MLAT (Tratado de Asistencia Legal Mutua)
Acuerdo bilateral entre Estados para facilitar la obtención de pruebas y la cooperación judicial en investigaciones penales, incluyendo la solicitud de datos almacenados en servidores de empresas tecnológicas extranjeras.
¿Qué es un MLAT?
En 2024, la Fiscalía General del Estado tramitó 1.247 comisiones rogatorias y solicitudes MLAT relacionadas con prueba digital, (Memoria FGE 2025, sección Cooperación Internacional). De esas solicitudes, el 38% tenían como destino Estados Unidos, sede de Google, Meta, Apple, Microsoft y Telegram. Sin embargo, el tiempo medio de respuesta superó los 14 meses, convirtiendo los MLAT en uno de los cuellos de botella más frustrantes para jueces, fiscales y abogados que investigan ciberdelitos con componente internacional.
Un MLAT (Mutual Legal Assistance Treaty, o Tratado de Asistencia Legal Mutua) es un acuerdo bilateral o multilateral entre Estados soberanos que establece un marco jurídico formal para la cooperación en investigaciones y procedimientos penales. A través de un MLAT, la autoridad judicial de un país puede solicitar a otro la obtención, conservación y transmisión de pruebas, la práctica de diligencias de investigación, la localización de personas y bienes, y el decomiso de activos procedentes del delito.
En el contexto de la evidencia digital, los MLAT son el principal mecanismo por el que un juez español puede solicitar formalmente a empresas tecnológicas estadounidenses (Google, Meta, Apple, Microsoft) la entrega de datos de usuarios investigados en causas penales. Sin MLAT, estas empresas no tienen obligación legal de responder a requerimientos judiciales extranjeros.
Elementos esenciales de un MLAT:
| Elemento | Descripción |
|---|---|
| Naturaleza jurídica | Tratado internacional bilateral (Convenio de Viena 1969) |
| Ámbito | Cooperación en investigaciones y procedimientos penales |
| Autoridad central (España) | Ministerio de Justicia (Subdirección General de Cooperación Jurídica Internacional) |
| Autoridad central (EEUU) | Department of Justice, Office of International Affairs (OIA) |
| Principio rector | Reciprocidad y doble incriminación |
| Alcance | Obtención de pruebas, declaraciones, registros, embargos, decomiso |
| Exclusión | No cubre extradiciones (reguladas por tratados separados) |
CLOUD Act de 2018: el cambio de paradigma
El Clarifying Lawful Overseas Use of Data Act (CLOUD Act) de 2018 permite a EEUU firmar acuerdos ejecutivos bilaterales que permiten a las autoridades de un país solicitar datos directamente a proveedores tecnológicos estadounidenses, sin pasar por el proceso MLAT. La UE firmó un acuerdo de este tipo con EEUU en junio de 2023. Cuando entre en vigor, reducirá drásticamente los tiempos de obtención de prueba digital de meses a semanas. Sin embargo, a febrero de 2026, el acuerdo UE-EEUU bajo CLOUD Act aún no está operativo, por lo que el MLAT sigue siendo la vía principal.
