Abogado especialista en Derecho Penal y en delitos informáticos, Marcos Salt coordina el Programa Nacional de Lucha contra la Criminalidad Informática, creado por el Ministerio de Justicia para mejorar la eficiencia de la Justicia a la hora de investigar los delitos del entorno digital. En diálogo con Diario Judicial, Salt celebró la voluntad de Argentina de adherirse al Convenio sobre Ciberdelincuencia, conocido como Convención de Budapest, y le enseñó a este medio las deficiencias que tiene el sistema procesal local a la hora de regular la obtención de pruebas en el entorno digital.
Dju: ¿Qué significa que Argentina se incorpore a la Convención de Budapest?
Marca una continuidad política del Estado Argentino en materia de combate de delitos informáticos y obtención de evidencia digital. Hace mucho tiempo que Argentina manifestó su voluntad de adherirse, pero en su momento no se hizo. Cuando empieza a discutirse cómo obtener la evidencia digital, cuando empieza a ser ya un problema a nivel internacional porque está globalizado, Argentina tiene que tomar la decisión respecto de cómo lo hace. Esta Convención, pese a estar hecha por el Consejo europeo, tiene características especiales, como por ejemplo que está “abierta” al mundo, porque se adhirieron países como Estados Unidos, Japón, Canadá, Israel, y dentro de la región se adhieran Chile, Republica Dominicana y Panamá. Con lo cual es el único convenio internacional sobre delitos informáticos y obtención de evidencia digital, con cooperación internacional específica en este último aspecto.
Dju: ¿Qué implica en sí la adhesión al Convenio?
Desde mi punto de vista, la gran ventaja que tiene la Convención de Budapest es que fue redactada por un grupo de expertos de diferentes países, ligados a lo académico y a lo práctico, que lograron un texto muy bueno, que advirtió que el problema no sólo era en relación a los delitos informáticos sino principalmente en aspectos procesales sobre cómo obtener evidencia en entornos digitales, La Convención también tiene un capítulo dedicado a cooperación internacional, que toma como espejo las normas internacionales y la traslada al aspecto procesal. Por ejemplo, acá en Argentina seguimos utilizando las normas del registro de secuestro de evidencia física para hacer un registro de datos de un sistema informático, esto es peligrosísimo, tanto en el aspecto de eficiencia en la investigación como en el de respeto de las garantías constitucionales. No es lo mismo revisar un espacio físico buscando un arma que “bucear” en una computadora buscando datos, porque en esta última hay muchas más posibilidades de que se presente una situación de violación a la intimidad. En el entorno digital se puede encontrar información borrada hace seis años y hasta por cinco usuarios distintos que hayan tenido esa herramienta. La parte procesal es una gran ventaja que tiene la Convención, mucho más teniendo en cuenta que la Convención es de 2001 y la redacción comenzó aproximadamente en 1999, y ya desde ese momento se previó que la evidencia digital iba a cambiar el mundo de las investigaciones. Y no sólo la Convención, sino que la explicación de motivos es como un manual.
Dju: ¿Argentina piensa hacer reservas?
Sí, pero eso no quiere decir que después el país no pueda avanzar en su legislación interna sobre alguno de los temas en los que está reservando. Es importante no comprometernos con el mundo a aprobar determinadas normas si no sabemos si podrán ser aprobadas a nivel del derecho interno.
Dju: Argentina tiene leyes especiales sobre delitos informáticos, aunque está atrasada la legislación en materia procesal. En ese contexto ¿Qué le agrega la Convención al derecho interno?
Tres cosas. Primero que va a servir como un factor ordenador importante. Argentina tiene una Ley sobre Delitos Informáticos que cumple con todas las pautas que exige Budapest, se podrán necesitar reformas y aclaraciones, pero la ley está. Ahora, donde estamos terriblemente mal es en el aspecto de obtención de evidencia digital, y esto comienza a complicar las investigaciones de cualquier delito, no sólo los delitos informáticos, porque estamos tratando de aplicar por analogía procedimientos para obtener evidencia física. Si uno suscribe a la Convención de Budapest se genera la necesidad de legislar en materia procesal un capítulo sobre medidas de prueba que sean pensadas para la obtención de evidencia digital, y que sirva también de espejo para las provincias. Desde el punto de vista de la cooperación con el resto del mundo, la Convención te “une” a un sistema de cooperación internacional donde están los países con los que tenemos mayor grado de cooperación en lo que es nuestro entorno cultural, Estados Unidos, Francia, España, Alemania, Canadá. En lo regional, el único país que se manifestó en contra fue Brasil, pero el resto de los países manifestaron en la OEA que en algún momento se iban a adherir a Budapest. Esto implica que se crea una red conocida como 24/7, con punto de contacto, para la obtención de evidencia digital. Es decir que si un país necesita un dato, y advierte el riesgo de que el servidor pueda ser borrado, hay un punto de contacto con cada uno de los países que forma parte de la Convención, por el cual se puede comunicar con alguno de ellos e solicitarle que “mueva” alguno de los instrumentos de su legislación internas, de modo que el país pueda “asegurar” ese dato. Por otra parte Budapest sirve en materia de cooperación en materia de capacitación. Digamos que es como esa publicidad de tarjeta de crédito que dice: “pertenecer tiene sus privilegios”.
