9256/16
ram/JLG/og
1
Consejo de la Unión Europea Bruselas, 20 de mayo de 2016 (OR. en) 9256/16 LIMITE JAI 465 COPEN 166 DROIPEN 92 CYBER 56 JAIEX 44 EJUSTICE 84 NOTA De: PresidenciaA: Comité de Representantes Permanentes
N.º doc. prec.: 7791/16; 8289/1/16 REV 1; 8291/1/16 REV 1; 8769/16 Asunto: Mejorar la justicia penal en el ciberespacio
1.
A raíz de los debates mantenidos por los ministros de Justicia en diciembre de 2015 y de la
reunión informal del 26 de enero de 2016, así como de la Declaración de 22 de marzo
de 2016, y a tenor de los resultados de la Conferencia de los días 7 y 8 de marzo de 2016, la
Presidencia intentó hacer avanzar los trabajos para desarrollar soluciones que permitan
realizar investigaciones eficaces en el ciberespacio.
2.
A tal fin, la Presidencia remitió dos proyectos de Conclusiones del Consejo: uno sobre
mejorar la justicia penal en el ciberespacio (anexo 2) y otro sobre la Red judicial europea
sobre ciberdelincuencia (anexo 3). Los consejeros de Justicia y Asuntos de Interior (JAI)
debatieron ambos proyectos el 21 de abril y el 4 de mayo de 2016 y el Comité de
Coordinación en el ámbito de la Cooperación Policial y Judicial en Materia Penal (CATS) los
adoptó el 19 de mayo de 2016, a reserva de algunas aclaraciones menores.
3.
La Presidencia elaboró además un documento de reflexión (anexo 1) con objeto de invitar a
los ministros a que ofrecieran orientación política sobre algunas de las cuestiones pendientes
relacionadas con la jurisdicción de ejecución en el ciberespacio y la repercusión de un
tratamiento diferenciado de determinadas categorías de datos. A raíz del debate del CATS el
19 de mayo de 2016, se han introducido algunas modificaciones en este texto.
4.
Se ruega al Coreper que:
a)
pida al Consejo que apruebe sin debate el proyecto de Conclusiones del Consejo
que figura en los anexos 2 y 3 del presente documento,
b)
acuerde presentar el documento de reflexión que figura en el anexo 1 como base
para el debate en el Consejo (JAI) de los días 9 y 10 de junio de 2016.
ANEXO 1
Mejorar la justicia penal en el ciberespacio
Proyecto de documento de reflexión para el Consejo (Justicia y Asuntos de Interior), 9 y 10 de junio de 2016
I. Introducción
1. En diciembre de 20151 y en la reunión informal celebrada en Ámsterdam el 26 de enero de
2016, los ministros de Justicia expresaron su apoyo político para desarrollar soluciones que permitan realizar investigaciones eficaces en el ciberespacio, incluidas las alternativas a los conceptos tradicionales. Tras los atentados terroristas perpetrados en Bruselas el 22 de marzo de 2016, los ministros de Justicia y Asuntos de Interior destacaron conjuntamente la necesidad de abordar esta cuestión como un asunto prioritario2.
2. La Presidencia neerlandesa organizó la Conferencia «Cruzar las fronteras: jurisdicción en el ciberespacio», celebrada los días 7 y 8 de marzo de 2016 en Ámsterdam, en la que se abordaron tres cuestiones principales:
• La necesidad de optimizar los procesos de asistencia judicial a fin de obtener y asegurar pruebas electrónicas de forma eficaz.
• La cooperación con el sector privado y la necesidad de evitar los efectos negativos de las normativas contradictorias.
• Cómo proceder en las investigaciones y el enjuiciamiento de la ciberdelincuencia y de los delitos relacionados con el ámbito cibernético cuando no es posible cooperar debido a situaciones en las que no se puede, al menos de forma razonable, determinar la
localización de los datos o el origen de un ciberataque («pérdida (de conocimientos) de localización»).
3. Los resultados de la Conferencia de la Presidencia3 confirman que no existe una solución única.
Es necesario abordar una serie de aspectos para encontrar respuestas viables a los importantes retos que se plantean en las investigaciones penales en el ciberespacio.
4. El proyecto de Conclusiones del Consejo que figura en el anexo 2 recoge una lista de cuestiones específicas que deberán abordarse a corto y largo plazo. El documento resume las medidas relativas a la racionalización de los procedimientos de asistencia judicial en el ciberespacio, mediante una mejor cooperación con los proveedores de servicios, así como la necesidad de estudiar las posibilidades de un planteamiento común de la UE sobre la jurisdicción de ejecución en el ciberespacio en situaciones en las que los marcos actuales son insuficientes.
1 Doc. 14369/15.
2 Doc. 7371/16.
3 Véanse el informe de la Conferencia, las conclusiones de la presidencia y las notas del taller
5. Asimismo, tal como han recomendado los profesionales en varias ocasiones y confirmado los participantes en la Conferencia de la Presidencia, la consolidación de una Red judicial europea sobre ciberdelincuencia reforzaría más la cooperación entre los profesionales. A este respecto, en el anexo 3 la Presidencia presenta un proyecto de Conclusiones del Consejo sobre dicha Red respaldada por Eurojust.
