Archivo de la categoría: Conformidad normativa

EDICOM, el PSC con «mejores prácticas»

Deja un comentario

EDICOM, empresa especializada en el desarrollo, implantación de soluciones y prestación de servicios XML/EDI, obtuvo el reconocimiento por parte del Ministerio de Industria, Turismo y Comercio para operar como PSC el pasado día 13 de Octubre, el mismo día que obtenía la Certificación de ASIMELEC, convirtiéndose en el primer PSC en disponer de esta acreditación.

El Esquema de Calidad de PSC de ASIMELEC permite identificar a los Prestadores de Servicios de Certificación que adoptan las mejores prácticas, por lo que la Autoridad de Certificación de EDICOM ha quedado identificada como la de más valor de entre las que operan en España, y, posiblemente en Europa. El sello de ASIMELEC supera los requisitos de otros esquemas como Webtrust for Certification Authorities, y tiene en cuenta la normativa europea de firma electrónica.

Operar en calidad de Autoridad de Certificación permite proveer a los clientes de EDICOM de los elementos de identificación específicos a la actividad concreta a realizar, evitando certificados generalistas y garantizando el cumplimiento de la legalidad en su interpretación más estricta, como en el caso de los dispositivos seguros, que gozan de la certificación CWA 14169.

EDICOM añade de esta forma a su amplio portafolio de soluciones para el transporte de información (mensajes de datos), el valor de actuar en Calidad de Autoridad de Certificación, lo que le permite prestar servicios como:

  • Emisión de certificados
  • Generación de Sellos de Tiempo
  • Almacenamiento certificado de información
  • Firma electrónica Remota

EDICOM expide certificados que se ajustan a lo establecido en la Directiva 1999/93/CE de 13 de diciembre de 1999 y a la Ley 59/2003 de 19 de diciembre, de firma electrónica, por lo que goza de amplio reconocimiento para operar en todos los países de la Unión Europea.

La certificación de ASIMELEC se ha obtenido en base a la auditoría de cumplimiento de la norma ETSI TS 101 456 y ha sido realizada por la consultora S21sec.

Edicom es una compañía dedicada al desarrollo e implantación de sistemas transaccionales de alto rendimiento empresa a empresa (B2B). Especialista en consultoría y desarrollo de software EDI e integración de datos (XML, EDIFACT, X12, VDA, …), aplicaciones y procesos, dispone de su propia Red de Valor Añadido (SEDEB2B) para el transporte seguro de la información, así como de soluciones en el campo del Reaprovisionamiento Continuo (CRP) y Trazabilidad. La empresa con sede en Valencia, posee delegaciones en México, Francia, Italia y Argentina, cuenta en la actualidad con un equipo humano de 128 personas especializadas en el campo de las comunicaciones electrónicas que atienden a las más de 4.800 empresas que conforman su cartera de clientes y su plataforma de intercambio mueve más de 80 millones de transacciones anuales.

Interlocución telemática

3 respuestas

El 29 de diciembre de 2007 se publicó en el BOE la LMISI, Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información. Una de las características de esta norma es que impone a las empresas privadas ciertas obligaciones coherentes con el derecho de los ciudadanos a usar la vía telemática que se consagra en la  LAECSP, Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos .

En el artículo 2 de la LMISI se establece la obligación de ciertas empresa de disponer de un medio de interlocución telemática para la prestación de servicios al público de especial trascendencia económica. Y en la disposición final cuarta se indica que esta obligación entrará en vigor a los doce meses de la publicación de la Ley en el Boletín Oficial del Estado.

Todo el artículo tiene su interés, pero conviene destacar que sin perjuicio de la utilización de otros medios de comunicación a distancia con los clientes, las empresas que presten servicios al público en general de especial trascendencia económica deberán facilitar a sus usuarios un medio de interlocución telemática que, mediante el uso de certificados reconocidos de firma electrónica, les permita la realización de ciertos trámites como la contratación electrónica, modificación de condiciones contractuales, altas, bajas, quejas, histórico de facturación, sustitución de informaciones y datos en general, así como el ejercicio de los derechos de acceso, rectificación, oposición y cancelación en materia de protección de datos

Las empresas obligadas por esta normativa son aquellas con más de 100 empleados o un volumen de operaciones superior a los 6 millones de euros que presten servicios al público considerados como de especial trascendencia económica, como banca, electricidad, agua y gas, y telecomunicaciones, entre otros.

Para facilitar a todo tipo de empresas el cumplimiento de esta norma, Albalia Interactiva ha desarrollado en el marco de su gama de servicios EADTrust la funcionalidad de Interlocución Telemática que se integra con facilidad en el entorno web  de la empresa. De esta manera, en un tiempo record, es posible contar con este tipo de servicios y cumplir los plazos marcados por la ley. Los formularios firmados electrónicamente se guardan en formato XAdES-X-L (según se define por la norma TS 101 903) por lo que incluyen todas las evidencias electrónicas que afectan a la validez del certificado en el momento de la firma.

El sistema es personalizable con la imagen del web de la entidad y permite definir todo tipo de trámites y formularios. Además, es posible diseñar entornos mixtos en los que el formulario se completa y se prevalida en la entidad y se firma electrónicamente en la plataforma EADTrust.

Trámites que debe permitir la interlocución telemática

Mediante el uso de certificados reconocidos de firma electrónica, la interlocución telemática debe permitir a los clientes y usuarios la realización de, al menos, los siguientes trámites:

  • Contratación electrónica de servicios, suministros de bienes, la modificación y finalización o rescisión de los contratos, así como cualquier acto o negocio jurídico entre las partes.
  • Consulta de los datos de cliente, que incluirán información sobre su historial de facturación de, al menos, los tres últimos años y el contrato suscrito.
  • Presentación de quejas, incidencias, sugerencias y reclamaciones, garantizando la constancia de su presentación para el consumidor y asegurando una atención personal directa.
  • Ejercicio de los derechos de acceso, rectificación, cancelación y oposición en los términos previstos en la normativa reguladora de protección de datos de carácter personal.

Empresas afectadas por la normativa

Las empresas obligadas por esta normativa son aquellas que agrupen a más de cien trabajadores o cuenten con un volumen anual de operaciones superior a los 6.010.121 euros y que, en ambos casos, operen en los siguientes sectores:

  • Servicios de comunicaciones electrónicas a consumidores.
  • Servicios financieros destinados a consumidores, que incluyen los servicios bancarios, de crédito o de pago, los servicios de inversión, las operaciones de seguros privados, los planes de pensiones y la actividad de intermediación de seguros.
  • Servicios de suministro de agua a consumidores.
  • Servicios de suministro de gas al por menor.
  • Servicios de suministro eléctrico a consumidores finales.
  • Servicios de agencia de viajes.
  • Servicios de transporte de viajeros por carretera, ferrocarril, vía marítima o aérea.
  • Actividades de comercio al por menor.

Además, el Gobierno y las Comunidades Autónomas, podrán ampliar el ámbito de aplicación de esta obligación a otras empresas distintas de las previstas en la Ley, en aquellos casos en los que se considere que en el desarrollo de su actividad normal deban tener una interlocución telemática con sus clientes o usuarios.

Servired y Sistema 4B podrían fusionar sus procesadores

3 respuestas

El desarrollo del SCF (SEPA Card Famework) impone que las empresas de gestión de medios de pago segreguen sus actividades de procesamiento de las relativas a la gestión de las marcas, a las que ahora se denomina actividades de «esquema» de medios de pago.

Por su estructura de varias empresas el entorno SEMP-Servired-SERMEPA lo tuvo fácil. La denominación SERMEPA quedó para la procesadora y Servired Sociedad Española de Medios de Pago, fue la denominación para el Esquema.

Sistema 4B tuvo que escindir su actividad procesadora, con la denominación «Redes y Procesos» .

