Tema 33 Ct Escala Basica Cep 2016 (1)
Short Description
Descripción: Este es el tema 33 que encontré por ahí....
Description
CURSO ONLINE DE PREPARACIÓN ACCESO A POLICÍA
TEMA 33: DELITOS INFORMÁTICOS (CIBERDELINCUENCIA).
Tema 33 (EB). Curso online preparación acceso a Policía
33 TEMA
DELITOS INFORMÁTICOS.
ACCESO POLICÍA
ÍNDICE DE CONTENIDOS. 1. DELITOS INFORMÁTICOS. 2. PROTECCIÓN DE DATOS. 3. ESPECIAL INTIMIDAD.
CONSIDERACIÓN
AL
DERECHO
A
LA
4. LA PRUEBA DIGITAL EN EL PROCESO PENAL.
www.cepolicia.info
2
Tema 33 (EB). Curso online preparación acceso a Policía
1.- DELITOS INFORMÁTICOS.
Un delito informático o ciberdelito es toda aquella acción antijurídica y culpable, que se da por vías informáticas o que tiene como objetivo destruir y dañar ordenadores, medios electrónicos y redes de Internet. Debido a que la informática se mueve más rápido que la legislación, existen conductas criminales por vías informáticas que no pueden considerarse como delito, según la "Teoría del delito", por lo cual se definen como abusos informáticos (los tipos penales tradicionales resultan en muchos países inadecuados para encuadrar las nuevas formas delictivas), y parte de la criminalidad informática. La criminalidad informática consiste en la realización de un tipo de actividades que, reuniendo los requisitos que delimitan el concepto de delito, sean llevados a cabo utilizando un elemento informático. Los delitos informáticos son aquellas actividades ilícitas que: a) Se cometen mediante el uso de computadoras, sistemas informáticos u otros dispositivos de comunicación (la informática es el medio o instrumento para realizar un delito); o b) Tienen por objeto causar daños, provocar pérdidas o impedir el uso de sistemas informáticos (delitos informáticos per se).
Mucha información es almacenada en un reducido espacio, con una posibilidad de recuperación inmediata, pero por complejas que sean las medidas de seguridad que se puedan implantar, aún no existe un método infalible de protección. La criminalidad informática tiene un alcance mayor y puede incluir delitos tradicionales como el fraude, el robo, chantaje, falsificación y la malversación de caudales públicos en los cuales ordenadores y redes han sido utilizados como medio. Con el desarrollo de la programación y de Internet, los delitos informáticos se han vuelto más frecuentes y sofisticados.
www.cepolicia.info
3
Tema 33 (EB). Curso online preparación acceso a Policía
La Organización de Naciones Unidas reconoce los siguientes tipos de delitos informáticos: 1. Fraudes cometidos mediante manipulación de computadoras. 2. Manipulación de datos de entrada. 3. Daños o modificaciones de programas o datos computarizados. Existen leyes que tienen por objeto la protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos en las variedades existentes contra tales sistemas o cualquiera de sus componentes o los cometidos mediante el uso de dichas tecnologías. Una misma acción dirigida contra un sistema informático puede aparejar la violación de varias leyes penales, algunos autores expresan que el "uso de la informática no supone más que un modus operandi nuevo que no plantea particularidad alguna respecto de las formas tradicionales de comisión". Una clara dificultad para la persecución de estos ilícitos, ha sido que el ciudadano no considera delincuente al autor de estos delitos, entre los propios victimarios algunas veces existe una reivindicación que subyace a toda su actividad, como es el caso de los hackers, quienes cuentan con todo una "filosofía" preparada para respaldar su actividad afirmando que propenden a un mundo más libre, que disponga de acceso a todas las obras de la inteligencia, y basándose en ese argumento divulgan las claves que tienen en su actividad. La criminalidad informática incluye una amplia variedad de delitos informáticos. El fenómeno se puede analizar en dos grupos: 1. Informática como objeto del delito. Esta categoría incluye por ejemplo el sabotaje informático, la piratería informática, el hackeo, el crackeo y el DDNS (Denegación de servicio de nombres de dominio). 2. Informática como medio del delito. Dentro de este grupo se encuentra la falsificación de documento electrónico, cajeros automáticos y tarjetas de crédito, robo de identidad, phreaking, fraudes electrónicos y pornografía infantil.
www.cepolicia.info
4
Tema 33 (EB). Curso online preparación acceso a Policía
CRÍMENES ESPECÍFICOS Ataques contra el derecho a la intimidad Se refiere al delito de revelación y descubrimiento de secretos a través de la difusión y la incautación de datos registrados en soportes informáticos. Se regula en los artículos del 197 al 201 del Código Penal.
