Se espera que una decisión del tribunal más alto de Europa dé lugar a impugnaciones legales sobre el uso de pruebas de EncroChat y otras redes telefónicas cifradas infiltradas por las fuerzas del orden.
El Tribunal de Justicia de la Unión Europea (TJUE) dictaminó el 30 de abril de 2022 que los estados miembros deben notificar formalmente a otros estados miembros cuando intercepten comunicaciones en su jurisdicción.
El abogado defensor alemán Christian Lödden dijo esta semana que el fallo abre el camino para impugnaciones legales en futuros procesamientos por EncroChat en Alemania y otros países.
Dijo que Francia no había proporcionado una notificación formal de la operación de piratería a Alemania y otros estados miembros como exige la ley de la UE, y agregó que Francia “violó [the law]”.
El fallo es el último de una serie de impugnaciones legales sobre la legalidad de las pruebas reunidas por la policía francesa y holandesa en una novedosa operación de piratería informática en la red telefónica EncroChat, que ofrecía servicios de mensajería cifrada.
La policía francesa y holandesa recopiló mensajes de 4.600 usuarios de teléfonos EncroChat en Alemania en 2020 y de decenas de miles de usuarios de teléfonos en otros países después de infiltrarse en los servidores de EncroChat alojados en el centro de datos de OVH en Roubaix, en el norte de Francia.
La operación dio lugar a 6.500 arrestos en todo el mundo y la incautación de casi 900 millones de euros después de una investigación de tres años por parte de la policía sobre el crimen organizado y los grupos de drogas que usaban teléfonos EncroChat.
La sentencia del TJUE se centra en el intercambio de pruebas entre los estados de la UE
El TJUE emitió su fallo el mes pasado en respuesta a una serie de preguntas planteadas por el Tribunal Regional de Berlín sobre la legalidad de la operación EncroChat.
La sentencia sigue a una opinión preliminar del abogado general del Tribunal de Justicia de la Unión Europea en 2023 que encontró que Alemania obtuvo datos de EncroChat legalmente de Francia, pero dejó cuestiones legales críticas para que las resolvieran los tribunales nacionales.
La última decisión del TJUE tiene como objetivo aclarar si las órdenes de investigación europeas (EIO) emitidas por la Fiscalía alemana para obtener material interceptado por investigadores franceses de usuarios de teléfonos EncroChat en Alemania eran legales según la legislación de la UE.
El tribunal determinó que, según la directiva EIO, Francia estaba obligada a notificar formalmente a Alemania sobre la interceptación de teléfonos EncroChat en suelo alemán, y a dar a las autoridades alemanas la oportunidad de oponerse a la operación dentro de las 96 horas, si así lo deseaban.
La notificación de Francia debería haber contenido detalles de los objetivos identificados por número de teléfono, dirección IP o correo electrónico, la identidad de las personas objetivo, incluida su dirección, fecha de nacimiento y números de seguridad social, así como una descripción del delito cometido, según un modelo de notificación incluido en la directiva EIO.
Lödden sostiene que si Francia hubiera notificado formalmente a Alemania por adelantado que planeaba infiltrar más de 4.600 dispositivos en Alemania con malware, un juez alemán probablemente habría declarado que la operación era ilegal según la ley alemana.
Esto se debe a que Francia no pudo demostrar la sospecha concreta requerida por la ley alemana de que cada una de las 4.600 personas objetivo estaban involucradas en actividades criminales, dijo.
Lödden cree que desde entonces los fiscales alemanes han cambiado su enfoque. En una operación de piratería de 2021 contra la red telefónica cifrada Sky ECC, los fiscales emitieron EIO individuales citando evidencia específica de criminalidad para cada usuario de teléfono bajo investigación en lugar de una EIO única que cubriera a todos los usuarios de teléfonos en Alemania, y Lödden señaló: “En SKY ECC , se ralentizaron y tuvieron que emitir una EIO para cada usuario”.
Ahora quedará a discreción de los tribunales alemanes individuales decidir si admiten pruebas de EncroChat a la luz del fallo del Tribunal Europeo en casos futuros.
“Tenemos buenos argumentos porque ahora está en el papel que [France] violó la ley”, afirmó Lödden.