Dju: ¿Cómo son las investigaciones en la actualidad?
Hay avances pero hay enormes déficits de capacitaciones y en aspectos normativos. Si uno ve en los lugares donde han creado fiscalías especializadas, y donde hubo capacitaciones en el tema, se nota que hay una mayor eficiencia. En el Poder Judicial en general, tanto en Nación como provincias, se observan falencias. Aunque parezca mentira, hoy por hoy se puede pedirle a un juez un rastrillaje de direcciones IP, y el juez no tiene idea de lo que le hablan. Esto, en un mundo en plena digitalización, es grave, porque se pasa a depender absolutamente de las fuerzas especiales de investigación, o del perito informático, o en el peor de los casos se pierde la información. Hoy obtener la información de un proveedor de servicios no está regulado, sino que lo regulan las propias empresas. Más allá de ello, un juez y un fiscal deben saber cómo obtener la información, porque no es que la información no esté disponible. Por ejemplo, si necesito una información de Facebook, y desconozco los protocolos de actuación para pedirla, y entonces le mando un oficio a la dirección que tiene Facebook como sede social, en vez de pedirla via mail, se corre el riesgo de que se “caiga” una investigación. Y esto es peligroso en los dos sentidos, porque se pierde eficiencia en la investigación, pero también hay una notable posibilidad de afectación de las garantías individuales. En Argentina hubo procedimientos donde se ha notado un abuso absoluto, secuestrándole la computadora sobre la base de una orden de allanamiento que pide “secuestrar todo elemento vinculado con el delito”, con el potencial acceso a la vida íntima de la persona. Actualmente, en el mundo está totalmente claro que el secuestro de una computadora no implica una autorización para ver los datos que tiene esa computadora. Incluso hay países que lo prevén de forma diferente, como España, que modificó su Código Procesal en 2015, que estipula que si se secuestra una computadora en un allanamiento, para ingresar al contenido se necesitará una nueva orden judicial. O sea, no es que al partir de que secuestran el elemento un fiscal o la policía no pueden ingresar a un sistema para buscar lo que quieran. En términos de garantías también es complicado no tener estos procedimientos legislados, y en términos de eficiencia, de acuerdo a experiencias en la región, la norma procesal también tiene un contenido pedagógico. Hay que reconocer que, igualmente, a nivel capacitación hemos avanzado mucho. Tuvimos fiscales que, tras pasar por los cursos de capacitación, comenzaron a utilizar las herramientas de una manera interesante, y que han finalizado investigaciones que no las hubieran finalizado si no fuera por medio de la utilización de evidencia digital.
Dju: ¿Es importante el ingreso de Argentina y países el bloque del Mercosur a la Convención?
Los países están ingresando cada uno por su lado, pero considero que la presencia regional es importante, porque hay asimetrías en materia de poder tecnológico que hace importante que la región esté representada en estas discusiones. No digo que vayamos a cambiar las decisiones, cuando se ponen ahí a discutir los grandes operadores del sistema, pero por lo menos podemos tratar de influir.
Dju: Desde esta perspectiva, ¿hay figuras de la legislación internacional como el agente encubierto digital, hoy por hoy son necesarias en el país o no hay el desarrollo de este tipo de delitos en el país?