Infracciones a la propiedad intelectual Tratándose de la copia y la distribución de forma no autorizada de programas de ordenador, así como de tenencia de medios para eliminar los dispositivos utilizados para proteger esos programas. Regulado en el artículo 270 del Código Penal.
Sabotajes informáticos Se trata de delitos de daños que se realizan mediante la destrucción o la alteración de datos, documentos o programas que estén contenidos en redes o sistemas informáticos. Regulado en los artículos 263 y siguientes del Código Penal.
Falsedades Cabe comenzar definiendo qué se entiende por documento. Así, podría decirse que es un soporte material que incorpora o expresa datos. Se trata en concreto de la falsificación de tarjetas de crédito y la fabricación o tenencia de programas que permitan cometer delitos de falsedad. Se regula en los artículos 386 y siguientes del Código Penal.
www.cepolicia.info
5
Tema 33 (EB). Curso online preparación acceso a Policía
Fraudes o estafas informáticas Son delitos de estafa cometidos a través de programas o datos para la obtención de un lucro que no es lícito. Regulados en los artículos 248 y siguientes del Código Penal.
Amenazas Consisten en el anuncio de un mal futuro ilícito mediante cualquier medio de comunicación. Su finalidad es causar miedo o inquietud en la persona amenazada. Se regula en los artículos 169 y siguientes del Código Penal.
Calumnias e injurias Conviene definir previamente que se entiende por calumnia y por injuria. Puede definirse la calumnia como aquella “imputación falsa a una persona de la comisión de un hecho que la ley califique como delito, a sabiendas de que éste no existe o de que el imputado no es el que lo cometió” 5 Por otro lado, una injuria es un delito producido contra la buena fama o el honor de la persona. Así, serán delitos cuando se propaguen por cualquier medio que se asemeje a la imprenta o a la radio. Se regulan en los artículos 205 y siguientes del Código Penal.
Pornografía infantil Es uno de los delitos relativos a la prostitución, utilizando a menores o personas con discapacidad con fines pornográficos o exhibicionistas. Se regula en los artículos 187 y 189 del Código Penal.
www.cepolicia.info
6
Tema 33 (EB). Curso online preparación acceso a Policía
SUJETO ACTIVO Muchas de las personas que cometen los delitos informáticos poseen ciertas características específicas tales como la habilidad para el manejo de los sistemas informáticos o la realización de tareas laborales que le facilitan el acceso a información de carácter sensible. En algunos casos la motivación del delito informático no es económica sino que se relaciona con el deseo de ejercitar, y a veces hacer conocer a otras personas, los conocimientos o habilidades del delincuente en ese campo. Muchos de los "delitos informáticos" encuadran dentro del concepto de "delitos de cuello blanco", término introducido por primera vez por el criminólogo estadounidense Edwin Sutherland en 1943. Esta categoría requiere que: 1. El sujeto activo del delito sea una persona de cierto estatus socioeconómico; 2. Su comisión no pueda explicarse por falta de medios económicos, carencia de recreación, poca educación, poca inteligencia, ni por inestabilidad emocional. Son individuos con una gran especialización en informática, que conocen muy bien las particularidades de la programación de sistemas computarizados, de forma tal que logran un manejo muy solvente de las herramientas necesarias para violar la seguridad de un sistema automatizado.
SUJETO PASIVO El sujeto pasivo en el caso de los delitos informáticos puede ser individuos, instituciones crediticias, órganos estatales, etc. que utilicen sistemas automatizados de información, generalmente conectados a otros equipos o sistemas externos. Víctima puede ser cualquier persona física o jurídica que haya establecido una conexión a Internet (ya que es la principal ventana de entrada
www.cepolicia.info
7
Tema 33 (EB). Curso online preparación acceso a Policía
para estas conductas), una conexión entre computadoras, o que en definitiva cuenta con un sistema informático para el tratamiento de sus datos. Para la labor de prevención de estos delitos es importante el aporte de los damnificados que puede ayudar en la determinación del modus operandi, esto es de las maniobras usadas por los delincuentes informáticos.
DEFINICIONES DE INTERÉS Un cracker o pirata informático es una persona con altos conocimientos en sistemas informáticos. Al igual que el hacker, el cracker es también un apasionado del mundo informático. La principal diferencia consiste en que la finalidad del cracker es dañar sistemas y ordenadores. Tal como su propio nombre indica, el significado de cracker en inglés es "rompedor", su objetivo es el de romper y producir el mayor daño posible. Desde distintos ámbitos se ha confundido el término hacker con el de cracker, y los principales acusados de ataques a sistemas informáticos se han denominado hackers en lugar de crackers. Se distinguen varios tipos de cracker:
Pirata. Su actividad consiste en la copia ilegal de programas, rompiendo sus sistemas de protección y licencias. Luego distribuye los productos por Internet, a través de CD’s, etc.
