INTRODUCCIÓN
Es indudable que con el correr del tiempo la posibilidad de disponer información sobre las personas, ha ido paulatinamente en aumento. Si a ello se le suma el importante papel que las bases de datos desempeñan en el mundo tecnificado y globalizado de hoy, surge con pocos cuestionamientos el derecho de las personas a protegerse frente a la intromisión de los demás.
El régimen de protección de los datos personales permite que los ciudadanos ejerzan su legítimo poder de disposición y control sobre los datos de carácter personal referidos a su persona que se encuentran registrados en bases de datos de titularidad de terceros.
A tal fin, la legislación faculta a los ciudadanos a decidir cuáles de esos datos quieren proporcionar a terceros, sea el Estado o un particular, o qué datos pueden esos terceros recabar, permitiendo asimismo que sepan quién posee sus datos personales y para qué, pudiendo inclusive oponerse a esa posesión o uso.
Estos poderes de disposición y control sobre los datos personales, se concretan jurídicamente en la facultad de consentir la captura, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo y, por otro lado, el poder oponerse a esa posesión y usos.
La protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, públicos o privados destinados a dar informes, su custodia garantizará el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre.
Como se ve, el derecho que se trata de proteger no es sólo el de la intimidad, sino algo con mayor profundidad que en el derecho anglosajón se denomina "privacy" y que se ha castellanizado como "privacidad". Lo que se busca es proteger aspectos de la personalidad que individualmente no tienen mayor trascendencia pero que, al unirse con otros, pueden configurar un perfil determinado de las personas. Ante dicha posibilidad surge el derecho de sus titulares a exigir que los datos permanezcan en el ámbito de su privacidad.
En consecuencia, puede definirse al concepto de protección de datos como el amparo debido a todos los ciudadanos contra la posible utilización de sus datos personales por terceros, en forma no autorizada, para confeccionar una información que, identificable con él, afecte su entorno personal, social o profesional, en los límites de su intimidad, o como la protección de los derechos fundamentales y libertades de los ciudadanos contra una singular forma de agresión: el almacenamiento de datos personales y su posterior cesión. Derechos que no se pierden aún estando el ciudadano vinculado como sujeto activo en un proceso penal.
Por lo anterior se hace necesario poner límites al grado de intrusión en nuestra privacidad, que el tratamiento automatizado de datos personales puede generar en el derecho penal. Desde una doble perspectiva, reconocemos su amparo constitucional como ciudadanos: la protección adecuada de nuestra privacidad y nuestro deber como operadores de tecnología, facilitarán el acceso a ellas y ayudarán en la consecución y protección de este derecho. Se debe regularizar bajo ese amparo, la información cuando se toma como elemento material probatorio.
DUDOSA EFICACIA GARANTISTA DE LA AUDIENCIA DE CONTROL DE LEGALIDAD POSTERIOR
Precisamente con base a la potestad otorgada por la Constitución Nacional , se le adscribe directamente a la Fiscalía la potestad de la “recuperación de información dejada al navegar por Internet u otros medios similares,…”, actuaciones éstas sometidas al control posterior del juez de control de garantías, a más tardar dentro de la 36 horas siguientes, a efecto de que se realice un control amplio e integral de esas diligencias.
El numeral 3° del artículo 250 de la Carta a su vez establece que corresponde a la Fiscalía General de la Nación, en ejercicio de sus funciones, “asegurar los elementos materiales probatorios, garantizando la cadena de custodia mientras se ejerce su contradicción”. Y a continuación señala que “En caso de requerirse medidas adicionales que impliquen afectación de derechos fundamentales, deberá obtenerse la respectiva autorización por parte del juez que ejerza funciones de control de garantías para poder proceder a ello”. (Subrayas y cursiva nuestras)
Este numeral, modificado por el Acto Legislativo No. 3 de 2002, en su artículo 2º, refiere en su primer segmento a la actividad ordinaria o básica del órgano de investigación como es la de recaudar y asegurar los elementos materiales de prueba que le servirán de soporte para el ejercicio de su función acusadora. Sin embargo, previene la norma que si en el ejercicio de esa actividad se enfrenta a medidas adicionales que impliquen afectación de derechos fundamentales, necesariamente debe obtener la autorización respectiva del juez de control de garantías, es decir someter las medida al control previo de esta autoridad en la cual se radican, en la fase de investigación, las facultades típicamente jurisdiccionales de las cuales forman parte las decisiones con capacidad de afectación de derechos fundamentales.
