UF3: Legislació de seguretat i protecció de dades

De WikiCat IT
Dreceres ràpides: navegació, cerca

Legislació i normes sobre seguretat i protecció de dades

El delicte informàtic

El delicte informàtic no apareix explícitament definit en l’actual Codi penal (1995), ni en les reformes posteriors (Llei 15/2003) que se n’han fet i, per tant, no es podrà parlar de delicte informàtic pròpiament dit, sinó de delictes fets amb l’ajut de les noves tecnologies, en els quals l’ordinador s’usa com a mitjà d’execució del delicte (per exemple, l’enviament d’un correu electrònic amb amenaces), o bé com a objectiu d’aquesta activitat (per exemple, una intrusió en un sistema informàtic).

La legislació del nostre país encara presenta buits pel que fa als mal anomenats delictes informàtics, de manera que tan sols oferirem un seguit de directrius bàsiques, més aviat relacionades amb el sentit comú, que no pas amb la normativa complexa que es va generant entorn de l’aplicació de les noves tecnologies.

El vessant tecnològic o científic dels estudis d’informàtica sovint deixa de banda el vessant social de l’aplicació dels avenços que es van produint en aquestes disciplines. Consegüentment, els usuaris i tècnics d’un sistema informàtic poden ser molt competents en el seu treball, però és més que probable que tinguin molts dubtes a l’hora d’abordar problemes com els següents:

  • Si el meu cap em demana que li mostri el contingut de la bústia de correu personal d’un treballador, tinc l’obligació de fer-ho?
  • Puc entrar a la bústia de correu electrònic d’un amic?
  • Uns intrusos han modificat la pàgina web de l’empresa en què treballo. Aquest fet és denunciable? A qui ho he de denunciar?
  • El sistema informàtic de la feina emmagatzema dades de caràcter personal (com, per exemple, el nom, els cognoms, l’adreça i el DNI dels treballadors). Cal protegir aquestes dades amb alguna mesura de seguretat determinada?
  • Puc penjar a Internet una pàgina web amb les fotografies i logotips del meu grup de música preferit?
  • Puc descarregar lliurement qualsevol arxiu de música de la Xarxa?

El Codi penal i les conductes il·lícites vinculades a la informàtica

El nostre Codi penal és especialment sever amb la protecció dels drets fonamentals i les llibertats públiques, recollits en el títol I de la Constitució. Aquests drets i llibertats són inherents a la condició de persona i, per aquest motiu, gaudeixen d’una protecció tan especial.

Un dels articles de la Constitució més directament relacionat amb la pràctica informàtica (tant des del punt de vista tècnic, com del simple usuari), és l’article 18, el qual reconeix el dret a la intimitat. Han de ser objecte de protecció no sols l’àmbit íntim de l’individu, sinó també l’esfera familiar i domiciliària.

Article 18CE

1. Es garanteix el dret a l’honor, a la intimitat personal i familiar i a la pròpia imatge.

2. El domicili és inviolable. No s’hi pot entrar ni fer-hi cap escorcoll sense el consentiment del titular o sense resolució judicial, llevat del cas de delicte flagrant.

3. Es garanteix el secret de les comunicacions i, especialment, de les postals, telegràfiques i telefòniques, excepte en cas de resolució judicial.

4. La llei limita l’ús de la informàtica per tal de garantir l’honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets.

Delictes contra la intimitat

Una part molt important dels delictes produïts entorn de la informàtica s’ubica dins de la tipificació dels delictes contra la intimitat. Sovint, els autors d’aquestes conductes no són conscients de la importància dels béns protegits per la llei i no s’adonen de les conseqüències de les seves accions fins que ja és massa tard.

Els delictes contra la intimitat són recollits en l’article 197.1 de l’actual Codi penal(d’ara endavant, CP). Com a conseqüència de l’assimilació de la intercepció del correu electrònic amb la violació de la correspondència, aquest article disposa que les conductes següents són constitutives de delicte:

  • L’apoderament de papers, cartes, missatges de correu electrònic o qualsevol altre document o efectes personals.
  • La intercepció de les telecomunicacions.
  • La utilització d’artificis tècnics d’escolta, transmissió, gravació o reproducció de so, o de qualsevol altre senyal de comunicació.

Per ser constitutives de delicte, aquestes activitats s’han de produir sense el consentiment de la persona afectada (ni autorització judicial motivada o justificada), i amb la intenció de descobrir-ne els secrets o vulnerar-ne la intimitat.

