Durante décadas, cuando los fiscales necesitaban pruebas electrónicas en poder de un proveedor de servicios de otro país, sólo tenían una opción realista: el Tratado de Asistencia Judicial Recíproca (MLAT). El sistema MLAT funcionó -al final-, pero se construyó para las investigaciones de la era del papel, no para la ciberdelincuencia, el ransomware, el fraude en línea o el terrorismo transfronterizo de la era de la nube. Las solicitudes solían tardar entre 6 y 18 meses, y cuando un proveedor alemán recibía por fin una solicitud procedente de Francia, los sospechosos a menudo habían desaparecido y se habían perdido datos efímeros.
En Reglamento sobre la prueba electrónica (UE) 2023/1543, que se aplica directamente en 18 de agosto de 2026, cambia radicalmente esta situación. Sustituye a la lenta y diplomática vía MLAT por un canal rápido, armonizado y judicial que funciona en días y, en caso de urgencia, en horas. Para cada proveedor de comunicaciones electrónicas, alojamiento, nube, mercado y plataforma en línea que opera en la UE, este es el cambio más significativo en la legislación sobre pruebas transfronterizas en una generación.
Este artículo explica, en términos prácticos, qué ha cambiado entre el mundo MLAT y el mundo e-Evidence, qué significa operativamente, y cómo los proveedores de servicios deben remodelar sus programas de cumplimiento antes de la fecha límite.
El viejo mundo: cómo funcionaban los MLAT (y por qué tuvieron problemas)
Un MLAT es un tratado bilateral o multilateral de Derecho internacional público que permite a un Estado solicitar cooperación judicial -incluida la aportación de pruebas- a otro. En la práctica, una solicitud MLAT para obtener pruebas electrónicas seguía un largo camino de varias etapas:
- Un fiscal de la Estado solicitante redactó una comisión rogatoria formal y la remitió a su Autoridad Central nacional (normalmente el Ministerio de Justicia).
- La Autoridad Central revisó y tradujo la solicitud, y luego la transmitió por vía diplomática a su homóloga en el Estado requerido.
- La Autoridad Central receptora transmitió la solicitud a un tribunal o fiscal local competente.
- La autoridad local emitió una orden judicial interna contra el proveedor de servicios.
- El proveedor producía los datos, que luego se reenviaban a través de la misma cadena en sentido inverso.
Cada paso añadía semanas o meses. Los requisitos de traducción y formalidad añadían más retrasos. Para cuando el proveedor solicitado recibía finalmente una orden nacional ejecutable, la investigación subyacente a menudo había avanzado, los datos podían haber caducado o el sospechoso había cruzado otra frontera. Los estudios han constatado repetidamente que la duración media de los ciclos de las MLAT es de alrededor del 10 meses, Muchos casos se prolongan más de un año.
El nuevo mundo: Órdenes directas en virtud del Reglamento de la UE sobre pruebas electrónicas
El Reglamento sobre la prueba electrónica introduce dos nuevos instrumentos: el Orden europea de producción (OEP) y el Orden europea de conservación (EPOC-PR) - que las autoridades judiciales puedan dictar directamente a un proveedor de servicios en otro Estado miembro, sin pasar por intermediarios diplomáticos o gubernamentales. La orden viaja a través del sistema informático descentralizado seguro e-CODEX, utilizando certificados EPOC y EPOC-PR normalizados.
Tomemos la misma situación: un fiscal francés que investiga un ransomware dirigido a hospitales de la UE necesita datos de abonados y de tráfico que obran en poder de un proveedor de alojamiento alemán. Con e-Evidence, el fiscal (con la validación judicial pertinente) emite una OEP y la envía directamente al punto de contacto designado por el proveedor. El proveedor valida la orden, extrae los datos y los devuelve a través de e-CODEX. El plazo estándar es de 10 días. El plazo de entrega urgente es de 8 horas.