Demostraremos cómo el accesar a la memoria RAM, disco duro, dispositivos de almacenamiento masivo u otros, se pueden violar datos personales (derechos fundamentales de la intimidad) y más exactamente a los datos sensibles, independientemente encontrar elementos materia de prueba, amén que su errada manipulación pueda fracasar la idoneidad de la evidencia en el proceso, por no tenerse en cuenta los protocolos del manejo de la evidencia digital.
Las expresiones que impugnamos son inconstitucionales en cuanto permiten la práctica de diligencias que afectan derechos fundamentales como es el caso de la “la recuperación de información dejada al navegar por Internet u otros medios similares”, sin contar con la previa autorización del juez de control de garantías, y, sin que la medida se encuentre prevista en las excepciones, a ése control previo, que establece el numeral 2º del artículo 250 de la Constitución. De otra parte, el legislador se ha arrogado la potestad de clasificar las medidas que demandan control previo del juez de garantías (Art.246) a partir de la ubicación de la medida en la ley, prescindiendo del criterio valorativo determinante que es la afectación de derechos fundamentales y la regulación constitucional.
Y no podemos pensar, y tal vez así lo alegue la Fiscalía General de la Nación, al argüir que las expresiones acusadas se avienen a la Constitución en razón a que la recuperación de información dejada al navegar por Internet u otros medios similares, constituye una especie de diligencia de registro para la cual el numeral 2º del artículo 250 de la Constitución autoriza, de manera excepcional, el control posterior por parte del Juez de control de garantías, tal como lo dijo en otrora oportunidad cuando le correspondió intervenir ante esa alta Corporación.
Recordemos que como regla general, las medidas que afectan derechos fundamentales requieren autorización previa del juez de control de garantías y estos procedimientos de la recuperación de información dejada al navegar por Internet y otros medios similares, pueden ser susceptibles de violaciones, independientemente que efectivamente a través de medios electrónicos estén consumándose conductas punibles.
Sobre el tema resulta adecuado explicar algunos detalles procesales en el manejo de la evidencia digital y por lo tanto explicaremos algunos aspectos que se deben realizar en estos eventos:
Hemos de entender y proceder como si estuviéramos (y es que debemos estar) en una diligencia de allanamiento o de incautación. Implicando que si encontramos ordenadores dentro del domicilio allanado, han de tomarse antes de apagarlos o desconectarlos, los datos volátiles, logs de seguridad y la extracción de la huella digital a través de hash MD5. Es así como lo aplica a sus discentes el Maestro John Jairo Echeverry Aristizábal, Jefe de la Unidad Nacional de Delitos Informáticos del CTI, de la Fiscalía General de la Nación, nuestro partner en ICITAP con el programa que dictamos a Fiscales e Ingenieros de Sistemas del CTI alrededor del país, sobre delitos informáticos. La información encontrada en estas máquinas no la podemos analizar en el lugar de los hechos (entiéndase abrirse), esto es, no la podemos revisar, puesto que la estaríamos alterando, y se pondría en duda su inalterabilidad y autenticidad, amén de estar legitimando malas prácticas que los protocolos forenses internacionales las rechaza.
Sobre la importancia de los datos encontrados en las condiciones del artículo 236 ejusdem, el Maestro Jeimy Cano nos dice que la información se encuentra almacenada electrónicamente en memoria volátil (también conocida como memoria RAM ) es insumo fundamental para cualquier investigación, nos recomienda en su obra que no se apague la máquina si se encuentra encendida, dado que la información volátil disponible, es pieza clave de lo que pudo haber ocurrido. Arguye que en estudios recientes se ha establecido que es posible capturar lo que hay en memoria de un computador encendido y que es viable exportar el resultado del mismo a un archivo para su análisis posterior.
