Conozca todo sobre Seguridad Informática GITS

 
Página Principal
Para contactar con Seguridad Gits
Consejos sobre Seguridad con las NTIC
Delitos Tecnológicos y cómo denuncias
Glosario de Términos Tecnológicos y Seguridad
Descarga de documentos varios
Legislación vigente en España
Servicios que le ofrece Seguridad Gits Informática

  Contenidos              
Mapa del Sitio
 
Ciber-Seguridad GITS España Ciber-Seguridad GITS Argentina Ciber-Seguridad GITS Brasil Ciber-Seguridad GITS Uruguay Ciber-Seguridad GITS Colombia Ciber-Seguridad GITS Rep. Dominicana Ciber-Seguridad GITS Ecuador Ciber-Seguridad GITS  México Ciber-Seguridad GITS Venezuela Ciber-Seguridad GITS Perú Ciber-Seguridad GITS Costa Rica Ciber-Seguridad GITS Paraguay Ciber-Seguridad GITS Puerto Rico

 


 
 
Legislación.

 

Tags: legislacion, lopd, aepd, agpd, grooming, pornografia infantil, arco, legislacion europea, legislacion extranjera, pedofilia , lpi, lssi
Relacionados: Pornografía Infantil y otros delitos sobre menores, Ciberacoso, Ciberbullying, Grooming,Robo de Identidad, Phishing y Delitos Telemáticos, Sexting, Privacidad, Protección de Datos, Derecho al olvido y Navegación Privada, Denuncias, Identidad Digital, Biometría , Geolocalización , Seguridad Lógica y Física

Ciberconsejos de la Policía sobre Menores y Ciberdelitos TIC

 

 


Introducción

La implantación y desarrollo de las TIC ha creado nuevas posibilidades de delincuencia antes impensables. El delito informático es aquel que se refiere a actividades ilícitas realizadas por medio de ordenadores o de internet. También incluye delitos tradicionales como fraude, robo, estafa, chantaje, falsificación y malversación de caudales públicos. Los perjuicios ocasionados por este tipo de delitos son superiores a la delincuencia tradicional y también es mucho más difícil descubrir a los culpables.

La Organización de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos informáticos:

Fraudes cometidos mediante manipulación de ordenadores.
Manipulación de los datos de entrada.
Daños o modificaciones de programas o datos computarizados.


Cuando se comete un delito informático, siempre hay dos tipos personas involucradas:

Sujeto activo: aquella persona que comete el delito informático.
Sujeto pasivo: aquella persona que es víctima del delito informático.

En España está en vigor la Ley Orgánica de Delitos Informáticos, basada fundamentalmente en la Decisión Marco de la Unión Europea.


Legislación Nacional General y Sectorial

Resumen básico de la Legislación General y Sectorial vigente en España:

Norma General

Normas Sectoriales

Otras:

 

Relacionadas:
25/10/2013: Internet y delito en la próxima reforma del Código Penal.

 


Ley Orgánica de Protección de Datos: LOPD

La LOPD regula, entre otras muchas cosas, el uso que se hace de los datos personales, imágenes,  o videos de terceros, y estipula fuertes multas en el caso de que se atente contra la intimidad y privacidad de las personas.

Todas las empresas y/o profesionales manejan y conservan en su trabajo diario datos de carácter personal (de empleados, nóminas, clientes, proveedores…) y como consecuencia tienen obligación de adaptarse a la LOPD y su normativa de desarrollo.

El incumplimiento de dichas obligaciones lleva aparejado unas sanciones cuyo importe dependerá de la gravedad de las infracciones cometidas.

El incumplimiento de la LOPD puede acarrear sanciones que van desde los 600€ hasta… 600.000€. Las sanciones leves se castigan con multas entre los 600 y los 60.000€.

Cada organización es diferente y cada tratamiento de datos de carácter personal también lo es por lo que las acciones a emprender van a depender, entre otras cosas, del origen de los datos, del tipo de datos, de las características del tratamiento y del tipo de instalaciones y soportes en los que se encuentren almacenados dichos datos.

Sin embargo, a titulo meramente orientativo, podemos decir que, de manera general, para cumplir con la Ley Orgánica de Protección de Datos (Lopd) el empresario debe tener en cuenta al menos los siguientes aspectos: la inscripción de los ficheros, la calidad de los datos, el deber de información, el consentimiento del afectado, los datos especialmente protegidos, la seguridad de los datos, el deber de secreto, la comunicación de datos, el acceso a los datos por cuenta de terceros, el ejercicio de los derechos arco y la transferencia internacional de datos.

Si la empresa recoge datos personales, la LOPD obliga a:

* Informar a tus usuarios de qué datos personales estás recogiendo, cómo vas a utilizarlos y obtener su consentimiento para hacerlo. Una vez más, para el 99% de las webs -las que sólo recogen los datos más básicos, como el nombre y el correo electrónico- con un consentimiento tácito es suficiente (Ej. “El registro en esta web implica la aceptación de su Política de Privacidad“). Además, debes proporcionar un método para que dichos usuarios puedan consultar, modificar o dar de baja sus datos.

* Implementar medidas de seguridad oportunas para proteger los datos. El nivel básico de seguridad, nos obliga a:

-- Garantizar que no dejaremos que cualquiera acceda a los datos, mediante una contraseña
-- Hacer una copia de seguridad de los datos con carácter semanal
-- Cambiar la contraseña de acceso al menos una vez al año
-- Escribir un documento que explique nuestra “política de seguridad” (quién tiene permisos de acceso, qué base de datos se utiliza, etc…)

* Registrar el fichero de datos en la AEPD , Agencia Española de Protección de Datos. Donde podéis identificar el “fichero“ como el conjunto de tablas de base de datos, ficheros de texto, Excel, libro de registro. Podemos registrar online el “fichero“. Eso sí, sólo en caso de que dispongamos de certificado digital y utilizando la tecnología de la AEPD : el sistema NOTA, que no es ni más ni menos que… un formulario PDF interactivo. Tu fichero tardará alrededor de un mes en aparecer en su web.

Para cumplir la normativa y evitar así la interposición de sanción alguna, debes adaptar tu empresa y cumplir las obligaciones establecidas al respecto. Dicha adaptación debe ser llevada a cabo en varias fases:

Fase 1. Análisis y diagnóstico de seguridad:
Conviene en primer lugar efectuar un análisis de situación y conocer qué tipo de datos maneja su empresa. Dicha información es fundamental ya que en función al resultado de la misma, se tendrán que adaptar unas medidas de protección u otras y cumplir más o menos obligaciones.

Fase 2. Alta y Registro de ficheros:
Una vez que se hayan analizado dichos datos y se clasifiquen los ficheros en función de su contenido y finalidad, éstos deberán ser dados de ata en el Registro de la Agencia Española de Protección de Datos.

Fase 3. Elaboración de la normativa de seguridad de mi empresa:
Inscritos los ficheros y en función del nivel de seguridad de los mismos habrá que redactar toda la normativa de seguridad de la empresa: el documento de seguridad, los documentos de encargo de tratamientos, cláusulas legales, confidencialidad…es decir, elaborar la normativa que haya de regir el sistema de seguridad de los datos de mi empresa.

Fase 4. Actualización y auditoría:
Completadas las fases anteriores es preciso mantener nuestra empresa actualizada e informar a nuestro asesor en la materia de cuanta modificación se produzca, ya que puede ser necesario modificar la inscripción de los ficheros o inscribir otros nuevos, modificar el documento de seguridad…

Así tendremos también garantías de que toda nuestra normativa de seguridad está siendo debidamente cumplida.

De forma adicional, en caso de que tengamos datos de nivel de seguridad medio o alto, con carácter bianual es preciso efectuar una auditoría de seguridad que puede ser interna (en caso de datos de nivel de seguridad medio) o externa (en caso de datos de nivel de seguridad alto).

¿Qué es el documento de seguridad?

A tenor de lo establecido en el artículo 9.1 de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), "el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural".

En su normativa de desarrollo, Reglamento de desarrollo de la LOPD (RLOPD), aprobado por el Real Decreto 1720/2007, de 21 de diciembre, y, en concreto, en su Título VIII, se desarrollan las medidas de seguridad a adoptar en el tratamiento de datos de carácter personal, estableciendo las medidas de índole técnica y organizativa necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carácter personal.

Entre estas medidas, se encuentra la elaboración e implantación de la normativa de seguridad mediante un DOCUMENTO de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

El denominado documento de seguridad, es por lo tanto, un documento interno de la organización, que debe mantenerse siempre actualizado y que recoge toda la normativa de seguridad de una determinada organización.

Disponer del documento de seguridad es una obligación para todos los responsables de ficheros y, en su caso, para los encargados del tratamiento, con independencia del nivel de seguridad que sea necesario aplicar.

Como mínimo el contenido del documento de seguridad ha de ser el siguiente:

- Ámbito de aplicación.
- Especificación detallada de los recursos protegidos.
- Medidas, normas, procedimientos, reglas y estándares de seguridad.
- Funciones y obligaciones del personal.
- Estructura y descripción de los ficheros y sistemas de información.
- Procedimiento de notificación, gestión y respuesta ante incidencias
- Procedimiento de copias de respaldo y recuperación de datos
- Medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.

Si además existen datos de nivel de seguridad medio y/o alto, de forma adicional a lo anteriormente manifestado habrá de incluirse:

- Identificación del responsable de seguridad.
- Control periódico del cumplimiento del documento.


En caso de haber contratado la prestación de servicios por terceros para determinados ficheros, dicha circunstancia debe hacerse constar en el documento de seguridad, haciendo referencia al contrato suscrito y su vigencia, y mención expresa a los ficheros afectados por esta circunstancia. Es recomendable, incluso, que dicho contrato quede adjunto como anexo al documento de seguridad.

En resumen, dicho documento es el protocolo que, en materia de seguridad y tratamiento de datos de carácter personal, deberá seguirse en nuestra empresa.

Es muy importante que dicho documento sea personalizado y se adapte perfectamente a nuestro trabajo, es decir, que es fundamental que el redactor del mismo (sobre todo en caso de ser un asesor externo) sea perfectamente conocedor de la situación de nuestra empresa y del tratamiento que se da a los datos, de manera corrija en caso de ser necesario nuestras maneras de actuar o, en caso contrario, sea capaz de plasmar en el documento de seguridad la integridad de las medidas, normas, reglas, obligaciones…que rigen nuestro trabajo en esta materia, asegurándose además que, las mismas, se adaptan a las exigencias legales. Pudiendo, por qué no, incluso mejorarlas.

