EncroChat prueba nula: el Tribunal de Berlín inadmite la prueba de cargo derivada de los mensajes de EncroChat

El Tribunal Regional de Berlin declara nula la prueba derivada de los mensajes de EncroChat

¿Podemos considerar los mensajes de Encrochat como prueba nula? El Tribunal Regional de Berlín (Landgericht Berlin) ha dictado una sentencia histórica (525 KLs 8/22) en la que absuelve a un acusado por múltiples delitos de tráfico de drogas , al declarar inadmisibles las pruebas obtenidas mediante EncroChat. Este fallo, fundado en el Derecho de la Unión Europea y en la normativa procesal alemana, marca un antes y un después en los procesos penales que se apoyan en datos extraídos de esta red de comunicaciones encriptadas.

¿Qué es EncroChat y por qué se cuestiona su validez?

EncroChat era un sistema de telefonía cifrada utilizado, entre otros, por organizaciones criminales para comunicaciones ilegales. Las autoridades francesas infiltraron el sistema mediante un software espía (malware) y, a través de Europol, compartieron millones de mensajes con otras fiscalías europeas, incluyendo las de Alemania, Países Bajos y España.

¿Qué ha decidido el Tribunal alemán? Análisis jurídico de la sentencia que declara EncroChat prueba nula en Alemania

En su sentencia del 19 de diciembre de 2024, el Tribunal Regional de Berlín concluyó que los chats extraídos de los dispositivos EncroChat no son admisibles como prueba en juicio penal, sustentando esta exclusión en tres fundamentos jurídicos centrales, derivados de la legislación europea, el derecho procesal penal alemán y principios constitucionales y convencionales de protección de los derechos fundamentales.

1. Violación del artículo 31 de la Directiva 2014/41/UE sobre la Orden Europea de Investigación (OEI): motivo clave para declarar EncroChat prueba nula

El artículo 31 de la Directiva 2014/41/UE sobre la Orden Europea de Investigación (OEI) impone una condición fundamental: cuando un Estado miembro desea intervenir telecomunicaciones que afectan a otro Estado miembro —por ejemplo, porque los dispositivos o personas vigiladas se encuentran en su territorio—, debe notificar y obtener autorización previa del Estado receptor.

En el caso de EncroChat, Francia desplegó malware en terminales que sabía que estaban siendo usados principalmente en Alemania, pero omitió completamente la notificación y autorización judicial alemana. Según la reciente sentencia del TJUE (C-670/22, de 30 de abril de 2024), esta omisión no es un defecto menor:

“La notificación prevista en el artículo 31 no es una mera formalidad, sino una garantía sustancial que permite al Estado receptor ejercer su soberanía y proteger su propio nivel de derechos fundamentales, incluidos el derecho a la vida privada y a las comunicaciones” (ap. 124).

 ¿Qué implicaciones tiene esto en el Derecho alemán? ¿Por qué EncroChat es una prueba nula en Alemania?

Alemania ha transpuesto el artículo 31 a través del § 91g Abs. 6 del IRG (Gesetz über die internationale Rechtshilfe in Strafsachen). Esta norma refuerza la directiva europea, obligando a las autoridades alemanas a oponerse expresamente a cualquier medida extranjera que no hubiera sido autorizada en un caso nacional análogo. Como en este caso no existía sospecha concreta contra los usuarios alemanes, y no se solicitó intervención judicial al Amtsgericht o Landgericht Stuttgart, el tribunal de Berlín declaró que:

“La medida de vigilancia fue ilícita desde el inicio y genera un Beweisverwertungsverbot (prohibición de utilización como prueba)”.

¿Y en el Derecho español?

España transpuso el artículo 31 de la Directiva mediante la Ley Orgánica 7/2014, que reformó la Ley 23/2014 sobre reconocimiento mutuo de resoluciones penales. Conforme a los artículos 202, 204 y 205 de esta ley, toda intervención de telecomunicaciones ordenada desde otro Estado y que afecte al territorio español debe contar con autorización judicial previa nacional, bajo los requisitos del art. 588 bis LECrim y siguientes.

Si una intervención como la de EncroChat se hubiera ejecutado en España sin esta notificación ni intervención judicial española:

• Se habría producido una infracción del artículo 588 bis c LECrim (por falta de control judicial),

• una violación del derecho fundamental al secreto de las comunicaciones (art. 18.3 CE),

• y se activaría la prohibición de utilización probatoria del artículo 11.1 LOPJ, al tratarse de pruebas obtenidas con vulneración de derechos fundamentales.

