Ya tenemos con nosotros otro de esos términos que va a dar mucho que hablar y es que definir las cosas de forma concisa y concreta debe costar demasiado trabajo, o tal vez es que quien escribe determinadas leyes considera que no debe “mojarse” en exceso.
El hecho cierto es que el Nuevo Código Penal introduce la responsabilidad directa de la persona jurídica en el caso, entre otros, de delitos cometidos por personal sometido a la autoridad de personas que ostenten la representación legal de la persona jurídica y administradores de hecho o de derecho, propiciados por no haber ejercido el debido control.
¡¡Toma ya!! Ahí queda eso. Y ahora, con algo tan delicado como el código penal que comporta penas para las personas jurídicas como la disolución de la persona jurídica, la suspensión temporal de actividades, la clausura temporal de locales y establecimientos, la inhabilitación de obtención de subvenciones o la inhabilitación para contratar con el sector público y penas de cárcel para personas físicas, nos quedamos con un concepto tan vago como “el debido control”. Pero, ¿qué es el debido control? ¿será tan difícil concretar un poco más y poner algo como sistemas de gestión de la seguridad de reconocido prestigio?
En este caso tendríamos la discusión sobre ¿qué es reconocido prestigio? Bueno la solución creo que es tan fácil o tan difícil como especificar el tipo de Sistema de Gestión al que se refiere: un Sistema de Gestión de la Seguridad basado en referenciales como ISO 27001, SAS 70 o similar, que estén reconocidos internacionalmente y certificados por una entidad acreditada para hacerlo.
Desde luego entiendo que lo cómodo para el legislador es utilizar el término “debido control” y dejar luego que el juez de turno tenga que devanarse los sesos en pensar que querrá decir o que habrá querido decir con “debido control”. En mi opinión no hay derecho a que equipos creados por el legislador, que tienen la oportunidad de preguntar y asesorarse en estas materias, dejen cabos sueltos de este calibre.
En la LOPD pasa algo parecido pero con algún matiz; en el artículo 9 de la LOPD se dice textualmente:
1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.
Esta frase en la que se utiliza la formula de “…habida cuenta del estado actual de la tecnología…” viene a ser algo parecido al “debido control” utilizado en el código penal. El legislador deja en manos del interesado que él defina las medidas de control que debe implantar para proteger en este caso los datos de carácter personal. Ahora bien, también hay que decir que se desarrolla el Reglamento en el que sí se entra en detalle de las medidas de control que el legislador considera oportunas, aunque vuelve a dejarlo todo un poco en el aire cuando, en el artículo 81 del reglamento “Aplicación de los niveles de seguridad”, en su punto 7, se refiere a la condición de “mínimos exigibles” cuando habla de los controles de seguridad.
Me consta que entre nuestros lectores hay un buen grupo de abogados a los que pido desde estas líneas que opinen o puntualicen las cosas que aquí decimos para que entre todos seamos capaces de aplicar las leyes con mayor rigor.
En definitiva, desde el punto de vista tecnológico exclusivamente, en nuestra opinión, el “debido control” al que hace referencia el legislador en el nuevo código penal se consigue implantando en las organizaciones Sistemas de Gestión de la Seguridad certificables, aunque no tengan que estar explícitamente certificados, basados en estándares como la ISO 27001 que se apoyan en códigos de buenas prácticas como la ISO 27002 y con una plataforma de monitorización y gestión de la seguridad que permita a los CIOs, CISOs o responsables de informática en general, supervisar el uso que los empleados de una organización hacen de sus recursos tecnológicos, observando, eso sí, el cumplimiento de sus deberes de información a los mismos del control ejercido en la red a través de las políticas y normativas de seguridad adecuadas.
En fin, un tema que, en mi opinión, dará mucho que hablar….
Buena reflexión. Una vez en un foro de abogados cuando estaba en desarrollo en actual R.D. 1720/2007 pregunté algo por el estilo al Subdirector de la Agencia de Protección de Datos. En concreto mi pregunta fue que por qué en vez de redactar un R.D. donde se especificaran las medidas de seguridad a aplicar no se referenciaba al cumplimiento de ciertas partes de la norma ISO 17799-2 (Actual ISO 27002) que era un estándar internacional de buenas prácticas donde se supone que están las medidas más relevantes a aplicar a sistemas de información. La respuesta fue que las normas y estándares son referencias a seguir o consensos internacionales pero que no pueden aparecer dentro de un marco legislativo dado su carácter voluntario. La legislación siempre debe explicitar qué mínimos se deben cumplir y por tanto, obliga a especificar de forma exacta y precisa qué hay que hacer. Obviamente indicar que la organización se certifique en ISO 27001 sería concreto y preciso pero todos sabemos lo muy “relativo” que sería en cuanto al nivel de seguridad que nos encontraríamos en las organizaciones. Es más fiable poner el detalle de lo que se exige para que no de lugar a “interpretaciones”.
Yo también he escuchado respuestas como la que planteas hablando, por ejemplo, del Esquema Nacional de Seguridad, pero no me acaba de concvencer. Estoy de acuerdo que citar explícitamente la obligatoriedad del cumplimiento de una norma puede ser demasiado, aunque en los borradores del ENS se citaba explícitamente la ISO 27001 y Common Criteria para la certificación de productos, pero siempre se pueden buscar alternativas, como ya hacen en el caso de metodologías de análisis de riesgos cuando citan MAGERIT. Al final, citando la norma o estándar base en cuestión, y añadiendo la coletilla “…o cualquier sistema equivalente comunmente aceptado” yo creo que, al menos, nos daría pie a tener un marco de referencia con el que trabajar. Siempre sería mejor esto que el “debido control”