Del mismo modo en dicho documento deberán quedar perfectamente plasmadas no sólo las medidas y los procedimientos estándares de seguridad sino también las funciones y obligaciones del personal que vaya a tratar los datos, debiéndonos por lo tanto asegurar de que dicho personal sea conocedor de sus funciones y obligaciones en dicha materia.

Asimismo se recogerán las posibles incidencias surgidas de manera que las mismas puedan ser controladas, solucionadas y evitadas en el futuro.

Por todo ello es además muy importante, mantener informado a nuestro asesor en la materia, de cualquier incidencia o variación que pueda producirse en este aspecto, ya que de una correcta información dependerá, en gran medida, que su resultado final sea el adecuado, no sólo a las necesidades de nuestra empresa, sino también a la legislación vigente.

La conclusión es que, el 90% de las webs españolas no cumplen la LOPD y que, al 99,999% de los usuarios no les importa. La Ley es confusa y su cumplimiento y seguimiento difícil. Sin embargo la prevención en su cumplimiento puede ahorrar muchos disgustos, sobre todo económicos, si a alguien se le ocurre denunciar o la AGPD actúa de oficio.

Inscripción de ficheros
Todos y cada uno de los ficheros existentes en una empresa deben estar inscritos en el Registro General de Protección de Datos para que sean públicos y estén accesibles para su consulta por cualquier interesado. Para ello, el empresario debe notificar la existencia de los ficheros a la Agencia Española de Protección de datos utilizando del formulario de notificaciones telemáticas a la AEPD (NOTA).

Una vez que la Agencia ha comprobado que la notificación cumple con todos los requisitos resolverá positivamente su inscripción en el Registro y remitirá al empresario el correspondiente código de inscripción.

Calidad de los datos
En cumplimiento del principio de “calidad de los datos” regulado en el artículo 4 de la Lopd el empresario debe tratar los datos de carácter personal aplicando las siguientes reglas:

•  Solamente podrá recoger los datos de carácter personal utilizando medios que no sean fraudulentos desleales o ilícitos.
•  Deberá recoger únicamente aquellos datos personales que sean adecuados, pertinentes y no excesivos en relación a la finalidad que persiga con su tratamiento.
•  Solamente utilizará los datos para finalidades compatibles con la finalidad que originó su recogida.
•  Deberá mantener los datos exactos y actualizados de forma que respondan con veracidad a la situación actual del titular.
•  Deberá cancelar los datos cuando hayan dejado de ser necesarios para la finalidad que originó su recogida.
•  Por ultimo, el empresario debe almacenar los datos personales de manera que el titular de los datos pueda ejercer su derecho de acceso cuando lo considere oportuno

Para cumplir con este principio, el empresario debe diseñar un procedimiento de recogida, tratamiento y almacenamiento de los datos que le permita dar cumplimiento a todas y cada una de las reglas que componen la “calidad de los datos”.

Deber de información
En cumplimiento del principio denominado “derecho de información en la recogida de los datos”, el empresario tiene el deber de informar al titular de los datos de modo expreso, preciso e inequívoco de todos los extremos regulados en el artículo 5 de la Lopd. El deber de información surge desde el mismo momento en que se recogen los datos, pero se cumple de diferente manera en función de si los datos se obtienen directamente de su titular o si provienen de otras fuentes.

Para cumplir con este principio, el empresario debe elaborar las cláusulas informativas y diseñar los procedimientos que sean necesarios para informar debidamente al ciudadano y demostrar posteriormente que ha cumplido con su obligación.

Consentimiento del afectado
En cumplimiento del principio denominado “consentimiento del afectado” regulado en el artículo 6 de la Lopd , el empresario solo podrá tratar los datos de carácter personal si dispone del consentimiento del titular de los datos salvo que el tratamiento este fundamentado en una de las excepciones legalmente previstas.

Para cumplir con este principio, el empresario debe tener muy claro cuando necesita el consentimiento del afectado y cuando no lo necesita, y, en caso de necesitarlo deberá obtenerlo legalmente teniendo en cuenta que, para que sea valido el consentimiento, debe tratarse de una manifestación de voluntad libre, inequívoca, específica e informada.

En los casos en los que sea necesario el consentimiento del afectado, el empresario debe diseñar las cláusulas y los procedimientos que sean necesarios para obtener el consentimiento válido del titular de los datos y demostrar posteriormente que ha cumplido con dicha obligación.

Datos especialmente protegidos
Si el empresario utiliza datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias o datos que hagan referencia al origen racial, a la salud y a la vida sexual debe tener en cuenta que se trata de datos especialmente protegidos que deben ser tratados con la máxima cautela. En relación al tratamiento de este tipo de datos, y teniendo en cuenta lo previsto en el artículo 7 de la Lopd , el empresario debe tener en cuenta los siguientes aspectos:

* El empresario no puede obligar al ciudadano a declarar sobre su ideología, religión o creencias y en caso de pedirle el consentimiento para tratar este tipo de datos debe advertirle acerca de su derecho a no prestarlo.
* El empresario solo podrá utilizar datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias si dispone del consentimiento expreso y por escrito del interesado.
* El empresario solo podrá utilizar datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual si dispone del consentimiento expreso.

Los ficheros en los que se encuentren almacenados los datos de carácter personal deben estar protegidos con las medidas de seguridad correspondientes al nivel alto.

Para tratar correctamente los datos especialmente protegidos, además de adoptar las medidas de seguridad de nivel alto, el empresario debe diseñar las cláusulas y los procedimientos que sean necesarios para obtener el consentimiento válido del titular de los datos y demostrar posteriormente que ha cumplido con dicha obligación.

Seguridad de los datos
En cumplimiento del principio de “seguridad de los datos” regulado en el artículo 9 de la Lopd , el empresario debe adoptar en su organización las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.

Para cumplir con este principio, el empresario debe aplicar lo dispuesto en el Titulo VIII del Reglamento que desarrolla la Lopd (Real Decreto 1720/2007) , elaborando el denominado “Documento de seguridad” e implantando las medidas que sean necesarias en función del nivel de seguridad que necesiten cada uno de sus ficheros (básico, medio o alto).

A la hora de implantar las medidas de seguridad, el empresario debe tener en cuenta que debe proteger tanto los ficheros automatizados (gestionados a través de archivos y aplicaciones informáticas) como los ficheros no automatizados (documentos en formato papel gestionados manualmente), aplicando las medidas previstas en el Real Decreto 1720/2007 para cada tipo de ficheros.

Deber de secreto
En cumplimiento del principio denominado “deber de secreto”, regulado en el articulo 10 de la Lopd , el empresario está obligado a guardar secreto profesional sobre los datos tratados y a mantener la confidencialidad de los mismos dentro de su organización, debiendo tener en cuenta que la ley extiende el deber de secreto a cualquier persona o entidad que intervenga en cualquiera de las fases del tratamiento aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Para cumplir con este principio, el empresario debe elaborar los contratos, cláusulas y procedimientos que le permitan dar a conocer a todos sus empleados y colaboradores su deber de secreto y las consecuencias de su incumplimiento.

Comunicación de datos
Cuando el empresario pretenda entregar los datos de carácter personal almacenados en sus fichero a otra persona, empresa o entidad para que los trate por su cuenta y bajo su propia responsabilidad debe hacerlo aplicando lo dispuesto en el artículo 11 de la Lopd , teniendo en cuenta que, de manera general, “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”, salvo que la comunicación este fundamentada en alguna de las excepciones previstas en el artículo 11.2.

Para cumplir con este principio el empresario deberá aplicar las siguientes reglas:

* Solamente cederá los datos para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario.

* Informará al titular de los datos de una manera expresa, precisa e inequívoca de la identidad y el tipo de actividad que desarrolla el destinatario de los datos así como de la finalidad a que destinarán los datos.

* En los casos en que sea necesario el consentimiento del afectado, el empresario debe diseñar las cláusulas y los procedimientos que sean necesarios para obtener un consentimiento válido (manifestación de voluntad libre, inequívoca, específica e informada) y demostrar posteriormente que se ha cumplido con esta obligación.

Acceso a los datos por cuenta de terceros
Cuando el empresario contrate a otra persona, empresa o entidad para que le preste algún tipo de servicio utilizando los datos de carácter personal almacenados en sus ficheros (servicios de contabilidad, elaboración de nóminas, envió de publicidad etc.) se produce una relación jurídica denominada “acceso a los datos por cuenta de terceros” en la que quien presta el servicio adquiere la condición de “encargado del tratamiento” y se limita a tratar los datos por cuenta del responsable del fichero, siguiendo estrictamente sus instrucciones y devolviendo o destruyendo los datos una vez haya finalizado el servicio contratado.

Para cumplir con este principio regulado en el artículo 12 de la Lopd , el empresario debe formalizar la prestación del servicio en un contrato cuyo contenido y características son las siguientes:

* Forma del contrato. Para que el contrato sea válido, deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido.

* Tratamiento de los datos. El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento.

* Finalidad del tratamiento. En el contrato quedará reflejada la finalidad con la que se deben tratar los datos, y el encargado del tratamiento obligará a no utilizar los datos con otros fines.

* Comunicación de datos. El encargado del tratamiento no comunicará los datos, ni siquiera para su conservación, a otras personas.

* Medidas de seguridad. En el contrato se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento está obligado a implementar.

* Finalización del servicio. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

* Consecuencias del incumplimiento del contrato. Si el encargado del tratamiento destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato, será también considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

 

Ejercicio de los derechos Arco

El empresario debe facilitar a los ciudadanos el ejercicio de los denominados derechos Arco (acceso, rectificación, cancelación y oposición).

Para ello, el empresario debe diseñar e implantar los procedimientos y formularios adecuados que por un lado faciliten al ciudadano solicitar el ejercicio de sus derechos y por otro lado, permitan al propio empresario contestar las solicitudes en los plazos legalmente establecidos.

Además, el empresario debe formar a su personal para que sea capaz de atender al ciudadano y prestarle la información necesaria sobre los pasos a seguir para el ejercicio de sus derechos.