En definitiva, tanto en Alemania como en España, la omisión de la notificación prevista en el artículo 31 constituye una infracción esencial que conlleva la nulidad de pleno derecho del medio de prueba así obtenido

2. Infracción del artículo 6.1.b) de la Directiva 2014/41/UE

Este precepto establece que una medida solicitada mediante OEI solo puede ejecutarse si también sería legalmente admisible en el país solicitante (Alemania).

La Generalstaatsanwaltschaft Frankfurt/Main (Fiscalía General de Fráncfort del Meno) solicitó el 2 de junio de 2020, mediante OEI, el uso judicial de los chats captados por EncroChat. Pero no valoró si tal medida hubiera sido lícita en un procedimiento alemán equivalente.

Según el § 100e apartado 6 del StPO (Código Procesal Penal alemán), la reutilización de datos obtenidos mediante medidas tecnológicas altamente intrusivas, como un troyano o “Quellen-TKÜ” (vigilancia de la fuente de telecomunicaciones), solo es admisible si:

1. Fueron válidamente obtenidos en el procedimiento inicial.
2. Existe un Anfangsverdacht (sospecha inicial) serio e individualizado de la comisión de una Katalogtat (delito grave del catálogo).
3. Y se ha hecho un control judicial específico sobre la nueva finalidad del uso de los datos.

En este caso, ninguno de esos requisitos se cumplía:

1. No existía sospecha individualizada contra el acusado.
2. Los datos fueron obtenidos de forma masiva y sin control judicial alemán.
3. Se omitió la necesaria ponderación sobre su reutilización en otro procedimiento.

Por tanto, la Fiscalía solicitó y utilizó datos que, de haberse captado internamente en Alemania, habrían sido inadmisibles, infringiendo así la directiva y el principio de equivalencia procesal.

¿Qué habría pasado en España? Claves para declarar Encrochat prueba nula o inadmisible

En particular, los artículos 186, 187 y 188 de la Ley 23/2014 exigen que cualquier OEI respete las garantías procesales internas, y especialmente que:

• La medida solicitada podría haberse adoptado conforme a las condiciones del ordenamiento español.
• Se respeten los derechos fundamentales, incluyendo la intervención judicial si es necesaria (art. 588 bis  y ss. LECrim).

En España, la utilización de datos captados por herramientas como un troyano —vigilancia encubierta de dispositivos electrónicos— está regulada por el artículo 588 septies a LECrim, y solo es admisible si:

1. La medida ha sido autorizada judicialmente.
2. Existe una investigación concreta por delito grave.
3. Se ha respetado el principio de especialidad y proporcionalidad.

Además, el artículo 588 bis i  impone límites a la reutilización de datos en otros procedimientos, que deben ser autorizados judicialmente y bajo nuevos presupuestos.

Por tanto, si una fiscalía española hubiera solicitado el uso judicial de datos de EncroChat captados sin control ni sospecha concreta, como hizo la Fiscalía alemana en este caso, la prueba sería nula por vulneración de la LECrim y de los artículos 18.3 y 24.2 CE.

Conclusión sobre la prueba nula de EncroChat

Alemania y España coinciden en exigir que la reutilización de datos en procedimientos penales solo sea válida si:

• Se obtuvo judicialmente en origen,
• Se cumple con el principio de proporcionalidad,
• Y se respeta el derecho a un proceso con todas las garantías.

La infracción del artículo 6.1.b) de la Directiva 2014/41/UE en este caso representa una vulneración sustancial del Estado de Derecho que, en cualquier jurisdicción con estándares similares como la española, habría conllevado también la inadmisión de la prueba.

3. Vulneración del derecho a un proceso justo (Art. 6 CEDH y Art. 14.7 de la Directiva OEI)

El Landgericht Berlin, en su sentencia de diciembre de 2024 (525 KLs 8/22), concluyó que la utilización de los chats de EncroChat vulneró el derecho del acusado a un juicio justo. Este derecho, consagrado tanto en el artículo 6 del Convenio Europeo de Derechos Humanos (CEDH) como en el artículo 14.7 de la Directiva 2014/41/UE (OEI), exige que el acusado pueda conocer, examinar e impugnar las pruebas que se utilizan en su contra.