Per tant, obrir la bústia d’un correu electrònic que no sigui el nostre propi i llegir els missatges que s’hi emmagatzemen podria esdevenir una conducta constitutiva de delicte. Cal anar amb molt de compte amb aquest tipus d’accions (tècnicament solen ser molt senzilles d’efectuar, però no per això són conductes legals) i, com a norma general, mai no s’ha de llegir cap correu electrònic que no vagi adreçat a nosaltres mateixos (ni tan sols si el nostre cap, dins de l’àmbit laboral, ens ho demana).

En el cas de la intercepció del correu electrònic dins de l’àmbit empresarial, se sol argumentar que els treballadors no poden fer ús dels mitjans de l’empresa per a qüestions personals. Moltes sentències s’han pronunciat a favor de l’empresa perquè s’entén que, efectivament, els mitjans pertanyen a l’empresa i que, per tant, no és un lloc adient per enviar i rebre missatges de caràcter privat. No obstant això, davant del dubte, cal que sempre tingueu present que els correus electrònics dels treballadors de l’empresa gaudeixen de la mateixa protecció legal, pel que fa a la intimitat, que els correus electrònics personals.

Una manera útil per fer saber als usuaris d’una organització quins són els usos correctes dels mitjans de l’empresa, i les seves limitacions, consisteix en l’ús de contractes en els qual s’especifica, per exemple, quines obligacions i responsabilitats té un usuari d’un compte de correu electrònic. Si com a tècnics se’ns requereix que demostrem l’ús indegut d’algun mitjà electrònic de l’organització, sempre serà preferible usar controls tan poc lesius com sigui possible, com ara el monitoratge o el seguiment del nombre de bytes transmesos (o rebuts) per un usuari concret (per exemple, si un usuari descarrega arxius de vídeo o cançons, el nombre de bytes rebuts serà, probablement, molt més gran que el que seria si fes un ús adequat del correu).

Usurpació i cessió de dades reservades de caràcter personal

Els articles 197, 198, 199 i 200 del CP tipifiquen com a conductes delictives l’accés, la utilització, la modificació, la revelació, la difusió o la cessió de dades reservades de caràcter personal que es trobin emmagatzemades en fitxers, suports informàtics, electrònics o telemàtics, sempre que aquestes conductes les facin persones no autoritzades (conductes anomenades, genèricament, abusos informàtics sobre dades personals). A més de la responsabilitat penal en què poden derivar aquests tipus d’accions, també cal considerar que les dades personals s’han d’emmagatzemar i declarar segons una normativa especificada en la Llei orgànica de protecció de dades personals (LOPDP).

Pel que fa al Codi penal, explícitament es fa esment de l’agreujant d’aquestes conductes quan les dades de l’objecte del delicte són de caràcter personal que revelin ideologia, religió, creences, salut, origen racial o vida sexual. Altres agreujants que cal tenir en compte es produeixen quan la víctima és un menor d’edat o incapacitat, o bé la persona que comet el delicte és el responsable dels fitxers que hi estan involucrats. Mereix una consideració especial l’article 199.2, en el qual es castiga la conducta del professional que, incomplint l’obligació de reserva, divulga els secrets d’una altra persona.

Article 25 CP

A l’efecte d’aquest Codi es considera incapaç tota persona, se n’hagi declarat o no la incapacitació, que pateixi una malaltia de caràcter persistent que li impedeixi governar la seva persona o béns per ella mateixa.

En definitiva, el sentit comú ja ens avisa que aquestes accions poden tenir algun tipus de repercussió. El que probablement desconeixem és que se’n puguin derivar responsabilitats penals. Així, com a tècnics i usuaris de sistemes informàtics, és molt probable que tinguem accés a dades personals, sobre les quals tenim l’obligació de mantenir el secret i no cedir-les a ningú.

Delicte de frau informàtic

En l’article 248.2 CP es castiga la conducta de qui, emprant qualsevol manipulació informàtica, aconsegueixi la transferència no consentida de qualsevol bé, amb ànim de lucre i perjudici sobre tercer. També apareixen en el Codi penal les conductes preparatòries per a la comissió de delictes de frau informàtic, les quals poden consistir, a tall d’exemple, en la fabricació, la facilitació o simplement la mera possessió de programari específic destinat a la comissió del delicte de frau informàtic.