Transferencia Internacional de Datos
Cuando el empresario tenga la intención de transmitir los datos de carácter personal a países que no formen parte del Espacio Económico Europeo (actualmente formado por los países de la Unión Europea , Islandia, Liechtenstein y Noruega) debe realizar dicha transferencia aplicando todas las garantías previstas en la normativa sobre protección de datos.

Para determinar cuales son las obligaciones del empresario a la hora de realizar una transferencia internacional de datos es necesario analizar el caso de que se trata, sin embargo, de manera general y a titulo orientativo, se deben tener en cuenta, al menos, los siguientes aspectos:

* Notificación. Las transferencias Internacionales de datos deben ser notificadas a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos.

* Autorización previa. La transmisión de datos fuera del Espacio Económico Europeo requiere de autorización previa del Director de la Agencia Española de Protección de Datos que sólo podrá otorgarla si se obtienen las garantías adecuadas. No será necesaria dicha autorización si la transferencia se realiza bajo alguna de las excepciones previstas en el artículo 34 de la Ley Orgánica de Protección de Datos.

* Requisitos específicos para la comunicación o cesión de datos. Cuando la transferencia internacional de datos se realice con el objeto de entregar los datos a un tercero para que este los trate por su cuenta, además de los requisitos generales de notificación y autorización previa, será necesario aplicar las garantías previstas legalmente para la “cesión o comunicación de datos”.

* Requisitos específicos para el acceso a los datos por cuenta de terceros. Cuando la transferencia internacional de datos se realice para que un tercero preste un servicio al responsable del fichero (servicios de contabilidad, gestión de nóminas, atención al cliente, telemarketing etc.), además de los requisitos generales de notificación y autorización previa, será necesario aplicar lo legalmente previsto para el “acceso a los datos por cuenta de terceros”.

PREGUNTAS Y RESPUESTAS SOBRE LA LOPD

¿Se aplica la LOPD a los empresarios individuales o autónomos? ¿Y a las personas jurídicas? ¿Y a los datos de personas ya fallecidas?

Con carácter general, el objeto de la Ley está regulado en los artículos 1 y 2.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que expresamente establecen:

Artículo 1. Objeto: La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

Artículo 2. Ámbito de aplicación: La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Por ello, no le es de aplicación la Ley Orgánica 15/1999:

  • A los datos de personas jurídicas
  • A los datos de las personas fallecidas

Por el contrario, sí le es de aplicación:

* A los datos de los empresarios individuales – personas físicas (por ejemplo, autónomos).
* A la grabación de datos de voz e imágenes, siempre que las mismas permitan la identificación de las personas que aparecen en dichas voces o imágenes y se hallen incorporadas a ficheros informáticos.
* A los ficheros de empresas que tengan una relación de personas físicas de contacto, como Administradores, Gerentes, Directores Generales, Comerciales, etc.

¿Qué puede suceder si mi empresa no cumple con la LOPD ? ¿Hay sanciones?
La LOPD prevé la posibilidad de aplicar sanciones, que pueden variar desde los 600€ hasta los 600.000€, a quienes no cumplan con la Ley. Estas sanciones se dividen en tres categorías dependiendo del tipo de falta cometida.

¿Qué es un fichero de datos de carácter personal?
El concepto de fichero está descrito en el artículo 3.b) de la Ley Orgánica 15/1999, de 13 de diciembre, según el cual, se define el fichero como ‘todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso'.

En consecuencia, Vd. debe inscribir en el Registro General de Protección de Datos todos los ficheros que contengan datos de carácter personal (por ejemplo: fichero pacientes, fichero informes, fichero nóminas, fichero clientes, etc.), aunque contengan solamente el nombre y apellidos de la persona de contacto, el administrador o gerente de la empresa.

¿Debo obligatoriamente inscribir los ficheros manuales o en papel (listados, fichas, etc…)?
El soporte papel (como son los listados o las fichas) entra dentro de la definición de soportes físicos en general.

Los ficheros manuales (no automatizados), creados con posterioridad a la fecha de entrada en vigor de la LOPD (14 de enero de 2000), deberán ser notificados para su inscripción en el RGPD. Sin embargo, los ficheros manuales que ya existieran antes de la entrada en vigor de la LOPD , no será obligatoria la notificación para su inscripción hasta octubre de 2007, de conformidad con lo establecido en el último párrafo de la Disposición Adicional Primera.

¿Se considera dentro del ámbito de aplicación de la LOPD revelar datos de carácter personal en una página web?
De acuerdo con la definición de tratamiento de datos prevista en el artículo 3 c) de la LOPD , hacer referencia en una página web a una persona e identificarla por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento de datos de carácter personal, siendo necesario cumplir las previsiones establecidas en la Ley.

 

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD)

La Agencia Española de Protección de Datos es la autoridad de control independiente que vela por el cumplimiento de la normativa sobre protección de datos y garantiza y tutela el derecho fundamental a la protección de datos de carácter personal.

”Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan y este derecho le atribuye la facultad de controlar sus datos”

¿Cuáles son mis obligaciones si trato datos de carácter personal? Al constituirse una empresa y tratar datos de carácter personal de los clientes, proveedores y/o empleados, esta empresa será el responsable de los ficheros a los efectos previstos en la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal (LOPD) Por tanto, la empresa está obligada por ley, entre otras cosas a:

Informar a los afectados : Cualquier persona tiene derecho a saber si sus datos personales van a ser incluidos en un fichero, y los tratamientos que se realizan con esos datos. Los responsables tienen obligación de informar al ciudadano cuando recojan datos personales que le afecten. Debe ser informado de la recogida de sus datos y de su utilización. Este derecho de información es esencial porque condiciona el ejercicio de otros derechos tales como el derecho de acceso, rectificación, cancelación y oposición .

Pedir su consentimiento : Como regla general, la inclusión de datos de carácter personal en un fichero supondrá un tratamiento de datos de carácter personal, que requerirá, en principio, el consentimiento del afectado, excepto en los casos que establece la Ley Orgánica 15/1999.

Calidad y proporcionalidad de los datos : La Ley Orgánica 15/1999 contiene entre sus principios generales, el principio de calidad de los datos, que, ligado al principio de proporcionalidad de los datos, exige que los mismos sean adecuados a la finalidad que motiva su recogida.

Atención a los derechos de los ciudadanos : Es competencia de la Agencia Española de Protección de Datos la tutela de estos derechos. Así, ante una denegación del ejercicio de éstos, queda abierta la posibilidad de que el titular de los datos recabe dicha tutela formulando la correspondiente reclamación. Derechos de acceso, rectificación y cancelación, oposición.

Deber de guardar secreto : El artículo 10 de la Ley Orgánica 15/1999, exige a quienes intervengan en cualquier fase del tratamiento de los datos a guardar secreto profesional sobre los datos, subsistiendo la obligación aún después de finalizar su relación con el responsable del fichero.

Adopción de medidas de seguridad : El Reglamento viene a establecer tres niveles de seguridad atendiendo a la naturaleza de la información tratada en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la misma, con independencia de la finalidad en virtud de la cual se haya procedido al tratamiento de los datos personales.

- Nivel alto: para ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los recabados para fines policiales sin consentimiento de las personas afectadas

- Nivel medio: para ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y los que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia y crédito

- Nivel básico: para ficheros que contengan datos de carácter personal.

Notificación de ficheros con datos de carácter personal : Los datos de carácter personal se organizan en ficheros y la creación de éstos se debe notificar y solicitar su inscripción en el Registro General de Protección de Datos El Registro General de Protección de Datos es el órgano al que corresponde velar por la publicidad de la existencia de los ficheros de datos de carácter personal, con miras a hacer posible el ejercicio de los derechos de acceso, rectificación, oposición y cancelación, regulados en los artículos 14 a 16 de la LOPD. Por ello es el encargado de la gestión de las inscripciones.

Relacionadas:
20/06/2013: Protección de Datos abre expediente sancionador a Google
La Agencia Española de Protección de Datos (AEPD) ha abierto un procedimiento sancionador a Google en relación con la nueva política de privacidad unificada para la mayor parte de sus servicios e implantada por la compañía en marzo del año pasado.

 

Legislación Europea, Empresas y Privacidad de datos

La nueva ley de protección de datos es vinculante para todos los Estados miembros

El Parlamento Europeo ha aprobado (Noviembre de 2013) la nueva legislación sobre protección de datos a nivel europeo. Una vez entre en vigor esta normativa será vinculante para todos los Estados miembros y se encargará de que se haga un correcto uso de los datos personales, buscando la transparencia en relación a las personas afectadas, los ciudadanos.

Su principal característica es que obligará a marcar los fines específicos del trato y procesamiento de los datos personales, y una vez estén establecidos deberán ser estrictamente cumplidos y no podrán cambiarse. Es decir, los datos personales no deberán tratarse con fines diferentes para los que fueron recopilados en un principio.

Se pretende que una Autoridad Europea de Protección de Datos sea la encargada de supervisar todos los procedimientos que se quieran llevar a cabo para el uso de datos personales, desde principio a fin, y poder así evitar muchas infracciones, ya que el seguimiento del uso de esa información será continuado.

Cabe destacar que debido a las revelaciones sobre el espionaje masivo de la NSA, ordenado por el Gobierno estadounidense, varios organismos europeos solicitaran la suspensión inmediata del acuerdo con EEUU de transparencia de datos financieros. Este acuerdo tenía como finalidad que ambas potencias pudiesen intercambiar datos de transferencias bancarias y así poder luchar contra el terrorismo.

Esta nueva regulación es el principio de una transformación por parte del Parlamento Europeo, convirtiéndolo así en el representante de los derechos de los ciudadanos, tanto en lo concerniente a la privacidad como a la confidencialidad.

La normativa en cuanto a la protección de datos no es un juego, y cada vez se está volviendo más restrictiva. Su principal objetivo es evitar incidentes no deseados con información confidencial, espionajes o todo tipo de infracciones y malos usos de la información de los europeos.

Sin lugar a dudas estos cambios afectarán principalmente a las empresas, ya que albergan grandes cantidades de información confidencial que manejan diariamente. Estos datos son su bien más preciado y dependiendo del uso que les den pueden tener una serie de consecuencias de lo más negativas para la compañía: sanciones, mala reputación o incluso la quiebra.