Lamer. Se trata de personas con poco conocimiento de informática que consiguen e intercambian herramientas no creadas por ellos para atacar ordenadores. Ejecutan aplicaciones sin saber mucho de ellas causando grandes daños.
Phreakers. Son los crackers de las líneas telefónicas. Se dedican a atacar y "romper" los sistemas telefónicos ya sea para dañarlos o realizar llamadas de forma gratuita.
Trasher. Su traducción al español es la de 'basurero'. Se tratan de personas que buscan en la basura y en papeleras de los cajeros automáticos para conseguir claves de tarjetas, números de cuentas bancarias o información secreta para cometer estafas y actividades fraudulentas a través de Internet.
Insiders. Son los crackers 'corporativos', empleados de las empresas que las atacan desde dentro, movidos usualmente por la venganza.
www.cepolicia.info
8
Tema 33 (EB). Curso online preparación acceso a Policía
Modalidades de ataques informáticos. Son distintos los tipos de amenazas que pueden ocasionar estas personas y para su estudio las clasificaremos acorde con las funciones que tiene encomendadas por el Grupo de Seguridad Lógica de la Unidad de Investigación Tecnológica, adscrita a la CGPJ del Cuerpo Nacional de Policía, de esta forma tendríamos las siguientes modalidades de amenazas:
Ataques: un ataque tiene como objetivo la destrucción de programas o datos o también perjudicar el buen funcionamiento de un sistema informático.
Intrusiones: por intrusión se debe entender el acceso o intento de acceso a un sistema sin autorización.
Daños Informáticos: se podrían definir como las lesiones o menoscabos a intereses legítimos de las personas en el ámbito informático.
Descubrimiento y revelación de secretos: se trata de descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, para ellos se pueden utilizar diversos medios, en este caso medios informáticos.
Sustracción de datos personales: se trata de obtener ilícitamente los datos personales de las personas, obtención que en estos casos se realiza por medios informáticos.
Cada uno de estos tipos de amenazas se puede cometer por múltiples procedimientos y estudiarlas a fondo sería de enorme complejidad, además excedería los límites de esta unidad. Una vez ha conseguido el acceso al sistema informático, puede directamente apropiarse de la información, o instalar cualquier tipo de malware dependiendo de su objetivo para ocasionar daños, obtener datos a través de la red o disponer de un acceso remoto a ese sistema informático. El malware lo constituyen una serie de programas malintencionados que se infiltran en el sistema sin conocimiento del dueño y con diversas finalidades. Se clasificarán en varios grupos:
Virus: Son programas informáticos que pueden infectar a otros ficheros/programas modificándolos para incluir réplicas de sí mismo en el elemento infectado. Un virus necesita alojarse en otro archivo.
www.cepolicia.info
9
Tema 33 (EB). Curso online preparación acceso a Policía
Gusanos: Programas con capacidad para propagarse a otras partes del equipo afectado, a dispositivos extraíbles o a otros equipos. Dependiendo de su código, podría realizar distintas acciones dañinas en los sistemas. A diferencia de los virus, los gusanos son programas que no necesitan otro archivo para replicarse.
Troyanos: Los troyanos no se pueden considerar virus ya que no se replican o no hacen copias de sí mismos. En realidad son programas que llegan a un ordenador de forma totalmente normal y no producen efectos realmente visibles o apreciables (por lo menos en ese momento).Al activarse pueden dejar huecos en el sistema, a través de los cuales se producen intrusiones. Son especialmente peligrosos los bancarios, son una variedad de malware especializada en el robo de credenciales de autenticación utilizadas por usuarios para realizar operaciones bancarias online. Este tipo de malware está en alza, y su objetivo se centra en el fraude.
Keyloggers: o capturadores de pulsaciones que son un tipo de troyano con capacidad para capturar y almacenar las pulsaciones efectuadas sobre el teclado. Posteriormente esta información se envía a un atacante, que las puede utilizar en su propio provecho.
Backdoors: llegan al ordenador con la apariencia de ser un programa inofensivo, pero cuando se ejecuta abre una puerta trasera a través de la cual se tiene acceso al control del ordenador. Pueden llevar a cabo la destrucción de archivos, captura y envío de datos y apertura de puertos de comunicación, mediante la que se puede a tomar el control remoto del ordenador.