Per exemple, l’anomenat descaminament (pharming) és una de les tècniques que es podrien englobar dins d’aquesta tipificació. Aquesta tècnica permet que un atacant pugui redirigir un nom de domini a una màquina diferent. Així, doncs, un usuari pot creure que accedeix al seu compte bancari via Internet, quan en realitat el que fa és proporcionar les seves claus d’accés a l’atacant. El desenca minament està molt relacionat amb un altre terme anomenat pesca (phishing). En aquest darrer cas, però, no estarem parlant d’una tècnica informàtica, sinó d’una estratègia d’enginyeria social, en la qual s’usa la suplantació de correus electrònics o pàgines web per intentar obtenir la informació confidencial de l’usuari. És a dir, a diferència del desencaminament, molt més tècnic, en la pesca l’usuari creu que introdueix les dades en el portal d’una entitat bancària, però en realitat és un portal diferent, amb una adreça diferent de la real. En el cas del desencaminament, l’usuari introdueix l’adreça real del portal d’Internet, però es produeix una redirecció a una màquina diferent.

Delicte d’ús abusiu d’equipaments

L’article 256 CP castiga l’ús de qualsevol equipament terminal de telecomunicacions sense el consentiment del titular, sempre que li ocasioni un perjudici superior a 400 euros. Aquesta quantitat va ser establerta per la Llei 15/2003.

Delicte de danys

Els delictes de danys, juntament amb els delictes contra la intimitat i contra la propietat intel·lectual, són, amb diferència, els que succeeixen amb més freqüència. De manera similar a com passa amb els que s’efectuen contra la intimitat de les persones, sovint els autors d’aquestes accions no són conscients de les conseqüències que poden comportar els delictes que cometen.

Segons l’article 264 CP el delicte de danys consisteix en la destrucció, l’alteració, la inutilització o qualsevol altra modalitat que impliqui el dany de dades, programari o documents electrònics emmagatzemats en xarxes, suports o sistemes informàtics.

Tal com ens podem imaginar, aquest delicte pot tenir repercussions econòmiques molt importants en les organitzacions afectades i, en conseqüència, les sancions d’aquestes accions poden comportar grans sumes de diners per a les persones implicades.

Els danys produïts en un sistema informàtic s’han de poder valorar i és essencial adjuntar-ne una valoració en el moment d’efectuar la denúncia davant d’un cos policial. La valoració dels danys és un procés complex de dur a terme i pot abraçar diferents aspectes: cost de restauració d’una pàgina web, pèrdues en conceptes de publicitat no emesa (lucre cessant), o per serveis que no s’han pogut prestar, etc. A tall d’exemple, l’alteració d’una pàgina webper una persona no autoritzada és un cas de delicte de danys. Tot i que en alguns casos pugui semblar una acció innocent (i fins i tot engrescadora, dins de l’entorn dels pirates), pot comportar pèrdues de milers d’euros.

Cal dir que si bé la intrusió en un sistema informàtic de moment no és en si mateixa constitutiva de delicte (tot i que en breu tindrà aquesta consideració), aquests tipus d’accions se solen trobar vinculades a altres conductes que sí que ho són, com, per exemple, els delictes contra la intimitat, els danys en un sistema informàtic o els mitjans que s’hagin utilitzat per dur a terme l’accés no autoritzat (com, per exemple, la detecció o sniffing de contrasenyes).

Delictes contra la propietat intel·lectual

El delicte contra la propietat intel·lectual és una de les qüestions que més interès suscita entre la comunitat informàtica, ja que està vinculat amb una de les activitats més polèmiques entorn d’Internet: la descàrrega de fitxers protegits per les lleis de la propietat intel·lectual i l’ús de programaris d’intercanvis de fitxers en xarxes d’igual a igual (anomenades també peer-to-peer o P2P).

Xarxes d’igual a igual (peer-to-peer)

En les xarxes d’igual a igual, cada node pot efectuar alhora tasques de servidor i de client. A causa de la seva natura intrínseca, les xarxes P2P són molt adequades per compartir fitxers entre tots els usuaris que la formen, els continguts dels quals poden ser (o no) protegits per les lleis de propietat intel·lectual. Sens dubte, el programari P2P més conegut per tothom (i objecte de molta controvèrsia) és l’eMule, basat en la xarxa eDonkey (2002).

Segons l’article 270 CP, les conductes relatives als delictes contra la propietat intel·lectual són aquelles en què es reprodueix, plagia, distribueix o comunica públicament, tant d’una manera total com parcial, una obra literària, artística o científica sense l’autorització dels titulars dels drets de propietat intel·lectual de l’obra.