6. Los consejeros JAI prepararon ambos textos de Conclusiones del Consejo, que se presentaron al CATS el 19 de mayo de 2016. La versión final de los textos se presentará al Consejo («Justicia y Asuntos de Interior») para que los ministros la aprueben.
7. Si bien algunas de las medidas propuestas, por ejemplo, la racionalización de los
procedimientos de asistencia judicial, son claras y están listas para su ejecución, otras cuestiones siguen requiriendo atención y orientación política. Por consiguiente, se invita a los ministros a que proporcionen orientación para futuros trabajos y cambien impresiones sobre dos de dichas cuestiones.
II. Cuestiones específicas
Criterios para la jurisdicción en el ciberespacio
8. El principio de territorialidad se considera generalmente el principio básico del Derecho Internacional Público para determinar la jurisdicción de ejecución. Con arreglo a este principio, un Estado soberano puede investigar las infracciones penales que se cometen en su territorio (jurisdicción de ejecución). Sin embargo, en la mayoría de los casos no se permite a los Estados ejercer la jurisdicción de ejecución más allá de sus fronteras sin el consentimiento del otro Estado implicado.
9. La interpretación tradicional del principio de territorialidad limita, especialmente en las investigaciones en el ciberespacio, las posibilidades de que las autoridades policiales y judiciales ejecuten la jurisdicción más allá de sus fronteras nacionales. Si en el extranjero existen pruebas pertinentes para la investigación penal, los Estados deben recurrir a los mecanismos de la cooperación internacional disponibles, como la asistencia judicial o los procedimientos de reconocimiento mutuo. Las acciones que se realizan fuera del territorio nacional solo serían posibles en la medida en que el otro Estado afectado esté vinculado por un acuerdo internacional y únicamente en el ámbito de aplicación de dicho acuerdo, o siempre que el otro Estado afectado esté de acuerdo con la acción en cuestión.
10. En la actualidad, la localización física de los datos en el ciberespacio es menos relevante, ya que el ciberespacio, en principio, carece de fronteras. Las pruebas electrónicas pueden localizarse físicamente en jurisdicciones extranjeras, desconocidas o en varias distintas al mismo tiempo o podrían incluso trasladarse de una jurisdicción a otra en periodos breves. Ello dificulta cada vez más la asistencia judicial y los mecanismos de reconocimiento mutuo para la cooperación, e incluso hace que estos resulten inadecuados, puesto que se basan en el principio de
territorialidad.
11. En la práctica, en dichas situaciones las investigaciones relacionadas con el ciberespacio se detienen en una fase temprana, lo que da lugar a la impunidad de los delincuentes. En su reunión informal de enero de 2016, dada la situación actual, los ministros de Justicia
manifestaron un amplio apoyo para estudiar las posibilidades de un planteamiento común de la UE sobre posibles criterios de la jurisdicción de ejecución que podrían aplicarse en el
ciberespacio4.
12. A este respecto, se plantea la cuestión de qué factores de conexión, aparte de la localización de los datos, podrían tenerse en cuenta para establecer la jurisdicción de ejecución nacional, cuándo puede considerarse lo bastante sólida la conexión con el Estado investigador y, en caso de que lo sea, cómo debe definirse tal conexión.
13. En los debates de expertos, incluidos los de la Conferencia de la Presidencia, se han determinado varios elementos que podrían utilizarse como criterios para la jurisdicción de ejecución. Dichos elementos pueden dar lugar a una reclamación jurisdiccional si existe una vinculación estrecha entre el asunto y el Estado que pretende ejercer la jurisdicción, si este último tiene un interés legítimo en el asunto o si el ejercicio de jurisdicción es razonable dado el equilibrio entre el legítimo interés del Estado y otros intereses. Debe tenerse en cuenta que si se aplica dicho planteamiento, el principio de territorialidad sigue siendo una parte sustancial del mismo, ya que proporcionaría al Estado una vinculación estrecha con el asunto.
14. Dicha vinculación estrecha podría, por ejemplo, orientarse a la temática. La nacionalidad o la residencia habitual del sospechoso o acusado o la localización de la persona afectada por el delito actúa, por tanto, como un factor de conexión para determinar la jurisdicción de ejecución. Asimismo, la «facultad de disposición» podría utilizarse, por ejemplo, para que las autoridades competentes puedan acceder legítimamente a los datos informáticos. Por consiguiente, las credenciales adquiridas legalmente que utilice un sospechoso o que sean de su propiedad, podrían utilizarse en determinadas condiciones para acceder a los datos independientemente de su localización.
