El documento se refiere a mi demanda de inconstitucionalidad que instauré ante la Corte Constitucional de Colombia, en contra de los artículos 237 y 245 del Código de Procedimiento Penal, por violación del Derecho Humano de la Intimidad y el Derecho Fundamental de Hábeas Data.
Aniversario de la Ley de Delitos Informáticos en Colombia
Demanda de Inconstitucionalidad en contra de los artículos 237 y 245 del Código de Procedimiento Penal Colombiano
1. Ibagué Tolima Colombia, Septiembre 22 de 2009
Ref.: ACCIÓN DE INCONSTITUCIONALIDAD VS. ART. 237 y 245 DEL
CÓDIGO DE PROCEDIMIENTO PENAL
SEÑORES
MAGISTRADOS SALA DE DECISIÓN
HONORABLE CORTE CONSTITUCIONAL
E. S. D.
Respetados Magistrados:
ALEXANDER DÍAZ GARCÍA, ciudadano colombiano, identificado con la cédula
de ciudadanía número 19.354.360, de Bogotá, con domicilio en la Carrera 6 C
No. 1 A 114 de la ciudad de Ibagué, en uso de mis derechos y deberes
ciudadanos consagrados en los artículos 40 numeral 6º y 95 numeral 7º de la
Constitución, solicitó ante esta Corporación la declaratoria de
inconstitucionalidad parcial de los artículos 237 y 245 de la Ley 906 de 2004
“Por medio de la cual se expide el Código de Procedimiento Penal”., en los
términos del numeral 4 del artículo 241 de la Constitución Política.
NORMA ACUSADA
Las disposiciones objeto de censura, conforme a su publicación en el Diario
Oficial No. 45.658 de 1 de septiembre de 2004 y a la modificación introducida
por el artículo 16 de la Ley 1142 de 2007, publicada en el Diario Oficial No.
2. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
46.673 de 28 de julio de 2007, subrayando y destacando los apartes que se
acusan en la demanda, son:
"LEY 906 DE 2004
(Agosto 31)
"por la cual se expide el Código de Procedimiento Penal"
El Congreso de la República
DECRETA
(….)
Artículo 237. Audiencia de control de legalidad posterior. (Subrogado art. 16 de
la Ley 1142 de 2007). Dentro de las veinticuatro (24) horas siguientes al
cumplimiento de las órdenes de registro y allanamiento, retención de
correspondencia, interceptación de comunicaciones o recuperación de
información dejada al navegar por Internet u otros medios similares, el
fiscal comparecerá ante el juez de control de garantías, para que realice la
audiencia de revisión de legalidad sobre lo actuado, incluida la orden.
Durante el trámite de la audiencia sólo podrán asistir, además del fiscal, los
funcionarios de la policía judicial y los testigos o peritos que prestaron
declaraciones juradas con el fin de obtener la orden respectiva, o que
intervinieron en la diligencia.
El juez podrá, si lo estima conveniente, interrogar directamente a los
comparecientes y, después de escuchar los argumentos del fiscal, decidirá de
plano sobre la validez del procedimiento.
PARÁGRAFO. Si el cumplimiento de la orden ocurrió luego de formulada la
imputación, se deberá citar a la audiencia de control de legalidad al imputado y a
su defensor para que, si lo desean, puedan realizar el contradictorio. En este
último evento, se aplicarán analógicamente, de acuerdo con la naturaleza del
acto, las reglas previstas para la audiencia preliminar.
(…)
ARTÍCULO 245. Exámenes de ADN que involucren al indiciado o al imputado.
Cuando la policía judicial requiera la realización de exámenes de ADN, en virtud
de la presencia de fluidos corporales, cabellos, vello público, semen, sangre u
otro vestigio que permita determinar datos como la raza, el tipo de sangre y, en
especial, la huella dactilar genética, se requerirá orden expresa del fiscal que
dirige la investigación.
Si se requiere cotejo de los exámenes de ADN con la información genética
del indiciado o imputado, mediante el acceso a bancos de esperma y de
sangre, muestras de laboratorios clínicos, consultorios médicos u
Alexander Díaz García Página 2
3. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
odontológicos, entre otros, deberá adelantarse la revisión de legalidad,
ante el juez de control de garantías, dentro de las treinta y seis (36) horas
siguientes a la terminación del examen respectivo, con el fin de establecer
su legalidad formal y material."
NORMAS VIOLADAS
Constitución Política:
“Artículo 15. Todas las personas tienen derecho a su intimidad personal y
familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar.
De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones
que se hayan recogido sobre ellas en bancos de datos y en archivos de
entidades públicas y privadas.
…
Articulo 21. Se garantiza el derecho a la honra. La ley señalará la forma de su
protección.
…
Artículo 29. El debido proceso se aplicará a toda clase de actuaciones judiciales
y administrativas.
…
ART. 250.−Modificado. A.L. 3/2002, art. 2º. La Fiscalía General de la Nación está
obligada a adelantar el ejercicio de la acción penal y realizar la investigación de
los hechos que revistan las características de un delito que lleguen a su
conocimiento por medio de denuncia, petición especial, querella o de oficio,
siempre y cuando medien suficientes motivos y circunstancias fácticas que
indiquen la posible existencia del mismo. No podrá, en consecuencia,
suspender, interrumpir, ni renunciar a la persecución penal, salvo en los casos
que establezca la ley para la aplicación del principio de oportunidad regulado
dentro del marco de la política criminal del Estado, el cual estará sometido al
control de legalidad por parte del juez que ejerza las funciones de control de
garantías. Se exceptúan los delitos cometidos por miembros de la fuerza pública
en servicio activo y en relación con el mismo servicio.
En ejercicio de sus funciones la Fiscalía General de la Nación, deberá:
1. Solicitar al juez que ejerza las funciones de control de garantías las medidas
necesarias que aseguren la comparecencia de los imputados al proceso penal,
la conservación de la prueba y la protección de la comunidad, en especial, de las
víctimas.
El juez que ejerza las funciones de control de garantías, no podrá ser, en ningún
caso, el juez de conocimiento, en aquellos asuntos en que haya ejercido esta
función.
Alexander Díaz García Página 3
4. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
La ley podrá facultar a la Fiscalía General de la Nación para realizar
excepcionalmente capturas; igualmente, la ley fijará los límites y eventos en que
proceda la captura. En estos casos el juez que cumpla la función de control de
garantías lo realizará a más tardar dentro de las treinta y seis (36) horas
siguientes.
2. Adelantar registros, allanamientos, incautaciones e interceptaciones de
comunicaciones. En estos eventos el juez que ejerza las funciones de control de
garantías efectuará el control posterior respectivo, a más tardar dentro de las
treinta y seis (36) horas siguientes, *(al solo efecto de determinar su validez)*.
3. Asegurar los elementos materiales probatorios, garantizando la cadena de
custodia mientras se ejerce su contradicción. En caso de requerirse medidas
adicionales que impliquen afectación de derechos fundamentales, deberá
obtenerse la respectiva autorización por parte del juez que ejerza las funciones
de control de garantías para poder proceder a ello.
4. Presentar escrito de acusación ante el juez de conocimiento, con el fin de dar
inicio a un juicio público, oral, con inmediación de las pruebas, contradictorio,
concentrado y con todas las garantías.
5. Solicitar ante el juez de conocimiento la preclusión de las investigaciones
cuando según lo dispuesto en la ley no hubiere mérito para acusar.
6. Solicitar ante el juez de conocimiento las medidas judiciales necesarias para
la asistencia a las víctimas, lo mismo que disponer el restablecimiento del
derecho y la reparación integral a los afectados con el delito.
7. Velar por la protección de las víctimas, los jurados, los testigos y demás
intervinientes en el proceso penal, la ley fijará los términos en que podrán
intervenir las víctimas en el proceso penal y los mecanismos de justicia
restaurativa.
8. Dirigir y coordinar las funciones de policía Judicial que en forma permanente
cumple la Policía Nacional y los demás organismos que señale la ley.
9. Cumplir las demás funciones que establezca la ley.
El fiscal general y sus delegados tienen competencia en todo el territorio
nacional.
En el evento de presentarse escrito de acusación, el fiscal general o sus
delegados deberán suministrar, por conducto del juez de conocimiento, todos los
elementos probatorios e informaciones de que tenga noticia, incluidos los que le
sean favorables al procesado.
PAR.−La Procuraduría General de la Nación continuará cumpliendo en el nuevo
sistema de indagación, investigación y juzgamiento penal, las funciones
contempladas en el artículo 277 de la Constitución Nacional.”
Alexander Díaz García Página 4
5. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
Pacto Internacional de Derechos Civiles y Políticos Resolución 2200 A (XXI)
de la Asamblea General, aprobada el 16 de diciembre de 1966.
Artículo 17
1. Nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su
familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y
reputación.
2. Toda persona tiene derecho a la protección de la ley contra esas injerencias o
esos ataques.
CONCEPTO DE LA VIOLACIÓN
El 31 de agosto de 2004, el Presidente de la República, en uso de sus facultades
legales, sancionó la Ley 906 de 2004, norma que tiene como finalidad adoptar
un nuevo código de procedimiento penal para Colombia. Dicha norma “adopta
un modelo proceso acusatorio. Así lo declara, inequívocamente, el Artículo 4º
del Acto Legislativo 3 de 2002, en referencia al marco constitucional del sistema
acusatorio previsto en la reforma constitucional”.
Pero antes de entrar a realizar el análisis de las normas impugnadas,
Honorables Magistrados, sea lo primero afirmar que el presente estudio no es el
mismo comprendido dentro del cuerpo de la decisión C-0251, pues en ésa
oportunidad se sostuvo que el artículo 237 de la Ley 906 de 2004, tal y como fue
subrogado por el artículo 16 de la Ley 1142 de 2007, estableció que a la
diligencia de control de legalidad de las pruebas obtenidas en allanamientos sólo
podrán asistir el fiscal, los funcionarios de la policía judicial y los testigos o
peritos, sin que haya lugar al efectivo ejercicio del derecho a la participación de
la defensa; situación que, por vía de analogía, predican igualmente de algunos
procedimientos que no establecen expresamente el trámite a seguir para el
control de legalidad posterior, entre los que se encuentran entre otros señalan
los actores, la búsqueda selectiva de bases de datos -artículo 244- y el examen
de ADN -artículo 245- comprendidos en el mismo ordenamiento, por cuanto tales
diligencias se llevan a cabo antes de la formulación de la imputación, lo cual
significa que hasta antes de ese momento no se puede ejercer el derecho a la
defensa.