Ahora las entidades procesadoras inician conversaciones para valorar su posible fusión, lo que podría redundar en sustanciosos ahorros de costes, y en lograr un volumen de operaciones que situaría a la nueva sociedad como líder europea. Lo cual implica su capacidad para absorber las actividades de procesamiento de esquemas de otros paises. En definitiva el posicionamiento como uno de los grandes campeones europeos en procesamiento de medios de pago.

Esta iniciativa es una consecuencia lógica de las presiones derivadas de SEPA y del posicionamiento de España como uno de los países líderes mundiales en gestión de medios de pago. Solo es cuestión de tiempo que las Cajas de Ahorro valoren la importancia de este movimiento y se sumen al carro. En este caso, con el valor añadido de su credibilidad para atraer a otras cajas de ahorro europeas.

Estamos en los albores de una nueva etapa en los que el procesador español (si al final consigue unificar todas las iniciativas) podría llegar a ser uno de los pocos líderes mundiales de esta actividad.

La noticia se ha publicado en el web de Sermepa, y de ella se ha hecho eco el diario El Pais

Servired y 4B fusionan sus sistemas de proceso de datos

Las dos redes suman el 85% del mercado de tarjetas

Í. BARRÓN – Madrid – 15/10/2008

Seguirán como marcas independientes, por el momento, pero estudian unir la parte más cara de su negocio: los sistemas de procesos, es decir, los ordenadores, que son más costosos que la plantilla. El objetivo es ganar tamaño y competitividad frente a la dura competencia europea, que amenaza con implantarse en España en los próximos años.

Las empresas procesadoras de medios de pago Sermepa (que emite tarjetas Servired) y Redes y Procesos (tarjetas 4B) han acordado «iniciar negociaciones» para la integración de sus actividades. Si este proceso concluye en una fusión, como parece probable, las entidades que forman parte de Servired serán las que dominen la nueva compañía, ya que esta sociedad tiene más del 60% del mercado. En Servired están el BBVA, La Caixa, Caja Madrid, Bancaja, Banco Sabadell, Bankinter, Caja España y Caja Laboral Popular, entre otros. Redes y Procesos, con el 25% del mercado, está formado por todas las entidades del grupo Santander, el grupo Banco Popular, Guipuzcoano, Pastor, Banco Gallego y Banca March.

Esta operación podría dejar arrinconado al sistema de las cajas de ahorros, Euro 6000, que sólo tiene el 15% del mercado. La marcha de las grandes cajas del sistema de la Confederación de Cajas de Ahorros (CECA) abrió una de las mayores crisis de esta institución. Con el paso del tiempo, se comprueba que las consecuencias de la marcha de La Caixa, Caja Madrid, Bancaja y Caixa Catalunya, entre otras, ha tenido consecuencias muy relevantes. Euro 6000 está buscando alianzas con operadores europeos, como First Data, así como posibles alianzas con cajas, para garantizar su supervivencia.

El objetivo de esta posible fusión, explican, es que ambas consideran que «juntas garantizarían el tamaño y la competitividad suficientes para ser uno de los líderes del sector en Europa».

De hecho, la Comisión Europea y el Banco Central Europeo (BCE) han alentado las fusiones en el sector de los medios de pago, preocupados por el excesivo número de pequeñas empresas procesadoras que hay en la Unión Europea (UE) y por su incapacidad de competir en tamaño con los grandes operadores. No hay que olvidar que en alguno de los principales países de Europa ya cuentan con un solo operador.

Y, por otro lado, con la integración se respondería a la necesidad de «mantener a España como referencia en la industria de los servicios bancarios europeos». También hace referencia a «situarse en la mejor posición competitiva posible para hacer frente a los retos y aprovechar las ventajas del nuevo marco definido por la implantación de la Zona Única de Medios de Pago (SEPA)», explica la nota.

La nota de prensa:

Sermepa y Redes y Procesos acuedan estudiar su fusión

Las empresas procesadoras de medios de pago Sermepa S.A. y Redes y Procesos S.A. estudian un proceso de fusión. Ambas compañías han acordado “el inicio y el desarrollo de contactos y, en su caso, negociaciones, para determinar la viabilidad, interés y condiciones de un proceso de integración de su actividad de procesamiento”.

Si el proceso concluye en una fusión, ésta se sometería, con las preceptivas autorizaciones previas de las autoridades competentes, a su aprobación por los respectivos órganos de gobierno.

El objetivo de este movimiento responde tanto a la necesidad de mantener a España como referencia en la industria de los servicios bancarios europeos, como a la de situarse en la mejor posición competitiva posible para hacer frente a los retos y aprovechar las ventajas del nuevo marco definido por la implantación de la Single Euro Payments Area (SEPA)

La Comisión Europea y el Banco Central Europeo han manifestado su preocupación por el excesivo número de pequeñas sociedades de proceso existentes en la Unión Europea, incapaces, por separado, de competir en tamaño con los grandes operadores y han alentado procesos de concentración en el sector de los medios de pago. Esta preocupación ha sido rápidamente contestada por algunos países europeos en los que se constatan antecedentes que han sido formalmente autorizados por las autoridades de competencia, entre ellos, la fusión de SIA/SSB en Italia o la que dio lugar a VocaLink en el Reino Unido.

En este entorno, las entidades bancarias accionistas de Sermepa y Redes y Procesos consideran que juntas garantizarían el tamaño y la competitividad suficientes para ser uno de los líderes del sector en Europa.

Su integración, eventualmente por la vía de fusión, en un sector en el que las economías de escala resultan fundamentales, responde a una lógica económica y a una recomendable estrategia para la industria. Las entidades aseguran que de su integración se derivaran beneficios, no sólo para las sociedades que se fusionen y sus socios, sino para la industria de los medios de pago en general, para sus usuarios y para el conjunto de los consumidores.

El presidente de Sermepa, José Manuel Gabeiras, ha manifestado tras el acuerdo que “gracias al nuevo entorno europeo podremos realizar una operación planteada y deseada históricamente por los distintos actores del sector”

En el mismo tono, el presidente de Redes y Procesos, Jesús Arellano, afirmaba que “con esta operación, nuestra posición competitiva pasará a ser mucho más significativa y fuerte en Europa”

Sermepa procesó durante el año 2007 un total de 1.950 millones de transacciones on-line y, como empresa de desarrollo tecnológico, proporciona soluciones para la industria de medios de pago de países como Andorra, Méjico, Perú, Brasil, Argentina, Venezuela y Estados Unidos.

Redes y Procesos, por su parte, procesó durante el año 2007 un total de 1.510 millones de transacciones on line, gestionando 12.680 cajeros automáticos y 458.000 terminales punto de venta.

Obtención del IMSI sin autorización judicial

6 respuestas

Coincidí con Don Manuel Marchena Gómez, Magistrado del Tribunal Supremo el lunes pasado en el reciente I Congreso Internacional de Ingeniería Forense (me precedió en el uso de la palabra). Toda su exposición fue extremadamente interesante. Se titulaba “Aportación de la Prueba Electrónica al Proceso Penal a) Correo Electrónico, b) Escaneo del IMSI . Mencionaba la reciente sentencia del Tribunal Supremo (Sala Segunda, de lo Penal, Sentencia de 20 May. 2008, rec. 10983/2007) en la que queda claro que los cuerpos y fuerzas de seguridad del estado no necesitan autorización judicial para establecer el IMSI del Teléfono móvil de un sospechoso bajo investigación.