La posterioridad (24 horas) a que se refiere la norma en su epígrafe, debemos entenderla salvo un mejor concepto, es cuando logrado los datos volátiles, logs de seguridad, metadatos y la extracción de la huella digital a través de hash MD5, se ha anclado la cadena de custodia sobre los elementos electrónico encontrados, no antes. Es en este momento que se suplica la Audiencia de Control de Legalidad Posterior, y esa súplica versa sobre la actuación lograda de los elementos materiales de prueba (EMP) amén de la solicitud de apertura de los ficheros hallados dentro de los dispositivos, independientemente si se les considera o no bases de datos, pues las bases de datos su constitución no se la da quién los organiza, sino el orden y clase de información, lo que el autor del fichero le imprime, esto es, un padre de familia, puede tener en su ordenador un fichero en donde almacena en forma organizada (entiéndase sistematizada) los datos de las historias clínicas de todos y cada uno de los miembros de su familia; también pueden ser ficheros de los diferentes actos religiosos de los suyos, digamos una ceremonia religiosa de aniversario, si se trata de un católico, pensemos en una primera comunión o una confirmación. Estos datos son clasificados por la doctrina, por la jurisprudencia internacional y por organismo de Derechos Humanos como sensibles.
Esta categoría de amparo no se la puede dar la jurisprudencia, no se la puede los códigos, se la da la Constitución Nacional en concordancia con la Declaración de los Derechos Humanos. Entonces no puede haber legalización sobre la apertura de ficheros, so pretexto de la urgencia de una investigación penal, cuando se han violado datos sensibles.
Retomando el estudio jurídico del tipo procesal, si no fuera así (pre y no pos) alteraríamos la evidencia, seguramente se rechazaría en el juicio, puesto el solo hecho de abrir un fichero, ya lo estamos modificando, porque los metadatos, nos está diciendo su fecha de modificación (nueva fecha de apertura), porque sin agregar o reducir (modificar posiblemente) texto, simplemente moviendo el cursor dentro del documento lo estamos alterando, pero: ¿quién nos asegura que el forense no realizó ninguna modificación en el documento, el simple juramento lo apremiaría? No lo creemos y es por ello que existen métodos (protocolos internacionales hablan de ello) informáticos para evitar estas circunstancias dubitativas.
También la huella de hash va a ser diferente, supuestamente pensaríamos que se trata de un documento electrónico diferente que ha sido modificado, porque ha cambiado la cantidad de bits o su número de identificación. El control de garantías no puede ser posterior (como lo dice la norma) a la apertura del documento, así su contenido no se modifique, la huella hash es diferente y va a dar oportunidad a que la contra parte de la Fiscalía ora de la Defensoría ataque este evento. En consecuencia la Audiencia de Control de Garantía no puede ser después de abierto los documentos, tienen que ser después de haberse tomado sus metadatos y la huella hash, ya luego, con la autorización del Juez de Garantía el Forense, encuentra un documento incólume para su análisis.
Los documentos electrónicos tienen que quedar inalterables (congelados) para el momento de anclarse la cadena de custodia, situación que quedara hasta cuando no regresen (si pudieran regresar a su legítimo dueño) a manos de su propietario, pues todo el trabajo informático se hará con las copias espejos (Este procedimiento se conoce en el ámbito de la informática forense como “imaging” obtención de imágenes forenses de datos) en donde se establecerá la autenticidad de la evidencia digital.
Sobre el tópico tenemos que recordar un caso internacional, de mucha trascendencia nacional, como fue la errada manipulación forense que se le dio a los dispositivos electrónicos (medios de almacenamiento masivo) encontrados al extintito guerrillero REYES y fue así como Colombia le solicitó a las INTERPOL un análisis informático en el que se quería puntualmente:
“a) Establecer los datos reales que contenían las ocho pruebas instrumentales de carácter informático decomisadas a las FARC,
b) Comprobar si los archivos de usuario habían sido modificados de algún modo el día 1 de marzo de 2008 o en fechas posteriores, y
c) Determinar si las autoridades de los organismos encargados de la aplicación de la ley colombianos habían manejado y analizado las citadas pruebas de conformidad con los principios reconocidos internacionalmente para el tratamiento de pruebas electrónicas por parte de las fuerzas del orden.”