4 Este planteamiento común solo abordaría la cuestión de la jurisdicción de ejecución entendida como la
15. Con respecto a la cooperación con el sector privado en las investigaciones penales, la relación del proveedor de servicios con el territorio del Estado investigador podría considerarse también un factor de conexión. Una posibilidad sería tener en cuenta la localización de las actividades económicas del proveedor de servicios en el Estado investigador, lo que se conoce como «vinculación comercial», de forma que el proveedor de servicios que ofrezca productos o servicios en el territorio de un Estado determinado podría considerarse vinculado al marco jurídico de dicho Estado y, por tanto, debería cooperar con las autoridades competentes sobre la base de una orden nacional dictada por una autoridad competente. Otra posibilidad sería
considerar la sede del proveedor de servicios como un factor de conexión a tenor del cual las autoridades pertinentes pueden ejercer la competencia para iniciar medidas de investigación. 16. Debería tenerse en cuenta que, en la práctica, los proveedores de servicios pueden tener que
enfrentarse a obligaciones contradictorias, por ejemplo, por un lado, la legislación sobre protección de datos del lugar en el que se encuentra oficialmente, y, por otro, las obligaciones de publicación de los procesos penales derivadas de la legislación del lugar en el que ofrece el servicio. Es necesario establecer un planteamiento común a este respecto para reducir más las posibles contradicciones en las normativas.
¿Están de acuerdo los ministros en que los elementos y los posibles factores de conexión antes resumidos podrían tenerse en cuenta para identificar un planteamiento común de la UE sobre jurisdicción de ejecución en el ciberespacio en situaciones en las que los marcos en vigor no son suficientes? ¿Qué factores de conexión deberían estudiarse de forma prioritaria?
Diferenciación entre los distintos tipos de datos
17. Los datos de abonados constituyen el tipo de datos más solicitados para los procesos penales, seguidos por los datos de tráfico y los datos de contenido. Existe un amplio consenso acerca de que debería exigirse un procedimiento jurídico más riguroso en el caso del acceso a los datos de contenido, mientras que para otros tipos de datos (como la información básica sobre la cuenta del abonado o los datos de tráfico) puede permitirse un procedimiento menos riguroso. A pesar de que la protección de todos los datos personales constituye un derecho fundamental y de que todos los tipos de datos personales gozan de la misma protección en la UE, podría justificarse un planteamiento diferenciado por el hecho de que las injerencias en los derechos
fundamentales varían en intensidad entre los distintos tipos de datos.
18. Dicho planteamiento diferenciado también se aplica en algunos Estados miembros y en terceros países, por ejemplo en el Derecho estadounidense, que no impide que las jurisdicciones
extranjeras cursen solicitudes directas a los proveedores de servicios establecidos en Estados Unidos si la solicitud se refiere, por ejemplo, únicamente a datos que no están relacionados con el contenido. Para los datos de contenido se requiere asistencia judicial.
19. La Directiva relativa a la orden europea de investigación también prevé un régimen diferenciado para los distintos tipos de medidas. Dispone procedimientos específicos relativos a la
interceptación de telecomunicaciones que incluyen el seguimiento en tiempo real, a diferencia de otras medidas de investigación. Por tanto, se hace una distinción entre la recopilación de datos en tiempo real y de datos almacenados. En las legislaciones nacionales de los Estados miembros pueden encontrarse otros ejemplos de dicha diferenciación.
20. A este respecto, como también se propuso sistemáticamente en los debates de expertos en curso, incluida la última Conferencia de la Presidencia, y como se reflejó en el proyecto de
Conclusiones del Consejo sobre la mejora de la justicia penal en el ciberespacio, es factible considerar el desarrollo de un marco común para la cooperación con los proveedores de
servicios con objeto de obtener categorías específicas de datos. Ello restaría consustancialmente presión al sistema de asistencia judicial actual para la obtención de pruebas electrónicas y permitiría acelerar el proceso de las solicitudes relativas a los datos más sensibles, como los datos de contenido y la recogida de datos en tiempo real.
21. Sin embargo, a fin de que esta solución logre el resultado deseado, sería necesario que las legislaciones nacionales de los Estados miembros permitieran un planteamiento diferenciado con respecto a los distintos tipos de datos, incluidos los criterios para utilizar la asistencia judicial o los procedimientos de reconocimiento mutuo a fin de cumplir, por ejemplo, los requisitos de admisibilidad en los procedimientos judiciales.
Se invita a los ministros a que debatan:
− de qué forma se relaciona un planteamiento diferenciado para los distintos tipos de datos
(que no sean de contenido (de abonado o tráfico)/datos de contenido o datos en tiempo real/almacenados) con su marco nacional,
− qué elementos se necesitan para que un planteamiento común de la UE funcione
eficazmente, y
− qué otras medidas podrían ser pertinentes a este respecto.
III. Conclusión
Se invita a los ministros a que:
1. Debatan las cuestiones expuestas con objeto de proporcionar orientación política para futuros
trabajos sobre la mejora de la justicia penal en el ciberespacio.
ANEXO 2
Proyecto de Conclusiones del Consejo de la Unión Europea sobre la mejora de la justicia penal en el ciberespacio
DECIDIDO a negar a los delincuentes un puerto seguro en el ciberespacio.