Para entender un poco el problema, conviene saber que es el IMSIIMSI es el acrónimo de International Mobile Subscriber Identity (Identidad Internacional del Abonado a un Móvil). Es un identificador único por cada teléfono móvil que se guarda en la SIM (Subscriber Identity Module, en sistemas GSM, la tarjeta chip que se inserta en el teléfono móvil para asignarle el número de abonado, MSISDN, Mobile Station Integrated Services Digital Network ). Se define en la norma ITU E.212

Es posible obtener el IMSI de un teléfono móvil mediante un aparato especial que simula el comportamiento de la red GSM y con el que inicia un diálogo de forma equivalente al que se sigue en la infraestructura de red de un operador móvil cuando se enciende el móvil o se cambia de célula de cobertura. Para ello es preciso que el aparato se utilice en las proximidades del teléfono que se desea investigar. Desde el punto de vista pericial equivale a una labor de vigilancia convencional en la que se determinan con quien se encuentra el vigilado, con quien habla,  por donde se desplaza o qué objetos toca.

En mi opinión las pruebas así obtenidas son perfectamente lícitas ya que no entran en el ámbito de la privacidad de las comunicaciones. Así como se puede ver en una vigilacia (mediante prismáticos, por ejemplo) la marca y modelo del teléfono móvil que utiliza un vigilado,  se puede obtener la información del IMSI mediante estos «prismáticos especiales inalámbricos». Al no afectar a las comunicaciones (no es posible conocer el número llamado o el contenido de la conversación) queda protegido el derecho al secreto de las comunicaciones. Este derecho es el que hace imprescindible la autorización judicial para llevar a cabo las escuchas o «pinchazos» telefónicos.

Por decirlo con un símil, el IMSI equivale al número de serie de la SIM, o la dirección MAC de un interfaz de red, por lo que difícilmente puede ser considerado incluso un dato de carácter personal. Otro identificativo asociado al teléfono móvil es el IMEI. El IMEI (International Mobile Equipment Identity, Identidad Internacional de Equipo Móvil)  identifica al dispositivo.  Se puede conocer tecleando «*#06#» (y pulsando la tecla verde «llamar»). Tanto con el IMSI como con el IMEI se dispone de información suficiente como para poder solicitar la autorización judicial de escucha, de forma que el operador pueda traducirlo al MSISDN.

Lo más relevante de la sentencia a los efectos indicados lo transcribo a continuación.

RECURSO DE Arturo

(…)

IV.- El primero de los motivos hechos valer por la defensa de Arturo, se articula con fundamento en los arts. 5.4 de la LOPJ y 852 de la LECrim, al estimar vulnerado el derecho fundamental al secreto de las comunicaciones acogido en el art. 18.3 de la CE .

La infracción de este derecho se habría originado como consecuencia de la utilización por la Guardia Civil, sin autorización judicial, de unos mecanismos de barrido que permiten obtener los números IMSI de las tarjetas de telefonía prepago empleadas para comunicarse con el recurrente.

El motivo no puede ser aceptado.

La determinación de si ha existido o no la vulneración constitucional que denuncia el recurrente, impone hacer algunas consideraciones previas que nos permitirán definir el verdadero significado del IMSI, sus características técnicas y su funcionalidad en el marco de las comunicaciones telefónicas. Sólo así estaremos en condiciones de delimitar el régimen jurídico de su captación y subsiguiente incorporación al proceso penal.

A) El término IMSI es el acrónimo de International Mobile Subscriber Identity. Se trata de un código de identificación único para cada dispositivo de telefonía móvil, representado por una serie de algoritmos, que se integra en la tarjeta SIM y que permite su identificación a través de las redes GSM y UMTS. Proporciona una medida adicional de seguridad en la telefonía móvil y, sobre todo, facilita la prevención del fraude en la telefonía celular.

A partir de esa descripción técnica, no parece existir duda alguna de que el IMSI integra uno de los diferentes datos de tráfico generados por la comunicación electrónica, en nuestro caso, la comunicación mediante telefonía móvil. Su configuración técnica y su tratamiento automatizado por parte del proveedor de servicios son absolutamente indispensables para hacer posible el proceso de comunicación.

Tampoco resulta cuestionable que la comunicación mediante telefonía móvil ha de encuadrarse en el ámbito de las llamadas comunicaciones en canal cerrado, caracterizadas por la expresa voluntad del comunicante de excluir a terceros del proceso de comunicación. En el presente caso, incluso, el empleo de tarjetas prepago -cuya adquisición, al menos por ahora, puede realizarse sin ofrecer datos precisos de
identidad personal-, es bien expresivo del deseo de los comunicantes de mantener a toda costa el secreto de la comunicación.

En el actual estado de la jurisprudencia, la necesidad de proteger la inviolabilidad de las comunicaciones, con independencia del formato en el que aquéllas se desarrollen, representa un hecho ratificado por numerosos precedentes. Así, el Tribunal Constitucional ha afirmado que la especial protección que dispensa el art. 18.3 de la CE  se produce «…con independencia del carácter público o privado de la red

En la misma línea, esta Sala ha proclamado que «…el ámbito de protección de este medio de comunicación -la telefonía- no tiene limitaciones derivadas de los diferentes sistemas técnicos que puedan emplearse. No sólo la primitiva telefonía por hilos sino también las modernas formas de interconexión por satélite o cualquier otra señal de comunicación a través de las ondas se encuentran bajo la tutela judicial» (STS 137/1999, 8 de febrero ). Más recientemente, la STS 130/2007, 19 de febrero , afirmó que «…el umbral de la garantía del derecho al secreto de las comunicaciones tiene carácter rigurosamente preceptivo. Por tanto, es el ordenamiento el que establece sus términos y su alcance mismo. Así, como espacio de intimidad garantizado al máximo nivel normativo, no podría quedar, y no queda, a expensas de la evolución de los avances de la técnica, lo que supondría un riesgo permanente de eventual relativización, con la consiguiente degradación de lo que es una relevante cuestión de derecho a mero dato fáctico».

En consecuencia, a falta de autorización judicial, cualquier forma de interceptación del contenido de la comunicación verificada por telefonía móvil, incluida su modalidad de tarjeta prepago, determinaría una flagrante vulneración del derecho constitucional al secreto de las comunicaciones garantizado por el art. 18.3 de la CE .

En el presente caso, todas las conversaciones intervenidas lo fueron en virtud de autorización judicial. No sucedió lo propio con la captación del IMSI, obtenido por los agentes de la Guardia Civil mediante la utilización de un escáner en las proximidades del usuario. Una vez lograda aquella serie alfanumérica, se instó de los respectivos operadores -ahora sí, con autorización judicial- la identificación de los números de teléfono que se correspondían con esos IMSI y su consiguiente intervención.

B) A partir de esos datos, resulta obligado plantearse si la numeración IMSI, ajena al contenido de la comunicación propiamente dicho, encierra una información adicional que, pese a su carácter accesorio, se halle tan íntimamente ligada al secreto de lo comunicado que también merezca convertirse en objeto de protección constitucional. Como es sabido, la jurisprudencia constitucional, tomando como inspiración la
STEDH de 2 agosto de 1982 

artículo 8 . En los registros así efectuados, se contienen informaciones -en especial, los números marcados- que son parte de las comunicaciones telefónicas. En opinión del Tribunal, ponerlos en conocimiento de la Policía, sin el consentimiento del abonado, se opone también al derecho confirmado por el  artículo 8″ (apartado 84 ).

La afirmación de que los números de teléfono marcados, la hora y la duración de la llamada, forman parte de los datos externos al proceso de comunicación, pero requieren el mismo nivel de protección que el contenido de aquélla, siendo decisiva, sólo resuelve una pequeña parte del problema. Hoy en día la telefonía móvil genera toda una serie de datos de tráfico que van mucho más allá de aquéllos respecto de los que el TEDH tuvo ocasión de pronunciarse, hace ahora más de 23 años.

La Directiva 97/66/ CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997 , relativa al Tratamiento de Datos Personales y Protección de la Intimidad en el sector de las Telecomunicaciones, incorporó en su Anexo una enumeración de los datos de tráfico definidos con carácter general en el art. 6.2 .