Fue en el mismo transcurrir del Informe del Organismo Internacional, cuando examinándose los discos duros hallados al ex guerrillero RAUL REYES, se encontró en la: “Conclusión No 2b: Entre el 1 de marzo de 2008, fecha en que las autoridades colombianas incautaron a las FARC las ocho pruebas instrumentales de carácter informático, y el 3 de marzo de 2008 a las 11.45 horas, momento en que dichas pruebas fueron entregadas al Grupo Investigativo de Delitos Informáticos de la Dirección de Investigación Criminal (DIJIN) de Colombia, el acceso a los datos contenidos en las citadas pruebas no se ajustó a los principios reconocidos internacionalmente para el tratamiento de pruebas electrónicas por parte de los organismos encargados de la aplicación de la ley”. Subrayas y negritas fuera del texto.
Y agrega en la Conclusión No. 2: “Entre el 1 de marzo de 2008, fecha en que incautaron a las FARC las pruebas instrumentales de carácter informático, y el 10 de marzo de 2008, fecha en que las entregaron a los especialistas de INTERPOL en informática forense, las autoridades colombianas accedieron a todas las pruebas instrumentales”. (Subrayas y negritas fuera del texto) Procedimiento que no se debió haber realizado porque rompían la cadena de custodia, esto solo podía hacerlo después que el Juez de Garantías legalizara el embalaje y el anclaje de la Cadena de Custodia para posteriormente realizar el análisis forense. Estas dudas que dejaron este procedimiento señalado por la INTERPOL ha permitido la creación de cualquier cantidad de suspicacias en contra de la veracidad y autenticidad de la prueba.
No obstante de este antecedente informático forense internacional, encontramos en nuestra investigación un caso, que puede ser el cualquier colombiano de a pie, en donde la Sala de Casación Penal de la Suprema Corte de Colombia desatando el recurso de apelación del Delegado de Procurador, en contra de la Audiencia de Legalidad a la solicitud del Delegado del Fiscal General de la Nación para la apertura de dos medios electrónicos, un disco rígido de una computadora y un dispositivo de telefonía móvil, persiste en afirmar que se torna viable que la Audiencia de Control de Garantías sea posterior a la “recuperación de información dejada al navegar por internet u otros medios similares, …”
En contra de nuestro sentir la Suprema Corte decidió muy en contrario de los parámetros internacionales sobre el manejo de la evidencia digital y los datos personales, pese a que el Delegado del Señor Fiscal General en forma acertada acudió al Juez de Garantías (para nuestro parecer ese debe ser el protocolo legal) para la apertura de estos dispositivos de almacenamiento masivo al considerar que su solicitud encontraba fundamento en el artículo 250, numeral 3º de la Constitución Política, norma que obliga acudir al Juez de Control de Garantías cuando se vulneran derechos fundamentales, como ocurría en el caso en estudio, con el derecho a la intimidad, pues la revisión del disco duro y del aparato celular hubiera podido arrojar el acceso a información reservada como el cruce de correos entre la defensa y el procesado, igualmente la manipulación errada de los datos.
Nosotros agregamos al asunto estudiado por esa Alta Corporación, creando una hipótesis: ¿qué hubiera ocurrido si se hubiesen encontrado cartas de amor, imágenes en la intimidad del procesado con su esposa, compañera o novia, sus ficheros clínicos, su registro a una etnia especial, las oraciones de su credo religioso o abierto algún documento dirigido a su abogado, etc? o por error involuntario se hubiese aplicado un procedimiento inadecuado forense, cuando se hacían estas prácticas irregulares. Procedimientos forenses que se tienen que realizar siempre en un laboratorio apto para estos menesteres y una errada manipulación, seguramente la evidencia llegaría viciada al Juicio.
Todos estos son datos sensibles y con la apertura se hubiera accesado ilegalmente a la información reservada, violándose su derecho a la intimidad, sus datos sensibles e igualmente la presunta inalterabilidad, autenticidad y conservación de los datos (tal vez relevantes para la investigación) se hubiera puesto en duda. Ahondemos, quien nos dice que los datos estuvieron incólumes hasta cuando las autoridades penitenciarias los capturaron, quién nos confirma que no fueron abiertos, que no fueron manipulados, que no fueron modificados, ¿quién da fe de dicho proceso? ¿Se le hicieron logs de seguridad, se le tomaron huellas hash a todos los ficheros, se capturaron los metadatos y datos volátiles si era posible? Pensamos que le ley no puede permitir (autorizar o legalizar violaciones) que se violen derechos fundamentales (datos personales y el de defensa) luego de violados darles visos legalidad y garantizar actos irregulares so pretexto de guardar la seguridad ciudadana, con la anuencia del Juez de Control de Garantías.