Aquestes condicions s’apliquen independentment del suport en què s’hagi enregistrat l’obra (textos, programaris, vídeos, sons, gràfics o qualsevol altre fitxer relacionat). És a dir, els delictes relatius a la venda, la distribució o la fabricació de còpies no autoritzades de programari són delictes contra la propietat intel·lectual. No obstant això, segons la interpretació literal del Codi penal, cal que aquestes accions s’hagin efectuat amb ànim de lucre i en perjudici de tercers. Així, doncs, per poder aplicar aquest article resulta essencial que es pugui demostrar l’existència d’aquest lucre. Malgrat que això no pugui ser fàcilment demostrable, recordem que, de qualsevol manera, tota obra (literària, científica o artística) és protegida per uns drets de propietat intel·lectual que cal respectar, independentment de les consideracions personals que cadascú pugui tenir amb relació a aquest tema.

Exemples de delictes contra la propietat intel·lectual

Vegem alguns exemples de delictes contra la propietat intel·lectual:

  • Reproducció íntegra de programari i venda al marge dels drets de llicència.
  • Instal·lació de còpies no autoritzades de programari en un ordinador en el moment de la compra.
  • Publicació del codi font de programari (o el programari en si mateix), o altres fitxers (MP3, llibres, etc.) a Internet, al marge dels drets de llicència d’aquestes obres.
  • Utilització d’una llicència de programari per només un sol ordinador per donar servei a tota la xarxa.
  • Trencament dels mecanismes de protecció que permeten el funcionament correcte del programari (motxilles o dongles, contrasenyes i altres elements de seguretat). Aquestes tècniques reben el nom genèric de cracking. Així, doncs, el terme crackeres referirà tant a la persona que s’introdueix en un sistema amb finalitats destructives, com a la que fa cracks amb la intenció de trencar els mecanismes de protecció dels programaris.

El mateix article 270 CP preveu penes per a qui faci circular o disposi de qualsevol mitjà específicament dissenyat per anul·lar qualsevol dispositiu tècnic de protecció del programari (per exemple, els programaris que permeten “saltar” les proteccions anticòpia de CD o DVD).

Tot i els esforços d’alguns països de la Comunitat Europea per evitar la descàrrega i la compartició (mitjançant programaris d’igual a igual) de continguts protegits, encara no s’ha arribat a una solució de consens. No obstant això, cal aclarir que l’ús i la instal·lació de programaris d’igual a igualen els nostres ordinadors no es considera (des del punt de vista jurídic) cap pràctica il·legal. De la mateixa manera que no es prohibeix que tinguem ganivets a la cuina únicament pel fet que el seu mal ús pot ser delictiu, tampoc no se sanciona el fet d’instal·lar i usar programaris d’intercanvi de fitxers (ja que poden tenir un ús perfectament lícit). Recordem, però, que la simple tinença de qualsevol mitjà (per exemple, un programari) dissenyat per anul·lar la protecció dels programaris sí que és susceptible de ser sancionada.

Pel que fa a la creació de programari, també hi ha algunes consideracions que cal tenir en compte. Segons el tipus de contracte al qual es trobi subjecte el treballador, el programari que desenvolupi per a una organització determinada pertany a l’empresa i, en conseqüència, si el treballador abandona l’organització, no es pot emportar el programari que ha creat en el seu antic lloc de treball. Com en el cas de la utilització del correu electrònic, seria recomanable que el contracte de treball especifiqués aquesta qüestió.

Dret de còpia privada

Al nostre país està permesa la realització de còpies d’obres literàries, artístiques o científiques sense prèvia autorització dels titulars de l’obra (sempre que s’hi hagi accedit legalment) i la còpia no s’empri amb finalitats col·lectives, ni lucratives, ni amb ànim de perjudicar a tercers. No obstant això, cal tenir present que el dret de còpia privada no és aplicable a programaris (i, per tant, a videojocs tampoc). El dret a còpia privada es limita a una sola còpia.

Tipus de llicències

L’ús d’una llicència no adequada (per exemple, una llicència personal en lloc d’una llicència de xarxa) pot comportar problemes diversos i no es pot argumentar el desconeixement com a eximent d’aquesta conducta. Així, doncs, caldrà estudiar quins tipus de llicències de programari diferents hi ha amb la finalitat d’adquirirles i emprar-les adequadament segons les nostres necessitats i del pressupost de què es disposi. Vegeu-ne algunes:

1. Llicències de programari no lliure.

  • OEM (original equipment manufacturer): tipus de llicència, normalment referida a sistemes operatius (encara que també es pot aplicar al maquinari), que supedita la venda del programari com a part integrant d’un equip informàtic nou (programaris preinstal·lats). Així, doncs, aquest programari no es pot vendre aïlladament, sinó juntament amb el maquinari que l’incorpora. Solen no disposar de l’embolcall de la versió normalitzada del producte. No es poden vendre ni cedir a tercers independentment del maquinari.
  • Retail: consisteix en les versions de venda normalitzades d’un programari, amb els embolcalls que se solen veure a les botigues d’informàtica. A diferència de les versions OEM, es poden vendre independentment del maquinari que les suporta i poden tenir algun extra que no apareix en les versions OEM.
  • Llicències per volum: llicències destinades a empreses i institucions (com instituts i universitats). Són similars a les llicències OEM, però no estan vinculades a equips nous. Poden servir, per exemple, per instal·lar un programari d’ús comú en una xarxa d’ordinadors d’un institut.

2. Llicències de programari lliure. Segons la Free Software Foundation (Fundació pel Programari Lliure), el programari lliure ha de satisfer les quatre condicions següents:

  • Llibertat perquè els usuaris emprin els programaris amb qualsevol propòsit.
  • Llibertat per estudiar el funcionament del programari i adaptar-lo a les necessitats de cada usuari (aquesta condició requereix accedir al codi font del programari).
  • Llibertat per redistribuir còpies del programari.
  • Llibertat per efectuar millores dels programaris i fer-les públiques (redistribuir les còpies del programari modificat) en benefici de tota la comunitat (tal com passa amb la segona condició, aquesta també només pot ser possible si es té accés al codi font del programari).

Així, doncs, el programari lliure es caracteritza perquè pot ser usat, estudiat i modificat sense restriccions de cap mena, es pot redistribuir en una versió modificada (o sense modificar) sense cap restricció, o amb aquelles mínimes que permetin garantir als futurs usuaris que podran gaudir de les mateixes llibertats a què hem fet referència.

El fet que un programari sigui lliure no vol pas dir que sigui gratuït. Per exemple, el programari gratuït pot patir certes restriccions que fa que no s’adapti a la definició de programari lliure abans enunciada (un programari pot ser gratuït, però podria no incloure el codi font, tal com obliguen les llibertats del programari lliure). D’altra banda, sovint trobem a la venda CD de distribucions de Linux (programari lliure). No obstant això, en aquest cas, el comprador podrà copiar el CD i distribuir-lo.

Pel que fa al programari lliure, les llicències més habituals són les següents:

  • Llicències GPL (llicència pública general de GNU): en aquest tipus de llicències, el creador conserva els drets d’autor (copyright) i permet la redistribució i la modificació, però amb la condició que totes les versions modificades del programari es mantinguin sota els termes més restrictius de la llicència GNU GPL. Això implica que si un programari té parts sota llicència no GPL, el resultat final ha de ser forçosament programari sota llicència GPL.

Projecte GNU (GNU is Not Unix)

Iniciat per Richard Stallman, el seu objectiu va ser crear un sistema operatiu totalment lliure, anomenat sistema GNU. El projecte es va anunciar per primera vegada l’any 1983. Linus Torvalds, l’any 1991, va començar a escriure el nucli del sistema operatiu Linux, el qual va distribuir sota llicència GPL. Gràcies a les aportacions de molts altres programadors, el nucli de Linux es va acabar combinant amb el sistema GNU, i va formar l’anomenat GNULinux o distribució Linux*, paradigma dels sistemes operatius lliures.

  • Llicències BSD (Berkeley software distribution): BSD identifica un sistema operatiu derivat de l’Unix, fet gràcies a les aportacions fetes per la Universitat de Califòrnia, Berkeley. Precisament, aquestes llicències s’anomenen BSD perquè s’utilitzen en molts programaris distribuïts amb el sistema operatiu BSD. Són llicències sense restriccions, compatibles amb les llicències GNU GPL, que proporcionen a l’usuari una llibertat il·limitada, fins i tot per redistribuir el programari com a no lliure. No obstant això, el creador manté els drets d’autor (copyright) pel reconeixement de l’autoria en treballs derivats.
  • Llicències MPL (Mozilla public license) i derivades: aquest tipus de llicència rep el nom del projecte de programari lliure Mozilla, a bastament conegut per tota la comunitat d’internautes. En aquest cas, i a diferència de les llicències GPL, no cal que el producte final també sigui llicenciat en MPL. D’aquesta manera, es promou efectivament la col·laboració entre autors i la generació de programari lliure, ja que les llicències GPL presentaven el problema d’afavorir una certa expansió vírica i endogàmica a causa de l’obligació que el producte final fos també llicenciat en GPL. A més, són més restrictives que les BSD i eviten que l’usuari gaudeixi de les llibertats excessives que comporta aquesta llicència.
  • Llicències copyleft: en aquest cas, el propietari de la llicència gaudeix del dret de còpia, modificació i redistribució. A més, també pot desenvolupar una versió d’aquest programari (amb llicència subjecte a copyright) i vendre’l o cedir-lo sota qualsevol de les llicències estudiades, sense que això afecti les llicències copyleft ja atorgades. L’autor també pot retirar una llicència copyleft, encara que sense efectes retroactius, ja que l’autor no té dret a retirar el permís d’una llicència que encara es troba vigent.