Secreto de defensa
En otro fallo importante, el TJUE concluyó que los tribunales nacionales de los Estados miembros deben ignorar las pruebas que puedan tener un impacto significativo en las conclusiones de hecho si un acusado no está en condiciones de comentar sobre las pruebas.
Es probable que los abogados defensores argumenten en casos futuros que los tribunales alemanes deberían ignorar las pruebas de EncroChat basándose en que Francia se ha negado a revelar cómo obtuvo y procesó los mensajes interceptados, alegando “secreto de defensa”.
Sin embargo, corresponderá a los tribunales nacionales interpretar la sentencia del TJUE y decidir caso por caso si las pruebas de EncroChat son admisibles.
Las investigaciones comenzaron en 2018.
La policía comenzó a investigar EncroChat en 2018 después de que se incautaran teléfonos cifrados en varias operaciones antidrogas. Los investigadores pudieron tomar copias de los datos de los servidores EncroChat, que se encontraban en el centro de datos de OVH en Roubaix en 2018 y nuevamente en 2019.
La policía francesa, trabajando en un equipo de investigación conjunto con los holandeses, se infiltró en la red telefónica cifrada EncroChat entre marzo y junio de 2000. Pudieron infectar alrededor de la mitad de los 66.000 teléfonos de la red con un implante de software, lo que permitió a la policía acceder al contenido de teléfonos en 122 países.
La Oficina de la Policía Federal Alemana, BKA, se enteró de la operación en una videoconferencia con representantes de Francia, Holanda, el Reino Unido y otros países, organizada por la agencia europea para la cooperación en materia de justicia penal, Eurojust, en marzo de 2020.
Posteriormente, la BKA anunció que iba a abrir una investigación sobre todos los usuarios de EncroChat en Alemania, afirmando que el uso del servicio EncroChat en sí era motivo de sospecha de que se estaban cometiendo delitos penales graves, en particular tráfico de drogas.
El 7 de marzo de 2020, la BKA recibió un mensaje seguro de Europol invitándoles a confirmar por escrito que habían sido informados de los métodos utilizados para obtener mensajes de EncroChat en Alemania con el fin de recibir acceso a los mensajes de EncroChat recopilados por la policía francesa desde teléfonos alemanes.
La BKA recibió descargas diarias de datos de un servidor de Europol entre el 2 de abril y el 28 de junio de 2020, cuando los administradores de EncroChat emitieron un mensaje advirtiendo a los usuarios que el servicio se había visto comprometido.
La Fiscalía de Frankfurt emitió la primera de tres órdenes de investigación europeas el 2 de junio de 2020 solicitando autorización a las autoridades francesas para utilizar los datos de EncroChat en procesos penales.
La Fiscalía justificó la solicitud explicando que Europol había informado a la BKA de que en Alemania se estaban cometiendo un gran número de delitos graves por parte de desconocidos que utilizaban teléfonos cifrados EncroChat.
Los tribunales alemanes no están de acuerdo sobre la ley
El Tribunal Supremo de Alemania, el Tribunal Federal de Justicia, dictaminó el 2 de marzo de 2022 que la fiscalía era un organismo competente para emitir OEI para la transmisión de pruebas de Francia a Alemania.
El Tribunal Supremo también consideró que las pruebas de EncroChat proporcionadas por Francia a Alemania podrían utilizarse como prueba en Alemania para investigar delitos penales graves.
A su vez, el Tribunal Regional del Landgericht de Berlín remitió una serie de cuestiones al Tribunal de Justicia de la Unión Europea en octubre de 2022 tras no estar de acuerdo con las conclusiones del Tribunal Supremo.
El tribunal de Berlín argumentó que la mera sospecha de que se pudieran haber cometido múltiples delitos penales en Alemania no era motivo suficiente para que los fiscales alemanes emitieran una EIO para obtener los datos franceses.
También cuestionó si las OEI eran proporcionadas, dado que según la Carta de Derechos Fundamentales de la UE y el Convenio para la Protección de los Derechos Humanos y las Libertades Fundamentales, los acusados deben tener una “oportunidad real” de comentar sobre las pruebas presentadas ante el tribunal.
El derecho a un juicio justo se vio socavado, afirmó, por el hecho de que los datos solicitados por las OEI no pudieron ser examinados por expertos técnicos en Alemania porque los franceses habían clasificado la técnica de interceptación como un “secreto de defensa”.