Ahora bien, aún no se ha pronunciado nuestra jurisprudencia, como sí ha ocurrido en otros países, el tema sobre las direcciones IP , ¿se debe considerar un dato personal y semiprivado?, si ello fuere así, ¿se le debe tener una protección especial? Se torna viable utilizar software de protección u ocultamiento de dicha dirección? (existen en el mercado informático). Recordemos que la dirección IP nos lo asigna el ISP , establece una relación directa con el equipo y las personas que lo utilizan. Esta dirección lógica (IP) es parte del contrato de servicio de conexión a Internet, la cual está asociada en el sistema del proveedor con el número telefónico desde la cual se conecta. Si contamos con estos dos datos, tenemos la identificación de una familia u hogar, para un equipo particular.
En consecuencia los correos electrónicos los mensajes instantáneos, los mensajes de texto, los mensajes de voz, las imágenes, entre otros tipos de comunicaciones enviados o recibidos por las personas naturales o jurídicas podrán ser catalogados como datos personales, por lo cual deben contar con la protección de la Ley Estatutaria de Hábeas Data. Al estar definido un dato personal como cualquier pieza de información vinculada a una o varias personas, las categorías de mensajes enumerados previamente serian otro elemento de análisis para considerar dentro de las medidas tecnológicas requeridas para dar cumplimiento a lo establecido en la ley, con la anuencia previa lograremos accesar a dicha información si violarle ningún derecho fundamental al imputado, independientemente la clase de datos hallados.
Después de este paréntesis seguimos con el caso estudiado por la Suprema Corte, éste se refiere a la solicitud de la Fiscalía de la Unidad Nacional de Justicia y Paz autorización para accesar a la información contenida en un disco duro perteneciente y dejado por un vinculado penal en la celda de la cárcel de Itagüí donde se encontraba recluido cuando fue extraditado a los Estados Unidos, así como a un celular sin sim card hallado en el mismo sitio. Precisó también que la computadora y el aparato de telefonía móvil fueron recogidos por funcionarios del INPEC, luego de producirse la referida extradición y entregados a la fiscalía, en tanto el disco duro lo entregó el abogado defensor del postulado.
Agrega la pieza jurídica de esa alta Corporación que dichos elementos no llegaron a la fiscalía producto de una diligencia de registro y allanamiento, ni en virtud de incautación sino como consecuencia de la cadena de custodia de rigor, la cual se inició desde la actuación de los funcionarios del INPEC.
Según la Delegada de la Fiscalía, la solicitud en mención le encontró fundamento en el artículo 250, numeral 3º de la Constitución Política, norma que obliga acudir al Juez de Control de Garantías cuando se vulneran derechos fundamentales, como ocurría en el presente caso con el derecho a la intimidad, pues la revisión del disco duro y del aparato celular puede arrojar el acceso a información reservada, volvemos y repetimos, como el cruce de correos entre la defensa y el procesado.
Agregó que la búsqueda de la información está dirigida a verificar los hechos confesados, a establecer la comisión de otras conductas delictivas (evidencia en su contra) no admitidas y, en general, a garantizar la obtención de la verdad y la justicia conforme los parámetros del artículo 14 de la Ley 975 de 2005, aun cuando precisa que la audiencia respectiva no puede asimilarse a la reglada en el artículo 244 de la Ley 906 de 2004 encaminada a la búsqueda selectiva en base de datos, pues ello implicaría el cumplimiento de otros procedimientos como el control de la orden dispuesta por la fiscalía. En su criterio, se asimila más bien a una audiencia de registro personal porque el computador constituye un elemento personalísimo que no contiene base de datos de carácter privado o público, aunque sí información referente a la intimidad de la persona.
La Corte para cuando hizo sus elucubraciones, consideró que la norma superior en cita, en la modificación hecha por el artículo 2º del Acto Legislativo 3 de 2002, impone a la Fiscalía General de la Nación asegurar los elementos materiales probatorios, garantizando la cadena de custodia mientras se ejerce su contradicción y le exige que en caso de requerir “medidas adicionales que impliquen afectación de derechos fundamentales”, obtenga la respectiva autorización por parte del juez que ejerza las funciones de control de garantías, como condición para poder proceder a ello.