Allí podía leerse: «…a los efectos a que se hace mención en el apartado 2 del artículo 6 , podrán procesarse los siguientes datos que incluyan: el número o la identificación de la estación del abonado, la dirección del abonado y el tipo de estación, el número total de unidades que deben facturarse durante el ejercicio contable, el número del abonado que recibe la llamada, el tipo, la hora de comienzo y la duración de las llamadas realizadas o el volumen de datos transmitido, la fecha de la llamada o del servicio, otros datos relativos a los pagos, tales como pago anticipado, pagos a plazos, desconexión y notificaciones de recibos pendientes».

La simple lectura de esa enumeración ya anticipa la necesidad de operar con un criterio selectivo que, en atención a la funcionalidad del dato, permita discernir si su incorporación al proceso penal ha de realizarse, siempre y en todo caso, conforme a las normas que tutelan y protegen el secreto de las comunicaciones.

La mencionada Directiva 97/66 /CE fue expresamente derogada por la Directiva 2002/58  /CE, del Parlamento Europeo, relativa al Tratamiento de los Datos Personales y Protección de la Intimidad en el Sector de las Comunicaciones electrónicas. En su art. 2  .b) ofrece una definición auténtica de dato de tráfico entendiendo por tal «cualquier dato tratado a efectos de la conducción de una comunicación a través de una red de comunicaciones electrónicas o a efectos de la facturación de la misma». Esa definición se reitera en su instrumento de transposición, concretamente, en el Real Decreto 424/2005, 15 de abril, por el que se aprobó el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios (art. 64  a).

Pero además de la categoría de datos de tráfico, la indicada Directiva acoge un tratamiento singularizado para lo que denomina los «datos de localización», definiendo éstos como «…cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público» (art. 2  .c). También incluye entre las definiciones legales la referida al «servicio con valor añadido», esto es, «todo servicio que requiere el tratamiento de datos de tráfico o datos de localización distintos de los de tráfico que vayan más allá de lo necesario para la transmisión de una comunicación o su facturación» (art. 2 .g).

Cuanto antecede advierte que el concepto de datos externos manejado por el TEDH en la tantas veces invocada sentencia del Caso Malone, ha sido absolutamente desbordado por una noción más amplia, definida por la locución «datos de tráfico», en cuyo ámbito se incluyen elementos de una naturaleza y funcionalidad bien heterogénea. Y todo apunta a que la mecánica importación del régimen jurídico de aquellos datos a estos otros, puede conducir a un verdadero desenfoque del problema, incluyendo en el ámbito de la protección constitucional del derecho al secreto de las comunicaciones datos que merecen un tratamiento jurídico diferenciado, en la medida en que formarían parte, en su caso, del derecho a la protección de datos o, con la terminología de algún sector doctrinal, del derecho a la autodeterminación informativa (art. 18.4 CE ).

C) Conforme a esta idea, la Sala no puede aceptar que la captura del IMSI por los agentes de la Guardia Civil haya implicado, sin más, como pretende el recurrente, una vulneración del derecho al secreto de las comunicaciones. No es objeto del presente recurso discernir, entre todos los datos de tráfico generados en el transcurso de una comunicación telefónica, cuáles de aquéllos merecen la protección reforzada que se dispensa en el art. 18.3 de la CE . En principio, ese carácter habría de predicarse, actualizando la pauta interpretativa ofrecida por el TEDH, de los datos indicativos del origen y del destino de la comunicación, del momento y duración de la misma y, por último, los referentes al volumen de la información transmitida y el tipo de comunicación entablada. Y la información albergada en la serie IMSI, desde luego, no participa de ninguna de esas características. Varias razonas avalan esta idea.

En primer lugar, que en los supuestos de telefonía móvil con tarjeta prepago esa información, por sí sola, no permite obtener la identidad de los comunicantes, la titularidad del teléfono móvil o cualesquiera otras circunstancias que lleven a conocer aspectos susceptibles de protección por la vía del derecho al secreto de las comunicaciones. En segundo lugar, que esa numeración puede llegar a aprehenderse, incluso, sin necesidad de que el proceso de comunicación se halle en curso. Con ello quiebran también las ideas de funcionalidad y accesoriedad, de importancia decisiva a la hora de calificar jurídicamente el alcance de la tutela constitucional de esa información.

D) Es evidente, sin embargo, que la negación del carácter de dato integrable en el contenido del derecho al secreto de las comunicaciones, no implica su irrelevancia constitucional. La información incorporada a la numeración IMSI es, sin duda alguna, un dato, en los términos de la legislación llamada a proteger la intimidad de los ciudadanos frente a la utilización de la informática (art. 18.4 de la CE ). Y es que, por más que esa clave alfanumérica, por sí sola, no revele sino una sucesión de números que ha de ser completada con otros datos en poder del operador de telefonía, su tratamiento automatizado haría posible un significativo nivel de injerencia en la privacidad del interesado. Que la numeración del IMSI encierra un dato de carácter personal es conclusión que se obtiene por la lectura del art. 3.a) de la LO 15/1999, 13 de diciembre, de Protección de Datos de Carácter Personal, con arreglo al cual, dato personal es «…cualquier información concerniente a personas físicas identificadas o identificables».

Admitido que esa numeración IMSI es integrable en el concepto de dato personal, por cuanto que mediante su tratamiento automatizado y su interrelación con otros datos en poder del operador puede llegar a obtenerse, entre otros datos, la identidad del comunicante, obligado resulta precisar el régimen jurídico de su cesión y, sobre todo, el de su aprehensión mediante acceso.

No faltan preceptos en nuestro sistema que deberían ofrecer, al menos en el plano formal, una respuesta a nuestro interrogante. Así, el  art. 11.2.1 de la LO 15/1999, 13 de diciembre , sobre Protección de Datos de Carácter Personal, al ocuparse de la comunicación de los datos personales establece como principio de carácter general que «…los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado». Sin embargo, la propia ley excluye la necesidad de ese consentimiento «…cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas»  (art. 11.2 .d).

Con similar inspiración, el  art. 12.3 de la Ley 34/2002, 11 de julio, de Servicio de la Sociedad de la Información y del Comercio Electrónico, establecía en su   art. 12.3 que «…los datos se conservarán para su utilización en el marco de una investigación criminal o para la salvaguarda de la seguridad pública y la defensa nacional, poniéndose a disposición de los Jueces o Tribunales o del Ministerio Fiscal que así los requieran. La comunicación de estos datos a las Fuerzas y Cuerpos de Seguridad se hará con sujeción a lo dispuesto en la normativa sobre protección de datos personales». Este precepto ha sido derogado por la Ley 25/2007, 28 de octubre, a la que luego nos referiremos, habiéndose añadido un art. 12 bis por la Ley 56/2007, 28 de diciembre, sobre Medidas de Impulso de la Sociedad de la Información.

Una aproximación hermenéutica basada en la simple literalidad de aquellos preceptos, podría llevar a enunciar que, en los casos a que se refiere el art. 12.3 , la cesión de datos personales no está sujeta a reserva jurisdiccional. De hecho, así lo ha entendido en más de una ocasión la Agencia de Protección de Datos, órgano público de carácter autónomo que, conforme al  art. 37.1.a) de la LO 15/1999, 13 de diciembre, tiene por misión «…velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos» (cfr. informes 135/2003 y 297/2005).