(Ver documento completo sobre Privacidad, Protección de Datos, Derecho al olvido y Navegación Privada)

 

SANCIONES

La LOPD prevé la posibilidad de aplicar sanciones, que pueden variar desde los 600€ hasta los 600.000€, a quienes no cumplan con la Ley. Estas sanciones se dividen en tres categorías dependiendo del tipo de falta cometida. Algunos ejemplos de sanciones son los siguientes:

Infracciones leves - Sanciones desde 601,01€ hasta 60.101,21€

  • No solicitar la inscripción del fichero en la Agencia Española de Protección de Datos (AEPD)
  • Recopilar datos personales sin informar previamente
  • No atender a las solicitudes de rectificación o cancelación
  • No atender las consultas por parte de la AGPD
  • Infracciones graves - Sanciones desde 60.101,21€ hasta 300.506,25€
  • No inscribir los ficheros en la AEPD.
  • Utilizar los ficheros con distinta finalidad con la se crearon
  • No tener el consentimiento del interesado para recabar sus datos personales
  • Tratar datos especialmente protegidos sin la autorización del afectado
  • No remitir a la AEPD las notificaciones previstas en la LOPD
  • Mantener los ficheros sin las debidas condiciones de seguridad

Infracciones muy graves - Sanciones desde 300.506,25€ hasta 601.012,1€

  • Crear ficheros para almacenar datos que revelen datos especialmente protegidos
  • Recogida de datos de manera engañosa o fraudulenta
  • Recabar datos especialmente protegidos sin la autorización del afectado
  • Vulnerar el secreto sobre datos especialmente protegidos
  • La comunicación o cesión de datos cuando ésta no esté permitida
  • No atender de forma sistemática los requerimientos de la AEPD
  • La transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección equiparable o sin autorización

La cuantía de las sanciones se calculará teniendo en consideración factores como la naturaleza de los derechos personales afectados, el grado de intencionalidad, los beneficios obtenidos, los daños y perjuicios causados a las personas interesadas y a terceras personas, así como otras circunstancias que se consideren relevantes en cada caso.

Ley de Propiedad Intelectual: LPI

La Ley de Propiedad Intelectual indica que los programas de ordenador (aplicaciones y juegos) pirateados son delito y prevé multas por ello. El software pirateado son aquellos programas -excluyendo los gratuitos y libres- que se utilizan sin haber pagado previamente su licencia de uso. La publicación de los contenidos se realiza bajo responsabilidad propia, asegúrate del cumplimiento legal.

Legislación Nacional En materia de seguridad informática existen siete normativas legales relevantes:

  1. La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal ( LOPD ). [ Documento disponible en pdf ( BOE 298 de 14-12-1999) ] y [ HTML ( BOE 298 de 14-12-1999) ]
  2. El Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 , de 13 de diciembre, de protección de datos de carácter personal. [ Documento disponible en pdf ( BOE 298 de 19-01-2008) ] y [ HTML ( BOE 298 de 19-01-2008) ].
  3. La Ley 34/2002 , de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico ( LSSI-CE ). [ Documento disponible en pdf ( BOE 166 de 12-07-2002) ] y [ HTML ( BOE 166 de 12-07-2002) ].
  4. La Ley 59/2003 , de 19 de diciembre, de Firma Electrónica [ Documento disponible en pdf ( BOE 304 de 20-12-2003) ] y [ HTML ( BOE 304 de 20-12-2003) ].
  5. Real Decreto Legislativo 1/1996 , de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual ( LPI ), regularizando, aclarando y armonizando las disposiciones vigentes en la materia. [ Documento disponible en HTML ( BOE 97 de 22-04-1996) ]
  6. Real Decreto 3/2010 , de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica .[ Documento disponible en HTML ( BOE 25 de 29-01-2010 páginas 8089 a 8138) ].
  7. Real Decreto 4/2010 , de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica .[ Documento disponible en HTML ( BOE 25 de 29-01-2010 páginas 8139 a 8156) ].
En esta sección se proponen unas breves guías que describen la normativa vigente y su ámbito de aplicación. Las primeras dos normativas abordan la problemática y legislación aplicable de los datos de carácter personal .

Además es recomendable la visita a la página web de la Agencia Española de Protección de Datos , para más información de la protección de datos de carácter personal . La Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, regula el régimen jurídico de los servicios de la sociedad de información y comercio electrónico , y todos los aspectos que hay que tener en cuenta a la hora de realizar transacciones electrónicas .

En el siguiente tríptico se puede encontrar una indicación de los aspectos básicos de dicha ley. Para una información más detallada, es recomendable consultar la página web de información general de la LSSl .

La cuarta normativa regula todos los aspectos referentes al régimen jurídico de la Firma Electrónica (ver otras leyes sobre la firma electrónica) y todos aquellos requisitos que son necesarios para que a la hora de realizar comunicaciones exista identidad y seguridad.

La quinta normativa de Propiedad Intelectual describe y regula el conjunto de derechos que pertenecen a los autores y otros titulares respecto de las obras.

La sexta y séptima normativa regulan la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos y los criterios y recomendaciones de seguridad, normalización y conservación de la información, de los formatos y de las aplicaciones que deberán ser tenidos en cuenta por las Administraciones Públicas.

Se recomienda también visitar la sección de buenas prácticas para profundizar en cómo implantar medidas que faciliten el cumplimiento de las disposiciones legales . Legislación Europea En materia de seguridad informática existen dos normativas legales relevantes:
  1. Directiva 2009/136/CE/ del Parlamento Europeo y del Consejo, de 25 de noviembre.[ Documento disponible en PDF (Directiva 2009/136/CE/) ].
  2. Directiva 2009/140/CE del Parlamento Europeo y del Consejo, de 25 de noviembre.[ Documento disponible en PDF (Directiva 2009/140/CE) ].

La Directiva 2009/136/CE modifica la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) nº 2006/2004 sobre la cooperación en materia de protección de los consumidores.

La Directiva 2009/140/CE modifica la Directiva 2002/21/CE relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/19/CE relativa al acceso a las redes de comunicaciones electrónicas y recursos asociados, y a su interconexión, y la Directiva 2002/20/CE relativa a la autorización de redes y servicios de comunicaciones electrónicas.

Si desea consultar más información o tiene alguna duda puede dirigirse al área jurídica de la seguridad y las TIC del portal, donde puede encontrar más documentación, guías, modelos y dudas frecuentes referentes a legislación. También puede realizar una consulta a nuestros asesores legales desde la sección Asesoría Legal del portal.

Los correos electrónicos como medio de prueba judicial

En los tiempos que corren está generalizado como canal de comunicación habitual el uso del e-mail así como de otras formas de comunicación electrónica y, más concretamente en el ámbito empresarial y profesional, como forma incluso de negociación y cierre de muchas transacciones.

A tenor del artículo 3.5 de la Ley 59/2003 de Firma Electrónica, ”se considera documento electrónico la información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado y susceptible de identificación y tratamiento diferenciado”. Por su parte, nuestra Ley de Enjuiciamiento Civil en el artículo 299 admite aportar como medio de prueba “los medios de reproducción de la palabra, el sonido y la imagen, así como los instrumentos que permiten archivar y conocer o reproducir palabras, datos, cifras”.

Los medios de prueba son aquellos con los que las partes pueden demostrar al órgano judicial la verdad de un hecho alegado. Por tanto, la primera conclusión a la que podemos llegar es que los correos electrónicos pueden ser aportados como prueba a juicio, si bien al no estar regulados legalmente este tipo de medio probatorio, son de aquellos que el Juez valora conforme a su convicción o sana crítica y fija libremente su fuerza probatoria. Es por ello que será pues necesario aportar al Juez la mayor cantidad de evidencias que acrediten que el e-mail ha sido enviado, a qué destinatario y quien ha sido el emisor, su autenticidad, integridad y literalidad. A tales efectos, en la actualidad ya existen sistemas de firma digital y empresas que se dedican a prestar tales servicios.

En el supuesto de que el e-mail aportado no sea impugnado por la parte contraria, como cualquier otro documento privado que es, legalmente tendrá el mismo valor probatorio que un documento público. Ahora bien, en caso de que sea impugnado tendremos que recurrir a la prueba pericial oportuna la que normalmente se centra en acreditar lo siguiente:

- El emisor del correo y la identidad de la dirección de correo.
- La identidad del quipo desde el que se emite el correo (Mac address).
- La identidad del servidor del correo saliente.
- La identidad del servidor del correo entrante.
- La fecha y hora de envío y recepción.
- La cadena de custodia de las fuentes de información a analizar (la cabecera del correo y metadatos de los correos adjuntados).
- Los servidores de correo.

En definitiva, si bien los correos electrónicos son un medio de prueba que se puede perfectamente aportar en un proceso judicial, en caso de que sea impugnado por la parte contraria, no tendremos más remedio que acudir a una prueba pericial siendo fundamental para que sean considerados por el Órgano Juzgador la conclusión del informe que emita el perito sobre si el e-mail aportado ha sido manipulado o si por el contrario verifica que mantiene su integridad respecto a su versión original.


Legislación sobre Cámaras de Videovigilancia


Respecto al marco legal, debe señalarse que la actividad descrita en esta guía carece de normativa específica, siendo la principal normativa general la siguiente:

• Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de cámaras o videocámaras.

• Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

• Ley 23/1992, de 30 de julio, de Seguridad Privada.

• Real Decreto 2364/1994, de 9 de diciembre, por el que se aprueba el reglamento de seguridad privada.

• Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las fuerzas y cuerpos de seguridad en lugares públicos.

• Ley Orgánica 1/1992 de 21 de febrero sobre protección civil de la seguridad ciudadana.

• Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y a la propia imagen.

(Vea también el documento completo sobre Videovigilancia)

Legislación Extranjera

Legislación Europea:
En materia de seguridad informática existen dos normativas legales relevantes:

  1. Directiva 2009/136/CE/ del Parlamento Europeo y del Consejo, de 25 de noviembre. [ Documento disponible en PDF (Directiva 2009/136/CE/) ].
  2. Directiva 2009/140/CE del Parlamento Europeo y del Consejo, de 25 de noviembre. [ Documento disponible en PDF (Directiva 2009/140/CE) ].

La Directiva 2009/136/CE modifica la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) nº 2006/2004 sobre la cooperación en materia de protección de los consumidores.

La Directiva 2009/140/CE modifica la Directiva 2002/21/CE relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/19/CE relativa al acceso a las redes de comunicaciones electrónicas y recursos asociados, y a su interconexión, y la Directiva 2002/20/CE relativa a la autorización de redes y servicios de comunicaciones electrónicas.