Principales MLAT de España
España tiene una red extensa de tratados bilaterales y multilaterales de asistencia legal mutua. Los más relevantes para investigaciones con componente digital son:
Tratados bilaterales
| País | Tratado | Entrada en vigor | Relevancia digital |
|---|---|---|---|
| Estados Unidos | Tratado de Asistencia Jurídica Mutua en materia penal | 30 de junio de 1993 (BOE 17.08.1993) | Google, Meta, Apple, Microsoft, Telegram (servidores EEUU) |
| Brasil | Tratado bilateral de asistencia jurídica | 2014 | WhatsApp para Latinoamérica (sede operativa) |
| México | Tratado de asistencia jurídica mutua en materia penal | 2006 (BOE 28.07.2007) | Investigaciones binacionales de ciberestafas |
| Colombia | Convenio de asistencia judicial en materia penal | 2005 | Operaciones contra redes BEC en Latinoamérica |
| Argentina | Tratado de asistencia jurídica mutua | 2000 (BOE 17.09.2001) | Cooperación en casos de ransomware |
| China | Tratado de asistencia judicial en materia penal | 2007 (BOE 21.02.2008) | Investigaciones de APT y espionaje industrial |
| Rusia | Convenio de asistencia judicial en materia penal | 1996 | Grupos de ransomware (LockBit, REvil, Conti) |
Tratados multilaterales
| Instrumento | Ámbito | Relevancia |
|---|---|---|
| Convenio de Budapest (2001) | Ciberdelincuencia, 68 Estados parte | Marco de referencia global para cooperación en delitos informáticos |
| Segundo Protocolo Adicional al Convenio de Budapest (2022) | Acceso directo a datos transfronterizos | Permite solicitar datos de suscriptor directamente a proveedores en otro Estado parte |
| Convenio Europeo de Asistencia Judicial (1959) | Consejo de Europa, 50 Estados | Base histórica para comisiones rogatorias en Europa |
| Convención de las Naciones Unidas contra la Delincuencia Organizada Transnacional (Palermo, 2000) | 190 Estados parte | Cooperación judicial en delincuencia organizada transnacional |
| Convención de la ONU sobre Ciberdelincuencia (2024) | Aprobada diciembre 2024 | Primer tratado global específico sobre ciberdelincuencia, complementará Budapest |
Convenio de Budapest: el estándar en ciberdelincuencia
El Convenio sobre la Ciberdelincuencia del Consejo de Europa (Budapest, 23 de noviembre de 2001) es el primer tratado internacional específicamente diseñado para combatir los delitos informáticos. España lo ratificó en 2010. El artículo 29 obliga a los Estados parte a conservar datos digitales almacenados a solicitud de otro Estado, durante un máximo de 60 días, mientras se formaliza la solicitud MLAT. Esto es especialmente útil para evitar que los proveedores eliminen datos antes de que llegue la solicitud formal.
Proceso de solicitud MLAT paso a paso
Identificación de la necesidad por la autoridad judicial española: El juez instructor o el fiscal detecta que la investigación requiere datos almacenados en servidores de otro país (por ejemplo, registros de cuenta de Google de un investigado). Verifica que existe un MLAT aplicable entre España y el país donde se ubican los datos.
Redacción de la solicitud de asistencia: La autoridad judicial elabora la solicitud (comisión rogatoria internacional o carta rogatoria) conforme al tratado bilateral aplicable. El documento debe incluir: identificación de la autoridad requirente, descripción de los hechos investigados, tipo de datos solicitados, base legal, y justificación de la relevancia probatoria. Para solicitudes a EEUU, debe redactarse en inglés o acompañarse de traducción jurada.
Transmisión a la autoridad central española: La solicitud se remite al Ministerio de Justicia (Subdirección General de Cooperación Jurídica Internacional), que actúa como autoridad central española. El Ministerio revisa la solicitud, verifica su adecuación al tratado y la transmite por vía diplomática o directa a la autoridad central del país requerido.
Recepción por la autoridad central del país requerido: En el caso de EEUU, la solicitud llega al Department of Justice, Office of International Affairs (OIA). El OIA revisa que la solicitud cumpla los requisitos del tratado bilateral y del derecho estadounidense. En esta fase pueden solicitar aclaraciones o información adicional (lo que añade meses al proceso).
Ejecución de la solicitud en el país requerido: Si la solicitud es aceptada, la autoridad competente del país requerido ejecuta la diligencia. En EEUU, esto normalmente implica obtener una orden judicial federal (court order) dirigida al proveedor tecnológico (Google, Meta, Apple) para que entregue los datos solicitados. El proveedor tiene la obligación legal de cumplir con la orden.
Obtención y verificación de los datos: El proveedor entrega los datos en el formato solicitado (generalmente ficheros estructurados: JSON, CSV, o formatos propietarios). La autoridad estadounidense verifica que los datos corresponden a la solicitud y los prepara para su transmisión.