1
SENTENCIA C-025 de 2009. Referencia: expediente D-7226. Asunto: Demanda de
inconstitucionalidad contra los artículos 237 (parcial), 242 (parcial), 243, 244 (parcial) y 245 de la
Ley 906 de 2004“por la cual se expide el Código de Procedimiento Penal”. Demandante: Edgar
Saavedra Rojas y otro. Magistrado Ponente: Dr. RODRIGO ESCOBAR GIL. Bogotá D.C.,
veintisiete (27) de enero de dos mil nueve (2009).
Alexander Díaz García Página 5
6. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
A juicio de los demandantes en esa pieza jurídica, afirman que el derecho a la
participación de la defensa debe ser ejercitado, incluso, en los controles
posteriores realizados a las pruebas obtenidas en las diligencias previstas en los
artículos arriba referidos, como quiera que en ellas se definen indiscutiblemente
la legalidad del procedimiento.
En ese orden de ideas, los actores proceden a demostrar que las normas
acusadas contienen la prescindencia del Defensor, en cambio en la presente
acción intentamos demostrar que la ritualidad establecida en los referenciados
artículos, no considera de ninguna manera la protección de datos personales,
que se ha implementado universalmente en los procesos penales de otros
países, como tampoco el procedimiento de anclar la cadena de custodia sobre lo
hallado.
En el presente libelo analizaremos como la ausencia total de los protocolos
internacionales para el manejo del tratamiento de los datos personales en el
proceso penal, viola los derechos fundamentales al procesado y
consecuentemente sus derechos humanos, primero entraremos a hacer las
elucubraciones del artículo 237 del Código de Procedimiento Penal.
PROPOSICIÓN JURÍDICA COMPLETA Y CIERTA
TRATAMIENTO DE DATOS PERSONALES EN LAS
NORMAS SUPLICADAS COMO PARCIALMENTE
INCONSTITUCIONALES
Es indudable que con el correr de los años la posibilidad de disponer información
sobre las personas ha ido paulatinamente en aumento. Si a ello se le suma el
importante papel que las bases de datos desempeñan en el mundo tecnificado y
globalizado de hoy, surge con pocos cuestionamientos el derecho de las
personas a protegerse frente a la intromisión de los demás.
El régimen de protección de los datos personales permite que los ciudadanos
ejerzan su legítimo poder de disposición y control sobre los datos de carácter
personal referidos a su persona que se encuentran registrados en bases de
datos de titularidad de terceros.
Alexander Díaz García Página 6
7. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
A tal fin, la legislación faculta a los ciudadanos a decidir cuáles de esos datos
quieren proporcionar a terceros, sea el Estado o un particular, o qué datos
pueden esos terceros recabar, permitiendo asimismo que sepan quién posee
sus datos personales y para qué, pudiendo inclusive oponerse a esa posesión o
uso2.
Estos poderes de disposición y control sobre los datos personales, se concretan
jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a
los datos personales, su posterior almacenamiento y tratamiento, así como su
uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho
a consentir el conocimiento y tratamiento, informático o no, de los datos
personales, requiere como complementos indispensables, por un lado, la
facultad de saber en todo momento quién dispone de esos datos personales y a
qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión
y usos.
La protección integral de los datos personales asentados en archivos, registros,
bancos de datos, u otros medios técnicos de tratamiento de datos, públicos o
privados destinados a dar informes, su custodia garantizará el derecho al honor
y a la intimidad de las personas, así como también el acceso a la información
que sobre las mismas se registre.
Como se ve, el derecho que se trata de proteger no es sólo el de la intimidad,
sino algo con mayor profundidad que en el derecho anglosajón se denomina
"privacy" y que se ha castellanizado como "privacidad". Lo que se busca es
proteger aspectos de la personalidad que individualmente no tienen mayor
trascendencia pero que, al unirse con otros, pueden configurar un perfil
determinado de las personas. Ante dicha posibilidad surge el derecho de sus
titulares a exigir que los datos permanezcan en el ámbito de su privacidad.
En consecuencia, puede definirse al concepto de protección de datos como el
amparo debido a todos los ciudadanos contra la posible utilización de sus datos
personales por terceros, en forma no autorizada, para confeccionar una
información que, identificable con él, afecte su entorno personal, social o
profesional, en los límites de su intimidad, o como la protección de los derechos
fundamentales y libertades de los ciudadanos contra una singular forma de
agresión: el almacenamiento de datos personales y su posterior cesión.
Derechos que no se pierden aún estando el ciudadano vinculado como sujeto
activo en un proceso penal.
Por lo anterior se hace necesario poner límites al grado de intrusión en nuestra
privacidad, que el tratamiento automatizado de datos personales puede generar
en el derecho penal. Desde una doble perspectiva, reconocemos su amparo
constitucional como ciudadanos: la protección adecuada de nuestra privacidad y
nuestro deber como operadores de tecnología, facilitarán el acceso a ellas y
ayudarán en la consecución y protección de este derecho. Se debe regularizar
bajo ese amparo, la información cuando se toma como elemento material
probatorio.
2
Ley 1266 de 2008. LEY ESTATUTARIA DE HÁBEAS DATA. Artículo 6º Derecho de los titulares
de la información.
Alexander Díaz García Página 7
8. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
1. ANALISIS DE LA INCONSTITUCIONALIDAD
PARCIAL DEL ARTÍCULO 237. AUDIENCIA DE
CONTROL DE LEGALIDAD POSTERIOR
Precisamente con base a la potestad otorgada por la Constitución Nacional3, se
le adscribe directamente a la Fiscalía la potestad de la “recuperación de
información dejada al navegar por Internet u otros medios similares,…”,
actuaciones éstas sometidas al control posterior del juez de control de
3
CONSTITUCIÓN NACIONAL art. 250. Modificado. A.L. 3/2002, art. 2º. La Fiscalía General de
la Nación está obligada a adelantar el ejercicio de la acción penal y realizar la investigación de
los hechos que revistan las características de un delito que lleguen a su conocimiento por medio
de denuncia, petición especial, querella o de oficio, siempre y cuando medien suficientes motivos
y circunstancias fácticas que indiquen la posible existencia del mismo. No podrá, en
consecuencia, suspender, interrumpir, ni renunciar a la persecución penal, salvo en los casos
que establezca la ley para la aplicación del principio de oportunidad regulado dentro del marco
de la política criminal del Estado, el cual estará sometido al control de legalidad por parte del juez
que ejerza las funciones de control de garantías. Se exceptúan los delitos cometidos por
miembros de la fuerza pública en servicio activo y en relación con el mismo servicio.
En ejercicio de sus funciones la Fiscalía General de la Nación, deberá:
1. Solicitar al juez que ejerza las funciones de control de garantías las medidas necesarias que
aseguren la comparecencia de los imputados al proceso penal, la conservación de la prueba y la
protección de la comunidad, en especial, de las víctimas.
El juez que ejerza las funciones de control de garantías, no podrá ser, en ningún caso, el juez de
conocimiento, en aquellos asuntos en que haya ejercido esta función.
La ley podrá facultar a la Fiscalía General de la Nación para realizar excepcionalmente capturas;
igualmente, la ley fijará los límites y eventos en que proceda la captura. En estos casos el juez
que cumpla la función de control de garantías lo realizará a más tardar dentro de las treinta y
seis (36) horas siguientes.
2. Adelantar registros, allanamientos, incautaciones e interceptaciones de comunicaciones. En
estos eventos el juez que ejerza las funciones de control de garantías efectuará el control
posterior respectivo, a más tardar dentro de las treinta y seis (36) horas siguientes, *(al solo
efecto de determinar su validez)*.
3. Asegurar los elementos materiales probatorios, garantizando la cadena de custodia mientras
se ejerce su contradicción. En caso de requerirse medidas adicionales que impliquen afectación
de derechos fundamentales, deberá obtenerse la respectiva autorización por parte del juez que
ejerza las funciones de control de garantías para poder proceder a ello.
4. Presentar escrito de acusación ante el juez de conocimiento, con el fin de dar inicio a un juicio
público, oral, con inmediación de las pruebas, contradictorio, concentrado y con todas las
garantías.
5. Solicitar ante el juez de conocimiento la preclusión de las investigaciones cuando según lo
dispuesto en la ley no hubiere mérito para acusar.
6. Solicitar ante el juez de conocimiento las medidas judiciales necesarias para la asistencia a las
víctimas, lo mismo que disponer el restablecimiento del derecho y la reparación integral a los
afectados con el delito.
7. Velar por la protección de las víctimas, los jurados, los testigos y demás intervinientes en el
proceso penal, la ley fijará los términos en que podrán intervenir las víctimas en el proceso penal
y los mecanismos de justicia restaurativa.
8. Dirigir y coordinar las funciones de policía Judicial que en forma permanente cumple la Policía
Nacional y los demás organismos que señale la ley.
9. Cumplir las demás funciones que establezca la ley.
El fiscal general y sus delegados tienen competencia en todo el territorio nacional.
En el evento de presentarse escrito de acusación, el fiscal general o sus delegados deberán
suministrar, por conducto del juez de conocimiento, todos los elementos probatorios e
informaciones de que tenga noticia, incluidos los que le sean favorables al procesado.
PAR.−La Procuraduría General de la Nación continuará cumpliendo en el nuevo sistema de
indagación, investigación y juzgamiento penal, las funciones contempladas en el artículo 277 de
la Constitución Nacional.
Alexander Díaz García Página 8
9. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
garantías, a más tardar dentro de la 36 horas siguientes, a efecto de que se
realice un control amplio e integral de esas diligencias.4
El numeral 3° del artículo 250 de la Carta a su vez establece que corresponde a
la Fiscalía General de la Nación, en ejercicio de sus funciones, “asegurar los
elementos materiales probatorios, garantizando la cadena de custodia mientras
se ejerce su contradicción”. Y a continuación señala que “En caso de requerirse
medidas adicionales que impliquen afectación de derechos fundamentales,
deberá obtenerse la respectiva autorización por parte del juez que ejerza
funciones de control de garantías para poder proceder a ello”. (Subrayas y
cursiva nuestras)
Este numeral, modificado por el Acto Legislativo No. 3 de 2002, en su artículo 2º,
refiere en su primer segmento a la actividad ordinaria o básica del órgano de
investigación como es la de recaudar y asegurar los elementos materiales de
prueba que le servirán de soporte para el ejercicio de su función acusadora. Sin
embargo, previene la norma que si en el ejercicio de esa actividad se enfrenta a
medidas adicionales que impliquen afectación de derechos fundamentales,
necesariamente debe obtener la autorización respectiva del juez de control de
garantías, es decir someter las medida al control previo de esta autoridad en la
cual se radican, en la fase de investigación, las facultades típicamente
jurisdiccionales de las cuales forman parte las decisiones con capacidad de
afectación de derechos fundamentales.
