La Convención recién ratificada por la Unión Europea no nace para proteger a la ciudadanía digital, sino para facilitar el intercambio de pruebas entre Estados con garantías. El resultado es un marco internacional pensado por y para gobiernos autoritarios, y que España adopta sin tener que cambie gran cosa en sus tribunales y la legislación “mordaza”.
El 4 de junio de 2026 el Consejo de la Unión Europea aprobó, mediante la Decisión 2026/1347, la celebración en nombre de la UE de la Convención de Naciones Unidas contra la Ciberdelincuencia. Con ello, detrás del habitual envoltorio burocrático, acaba de arbitrarse un instrumento que, lejos de proteger a la ciudadanía frente al delito digital, refuerza la capacidad de los Estados —cualquier Estado, sea cual sea su régimen— para exigirse mutuamente datos personales de la ciudadanía, con un nivel de garantías notablemente inferior al que ya existía.
De Budapest a Naciones Unidas, un paso atrás disfrazado de avance.
Hasta ahora, el marco de referencia en Europa era el Convenio de Budapest de 2001, que —pese a sus propias limitaciones— se construyó sobre un sistema de garantías procesales relativamente exigente, vinculado al entramado de derechos humanos del Consejo de Europa. La nueva Convención de la ONU desplaza ese centro de gravedad. Ya no se trata tanto de tipificar conjuntamente los delitos informáticos clásicos, sino de articular un mecanismo de cooperación para la obtención transfronteriza de pruebas electrónicas que pueda aplicarse a un catálogo de delitos mucho más amplio y, en buena medida, definido por cada Estado según su propio derecho interno.
El problema no es la cooperación en sí —perseguir el fraude digital o la explotación sexual infantil en línea exige, evidentemente, coordinación entre países—. Es que el tratado remite la protección de los derechos humanos a la legislación nacional de cada firmante, en lugar de fijar estándares comunes vinculantes. Allí donde el Convenio de Budapest priorizaba la privacidad como condición de la cooperación, la nueva Convención invierte la jerarquía. La cooperación o “vigilancia compartida” pasa a ser la prioridad, y los derechos de las personas quedan como una nota a pie de página que cada gobierno interpretará a su manera.
Si en el Convenio de Budapest primaba la privacidad, en la nueva Convención de la ONU lo que adquiere prevalencia es la vigilancia.
El precio lo pagan comunicadores y activistas.
Human Rights Watch plantea que este tratado no ofrece protección adecuada a la libertad de expresión, lo que deja expuestos a periodistas, denunciantes e investigadores de seguridad informática frente a posibles represalias estatales. La Electronic Frontier Foundation ha señalado en la misma dirección que las salvaguardas sobre proporcionalidad, supervisión judicial y protección de datos resultan demasiado débiles o ambiguas para contener el riesgo de uso abusivo.
La consecuencia práctica más previsible es que cualquier gobierno con vocación represiva puede ahora solicitar formalmente, a través de un canal de cooperación judicial internacional reconocido por Naciones Unidas, los datos de quien investiga sus propias violaciones de derechos humanos, organiza protestas o simplemente informa sobre lo que ocurre dentro de sus fronteras.
Esto no es un fallo de diseño accidental. Es la lógica misma de cualquier tratado de seguridad pensado bajo la premisa de que el control del flujo de información es, ante todo, un instrumento de poder estatal, y que ese poder debe poder ejercerse sin las fricciones que imponen los marcos de derechos humanos más exigentes. La cooperación entre Estados nunca puede ser neutral cuando los Estados que cooperan no comparten un mismo compromiso democrático.
El caso español y la responsabilidad del Gobierno progresista.
Hay que empezar por reconocer que las sucesivas reformas del Código Penal español ya contemplan penas más duras y mecanismos de investigación más exigentes que los que articula esta Convención, de modo que su entrada en vigor tendrá, previsiblemente, un impacto prácticamente irrelevante en la aplicación práctica de la justicia en nuestros tribunales. España, en ese sentido concreto, no necesita este tratado para perseguir el ciberdelito porque ya cuenta con la normativa “mordaza” que PSOE Y Sumar pactaron derogar y siguen sin hacerlo..
Pero que el impacto interno sea menor no implica que la ratificación carezca de consecuencias. La Unión Europea, al sumarse a este marco, legitima internacionalmente un estándar que sí será utilizado, y con toda probabilidad ya está siendo utilizado, por regímenes con un compromiso democrático más débil que el español. España forma parte de la UE, y la UE acaba de poner su firma —con reservas que no alteran el fondo del problema— bajo un texto redactado a la medida de quienes menos interés tienen en proteger a la disidencia.
Vigilancia como mercancía geopolítica.
Resulta revelador que el mismo texto que blinda la cooperación policial entre Estados ofrezca, simultáneamente, cláusulas que permiten a los firmantes rebajar la severidad con la que perseguirán delitos tan graves como la explotación sexual infantil o la difusión no consentida de imágenes íntimas. El tratado exige perseguir esas conductas, pero deja a discreción de cada Estado el grado de exigencia real. Es la combinación perfecta para un instrumento que prioriza el control sobre la protección. Es decir, máxima flexibilidad para vigilar y también para mirar hacia otro lado cuando convenga.
Ese enfoque, que refleja con bastante fidelidad los intereses de nuestros gobernantes, no persigue mayor eficacia contra el delito, sino servir de óptimo instrumento contra quienes puedan incomodarles. La seguridad ciudadana es la excusa pero el control político, su verdadero objetivo.
QUÉ PODEMOS HACER
La ratificación ya se ha producido, pero el debate sobre su aplicación —y sobre los límites que los Estados miembros impongan en la práctica— sigue abierto. Por tanto,
- Exigir a las instituciones europeas y al Gobierno español transparencia sobre qué solicitudes de datos se cursan y reciben al amparo de este tratado es un primer paso mínimo de control democrático.
- Apoyar el trabajo de organizaciones como Human Rights Watch o la Electronic Frontier Foundation en su seguimiento de la aplicación de la Convención, y exigir que cualquier mecanismo de revisión institucional —como el reglamento de la Conferencia de los Estados Partes, actualmente en discusión— garantice una participación real de la sociedad civil, no meramente decorativa.
- Y, sobre todo, no dejar que la complejidad técnica del texto sirva de cortina de humo. Cada vez que un Estado de la UE pida «cooperación reforzada» en materia digital, sin comprometerse simultáneamente a estándares de derechos humanos vinculantes, lo que está pidiendo es más poder sobre la disidencia interna.
- Decisión (UE) 2026/1347 del Consejo, de 4 de junio de 2026 — boe.es
- Convención de las Naciones Unidas contra la Ciberdelincuencia (texto íntegro) — boe.es
- Norberto J. de la Mata Barranco, «La Convención de Naciones Unidas contra la ciberdelincuencia» — almacendederecho.org
- «La Convención de la ONU sobre Ciberdelincuencia, un nuevo tratado inquietante» — civicus.org
- Declaración de sociedad civil sobre el reglamento de la Conferencia de los Estados Partes — ipandetec.org