Legislación extranjera COPPA (Children's Online Privacy Protection Act,1998), protección de Privacidad de los Niños en Línea. Promueve la participación de los padres, proteger a los menores en sitios tales como chat rooms, blogs, carteleras públicas, etc., mantener seguridad de la información recolectada de ellos e impedir recolección de datos sin el consentimiento paterno, entre otras.

Legislación extranjera CIPA (Children's Internet Protection Act), Protección de los Niños en el Internet obliga a las bibliotecas en los EEUU que deseen obtener descuentos en el acceso a internet a colocar filtros part a proteger a los menores contra contenido obsceno o dañino.

Legislación extranjera FERPA (Family Educational Rights and Privacy Act). También llamada Ley Buckley. Garantiza los derechos específicos al estudiante sobre ver e inspeccionar la información que una institución universitaria mantiene en el expediente del estudiante, a exigir que se enmiende alguna información en dicho expediente, a consentir en dar permiso o autorización para divulgar información de dicho expediente y a reclamar o presentar una querella a las Oficinas de FERPA en Washington por haberse realizado algún tipo de violación a la ley.

Ley de Supervisión de Datos de Inteligencia sobre Extranjeros' (FISA), reformada en 2008.

Relacionados: El Senado de EEUU aprueba la nueva Ley de Escuchas Telefónicas (10/07/2008)

 


SPAM: Regulación legal

El envío de mensajes comerciales sin el consentimiento previo está prohibido por la legislación española, tanto por la Ley 34/2002 de Servicios de la Sociedad de la Información ( LSSI ) como por la Ley Orgánica 15/1999 de Protección de Datos ( LOPD ). La Agencia Española de protección de Datos ( AEPD ) es la entidad encargada de la tutela de los derechos y las garantías de los abonados (persona física o jurídica que tiene un contrato con un operador) y usuarios (personas que utilizan unos servicios sin haberlos contratado).

La LSSI , en el artículo 21.1 prohíbe de forma expresa el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. Es decir, se desautorizan las comunicaciones dirigidas a la promoción directa o indirecta de los bienes y servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional, si bien existe una excepción en el caso de que exista una relación contractual previa y se refiera a productos similares.

"Los usuarios están amparados por la ley para evitar el spam"

La vulneración de la LSSI podría considerarse como una infracción grave y puede multarse con hasta 150.000 euros. Además, la práctica del spam puede vulnerar el derecho a la intimidad, que está protegida por la LOPD y la vulneración de esta ley supondría una infracción muy grave que está castigada con hasta 600.000 euros de multa.

La principal dificultad con la que se choca la persecución legal del spam es que, en la gran mayoría de los casos, este proviene de países de fuera de España, lo que dificulta su erradicación aunque no impide que se pueda denunciar en la AEPD .

 


Delitos Informáticos ¿Cuáles son? ¿cómo denunciarlos?

¿A qué se denomina delito informático? Por todos es conocido el término delito informático pero, ¿desde hace cuánto tiempo tiene acogida el mismo en nuestra legislación? ¿Existen distintos tipos de delitos informáticos? ¿Cómo pueden denunciarse y ante qué entidad?

Con el término delito informático aglutinamos los hechos que, basándose en técnicas o mecanismos informáticos, pudieren ser tipificados como delito en el Código Penal, tales como: delito de estafa, delito contra la propiedad intelectual e industrial, etc. Debido a los avances tecnológicos y a los nuevos mecanismos para delinquir se ha hecho necesario introducir y modificar determinados artículos que permitan aglutinar éstos.

A través de este artículo se va a dar respuesta a estas y otras preguntas, incluyendo algunos ejemplos de los delitos más sonados en estos últimos años, así como ciertas referencias legales y organismos gubernamentales.

Las estafas con anterioridad al vigente Código Penal de 1995.

Con anterioridad a la redacción del actual Código Penal de 1995, el delito de estafa se encontraba, según el texto legal de 1975, recogido en el artículo 528 y 529 bajo la siguiente redacción “Art. 528.

El que defraudare a otro en la sustancia, cantidad o calidad de las cosas que le entregare en virtud de un delito obligatorio será castigado […]. Art. 529. El que defraudare a otro usando nombre fingido, atribuyéndose poder, influencia o cualidades supuestas, aparentando bienes, crédito saldo en cuenta corriente, comisión, empresa o negociaciones imaginarias o valiéndose de cualquier otro engaño semejante […].Cometen estafa los que con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndole a realizar un acto a disposición en perjuicio propio o ajeno. También se consideran reos de estafa los que, con ánimo de lucro y valiéndose de alguna manipulación […]”.

Esta situación provocó que muchas de las estafas cometidas a través de medios informáticos no pudieran tener cabida bajo este precepto teniendo que ser declaradas por los tribunales y asentado bajo jurisprudencia como apropiación indebida, como así sucedió con un empleado de un banco que tras manipular las cuentas corrientes de varios clientes de la entidad bancaria en la que trabajaba, embolsándose una cantidad superior a 3 millones de las antiguas pesetas, no pudo declararse dicho acto como estafa, sino como apropiación indebida ya que las estafas informáticas no estaban contempladas en el por aquel entonces vigente Código Penal, si bien el texto desde 1975 había sido modificado, en ningún caso incluyó la manipulación informática.

Relacionados: Pornografía Infantil y otros delitos sobre menores, Privacidad, Protección de Datos, Derecho al olvido y Navegación Privada, Denuncias

 

 


Situación del actual Código Penal

Con la aprobación del actual Código Penal, el 23 de noviembre de 1995 se realizan importantes cambios entre los que destacan ampliaciones en las definiciones de ciertos articulados, siendo de especial importancia el nuevo apartado incluido en la definición de estafa “Artículo 248. También se consideran reos de estafa los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero.

La misma pena se aplicará a los que fabriquen, introdujeren, poseyeren o facilitaren programas de ordenador específicamente destinados a la comisión de estafas previstas en este artículo”.

Si bien, cabe destacar que no existe un apartado específico donde se incluyan los denominados delitos informáticos e incluso no todos se encuentran debidamente especificados, entre los que cabe destacar la apología al terrorismo a través de páginas web, si bien pueden entenderse como delito informático por tanto en cuanto tiene cabida en la acepción amplia de delito informático -que tienen en los datos o sistemas informáticos el objeto o el instrumento de su delito-.

Tipos de delitos informáticos recogidos en el Código Penal

Partiendo de la base que no hay ningún apartado específico de delitos informáticos en el Código Penal, atenderemos a la clasificación de los mismos, siempre y cuando, los datos o sistemas informáticos formen parte de la comisión del delito, a saber:

Las amenazas.

Los delitos de exhibicionismo y provocación sexual
.

Los delitos relativos a la prostitución y corrupción de menores
.
Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad de domicilio: El descubrimiento y revelación de secretos, p.e. La interceptación de correo vendría asimilada a la violación de correspondencia, siempre que no exista consentimiento y haya intención de desvelar secretos o vulnerar la intimidad de un tercero. También sería un delito contra la intimidad la usurpación y cesión de datos reservados de carácter personal.

Delitos contra el honor: Calumnias e injurias, habiéndose especial mención cuando estas se realizaren con publicidad -se propaguen-.

Las estafas.
Las defraudaciones de fluido eléctrico. Incluye de forma expresa la defraudación en telecomunicaciones siempre y cuando se utilice un mecanismo para la realización de la misma, o alterando maliciosamente las indicaciones o empleando medios clandestinos.

Los daños. Destaca de la ampliación de la definición existente con anterioridad, incluyendo un apartado específico para los daños inmateriales “La misma pena se impondrá al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos”.

Los delitos relativos a la propiedad intelectual (Cómo proteger las creaciones y proyectos que se desarrollan en mi empresa).

Los delitos relativos a la propiedad industrial (Test de propiedad industrial).

Los delitos relativos al mercado y a los consumidores. Aquí se encontraría incluida la publicidad engañosa que se publique o difunda por Internet, siempre y cuado se hagan alegaciones falsas o manifiesten características inciertas sobre los mismos, de modo que puedan causar un perjuicio grave y manifiesto a los consumidores. (¿Son mis invenciones patentables?)

 

 


Denunciar un delito

(Para información sobre denuncias consulte el apartado Denuncias)

Este tipo de delitos, tipificados en el Código Penal, pueden denunciarse bien a través del propio interesado o por el Ministerio Fiscal, si bien hay que destacar la gran relevancia que están tomando el cuerpo especial de la Guardia Civil de Delitos Telemáticos, los cuales desde su comienzo -1996- han esclarecido e investigado, bien a instancia de parte, bien de oficio, entre otros los siguientes casos que en su día han tenido gran relevancia social:

Operación RONNIE, que permitió esclarecer el mayor ataque documentado de Denegación de Servicios Distribuidos (DDoS) a distintos servidores de Internet, que afectó a más del 30% de los internautas españoles y a varios de los proveedores de Internet más importantes de España.

Operación PUNTO DE ENCUENTRO, mediante la cual y en colaboración con policías de diecinueve países se logró la completa desarticulación de una red internacional dedicada a la distribución de pornografía infantil a través de Internet.

Operación POLICARBONATO, dirigida hacia la identificación de todos los escalones que componen el mercado pirata de CD´s de música, desde la fabricación de los CD´s destinados a las copias ilegales, las copias masivas llevadas a cabo en domicilios o empresas y la venta directa en mercados y calles.

Cabe destacar, la presentación de dichas denuncias ante el Cuerpo Especial de Delitos Telemáticos de la Guardia Civil es gratuito y debe presentarse en soporte papel, aunque se facilita un modelo de denuncia a través de su Portal.

Delitos en la legislación complementaria

Pero, ¿qué sucede con aquellos hechos por todos conocidos como el spam, el scaneo de puertos, comercio electrónico, etc. que no tienen cabida en el Código Penal?

P ara aquellos casos en los que el hecho previsiblemente infractor no fuere perseguible vía penal, habría que acudir a la legislación propia que regula la sociedad de la información donde sí se encuentran y cada vez mejor tipificados éstas infracciones: en materia de protección de datos personales (Ley Orgánica de Protección de Datos Personales); en cuestiones de la sociedad de la información y envío de correos electrónicos (Ley de Servicios de la Sociedad de la Información y Comercio Electrónico).