Esta primera afirmación, sin embargo, no puede aceptarse sin más. En principio, ya hemos apuntado supra cómo de acuerdo con el estado actual de la jurisprudencia constitucional, todos aquellos datos que puedan considerarse integrados en el secreto de las comunicaciones, se sustraen al régimen de tutela constitucional que ofrece el  art. 18.4 de la CE y sus leyes de desarrollo, acogiéndose a la protección reforzada que impone el art. 18.3 en el que, siempre y en todo caso, se exige autorización judicial para cualquier forma de injerencia en el secreto de las comunicaciones. Así lo entendió, por otra parte, la Consulta de la Fiscalía General del Estado 1/1999, 22 de enero, sobre tratamiento automatizado de datos personales en el ámbito de las telecomunicaciones. En ella se razonaba que el  art. 11.2.d) de la LO 15/1999, 13 de diciembre , en cuanto autoriza un flujo inconsentido de información hacia autoridades no judiciales debe ser interpretado con extraordinaria cautela cuando el dato cuya cesión se pide está protegido ab origine por una garantía constitucional autónoma, como el secreto de las comunicaciones  -art. 18.3 CE  -, porque si bien el sacrificio del derecho fundamental configurado a partir del art. 18.4 de la CE como derecho a controlar el flujo de las informaciones que conciernan a cada persona -STC 11/1998, 13 de enero, FJ 5º – puede ser justo y adecuado cuando dicha información no sea particularmente sensible, el sacrificio de otros derechos fundamentales concurrentes exigirá una previsión legal más específica y concreta -STC 207/1996, FJ 6 .A- que la que dispensa la  cláusula abierta enunciada en el art. 11.2 .d).

E) Sea como fuere, la entrada en vigor de la Ley 25/2007, 18 de octubre, de Conservación de Datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de  Comunicaciones -dictada para la transposición de la Directiva 2006/24 / CE, del Parlamento Europeo y del Consejo, de 15 de marzo -, obliga a un replanteamiento de buena parte de las posiciones doctrinales e institucionales que habían relativizado, en determinados casos, la exigencia de autorización judicial para la cesión de tales datos.

En principio, no deja de llamar la atención la clamorosa insuficiencia, desde el punto de vista de su jerarquía normativa, de una ley que, regulando aspectos intrínsecamente ligados al derecho al secreto de las comunicaciones, y a la protección de datos personales, no acata lo previsto en el art. 81.1 de la CE .

Pese a todo, la Exposición de Motivos de la citada  Ley 25/2007 proclama que «…la ley es respetuosa con los pronunciamientos que, en relación con el derecho al secreto de las comunicaciones, ha venido emitiendo el Tribunal Constitucional, respeto que, esencialmente, se articula a través de dos garantías: en primer lugar, que los datos sobre los que se establece la obligación de conservación son datos exclusivamente vinculados a la comunicación, ya sea telefónica o efectuada a través de Internet, pero en ningún caso reveladores del contenido de ésta; y, en segundo lugar, que la cesión de tales datos que afectan a una comunicación o comunicaciones concretas, exigirá siempre autorización judicial previa».

El legislador español ha optado, así lo afirma de manera expresa, por un sistema de autorización judicial. El  art. 1 de la Ley 25/2007 señala que es su objeto «…la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales». El  art. 6.1 de la misma ley establece con toda claridad que «los datos conservados de conformidad con lo dispuesto en esta Ley sólo podrán ser cedidos de acuerdo con lo dispuesto en ella para los fines que se determinan y previa autorización judicial». Y entre los datos que han de ser objeto de conservación por los operadores se incluye, además de otros minuciosamente señalados en aquella ley, «la identidad internacional del abonado móvil (IMSI) de la parte que efectúa la llamada (…) y de la parte que recibe la llamada»  (art. 3.1.e.2.ii e iv ).

Tampoco ahora la aparente claridad de ese precepto resuelve satisfactoriamente el interrogante suscitado en el presente recurso. Se oponen a ello dos  razones básicas. La primera, la llamativa regulación de un sistema específico y propio para los servicios de telefonía mediante tarjetas de prepago  (disposición adicional única de la Ley 25/2007 ); la segunda, la ausencia de un régimen particularizado para aquellos casos, no de cesión del dato representado por la tarjeta IMSI, sino de acceso a ese mismo dato al margen de la entidad responsable de los ficheros automatizados.

F) Respecto de la primera de las cuestiones, la lectura de la disposición adicional única de la tantas veces citada Ley 25/2007 sugiere la clara voluntad legislativa de fijar un régimen particularizado para la telefonía celular mediante tarjeta prepago. Su análisis encierra una especial importancia para el supuesto que nos ocupa, toda vez que las comunicaciones del recurrente con otros miembros de la organización se verificaban mediante telefonía móvil en su modalidad de prepago.

El apartado 1 de la mencionada disposición establece la obligación de los operadores de llevar un libro-registro en el que conste la identidad de los clientes que adquieran una tarjeta con dicha modalidad de pago. En el mismo apartado se precisan los aspectos formales de esa identificación que, tratándose de personas físicas, consistirá en «…el documento acreditativo de la personalidad, haciéndose constar en el libro-registro el nombre, apellidos y nacionalidad del comprador, así como el número correspondiente al documento identificativo utilizado y la naturaleza o denominación de dicho documento».

Pues bien, el apartado 2 de la mencionada disposición adicional única, aclara que «…desde la activación de la tarjeta de prepago (…) los operadores cederán los datos identificativos previstos en el apartado anterior, cuando para el cumplimiento de sus fines les sean requeridos por los agentes facultados, los miembros de las Fuerzas y Cuerpos de Seguridad del Estado y de los Cuerpos Policiales de las Comunidades Autónomas con competencia para la protección de las personas y bienes y para el mantenimiento de la seguridad pública, el personal del Centro Nacional de Inteligencia en el curso de las investigaciones de seguridad sobre personas o entidades, así como los funcionarios de la Dirección Adjunta de Vigilancia Aduanera». Y con visible redundancia, el apartado 4 repite el mismo mensaje para aquellos casos en los que tales datos de identificación «…les sean requeridos (…) con fines de investigación, detección y enjuiciamiento de un delito contemplado en el Código Penal o en las leyes penales especiales».

Podría pensarse que este precepto, más allá del deseo estatal de someter a mayor control la
telefonía móvil en su modalidad prepago, no añade nada al régimen general de autorización judicial establecido por el  art. 6.1 de la Ley 25/2007. Sin embargo, la mención individualizada a los miembros de las Fuerzas y Cuerpos de Seguridad del Estado, funcionarios de Vigilancia Aduanera y personal del Centro Nacional de Inteligencia, cuando actúan en el ejercicio de las funciones de investigación y detección de los delitos, frente a los agentes facultados -esos mismos agentes cuando actúan con el respaldo de una autorización judicial previa- parecería avalar la idea de una excepción al régimen general.

No es fácil aceptar este criterio. De una parte, porque esta misma Sala ha dicho -y hemos transcrito supra- que el formato tecnológico en el que el proceso de comunicación se verifica no debe implicar una disminución del canon constitucional de protección del derecho al secreto de las comunicaciones. Además, carecería de sentido que la  Ley 25/2007 se propusiera regular un singularizado régimen de injerencia en la telefonía mediante tarjeta prepago cuando uno de los elementos definitorios de esa modalidad de comunicación, esto es, la posibilidad de asumir la condición de usuario sin revelar datos de identificación personal, está destinada a su desaparición, según se desprende de los apartados 7 y 8 de la mencionada disposición adicional única.

G.- Aceptado, pues, que nuestro régimen jurídico impone la exigencia de autorización judicial para la cesión por las operadoras del IMSI -también en los casos de telefonía móvil mediante tarjeta prepago-, hemos de cuestionarnos si el acceso a ese dato -no su cesión- puede obtenerse legítimamente por las Fuerzas y Cuerpos de Seguridad del Estado, sin necesidad de autorización judicial previa.