En opinión del Tribunal de Berlín, las autoridades alemanas sólo podrían emitir una OEI para obtener pruebas de un tercer país, en este caso Francia, si la medida de investigación hubiera sido autorizada en Alemania en un caso interno similar.
El Tribunal de Berlín consideró, a diferencia del Tribunal Federal de Justicia, que las autoridades investigadoras francesas deberían haber notificado a Alemania con antelación su intención de infiltrarse en los teléfonos EncroChat en Alemania a través de un tribunal alemán.
También cuestionó las decisiones de los tribunales nacionales de asumir que los datos de EncroChat pueden usarse en procesos judiciales y cuando hubo posibles infracciones de la legislación de la UE que involucran pruebas de EncroChat, se debe dar prioridad a los procesos penales en vista de la gravedad de los delitos.
Según el procedimiento penal alemán, los datos recopilados mediante escuchas telefónicas –en ausencia de aprobación judicial y en ausencia de sospechas concretas de un delito específico– serían legalmente inadmisibles, argumentó el tribunal de Berlín.
Se podría impedir que la información y las pruebas obtenidas ilícitamente perjudiquen indebidamente a un sospechoso prohibiendo que el material se utilice como prueba. Alternativamente, esto podría lograrse teniendo en cuenta si el material es ilegal al evaluar las pruebas o determinar la sentencia, argumentó el tribunal de Berlín.
Según la jurisprudencia de la UE, la lucha contra delitos graves no puede justificar la conservación general e indiscriminada de datos personales, afirmó el Tribunal de Berlín.
Como resultado, el Tribunal Regional de Landgericht decidió suspender el procedimiento y remitir una serie de cuestiones al Tribunal de Justicia de las Comunidades Europeas para que se pronunciara.
El TJUE decide sobre la legalidad de EncroChat EIOS
La solicitud del tribunal de Berlín al TJUE se refiere a la legalidad de tres OEI emitidas por la Fiscalía de Frankfurt solicitando a la policía francesa los datos interceptados de usuarios de teléfonos en Alemania.
El Tribunal de Justicia de las Comunidades Europeas consideró si Alemania estaba obligada a tener pruebas concretas de que cada usuario individual de EncroChat era sospechoso de un delito penal.
También se preguntó al TJUE si era proporcionado emitir una OEI cuando no se puede verificar la integridad de los datos recopilados por los franceses porque los detalles de la operación de interceptación estaban protegidos por el “secreto de defensa”.
El tribunal determinó que un fiscal en Alemania podría emitir una OEI solicitando la transmisión de mensajes interceptados desde Francia a Alemania, siempre que la transmisión de datos también fuera legal en un caso interno en Alemania.
El TJUE también concluyó que los tribunales nacionales deben ignorar la información y las pruebas si una persona acusada de delitos penales no está en condiciones de comentar sobre las pruebas en su contra, y que es probable que la información tenga un impacto significativo en las conclusiones de hecho.
La directiva EIO, concluyó el tribunal, no sólo pretende garantizar la soberanía de los estados miembros, sino también proteger los derechos de los usuarios afectados por una operación para interceptar las telecomunicaciones.
Impacto del fallo
Los abogados dijeron que las conclusiones del TJUE darían lugar a impugnaciones sobre la admisibilidad de las pruebas de EncroChat en Alemania y otros países.
Sin embargo, Lödden dijo a Computer Weekly que la decisión no afectaría los casos en Alemania donde las personas ya habían sido condenadas por delitos utilizando pruebas de EncroChat, que no pueden reabrirse sin nuevas pruebas, añadiendo: “Ahora depende de la decisión del tribunal o todos los demás tribunales cómo clasifican estas violaciones”.
El abogado defensor holandés Justus Reisinger dijo que era poco probable que la operación EncroChat hubiera sido aprobada por un juez holandés si se hubiera llevado a cabo internamente en Holanda. Dijo que Francia no había enviado una notificación formal a Holanda sobre la operación EncroChat como exige la legislación de la UE.
Sin embargo, dijo que la situación en Holanda era más complicada que en Alemania porque Holanda era miembro del Equipo Conjunto de Investigación responsable de la operación de interceptación de EncroChat con Francia.
El caso será remitido ahora al Tribunal Regional de Berlín para que se pronuncie.