PRUEBA DIGITAL Y RIESGOS PENALES : ALFONSO TRALLERO INTERVIENE EN EL COMPLIANCE ADVISORY LAB DE GRANT THORTON
En el seno del Compliance Advisory Lab creado por Grant Thorton, foro de debate de altísima especialización en la materia, este pasado 23 de junio tuvo lugar una jornada en la que diferentes ponentes –y entre ellos Alfonso Trallero- expusieron las cuestiones y problemas más relevantes de la evidencia o prueba digital.
Tras la bienvenida a ponentes y público y presentación del evento por parte de Alfonso Bravo, socio de Forensic de GT, la primera ponencia, titulada Práctica y valoración de la prueba digital derivada de las investigaciones internas, corrió a cargo de Joaquín Delgado, Magistrado de la Sala de lo Penal de la Audiencia Nacional. La conferencia abordó la identificación de las fuentes de la prueba digital en la empresa, los requisitos que ha de reunir la prueba digital para que albergue plenos efectos probatorios, la forma adecuada de aportarla en el proceso judicial y finalmente cómo se valora esa prueba por el juez. Dentro de los requisitos que debe reunir la prueba digital, el ponente recordó la esencial importancia de distinguir entre licitud y fiabilidad, así como de la diferenciación a su vez en esta última de autenticidad e integridad. De manera que resulta esencial trasladar al Juez que esa prueba que se aporta es la misma que se ha aprehendido y que no se ha alterado, cobrando así especial mención la metodología y protocolos que deben emplearse en los análisis forenses para salvaguardar estas máximas. Además, en la valoración de la prueba digital por el Juez, Joaquín Delgado mencionó que el Reglamento (UE) Nº 910/2014, conocido como EIDAS, establece una novedosa y cuasi revolucionaria presunción iuris tantum de las pruebas aportadas a través de terceros de confianza cualificados, incluso con efecto en cualquier país de la Unión Europea.
La siguiente conferencia, ofrecida por Eloy Velasco, Magistrado de la Sala de Apelación de la Audiencia Nacional, abordó la Licitud de la prueba particular: Desde Falciani a Barbulescu. El ponente subrayó la importancia para nuestro sistema democrático de regular con precisión las disposiciones normativas que limitan la injerencia en nuestros derechos más esenciales. Tomando como referencia resoluciones de gran impacto y que han sentado las bases para configurar los nuevos escenarios a los que nos enfrentamos, detalló una serie de presupuestos que deben cumplirse para evitar la vulneración de los derechos fundamentales a la hora de analizar u obtener información digital. Estos requisitos son la advertencia o apercibimiento de la monitorización de los dispositivos, la existencia una motivación concreta, la proporcionalidad de la injerencia y el derecho a acudir a la jurisdicción si no se consideran observados estos presupuestos. En su análisis, el ponente recordó que este protocolo, fijado en la sentencia Barbulescu 2, del Tribunal Europeo de Derechos Humanos, junto con el resto del ordenamiento jurídico permiten proteger la intimidad, el habeas data y al propio individuo de la intromisión en su esfera privada de terceros aún con la finalidad de investigar.
Seguidamente, con la conferencia de Alfonso Trallero, Socio Director de Bufete Trallero, Riesgos penales en la obtención de la evidencia digital: La paradoja de Rudoplhi, pudimos adentrarnos en una casuística especial y que cobra especial interés para peritos y analistas, como es la posible comisión de hechos delictivos por el propio investigador y/o su comitente cuando se aborda la obtención de la prueba digital. Haciendo una traslación de la paradoja de Rudolphi, donde el sujeto que sale en defensa del ordenamiento jurídico y actúa conforme a los objetivos deseados por la Ley termina siendo el peor tratado por esa misma Ley, Alfonso Trallero abordó los riesgos penales en que puede incurrir quien, para allegar pruebas de la comisión de un hecho delictivo por un tercero y evitar que este pueda seguir delinquiendo, lleva a cabo actos de obtención de evidencias digitales sin respetar escrupulosamente los presupuestos para su validez. Entre esos posibles riesgos en que pueden incurrir los peritos forenses y quienes les encargan la investigación, Alfonso Trallero destacó los delitos contra la intimidad de los artículos 197 a 201 del Código Penal, así como los de descubrimiento de secreto de empresa de los arts. 278 a 280 del Código Penal. Y recordó que las penas aparejadas para estos delitos son elevadas, por lo que el análisis de este riesgo durante el proceso de obtención y la salvaguarda de un protocolo y metodología adecuados son cruciales para evitar el amargo sabor de una investigación judicial contra el propio investigador.
En lo que concierne al ámbito empresarial, la ponencia destacó cómo nuestro legislador amplía la configuración de la protección a la intimidad a las personas jurídicas, haciendo confusos determinados preceptos penales. Sin embargo, en el ámbito empresarial no se habla tanto de intimidad como de capacidad competitiva, siendo esta el verdadero objeto de protección y acudiendo a los artículos 278 a 280 del Código Penal.
En la última parte de la ponencia, Alfonso Trallero recordó cómo debe actuarse a la hora de monitorizar a los empleados y ejercer el control empresarial, insistiendo en que es indispensable realizar recordatorios a los empleados sobre el adecuado uso de los dispositivos de la empresa y que la advertencia sobre el uso se recoja desde el momento del contrato. Todo ello, además de asegurar un modo estrictamente proporcional, necesario y adecuado en la obtención de la evidencia digital.
Por último, la conferencia de Cristina Muñoz-Aycuens, Directora de Forensic de Grant Thorton, tuvo por título Aspectos relevantes en relación con la metodología de adquisición y análisis de la prueba digital, la principal problemática técnica en el proceso de evidencia digital. La ponente señaló cómo la evidencia digital se nutre de numerosas fuentes e incluso parte de los datos de la empresa pueden encontrarse en entornos ajenos a ella. Y por ello, para garantizar esa autenticidad e integridad es importante partir de tres premisas: no modificar los datos, ser consciente de cómo puedes estar alterando los datos y documentarlo todo. Seguidamente, los principales problemas que se pueden encontrar son en el proceso de preparación de la adquisición de la información, ya que es preciso que las empresas cuenten con una política de uso de los dispositivos de empresa y que los empleados estén advertidos sobre la monitorización o control. De lo contrario, habría que pedir autorización al empleado para el registro de su dispositivo. Para el análisis, es importante conocer qué clase de dispositivo se va a analizar y qué información concreta es la que se precisa conocer, para así evitar la pérdida de información por un lado y, por otro lado, realizar una investigación proporcional sin acceder a datos irrelevantes para el objeto de investigación.
Tras ello, y moderado por Rafael Aguilera, Codirector del Compliance Advisory Lab de Grant Thorton, se abrió un turno de debate y reflexión entre todos los asistentes, en que se apuntaron a su vez ideas para seguir avanzando en la mejor definición de los contornos de esta materia de tan rápida evolución como la tecnología misma con la que se relaciona.
Sofía Manzano Herrero, Legal Trainee en Bufete Trallero.