La primera idea que sugiere la lectura de la Ley 25/2007 es que sus preceptos se centran en ofrecer un casuístico régimen jurídico de la conservación y cesión por las operadoras de los datos relativos a las comunicaciones electrónicas -en nuestro caso, del IMSI-, pero no aborda la regulación de su recogida por las Fuerzas y Cuerpos de Seguridad del Estado, no desde los ficheros automatizados que obran en poder de los prestadores de servicio, sino desde el propio teléfono celular. Cobra todo su significado el régimen jurídico del acceso a los ficheros contemplado por la LO 15/1999, 13 de diciembre, de protección de datos.

Y es que frente al silencio de la nueva regulación, esta ley dispone que «la recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad  (art. 22.2 ). Además, «la recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos, a que hacen referencia los  apartados 2 y 3 del artículo 7 , podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines deuna investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de laobligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales»  (art. 22.3 ).

Esa capacidad de recogida de datos que la LO 15/1999, 13 de diciembre, otorga a las Fuerzas y Cuerpos de Seguridad del Estado, no puede, desde luego, servir de excusa para la creación de un régimen incontrolado de excepcionalidad a su favor. Pero tampoco cabe desconocer que la recogida de ese dato en el marco de una investigación criminal -nunca con carácter puramente exploratorio-, para el esclarecimiento de un delito de especial gravedad, puede reputarse proporcionada, necesaria y, por tanto, ajena a cualquier vulneración de relieve constitucional. También parece evidente que esa legitimidad que la ley confiere a las Fuerzas y Cuerpos de Seguridad del Estado nunca debería operar en relación con datos referidos al contenido del derecho al secreto de las comunicaciones  (art. 18.3 de la CE ) o respecto de datos susceptibles de protección por la vía del  art. 18.4 de la CE que afectaran a lo que ha venido en llamarse el núcleo duro de la privacidad o, con la terminología legal, los datos especialmente protegidos  (art. 7.2 LO 15/1999 ).

Hecha la anterior precisión, está fuera de dudas que el IMSI, por sí solo, no es susceptible de ser incluido en alguna de esas dos categorías. Ni es un dato integrable en el concepto de comunicación, ni puede ser encuadrado entre los datos especialmente protegidos. Como ya se razonó supra, ese número de identificación sólo expresa una serie alfanumérica incapaz de identificar, por su simple lectura, el número comercial del abonado u otros datos de interés para la identificación de la llamada. Para que la numeración IMSI brinde a los investigadores toda la información que alberga, es preciso que esa serie numérica se ponga en relación con otros datos que obran en poder del operador. Y es entonces cuando las garantías propias del derecho a la autodeterminación informativa o, lo que es lo mismo, del derecho a controlar la información que sobre cada uno de nosotros obra en poder de terceros, adquieren pleno significado. Los mismos agentes de Policía que hayan logrado la captación del IMSI en el marco de la investigación criminal, habrán de solicitar autorización judicial para que la operadora correspondiente ceda en su favor otros datos que, debidamente tratados, permitirán obtener información singularmente valiosa para la investigación. En definitiva, así como la recogida o captación técnica del IMSI no necesita autorización judicial, sin embargo, la obtención de su plena funcionalidad, mediante la cesión de los datos que obran en los ficheros de la operadora, sí impondrá el control jurisdiccional de su procedencia.

Y esto fue sencillamente lo que ocurrió en el presente caso. Según puede leerse en el FJ 1º B, «…la concordancia de estas claves numéricas tras varias vigilancias sobre las mismas personas les permitió informar al Juzgado de los números IMSI utilizados por los sospechosos, solicitando autorización para recabar el número de teléfono comercial asociado y su observación (…). Para la obtención del número de teléfono a través de las compañías operadoras, en este caso, la Guardia Civil ya recabó la autorización judicial». Así se desprende, además, de la lectura de los folios 51 y ss, en los que se contiene la primera solicitud de la fuerza actuante y del folio 60, en el que se recoge el auto dictado por el Juez de instrucción, previo informe favorable del Ministerio Fiscal.

No es equiparable el supuesto ahora enjuiciado al que fue objeto de solución por la STS 130/2007, 19 de febrero . En esta última resolución -que acoge dos votos particulares que concluyen la innecesariedad de autorización judicial por una vía argumental distinta a la aquí defendida-, puede leerse: «…la policía, antes de acudir al juzgado en demanda de una autorización para intervenir los teléfonos de referencia, habría procedido por sus propios medios técnicos a injerirse en el curso de algunas comunicaciones telefónicas, consiguiendo así los números de los correspondientes a un determinado usuario. Es lo que resulta del oficio que abre la causa en relación con la afirmación testifical antes transcrita, en la que el funcionario declarante precisó que el ingenio técnico utilizado permite la detección de «los números de teléfono que se están utilizando»» (FJ 1º). El hecho añadido de que alguno de los agentes que declararon en el juicio oral se amparara en el secreto profesional para negar toda explicación respecto del modo en que aquel número fue obtenido, añadió entonces una sombra de duda acerca de que el cruzamiento de datos que hizo posible el acceso al número telefónico se hubiera obtenido sin las debidas garantías.

Tampoco es identificable con el supuesto de hecho valorado por la sentencia de esta misma Sala núm. 23/2007, 23 de enero . En este caso, la intervención de la serie numérica IMEI -no la IMSI- se logró a partir de tres aparatos de telefonía móvil que habían sido sustraídos a la víctima de un delito de robo. Y, lo que es más relevante, esta resolución fue dictada cuando todavía no había sido aprobada la Ley 25/2007, 18 de octubre  que, como hemos tenido ocasión de razonar supra, impone la autorización judicial para la cesión de datos por los operadores de telefonía.

En el supuesto que motiva el presente recurso, pues, ninguna vulneración del derecho al secreto de las comunicaciones se produjo. De ahí la necesidad de desestimar el motivo por su falta de fundamento   (art. 885.1 LECrim ).

V.- Los motivos segundo y tercero, susceptibles de tratamiento conjunto, se formulan al amparo del art. 849.1 de la LECrim, denunciando infracción de ley, error de derecho, aplicación indebida de los arts. 369.2, 368, 29 y 63, todos ellos del CP.

Argumenta el recurrente que esa infracción legal se habría producido por el hecho de condenar a Arturo como miembro integrante de una organización, sin que concurran los requisitos legales y jurisprudenciales aplicables. Su condena como cómplice, simple aportador de una contribución secundaría, impediría la aplicación del tipo agravado previsto en el  art. 369.2 del CP .

El segundo motivo tiene que ser estimado.

En línea con la que ya declaramos en nuestra STS 763/2007, 26 de septiembre , es más que probable que la distribución clandestina de más de cuatro toneladas de cocaína no sea imaginable sin el apoyo logístico de una organización profesionalmente dedicada a tal objetivo. El coste económico de la droga, la definición de una ruta que implica cruzar el océano Atlántico y, en fin, la ineludible exigencia de contactos en el lugar de destino, sugieren un entramado organizativo, con distribución funcional de responsabilidades, sin el cual la operación nunca podría llevarse a efecto. Sin embargo, el  art. 369.1.2 del CP  no castiga con mayor gravedad el hecho de que la droga haya sido distribuida por una organización, sino que el culpable perteneciere a una organización. Resulta, pues, indispensable, para la correcta aplicación del tipo, que la sentencia de instancia describa pormenorizadamente, el itinerario lógico-deductivo que avala tal conclusión.

Es posible que el juicio de subsunción llevado a cabo por la Sala, a la vista del juicio histórico, que atribuye al hoy recurrente el nada despreciable papel de hacer posible la ocultación de Gonzalo, cuya rebeldía en otro procedimiento le obligaba a valerse de intermediarios y a llevar una vida de clandestinidad, admita sin dificultad una calificación distinta a la que es propia de la simple complicidad. De hecho, el factum precisa que Arturo, a las órdenes de Gonzalo, realizaba «…todo lo que éste les encomendaba», sabiendo que aquél «…estaba preparando una operación para importar cocaína, así se encargaban de vigilar la existencia de vehículos en las proximidades que pudiesen pertenecer a la Guardia Civil, de hacerle llegar teléfonos móviles, y otros efectos».