Demostraremos cómo el accesar a la memoria RAM, disco duro, dispositivos de
almacenamiento masivo u otros, se pueden violar datos personales (derechos
fundamentales de la intimidad) y más exactamente a los datos sensibles,
independientemente encontrar elementos materia de prueba, amén que su
errada manipulación pueda fracasar la idoneidad de la evidencia en el proceso,
por no tenerse en cuenta los protocolos del manejo de la evidencia digital.
Las expresiones que impugnamos son inconstitucionales en cuanto permiten la
práctica de diligencias que afectan derechos fundamentales como es el caso de
la “la recuperación de información dejada al navegar por Internet u otros medios
similares”, sin contar con la previa autorización del juez de control de garantías,
y, sin que la medida se encuentre prevista en las excepciones, a ése control
previo, que establece el numeral 2º del artículo 250 de la Constitución. De otra
parte, el legislador se ha arrogado la potestad de clasificar las medidas que
demandan control previo del juez de garantías (Art.246) a partir de la ubicación
de la medida en la ley, prescindiendo del criterio valorativo determinante que es
la afectación de derechos fundamentales y la regulación constitucional.
Y no podemos pensar, y tal vez así lo alegue la Fiscalía General de la Nación, al
argüir que las expresiones acusadas se avienen a la Constitución en razón a que
la recuperación de información dejada al navegar por Internet u otros medios
similares, constituye una especie de diligencia de registro para la cual el numeral
2º del artículo 250 de la Constitución autoriza, de manera excepcional, el control
4
Sentencia C-1092 de 2003. En esta sentencia la Corte declaró la inexequibilidad de la
expresión “al solo efecto de determinar su validez” del numeral 2° del artículo 250, destacando
el carácter amplio e integral del control de legalidad.
Alexander Díaz García Página 9
10. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
posterior por parte del Juez de control de garantías, tal como lo dijo en otrora
oportunidad cuando le correspondió intervenir ante esa alta Corporación.
Recordemos que como regla general, las medidas que afectan derechos
fundamentales requieren autorización previa del juez de control de garantías y
estos procedimientos de la recuperación de información dejada al navegar por
Internet y otros medios similares, pueden ser susceptibles de violaciones,
independientemente que efectivamente a través de medios electrónicos estén
consumándose conductas punibles.
Sobre el tema resulta adecuado explicar algunos detalles procesales en el
manejo de la evidencia digital y por lo tanto explicaré algunos aspectos que se
deben realizar en estos eventos:
Hemos de entender y proceder como si estuviéramos (y es que debemos estar)
en una diligencia de allanamiento. Implicando que si encontramos ordenadores
dentro del domicilio allanado, han de tomarse antes de apagarlos o
desconectarlos, los datos volátiles, logs de seguridad y la extracción de la huella
digital a través de hash MD55. Es así como lo aplica a sus discentes el Maestro
John Jairo Echeverry Aristizábal, Jefe de la Unidad Nacional de Delitos
Informáticos del CTI, de la Fiscalía General de la Nación, nuestro partner en
ICITAP6 con el programa que dictamos a Fiscales e Ingenieros de Sistemas del
CTI alrededor del país, sobre delitos informáticos. La información encontrada en
estas máquinas no la podemos analizar en el lugar de los hechos (entiéndase
abrirse), esto es, no la podemos revisar, puesto que la estaríamos alterando, y
se pondría en duda su inalterabilidad y autenticidad, amén de estar legitimando
malas prácticas que los protocolos forenses internacionales las rechaza.
Por ejemplo la huella hash que tiene este documento, en este momento del
párrafo que ocupamos, es el que ustedes leen Honorable Sala de Decisión a
continuación, seguramente éste va a ser diferente cuando lo terminemos, el
algoritmo que aparece dentro del pop up que aparece en esta página será
modificado:
5
SEMINARIO DELITOS INFORMÁTICOS. International Criminal Investigative Training and
Assistance Program del Departamento de Justicia de los Estados Unidos. Módulo en soporte
papel. CAÑÓN BELTRÁN, Fernando. ECHEVERRY ARISTIZÁBAL, John Jairo y DÍAZ GARCÍA,
Alexander. “Adicionalmente se sugiere utilizar una codificación MD5 la cual es una de las últimas
técnicas que permite generar una codificación de 128 bits representados en 32 números
hexadecimales, danto de esta forma una identificación única para cada archivo o dato contenido
en un medio de almacenamiento; por otra parte, se sugiere que aparte del número hash Md5 se
tenga en cuenta el tamaño del archivo o dato, de tal manera que se pueda subsanar las
colisiones que puedan generar con esta técnica”. Afirma el Ing. Echeverry en el Instructivo para
Extracción de la Huella Digital a Través del Hash MD5 Código FGN-42000-1-1-01.
6
ICITAP. International Criminal Investigative Training Assistance Program. Programa
Internacional de Investigación del Delito del Departamento de Justicia de los Estados Unidos.
Alexander Díaz García Página 10
11. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
Cada vez que agreguemos algún otro comentario a la investigación informática
que se tiene en las manos o simplemente pinchemos el espaciador, el número
que ustedes aprecian, va a ser diferente, finalmente quedará un número
definitivo, pero por alguna razón alguien puede ingresar al documento, antes de
imprimirlo en soporte papel, y éste registro será cambiado, lo que nos permite
colegir que el documento ha sido alterado o por lo pronto modificado.
Sobre la importancia de los datos encontrados en las condiciones del artículo
236 ejusdem, el Maestro Jeimy Cano7 nos dice que la información se encuentra
almacenada electrónicamente en memoria volátil (también conocida como
memoria RAM8) es insumo fundamental para cualquier investigación, nos
recomienda en su obra que no se apague la máquina si se encuentra encendida,
dado que la información volátil disponible, es pieza clave de lo que pudo haber
ocurrido. Arguye que en estudios recientes se ha establecido que es posible
capturar lo que hay en memoria de un computador encendido y que es viable
exportar el resultado del mismo a un archivo para su análisis posterior.
La posterioridad a que se refiere la norma en su epígrafe, debemos entenderla
salvo un mejor concepto, es cuando logrado los datos volátiles, logs de
seguridad, metadatos y la extracción de la huella digital a través de hash MD5,
se ha anclado la cadena de custodia sobre los elementos electrónico
encontrados, no antes. Es en este momento que se suplica la Audiencia de
Control de Legalidad Posterior, y esa súplica versa sobre la actuación lograda de
los elementos materiales de prueba (EMP) amén de la solicitud de apertura de
los ficheros hallados dentro de los dispositivos, independientemente si se les
considera o no bases de datos, pues las bases de datos su constitución no se la
da quién los organiza, sino el orden y clase de información, lo que el autor del
fichero le imprime, esto es, un padre de familia, puede tener en su ordenador un
fichero en donde almacena en forma organizada (entiéndase sistematizada) los
datos de las historias clínicas de todos y cada uno de los miembros de su
familia; también pueden ser ficheros de los diferentes actos religiosos de los
suyos, digamos una ceremonia religiosa de aniversario, si se trata de un católico,
pensemos en una primera comunión o una confirmación. Estos datos son
clasificados por la doctrina, por la jurisprudencia internacional y por organismo
de Derechos Humanos como sensibles.
Esta categoría de amparo no se la puede dar la jurisprudencia, no se la puede
los códigos, se la da la Constitución Nacional en concordancia con la
Declaración de los Derechos Humanos. Entonces no puede haber legalización
sobre la apertura de ficheros, so pretexto de la urgencia de una investigación
penal, cuando se han violado datos sensibles.
Retomando el estudio jurídico del tipo procesal, si no fuera así (pre y no pos)
alteraríamos la evidencia, seguramente se rechazaría en el juicio, puesto el solo
hecho de abrir un fichero, ya lo estamos modificando, porque los metadatos, nos
7
CANO M. Jeimy J. COMPUTACIÓN FORENSE. Descubriendo los Rastros Informáticos. Ed.
ALFAOMEGA. México 2009.
8
DICCIONARIO DE DERECHO INFORMÁTICO. VILLALOBOS A. Edgardo A. Litho Editorial
Chen S.A. Panamá. “RAM: Acrónimo de Random Acces Memory. En general se entiende como
una memoria volátil o aleatoria en la cual se escribe y se lee. También se conoce como memoria
de lectura/escrita. En ella el almacenamiento es temporal y la información se pierde cuando se
apaga la computadora y volver a usarla cuando se inicia otra vez”.
Alexander Díaz García Página 11
12. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
está diciendo su fecha de modificación (nueva fecha de apertura), porque sin
agregar o reducir (modificar posiblemente) texto, simplemente moviendo el
cursor dentro del documento lo estamos alterando, pero: ¿quién nos asegura
que el forense no realizó ninguna modificación en el documento, el simple
juramento lo apremiaría? No lo creemos y es por ello que existen métodos
(protocolos internacionales hablan de ello) informáticos para evitar estas
circunstancias dubitativas.
También la huella de hash va a ser diferente, supuestamente pensaríamos que
se trata de un documento electrónico diferente que ha sido modificado, porque
ha cambiado la cantidad de bits o su número de identificación. El control de
garantías no puede ser posterior (como lo dice la norma) a la apertura del
documento, así su contenido no se modifique, la huella hash es diferente y va a
dar oportunidad a que la contra parte de la Fiscalía ora de la Defensoría ataque
este evento. En consecuencia la Audiencia de Control de Garantía no puede ser
después de abierto los documentos, tienen que ser después de haberse tomado
sus metadatos9 y la huella hash, ya luego, con la autorización del Juez de
Garantía el Forense, encuentra un documento incólume para su análisis.
Los documentos electrónicos tienen que quedar inalterables (congelados) para
el momento de anclarse la cadena de custodia, situación que quedara hasta
cuando no regresen (si pudieran regresar a su legítimo dueño) a manos de su
propietario, pues todo el trabajo informático se hará con las copias espejos (Este
procedimiento se conoce en el ámbito de la informática forense como “imaging”10
9
CANO M. Jeimy J. COMPUTACIÓN FORENSE. Descubriendo los Rastros Informáticos. Ed.