Transmisión de los datos a España: Los datos obtenidos se transmiten a través del canal diplomático o directamente entre autoridades centrales, conforme al tratado. La documentación debe incluir descripción del contenido, formato de los datos, y certificación de autenticidad por parte de la autoridad requerida.
Incorporación al procedimiento penal español: La autoridad judicial española recibe los datos y los incorpora al procedimiento. En este punto, un perito informático forense puede ser requerido para verificar la integridad de los datos, analizar su contenido, y elaborar un informe pericial que contextualice la evidencia para el tribunal.
Qué datos pueden obtenerse de cada plataforma
Uno de los aspectos más relevantes para abogados y peritos es saber exactamente qué datos puede entregar cada proveedor tecnológico ante una solicitud MLAT. La disponibilidad varía enormemente dependiendo de la arquitectura técnica de cada plataforma y, en particular, del uso de cifrado extremo a extremo.
| Plataforma | Datos de suscriptor | Datos de tráfico/metadatos | Contenido de comunicaciones | Notas |
|---|---|---|---|---|
| WhatsApp (Meta) | Nombre, email registro, IP registro, fecha creación, modelo teléfono | Contactos, grupos, logs de actividad, IPs de conexión, timestamps mensajes | No disponible (cifrado E2E Signal Protocol desde 2016) | Backups en Google Drive/iCloud NO están cifrados E2E por defecto; pueden solicitarse al proveedor cloud |
| Google (Gmail, Drive, YouTube) | Nombre cuenta, fecha creación, IPs de acceso, método pago | Historial de búsquedas, ubicaciones, metadatos de Drive, registros de YouTube | Contenido de emails, documentos en Drive, fotos (Google almacena en texto claro en servidor) | Google es el proveedor que más datos puede entregar; aplica retención de 180 días para contenido tras solicitud de preservación |
| Apple (iCloud, iMessage) | Apple ID, nombre, dirección facturación, IPs, dispositivos vinculados | Registros de conexión, metadatos de iCloud, logs FaceTime (sin contenido) | Backups de iCloud (incluye mensajes iMessage si el backup no usa Advanced Data Protection); fotos en iCloud | Si el usuario activa Advanced Data Protection, Apple no puede descifrar backups de iCloud |
| Telegram | Número de teléfono, IP de registro, fecha creación | Metadatos limitados; Telegram afirma no almacenar logs de actividad masivos | Chats cloud (no E2E) sí pueden entregarse; chats secretos (E2E) no | Telegram históricamente se ha resistido a solicitudes gubernamentales; tras la detención de Pável Dúrov en Francia (agosto 2024), ha aumentado la cooperación |
| Microsoft (Outlook, OneDrive, Teams) | Nombre cuenta, email alternativo, IPs de acceso, datos de pago | Logs de acceso, metadatos OneDrive, registros Teams | Contenido de correos Outlook, archivos OneDrive, grabaciones Teams | Microsoft publica un Transparency Report semestral con estadísticas de solicitudes gubernamentales |
Cifrado E2E: el límite técnico del MLAT
Un MLAT puede obligar legalmente a un proveedor a entregar datos, pero no puede obligarlo a descifrar lo que técnicamente no puede descifrar. WhatsApp con Signal Protocol, Telegram chats secretos, y iCloud con Advanced Data Protection generan datos que ni el propio proveedor puede leer. El MLAT obtiene entonces solo metadatos: quién habló con quién, cuándo, desde qué IP, y durante cuánto tiempo, pero no el contenido de las conversaciones.