Sin embargo, fijada su aportación a los hechos en los estrictos términos de la complicidad, tiene toda la razón el Ministerio Fiscal -que sugiere un apoyo implícito al motivo- cuando recuerda las dificultades técnicas para aceptar una forma de participación basada en la complicidad que, al propio tiempo, conlleve la pertenencia a la organización y, en consecuencia, la aplicación del tipo agravado previsto en el art. 368.2 del CP. Cita en apoyo de esa idea la sentencia de esta misma Sala núm. 1179/2006, 5 de diciembre . En esta resolución el problema se planteaba en términos inversos, estimando el recurso del Ministerio Fiscal que consideraba que la pertenencia a una organización obligaba a la condena como autor material, en la medida -razonábamos entonces- que el art. 368 del CP  parte del concepto unitario de autor, según el cual se debe unificar el tratamiento de todas la formas de participación. Por lo tanto, toda persona que pertenece a una organización, como es el caso, no puede ser cómplice, aunque la pena que se le imponga deba ser proporcionada a su posición dentro de la organización.

En el presente supuesto, aceptada la calificación jurídica de la participación del recurrente como encuadrable en la categoría de la complicidad, obligado resulta ajustar la pena en los términos autorizados por los arts. 368 y 369.2 del CP , anticipando desde ahora que aquélla va a ser reducida al mínimo legal, con el fin de recompensar la supresión de la concurrencia del subtipo agravado. No puede aceptarse el criterio de la defensa del recurrente, cuando propugna operar con la pena mínima de tres años, establecida en el art. 368 del CP  y, a partir de ahí, aplicar la pena inferior en grado. Se olvida con ello que la incompatibilidad que hemos declarado entre el concepto de organización y el de complicidad, no es aplicable, sin más, al subtipo agravado previsto en el art. 368.6 del CP  -notoria importancia-, que también la Sala de instancia declara concurrente.

VI.- El motivo cuarto, al amparo del art. 849.2 de la LECrim, denuncia error de hecho en la apreciación de la prueba, derivado de documentos que demuestran la equivocación del Juzgador, error que ha determinado la vulneración del derecho a la presunción de inocencia del art. 24.2 de la CE .

Razona la defensa de Arturo que la sentencia de instancia ha reputado a aquél como cómplice a partir de las conversaciones que la propia Sala destaca. Sin embargo, esas conversaciones, en modo alguno, conducen de forma inexorable a la afirmación de su participación en los hechos.

El motivo no puede ser acogido.

La vía del art. 849.2 de la LECrim, en buena técnica, impediría ese singular tratamiento procesal que el recurrente construye forzadamente para revisar la apreciación probatoria llevada a cabo por la Sala de instancia. Conforme a reiterada doctrina jurisprudencial, las transcripciones de las conversaciones telefónicas intervenidas no constituyen prueba documental susceptible de acreditar el «error facti», pues se trata de pruebas de naturaleza personal por más que figuren documentadas en un soporte sonoro o escrito (por todas, SSTS 1024/2007, 1157/2000, 18 de julio y 942/2000, 2 de junio ).

De ahí que el esfuerzo argumental encaminado a acreditar la pretendida equivocación del órgano decisorio esté condenado de antemano a ser inatendido.

Aun así, en un entendimiento bien flexible del derecho constitucional a la tutela judicial efectiva, esta Sala ha constatado cómo el Tribunal de instancia pudo ponderar, para formar su convicción acerca de la participación de Arturo, además de las conversaciones telefónicas que el propio recurrente, destaca, la declaración de los agentes de la Guardia Civil, que describieron los continuos contactos de aquél con Gonzalo y, sobre todo, el reconocimiento que el recurrente admitió respecto a los servicios prestados a aquél, a sabiendas de su situación de busca y captura, declaración que encuentra fundado complemento en el testimonio prestado por Marí Jose ante el Juzgado de instrucción.

En consecuencia, procede la desestimación del motivo, en aplicación de lo prevenido en los arts.884.4 y 885.1 de la LECrim.

 

 

Seguridad Jurídica en Medios de Pago

Deja un comentario

Mañana y pasado (7 y 8 de octubre de 2008) participaré en el evento Seguridad Jurídica en Medios de Pago organizado por el IIR.

Mis módulos (3 y 4) los impartiré la tarde de mañana y seguiré la mañana del miércoles.

MODULO 3
Gestión del fraude y evidencias electrónicas. Métodos especiales de autenticación

MODULO 4
Implicaciones jurídicas de la contratación electrónica mediante DNIe y otros certificados

En unos dias, el 15 y 16 de Octubre de 2008 tambien participaré en el Seminario Especificaciones Técnicas de la nueva normativa de Facturación Electrónica (facturae) organizado por IIR España, Institute for International Research y que lo desarrollamos completamente personas de Albalia Interactiva

Posteriormente,  el 28 y 29 de Octubre de 2008 tambien participaré en el Seminario PCI DSS organizado por IIR España, Institute for International Research, junto con Lara Fiorani (PCI DSS Technical Manager de Visa Europa) y Pedro Sánchez (Director de Seguridad de ATCA).

Ingefor 2008 empieza mañana

Deja un comentario

Ya he comentado en este blog el importante evento I Congreso de Ingeniería Forense 2008 que empieza mañana. Recomiendo que visiteis el web del congreso.

Mi intervención se titula “Gestión electrónica de documentos con carácter probatorio” y está prevista de 12:10 a 13:00 en la Sala B. También participo en una mesa redonda por la tarde.

El evento tendrá lugar en la Escuela Técnica Superior de Ingenieros de Minas, en la calle Rios Rosas, 21 y dura toda la semana.

Os dejo aquí la agenda del lunes 6 de octubre de 2008 de la sala B. Para el resto, consultar la agenda del congreso.

 08:00 a 09:00 . Inscripción y registro

09:00 a 09:30 . Apertura del Congreso

09:45 a 10:35 .

«Características de los Delitos Informáticos.»

Don Eloy Velasco Nuñez
Magistrado de la Audiencia Nacional

10:40 a 11:10 . Café

11:15 a 12:05 .

“Aportación de la Prueba Electrónica al Proceso Penal
a) Correo Electrónico
b) Escaneo del IMSI 

Don Manuel Marchena Gómez
Magristrado del Tribunal Supremo

 12:10 a 13:00 .

“Gestión electrónica de documentos con carácter probatorio.” 

Don Julián Inza Aldaz
Ingeniero Superior de Telecomunicaciones y Presidente de Albalia Interactiva 

13:05 a 13:55 .

“La prueba ilícita. Consecuencias penales y procesales.” 