Alfaomega. México 2009. “METADATOS: Disponible en ciertos archivos. Estos meta-datos son
información sobre los datos, que no es visible a simple vista, pero indica entre otros aspectos
quien creó el documento, cuántas veces ha sido editado, cuándo se envío a la impresora. Por lo
general los productos Microsoft y Adobe tienen información de metadatos detalladas en sus
archivos” Pág. 303.
10
INFORME FORENSE DE INTERPOL SOBRE LOS ORDENADORES Y EQUIPOS
INFORMÁTICOS DE LAS FARC DECOMISADOS POR COLOMBIA. MAYO DE 2008. Publicado
por: OIPC-INTERPOL 200 Quai Charles de Gaulle 69006 Lyon (Francia) Documento logrado en
visita al site de la institución en: www.interpol.int Pág. 19.
Adquisiciones forenses de datos informáticos. El “imaging” (obtención de imágenes forenses
de datos) es un proceso mediante el cual se realiza una copia exacta del disco duro de un
equipo electrónico o de un soporte de almacenamiento digital. El procedimiento de obtención de
imágenes forenses en el contexto de la informática forense es muy diferente del que utiliza
normalmente cualquier usuario informático para realizar copias electrónicas de un archivo. En
primer lugar, hay una diferencia metodológica. Para la obtención de imágenes forenses de datos
es necesario un programa forense específico y que éste sea utilizado por personas con
conocimientos de informática forense. No se debe iniciar (encender) el ordenador. Cuando un
usuario hace una copia de un archivo sí necesita encender el ordenador. Independientemente
del sistema operativo que se utilice, al encender el ordenador se producen modificaciones de
ciertos datos del disco duro. Aunque puedan ser invisibles e irrelevantes para el usuario, estas
operaciones del sistema son importantes para los expertos forenses, porque ellos no sólo
analizan los archivos de usuario, tales como los documentos de texto y los archivos de imagen y
sonido, sino también los datos ocultos y la información contenida en los archivos de sistema, por
ejemplo la información que el ordenador genera “automáticamente” cuando trata la información.
En segundo lugar, la naturaleza de la copia es diferente. Con el proceso de “imaging” se obtiene
una copia exacta del disco duro: una copia imagen forense es una copia exacta y a tamaño
natural de todos los contenidos y de la estructura de un soporte o un dispositivo de
almacenamiento, como un disco duro, una llave USB, un CD o un DVD. Normalmente se genera
un archivo con la copia imagen que está basada en los sectores del soporte (copia de la
secuencia de bits), sin tener en cuenta su sistema de archivos. Como tal, la copia imagen
contiene toda la información necesaria para reproducir exactamente la estructura y todos los
contenidos de un dispositivo de almacenamiento. Para la obtención de imágenes forenses de
datos es necesario tomar unas precauciones específicas, para lo que se utilizan write blockers,
con objeto de garantizar que durante ese proceso no se produzca ninguna modificación en la
prueba instrumental original.
Alexander Díaz García Página 12
13. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
obtención de imágenes forenses de datos) en donde se establecerá la
autenticidad de la evidencia digital.
Sobre el tópico tenemos que recordar un caso internacional, de mucha
trascendencia nacional, como fue la errada manipulación forense que se le dio a
los dispositivos electrónicos (medios de almacenamiento masivo) encontrados al
extintito guerrillero REYES y fue así como Colombia le solicitó a las INTERPOL11
un análisis informático en el que se quería puntualmente:
“
a) Establecer los datos reales que contenían las ocho pruebas instrumentales
de carácter informático decomisadas a las FARC,
b) Comprobar si los archivos de usuario habían sido modificados de algún
modo el día 1 de marzo de 2008 o en fechas posteriores, y
c) Determinar si las autoridades de los organismos encargados de la aplicación
de la ley colombianos habían manejado y analizado las citadas pruebas de
conformidad con los principios reconocidos internacionalmente para el
tratamiento de pruebas electrónicas por parte de las fuerzas del orden.”
Fue en el mismo transcurrir del Informe del Organismo Internacional, cuando
examinándose los discos duros hallados al ex guerrillero RAUL REYES, se
encontró en la: “Conclusión No 2b: Entre el 1 de marzo de 2008, fecha en que
las autoridades colombianas incautaron a las FARC las ocho pruebas
instrumentales de carácter informático, y el 3 de marzo de 2008 a las 11.45
horas, momento en que dichas pruebas fueron entregadas al Grupo Investigativo
de Delitos Informáticos de la Dirección de Investigación Criminal (DIJIN) de
Colombia, el acceso a los datos contenidos en las citadas pruebas no se
ajustó a los principios reconocidos internacionalmente para el tratamiento
de pruebas electrónicas por parte de los organismos encargados de la
aplicación de la ley”. Subrayas y negritas fuera del texto.
Y agrega en la Conclusión No. 2: Entre el 1 de marzo de 2008, fecha en que
incautaron a las FARC las pruebas instrumentales de carácter informático, y el
10 de marzo de 2008, fecha en que las entregaron a los especialistas de
INTERPOL en informática forense, las autoridades colombianas accedieron a
todas las pruebas instrumentales”. (Subrayas y negritas fuera del texto)
Procedimiento que no se debió haber realizado porque rompían la cadena de
La tercera diferencia es que la obtención de imágenes forenses lleva asociado un proceso de
validación para determinar si la imagen es o no completamente idéntica a la original. Para ello se
comparan los valores de hash. Un valor de hash es una secuencia de números y caracteres
generada al utilizar un algoritmo concreto. El valor se genera en función de los datos que figuran
en el ordenador y es absolutamente único para cada dispositivo de almacenamiento. Al
comparar los valores de hash generados desde el original con los generados desde la copia, los
analistas forenses pueden determinar si la copia está bien hecha. Si ambos valores coinciden, la
copia se ha realizado correctamente; si no coinciden, es necesario repetir todo el proceso.
11
INFORME FORENSE DE INTERPOL SOBRE LOS ORDENADORES Y EQUIPOS
INFORMÁTICOS DE LAS FARC DECOMISADOS POR COLOMBIA. MAYO DE 2008. Publicado
por: OIPC-INTERPOL 2008. Quai Charles de Gaulle 69006 Lyon (Francia) Documento logrado
en visita al site de la institución en: www.interpol.int
Alexander Díaz García Página 13
14. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
custodia, esto solo podía hacerlo después que el Juez de Garantías legalizara el
embalaje y el anclaje de la Cadena de Custodia para posteriormente realizar el
análisis forense. Estas dudas que dejaron este procedimiento señalado por la
INTERPOL ha permitido la creación de cualquier cantidad de suspicacias en
contra de la veracidad y autenticidad de la prueba.
No obstante de este antecedente informático forense internacional, encontramos
en nuestra investigación un caso, que puede ser el cualquier colombiano de a
pie, en donde la Sala de Casación Penal de la Suprema Corte de Colombia12
desatando el recurso de apelación del Delegado de Procurador, en contra de la
Audiencia de Legalidad a la solicitud del Delegado del Fiscal General de la
Nación para la apertura de dos medios electrónicos, un disco rígido de una
computadora y un dispositivo de telefonía móvil, persiste en afirmar que se torna
viable que la Audiencia de Control de Garantías sea posterior a la “recuperación
de información dejada al navegar por internet u otros medios similares, …”
En contra de nuestro sentir la Suprema Corte decidió muy en contrario de los
parámetros internacionales sobre el manejo de la evidencia digital y los datos
personales, pese a que el Delegado del Señor Fiscal General en forma acertada
acudió al Juez de Garantías (para nuestro parecer ese debe ser el protocolo
legal) para la apertura de estos dispositivos de almacenamiento masivo al
considerar que su solicitud encontraba fundamento en el artículo 250, numeral 3º
de la Constitución Política, norma que obliga acudir al Juez de Control de
Garantías cuando se vulneran derechos fundamentales, como ocurría en el caso
en estudio, con el derecho a la intimidad, pues la revisión del disco duro y del
aparato celular hubiera podido arrojar el acceso a información reservada como el
cruce de correos entre la defensa y el procesado, igualmente la manipulación
errada de los datos.
Nosotros agregamos al asunto estudiado por esa Alta Corporación, creando una
hipótesis: ¿qué hubiera ocurrido si se hubiesen encontrado cartas de amor,
imágenes en la intimidad del procesado con su esposa, compañera o novia, sus
ficheros clínicos, su registro a una etnia especial, las oraciones de su credo
religioso o abierto algún documento dirigido a su abogado, etc? o por error
involuntario se hubiese aplicado un procedimiento inadecuado forense, cuando
se hacían estas prácticas irregulares. Procedimientos forenses que se tienen
que realizar siempre en un laboratorio apto para estos menesteres y una errada
manipulación, seguramente la evidencia llegaría viciada al Juicio.
Todos estos son datos sensibles y con la apertura se hubiera accesado
ilegalmente a la información reservada, violándose su derecho a la intimidad,
sus datos sensibles e igualmente la presunta inalterabilidad, autenticidad y
conservación de los datos (tal vez relevantes para la investigación) se hubiera
puesto en duda. Ahondemos, quien nos dice que los datos estuvieron incólumes
hasta cuando las autoridades penitenciarias los capturaron, quién nos confirma
que no fueron abiertos, que no fueron manipulados, que no fueron modificados,
¿quién da fe de dicho proceso? ¿Se le hicieron logs de seguridad, se le tomaron
huellas hash a todos los ficheros, se capturaron los metadatos y datos volátiles
12
Proceso No. 29992 CORTE SUPREMA DE JUSTICIA SALA DE CASACIÓN PENAL
Magistrada Ponente: MARÍA DEL ROSARIO GONZÁLEZ DE LEMOS Aprobado acta N° 189.
Bogotá, D. C., catorce (14) de julio de dos mil ocho (2008).
Alexander Díaz García Página 14
15. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
si era posible? Pensamos que le ley no puede permitir (autorizar o legalizar
violaciones) que se violen derechos fundamentales (datos personales y el de
defensa) luego de violados darles visos legalidad y garantizar actos irregulares
so pretexto de guardar la seguridad ciudadana, con la anuencia del Juez de
Control de Garantías.
Ahora bien, aún no se ha pronunciado nuestra jurisprudencia, como sí ha
ocurrido en otros países, el tema sobre las direcciones IP13, ¿se debe considerar
un dato personal y semiprivado?, si ello fuere así, ¿se le debe tener una
protección especial? Se torna viable utilizar software de protección u
ocultamiento de dicha dirección? (existen en el mercado informático).