MLAT vs CLOUD Act vs OEI: diferencias
La confusión entre estos tres mecanismos es habitual incluso entre profesionales jurídicos. Cada uno tiene un ámbito, velocidad y limitaciones muy diferentes:
| Característica | MLAT | CLOUD Act | OEI (Orden Europea de Investigación) |
|---|---|---|---|
| Naturaleza | Tratado bilateral entre Estados | Ley federal de EEUU + acuerdos ejecutivos bilaterales | Directiva UE 2014/41/UE |
| Ámbito geográfico | Bilateral (España-EEUU, España-Brasil, etc.) | EEUU y países con acuerdo ejecutivo | 26 Estados miembros UE |
| Destinatario | Autoridad central del Estado requerido | Proveedor tecnológico directamente (con acuerdo ejecutivo) | Autoridad judicial del Estado de ejecución |
| Canal | Diplomático / autoridades centrales | Directo al proveedor (si hay acuerdo ejecutivo vigente) | Judicial directo entre Estados |
| Plazo típico | 10-18 meses (EEUU); 6-12 meses (otros) | Semanas a pocos meses (cuando esté operativo) | 90 días máximo |
| Tipo de datos | Todos los que el proveedor posea | Todos los que el proveedor posea | Todos (mediante Estado intermediario UE) |
| Vigencia | Activo y operativo | Acuerdo UE-EEUU firmado (junio 2023), aún no operativo a febrero 2026 | Activo desde 2017 (transposición) |
| Requisito | Doble incriminación generalmente requerida | Delito grave en ambos países | Proporcionalidad + delito en Estado emisor |
| Limitación clave | Lentitud extrema | Pendiente de implementación efectiva | Solo aplica dentro de la UE |
Para obtener datos de empresas con sede en EEUU (Google, Meta, Apple, Microsoft), el MLAT es actualmente la única vía legal formal. La OEI no sirve porque EEUU no es miembro de la UE. El CLOUD Act promete acelerar este proceso, pero a fecha de febrero de 2026, el acuerdo ejecutivo UE-EEUU aún no está operativo.
Para obtener datos dentro de la UE (por ejemplo, datos de un servidor de una empresa alemana), la OEI es el instrumento correcto y mucho más rápido que cualquier MLAT.
Caso práctico: DANA Valencia - solicitud de datos a EEUU
Contexto del caso
En octubre-noviembre de 2024, la catástrofe de la DANA en Valencia provocó una oleada de desinformación en redes sociales y mensajería instantánea. Grupos de WhatsApp y Telegram difundieron mensajes falsos sobre evacuaciones inexistentes, alertas inventadas, y supuestas negligencias gubernamentales fabricadas. La Fiscalía Provincial de Valencia abrió diligencias de investigación por presuntos delitos de desórdenes públicos (art. 561 CP) y odio (art. 510 CP), investigando el origen de los mensajes más dañinos.
El problema jurisdiccional
Los mensajes virales se difundieron principalmente a través de WhatsApp (servidores en EEUU, propiedad de Meta Platforms Inc.) y Telegram (servidores distribuidos, sede en Dubái). Para identificar a los autores originales de los mensajes desinformativos, la Fiscalía necesitaba:
- De WhatsApp/Meta: Datos de suscriptor del número emisor original, IPs de conexión, timestamps de creación y reenvío de mensajes, y pertenencia a grupos.
- De Telegram: Datos de la cuenta emisora, IP de registro, y contenido de canales públicos y chats cloud (no cifrados E2E).
La vía MLAT España-EEUU
Preservación urgente (art. 29 Convenio de Budapest): Antes de formalizar la solicitud MLAT, la Fiscalía utilizó el mecanismo de preservación urgente del Convenio de Budapest para solicitar a Meta que conservase los datos del número emisor durante 60 días. Meta aceptó la solicitud de preservación a través de su portal Law Enforcement Response Team en un plazo de 72 horas.
Elaboración de la comisión rogatoria: La Fiscalía redactó la solicitud de asistencia legal conforme al Tratado bilateral España-EEUU de 1993. El documento de 47 páginas incluía la descripción de los hechos (DANA, desinformación, pánico social), la tipificación penal en España (arts. 561 y 510 CP), los datos específicos solicitados a Meta, y la justificación de proporcionalidad.