REMITIÉNDOSE a los crecientes efectos de la ciberdelincuencia, los delitos relacionados con el ámbito cibernético o cualquier otra actividad delictiva que deje una huella digital en el ciberespacio.
DESTACANDO la importancia creciente de las pruebas electrónicas en los procedimientos penales de todos los tipos de delincuencia, y en particular del terrorismo.
DESTACANDO la importancia de proteger el ciberespacio de los abusos y las actividades delictivas en beneficio de nuestras economías y sociedades, y, por tanto, destacando la necesidad de que las autoridades policiales y judiciales dispongan de herramientas eficaces para investigar y enjuiciar los actos delictivos relacionados con el ciberespacio.
RECORDANDO que la lucha contra la ciberdelincuencia constituye una prioridad con arreglo a la Agenda Europea de Seguridad de 28 de abril de 2015, que incluye el compromiso de la Comisión de revisar las trabas a las investigaciones en materia de ciberdelincuencia, especialmente en relación con las normas de acceso a las pruebas y la información.
RECORDANDO el debate de los ministros de Justicia sobre los retos futuros para una justicia penal efectiva en la era digital en el Consejo de Justicia y Asuntos de Interior de diciembre de 20155.
RECORDANDO el apoyo de los ministros de Justicia a fin de desarrollar elementos concretos para un planteamiento común de la UE en materia de jurisdicción en el ciberespacio, manifestado en la reunión informal de Justicia y Asuntos de Interior del 26 de enero de 2016.
5 Doc. 14369/15.
RECORDANDO la Declaración conjunta de los ministros de Justicia y Asuntos de Interior y los
representantes de las instituciones de la UE con motivo de los atentados terroristas perpetrados en Bruselas el 22 de marzo de 2016, que destaca la necesidad prioritaria de encontrar formas de obtener y asegurar pruebas electrónicas con mayor rapidez y eficacia a través de una mayor cooperación con terceros países y con los proveedores de servicios que operan en el territorio europeo, a fin de mejorar el cumplimiento de la
legislación de la UE y los Estados miembros, así como los contactos directos con las autoridades policiales, y a fin de determinar medidas concretas para abordar este complejo asunto durante el Consejo de Justicia y Asuntos de Interior en junio6.
RECORDANDO la Comunicación de 20 de abril de 2016 al Parlamento Europeo, al Consejo Europeo y al Consejo «Aplicación de la Agenda Europea de Seguridad para luchar contra el terrorismo y allanar el camino hacia una Unión de la Seguridad genuina y efectiva» en la cual la Comisión se comprometió a proponer soluciones y a abordar los problemas de la obtención de pruebas digitales en relación con investigaciones penales.
REMITIÉNDOSE al Informe7 de la Conferencia en materia de jurisdicción en el ciberespacio celebrada los
días 7 y 8 de marzo de 2016 en Ámsterdam, que refleja los debates sobre las posibles soluciones para mejorar las investigaciones en el ciberespacio, especialmente en relación con los procedimientos para la asistencia judicial, la cooperación con el sector privado y las investigaciones en el ciberespacio cuando la localización de los datos o el origen de los ciberataques (todavía) no se conocen.
REMITIÉNDOSE a la adopción por parte del Comité Permanente de Seguridad Interior (COSI) de una serie de recomendaciones para mejorar la cooperación operativa en las investigaciones penales en el ciberespacio8.
REMITIÉNDOSE a la 7.ª ronda de evaluaciones recíprocas, actualmente en curso, dedicada a la aplicación práctica y al funcionamiento de las políticas europeas en materia de prevención y lucha contra la
ciberdelincuencia como una contribución importante a los esfuerzos para intensificar la lucha contra la ciberdelincuencia.
REMITIÉNDOSE a los resultados de la revisión del Acuerdo de asistencia judicial UE-EE.UU.9
6 Doc. 7371/16.
7 Doc. 7323/16. 8 Doc. Xxxx/16. 9 Doc. Xxxx/16.
REMITIÉNDOSE a las Conclusiones del Consejo por las que se establece la Red judicial europea sobre ciberdelincuencia10.
RECORDANDO el Convenio del Consejo de Europea sobre la Ciberdelincuencia, de 23 de noviembre de 2001, y su Protocolo adicional promovido por la Unión como un marco global de referencia para luchar contra la ciberdelincuencia.
RECORDANDO la Directiva 2014/41/UE relativa a la orden europea de investigación en materia penal, que persigue que las investigaciones transfronterizas a través de la UE sean más rápidas y más eficaces sobre la base del reconocimiento mutuo, así como la Directiva 2013/40/UE relativa a los ataques contra los sistemas de información en la que se pide a los Estados miembros, entre otras cosas, que garanticen que disponen de un punto de contacto operativo nacional en las redes de cooperación ininterrumpida existentes.