Recordemos que la dirección IP nos lo asigna el ISP14, establece una relación
directa con el equipo y las personas que lo utilizan. Esta dirección lógica (IP) es
parte del contrato de servicio de conexión a Internet, la cual está asociada en el
sistema del proveedor con el número telefónico desde la cual se conecta. Si
contamos con estos dos datos, tenemos la identificación de una familia u hogar,
para un equipo particular.
En consecuencia los correos electrónicos los mensajes instantáneos, los
mensajes de texto, los mensajes de voz, las imágenes, entre otros tipos de
comunicaciones enviados o recibidos por las personas naturales o jurídicas
podrán ser catalogados como datos personales, por lo cual deben contar con la
protección de la Ley Estatutaria de Hábeas Data. Al estar definido un dato
personal como cualquier pieza de información vinculada a una o varias
personas, las categorías de mensajes enumerados previamente serian otro
elemento de análisis para considerar dentro de las medidas tecnológicas
requeridas para dar cumplimiento a lo establecido en la ley.
Después de este paréntesis seguimos con el caso estudiado por la Suprema
Corte, éste se refiere a la solicitud de la Fiscalía de la Unidad Nacional de
Justicia y Paz autorización para accesar a la información contenida en un disco
duro perteneciente y dejado por un vinculado penal15 en la celda de la cárcel de
13
Una dirección IP es un número que identifica de manera lógica y jerárquica a una interfaz de
un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP
(Internet Protocol), que corresponde al nivel de red del protocolo TCP/IP. Dicho número no se ha
de confundir con la dirección MAC que es un número hexadecimal fijo que es asignado a la
tarjeta o dispositivo de red por el fabricante, mientras que la dirección IP se puede cambiar.
Es habitual que un usuario que se conecta desde su hogar a Internet utilice una dirección IP.
Esta dirección puede cambiar cada vez que se conecta; y a esta forma de asignación de
dirección IP se denomina una dirección IP dinámica (normalmente se abrevia como IP dinámica).
Los sitios de Internet que por su naturaleza necesitan estar permanentemente conectados,
generalmente tienen una dirección IP fija (se aplica la misma reducción por IP fija o IP estática),
es decir, no cambia con el tiempo. Los servidores de correo, DNS, FTP públicos, y servidores de
páginas web necesariamente deben contar con una dirección IP fija o estática, ya que de esta
forma se permite su localización en la red.
A través de Internet, los ordenadores se conectan entre sí mediante sus respectivas direcciones
IP. Sin embargo, a los seres humanos nos es más cómodo utilizar otra notación más fácil de
recordar y utilizar, como los nombres de dominio; la traducción entre unos y otros se resuelve
mediante los servidores de nombres de dominio DNS.
Existe un protocolo para asignar direcciones IP dinámicas llamado DHCP (Dynamic Host
Configuration Protocol). Información encontrada en visita que se hace al site
http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP
14
Internet Service Provider
15
Anonimización de Datos Personales en Procesos Judiciales. Las Reglas de Heredia, firmada
por el Consejo Superior de la Judicatura en Heredia Costa Rica en el 2003. Comisión
Interamericana de Derechos Humanos.
Alexander Díaz García Página 15
16. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
Itagüí16 donde se encontraba recluido cuando fue extraditado a los Estados
Unidos, así como a un celular sin sim card hallado en el mismo sitio. Precisó
también que la computadora y el aparato de telefonía móvil fueron recogidos por
funcionarios del INPEC, luego de producirse la referida extradición y entregados
a la fiscalía, en tanto el disco duro lo entregó el abogado defensor del postulado.
Agrega la pieza jurídica de esa alta Corporación que dichos elementos no
llegaron a la fiscalía producto de una diligencia de registro y allanamiento, ni en
virtud de incautación sino como consecuencia de la cadena de custodia de rigor,
la cual se inició desde la actuación de los funcionarios del INPEC.
Según la Delegada de la Fiscalía, la solicitud en mención le encontró
fundamento en el artículo 250, numeral 3º de la Constitución Política, norma que
obliga acudir al Juez de Control de Garantías cuando se vulneran derechos
fundamentales, como ocurría en el presente caso con el derecho a la intimidad,
pues la revisión del disco duro y del aparato celular puede arrojar el acceso a
información reservada, volvemos y repetimos, como el cruce de correos entre la
defensa y el procesado.
Señaló que la búsqueda de la información está dirigida a verificar los hechos
confesados, a establecer la comisión de otras conductas delictivas (evidencia en
su contra) no admitidas y, en general, a garantizar la obtención de la verdad y la
justicia conforme los parámetros del artículo 14 de la Ley 975 de 2005, aun
cuando precisa que la audiencia respectiva no puede asimilarse a la reglada en
el artículo 244 de la Ley 906 de 2004 encaminada a la búsqueda selectiva en
base de datos, pues ello implicaría el cumplimiento de otros procedimientos
como el control de la orden dispuesta por la fiscalía. En su criterio, se asimila
más bien a una audiencia de registro personal porque el computador constituye
un elemento personalísimo que no contiene base de datos de carácter privado o
público, aunque sí información referente a la intimidad de la persona.
La Corte para cuando hizo sus elucubraciones, consideró que la norma superior
en cita, en la modificación hecha por el artículo 2º del Acto Legislativo 3 de 2002,
impone a la Fiscalía General de la Nación asegurar los elementos materiales
probatorios, garantizando la cadena de custodia mientras se ejerce su
contradicción y le exige que en caso de requerir “medidas adicionales que
impliquen afectación de derechos fundamentales”, obtenga la respectiva
autorización por parte del juez que ejerza las funciones de control de garantías,
como condición para poder proceder a ello.
Consideramos que no existe ninguna duda sobre los procedimientos con
evidencia digital, los que requieren siempre de medidas adicionales puesto que
sí afectan derechos fundamentales. Agrega que la mencionada disposición no
implica, pero para nuestro sentir erradamente lo afirma, que todo acto de
investigación requiera la intervención previa del juez de control de garantías. Se
responde que tal entendimiento es equivocado, pues mientras se obtiene la
autorización podría perderse la evidencia o alterarse en su esencia o, incluso,
generarse problemas de orden público y salubridad si no se recauda
inmediatamente. Pensamos que erradamente compara esta situación violatoria
16
Cárcel de Máxima Seguridad en el Departamento de Antioquia Colombia
Alexander Díaz García Página 16
17. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
de datos personales, con la de no levantarse prontamente un cadáver (situación
ostensiblemente diferente a la captura de una evidencia digital) de persona cuya
muerte se produce en vía pública, pues son situaciones absolutamente distintas.
Al contrario pensamos que le da más transparencia al ejercicio de la Policía
Judicial, cualquiera que sea el cuerpo de seguridad que la ejerza, sobre la
evidencia digital.
Enfatiza que para los eventos expresamente señalados en el Código de
Procedimientos Penal, el control consagrado es de carácter posterior, como lo
tienen establecido sus artículos 237 y 244, inciso tercero. Es importante anotar
que no hemos dicho que el artículo de marras no exprese tal término, la tesis
nuestra es que debería decir lo contrario, esto es, sí se requiere de control previo
del Juez de Garantías, como fundamento de esta acción de constitucionalidad.
La Suprema Corte considera que accesar a ficheros electrónicos sin la anuencia
del Juez de Control de Garantías previo, no puede ser posible afectación de
derechos constitucionales, olvida que el ingreso indebido, como ocurrió en los
ficheros de Reyes, así lo afirmó la Interpol, pusieron en problema a las
autoridades judiciales y la credibilidad internacional por ese inadecuado manejo
de la evidencia digital. Recalca la Corporación que el capítulo III regula, de
manera especial, algunos de esos casos, tales como: el registro corporal (art.
247)17, el registro personal (art. 248), la obtención de muestras que involucren al
imputado (249) y la práctica de reconocimientos y exámenes a las víctimas (art.
250), aunque en este último caso cuando no exista consentimiento del
interesado18.
La Corporación reprocha a la Delegada del fiscal, cuando intentó obtener aval
judicial previo (muy legal) para revisar la información contenida en un disco duro
y en un aparato de telefonía móvil, bajo el supuesto de que esa actuación se
asemeja a un registro personal, cuando no lo exige la ley. Nada más equivocada
esa postura.
Recalca que en el caso de la búsqueda selectiva en bases de datos del artículo
244 ni siquiera demanda la orden previa del fiscal cuando se trata de “realizar las
comparaciones de datos registradas en bases mecánicas, magnéticas u otras
similares, siempre y cuando se trate del simple cotejo de informaciones de
acceso público”, según lo tiene establecido su inciso primero. Y que de acuerdo
con el inciso segundo del citado artículo 244, se requiere solamente autorización
previa del fiscal cuando esa búsqueda selectiva “implique el acceso a
información confidencial, referida al indiciado o imputado o, inclusive a la
obtención de datos derivados del análisis cruzado de las mismas”.
La Corte le recuerda a las partes que la Sala en reciente decisión adoptada en
caso similar al que ahora ocupa su atención19, la orden judicial previa se impone
únicamente cuando la búsqueda selectiva recae sobre “datos personales
organizados con fines legales y recogidos por instituciones o entidades públicas
17
Así lo dispuso la Corte Constitucional en sentencia C-822 de 2005 al declarar exequible
condicionalmente el artículo 247.
18
En el caso de las medidas previstas en el artículo 249 la Corte Constitucional determinó en la
sentencia C-822 de 2005 que su práctica siempre requiere autorización judicial previa.
19
Se hace referencia al auto proferido el 2 de julio de 2008 dentro de la radicación No. 29991.
Alexander Díaz García Página 17
18. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
o privadas debidamente autorizadas para ello”, según así lo estableció la Corte
Constitucional al condicionar la exequibilidad del artículo 24420. Descarta
entonces que los datos sensibles informatizados por cualquier ciudadano que
quiera conservar organizadamente su información, no estarían protegidos por la
Constitución, pues como éstos no han sido capturados por una institución
pública o privada debidamente autorizados no los ampara aparentemente.