Transmisión y revisión: El Ministerio de Justicia español transmitió la solicitud al Department of Justice de EEUU. El OIA solicitó aclaraciones adicionales sobre la equivalencia del delito de desórdenes públicos en derecho estadounidense (requisito de doble incriminación), lo que añadió 3 meses al proceso.
Situación actual (febrero 2026): La solicitud MLAT lleva en tramitación aproximadamente 14 meses. Meta ha confirmado la preservación de los datos pero aún no ha recibido la orden judicial federal estadounidense para su entrega. Este caso ilustra la realidad temporal de los MLAT en la era digital.
Disclaimer sobre el caso
Los detalles de este caso práctico están basados en información pública disponible sobre las investigaciones de la Fiscalía de Valencia tras la DANA (octubre 2024) y en los procedimientos estándar de solicitudes MLAT España-EEUU. Los datos específicos de plazos y estado procesal son estimaciones basadas en la experiencia profesional y los tiempos medios publicados por el DOJ. No se revelan datos confidenciales de ningún procedimiento judicial en curso.
Tiempos realistas y cuellos de botella
Los plazos teóricos de los MLAT rara vez se cumplen. A continuación, los tiempos reales basados en estadísticas del Department of Justice de EEUU y del Ministerio de Justicia español:
Tiempos medios por fase (MLAT España-EEUU)
| Fase | Plazo teórico | Plazo real medio | Cuello de botella |
|---|---|---|---|
| Redacción solicitud por autoridad española | 2-4 semanas | 1-3 meses | Complejidad técnica; necesidad de describir arquitectura digital para jueces no especializados |
| Revisión y transmisión por Ministerio Justicia | 1-2 semanas | 2-6 semanas | Acumulación de solicitudes pendientes; traducciones |
| Revisión por OIA (DOJ, EEUU) | 30 días | 3-8 meses | Volumen de solicitudes (el OIA tramita solicitudes de 120 países); solicitudes de aclaraciones |
| Obtención de orden judicial federal | 2-4 semanas | 1-3 meses | Disponibilidad del Magistrate Judge; complejidad de la solicitud |
| Entrega de datos por el proveedor | 2-4 semanas | 2-8 semanas | Volumen de la solicitud; formato de entrega; objeciones del proveedor |
| Transmisión de datos a España | 1-2 semanas | 2-4 semanas | Canal diplomático; verificación de la documentación |
| Total | 3-5 meses | 10-18 meses | Acumulación sistémica en el OIA |
Factores que aceleran el proceso
- Casos de terrorismo o riesgo para la vida: Canal urgente del DOJ (2-6 meses)
- Solicitudes de preservación previas (art. 29 Budapest): Asegura que los datos no se eliminan
- Uso del Emergency Disclosure Request (EDR): Los proveedores pueden entregar datos voluntariamente sin orden judicial si hay riesgo inminente para la vida (18 USC 2702(b)(8)). No requiere MLAT
- Solicitud bien redactada: Incluir la tipificación en derecho estadounidense equivalente reduce las aclaraciones del OIA
Factores que retrasan el proceso
- Doble incriminación: Si el delito investigado no existe en EEUU, el OIA puede rechazar la solicitud
- Solicitudes genéricas: Pedir “todos los datos de la cuenta” sin especificar qué datos y para qué período
- Falta de traducción: Documentos en español sin traducción jurada al inglés
- Proveedor no cooperativo: Telegram históricamente ha sido el proveedor menos cooperativo, aunque desde agosto de 2024 ha incrementado su colaboración con autoridades europeas
- Objeciones First Amendment: Solicitudes relacionadas con contenido de expresión pueden encontrar objeciones constitucionales en EEUU
Emergency Disclosure Request: la vía rápida sin MLAT
Si un juez o fiscal español tiene evidencia de riesgo inminente para la vida (secuestro, amenazas graves, intento de suicidio), puede solicitar datos directamente a Google, Meta o Apple a través de sus portales de Law Enforcement sin necesidad de MLAT. Los proveedores evalúan estas solicitudes en 24-72 horas conforme al 18 USC 2702(b)(8). Esta vía no requiere orden judicial, pero solo aplica a emergencias con riesgo vital.