Con respecto a la presentación de denuncias cuando no se encuentra recogido el delito o falta dentro del Código Penal, habrá que atenerse a la legislación específica. Así, en materia de protección de datos la denuncia podrá ser instada de oficio o por parte del afectado o su representante legal ante la Agencia Española de Protección de Datos.

Estas denuncias tienen de característico que son totalmente gratuitas, es la Agencia la que finalmente corre a cargo de todos los gastos del procedimiento pasando a examinar el mismo expertos en la materia. Así mismo, desde hace ya dos años que la Agencia puede conocer también en materia de comunicaciones comerciales.

Con respecto a aquellos actos que infrinjan las obligaciones así reguladas por la Ley de Servicios de la Sociedad de la Información, a excepción del envío de correos comerciales, el órgano al que se deben presentar las denuncias oportunas es a la Secretaría de Estado de Telecomunicaciones y Sociedad de la Información, adscrita al Ministerio de Industria, Turismo y Comercio.

Actualidad

La compra en Internet suplantando la identidad del titular de una tarjeta no es estafa. El pasado mes de febrero el juzgado de Málaga hizo público su fallo en el que consideraba que no constituye estafa la compra en Internet facilitando los datos de una tarjeta tercera. Los hechos fueros los que a continuación se detallan.

Dos sujetos adquirieron por Internet un DVD facilitando los datos identificativos de una tarjeta, cuya titularidad pertenecía a otro sujeto diferente. La Sentencia señala que no es posible calificar el hecho como estafa, puesto que no producen los requisitos necesarios contenidos en el artículo 248 CP: manipulación de un programa y; la alteración, supresión u ocultación de datos en el sistema manipulado. Así mismo, el comerciante no realizó las comprobaciones necesarias para identificar al titular. (¿Cómo vender más y mejor por Internet? Aspectos legales básicos a tener en cuenta.)

Que tu novio se vengue……si tiene precio -35.000 €-

Las venganzas personales están a la vuelta de la esquina y, sino sorpréndanse con la sanción que ha impuesto el Tribunal Regional de Marburgo a un ciudadano por publicar videos caseros de su ex novia manteniendo relaciones sexuales con él.

En efecto, este ciudadano alemán de 40 años se sintió tan afligido por el término de su relación con su "amada" -el ego masculino- que decidió publicar un video casero a través de la Red, incluyendo los datos reales de contacto de ella, además de las imágenes donde aparecían ambos manteniendo relaciones sexuales.

La mujer empezó a sospechar, cuando varios desconocidos comenzaron a ponerse en contacto con ella -caso parecido al del vecino que por venganza incluyó los datos de su vecina en un portal de contactos-.

Finalmente y, como no podía haber sido menos, los jueces han dictado sentencia a favor de la mujer, declarándole a él culpable de injuria, difusión pornográfica y violación de derechos de imagen, además de tener que pagar una indemnización económica de 35.000 €.

 

 


¿Es un delito el grooming?

(Ver documento ampliado sobre Ciberbullying y Grooming)

La Convención sobre la Protección de los Niños contra la Explotación Sexual y el Abuso Sexual de 2007 fue el primer documento internacional en señalar como delitos penales las distintas formas de abuso sexual de menores, incluyendo el grooming y el turismo sexual.

En algunas legislaciones ya en marcha en algunos países se considera el grooming como un delito preparatorio para otro de carácter sexual más grave. Por establecer una analogía, sería como el delito de conspiración para cometer atentados terroristas.

•  En Alemania se pena con privación de libertad de 3 meses a 5 años al que ejerza influencia sobre el menor por medio de la exhibición de ilustraciones o representaciones pornográficas o por dispositivos sonoros de contenido pornográfico o por conversaciones en el mismo sentido.

•  Australia también pena con 15 años de prisión el uso de Internet para buscar actividades sexuales con personas menores de 16 años de edad.

•  En Escocia penan con hasta 10 años de cárcel la reunión con un menor de 16 años después de algunos contactos preliminares a través del chat.

•  En Estados Unidos se prohibe trasmitir datos personales de menores de 16 años con el fin de cometer delitos de carácter sexual. En Florida aprobaron en 2007 la Ley de Cibercrímenes contra Menores , que sanciona a quienes contacten con menores por Internet y luego se encuentren con ellos con el fin de abusar sexualmente.

En España está en marcha una reforma del Código Penal que donde la pederastia y la pornografía infantil verán agravadas las penas (que serán, en todo caso, de prisión). También tipificará como delito la captación de menores con fines sexuales a través de Internet así como considerar agresión sexual (aunque no haya violencia ni intimidación) aquellos actos que atenten contra la libertad e indemnidad sexual , cuando la víctima sea menor de edad.

Relacionados: Pornografía Infantil y otros delitos sobre menores, Ciberacoso, Ciberbullying, Grooming, Sexting

 

 


¿Es lo mismo un pederasta que un pedófilo?

No: existe un matiz importante, que muchas veces marca la línea entre lo que es delito y lo que no. La mayoría de los pederastas son pedófilos, pero un pedófilo no siempre es también un pederasta. Según la mayoría de diccionarios, el pedófilo (o paidófilo) se siente atraído erótica o sexualmente por niños (y/o niñas), e incluso puede mantener relaciones con ellos, con o sin abuso. Cuando abusa es cuando se le llama pederasta.

Podríamos resumir las definiciones (según la RAE) en esta tabla:

 

Atracción, deseo

Práctica sexual

Abuso

Objeto

Pedófilo/a

Sí o no

Sí o no

Niños, niñas y/o adolescentes

Pederasta

Sí o no

Niños y/o niñas

¿Cuándo una relación sexual con un/a menor es un abuso o ilícita?

Cuando media la fuerza o la coacción en dicha relación está fuera de duda que existe abuso, sea cual sea la edad y el entorno legal. Pero cuando existe algún tipo de consentimiento es cuando empiezan las diferencias según nuestro ámbito legislativo y según la edad. Entonces toma relevancia el concepto de edad mínima de consentimiento .

Si el/la menor ha consentido la relación y tiene una edad igual o superior a la mínima de consentimiento, se considera lícita la relación. Si ha dado su consentimiento, pero tiene menos años, entonces se considerará ilícita.

En el caso español la ley indica lo siguiente: Se considera estupro el acceso carnal con persona mayor de 12 años y menor de 16, conseguido con engaño o valiéndose de cualquier tipo de superioridad.

La mayoría de edad sexual (edad de consentimiento) en el Código Penal vigente en España queda establecida a partir de 12 años, siempre y cuando no intervenga engaño. En la Wikipedia existe un listado de la edad de consentimiento por países .

Los casos de grooming son tratados de manera algo diferente, ya que en muchas ocasiones se limitan a un chantaje y una explotación sexual forzada del/a menor mediante la obtención de imágenes, con lo cual se entra dentro más de la producción de pornografía infantil que en el abuso sexual o el estupro.

Relacionados: Pornografía Infantil y otros delitos sobre menores, Ciberacoso, Ciberbullying, Grooming, Sexting

 

 

 


¿Qué se considera pornografía infantil?

Aquí también existen diferencias según el país. En España en la actualidad de considera a efectos legales como tal (art. 189 del Código Penal):

1. Será castigado con la pena de prisión de uno a tres años: a) El que utilizare a menores de edad o a incapaces con fines o en espectáculos exhibicionistas o pornográficos, tanto públicos como privados, o para elaborar cualquier clase de material pornográfico, o financiare cualquiera de estas actividades.

a) El que produjere, vendiere, distribuyere, exhibiere o facilitare la producción, venta, difusión o exhibición por cualquier medio de material pornográfico en cuya elaboración hayan sido utilizados menores de edad o incapaces, aunque el material tuviere su origen en el extranjero o fuere desconocido.

b) A quien poseyera dicho material para la realización de cualquiera de estas conductas se le impondrá la pena en su mitad inferior.

2. Se impondrá la pena superior en grado cuando el culpable perteneciere a una organización o asociación, incluso de carácter transitorio, que se dedicare a la realización de tales actividades.

3. El que haga participar a un menor o incapaz en un comportamiento de naturaleza sexual que perjudique la evolución o desarrollo de la personalidad de éste, será castigado con la pena de prisión de seis meses a un año o multa de seis a doce meses.

También especifica el Código Penal español el delito de posesión de material pornográfico infantil penado con hasta 1 año de prisión a quien posee material pornográfico en cuya elaboración haya sido utilizado a un menor de 18 años (fotografías, vídeos, imágenes reales digitalizadas, archivos electrónicos, etc).

También se penaliza la producción, venta y difusión de pseudo-pornografía , es decir del material pornográfico donde no se haya utilizado directamente a un/a menor pero que emplee su imagen ( morphing ) o voz modificada. Esta práctica consistente en aplicarle filtros o efectos a una imagen real para crear un montaje nuevo.

Por ejemplo, se toman partes de imágenes (rostros y genitales de niños) y se mezclan en una especie de collage impidiendo la identificación de la posible víctima.

Sin embargo no se especifica si los dibujos pornográficos que representan a niños ficticios (algo común en ciertos subgéneros del manga hentai japonés) son delito. También existen programas de generación de imágenes 3D que permiten crear este tipo de imágenes mediante infografía.

Las penas van hasta los cuatro años de prisión para la producción, venta o difusión de pornografía (real) en cuya elaboración haya sido utilizado a un/a menor de 18 años, y hasta ocho años de prisión si es menor de 13 años.

No obstante, siempre existe una línea difusa entre lo que es una imagen pornográfico y lo que no lo es. No basta con que sea una imagen de un menor desnudo para que lo sea, o incluso no estándolo podría considerarse pornográfica la imagen o el vídeo según los actos que realice.

Según la Wikipedia la pornografía infantil se define como: toda representación de menores de edad de cualquier sexo en conductas sexualmente explícitas. Puede tratarse de representaciones visuales, descriptivas (por ejemplo en ficción) o incluso sonoras. (...) Tradicionalmente, se consideran como pornografía infantil a aquellas representaciones fotográficas o fílmicas en formatos digital o analógico de menores de edad de cualquier sexo en conductas sexualmente explícitas ya sea solos o interactuando con otros menores de edad o con adultos. . Es decir, una imagen de webcam de nuestra hija tomada por un groomer que la obliga mediante chantaje a realizarse tocamientos entraría claramente dentro de esta categoría.

¿Hasta qué punto estamos ante un fenómeno nuevo?