Son necesarias, pero se vuelve a reiterar la vieja discusión del Derecho Penal moderno entre eficiencia y garantías, que se hay trasladado al ámbito digital. Ahora, ¿cómo hago yo para trasladar las garantías en términos digitales? La plain view (lo que pasa cuando tengo encuentros casuales en un allanamiento), por ejemplo, una cosa es que hago un allanamiento para buscar un arma y encima me encuentro un muerto en el lugar, pero otra es abrir una computadora porque estoy investigando un hecho de fraude tributario y en el medio empiezo a buscar y encuentro información de 500 ciudadanos que tenían plata en el extranjero y también las imputo sobre la base de que es un “encuentro casual”, evidentemente me estoy excediendo. Esto requiere una regulación de las garantías de manera diferente. El agente encubierto en internet no deja de ser una herramienta, y si está previsto para casos de narcotráfico también lo puedo usar en internet, pero lo tengo que hacer con los controles necesarios, porque no es lo mismo decir que voy a usar un agente encubierto para investigar un hecho de grooming que hacerlo en una causa de amenazas. Esto no queda librado a un control judicial sobre la proporcionalidad de las medidas, sino que debe ser previsto en la legislación
Dju: ¿ Y cómo se está resolviendo este conflicto en otros países?
En Estados Unidos han limitado mucho el plain view, por ejemplo han admitido el concepto de “expectativa de privacidad” y de “encuentro casual”, me viene a la cabeza un caso sobre el inicio de una investigación por fraude fiscal donde casualmente se encontraron con imágenes de pornografía infantil, con el principio de oportunidad se cambió la imputación y se investigó por pornografía infantil. Se pueden encontrar muchos trabajos académicos que dicen que esto excedió la plain view pero por lo menos hay un criterio de saber que hay un problema. En otros países también están trabajando con la posibilidad de uso de palabras claves para que esto no suceda. Hoy ya no se usa gente para estas investigaciones, la imagen que tenemos de dos peritos sentados frente a una computadora buscando es muy antigua. Hoy por hoy existen programas de búsqueda, donde se pone el nombre y se buscan planillas de gastos, transferencias, y una vez que se encuentran recién ahí los peritos comienzan a analizar la información. Porque si se deja a los peritos buscar todo, podrán aparecer cuestiones de la vida personal del imputado que nada tienen que ver con el delito que se investiga. En el mundo hay muchos fallos interesantes, del Tribunal europeo, del alemán, que imponen límites al Estado. Por ejemplo la utilización de técnicas “remote forensics” que permiten hacer un allanamiento remoto. Esto es que sí se necesita es secuestrar un documento que se sabe que tiene un imputado en su computadora personal, ya no hay necesidad de romper una puerta y allanar la casa, sino que se puede enviar un “troyano”, que se lleva el documento que se necesita y el imputado ni se entera. Esto fue, al mismo tiempo, declarado inconstitucional en Alemania por no estar previsto en el Código Procesal, y declarado válido por el Tribunal de Casación Italiano. En este último caso, lo que se hizo en Italia fue equiparar la situación a un allanamiento y se le aplicaron las reglas procesales de los allanamientos, por el contrario, el Alemania dijeron que el allanamiento remoto se parece más a una intervención de comunicaciones. Entonces, con estos antecedentes, Argentina tiene la ventaja de aprender y regular bien estos nuevos procedimientos y crear un Código que prevea este tipo de situaciones.
Dju: El Código Procesal Penal reformado no especifica mucho sobre esto…
Tiene una única norma, y es de incautación de datos. Está bien, avanzó en el sentido que no es lo mismo allanar un espacio físico para llevarse cosas que allanar una computadora para llevarse datos, pero le falta un paquete de normas sobre evidencia digital específica, que se pueden agregar. En la propuesta que envío el Poder Ejecutivo de modificación de ese Código Procesal Penal, hay una norma que prevé la posibilidad de los accesos remotos.
Dju: ¿Desde el Ministerio están trabajando en proyectos en este sentido?
Si, la idea del programa es trabajar en la adhesión a la convención de Budapest, reformar el Código Procesal poniéndolo en un esquema federal, es decir, proponer normas procesales “tipo” que las Provincias puedan adaptar a sus respectivos Códigos, y lo último, programas de capacitación para jueces y fiscales. En ese sentido, hicimos una serie de cursos con secretarios de juzgados, pensando en el futuro, que dieron muy buenos resultados. Más que capacitación, fue una concientización, porque les enseñamos que una información que se pide por oficio y que tarda seis meses, por Internet se obtiene en minutos.
Dju: ¿Por qué a secretarios y no a jueces?
Porque en la realidad, en el marco de las investigaciones, los que están haciendo ese trabajo son los secretarios. Entonces nos pareció útil capacitarlos a ellos y que trasladen luego sus conocimientos a los magistrados. En síntesis, los objetivos son bien claros, con la adhesión a la Convención de Budapest, una reforma de la Ley Procesal y una buena capacitación, vamos a ver avances.