Delicte de revelació de secrets d’empresa

Segons l’article 278.1 CP, fa revelació de secrets d’empresa qui, amb la finalitat de descobrir un secret d’empresa, intercepti qualsevol tipus de telecomunicació o utilitzi artificis tècnics d’escolta, transmissió, gravació o enregistrament del so, imatge o de qualsevol altre senyal de comunicació.

Delicte de defraudació dels interessos econòmics dels prestadors de serveis

La defraudació dels interessos econòmics dels prestadors de serveis és un nou delicte, introduït arran de la reforma 15/2003 del Codi penal, apareix en l’article 286, i castiga qui faciliti a tercers l’accés a serveis interactius o audiovisuals (com, per exemple, les televisions de pagament), sense el permís dels prestadors d’aquests serveis. De fet, la simple explicació, per exemple en una pàgina web d’Internet, sobre com es poden evitar o “saltar” els mecanismes de protecció d’aquests sistemes, ja és considerada com una activitat delictiva.


Altres delictes i la investigació dels delictes informàtics

A més dels delictes que s’han descrit, és evident que molts altres, coneguts intuïtivament per tots nosaltres, es poden dur a terme amb el concurs de la tecnologia. En aquests casos, la tecnologia esdevé únicament el mitjà de comissió del delicte, el qual ja es troba perfectament tipificat dins dels delictes ocorreguts en el món “real”:

  • Amenaces i coaccions (per mitjà de xats o correus electrònics).
  • Falsedat documental (alteracions i simulacions de documents públics o privats).
  • Difusió de pornografia infantil a Internet (la tinença també és un delicte).

Els investigadors dels delictes informàtics (policials o d’empreses especialitzades) disposen, a grans trets, de dues fonts d’informació essencials:

  • Els fitxers o registres (logs) locals: el sistemes operatius i els programaris que s’executen als ordinadors enregistren algunes de les activitats que fan en els anomenats fitxers de registre. Per exemple, la intrusió d’un pirata en un sistema informàtic deixaria, si l’atacant no és molt hàbil, empremtes en diversos fitxers del sistema. La informació que contenen aquests arxius (per a l’exemple l’adreça IP de l’atacant) és la primera baula que els investigadors analitzarien per tal d’arribar a establir l’origen de l’atac o el fet investigat.
  • Els registres (logs) dels proveïdors de servei d’Internet (PSI): la persona que ha comès el delicte (o qualsevol altre fet susceptible de ser investigat) haurà utilitzat la connexió oferta per un cert proveïdor de serveis d’Internet. Les dades associades a aquesta connexió són emmagatzemades pels PSI

segons la Llei de serveis de la societat de la informació i del comerç electrònic (LSSICE), les quals només poden ser cedides als investigadors per un manament judicial. Així, doncs, una vegada els investigadors han establert la informació bàsica del succés (IP d’origen, franja horària i la data en què s’ha produït l’esdeveniment), caldrà que sol·licitin al jutge un manament judicial per tal que el proveïdor de serveis els lliuri la informació requerida (associada a la IP i a la resta de dades determinades en les etapes inicials de la investigació) per continuar el procés i identificar l’usuari que ha emprat la connexió sospitosa.

Si l’administrador d’un sistema informàtic és víctima de qualsevol d’aquests delictes, o bé, per exemple, descobreix que el sistema que administra és utilitzat com a plataforma de distribució de còpies de programari no autoritzades o de pornografia infantil, ho ha de denunciar immediatament a la comissaria de policia més pròxima, tenint en compte el protocol d’actuació següent:

1. Adjunció dels fitxers de registre (registres locals del sistema) relacionats amb el delicte comès. Aquests fitxers hauran de reflectir, en cas que hagin quedat registrats, la IP de l’atacant, les accions produïdes en el sistema investigat, etc.