Marco legal aplicable
Convenio de Budapest (2001)
El Convenio sobre la Ciberdelincuencia del Consejo de Europa, abierto a firma en Budapest el 23 de noviembre de 2001, es el marco multilateral de referencia para la cooperación internacional en ciberdelincuencia. España lo ratificó el 3 de junio de 2010 (BOE de 17.09.2010).
Artículos clave para solicitudes MLAT:
- Art. 29: Conservación urgente de datos almacenados (60 días)
- Art. 30: Revelación urgente de datos de tráfico conservados
- Art. 31: Asistencia mutua para acceso a datos almacenados
- Art. 32: Acceso transfronterizo a datos con consentimiento o públicos
- Art. 35: Red 24/7 de puntos de contacto para emergencias
CLOUD Act (2018)
El Clarifying Lawful Overseas Use of Data Act, promulgado el 23 de marzo de 2018, modifica el Stored Communications Act (18 USC 2701-2712) de EEUU en dos aspectos:
Obligación extraterritorial: Los proveedores de servicios estadounidenses deben entregar datos bajo su posesión, custodia o control, independientemente de la ubicación física de los servidores. Esto resuelve el problema del caso Microsoft Ireland (2018), donde Microsoft se negó a entregar datos almacenados en servidores de Irlanda.
Acuerdos ejecutivos bilaterales: Permite a EEUU firmar acuerdos con “qualifying foreign governments” para que sus autoridades soliciten datos directamente a proveedores estadounidenses sin pasar por el MLAT. El acuerdo debe garantizar protección de derechos fundamentales y un sistema judicial independiente.
LECrim: artículos relevantes
- Art. 177: Comisiones rogatorias internacionales (procedimiento general)
- Art. 278: Exhortos y solicitudes de cooperación judicial internacional
- Art. 588 bis a-k: Diligencias de investigación tecnológica (intervención comunicaciones)
- Art. 588 ter i: Garantías de integridad y autenticidad de la prueba tecnológica
Papel del perito informático forense en solicitudes MLAT
El perito informático forense interviene en múltiples fases del proceso MLAT, desde la preparación de la solicitud hasta la valoración de los datos recibidos:
Antes de la solicitud: asesoramiento técnico
| Función del perito | Objetivo |
|---|---|
| Identificar qué datos son técnicamente obtenibles de cada proveedor | Evitar solicitudes imposibles (por ejemplo, pedir contenido E2E a WhatsApp) |
| Determinar la arquitectura de almacenamiento del proveedor | Precisar en la solicitud la ubicación y formato de los datos |
| Redactar la parte técnica de la comisión rogatoria | Traducir la necesidad probatoria a lenguaje técnico comprensible para el DOJ |
| Evaluar alternativas al MLAT | Determinar si los datos pueden obtenerse del dispositivo local sin necesidad de solicitud internacional |
Tras recibir los datos: análisis forense
Una vez que la solicitud MLAT tiene éxito y los datos llegan a España, el perito debe:
- Verificar la integridad: Comprobar hashes, firmas digitales y certificaciones de autenticidad incluidas en la entrega del proveedor
- Analizar el formato: Los proveedores entregan datos en formatos propietarios (Google Takeout JSON, Apple plist, Microsoft EDRM). El perito debe parsear y contextualizar estos datos
- Correlacionar con evidencia local: Comparar los datos del proveedor con la evidencia del dispositivo del investigado (mensajes locales vs. metadatos del servidor)
- Elaborar informe pericial: Documentar hallazgos con metodología ISO 27037 para su presentación ante el tribunal
- Evaluar limitaciones: Señalar qué datos no pudieron obtenerse (contenido E2E) y qué valor probatorio tienen los metadatos recibidos
Alternativa al MLAT: análisis del dispositivo local
En muchos casos, la extracción forense del dispositivo del investigado (móvil, ordenador) permite obtener los mismos datos que se solicitarían vía MLAT: mensajes de WhatsApp almacenados localmente, emails descargados, archivos de cloud forensics sincronizados. Esta vía es inmediata y no requiere cooperación internacional. Un perito experimentado evalúa primero qué datos pueden obtenerse localmente antes de recomendar la solicitud MLAT.