La postura de la Suprema Corte ha motivado las críticas de expertos en la
materia tales como el Maestro Jeimy José Cano Martínez21 al afirmar que la
evidencia digital es frágil y volátil. La información residente en los medios de
almacenamiento electrónico puede ser borrada, cambiada o eliminada sin dejar
rastro, lo cual limita la labor del investigador forense en informática para
identificar y encontrar elementos claves para esclarecer los hechos relevantes
de una investigación y esto ocurrirá siempre cumpliendo los mandatos señalados
en el artículo 237, pues al no haber previamente de su presentación al Juez de
Control de Garantías, existirá siempre la posibilidad de su alteración, toda vez
que la norma no establece dicho procedimiento, así ocurrió con los ficheros de
Reyes, que por el afán, muy seguramente altruista, se accesaron a ellos y la
policía internacional encontró (tal vez en busca de más delitos contra la
seguridad del estado) que no se hicieron bajo los protocolos internacionales.
Agrega que en este sentido, la evidencia digital es pieza probatoria básica que
requiere una revisión detallada sobre cómo se crea, cómo se recolecta, cómo se
asegura y finalmente cómo se presenta en la corte, con el fin de aportar con
claridad y precisión factores que orienten las decisiones sobre casos donde ésta
evidencia sea parte fundamental del mismo.
Así mismo señala que la evidencia digital al ser un objeto relativamente fácil de
manipular, generado por dispositivos electrónicos, de los cuales no sabemos
nada sobre su funcionamiento, la susceptibilidad a las fallas, entre otras
características, nos advierte que estamos entrando en un campo de
investigación delicado y formal donde el conocimiento técnico es tan
fundamental como el conocimiento forense y de técnicas probatorias.
En razón a lo anterior, es preciso indagar sobre estrategias que permitan
establecer reglas mínimas que le permitan al sistema Judicial Colombiano
validar pruebas digitales o no. Si bien esta labor requiere un entendimiento
técnico de los medios electrónicos, también establece un reto a los fiscales y
jueces para involucrarse en los cambios que establece una sociedad digital,
donde la delincuencia también ha evolucionado en sus técnicas y estrategias
delictivas.
Luego, al aportar elementos digitales en un caso, es preciso que el aparato
judicial cuente con una base formal y clara sobre la admisibilidad de la evidencia
digital presentada. Es decir, que la justicia pueda contar con características
básicas de ésta evidencia, estableciendo procedimientos básicos que le
permitan verificar su autenticidad, confiabilidad, suficiencia (completa) y
20
Sentencia C-336 de 2007.
21
CANO MARTÍNEZ, Jeimy José. Admisibilidad de la Evidencia Digital: Algunos elementos de
revisión y análisis. Publicado en la Revista de Derecho Electrónico ALFA REDI, en su número
061, información lograda en visita realizada el 12 de Septiembre de 2009, en el siguiente site
http://www.alfa-redi.org/rdi-articulo.shtml?x=1304
Alexander Díaz García Página 18
19. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
conformidad con las leyes establecidas. Agrega el tratadista informático que
existen factores que crean una gran brecha entre la evidencia digital y el sistema
judicial como son:
“1. Poca conciencia del legislador sobre las conductas punibles en medios
informáticos y telemáticos
2. Conflicto académico y científicos entre el derecho y la tecnología; un lenguaje
no común
3. Limitada formación interdisciplinaria para repensar el derecho a la luz de la
tecnología y viceversa
4. Poco interés de las organizaciones alrededor de la evidencia digital y sus
implicaciones jurídicas”
Termina su estudio concluyendo que la admisibilidad de la evidencia digital como
problemática y realidad de los negocios actuales sugiere responsabilidades
compartidas en doble vía y propone que:
Una en dirección hacia las organizaciones para establecer arquitecturas de
cómputo más sólidas, busquen aumentar la integridad (entendida como
capacidad de sincronización y aseguramiento de las bitácoras), la confiabilidad
(entendida como la sincronización y centralización de los registros de auditoría) y
la suficiencia (la capacidad de correlacionar eventos en arquitecturas con
registros asegurados y centralizados) de todos y cada uno de los elementos que
conforman dicha arquitectura, promoviendo un escenario confiable y verificable
para la identificación, recolección y análisis de evidencia digital.
Y otra con dirección al sistema judicial, para comprender y analizar en contexto
las condiciones requeridas de la evidencia digital y así establecer procedimientos
de valoración de pruebas digitales que permitan mantener un debido proceso
con las garantías requeridas para las partes alrededor de la evidencia aportada
al mismo. Así mismo, aumentar la capacidad de los jueces para comprobar y
verificar la evidencia digital, que permita avanzar hacia una actualización de los
procedimientos probatorios, fortaleciendo así las apreciaciones y fallos que se
profieran en el contexto de un juicio.
En pocas palabras, promover el desarrollo de un estándar legal de políticas de
seguridad informática que, de observarse, habilitaría la admisibilidad de dicha
prueba en juicio. Es decir, podría establecerse una presunción “iuris tantum”
(salvo prueba en contrario) de la validez de la evidencia digital en tales
condiciones de seguridad o características de la arquitectura de cómputo.
Finalmente, la evidencia digital es un desafío para la justicia, que sugiere una
evolución de la misma para disminuir la brecha técnico-legal existente y, un reto
para los profesionales de la tecnología, para descubrir en el ordenamiento legal
una manera de soportar las investigaciones con material y medios tecnológicos
más idóneos y precisos.
Alexander Díaz García Página 19
20. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
Por su parte el abogado experto en Derecho Informático Andrés Guzmán
Caballero22 nos dice que en este tema la cuestión no es muy distinta, debido a
que no existe un protocolo de manejo de cadena de custodia sobre evidencias
digitales, todas las fuerzas del Estado controlan a su antojo y de conformidad
con sus conocimientos, sin ningún tipo de guarda o garantía de integridad, este
tipo de evidencias.
Agrega el especialista en referencia que ello resulta grave, entre otras y a guisa
de ejemplo trae los registros de grabación y almacenamiento de los juzgados a
nivel Nacional, pues éstos no contienen procedimientos que garanticen que los
videos y grabaciones se han generado o almacenado sin ser alterados (se les
imprime la huella hash), no existe a nivel de seguridad ninguna garantía, es decir
que por ejemplo alguien puede digitalmente colocar en una sentencia un
segmento distinto de audio que cambie el fallo, y como los dos archivos son
técnicamente iguales y no existe ninguna estampa cronológica o mecanismo
digital que la avale, sería esta prueba “falsa” igual a la original lo que provocaría
problemas y en entredicho al sistema, siendo un riesgo palpable, más cuando
recordamos casos de falsificación de sentencias tan graves como el de
CAJANAL.
Glosa las interceptaciones telefónicas que realiza la Fiscalía, la Policía o el
D.A.S., sea en materia de inteligencia o no, son generadas y almacenadas
digitalmente, siendo así de conformidad un “mensaje de datos” que deberá tener
además del protocolo de cadena de custodia, que en Colombia no existe para
las evidencias digitales, los parámetros legales exigidos por la ley 527 de 1999 a
fin de que puedan ser admitidas como prueba documental en juicios.
Afirma de igual manera que se deberá garantizarse entre otras cosas, que el
archivo sea conservado en forma original, tal y como se generó, lo que se hace
mediante la utilización de un método de aseguramiento digital proveído por un
tercero fiable, que hasta la fecha no ha sido ni implantado ni desarrollado por el
Estado Colombiano, entonces ¿qué garantías tienen los ciudadanos cuando en
juicios penales pueden colocarse en su contra grabaciones, interceptaciones o
“chuzadas”, de las cuales no se sabe con certeza absoluta en qué fechas se
tomaron, quién las tomó, cuándo las tomó y los más grave, si se han conservado
integras?. Nos preguntamos se garantizará con la legalización del Juez de
Control de Garantías, 24 horas después de recolectadas? Nos respondemos
nosotros mismos, que lo dudamos.
Lo anterior nos viene a reforzar nuestra tesis, de la necesidad de declarar una
inconstitucional parcial del artículo 237 del Código de Procedimiento Penal, y
más exactamente en tratándose del “….o recuperación de información dejada al
navegar por Internet u otros medios similares,….” Evidencia que no podrá ser
puesta al control del Juez de Garantías después de 24 horas de recolectada sino
antes, cuando su captura y cadena de custodia ha sido lograda por la Policía
Judicial, para luego sí, con la anuencia del Juez Constitucional, se logre accesar
a todos los ficheros sin importar la clasificación de la información, en aras de
encontrar más información, independientemente cual sea su clase.
22
La evidencia digital en Colombia, investigación publicada en el site
http://www.channelplanet.com/?idcategoria=21825. Presidente y Socio del Bufete IDALI
ABOGADOS
Alexander Díaz García Página 20
21. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
Recabando en el análisis que realizo nuestra Suprema Corte, afirma que en el
caso materia de análisis, nadie ha dicho que el disco duro y el teléfono celular de
propiedad del postulado extraditado contienen información organizada a manera
de bases de datos, sino se abre no se sabe y su apertura implica acceso
información confidencial o no, esa posibilidad la tiene que legalizar el Juez de
Control de Garantías. La Corporación considera que los particulares y en forma
privada o no comercial, no pueden construir bases de datos pues le asigna esa
función exclusivamente a los autorizados por la ley, tal como lo refiere más
adelante en el cuerpo de la providencia. Agrega que muchos menos se puede
sostener válidamente que tienen “fines legales y recogidos por instituciones o
entidades públicas o privadas debidamente autorizadas para ello”, al punto de
requerir la intervención judicial previa en orden a accesar a dicha información.
Descartando entonces sus datos personales o datos sensibles que hubiera
podido allí almacenar.
Rechaza la actuación de la Fiscalía, que para nuestro concepto fue apropiada,
legítima y constitucional, especialmente porque no se le violaban derechos
humanos por un operador estatal. En el escenario internacional al que tenemos
que estar preparados, en razón a los distintos tratados de derechos humanos,
los que hacen un especial reconocimiento al derecho a la protección de datos y
posiblemente, tenemos que actuar con una mejor prudencia judicial para no
estar incurso en investigaciones de la Comisión Interamericana de Derechos
Humanos.