Decir que la Red ha aumentado la práctica del acoso sexual a menores podría resultar exagerado. ¿Qué es realmente lo nuevo?

•  La Red es rápida, barata y ubicua. Contenidos audiovisuales, como son los pornográficos, circulan con plena fluidez.

•  Cada vez más se extiende el uso de la cámara web, elemento presente en la inmensa mayoría de los problemas de grooming . Además, si no se contara con cámara web, el recurso a la cámara digital o al móvil capaz de grabar imágenes y vídeos es inmediato. Ya tenemos al menor plenamente equipado para proporcionar lo que busca el groomer .

•  Los equipos portátiles dificultan la supervisión parental porque se pueden mover de lugar en la casa e incluso sacar a otros lugares, a cielo abierto o no, dotados con redes WiFi.

•  El pederasta antes podía sentir su perversión como algo irrefrenable, pero quizás también como nociva o inmoral. Ahora cuenta en la Red con miles de personas en todo el mundo con las que compartir su afición , datos, trucos, experiencias, material. Ya no hay razón para sentirse mal con uno mismo, pueden pensar ahora.

•  Hay algunos estudios que insinúan que la exposición continuada a la pornografía (algo al alcance de la mano en la Red) puede en ciertos casos acabar creando permisividad hacia el consumo de pornografía infantil e incluso inducir a su necesidad.

•  Los propios menores lo tienen ahora muy fácil para consumir y crear su propio material de una manera más o menos inconsciente o imprudente.

•  Ahora los pederastas no tienen que esperar a los recreos o a las horas de salida del colegio. Millones de niños están conectados en cada instante y cuando unos duermen, otros están despiertos al otro lado del océano e incluso hablan el mismo idioma. El coto está abierto 24 horas todos los días del año, y es fácil y barato.

•  A este contexto, se pueden añadir los clásicos problemas anejos a los ciberdelitos como son las dificultades de persecución, las legislaciones diferentes (una imagen ilegal en un país puede ser legal en otro), los medios de investigación precisos o los largos procedimientos burocráticos .

¿Siempre obtienen las imágenes mediante chantaje?

No siempre, hay maneras sutiles de engañarlos/las. Y también se han dado casos de menores que producían este material voluntariamente o incluso comercialmente.

Existen incluso en ciertos países productoras comerciales que se mueven en el límite de lo erótico-artístico con modelos menores de edad, que cuentan con permiso de sus padres o tutores y que obtienen un beneficio económico por su posado .

En algunas redes sociales donde los menores pueden colgar sus obras artísticas, es relativamente fácil encontrar por ejemplo niñas de 15 años que publican sus propias fotos (semi)desnudas o en actitudes eróticas, presumiblemente sin conocimiento de sus padres, y ofreciendo vías sencillas para contactar con ellas por e-mail o mensajería instantánea.

 

Qué fases sigue habitualmente el grooming?
Las 4 etapas típicas son:

Constuir lazos de amistad con un/a menor fingiendo ser otro niño o niña.

Obtener información y datos personales del/a menor.

Mediante diferentes tácticas, adaptadas a la personalidad de la víctima (seducción, provocación, comparación con otros menores o mostrando imágenes de contenido progresivamente más pornográfico) conseguir que el/la menor frente a la webcam del pc se desvista, se haga tocaciones, se masturbe o realice otro tipo de expresiones de connotación sexual. En ocasiones hay una fase previa en la que se obtienen fotos comprometidas con las que realiza el chantaje para obtener más fotos o trasmisión de tocamientos en directo .

Si no se ha iniciado el chantaje en la fase anterior, en esta se inicia el ciberacoso, extorsionando a la víctima, con el objeto de obtener más material pornográfico o bien de lograr el encuentro físico con el/la menor para abusar sexualmente de él/ella.

¿El grooming siempre lleva al abuso físico?
No necesariamente. Aunque muchas veces es la fase previa con la que un abusador sexual prepara el terreno y engatusa a su víctima, otras veces se limita a ser una fuente de material pornográfico o erótico con el que satisfacer las propias pulsiones masturbatorias del groomer .

¿Cuánto tiempo dura el proceso de grooming?
Existen diversas duraciones del proceso en sus sucesivas etapas, y será más rápido o más lento dependiendo de diversas circunstancias (personalidad del acosador, del/a menor, frecuencia de la conexión, circunstancias que puedan mantener a uno de los 2 desconectado durante un tiempo...).

Lo habitual es que el proceso lleve entre unas pocas semanas y varios meses, durante los cuales el groomer se va ganando la confianza del menor antes de comenzar a introducirse en la temática sexual de una manera más evidente. Cuanto más dure el proceso normalmente el peligro es mayor ya que el/la menor habrá bajado ya en buena medida sus defensa y lo considerará un amigo (o amiga) más.

Por eso es importante educarlos para que nunca confíen en los amigos que sólo conocen a través de Internet, por más tiempo que lleven en contacto con ellos, y que nunca deben proporcionarles datos personales que permitan su localización física ni confiarles secretos comprometidos que los expongan a un posterior chantaje.

Utilización de bonificaciones para LOPD
La Fundación Tripartita para la Formación en el Empleo advierte a empresas y consultores, a todos los gestores de formación para el empleo del sistema de bonificaciones de ámbito estatal, sobre la existencia de entidades que de manera gratuita ofrecen servicios de implantación, auditoría y asesoría jurídica en materia de protección de datos de carácter personal, que en la práctica financian estos servicios con cargo al crédito asignado para la formación, un hecho que puede llegar a ser constitutivo de fraude .

El Real Decreto 395/2007 y la Orden Ministerial 2307/2007 establecen que este crédito está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación de los trabajadores.

La Fundación Tripartita ha iniciado un proceso de comprobación de los hechos y puesto en marcha los mecanismos de control oportunos, para constatar las bonificaciones practicadas y evitar en el futuro que las empresas beneficiarias que se bonifican por formación se vean implicadas en una cadena de errores, teniendo que devolver las cuantías bonificadas.

Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoría y asesoría jurídica en materia de LOPD, deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social.

La Fundación Tripartita hace un llamamiento a todos los usuarios para que en caso de recibir alguna oferta de este tipo de servicios u otros de similares características, contacten con el servicio al cliente de la Fundación en la siguiente dirección email: servicioalcliente@fundaciontripartita.org.

Sanción de 50.000 euros a Orange por emitir cargos a la libreta de ahorro de un menor
La intervención de la Agencia Española de Protección de Datos (AEPD) se debió a la denuncia presentada por la madre del menor tras percatarse de varios cargos a favor de Orange en la cuenta de ahorro infantil de su hijo. La AEPD afirma que la compañía no ha acreditado que comprobara la edad del menor, y tampoco dispone de ningún documento (por ejemplo copia del DNI) que lo acredite. La compañía debería haber realizado las acciones necesarias para evitar que, como en este caso, los datos personales de un niño causaran alta en su sistema.

El Reglamento de desarrollo de la L.O .P.D. establece que en el caso de menores de catorce años se requerirá el consentimiento de sus padres o tutores para proceder al tratamiento de los datos personales. Tratar los datos personales sin el consentimiento de las personas afectadas, cuando éste sea necesario, es una infracción considerada grave por la legislación de protección de datos.

Relacionados: Pornografía Infantil y otros delitos sobre menores, Ciberacoso, Ciberbullying, Grooming, Sexting


 

La reforma del Código Penal podría condenar los enlaces de Internet con penas de hasta 6 años.
21/05/2013

El Gobierno estudia la aplicación de penas de cárcel de hasta seis años en los delitos más graves contra la propiedad intelectual. Así consta en los artículos 270 y 271 del documento del anteproyecto de reforma del Código Penal que fue enviado al Consejo de Estado el pasado 5 de abril. Entre otras cosas, el texto tipifica como delito "facilitar el acceso" a contenidos ilegales, es decir, enlazar.

Este borrador aún es susceptible de cambios, que tiene fecha del 3 de abril, contempla modificaciones importantes respecto a la última versión "oficial" del anteproyecto de octubre de 2012 y llevaba varios días circulando entre asociaciones de jueces y multitud de juristas. La Universidad de Barcelona, incluso, lo publicó en su web. Finalmente, el Ministerio de Justicia ha hecho lo propio este martes 21 de Mayo.

Fuentes del Consejo de Estado han explicado que aún no hay fecha para el dictamen y que su retraso puede deberse a alegaciones formuladas por algunos colectivos. El texto había pasado antes, y tras salir del Consejo de Ministros, por el Consejo Fiscal y el Consejo General del Poder Judicial, que emitieron sendos informes muy críticos.

"Facilitar el acceso"
No es la primera vez que un borrador inquieta a la comunidad de Internet: ocurrió también con la ley Lasalle, que acabó aprobándose en los mismos términos de su filtración días antes. Una vez más, la terminología utilizada es determinante y, para algunos juristas, bastante preocupante. Denuncian una "criminalización" creciente de Internet y de los usuarios.

El cambio quizá más polémico de los que recoge el borrador fue una sugerencia del Consejo Fiscal. Este órgano recomendó que, además de enumerar las diferentes "conductas típicas" sancionadas relacionadas con la propiedad intelectual reproducir, plagiar, distribuir, comercializar al por menor o comunicar públicamente contenido sujeto a derechos, la futura ley añadiera en el artículo 270 el hecho de "facilitar el acceso" a todo lo anterior.

Hacerlo, dice el texto del borrador, estaría penado con entre seis meses y tres años de prisión. Para Carlos Sánchez Almeida, abogado especializado en Internet que denunció estos cambios en su blog, el Ejecutivo "ha escondido" estas modificaciones, que van mucho más allá de perseguir las webs de enlaces, supuestos objetivos ya de las leyes Sinde y Lasalle. Se ataca, añade, a los enlaces en sí, a todos.

¿Qué más podría considerarse 'facilitar acceso'? "El P2P o una aplicación móvil", el abogado David Maeztu, ya que el documento menciona "cualquier tipo de soporte" o de comunicación a través "de cualquier medio". Asegura que al final la inclusión de tipos delictivos "indeterminados" en textos como este terminan dejando "al albur de lo que el juez decida" su destino final.