Consideramos que no existe ninguna duda sobre los procedimientos con evidencia digital, los que requieren siempre de medidas adicionales puesto que sí afectan derechos fundamentales. Agrega que la mencionada disposición no implica, pero para nuestro sentir erradamente lo afirma, que todo acto de investigación requiera la intervención previa del juez de control de garantías. Se responde que tal entendimiento es equivocado, pues mientras se obtiene la autorización podría perderse la evidencia o alterarse en su esencia o, incluso, generarse problemas de orden público y salubridad si no se recauda inmediatamente. Pensamos que erradamente compara esta situación violatoria de datos personales, con la de no levantarse prontamente un cadáver (situación ostensiblemente diferente a la captura de una evidencia digital) de persona cuya muerte se produce en vía pública, pues son situaciones absolutamente distintas. Al contrario pensamos que le da más transparencia al ejercicio de la Policía Judicial, cualquiera que sea el cuerpo de seguridad que la ejerza, sobre la evidencia digital.
Enfatiza que para los eventos expresamente señalados en el Código de Procedimientos Penal, el control consagrado es de carácter posterior, como lo tienen establecido sus artículos 237 y 244, inciso tercero. Es importante anotar que no hemos dicho que el artículo de marras no exprese tal término, la tesis nuestra es que debería decir lo contrario, esto es, sí se requiere de control previo del Juez de Garantías, como fundamento de esta acción de constitucionalidad.
La Suprema Corte considera que accesar a ficheros electrónicos sin la anuencia del Juez de Control de Garantías previo, no puede ser posible afectación de derechos constitucionales, olvida que el ingreso indebido, como ocurrió en los ficheros de Reyes, así lo afirmó la Interpol, pusieron en problema a las autoridades judiciales y la credibilidad internacional por ese inadecuado manejo de la evidencia digital. Recalca la Corporación que el capítulo III regula, de manera especial, algunos de esos casos, tales como: el registro corporal (art. 247) , el registro personal (art. 248), la obtención de muestras que involucren al imputado (249) y la práctica de reconocimientos y exámenes a las víctimas (art. 250), aunque en este último caso cuando no exista consentimiento del interesado .
La Corporación reprocha a la Delegada del fiscal, cuando intentó obtener aval judicial previo (muy legal) para revisar la información contenida en un disco duro y en un aparato de telefonía móvil, bajo el supuesto de que esa actuación se asemeja a un registro personal, cuando no lo exige la ley. Nada más equivocada esa postura.
Recalca que en el caso de la búsqueda selectiva en bases de datos del artículo 244 ni siquiera demanda la orden previa del fiscal cuando se trata de “realizar las comparaciones de datos registradas en bases mecánicas, magnéticas u otras similares, siempre y cuando se trate del simple cotejo de informaciones de acceso público”, según lo tiene establecido su inciso primero. Y que de acuerdo con el inciso segundo del citado artículo 244, se requiere solamente autorización previa del fiscal cuando esa búsqueda selectiva “implique el acceso a información confidencial, referida al indiciado o imputado o, inclusive a la obtención de datos derivados del análisis cruzado de las mismas”.
La Corte le recuerda a las partes que la Sala en reciente decisión adoptada en caso similar al que ahora ocupa su atención, la orden judicial previa se impone únicamente cuando la búsqueda selectiva recae sobre “datos personales organizados con fines legales y recogidos por instituciones o entidades públicas o privadas debidamente autorizadas para ello”, según así lo estableció la Corte Constitucional al condicionar la exequibilidad del artículo 244. Descarta entonces que los datos sensibles informatizados por cualquier ciudadano que quiera conservar organizadamente su información, no estarían protegidos por la Constitución, pues como éstos no han sido capturados por una institución pública o privada debidamente autorizados no los ampara aparentemente.