e-Evidence frente a MLAT: Comparación detallada
| Dimensión | MLAT | Reglamento de la UE sobre la prueba electrónica |
|---|---|---|
| Base jurídica | Tratado bilateral / multilateral | Reglamento de la UE, directamente aplicable |
| Destinatario de la solicitud | Autoridad de un Estado extranjero | Proveedor de servicios (directamente) |
| Canal de transmisión | Autoridades diplomáticas / centrales | e-CODEX (sistema informático seguro) |
| Plazos habituales | 6-18 meses | 10 días estándar / 8 horas de emergencia |
| Formato | Exhorto libre | Certificados EPOC / EPOC-PR normalizados |
| Papel del proveedor | Receptor de una orden doméstica | Destinatario directo de la orden extranjera |
| Sanciones a los proveedores | Derecho interno del Estado requerido | Hasta 2% de facturación anual global |
| Conservación de datos | Ad hoc, dependiente de la jurisdicción | EPOC-PR armonizado (60 + 30 días) |
| Ámbito geográfico | Sólo de Estado a Estado | Cualquier proveedor que ofrezca servicios en la UE |
Lo que no cambia y lo que sigue siendo importante para los MLAT
El Reglamento sobre la prueba electrónica no suprime los MLAT. Siguen siendo el principal mecanismo para las solicitudes de pruebas que implican a países no pertenecientes a la UE, y continúan aplicándose en muchas situaciones de la justicia penal fuera del ámbito de aplicación del Reglamento. Dentro de la UE, los fiscales también pueden seguir recurriendo a la Orden Europea de Investigación (OEI) en virtud de la Directiva 2014/41/UE para medidas de investigación más amplias. El Reglamento sobre la prueba electrónica se entiende mejor como un instrumento especializado y más rápido para una necesidad específica -la producción y conservación de pruebas electrónicas- superpuesta al conjunto de herramientas existente.
Para los proveedores de servicios de fuera de la UE, el efecto práctico es que las solicitudes de las autoridades de la UE llegarán cada vez más a través de e-Evidence en lugar de MLAT - siempre que el proveedor ofrezca servicios en la UE y tenga, o nombre, un representante legal en un Estado miembro.
Qué significa esto para los proveedores de servicios en la práctica
Pasar de un proceso diplomático de 10 meses a un proceso directo de 10 días (u 8 horas) no es sólo más rápido: es un modelo operativo diferente. La conformidad ya no puede ser una tarea secundaria trimestral de la que se ocupe un solo abogado especializado en privacidad. Tiene que integrarse en la ingeniería, las operaciones de seguridad y la atención al cliente. Las implicaciones se dividen en cuatro grandes áreas.
1. Recepción y validación automatizadas de pedidos
La recepción manual basada en buzones de correo no es escalable. Necesita un punto final autenticado conectado a e-CODEX (directamente o a través de un intermediario cualificado) que pueda recibir, sellar con fecha y hora, validar firmas, comprobar las credenciales de la autoridad emisora y dirigir los pedidos a los responsables adecuados. Soluciones como el ICS Plataforma de conformidad e-Evidence se fabrican precisamente para este flujo de trabajo, pero los proveedores también pueden fabricarlas ellos mismos si disponen de la capacidad de ingeniería necesaria.
2. Extracción de datos normalizada en todos los sistemas
El Reglamento distingue entre datos de abonados, de identificación, de tráfico y de contenido, cada uno con umbrales diferentes. Su inventario de datos debe asignar cada sistema a las categorías de datos que contiene, y sus herramientas de extracción deben producir resultados en el formato normalizado definido por los actos de ejecución de la Comisión.
3. Disponibilidad operativa 24/7
La ventana de emergencia de 8 horas se aplica a cualquier hora del día, cualquier día del año. Para ello, es necesario contar con personal jurídico y técnico de guardia, manuales de funcionamiento, vías de escalada y ejercicios de simulación ensayados. Para las organizaciones que no pueden mantener esa huella internamente, un Establecimiento como servicio designado combinada con operaciones gestionadas es cada vez más la respuesta pragmática.
4. Pistas de auditoría a prueba de manipulaciones
Cada acción -recepción, validación, encaminamiento interno, extracción, revisión y entrega- debe plasmarse en una pista de auditoría lo suficientemente sólida como para ser admitida como prueba y demostrar, a posteriori, que se han respetado los plazos, la minimización y el alcance específico del pedido.
Sanciones: Por qué desaparece la holgura de la era MLAT
Con el MLAT, se toleraban las fricciones en el sistema porque todos - investigadores, proveedores, tribunales - sabían que era lento. El Reglamento sobre pruebas electrónicas no tiene esa holgura. Se exige a los Estados miembros que impongan sanciones efectivas, proporcionadas y disuasorias, con multas administrativas de un valor de referencia de 1.000 euros. hasta 2% de la facturación anual mundial del proveedor. Los fallos repetidos o sistémicos también pueden desencadenar órdenes judiciales, acciones reguladoras por parte de las autoridades nacionales competentes y graves daños a la reputación ante los clientes de las empresas y los reguladores.
Interacción con el GDPR, el NIS2 y la Ley de Servicios Digitales
e-Evidence no anula el GDPR. Las divulgaciones deben seguir siendo lícitas, minimizarse y registrarse adecuadamente en los registros de tratamiento. Los controles de seguridad y la gestión de incidentes deben ajustarse a la Directiva NIS2, y las plataformas en línea muy grandes deben reflejar la actividad de las órdenes gubernamentales en sus informes de transparencia DSA. Un programa de cumplimiento moderno considera que estos regímenes se solapan en lugar de competir: la misma infraestructura de admisión, auditoría y minimización puede servir para todos ellos.
Preguntas frecuentes
Para más información, consulte nuestra sección e-Evidencia FAQ.
¿Sustituye el Reglamento de la UE sobre pruebas electrónicas a los MLAT?
No. Los complementa. Los MLAT siguen en vigor, sobre todo para la cooperación con países no pertenecientes a la UE. Dentro de la UE, e-Evidence ofrece un canal más rápido y especializado para la producción y conservación de pruebas electrónicas.
¿Puede realmente un fiscal de un Estado miembro pedir datos directamente a un proveedor de otro?
Sí, esa es la innovación central del Reglamento. Sin perjuicio de las salvaguardias y los motivos de denegación previstos en el Reglamento, una autoridad judicial competente emite una OEP que el proveedor debe ejecutar directamente, sin pasar previamente por las autoridades del Estado receptor.
¿Se aplica e-Evidence a los proveedores de fuera de la UE?
Sí: cualquier proveedor que ofrezca servicios a usuarios de la UE está incluido en el ámbito de aplicación y debe designar un representante legal en un Estado miembro para recibir los pedidos y actuar en consecuencia.
¿Qué ocurre si mi organización no puede cumplir el plazo de 8 horas?
El incumplimiento de los plazos puede dar lugar a la aplicación de medidas coercitivas por parte de la autoridad competente del Estado de aplicación, incluidas multas de hasta 2% del volumen de negocios anual global. Esfuerzos documentados y proporcionados y una causa clara para cualquier retraso son mitigaciones críticas.
Del cumplimiento de la era MLAT a las operaciones preparadas para las pruebas electrónicas
El paso de MLAT a e-Evidence es, en el fondo, un paso de ocasional, lento, con papel cooperación para continuo, rápido, basado en software cooperación. Los proveedores de servicios que prosperaron con el modelo MLAT -basándose en las colas de correo electrónico heredadas y la revisión legal ad hoc- tendrán dificultades a partir de agosto de 2026. Los que inviertan ahora en Operaciones de cumplimiento de la normativa preparadas para e-Evidence no sólo evitarán sanciones, sino que convertirán la preparación para la aplicación de la ley en una señal de confianza para los clientes empresariales y los reguladores.
Si desea una evaluación independiente de su grado de preparación, ICS le ofrece una completa Evaluación del cumplimiento de e-Evidence que abarca el ámbito jurídico, la infraestructura técnica y los procesos operativos, junto con una hoja de ruta clara hasta la fecha límite de agosto de 2026. Póngase en contacto hoy mismo con ICS para programar la suya.