Opacidad probatoria: secreto técnico y falta de verificación

El tribunal denunció que ni las autoridades francesas ni las alemanas facilitaron información clave sobre el proceso de obtención y tratamiento de los datos, lo cual afectó gravemente el ejercicio del derecho de defensa. Concretamente:

• No se reveló el funcionamiento del malware utilizado para infiltrar los dispositivos.
• No se explicó el método de captación y transmisión de los mensajes.
• No se permitió el acceso al software y macros VBA usados por el BKA (Oficina Federal de Policía Criminal) para reconstruir los chats.

Esta falta de acceso a la cadena técnica y lógica de los datos impidió tanto a la defensa como al perito designado verificar la autenticidad, integridad y origen de las conversaciones atribuidas al acusado.

 Derechos esenciales de la defensa vulnerados

La negativa de las autoridades a proporcionar acceso técnico suficiente vulneró diversos principios fundamentales:

• Derecho a conocer y refutar la prueba
• Confirmado por el TEDH (Yalcinkaya c. Turquía, 26.09.2023): la defensa debe tener acceso efectivo a los elementos probatorios relevantes, especialmente si son complejos desde el punto de vista técnico.
• Principio del contradictorio
• El tribunal berlinés destacó que la defensa no pudo someter la prueba a contradicción, al no disponer de medios para verificar la fiabilidad de los datos mediante un peritaje independiente.
• Carga de la prueba sobre la fiabilidad
• Según el TEDH en Mirilashvili c. Rusia, corresponde a la acusación probar que la evidencia es fiable, no al acusado demostrar su falsedad.
• Principio de igualdad de armas
• La negativa del BKA a entregar las macros de análisis y las comunicaciones SIENA (canal de Europol), bajo alegaciones genéricas de seguridad nacional, privó a la defensa de la posibilidad de impugnar la autenticidad de la prueba.

Comparación con el Derecho español

El Derecho español establece principios muy similares de protección del derecho de defensa y exclusión de pruebas defectuosas:

• Artículo 24.2 de la Constitución Española (CE):
• Reconoce el derecho a un proceso con todas las garantías y a utilizar los medios de prueba pertinentes para la defensa.
• Jurisprudencia del Tribunal Constitucional:
• Establece que toda prueba que no pueda ser sometida a contradicción por la defensa debe ser considerada ilícita.
• Artículo 11.1 de la LOPJ:
• Consagra el principio de exclusión de pruebas obtenidas vulnerando derechos fundamentales (“fruto del árbol envenenado”).
• Doctrina sobre pruebas digitales:
• En España, los datos informáticos deben venir acompañados de una cadena de custodia clara, y su análisis debe estar sometido a control pericial y posibilidad de contradicción. Si no se garantiza esto, la prueba es inadmisible.

Por tanto, lo que el Tribunal berlinés ha establecido en relación con EncroChat sería plenamente aplicable en España. Una prueba digital captada secretamente por otro Estado, sin control judicial nacional y sin posibilidad de verificación técnica por la defensa, vulnera el derecho a un juicio justo y debe ser excluida.

¿Qué dijo el Tribunal de Justicia de la Unión Europea?

EncroChat y el TJUE: claves de la sentencia C-670/22 sobre prueba nula

La sentencia del TJUE de 30 de abril de 2024 (C-670/22) es una piedra angular para entender por qué el Landgericht Berlin declaró inadmisibles los chats de EncroChat. Este fallo corrige expresamente la interpretación previa del Bundesgerichtshof (BGH) de 2022, que había considerado que los artículos 31 y 6.1.b) de la Directiva 2014/41/UE sobre la Orden Europea de Investigación (OEI) eran normas de mero procedimiento sin efectos directos sobre los derechos fundamentales del acusado.

Sin embargo, el TJUE ha afirmado tajantemente que:

“Los artículos 31 y 6.1.b) de la Directiva OEI tienen carácter individualmente protectorio, garantizando derechos fundamentales como el derecho a la vida privada (art. 7 Carta de Derechos Fundamentales de la UE), a la protección de datos (art. 8) y a un proceso equitativo (art. 47 y 48)” (C-670/22, ap. 124).

Esto significa que cualquier actuación que vulnere estos preceptos afecta directamente a la validez del procedimiento penal, incluso en contextos de cooperación entre Estados miembros. La Directiva no es solo un marco de colaboración, sino también una garantía para los derechos procesales de los ciudadanos europeos.

¿Qué ocurre con el principio de confianza mutua?

La cooperación judicial en la Unión Europea se basa en el principio del mutuo reconocimiento de resoluciones judiciales, anclado en la idea de que todos los Estados miembros comparten un mismo respeto por los derechos fundamentales. Pero el TJUE matiza:

“El principio de confianza mutua no puede utilizarse para justificar el uso de pruebas obtenidas vulnerando las garantías del Estado receptor de la prueba, si este cuenta con estándares más altos de protección” (C-670/22, ap. 128).