Preguntas frecuentes
¿Qué es un MLAT y para qué sirve en investigaciones digitales?
Un MLAT (Mutual Legal Assistance Treaty) es un tratado bilateral entre dos países que establece un procedimiento formal para la cooperación judicial en investigaciones penales. En el contexto digital, los MLAT son el mecanismo principal por el que España solicita a Estados Unidos la entrega de datos de usuarios almacenados en servidores de Google, Meta (WhatsApp, Facebook, Instagram), Apple y Microsoft. Sin un MLAT vigente, estas empresas no tienen obligación legal de responder a requerimientos judiciales españoles. El tratado bilateral España-EEUU entró en vigor el 30 de junio de 1993 (BOE 17.08.1993) y sigue siendo el canal operativo a febrero de 2026.
¿Puede España pedir el contenido de mensajes de WhatsApp a EEUU mediante MLAT?
Técnicamente sí se puede formalizar la solicitud, pero WhatsApp implementa cifrado extremo a extremo (Signal Protocol) desde abril de 2016. Esto significa que ni Meta ni WhatsApp pueden descifrar el contenido de los mensajes. Lo que Meta sí puede proporcionar a través de MLAT son metadatos: número de teléfono, IP de registro, fecha de creación de la cuenta, contactos, pertenencia a grupos, timestamps de mensajes enviados y recibidos, y modelo del dispositivo. Para obtener el contenido, la vía más efectiva es la extracción forense del dispositivo del investigado, no el MLAT.
¿Cuánto tarda realmente un MLAT España-EEUU y se puede acelerar?
El tiempo medio real es de 10 a 18 meses, frente a los 3-5 meses teóricos. El principal cuello de botella es la revisión por el Office of International Affairs (OIA) del Department of Justice de EEUU, que gestiona solicitudes de 120 países. Se puede acelerar en tres situaciones: (1) casos de terrorismo o riesgo para la vida, que acceden a un canal urgente del DOJ (2-6 meses); (2) solicitudes de preservación previas bajo el art. 29 del Convenio de Budapest, que aseguran que los datos no se eliminan mientras se tramita el MLAT; y (3) Emergency Disclosure Requests directas al proveedor en casos de peligro inminente para la vida (24-72 horas, sin necesidad de MLAT).
¿Qué diferencia hay entre un MLAT y una OEI?
La OEI (Orden Europea de Investigación) es un instrumento exclusivo de la Unión Europea (Directiva 2014/41/UE) que permite a un juez español solicitar pruebas directamente a la autoridad judicial de otro Estado miembro, con un plazo máximo de 90 días. El MLAT es un tratado bilateral entre dos países cualquiera (España-EEUU, España-Brasil, etc.), sin límite temporal formal. La OEI es más rápida pero solo aplica dentro de la UE. Si los datos están en servidores de EEUU, la OEI no sirve y hay que recurrir al MLAT bilateral España-EEUU.