La postura de la Suprema Corte ha motivado las críticas de expertos en la materia tales como el Maestro Jeimy José Cano Martínez al afirmar que la evidencia digital es frágil y volátil. La información residente en los medios de almacenamiento electrónico puede ser borrada, cambiada o eliminada sin dejar rastro, lo cual limita la labor del investigador forense en informática para identificar y encontrar elementos claves para esclarecer los hechos relevantes de una investigación y esto ocurrirá siempre cumpliendo los mandatos señalados en el artículo 237, pues al no haber previamente de su presentación al Juez de Control de Garantías, existirá siempre la posibilidad de su alteración, toda vez que la norma no establece dicho procedimiento, así ocurrió con los ficheros de Reyes, que por el afán, muy seguramente altruista, se accesaron a ellos y la policía internacional encontró (tal vez en busca de más delitos contra la seguridad del estado) que no se hicieron bajo los protocolos internacionales.
Agrega que en este sentido, la evidencia digital es pieza probatoria básica que requiere una revisión detallada sobre cómo se crea, cómo se recolecta, cómo se asegura y finalmente cómo se presenta en la corte, con el fin de aportar con claridad y precisión factores que orienten las decisiones sobre casos donde ésta evidencia sea parte fundamental del mismo.
Así mismo señala que la evidencia digital al ser un objeto relativamente fácil de manipular, generado por dispositivos electrónicos, de los cuales no sabemos nada sobre su funcionamiento, la susceptibilidad a las fallas, entre otras características, nos advierte que estamos entrando en un campo de investigación delicado y formal donde el conocimiento técnico es tan fundamental como el conocimiento forense y de técnicas probatorias.
En razón a lo anterior, es preciso indagar sobre estrategias que permitan establecer reglas mínimas que le permitan al sistema Judicial Colombiano validar pruebas digitales o no. Si bien esta labor requiere un entendimiento técnico de los medios electrónicos, también establece un reto a los fiscales y jueces para involucrarse en los cambios que establece una sociedad digital, donde la delincuencia también ha evolucionado en sus técnicas y estrategias delictivas.
Luego, al aportar elementos digitales en un caso, es preciso que el aparato judicial cuente con una base formal y clara sobre la admisibilidad de la evidencia digital presentada. Es decir, que la justicia pueda contar con características básicas de ésta evidencia, estableciendo procedimientos básicos que le permitan verificar su autenticidad, confiabilidad, suficiencia (completa) y conformidad con las leyes establecidas. Agrega el tratadista informático que existen factores que crean una gran brecha entre la evidencia digital y el sistema judicial como son:
“1. Poca conciencia del legislador sobre las conductas punibles en medios informáticos y telemáticos
2. Conflicto académico y científicos entre el derecho y la tecnología; un lenguaje no común
3. Limitada formación interdisciplinaria para repensar el derecho a la luz de la tecnología y viceversa
4. Poco interés de las organizaciones alrededor de la evidencia digital y sus implicaciones jurídicas”
Termina su estudio concluyendo que la admisibilidad de la evidencia digital como problemática y realidad de los negocios actuales sugiere responsabilidades compartidas en doble vía y propone que:
Una en dirección hacia las organizaciones para establecer arquitecturas de cómputo más sólidas, busquen aumentar la integridad (entendida como capacidad de sincronización y aseguramiento de las bitácoras), la confiabilidad (entendida como la sincronización y centralización de los registros de auditoría) y la suficiencia (la capacidad de correlacionar eventos en arquitecturas con registros asegurados y centralizados) de todos y cada uno de los elementos que conforman dicha arquitectura, promoviendo un escenario confiable y verificable para la identificación, recolección y análisis de evidencia digital.
Y otra con dirección al sistema judicial, para comprender y analizar en contexto las condiciones requeridas de la evidencia digital y así establecer procedimientos de valoración de pruebas digitales que permitan mantener un debido proceso con las garantías requeridas para las partes alrededor de la evidencia aportada al mismo. Así mismo, aumentar la capacidad de los jueces para comprobar y verificar la evidencia digital, que permita avanzar hacia una actualización de los procedimientos probatorios, fortaleciendo así las apreciaciones y fallos que se profieran en el contexto de un juicio.
En pocas palabras, promover el desarrollo de un estándar legal de políticas de seguridad informática que, de observarse, habilitaría la admisibilidad de dicha prueba en juicio. Es decir, podría establecerse una presunción “iuris tantum” (salvo prueba en contrario) de la validez de la evidencia digital en tales condiciones de seguridad o características de la arquitectura de cómputo.