Así ocurre, por ejemplo, con el Pacto Internacional de Derechos Civiles y
Políticos y con la Convención Americana de Derechos Humanos, incorporados a
nuestro ordenamiento interno a través de las Leyes 74 de 1968 y 16 de 1972,
respectivamente, los cuales a su vez forman parte del Bloque de
Constitucionalidad por mandato expreso del artículo 93 de la Constitución
Política, tal como lo señala en el discurso del Relator de la OEA, con el Derecho
de la Información. Ya lo habíamos anotado que se hacía evidente a partir de las
previsiones realizadas por el Comité de Derechos Humanos en la Observación
General No. 16, interpretativa del artículo 17 del Pacto Internacional de
Derechos Civiles y Políticos. Al respecto, la Observación indicó:
“La recopilación y el registro de información personal en computadoras,
bancos de datos y otros dispositivos, tanto por las autoridades públicas
como por las particulares o entidades privadas, deben estar reglamentados
por la ley. Los Estados deben adoptar medidas eficaces para velar por
que la información relativa a la vida privada de una persona no caiga
en manos de personas no autorizadas por ley para recibirla, elaborarla
y emplearla y porque nunca se la utilice para fines incompatibles con
el Pacto. Para que la protección de la vida privada sea lo más eficaz
posible, toda persona debe tener el derecho de verificar si hay datos
personales suyos almacenados en archivos automáticos de datos y, en
caso afirmativo, de obtener información inteligible sobre cuáles son esos
datos y con qué fin se han almacenado. Asimismo, toda persona debe
poder verificar qué autoridades públicas o qué particulares u organismos
privados controlan o pueden controlar esos archivos. Si esos archivos
contienen datos personales incorrectos o se han compilado o elaborado en
Alexander Díaz García Página 21
22. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
contravención de las disposiciones legales, toda persona debe tener
derecho a pedir su rectificación o eliminación.”23
Desde la época de los 60 se han desarrollado instrumentos internacionales que
incorporan principios tendientes a proteger la intimidad, la dignidad humana y los
datos personales de cara al contexto de la sociedad de la información. Las
diferencias entre unos y otros son numerosas, dado que poseen ámbitos de
aplicación diferentes y grados de obligatoriedad distintos. En todo caso, entre los
elementos comunes a todos estos textos, convienes señalar que en ellos se
regula una serie de principios, derechos, deberes y obligaciones internacionales
encabeza de todos los actores que intervienen en la recolección, tratamiento y
circulación de datos personales.
Dentro de los documentos más representativos sobre la materia encontramos los
siguientes24:
1. Resolución 509 de 1968, de la Asamblea del Consejo de Europa, sobre
“Los derechos humanos y los nuevos logros científicos”
2. Resolución 3384 del 10 de Noviembre de 1975, de la Asamblea General
de la ONU: “Declaración sobre la utilización del progreso científico y
tecnológico en interés de la paz y en beneficio de la humanidad.”
3. Guía para la protección de la privacidad y transferencia de flujos de
información personal, elaborada por la organización para la Cooperación
y el Desarrollo Económico (OECD) el 23 de Noviembre de 1980
4. Convención No. 108 del Consejo de Europa para la protección de las
personas respecto del tratamiento automatizado de datos de carácter
personal, suscrito en Estrasburgo el 28 de Enero de 1981.
5. Resolución 45/95, del 14 de Diciembre de 1990, de la Asamblea General
de la ONU, “Principios rectores para la reglamentación de ficheros de
datos personales”
6. Directiva 95/46/CE del Parlamento Europeo y del Consejo del 24 de
Octubre de 1995, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a al libre circulación de
estos datos.
7. Directiva 97/66 CE sobre el tratamiento de los datos personales y a la
protección de la intimidad en el sector de las telecomunicaciones.
8. International Safe Harbor Privacy Principales suscrito el 21 de Julio de
2000 por el Departamento de comercio de Estados Unidos
9. Directiva 2002/58/ relativa al tratamiento de los datos personales y a la
protección de la intimidad en el sector de las telecomunicaciones
electrónicas.
10. Carta de Derechos Humanos de la Unión Europea del 7 de Diciembre de
2000.
23
Cfr. Comité de Derechos Humanos. Observación General No. 16 “El Derecho al respecto a la
vida privada, la familia, el domicilio, y la correspondencia y la protección de la honra y la
reputación”. Adoptada durante el 32° período de sesiones. 1988. Párrafo 10.
24
Información tomada del libro COMERCIO ELECTRÓNICO, GECTI. De la Universidad de los
Andes y del Grupo Editorial LEGIS.
Alexander Díaz García Página 22
23. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
No obstante de existir este amparo constitucional, arguyó la Sala de Casación
Penal que cuando el Magistrado a quo dio trámite a la solicitud de la fiscalía y
celebró, consecuencialmente, la respectiva audiencia preliminar, incurrió en
violación al debido proceso, según los términos del artículo 29 de la Constitución
Política, en cuanto realizó una actuación judicial respecto de la cual carecía de
competencia, vicio que obliga a la Sala a decretar la nulidad de la mencionada
audiencia, a fin de que el procedimiento se encauce por la vía correcta.
Criterio que no compartimos, antes por el contrario el derecho al debido proceso,
es garantista de todos los demás derechos inherentes que tiene el procesado a
la investigación o causa, el hecho que una alta autoridad judicial revise la
constitucionalidad de la revisión de unos dispositivos en donde posiblemente se
guarde datos personales y se colija la inalterabilidad de la evidencia, es darle
más y mejores garantías al ciudadano sub judice. Técnicamente cuando el
forense autorizado por el Juez de Garantías para la apertura de ficheros (incluso
con datos sensibles) no habría ninguna violación sobre esta clase de información
del imputado o acusado y se evitaría que se expusieran en el Juicio y que el
Defensor formulara la exclusión de la misma por lo ilícita al habérsele violado
datos personales o por una errada manipulación. Es más, con el aseguramiento
previo de ella (la evidencia) no dejamos el más mínimo ápice para dudar de la
validez de la prueba, pues cumpliendo los estándares internacionales de
informática forense, el documento electrónico está listo para su análisis y su
arribo al juicio.
Navegando por la red en procura de enriquecer esta investigación encontramos
como efectivamente se pueden violar datos personales almacenados en un
disco duro cuando se ha visitado muchos sitios en la Internet, así como reza la
situación hipotética del artículo 236 ibídem. Encontramos esta información
publicada el miércoles, Septiembre 9, 2009, y que apareció como a través de la
re identificación: (identificando personas en bases de datos anónimas25) se
puede capturar y/o violar datos personales. Se refiere como en el año 2006,
AOL26 fue requerida por el gobierno estadounidense junto con otras empresas
para que facilitasen un fichero anonimizado con veinte millones de búsquedas
procedentes de seiscientos cincuenta y siete mil usuarios identificados mediante
claves numéricas, con el propósito de valorar el impacto de la pornografía
infantil. Tras cumplir con la solicitud, AOL tuvo la ocurrencia de demostrar su
apertura publicando en Internet ese fichero para su uso por la comunidad
científica: total, estando ya el fichero convenientemente anonimizado y libre de
toda información personal, ¿qué podía pasar? Vemos como de esta manera,
pese de encontrarse la información en el disco duro de su ordenador, sino en el
disco del servidor de correo, quedaron los rastros de sus visitas al localizador del
proveedor del servicio.
La sorpresa no se hizo esperar: en pocos días, Thelma Arnold, una mujer de 62
años residente en Lilburn, una pequeña localidad del estado de Georgia, recibía
la visita en su casa de un periodista que le preguntaba si una determinada lista
de búsquedas era efectivamente suya. Una pequeña investigación a partir de las
25
Información lograda con la visita que se realiza 10 de Septiembre de 2009, al site
http://www.enriquedans.com/2009/09/reidentificacion-identificando-personas-en-bases-de-datos-
anonimas.html
26
ISP (Internet Service Provider) AMERICAN ON LINE
Alexander Díaz García Página 23
24. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
búsquedas de la mujer había revelado datos suficientes como para identificarla
con precisión. El asunto, que terminó con la salida de la Chief Technology Officer
de AOL, demostraba con claridad que las implicaciones de la revelación de
datos en la privacidad no terminan en el momento en que se eliminan del fichero
datos estrictamente personales como nombre, dirección, IP o número de
identificación. Estos datos se encuentran almacenados en un disco de
almacenamiento masivo como es el disco duro de una computadora.
La re identificación es precisamente eso, el análisis de ficheros anonimizados
con el fin de identificar a personas específicas a partir de ellos. Un artículo de
Ars Technica, “‘Anonymized’ data really isn’t—and here’s why not“, revela que,
en realidad, un 87% de los norteamericanos pueden ser identificados en una
base de datos utilizando únicamente tres datos: código postal, sexo y fecha de
nacimiento, no incluidos en los datos de identificación que habitualmente se
eliminan de este tipo de ficheros supuestamente anonimizados.
El investigador Paul Ohm recoge las conclusiones de lo que denomina “la
promesa rota de la privacidad”: en la práctica, cualquier investigación
medianamente seria es capaz de identificar a una persona a partir de la
información fragmentaria procedente de ficheros supuestamente anonimizados
de patrones de uso desarrollados en muchas de sus actividades. Aquel usuario
que buscaba obsesivamente formas de matar a su mujer debería estar
preocupado: en caso de llegar finalmente a cometer el crimen, sería identificado
sin demasiados problemas. La respuesta es, según el investigador, sumamente
clara: “los datos pueden ser útiles o perfectamente anónimos, pero nunca ambas
cosas“.
La mayor parte de los requisitos para el almacenamiento de datos se reducen a
la eliminación de la denominada Personally Identifiable Information (PII), un
conjunto de datos determinados, pero a todas luces, claramente insuficiente.
Para empresas como Google, que almacenan datos indefinidamente tras su
“anonimización”, las implicaciones son importantes, porque en realidad
almacenan datos que serían perfectamente capaces de conducir a una
identificación inequívoca aunque haya transcurrido más tiempo del período
inicialmente pactado con sus usuarios. Datos que, pensando en el tipo de
información que hoy en día manejamos en la red, abarcan un conjunto de
cuestiones tan amplio, que puede llegar a dar vértigo, no necesariamente por lo
secreto, sino por lo privado de los mismos: datos que no necesariamente busco
ocultar, pero sobre los que sí tengo una determinada expectativa de privacidad.
A medida que compartimos más datos y que éstos quedan registrados en más
sitios, la necesidad de ser exquisitos en su protección y custodia crece, y la
expectativa de privacidad disminuye, sin que parezca existir ninguna solución
sencilla: incrementar los requisitos legales en el almacén de la información
conduce a hacerla inservible. ¿Signo de los tiempos? ¿Resignación?
¿Generacional? ¿Metáfora de la aldea pequeña? Sin duda, algo sobre cuyas
consecuencias no hemos pensado suficiente aún.