RECONOCIENDO que, a pesar de que estos instrumentos proporcionan mayores posibilidades a los
servicios policiales en el ciberespacio, siguen existiendo obstáculos prácticos y jurídicos, debido también a la rápida evolución de las tecnologías, por ejemplo en los casos en los que el origen de los ciberataques o la localización de las pruebas electrónicas es (aún) desconocida o imprevisible, o en los casos en los que las contradicciones en las normativas dificultan la cooperación con los proveedores de servicios.
REMITIÉNDOSE a que los delitos relacionados con el ámbito cibernético y la ciberdelincuencia violan los derechos y las libertades fundamentales, y la necesidad de garantizar la plena protección de estos derechos y libertades.
RECONOCIENDO que el uso de medidas de investigación debe guiarse por la protección de los derechos y las libertades fundamentales y por los principios de necesidad y proporcionalidad.
REMITIÉNDOSE a la adopción de los instrumentos de reforma de la protección de datos de la UE, en particular la Directiva sobre protección de datos para la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos.
REMITIÉNDOSE a los informes de 2012 y 2013 del Grupo transfronterizo del Comité del Convenio sobre la Ciberdelincuencia, en los que se afirma que varios países ya han emprendido el acceso transfronterizo a los datos más allá del ámbito de aplicación del Convenio de Budapest sobre una base jurídica poco clara.
10 Doc. Xxxx/16.
RECONOCIENDO que los Estados miembros tienen un interés legítimo para establecer, como mínimo, la localización de las pruebas electrónicas o el origen de un ataque cibernético en las investigaciones penales. DECIDIDO a actuar para defender el Estado de Derecho en el ciberespacio.
EL CONSEJO DE LA UNIÓN EUROPEA,
RECONOCE que las siguientes directrices deben aplicarse a los trabajos futuros para mejorar la aplicación del Estado de Derecho en el ciberespacio y la obtención de pruebas electrónicas en los procesos penales:
• Las soluciones prácticas para reforzar la ejecución eficaz de los procesos penales en el
ciberespacio deben respetar plenamente los marcos de la protección de datos y de los derechos fundamentales.
• Debe tenerse en cuenta el refuerzo de la cooperación con los proveedores de servicios o cualquier otra solución comparable que permita la rápida revelación de datos; podrían preverse procedimientos judiciales menos rigurosos para obtener categorías específicas de datos, en particular los datos de abonados, que podrían beneficiar a todas las partes implicadas.
• Los procedimientos de asistencia judicial relacionados con datos electrónicos deben acelerarse y racionalizarse; el volumen de solicitudes de asistencia judicial entre las autoridades competentes podría reducirse reforzando la cooperación con los proveedores de servicios, o mediante otra solución comparable.
• Los procedimientos de reconocimiento mutuo deben utilizarse eficazmente para obtener y asegurar pruebas electrónicas.
• Deben tenerse en cuenta otras medidas, basadas en una revisión de los factores de conexión para la jurisdicción que ejecuta11 en el ciberespacio, incluidos los casos en los que la localización de
los datos (aún) no se conoce o es imprevisible.
CONSIDERA necesario cooperar con los terceros países y las partes privadas pertinentes que hagan posible la combinación de los efectos de diferentes medidas para la aplicación efectiva de la ley en el ciberespacio.
11 Los términos «jurisdicción que ejecuta » y «jurisdicción de ejecución», a efectos de las presentes
Conclusiones, hacen referencia a la competencia de las autoridades pertinentes para iniciar una medida de investigación. Con arreglo a estas Conclusiones, debe estudiarse un planteamiento común de la UE con vistas a mejorar las investigaciones en el ciberespacio para situaciones específicas en las que los marcos existentes no son suficientes.
CONSIDERA que el desarrollo de un planteamiento común de la UE sobre la mejora de la justicia penal en el ciberespacio debe abordarse de forma prioritaria. Ello debe hacerse de tal forma que sea coherente con los trabajos en curso en el marco del Convenio de Budapest del Consejo de Europa.
CONCLUYE, POR CONSIGUIENTE, QUE:
I. DEBE REFORZARSE LA COOPERACIÓN CON LOS PROVEEDORES DE SERVICIOS.
A tal fin:
1. Se solicita a la COMISIÓN que desarrolle un marco común para la cooperación con los proveedores de servicios con el objeto de obtener categorías específicas de datos, en particular de datos de abonados, cuando así lo permita la legislación de terceros países, o mediante cualquier otra solución comparable que permita la revelación legal y rápida de tales datos12. Se solicita a la Comisión que
haga esto en asociación con los Estados miembros y los terceros países pertinentes y en cooperación con el sector privado.
2. Dichas soluciones deben establecer requisitos acordados en común, incluidos los requisitos de necesidad y proporcionalidad, para las solicitudes que se dirijan a proveedores de servicios que permitan el acceso legal a los datos en su poder. Deben tratar de evitar interpretaciones incoherentes, conflictos entre las normativas existentes y abordar la cuestión de la no revelación de las solicitudes de datos. Las soluciones propuestas no deben constituir un impedimento para las disposiciones a escala nacional.