Finalmente, la evidencia digital es un desafío para la justicia, que sugiere una evolución de la misma para disminuir la brecha técnico-legal existente y, un reto para los profesionales de la tecnología, para descubrir en el ordenamiento legal una manera de soportar las investigaciones con material y medios tecnológicos más idóneos y precisos.
Por su parte el abogado experto en Derecho Informático Andrés Guzmán Caballero nos dice que en este tema la cuestión no es muy distinta, debido a que no existe un protocolo de manejo de cadena de custodia sobre evidencias digitales, todas las fuerzas del Estado controlan a su antojo y de conformidad con sus conocimientos, sin ningún tipo de guarda o garantía de integridad, este tipo de evidencias.
Agrega el especialista en referencia que ello resulta grave, entre otras y a guisa de ejemplo trae los registros de grabación y almacenamiento de los juzgados a nivel Nacional, pues éstos no contienen procedimientos que garanticen que los videos y grabaciones se han generado o almacenado sin ser alterados (se les imprime la huella hash), no existe a nivel de seguridad ninguna garantía, es decir que por ejemplo alguien puede digitalmente colocar en una sentencia un segmento distinto de audio que cambie el fallo, y como los dos archivos son técnicamente iguales y no existe ninguna estampa cronológica o mecanismo digital que la avale, sería esta prueba “falsa” igual a la original lo que provocaría problemas y en entredicho al sistema, siendo un riesgo palpable, más cuando recordamos casos de falsificación de sentencias tan graves como el de CAJANAL.
Glosa las interceptaciones telefónicas que realiza la Fiscalía, la Policía o el D.A.S., sea en materia de inteligencia o no, son generadas y almacenadas digitalmente, siendo así de conformidad un “mensaje de datos” que deberá tener además del protocolo de cadena de custodia, que en Colombia no existe para las evidencias digitales, los parámetros legales exigidos por la ley 527 de 1999 a fin de que puedan ser admitidas como prueba documental en juicios.
Afirma de igual manera que se deberá garantizarse entre otras cosas, que el archivo sea conservado en forma original, tal y como se generó, lo que se hace mediante la utilización de un método de aseguramiento digital proveído por un tercero fiable, que hasta la fecha no ha sido ni implantado ni desarrollado por el Estado Colombiano, entonces ¿qué garantías tienen los ciudadanos cuando en juicios penales pueden colocarse en su contra grabaciones, interceptaciones o “chuzadas”, de las cuales no se sabe con certeza absoluta en qué fechas se tomaron, quién las tomó, cuándo las tomó y los más grave, si se han conservado integras?. Nos preguntamos se garantizará con la legalización del Juez de Control de Garantías, 24 horas después de recolectadas? Nos respondemos nosotros mismos, que lo dudamos.
Lo anterior nos viene a reforzar nuestra tesis, de la necesidad de declarar una inconstitucional parcial del artículo 237 del Código de Procedimiento Penal, y más exactamente en tratándose del “….o recuperación de información dejada al navegar por Internet u otros medios similares,….” Evidencia que no podrá ser puesta al control del Juez de Garantías después de 24 horas de recolectada sino antes, cuando su captura y cadena de custodia ha sido lograda por la Policía Judicial, para luego sí, con la anuencia del Juez Constitucional, se logre accesar a todos los ficheros sin importar la clasificación de la información, en aras de encontrar más información, independientemente cual sea su clase.
Terminamos diciendo que la solicitud ante el Juez de Garantías debe ser previa y no posterior, porque como arriba lo indicamos violamos la información sensible que algunas veces los indiciados, imputados o acusados guardan en sus ordenadores y su apertura debe ser autorizada por el control previo que el bloque de constitucionalidad exige; violados los datos sensibles el Juez Constitucional no podrá legalizar estos actos que atentan los derechos fundamentales y humanos de los procesados.
En próxima nota hablaremos de la inconstitucionalidad del artículo 245 de la misma obra, no obstante los que quieran opinar sobre el tema lo podrán hacer ante la Honorable Corte Constitucional directamente, en donde se tramita la acción de inconstitucionalidad incoada por el autor de este estudio.