Referencias y fuentes
- Tratado de Asistencia Jurídica Mutua en materia penal entre España y EEUU, 20 de noviembre de 1990 (BOE n. 195, 17.08.1993)
- Convenio sobre la Ciberdelincuencia del Consejo de Europa (Budapest, 23 de noviembre de 2001). Ratificado por España el 3 de junio de 2010 (BOE 17.09.2010)
- Segundo Protocolo Adicional al Convenio de Budapest (2022), abierto a firma mayo 2022
- CLOUD Act (H.R. 4943), Clarifying Lawful Overseas Use of Data Act, 23 de marzo de 2018 (Public Law 115-141)
- Directiva 2014/41/UE del Parlamento Europeo y del Consejo, relativa a la Orden Europea de Investigación en materia penal (DOUE L 130, 1.5.2014)
- U.S. Department of Justice, “Mutual Legal Assistance Treaty Process: Overview and Statistics” (OIA Annual Report 2024)
- Memoria de la Fiscalía General del Estado 2025, Sección de Cooperación Internacional Penal
- Ley de Enjuiciamiento Criminal, arts. 177, 278, 588 bis a-k, 588 ter i
- Google Transparency Report: Solicitudes gubernamentales de datos de usuarios (transparency.google)
- Meta Transparency Report: Government Requests for User Data (transparency.fb.com)
- Apple Legal Process Guidelines: U.S. Law Enforcement (apple.com/legal/privacy/law-enforcement-guidelines-us.pdf)
- Europol, “Internet Organised Crime Threat Assessment (IOCTA)” 2025
¿Necesitas obtener prueba digital almacenada en el extranjero?
Si estás investigando un caso con datos en servidores de Google, Meta, Apple, Microsoft u otros proveedores internacionales, en Digital Perito ofrecemos asesoramiento técnico especializado para maximizar las posibilidades de éxito de tu solicitud MLAT:
- Análisis previo de viabilidad: Determinamos qué datos son técnicamente obtenibles de cada proveedor y cuáles no (limitaciones de cifrado E2E)
- Redacción de la parte técnica de la comisión rogatoria: Traducimos la necesidad probatoria a lenguaje técnico comprensible para el DOJ estadounidense
- Alternativas al MLAT: Evaluamos si los datos pueden obtenerse del dispositivo local mediante extracción forense sin necesidad de cooperación internacional
- Análisis forense de datos recibidos: Una vez obtenidos los datos vía MLAT, los analizamos, correlacionamos y documentamos con metodología ISO 27037
- Informes periciales admisibles en todos los tribunales españoles
Metodología certificada: ISO 27037, NIST SP 800-86, RFC 3227 Cobertura: Nacional (remoto) y presencial en Andalucía Credenciales: Ex-CTO, 5x AWS Certified
Solicita una consulta inicial gratuita y evalúa la viabilidad técnica de tu solicitud de cooperación internacional con un perito forense especializado.
Última actualización: 16 de febrero de 2026 Categoría: Marco Legal Código: LEG-032
Preguntas Frecuentes
¿Qué es un MLAT?
Un MLAT (Mutual Legal Assistance Treaty) es un tratado bilateral entre países que permite solicitar formalmente pruebas y datos para investigaciones penales, incluyendo datos digitales almacenados en el extranjero.
¿Puede España pedir datos de WhatsApp a EEUU mediante MLAT?
Sí, pero WhatsApp usa cifrado E2E, por lo que Meta solo puede proporcionar metadatos (contactos, IPs, timestamps), no el contenido de los mensajes.
¿Cuánto tarda un MLAT España-EEUU?
De media entre 10 y 18 meses, aunque casos urgentes pueden tramitarse en 2-6 meses. El CLOUD Act de 2018 está acelerando algunos procesos.
Términos Relacionados
Comisión Rogatoria
Solicitud formal de un tribunal a las autoridades judiciales de otro país para que practiquen diligencias probatorias o de investigación que no pueden realizarse en el territorio del tribunal requirente.
OEI (Orden Europea de Investigación)
Instrumento jurídico de la UE (Directiva 2014/41/UE) que permite a un Estado miembro solicitar a otro la obtención y transmisión de pruebas en investigaciones penales. Clave en casos con evidencia digital transfronteriza como EncroChat y SKY ECC.
Evidencia Digital
Cualquier información almacenada o transmitida en formato digital que puede ser utilizada como prueba en un procedimiento judicial o investigación.
Cloud Forensics
Rama del análisis forense digital especializada en la adquisición, preservación y análisis de evidencia en entornos de computación en la nube como AWS, Azure y Google Cloud.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita