Conservación urgente de datos (art. 16 Convenio de Budapest)

Agente receptorUnidad especializadaAbogado víctimaCRÍTICA · 0 — 1 hArt. 16 BudapestArt. 588 octies LECrim

En 30 segundos

Resumen operativo

Qué es. Una orden de no destruir datos enviada por la unidad policial al proveedor de servicios electrónicos (ISP, exchange, plataforma de mensajería, banco, red social).

Quién la dicta y ejecuta. La unidad policial autónomamente, sin autorización judicial previa. Es la única diligencia técnica que la policía puede activar antes de pasar la causa al juez.

Plazo desde la denuncia. Idealmente dentro de la primera hora. Cada hora perdida es una hora más cerca del borrado automático.

Plazo de conservación que se solicita. 60 días iniciales, prorrogables hasta los 180 días conforme al art. 16.2 del Convenio.

Ventana perdida si no se ejecuta. Entre 30 y 90 días según el proveedor. Pasado ese plazo, los datos desaparecen y la investigación se cae.

Cuándo aplica

La conservación urgente es la primera actuación operativa en toda investigación de cibercrimen donde se haya identificado al menos un proveedor de servicios con datos potencialmente útiles para la causa. Aplica con independencia de la tipología delictiva concreta. En la práctica concurre en los ocho escenarios principales del protocolo:

• Phishing bancario: conservación al ISP de origen del enlace fraudulento, al proveedor de email, al banco emisor y al banco receptor.
• BEC / CEO Fraud: conservación al proveedor de correo (Microsoft 365, Google Workspace) y a los bancos involucrados.
• SIM Swapping: conservación al operador de telefonía (datos del duplicado de SIM, IMEI receptor, IP de solicitud online).
• Fraude en criptoactivos: conservación al exchange (datos KYC, historial, IPs, hash de transacción).
• Ransomware: conservación al proveedor de hosting del C2, al servicio de wallet de pago del rescate, al proveedor de correo del atacante.
• Romance scam, Marketplace y Sextorsión: conservación a la plataforma social, al proveedor de email, al servicio de pago.

Marco legal

Artículo 16 del Convenio sobre la Ciberdelincuencia

El Convenio sobre la Ciberdelincuencia, hecho en Budapest el 23 de noviembre de 2001 — ratificado por España por Instrumento publicado en el BOE núm. 226, de 17 de septiembre de 2010 — vigente para España desde el 1 de octubre de 2010 —, dispone en su artículo 16:

Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para permitir a sus autoridades competentes ordenar o imponer de otro modo la conservación rápida de determinados datos electrónicos, incluidos los datos sobre el tráfico, almacenados por medio de un sistema informático, en particular cuando existan razones para creer que los datos son particularmente susceptibles de pérdida o de modificación.

La duración inicial del mandato no puede exceder de 90 días, prorrogables (art. 16.2).

Artículo 588 octies LECrim (orden de conservación)

La Ley de Enjuiciamiento Criminal, tras la reforma operada por la LO 13/2015, de 5 de octubre (BOE 6/10/2015), incorpora la orden de conservación de datos como medida de investigación tecnológica autónoma en el art. 588 octies:

El Ministerio Fiscal o la Policía Judicial podrán requerir a cualquier persona física o jurídica la conservación y protección de datos o informaciones concretas incluidas en un sistema informático de almacenamiento que se encuentren a su disposición hasta que se obtenga la autorización judicial correspondiente para su cesión con arreglo a lo dispuesto en los artículos precedentes.

Procedimiento paso a paso

1. Identificación del proveedor competente

Determinar qué proveedor tiene los datos y dónde se contacta:

• Email → cabeceras completas + campo Received: para el ISP de salida; lookup en RIPE/ARIN si la IP es enrutable.
• Web fraudulenta → consulta WHOIS del dominio + identificación del registrador y del proveedor de hosting.
• Wallet de criptoactivos → si la cadena de bloques muestra entrada en un exchange identificable, ese es el destinatario.
• Cuenta bancaria → la entidad receptora del IBAN.

2. Localización del canal Law Enforcement del proveedor

Los proveedores tecnológicos disponen de portales o emails específicos para recibir solicitudes de autoridades. Algunos ejemplos públicos:

• Google → Law Enforcement Request System (lers.google.com)
• Meta (Facebook/Instagram/WhatsApp) → portal Law Enforcement Online Request
• Microsoft → portal Microsoft Public Sector Compliance
• Binance → le-requests@binance.com + portal LE
• Apple → lawenforcement@apple.com + portal Apple LE

3. Redacción y envío del oficio

Usar el Modelo A (oficio policial estandarizado). Campos imprescindibles:

• Identificación de la unidad policial emisora con cargo, TIP/NIP y vías de contacto oficial.
• Identificación del proveedor destinatario.
• Identificadores concretos: cuenta, IP, hash de transacción, dirección wallet, IBAN, período temporal exacto.
• Cita expresa al art. 16 del Convenio de Budapest.
• Período de conservación solicitado: 60 días, prorrogables.
• Aclaración expresa de que no se solicita revelación, solo preservación.
• Advertencia sobre eventual delito de obstrucción a la justicia en caso de destrucción.

4. Registro de envío y acuse de recibo

Registrar hora exacta de envío (UTC) en el atestado. Solicitar y archivar acuse de recibo del proveedor. El primer momento procesalmente acreditado de la conservación es la hora del acuse, no la del envío.

5. Continuación de la causa

La conservación no obliga al proveedor a revelar los datos. Para que la entidad los entregue, debe seguir:

• En España → auto judicial del S.I. del Tribunal de Instancia conforme al art. 588 ter f LECrim, transmitido al proveedor mediante oficio judicial (Modelo G).
• En la UE (desde 18/08/2026) → Orden Europea de Producción — EPOC (Reglamento UE 2023/1543).
• Fuera de la UE → comisión rogatoria internacional vía autoridad central (Ministerio de Justicia).

Modelo documental

⇩ Modelo A — Oficio policial de solicitud de conservación urgente
Descargar · formato DOCX · adaptable al caso

Errores frecuentes y causas de nulidad

Cinco errores que invalidan la diligencia

1. Confundir conservación con revelación. El proveedor que entregue datos solo en virtud de la solicitud de conservación, sin oficio judicial subsiguiente, expone la prueba a nulidad por vulneración del art. 18.3 CE. La unidad policial debe rechazar la entrega y solicitar al juez auto de cesión.

2. No registrar la hora de envío. Si el plazo de conservación se discute en juicio, la falta de fecha cierta debilita la prueba. Registrar siempre acuse del proveedor en el atestado.

3. Identificadores ambiguos. Solicitar conservación sobre “el usuario @nombre” sin más datos puede ser ineficaz si el proveedor tiene varios identificadores homónimos. Acompañar siempre con email, IP, fecha de creación o cualquier dato discriminante.

4. No prorrogar a tiempo. Si la investigación se alarga, los 60 días iniciales se agotan. Anotar fecha de vencimiento en agenda y solicitar prórroga antes del vencimiento.

5. Asumir que la conservación obliga al proveedor extracomunitario. Para proveedores fuera de la UE sin establecimiento en España, la conservación tiene efectos prácticos (cumplen por buena praxis) pero no exigibles coactivamente sin tratado bilateral o vía Budapest activada.

Ver también

Diligencias relacionadas en la cadena de cooperación

Modelo C Exposición razonada al juez Modelo G Oficio judicial al proveedor Modelo H EPOC-PR (UE, desde 18/08/2026) Modelo I Comisión rogatoria internacional

Preguntas frecuentes

¿La conservación del art. 16 Budapest requiere autorización judicial? No. Es una actuación autónoma de la policía judicial. Lo que requiere autorización judicial es el siguiente paso —la cesión efectiva de los datos al juzgado—, no la mera conservación.

¿Cuánto tiempo dura la conservación? El art. 16.2 del Convenio fija un plazo máximo de 90 días prorrogables. En la práctica se solicita inicialmente por 60 días para asegurar margen de prórroga. La duración española vía art. 588 octies LECrim se extiende «hasta que se obtenga la autorización judicial correspondiente».

¿Qué pasa si el proveedor está fuera de España? Si el proveedor está en la UE: aplica el Reglamento (UE) 2023/1543 desde el 18/08/2026 (EPOC-PR). Antes de esa fecha: oficio policial al canal de Law Enforcement Request del proveedor. Si está fuera de la UE: la solicitud sigue siendo válida en virtud del art. 16 Budapest si el Estado es Parte (más de 70 Estados lo son), aunque la coactividad efectiva dependerá del tratado bilateral y del cumplimiento voluntario del proveedor.

¿Puede el abogado de la víctima solicitar conservación directamente? No. El art. 588 octies LECrim atribuye la facultad al Ministerio Fiscal y a la Policía Judicial. El abogado de la víctima debe instar a la unidad policial a hacerlo inmediatamente tras presentar la denuncia, indicando en el propio escrito el proveedor identificado y los datos a preservar.

¿Qué hago si el proveedor no responde? Reiterar la solicitud y, en su caso, instar al juez la emisión de oficio judicial directamente. El incumplimiento puede ser constitutivo de delito de desobediencia (art. 556 CP) si el proveedor está sujeto a jurisdicción española.

---

Última revisión: 12 de mayo de 2026 · Autor: Eduardo Goig Alique (ICAV Col. 9680)