3. A tal fin, se solicita a la COMISIÓN, en asociación con los Estados miembros, que estudie con los proveedores de servicios la posibilidad de utilizar formas e instrumentos adaptados como los que figuran en la sección II para facilitar la autenticación, garantizar los procedimientos rápidos y aumentar la transparencia y la rendición de cuentas de los procesos para obtener y asegurar pruebas electrónicas.
Se solicita a la COMISIÓN que presente un informe de evaluación sobre los progresos en esta cuestión en diciembre de 2016 a más tardar y que presente resultados concretos para junio de 2017.
12 Cuando una solicitud de datos suponga la transferencia de datos personales por una autoridad de un
II. ES NECESARIO RACIONALIZAR LOS PROCEDIMIENTOS DE ASISTENCIA JUDICIAL (Y CUANDO PROCEDA, LOS DE RECONOCIMIENTO MUTUO).
A tal fin:
4. Se solicita a la COMISIÓN que, con carácter prioritario y en asociación con los ESTADOS
MIEMBROS y, cuando proceda, con terceros países, encuentre vías para obtener y asegurar pruebas electrónicas de forma más rápida y eficaz a través de la racionalización del uso de procedimientos de asistencia judicial y, en su caso, de reconocimiento mutuo.
5. Para ello, se solicita a la COMISIÓN que, en asociación con los ESTADOS MIEMBROS, con EUROJUST y con terceros países, considere y formule recomendaciones sobre el modo de adaptar, cuando proceda, los formularios y procedimientos normalizados existentes para obtener y asegurar pruebas electrónicas.
6. Para aumentar el uso eficaz de dichos formularios y procedimientos normalizados a fin de obtener pruebas electrónicas, se solicita a la COMISIÓN que desarrolle, en asociación con los ESTADOS MIEMBROS, EUROJUST, CEPOL, y, cuando proceda, con terceros países, al tiempo que utiliza, cuando sea oportuno, las herramientas electrónicas existentes, y respeta las competencias y los canales de comunicación con arreglo a los marcos jurídicos existentes:
• un portal en línea seguro para solicitudes y respuestas electrónicas sobre las pruebas
electrónicas y los procedimientos correspondientes, incluido el uso optativo de la traducción automática de dichas solicitudes, así como su seguimiento y localización;
• directrices y módulos de formación especializada, en cooperación con la Red europea de formación judicial, la Red judicial europea sobre ciberdelincuencia y las autoridades de terceros países cuando sea necesario, sobre el uso eficaz de los marcos actuales que se utilizan para obtener y asegurar pruebas electrónicas, incluidas las directrices para aclarar los casos en que, en virtud de las normas vigentes, no es necesario el uso de instrumentos de asistencia judicial o de reconocimiento mutuo.
Se solicita a la COMISIÓN que presente un informe intermedio sobre los progresos en estas actividades en diciembre de 2016 a más tardar y que presente resultados concretos en junio de 2017 a más tardar. Se solicita a la COMISIÓN que presente el portal en línea para diciembre de 2017.
7. Se solicita a la COMISIÓN que, en asociación con los ESTADOS MIEMBROS y, cuando proceda, con terceros países, tenga en cuenta otras medidas adicionales a fin de obtener y asegurar pruebas electrónicas de forma más eficaz, a través del uso del marco de asistencia judicial UE-EE.UU., entre otros.
8. Se solicita a la COMISIÓN que, con vistas a hacer pleno uso de la Directiva 2014/41/UE relativa a la orden europea de investigación en materia penal («la Directiva OEI») para obtener y asegurar pruebas electrónicas en la UE, continúe supervisando y apoyando a los Estados miembros en el proceso de transposición de la presente Directiva para el 22 de mayo de 2017.
9. Se solicita a los ESTADOS MIEMBROS que:
• ratifiquen y apliquen plenamente el Convenio sobre la Ciberdelincuencia de 23 de noviembre de 2001;
• transpongan con prontitud la Directiva OEI, a más tardar el 22 de mayo de 2017;
• garanticen capacidad suficiente para la tramitación de las solicitudes de asistencia judicial relacionadas con las investigaciones en el ciberespacio y proporcionen al personal la formación pertinente sobre cómo tramitar dichas solicitudes;
• optimicen el uso de los puntos de contacto ininterrumpido existentes y aumenten el uso de equipos conjuntos de investigación, a fin de facilitar el intercambio de información o de acelerar los procedimientos de asistencia judicial.
III. DEBEN REVISARSE LAS NORMAS SOBRE JURISDICCIÓN DE EJECUCIÓN EN EL CIBERESPACIO.
A tal fin:
10. Se solicita a la COMISIÓN que, a la luz de la orientación política proporcionada por los ministros de Justicia en el Consejo de junio de 2016 y en asociación con los ESTADOS MIEMBROS, EUROJUST y EUROPOL, estudie las posibilidades de un planteamiento común de la UE sobre la jurisdicción de ejecución en el ciberespacio en situaciones en las que los marcos existentes no son suficientes, por ejemplo, en casos en los que se utilizan simultáneamente varios sistemas de información en varias jurisdicciones para cometer un único delito, en casos en los que las pruebas electrónicas pertinentes se trasladan de una jurisdicción a otra en periodos breves o cuando se utilizan métodos sofisticados para ocultar la localización de las pruebas electrónicas o de la actividad delictiva, lo que conduce a la «pérdida de localización»13.
