31 octubre 2006

Empresas y código penal

Habitualmente, al hablar de legislación aplicable en el entorno empresarial nuestro pensamiento se suele centrar en leyes "tecnológicas" como la LOPD, la LSSI o la LPI. Sin embargo, en muchas ocasiones nos olvidamos de que las empresas también están sujetas a la ordenación jurídica "común", es decir, las leyes de aplicación general.

En relación a este tema, la web ISO27000.es publica, entre las presentaciones de la jornada "Nuevos escenarios en Seguridad de la Información", que tuvo lugar en Valencia el día 27 de Septiembre de 2006, una presentación de Manuel Badenes, de Equipo Marzo, que expone las implicaciones que tiene el Código Penal en el ámbito de la empresa, y sus relaciones con las leyes anteriormente citadas. Una presentación realmente interesante, que nos recuerda que el incumplimiento de ciertas normativas y políticas internas no sólo puede llevar acarreadas acciones disciplinarias , sino que, si estas normas reflejan determinadas directrices legales, dicho imcumplimiento puede llegar a acarrear penas de prisión. Mejor tenerlo en cuenta, verdad?

4 comentarios:

deincognito dijo...

Joseba,

En primer lugar, existen otros posibles delitos que no se mencionan en la presentación: delitos contra la propiedad intelectual e industrial (tanto de la empresa como de terceros), delitos de daños (sabotages), delitos de defraudaciones de servicios de comunicaicones electrónicas,...
En segundo lugar, si bien estás en lo cierto en tus manifestaciones, creo que es conveniente hacer un matiz.
Las políticas y procedimientos son de obligado cumplimiento para todas las personas que trabajan en la empresa, empleados o no, pero también para la empresa y, más en concreto, para sus directivos, jefes de sección,... Recordemos todos y cada uno de los controles de la sección 15, Conformidad Legal, de la ISO 17799.

Aunque todas las prácticas de conformidad legal son importantes para la empresa, creo que por las implicaciones que ello pueden tener son de especial relevancia las cuestiones relativas al respecto de la privacidad de las personas en la supervisión de uso de los medios empresariales puestos a su disposición.

Detectada y notificada una incidencia (imaginemos que por los administradores de sistemas o por los técnicos de seguridad), habiéndose obtenido indicios de prácticas desleales de empleados, en el momento de gestionar la incidencia deberá seguirse el procedimiento de recolección de evidencias. El CISO debería ponerse en contacto con los superiores del empleado presuntamente desleal y con los asesores jurídicos de la empresa, internos o externos, para analizar conjuntamente la situación. En el caso de que se decida proceder a la supervisión del uso de los sistemas informáticos y medios de comunicación deberá contarse con asesoramiento técnico y legal especializado, si no se cuenta ya con él internamente. Es importantísimo que previamente exista una Política de Buen Uso, regularmente comunicada, en la que se manifieste que estos activos son propiedad de la empresa y que han sido entregados para el desempeño de trabajo, que el uso privado está prohibido o que sólo se permite siempre que sea un uso racional (nos complicaremos algo la vida, pero se pueden tomar medidas para limitar los riesgos), que la empresa cuenta con sistemas de monitorización para garantizar su correcto funcionamiento y proteger la confidencialidad, integridad y disponibilidad de la información y que en caso de que los usuarios no cumplieran con las políticas y procedimientos del SGSI los usuarios podrán ser sancionados conforme al régimen disciplinario vigente o con la resolución o terminación de contratos mercantiles (pensemos en trabajadores autónomos y empleados de terceros).
A la vista de la inexistencia de la Política de Buen Uso o de los términos de ésta, se procederá a la práctica de análisis forense. El equipo que gestione la incidencia deberá tener en cuenta los requisitos que establece el art. 18 ET para estos casos. Por otra parte, en el acceso y tratamiento de las informaciones localizadas en los recursos de acceso exclusivo de los usuarios, deberá respetarse el llamado juicio de proporcionalidad y habrán de seguirse las buenas prácticas internacionales de recogida de pruebas (copias imágenes,...), a poder ser en presencia de un Notario, manteniendo en todo momento la cadena de custodia de las evidencias electrónicas obtenidas.

De no realizarse esto así, podremos incurrir en la vulneración de uno o varios de los derechos fundamentales que protegen la privacidad de las personas (intimidad, propia imagen, secreto de las comunicaciones y autodeterminación informativa), siendo por tanto las pruebas obtenidas susceptibles de ser declaradas nulas. Pero, además, ello podría llevar consigo que, además de nulas las pruebas, se esté incurriendo en posibles responsabilidades penales de los administradores de hecho o derecho de la sociedad y en responsabilidades civivles por la empresa.

Joseba Enjuto dijo...

Muchas gracias por el comentario.

En primer lugar, estoy de acuerdo con la necesidad de destacar que el cumplimiento de políticas y procedimientos es obligatorio para toda la empresa, desde el primero hasta el último. Y coincido en recordar que los externos no están exentos del cumplimiento de políticas y procedimientos.

En segundo lugar, agradecerte la interesante aportación sobre procedimientos de investigación y resolución de incidentes internos de seguridad. Creo que las "reflexiones legales" que realizas no tienen desperdicio. Con aportaciones como esta, es un placer seguir adelante con el blog!

Anónimo dijo...

Joseba,

Gracias a tí por tu blog.

A primeros de año espero tener mi propio blog sobre conformidad legal en materia de seguridad de la información.

Te mantendré informado para que matengamos "blogging" cruzado ;-)

Un saludo

deincognito dijo...

Perdón,
por ir deincognito sigo siendo anónimo, pero no lo quería ser tanto ;-)