En otras palabras, lo que es válido en Francia no tiene por qué serlo en Alemania. El tribunal de Berlín toma esta doctrina y la aplica con claridad: Alemania tiene su propio estándar constitucional de garantías procesales, que exige la existencia de una sospecha concreta (Anfangsverdacht) para autorizar la vigilancia de comunicaciones, además de control judicial previo.

Si Francia actúa unilateralmente sobre dispositivos situados en suelo alemán, sin autorización judicial alemana, se rompe esa cadena de legalidad. Y los datos obtenidos así no pueden usarse, por muy válidos que fueran en Francia. 

España debería declarar nula la prueba de EncroChat

Lo que en Francia puede haber sido válido según sus propios estándares procesales, no puede trasladarse automáticamente a Alemania o España sin revisión judicial previa. La soberanía judicial de cada Estado miembro y la necesidad de preservar su nivel de garantías constitucionales exigen que el artículo 31 de la OEI no sea ignorado bajo la excusa del principio de confianza mutua. 

El Tribunal Regional de Berlín toma una postura lógica, ya que no se puede aceptar una diligencia simplemente porque otro Estado miembro lo haga. No basta, como se está haciendo ahora en España con limitarse únicamente al reconocimiento mutuo, sino que debe analizarse desde el prisma del ordenamiento jurídico en el que se ha resuelto la controversia y analizar si esa práctica hubiera sido válida respecto a nuestro ordenamiento jurídico.

Esperemos que este caso marque un antes y un después en la cooperación judicial europea, reforzando el control judicial nacional como barrera esencial para proteger derechos fundamentales en contextos tecnológicos altamente invasivos como EncroChat.

El talón de Aquiles de las pruebas derivadas de EncroChat: secreto técnico y falta de verificación probatoria

El tercer elemento clave para la inadmisibilidad probatoria es la falta de transparencia técnica. El tribunal alemán denuncia que las autoridades francesas y alemanas se negaron a revelar cómo funcionó técnicamente el hackeo a EncroChat, bajo pretextos de secreto militar o confidencialidad de herramientas policiales.

Esto plantea dos problemas graves:

1. No se puede verificar la autenticidad e integridad de los datos.
• No existen registros de cadena de custodia («chain of custody»).
• No hay documentación forense de cómo se extrajeron, almacenaron y transmitieron los chats.
2. No se permitió a peritos independientes auditar las herramientas del BKA.
• El software usado para reconstruir los chats (“BKA-Tool”) contiene macros VBA ocultas.
• Estas macros no fueron facilitadas ni siquiera al tribunal ni a los peritos técnicos de la defensa.

Esto, según la jurisprudencia del Tribunal Europeo de Derechos Humanos (EGMR), impide al acusado ejercer su derecho de defensa de forma efectiva. Si no se puede cuestionar la fiabilidad de una prueba digital —por ser técnicamente inaccesible o deliberadamente oculta—, se vulnera el derecho a un juicio justo (art. 6 CEDH).

El TJUE lo ha reiterado en su sentencia:

“Si la parte no puede pronunciarse eficazmente sobre un medio de prueba esencial, debe excluirse del procedimiento” (C-670/22, ap. 105).

¿Te acusan de tráfico de drogas o pertenencia a organización criminal? 

Enfrentarte a un procedimiento penal por delitos contra la salud pública o por presunta pertenencia a una organización o grupo criminal puede poner en juego tu libertad, tu patrimonio y tu futuro. No todos los abogados están preparados para defender este tipo de causas complejas, donde cada detalle procesal puede marcar la diferencia entre una condena y una absolución. Como abogado denfesor con amplia experiencia en macroprocesos, investigaciones transnacionales (como EncroChat o SkyECC), registros tecnológicos y estrategias de defensa penal avanzadas, pongo todos mis conocimientos jurídicos y técnicos al servicio de tu caso. Desde la fase de instrucción hasta el juicio oral, diseñaré una defensa a medida, firme, técnica y combativa para lograr la mejor resolución posible: la absolución.

La diferencia entre un abogado experto en tráfico de drogas y un abogado penalista generalista, es su capacidad de encontrar nulidades en los autos de entrada y registro o en la intervención de escuchas telefónicas.

Soy Víctor Ávila, abogado penalista, y quiero ayudarte.