11. Al tiempo que se tienen en cuenta las particularidades de cada caso, el planteamiento debería determinar:
• qué factores de conexión pueden servir de base para la jurisdicción de ejecución en el ciberespacio;
• si pueden utilizarse medidas de investigación independientemente de las fronteras físicas, y en caso afirmativo, qué medidas.
12. Se prestará atención a:
• la naturaleza y la gravedad de los delitos que, en otros casos, podrían quedar impunes;
• los posibles criterios para la jurisdicción de ejecución basados en factores de conexión tales como: la ubicación de la sede de un proveedor de servicios, la actividad económica de un proveedor de servicios en el Estado investigador, es decir, cuando el proveedor de servicios ofrece productos o servicios en el territorio del Estado investigador («vinculación comercial»), el lugar de residencia habitual o la nacionalidad del acusado o sospechoso o la ubicación de la persona afectada;
13 Se trata simplemente de algunos ejemplos. Se solicita a la Comisión que estudie soluciones para
• el uso y la eficacia de los requerimientos nacionales de presentación de datos basados en dichos posibles factores de conexión para la jurisdicción de ejecución en el ciberespacio;
• una solución de cooperación para el acceso transfronterizo directo a datos sin asistencia técnica;
• salvaguardias adecuadas, como la protección de los derechos y las libertades fundamentales, de los datos personales, y la proporcionalidad y subsidiariedad como principios rectores para el uso de medidas de investigación a fin de garantizar su legalidad;
• posibles analogías con otros ordenamientos jurídicos transfronterizos, por ejemplo, el Tratado de Cielos Abiertos y la Convención de las Naciones Unidas sobre el Derecho del Mar, las normas de la UE sobre protección de datos y la legislación de la UE en materia de competencia;
• los efectos de dicho planteamiento en el marco jurídico existente.
Se solicita a la COMISIÓN que informe sobre el proceso de desarrollo de dicho planteamiento en diciembre de 2016 a más tardar y presente los resultados de esta evaluación para junio de 2017. La evaluación debe incluir elementos específicos para un planteamiento común de la UE y propuestas para su realización, incluida la posibilidad de presentar una iniciativa legislativa a este respecto.
ANEXO 3
Conclusiones del Consejo de la Unión Europea sobre la Red judicial europea sobre ciberdelincuencia
EL CONSEJO DE LA UNIÓN EUROPEA,
CONOCEDOR de que el ciberespacio se ha convertido en un elemento fundamental de la vida moderna y de que la protección del mismo ante incidentes, actividades malintencionadas y ante el uso indebido resulta crucial para nuestras economías y sociedades, y conocedor de que la ciberdelincuencia constituye una de las formas de delincuencia que más rápidamente crecen.
CONSCIENTE de que la naturaleza transfronteriza del ciberespacio plantea retos especiales a las autoridades policiales y judiciales y dificulta el éxito de las investigaciones y los procedimientos penales, que con
frecuencia conducen a la impunidad.
CONSIDERANDO la naturaleza transfronteriza de la ciberdelincuencia y la importancia de la cooperación judicial para llevar a cabo investigaciones eficaces en el ciberespacio y obtener pruebas electrónicas. REMITIÉNDOSE a la necesidad de mejorar el intercambio actual entre las autoridades judiciales y los expertos en el ámbito de la ciberdelincuencia y de las investigaciones en el ciberespacio manifestada recientemente por los profesionales en el contexto del Proyecto sobre comercio ilegal en los mercados en línea (ITOM).
SUBRAYANDO que los retos relativos a la ciberdelincuencia, a los delitos relacionados con el ámbito cibernético y a las investigaciones en el ciberespacio exigen coordinación y sinergias entre las actividades de las redes de profesionales existentes, en particular en el uso de las plataformas electrónicas para la comunicación existentes.
RECORDANDO el Convenio del Consejo de Europa sobre la Ciberdelincuencia, de 23 de noviembre de 2001, y su Protocolo adicional, y la Directiva 2013/40/UE relativa a los ataques contra los sistemas de información en la que se pide el aumento rápido y eficaz de la cooperación internacional en materia penal a través de los puntos de contacto operativos nacionales de las redes de cooperación ininterrumpida existentes. SUBRAYANDO la necesidad de mejorar la cooperación entre los Estados miembros, en particular entre sus autoridades judiciales a fin de mejorar las acciones policiales y judiciales para que el Estado de Derecho en el ciberespacio sea eficaz.
RECORDANDO que la lucha contra la ciberdelincuencia constituye una prioridad reconocida en la Agenda Europea de Seguridad de 28 de abril de 2015 y que se están abordando las trabas existentes a las
investigaciones sobre ciberdelincuencia en el transcurso de su aplicación.