Dra. Doña Carmen Figueroa Navarro
Profesora Titular de Derecho Penal de la Universidad de Alcalá de Henares
Secretaria Técnica del Instituto Universitario de Investigación en Ciencias Policiales (IUICP). Universidad de Alcalá de Henares

14:00 a 16:00 . Almuerzo 

16:00 a 17:50 

MESA REDONDA: “La prueba ilícita”  

Participan:

  • Don José Luís Manzanares Samaniego
    Consejero del Consejo de Estado
    Magistrado del Tribunal Supremo en Excedencia
  • Dra. Doña Carmen Figueroa Navarro
    Profesora Titular de Derecho Penal de la Universidad de Alcalá de Henares
    Secretaria Técnica del Instituto Universitario de Investigación en Ciencias Policiales (IUICP). Universidad de Alcalá de Henares
  • Dr. Don Carlos Barriuso Ruiz
    Profesor de la Universidad de Alcalá de Henares
  • Dr. Don Julián Inza Aldaz
    Ingeniero Superior de Telecomunicaciones y Presidente de Albalia Interactiva 

Modera: Don Luis Román Puerta Luis
Magistrado de la Sala Segunda del Tribunal Supremo y Ex Presidente de la Sala de Lo Penal del Tribunal Supremo

18:00 a 19:15 

TALLER: “Marco legal del comercio electrónico”

Participan:

  • Don José María Anguiano Jiménez            
    Socio del despacho de abogados Garrigues Abogados
  • Don Rafael Velázquez Bautista               Director del despacho de abogados Estudio Jurídico Económico
  • Don Javier Cremades García               Presidente del despacho de abogados Cremades & Calvo Sotelo

  • Don Diego Solana Jiménez             
    Abogado del despacho Cremades & Calvo Sotelo

  • Don Nicolás Cabezudo Rodríguez            
    Profesor Titular de Derecho Procesal de la Universidad de Valladolid

Modera: Don Jose Luis Castro de Antonio Magistrado de la Audiencia Nacional

Sentencias recopiladas por Miguel Angel Mata

1 respuesta

Os recomiendo la lectura de las sentencias recopiladas por Miguel Angel Mata. En su blog también podéis encontrar interesantes comentarios sobre ellas y sobre diversos temas respecto a los que compartimos interés.

Recordatorio tributario

1 respuesta

Se acaba el plazo para la adaptación respecto a algunas obligaciones tributarias que comenté hace algún tiempo:

Nuevas obligaciones tributarias. Real Decreto 1065/2007, de 27 de julio,

Nuevas obligaciones tributarias. Orden EHA/3435/2007, de 23 de noviembre

Es interesante repasar esos resúmenes.

EU: eInvoicing: VAT – Review of existing legislation on invoicing

Deja un comentario

En el portal ePractice de la unión europea se ha publicado una información sobre las conclusiones del grupo de trabajo que valora las posibles modificaciones de la normativa del IVA y de la facturación, indicando la posibilidad de aportar ideas para su informe final hasta el 19 de septiembre de 2008.

The European Commission has launched an online consultation to ascertain the views of businesses on the review of the existing legislation on VAT invoicing. In particular, it focuses on matters in relation to VAT and eInvoicing. Interested parties are invited to submit their comments by 19 September 2008 at the latest.

 

The consultation is based on an Invoicing Study to be produced for the Commission. The Commission hopes to receive contributions concerning a selection of the recommendations contained in the Invoicing Study and other recommendations businesses may have. More information is contained in the consultation paper.

Interested parties are invited to submit their comments by 19 September 2008 at the latest. Comments may be sent alternatively by:

  • Regular post, to the European Commission, Directorate-General for Taxation and Customs Union, VAT and other turnover taxes, Rue Montoyer 59, office 5/96, B-1049 Brussels, Belgium.
  • Fax, to +32-2-299-36-48;
  • Email, to taxud-d1-invoicing@ec.europa.eu.

The Commission will publish a report summarising the outcome of this consultation as soon as possible after the end of the feedback period. If, for any reason, those contributing wish their comments to remain confidential, they are invited to state it. Otherwise, the European Commission will assume that the contributors have no objection to the subsequent publication of their comments on the European Commission website.

Further information:

 

 

Seminario de Digitalización Certificada

2 respuestas

El próximo 16 de septiembre de 2008 se celebrará el seminario «Digitalización Certificada« organizado por Atenea Interactiva. El evento tendrá lugar en el Aulario de Directivos de la Universidad Alfonso X El Sabio, sito en Avda. Comandante Franco, 10 bis (casi esquina con Pio XII)   

Es posible obtener el folleto del seminario en PDF e inscribirse en este formulario.

Tiene un coste para el primer asistente de  575€+IVA y de 475€+IVA  para el segundo asistente y siguientes.

Participamos como ponentes Fernando Pino y yo, que acumulamos bastante experiencia en consultoría y auditoría de Digitalización Certificada en Albalia Interactiva.

Esta es la agenda prevista:

Normativa relacionada con la Orden EHA 962/2007

  • Directiva 200 l/115/CE del Consejo, con objeto de simplificar, modernizar y armonizar las condiciones impuestas a la facturación en relación con el Impuesto sobre el Valor Añadido Directiva 2006/112
  • Directiva 2006/112 :Real Decreto 1496/2003, de 28 de noviembre
  • Normativa foral relativa a la facturación
  • La facturación electrónica en la Ley de Contratos del Sector Público
  • La facturación electrónica en la Ley de Medidas de Impulso de la Sociedad de la Información

 Análisis de la Orden EHA /962/2007

Estudio de la Orden EHA /962/2007, de 10 de abril: desarrollo de disposiciones sobre facturación telemática y conservación electrónica de facturas

  • Obligaciones del expedidor en la conservación de las facturas y documentos sustitutivos
  • Obligaciones de los destinatarios en la conservación electrónica de las facturas y documentos sustitutivos
  • Digitalización certificada de las facturas recibidas y documentos  sustitutivos recibidos y de otros documentos o justificantes
  • Impresión de facturas y documentos sustitutivos remitidos en formato electrónico
  • Certificados electrónicos de las entidades prestadoras de servicios de certificación y firma electrónica

Firma electrónica: autenticidad e integridad de la copia digital

  • Cómo se cumplen los requisitos de integridad y autenticidad de origen
  • Directiva 1999/93/CE del Parlamento europeo y de Consejo, de 13 de diciembre, por la que se establece un marco comunitario para la firma electrónica
  • Ley 5912003, de 19 de diciembre, de Firma Electrónica
  • Tipos de firmas electrónicas y de certificados electrónicos. Certificados reconocidos o cualificados. Certificados de personas físicas y jurídicas
  • Tipos de firmas electrónicas. Estándares TS 101 733 Y TS 101 903.
  • DNI electrónico
  • Servicios de Validación (VA) Y de sellado de tiempo (TSA)

Planificación de Proyectos Digitalización Certificada y de Facturación Electrónica

  • Arquitectura tecnológica y requerimientos funcionales del proyecto de implantación Soluciones tecnológicas empaquetadas y «a medida»: ventajas y limitaciones
  • Gestión de la firma electrónica y de la validación. Excepciones a la validación Protección de datos en relación con las facturas electrónicas
  • Factura Normalizada de Asimelec
  • Archivo y conservación de las facturas electrónicas.                      
  • Disponibilidad para auditoría e inspección tributaria
  • Digitalización Certificada. La posibilidad de digitalizar facturas con firma electrónica, destruyendo los documentos en papel
  • Recepción de facturas electrónicas en las Administraciones Públicas
  • Digitalización de Facturas en el Sector Público: la destrucción de facturas en papel y tratamiento de facturas digitalizadas como originales de cara a la Intervención general del Estado
  • Tratamiento fiscal (deducciones) de los proyectos de Facturación Electrónica y Digitalización Certificada

Proceso de Homologación del Software de Digitalización Certificada

  • Procedimientos y controles necesarios para garantizar la fidelidad del proceso de digitalización certificada
  • Resultado de la digitalización certificada.
  • Organización documental de los campos exigibles del registro de datos (según arto 62 y siguientes del Real Decreto 1624/1992)
  • Imagen binaria del documento digitalizado o enlace al fichero que la contenga
  • Funcionalidades del software de digitalización certificado
  • Firma de la base de datos para garantizar la integridad de datos e imágenes
  • Garantía de acceso a la base de datos: consulta en línea, búsqueda selectiva

Digitalización certificada por terceros:

  • Cómo garantizar que es correcta la Digitalización efectuada por el prestador
  • Acceso a la información, CD ROM, on line
  • Proceso de Digitalización. Garantías del Sistema: autenticidad e integridad
  • Documentación preparar en un proceso de homologación.
  • Declaración responsable, informe, técnico e integridad
  • Documentación a preparar en un proceso de homologación.
  • Declaración responsable, informe técnico, plan de calidad