Se pisa con la ley Lasalle
Todo esto supone una "inseguridad jurídica brutal", dice Sánchez Almeida, que opina que la penal, que hasta ahora era una vía casi muerta para la persecución de ciertos comportamientos en Internet la jurisprudencia, teniendo en cuenta la mayoría de sentencias, no considera que enlazar sea delito, se convertirá en el camino "fácil" y más efectivo a partir de ahora. Por encima de la ley Lasalle.
¿Por qué? Pues porque al chocar ambas legislaciones actuaría el principio de "prejudicialidad penal": ante una denuncia penal se paralizaría cualquier otro proceso que verse sobre lo mismo y si se aprecia apariencia de delito. "No te pueden poner una multa administrativa por algo por lo que te pueden condenar penalmente", añade Sánchez Almeida.

La ley Lasalle se circunscribe a procesos administrativos y civiles y prevé multas cuantiosas, además de retirada de contenidos de una web o interrupciones de servicio, algo que ahora incluiría también el Código Penal. Los expertos consultados creen que frente a los trámites farragosos de la ley Lasalle y sus resultados escasos, los denunciantes se agarrarán a lo más "efectivo", la vía penal.

Desaparece el "ánimo de lucro"
Por otro lado, resulta curioso que mientras la ley Lasalle habla de los "prestadores de servicios de la sociedad de la información" (webs), de forma concreta, como los sujetos que vulneran los derechos de propiedad intelectual, el Código Penal, al ser un texto más genérico, considera como posible criminal a todo (¿también particulares?) "el que, con ánimo de obtener un beneficio directo o indirecto...".

¿Necesitaría una redacción más específica la ley al hablar de Internet? Maeztu explica que el hecho de que se mencione un "beneficio" ya implica "una actividad económica" y que, por lo tanto, se estaría hablando igualmente de prestadores de servicios, más que de personas. Pero no queda claro. En cualquier caso y más allá de tecnicismos, la norma ya no solo afectaría a las webs de enlaces, que centran el nuevo artículo 271, sino casi a "cualquier web", según Maeztu.

El beneficio, de hecho, es otro de los aspectos polémicos. Donde antes decía "ánimo de lucro" ahora diría "beneficio directo o indirecto". Otra expresión sujeta a muchas interpretaciones y tomada de la ley Lasalle y sus antecesoras. El nuevo Código Penal se coloca también por encima de aquella circular de 2006 de la Fiscalía General que decía que el P2P no era delito penal si no comportaba ánimo de lucro. Las restricciones de este término han hecho que desaparezca del todo del anteproyecto.

Otro detalle: a raíz de la eliminación de las faltas en el Código Penal, actividades como el top manta que vieron rebajado su castigo años atrás vuelven a comportar penas más altas, de seis meses a dos años de cárcel. Esta pena se aplicará a la "distribución o comercialización ambulante o meramente ocasional" y a la facilitación del acceso a terceros "de un modo meramente ocasional". En principio, esto afectaría a los soportes físicos y no digitales, pero, de nuevo, no queda muy clara la diferenciación.

Según los expertos, el nuevo Código también tocaría a "los distribuidores de chips para consolas", los vendedores de dispositivos que permita "la elusión de protecciones tecnológicas" y a las empresas de alojamiento de contenidos. Maeztu reconoce que el texto no es nítido y cree que lo corregirán.

Las webs de enlaces
El artículo 271 del nuevo Código Penal se ocupa del "subtipo agravado" dentro de la vulneración de los derechos de propiedad intelectual, es decir, de los delitos "más graves" que conllevan penas más altas, entre dos y seis años de prisión.

Aquí es donde entran las webs de enlaces, pero también, por qué no, Google o YouTube, ya que se cita la prestación de un servicio no ocasional "de referenciación de contenidos en Internet que facilite la localización activa y sistemática de contenidos (...) ofreciendo listados ordenados y clasificados de enlaces a las obras...". La Ley Lasalle excluía prácticamente de su ámbito a servicios como Google.

Maeztu opina que el documento no recibirá demasiados reproches del Consejo de Estado en relación a la propiedad intelectual, ya que el Código Penal es una norma muy extensa en la que también se abordan temas como la prisión permanente revisable y otras medidas muy difíciles para el consenso. Fuentes jurídicas consultadas opinan que el Consejo General del Poder Judicial sí podría quejarse por no haber sido informado sobre los cambios "sustanciales" que ha sufrido el texto en su conjunto.


Legislación española, Ciberespionaje y Privacidad.
España, bajo el ojo del espionaje de EEUU.

(Ver documento completo sobre Privacidad, Protección de Datos, Derecho al olvido y Navegación Privada)


Los servicios de inteligencia españoles tienen la fundada sospecha de que la Agencia Nacional de Seguridad (NSA) ha rastreado millones de conversaciones telefónicas, SMS o correos electrónicos con origen o destino en España, igual que en Francia o Alemania. El consuelo es que están convencidos, como también lo está el propio Gobierno, de que la poderosa agencia estadounidense dedicada a interceptar comunicaciones a escala global no ha espiado en cambio a políticos españoles, como sí ha hecho con la presidenta brasileña, Dilma Rousseff, o el expresidente mexicano Felipe Calderón.

La información adelantada ayer por el diario francés Le Monde, a partir de las filtraciones del exanalista Edward Snowden, evidencian que solo en un periodo de 30 días, entre el 10 de diciembre de 2012 y el 8 de enero de 2013, la NSA recopiló datos correspondientes a 70,3 millones de llamadas telefónicas en el país vecino. En la mayoría de los casos, no se habría accedido al contenido de las conversaciones, sino a datos asociados a las mismas: los números del autor y del receptor de la llamada, su duración, la hora a la que se hizo o la ubicación de ambos.

Las fuentes consultadas estiman que la mayor parte de la actividad de la NSA se centra en la recopilación de estos metadatos y solo en casos concretos, cuando se utilizan teléfonos previamente seleccionados o se emplea alguna palabra clave, se produce la grabación y escucha.


Qué dice la legislación española

El problema es que la legislación española, una de las más garantistas del mundo, otorga tanta protección a estos metadatos como al contenido mismo de las conversaciones. La Ley 25/2007, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, obliga a los operadores a conservar los datos que permitan identificar el origen y destino de una comunicación (tanto de telefonía fija como móvil, correo electrónico o telefonía por Internet), pero solo pueden cederlos a las Fuerzas y Cuerpos de Seguridad del Estado y a los funcionarios de la Dirección de Vigilancia Aduanera cuando ejerzan funciones de policía judicial; así como al personal del Centro Nacional de Inteligencia (CNI) “en el curso de investigaciones de seguridad sobre personas y entidades”. Pero estos últimos necesitan luz verde del juez del Supremo que controla la interceptación de comunicaciones y la entrada en domicilios por parte de los agentes secretos. Es decir, siempre bajo control judicial, pues en otro caso sería delito.

Hasta tal punto es estricta la ley española que el Consejo Fiscal ha pedido que se reforme para que los datos que no afecten al secreto de las comunicaciones pueden cederse también a la Fiscalía, al Tribunal de Cuentas o a la Comisión de Propiedad Intelectual cuando desarrollen investigaciones en el ejercicio de sus competencias, sin que lo autorice un juez.

En julio de 2013, el secretario de Estado de Asuntos Exteriores, Gonzalo de Benito, aprovechó su visita a Washington para trasladar a la subsecretaria para Asuntos Políticos, Wendy Sherman, la preocupación española por las filtraciones de Snowden, que demostraban que EE UU no solo había espiado a países hostiles o adversarios sino a aliados y amigos e incluso a instituciones como la UE o la ONU. Sherman se limitó a “tomar nota”.

El 12 de agosto de 2013, después de que el semanario alemán Der Spiegel, publicase un documento de la NSA, fechado en abril pasado, que situaba a España en el tercer nivel (de cinco) entre los países objetivo de la agencia (junto a Alemania, Francia, Japón e Italia), el Ministerio de Asuntos Exteriores convocó al encargado de negocios de la Embajada de EE UU en Madrid, Luis G. Moreno. El subdirector para América del Norte, Luis Calvo, le pidió “aclaraciones” sobre la actividad de la NSA en España. El diplomático estadounidense aseguró comprender “la preocupación” española y se comprometió a intentar facilitar la información reclamada, aunque advirtió de que era política de la Administración Obama no comentar asuntos de inteligencia. En efecto, Exteriores seguía esperando todavía ayer las aclaraciones prometidas. Por su parte, la Embajada de EEUU en Madrid remitió a Washington para contestar a la pregunta de EL PAÍS sobre si la NSA ha realizado en España las mismas actividades que en Francia. Tampoco la Embajada de EE UU en Madrid contestó a la pregunta.

La NSA y el CNI tienen un acuerdo de colaboración mutua y cooperan a la hora de identificar a los protagonistas de llamadas telefónicas o correos electrónicos en el curso de investigaciones sobre terrorismo u otros campos de interés común. Pero, aunque los servicios de inteligencia compartan los resultados de sus pesquisas, nunca lo harán con sus fuentes o los métodos que emplean para conseguirlos.

Antes del verano, los responsables de los servicios occidentales especializados en la inteligencia de señales (como el GCHQ británico) se reunieron en la prestigiosa academia militar de West Point invitados por el director de la NSA, el general Keith Alexander. Aunque la reunión estaba programada desde mucho antes, el caso Snowden irrumpió en los debates. Nadie reprochó al jefe de la NSA los métodos utilizados, pero alguno le afeó que no hubiera sido capaz de evitar su filtración a la prensa.

(Ver documento completo sobre Ciberespionaje)

 

IR AL PRINCIPIO



 


Noticias Contenidos Tecnología Control Parental Nanotecnología Inteligencia Artificial Aviso Legal
 


Ciber-Seguridad GITS Argentina Ciber-Seguridad GITS Brasil Ciber-Seguridad GITS Uruguay Ciber-Seguridad GITS Colombia Ciber-Seguridad GITS Rep. Dominicana Ciber-Seguridad GITS Ecuador Ciber-Seguridad GITS  México Ciber-Seguridad GITS Venezuela Ciber-Seguridad GITS Perú Ciber-Seguridad GITS Costa Rica Ciber-Seguridad GITS Paraguay Ciber-Seguridad GITS Puerto Rico

Gits mira por tus derechos. Gits es Pro-Vida.

Recomendamos la visualización de este documental:
http://www.youtube.com/watch?v=SWRHxh6XepM .


Free counter and web stats




  Seguridad Informatica GITS 

Copyright (c) 2003. Gits Informática. All rights reserved.