RECORDANDO los debates de los ministros de Justicia en el Consejo el 3 de diciembre de 2015 y el 26 de enero de 2016 sobre el modo de abordar los retos relacionados con la recopilación y el uso de pruebas electrónicas en los procedimientos penales a fin de garantizar una justicia penal eficaz en la era digital, y recordando también la Declaración conjunta de los ministros de Justicia y Asuntos de Interior de la UE y los representantes de las instituciones de la UE con motivo de los atentados terroristas perpetrados en Bruselas el 22 de marzo de 2016, adoptada el 24 de marzo de 2016, que ponía de relieve la necesidad de abordar esta cuestión con carácter prioritario14.
REMITIÉNDOSE a la adopción por parte del Comité Permanente de Seguridad Interior (COSI) de una serie de recomendaciones para mejorar la cooperación operativa en las investigaciones penales en el
ciberespacio15.
REMITIÉNDOSE a la 7.ª ronda de evaluaciones recíprocas, actualmente en curso, dedicada a la aplicación práctica y al funcionamiento de las políticas europeas en materia de prevención y lucha contra la
ciberdelincuencia como una contribución importante a los esfuerzos para intensificar la lucha contra la ciberdelincuencia.
CONCLUYE que el intercambio existente entre las autoridades judiciales y los expertos en el ámbito de la ciberdelincuencia y de las investigaciones en el ciberespacio debe formalizarse y mejorarse con arreglo a la Red judicial europea sobre ciberdelincuencia respaldada por Eurojust en el marco que se expone a
continuación:
Misión, objetivos y funciones
1. La Red judicial europea sobre ciberdelincuencia (en lo sucesivo, «la Red») proporcionará un centro de conocimientos técnicos especializados que apoyará a las autoridades judiciales, es decir, a los fiscales y jueces que se ocupan de la ciberdelincuencia, de los delitos relacionados con el ámbito cibernético y de las investigaciones en el ciberespacio.
2. A tal fin, la Red facilitará y mejorará la cooperación entre las autoridades judiciales competentes que se ocupan de la ciberdelincuencia, de los delitos relacionados con el ámbito cibernético y de las investigaciones en el ciberespacio, respetando la estructura y la competencia de Eurojust y de la Red Judicial Europea (RJE), en particular:
14 Doc. 7371/16.
a) facilitando el intercambio de conocimientos técnicos especializados, mejores prácticas y otros conocimientos y experiencias pertinentes para la investigación y el enjuiciamiento de la
ciberdelincuencia, de los delitos relacionados con el ámbito cibernético y de las investigaciones en el ciberespacio, en particular en relación con la aplicación práctica de los marcos jurídicos vigentes, de la jurisprudencia pertinente y de la cooperación judicial transfronteriza eficaz; b) fomentando el diálogo entre los distintos actores y partes interesadas que desempeñan un papel
para garantizar el Estado de Derecho en el ciberespacio, como Europol/EC3, Eurojust, ENISA, CEPOL, Interpol, el Consejo de Europa, el sector privado, en particular los proveedores de servicios, y otros organismos y redes pertinentes en materia de ciberseguridad.
3. En particular, la Red:
a) proporcionará acceso a la información y la divulgará, en particular a través de un sitio web o de un portal en el que se utilicen las plataformas electrónicas existentes;
b) proporcionará un foro para el debate sobre los problemas prácticos y jurídicos encontrados por los profesionales en el ámbito de la ciberdelincuencia, incluidas las trabas para obtener y asegurar pruebas electrónicas eficazmente;
c) intercambiará información sobre legislación nacional, jurisprudencia pertinente, cooperación internacional y mejores prácticas entre los Estados miembros y proporcionará herramientas a los profesionales;
d) promoverá el uso de Eurojust en los casos transfronterizos relacionados con la
ciberdelincuencia, los delitos relacionados con el ámbito cibernético y las investigaciones en el ciberespacio.
Composición
4. Se solicita a cada Estado miembro, de conformidad con su procedimiento nacional, que designe al menos a un representante nacional de las autoridades judiciales que cuente con los conocimientos técnicos especializados adecuados para participar en la Red.
Organización y financiación
5. Los trabajos de la Red se basarán en un programa de trabajo bienal elaborado durante el primer trimestre de cada segundo año tras las consultas con las instituciones, los órganos y organismos de la UE pertinentes.
6. La Red debe reunirse periódicamente en función de las necesidades de los miembros, en principio dos veces al año, y Eurojust será el encargado de organizar dichas reuniones.
7. Eurojust proporcionará el apoyo necesario para las tareas previstas en el punto 3, garantizando la adecuación con respecto a los trabajos de la Red judicial europea y en relación con el Portal Europeo de e-Justicia.
8. La asignación de recursos a Eurojust a efectos de la Red debe estar sujeta a la decisión de las autoridades presupuestarias y debe entenderse sin perjuicio del marco financiero plurianual. 9. El Consejo evaluará el funcionamiento de la Red a tenor de un informe elaborado por Eurojust al
