entrega de los datos a través de otros canales como la asistencia judicial mutua [cfr. el Considerando 79 del Reglamento (UE) 2023/1543, de 12 de julio de 2023].
98 Según el Considerando 77 del Reglamento (UE) 2023/1543, de 12 de julio de 2023, “el asesoramiento especializado sobre la interpretación podría facilitarse también por medio de opiniones de expertos, cuando estén disponibles. La información y la jurisprudencia sobre la interpretación del Derecho de un tercer país y sobre los procedimientos de conflicto de leyes en los Estados miembros deben publicarse en una plataforma central como el proyecto SIRIUS o la Red Judicial Europea, con miras a hacer que sea posible beneficiarse de la experiencia y los conocimientos acumulados sobre cuestiones idénticas o similares. La disponibilidad de dicha información en una plataforma central no debe impedir una nueva consulta del tercer país cuando proceda”.
99 Todo ello, sin perjuicio de que tanto los sospechosos y acusados como las demás personas afectadas por la orden puedan ejercer las vías de recurso disponibles con arreglo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos); y a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos (Directiva sobre protección de datos en el ámbito penal).
100 El art. 18.4 dispone que los plazos u otras condiciones para la interposición de un recurso serán iguales a los previstos en casos internos similares, lo cual ya se sobreentendía por la remisión al Derecho nacional del Estado emisor.
101 No obstante, el Reglamento no debe limitar los posibles motivos para impugnar la orden. Cfr. el Considerando 80 del Reglamento (UE) 2023/1543, de 12 de julio de 2023.
102 Cfr. P. G. Topalnakos (2023: epígrafe IV); M. de Hoyos (2024: 90).
103 Conforme al Considerando 17 del Reglamento (UE) 2023/1543, de 12 de julio de 2023, “el valor probatorio de las pruebas obtenidas en aplicación del presente Reglamento debe ser valorado en el juicio por la autoridad judicial competente, de conformidad con el Derecho nacional y respetando, en particular, el derecho a un juez imparcial y el derecho de defensa.
104 Cfr. el Considerando 81 del Reglamento (UE) 2023/1543, de 12 de julio de 2023.
105 Según el Considerando 83 del Reglamento (UE) 2023/1543, de 12 de julio de 2023, los puntos de acceso del sistema informático descentralizado deben basarse en el sistema e-CODEX, establecido por el Reglamento (UE) 2022/850, de 30 de mayo de 2022.
106 Entre las causas que pueden impedir la comunicación electrónica, el art. 19.5 del Reglamento (UE) 2023/1543, de 12 de julio de 2023, menciona, por ejemplo, la interrupción del sistema informático descentralizado, la naturaleza del material transmitido, limitaciones técnicas como el tamaño de los datos, restricciones jurídicas relativas a la admisibilidad como prueba de los datos solicitados o a requisitos forenses aplicables a los datos solicitados, o circunstancias excepcionales.
107 Mientras no sea aplicable la obligación de utilizar el sistema informático descentralizado, las comunicaciones escritas entre las autoridades competentes y los establecimientos designados o los representantes legales se realizarán por los medios alternativos más adecuados, que garanticen un intercambio de información rápido, seguro y fiable [art. 24 del Reglamento (UE) 2023/1543, de 12 de julio de 2023].
108 Cfr. M.ª A. Biasiotti (2017). También, desde un análisis general de la gestión procesal de las pruebas electrónicas, P. Amann y M. P. Dillon (2018: 231 y ss.).
Recuérdese a este respecto que, recientemente, el ELI (European Law Institute), bajo la dirección de los Profesores Bachmaier Winter y Salimi, ha elaborado una Propuesta de Directiva sobre la admisibilidad mutua de las pruebas y las pruebas electrónicas en los procesos penales: ELI Proposal for a Directive of the European Parliament and the Council on Mutual Admissibility of Evidence and Electronic Evidence in Criminal Proceedings, European Law Institute, 8 de mayo de 2023, ISBN: 978-3-9505318-6-2, disponible en: https://www.europeanlawinstitute.eu/fileadmin/user_upload/p_eli/Publications/ELI_Proposal_for_a_Directive_on_Mutual_Admissibility_of_Evidence_and_Electronic_Evidence_in_Criminal_Proceedings_in_the_EU.pdf