2. En cas que s’hagi produït un delicte de danys, cal adjuntar una valoració dels danys ocasionats.

3. Actuar amb rapidesa (els proveïdors no emmagatzemen indefinidament els fitxers de registre dels seus servidors).

4. En cas que aquesta acció delictiva s’hagi produït per correu electrònic, cal adjuntar les capçaleres completes del correu rebut.

5. En cas que sigui necessari, cal considerar la possibilitat de duplicar (o clonar) el disc dur del servidor per preservar les proves del delicte i, a continuació, reinstal·lar el sistema per evitar que el delicte es continuï produint. No obstant això, cal anar amb compte amb aquesta consideració. Suposem, per exemple, que l’administrador d’un sistema descobreix que el servidor del qual és responsable allotja pornografia infantil. La duplicació del disc dur (a l’efecte de salvaguardar les proves) i la reinstal·lació posterior de tot el sistema permetrien evitar que el delicte (la difusió de pornografia infantil) es continués produint, però al mateix temps en podria dificultar la investigació.

Els usuaris domèstics també poden ser víctimes de delictes relacionats amb les noves tecnologies (contra la intimitat, amenaces, coaccions, suplantacions d’identitat, etc.). Moltes de les aplicacions per mitjà de les quals s’executen aquestes accions poden emmagatzemar els seus propis logs (per exemple, les converses de xat, capçaleres de correu electrònic), els quals caldria adjuntar en cas de denúncia.

Plans de manteniment i administració de la seguretat

La Constitució vol protegir d’una manera molt curosa una sèrie de drets inherents a tota persona (els anomenats drets fonamentals). Entre aquests destaca, entre d’altres, el dret a la intimitat. A més de les conseqüències penals que pot comportar la vulneració d’aquest dret, hi ha altres lleis, independentment del marc penal, que també protegeixen la privacitat de la persona en tots els seus aspectes, també pel que fa a les seves pròpies dades.

A causa d’aquest fet, la legislació és molt proteccionista amb les dades. Això afecta d’una manera negativa els sistemes informàtics, la manera com operen les organitzacions, i fins i tot el dia a dia de les persones. El conjunt de normes intenta trobar un equilibri entre aquests elements, aparentment oposats, per aconseguir un nivell de seguretat de les dades adequat, juntament amb una protecció suficient de la intimitat, i garantir a les empreses el poder operar amb la informació d’una manera eficient.

Legislació sobre protecció de dades

La protecció de les dades de caràcter personal ha pres darrerament una gran rellevància. Les persones es mostren cada dia més curoses amb les seves dades i, a la vegada, són més conscients dels drets de protecció de què ha de gaudir la seva informació personal.

Els factors que sembla que han dut a la situació actual han estat, d’una banda, la normativa en matèria de protecció de dades i, de l’altra, l’activitat creixent de l’Agència Espanyola de Protecció de Dades, organisme autònom encarregat d’assegurar el compliment de la legislació vigent (i fruit de la mateixa legislació).

Estem convençuts que per dur a terme una tasca professional de qualitat és molt important (i fins i tot ens atreviríem a dir que imprescindible) conèixer la normativa espanyola aplicable a la protecció de dades de caràcter personal.

Una de les lleis més importants encaminada a protegir la intimitat de les persones és la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPDP). Aquesta norma té per objecte garantir i protegir, amb relació al tractament de dades personals, les llibertats públiques i els drets fonamentals de les persones físiques, i en especial el seu honor, intimitat i privacitat.

Aquesta llei apareix com a conseqüència de l’existència de l’article 18, apartat 4 de la Constitució, i de la Directiva europea 94/46 de 24 d’octubre del Parlament Europeu i del Consell, relativa a la protecció de les persones físiques i referida al tractament de dades personals i a la lliure circulació de les seves dades.

Aquesta directiva és una norma d’àmbit europeu per protegir les dades personals i per garantir el flux de dades entre els països de la Unió Europea. Per tant, els països necessiten integrar aquesta directiva a les seves legislacions. El resultat és la Llei orgànica de protecció de dades (15/1999) i l’aparegut recentment. Reglament d’aplicació de mesures de seguretat tècniques i organitzatives (1720/2007). Aquest reglament desenvolupa aquesta llei orgànica i estableix l’obligació de les organitzacions d’engegar diverses mesures destinades a garantir la protecció d’aquestes dades, que afectin sistemes informàtics, arxius de suport d’emmagatzemament, personal i procediments operatius.