Retomando nuestro análisis local, se le realizan al artículo (237), esto es, que el
hecho de no participar en el control de legalidad de todas y cada una de las
actuaciones que no requieren autorización judicial previa para su realización,
Alexander Díaz García Página 24
25. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
comporta la violación del derecho al acceso a la administración de justicia27,
pues dicen los inconformes, que al sustraerse de controvertir la legitimidad de un
elemento probatorio recaudado que puede llegar a ser determinante en un
estadio procesal posterior, se hace nugatoria toda actividad encaminada a
materializar la garantía señalada en el artículo 29 Superior. La tesis nuestra es
que se torna obligatorio el control de legalidad previo, para evitar violaciones de
datos personales y seguridad sobre la inalterabilidad de la evidencia, implicaría
una mayor participación de las partes para cuando el forense haya establecido
toda la información encontrada en los medios magnéticos.
Finalmente disentimos de la Honorable Corte Constitucional, cuando afirma de
la no necesidad del control previo del Juez de Garantías, en la sentencia del
nueve de mayo de 200728, sobre la relativa flexibilización del numeral 2° del
artículo 250 de la Constitución, el que introduce el tema de los registros (que
pueden recaer sobre archivos digitales o documentos computarizados),
allanamientos, incautaciones e interceptación de comunicaciones, en el sentido
de permitir un control posterior del juez de control de garantías, se explica en la
necesidad y oportunidad del recaudo de la información, en cuanto se trata de
diligencias que generalmente están referidas a realidades fácticas que pueden
estar propensas a cambios repentinos, o que podrían eventualmente ser
alteradas en desmedro del interés estatal de proteger la investigación. Sobre el
tema pensamos al contrario, porque si no se le somete a los parámetros
forenses que los protocolos internacionales exigen a esta clase de evidencia,
creemos (la experiencia internacional nos enseña) puede ser sometida a
manipulaciones indebidas o incorrectas como ocurrió con los datos encontrados
en los ficheros de Reyes.
Arriba citábamos sobre el procedimiento, que hallada la máquina, se tomarán
datos volátiles, metadatos y el log de seguridad, una vez lo anterior se anclará la
cadena de custodia, de esta manera se le enseña al Juez de Garantías, que lo
encontrado en esa escena criminal, está incólume, esto es que la evidencia se
encuentra tal cual como se halló y se le suplicará es la autorización de la revisión
de su contenido. El contenido no puede ser abierto en el momento de la práctica
de la diligencia, en este instante puede ser alterada la evidencia con resultados
fatales para la investigación. Lograda la autorización nos va a permitir que
mediante la copia espejo se extraiga toda la información, sensible o no, y se
ponga a disposición de la autoridad judicial con el lleno de los requisitos legales,
constitucionales y satisfechos los protocolos forenses internacionales del manejo
de la evidencia digital.
27
Corte Constitucional. Sentencia C-025 de 2009. Referencia: expediente D-7226. Asunto:
Demanda de inconstitucionalidad contra los artículos 237 (parcial), 242 (parcial), 243, 244
(parcial) y 245 de la Ley 906 de 2004“por la cual se expide el Código de Procedimiento Penal”.
Demandante: Edgar Saavedra Rojas y otro. Magistrado Ponente: Dr. RODRIGO ESCOBAR GIL
Bogotá D.C., veintisiete (27) de enero de dos mil nueve (2009).
28
Corte Constitucional. Sentencia C-336/07. Referencia: expediente D-6473. Demanda de
inconstitucionalidad contra los artículos 14 (parcial), 244 (parcial) y 246 (parcial) de la Ley 906 de
2004 “Por la cual se expide el Código de Procedimiento Penal”. Actor: Alejandro Decastro
González. Magistrado Ponente: Dr. JAIME CÓRDOBA TRIVIÑO Bogotá, D.C., nueve (9) de
mayo de dos mil siete (2007).
Alexander Díaz García Página 25
26. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
Finalmente para concluir el acápite, con nuestra posición, entenderíamos que la
norma constitucional obliga al Delegado del Fiscal General a asegurar los
elementos materiales probatorios, garantizando la cadena de custodia mientras
se ejerce su contradicción y el texto de la Carta, igualmente crea la posibilidad
de exigirle al mismo, medidas adicionales por afectaciones a derechos
fundamentales. Se debe obtener la respectiva autorización por parte del Juez de
Control de Garantías para legalizar su actuar procesal
Son las anteriores potísima razones, para suplicar a esa Honorable Corte
Constitucional, la declaratoria de inconstitucionalidad parcial del artículo 237 del
Código de Procedimiento Penal, esto es, que se ordene o se aclare que sí se
requiere del Control Previo del Juez de Garantías Constitucionales para cuando
se recupera la información dejada al navegar por Internet u otros medios
similares, pensamos que se refiere a dispositivos de almacenamiento masivo de
información, cualquiera sea su género.
2. ANÁLISIS DEL ARTÍCULO 245. EXÁMENES DE ADN
QUE INVOLUCREN AL INDICADO O AL IMPUTADO
Señala la norma que cuando la policía judicial requiera la realización de
exámenes de ADN, en virtud de la presencia de fluidos corporales, cabellos,
vello público, semen, sangre u otro vestigio que permita determinar datos como
la raza, el tipo de sangre y en especial, la huella dactilar genética, se requerirá
orden expresa del Fiscal que dirige la investigación. Mandato que no
compartimos, puesto que pensamos que se trata del acceso a ficheros en donde
se conservan datos personales especiales o sensibles, como son los de salud,
más adelante fundamentaremos la tesis en las siguientes consideraciones.
El artículo en estudio señala que cuando se requiera cotejo de los exámenes de
ADN con la información genética del indiciado o imputado, mediante el acceso a
banco de esperma y de sangre, muestras de laboratorio clínicos, consultorios
médicos u odontológicos, entre otros, deberá adelantarse la revisión de
legalidad, ante el Juez de Control de Garantía, dentro de las treinta y seis (36)
horas siguientes a la terminación del examen respectivo, con el fin de establecer
la legalidad formal y material.
Nuestra Corte Constitucional29 le ha otorgado protección especial a la
información contenida en los ficheros creados en desarrollo de una actividad
29
Corte Constitucional. Sentencia C-336/07. Referencia: expediente D-6473. Demanda de
inconstitucionalidad contra los artículos 14 (parcial), 244 (parcial) y 246 (parcial) de la Ley 906 de
2004 “Por la cual se expide el Código de Procedimiento Penal”. Actor: Alejandro Decastro
González. Magistrado Ponente: Dr. JAIME CÓRDOBA TRIVIÑO Bogotá, D.C., nueve (9) de
mayo de dos mil siete (2007)
Alexander Díaz García Página 26
27. ALEXANDER DÍAZ GARCÍA
ESPECIALISTA EN NUEVAS DEMANDA DE INSCONSTITUCIONALIDAD PARCIAL EN
TECNOLOGÍAS Y CONTRA DE LOS ARTÍCULOS 237 Y 245 DEL CÓDIGO DE
PROTECCIÓN DE DATOS PROCEDIMIENTO PENAL COLOMBIANO
profesional o institucional de tratamiento30 de datos de carácter personal, que
realizan instituciones o entidades públicas o privadas, debidamente autorizadas
para el efecto, quienes actúan como operadoras de esas bases de datos.
Genéricamente la Corte ha categorizado la información sistematizada en las
centrales de información, para prevenir el riesgo financiero, las bases de datos
que manejan las EPS, las bases de datos que manejan las clínicas, los
hospitales o las universidades para la prestación de servicios, o con una
finalidad lícita predeterminada, pero no las ha diferenciado, de las que
almacenan datos sensibles o datos privados, esto es, un dato financiero es
completamente diferente a un dato sensible como son los datos de salud de un
ciudadano y por ende su tratamiento es distinto.
Igualmente esa alta Corporación31 en fallo constitucional cuando revisó la ley
estatutaria de Hábeas Data, se refirió a los datos privados, afirmó que el
legislador estatutario ha englobado las categorías de información privada y
reservada. En este caso, según se ha expuesto en esa sentencia, la posibilidad
de acceso a la información es excepcional, debe estar mediada de orden judicial,
y se predica únicamente de aquellos datos que, siendo privados, difieren de lo
que la jurisprudencia ha denominado como datos sensibles. Al respecto, debe
insistirse en que el acceso a la información privada constituye una restricción
apreciable de libre ejercicio del derecho a la intimidad, razón por la cual, la
decisión acerca del conocimiento de la misma es un asunto que sólo puede ser
decidido por las autoridades judiciales en ejercicio de sus funciones, habida
consideración de la cláusula general de reserva judicial para la restricción
legítima de los derechos fundamentales.
Caso distinto afirma la Corte, cuando se predica de la información sensible,
relacionada, entre otros aspectos, con la orientación sexual, los hábitos del
individuo y el credo religioso y político (no enunció los datos clínico o de la
salud). En estos eventos, la naturaleza de esos datos pertenece al núcleo
esencial del derecho a la intimidad, entendido como aquella “esfera o espacio de
vida privada no susceptible de la interferencia arbitraria de las demás personas,
que al ser considerado un elemento esencial del ser, se concreta en el derecho a
poder actuar libremente en la mencionada esfera o núcleo, en ejercicio de la
libertad personal y familiar, sin más limitaciones que los derechos de los demás
y el ordenamiento jurídico”.32 En este caso, todo acto de divulgación mediante
los procesos genéricos de administración de datos personales, distintos a las
posibilidades de divulgación excepcional se encuentra proscrita. Ello en la
medida que permitir que información de esta naturaleza pueda ser objeto de
procesos ordinarios de acopio, recolección y circulación vulneraría el contenido
esencial del derecho a la intimidad.
30
Se entiende por tratamiento de datos el conjunto de operaciones, trámites y procedimientos
técnicos de carácter automatizado o no, que permiten la recolección, registro, grabación,
ordenación, modificación, procesamiento, consulta y divulgación de datos de carácter personal.
31
Corte Constitucional Sentencia C-1011/08. Referencia: expediente PE-029. Revisión de
constitucionalidad del Proyecto de Ley Estatutaria No. 27/06 Senado – 221/07 Cámara (Acum.
05/06 Senado) “por la cual se dictan las disposiciones generales del hábeas data y se regula el
manejo de la información contenida en bases de datos personales, en especial la financiera,
crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras
disposiciones.” Magistrado Ponente: Dr. JAIME CÓRDOBA TRIVIÑO Bogotá, D.C., dieciséis (16)
de octubre de dos mil ocho (2008).
32
Cfr. Corte Constitucional, sentencia C-517/98, concepto reiterado en la sentencia C-692/03.
Alexander Díaz García Página 27