Directiva comunitària (o directiva de la Unió Europea)

És una decisió col·lectiva mútuament obligatòria aprovada pels estats membres de la Unió Europea. Obliga que tots els estats membres assoleixin, totalment o parcialment, els objectius de la directiva. No obstant això, cada estat pot triar la forma i els mitjans per arribar a assolir-los. Les directives, doncs, proporcionen un marc normatiu que cada país ha de desenvolupar, tenint en compte les seves característiques específiques, però, al mateix temps, respectant els límits de la directiva.

La LOPDP és aplicable a qualsevol informació sobre persones físiques identificades o identificables (nom, cognoms, edat, sexe, dades d’identificació fiscals, estat civil, professió, domicili...) que aparegui enregistrada en qualsevol suport físic (inclòs el paper), que en permeti el tractament (conjunt d’operacions que es poden dur a terme sobre les dades) manual o automatitzat i ús posterior pel sector públic o privat. Traspassat a l’àmbit de les empreses, s’ha d’interpretar que la LOPDP és aplicable a qualsevol organització que manipuli o arxivi fitxers, tant en paper com en suport magnètic, que continguin informació o dades de caràcter personal, tant dels seus empleats, clients o proveïdors (persones físiques), la qual cosa obliga les empreses, institucions, professionals i, en general, totes les persones jurídiques o físiques, que operin sobre fitxers de dades de caràcter personal, al compliment d’una sèrie d’obligacions legals.

Objectiu de la normativa

L’objectiu de la LOPDP és el de garantir i protegir la privadesa i la intimitat de les persones físiques.

L’objectiu del reglament (que desenvolupa la LOPDP) és el d’establir les mesures tècniques i organitzatives necessàries per garantir la seguretat dels fitxers i dels sistemes que prenguin part en el tractament de dades de caràcter personal.

Per tractament s’entendrà el conjunt d’operacions i procediments tècnics de caràcter automatitzat o no que permetin la recollida, la gravació, la conservació, l’elaboració, la modificació, el bloqueig i la cancel·lació de dades.

La LOPDP distingeix entre el responsable dels fitxers i el responsable de la seguretat dels fitxers. A la vegada, el responsable dels fitxers es desdobla en dues figures que no cal que siguin coincidents: el responsable del fitxer o tractament (per exemple, l’empresa Editorial Nova) i l’encarregat del tractament (per exemple, una altra empresa, Gestions Informàtiques, contractada per l’empresa Editorial Nova amb la finalitat d’efectuar el tractament de les dades). Finalment, el responsable de seguretat dels fitxers és la persona o persones a les quals el responsable dels fitxers ha assignat la funció de coordinar i controlar les mesures de seguretat aplicables.

Principis bàsics de la LOPDP

El principis i directrius en què es fonamenta la LOPDP són els següents:

  • Principi de qualitat de les dades: les dades de caràcter personal només es poden recollir per al seu tractament, i també sotmetre-les a aquest tractament, quan siguin adequades, pertinents i no excessives amb relació a l’àmbit i les finalitats determinades, explícites i legítimes per a les quals s’hagin obtingut.
  • Finalitat expressa: les dades de caràcter personal objecte de tractament no poden ser usades per a finalitats que no siguin compatibles amb aquelles per a les quals les dades s’han recollit. Es consideren compatibles, tanmateix, el tractament posterior d’aquestes dades amb finalitats històriques, estadístiques o científiques.
  • Actualitat de les dades: les dades personals que s’incorporin en un fitxer han de respondre a una situació actual.
  • Principi d’exactitud: les dades personals han de ser susceptibles de modificació i de rectificació des del moment en què es coneix la modificació.
  • Deure d’informació a la persona afectada: les persones interessades a les quals se sol·licitin dades de caràcter personal hauran de ser advertides prèviament de manera expressa, precisa i inequívoca:
    • Que les seves dades seran incloses en un fitxer, de la finalitat de la recollida i dels destinataris de la informació.
    • De l’obligatorietat o el caràcter voluntari de donar aquestes dades.
    • De les conseqüències que porten aparellades l’obtenció de les dades o de la negativa a subministrar-les.
    • De la possibilitat d’exercir els drets d’accés, rectificació, cancel·lació i oposició (drets ARCO).
    • De la identificació, i també de l’adreça de la persona encarregada de dur a terme el tractament del fitxer o, si escau, del seu representant, perquè els afectats puguin exercir els seus drets.
  • Necessitat de consentiment de la persona afectada: el tractament de les dades requereix el consentiment de la persona afectada, llevat que la llei disposi una altra cosa. Igualment, és exigible que perquè les dades estiguin especialment protegides, sigui necessari donar el consentiment exprés i per escrit, donada la seva importància.
Eines de l'usuari
Espais de noms

Variants
Navegació
Eines