Spyware: se trata de programas espías que recogen información sobre sitios visitados por el usuario, gustos, etc., y estos datos se remiten a los fabricantes del programa o a terceros que pagan por la información.
Adware: son programas de publicidad, que la muestran de distintas formas, (ventanas emergentes, banners, etc.), en muchos casos esta publicidad se inserta con el conocimiento del usuario, pero no siempre es así.
Rootkit: es el término utilizado para designar a aquellas aplicaciones informáticas que ocultan su existencia y la de otro software malicioso, permitiendo a un intruso tomar el control de un ordenador sin que el usuario lo advierta. Se trata de un conjunto de programas que suplantan a las herramientas originales del sistema destinadas a su administración, hecho que además contribuye a su ocultación, con la
www.cepolicia.info
10
Tema 33 (EB). Curso online preparación acceso a Policía
consiguiente pérdida de fiabilidad del sistema. El rookit también falsea la información que se obtiene en un análisis regular del sistema, provocando que se necesiten herramientas específicas para su detección.
Botnet.- Un bot – proveniente del término “robot” – es un código malicioso que se instala en el sistema normalmente a través de una vulnerabilidad del equipo o usando técnicas de ingeniería social (como por ejemplo, una identidad falsa). Un equipo infectado por un bot pasa a estar dentro de la botnet o red de zombis, que no es otra cosa que una red de ordenadores controlados de modo remoto por un hacker, (normalmente a través de canales de Chat IRC) sin que el usuario se percate de este hecho. Cada uno de los ordenadores de esta red funciona con aparente normalidad para cada uno de sus usuarios. Dicho control permite al intruso utilizar los recursos del ordenador huésped, bien para ocupar parte de su ancho de banda para la descarga de contenidos de gran tamaño o bien para almacenar archivos en su memoria. Así, el objetivo final de esta “red de ordenadores zombis” es su utilización para el envío masivo de correo de correo basura (spam), el ataque a otros sistemas, las estafas por Internet (phishing), la captura de datos confidenciales, o la realización de un ataque mediante el envío masivo y coordinado de un volumen de información tal que se sobrecarguen y colapsen los sistemas informáticos o las páginas web de organismos y empresas (técnicamente conocido como un DDoS o ataque de denegación de servicio distribuido).
Otros ataques a los sistemas informáticos se realizan por técnicas conocidas como:
Phishing, se trata de una página fraudulenta que simula ser la página legítima de una entidad en Internet (servicios financieros, bancarios, correo electrónico, redes sociales, etc.) con el fin de engañar a un usuario para introducir datos personales en ellas y capturar información de carácter sensible.
Archivo Hosts. El archivo hosts es como una libreta de direcciones. Cuando se escribe una dirección en el navegador de Internet dicha dirección es traducida a una dirección IP numérica. Si la dirección se encuentra en el archivo hosts del sistema, el ordenador la empleará. De lo contrario, el ordenador se conectara al servicio DNS del proveedor de servicios de Internet. Algunos ejemplares de malware editan el archivo hosts para redirigir una conexión web a una página totalmente distinta en la Red.
www.cepolicia.info
11
Tema 33 (EB). Curso online preparación acceso a Policía
Pharming. Variante del Phishing en la que los atacantes utilizan un virus o troyano que es capaz de conectar a las víctimas desde su ordenador a páginas falsas en lugar de a las legítimas correspondientes a sus propias entidades financieras, para sustraer sus datos, en especial sus números de cuenta y las claves de acceso y de operación.
Actividades delictivas que con mayor frecuencia suelen darse a través de Internet
Compra de productos y servicios mediante la utilización de números de tarjetas de crédito válidos (“carding”). Estos números pueden pertenecer a titulares o bien ser generados por distintos programas informáticos.
Fraudes de banca electrónica (“phishing, pharming”, ataques XSS1) Se centran en obtener beneficios de cuentas bancarias ajenas, normalmente sustrayendo las credenciales del usuario, cada vez con métodos más sofisticados.
Estafas en la venta de productos (e comercio): usando páginas de venta donde el cliente realiza el pago por cualquier medio pero no obtiene el producto a cambio.
Distribución de pornografía infantil (child abuse). Difusión de contenidos y descargas de archivos, en foros, programas p2p, etc.
Acoso a menores (“grooming”). Mediante chats, redes sociales y mensajería instantánea, el adulto, haciéndose pasar por menor y ganándose la confianza de éste, consigue satisfacer sus deseos lúbricos al coaccionarlo para conseguir imágenes de sexo explícito.
Injurias, calumnias, amenazas, ataques contra la intimidad personal. Normalmente a través de foros, redes sociales, chats, sms, etc.
Delitos contra la propiedad intelectual. Preferentemente difusión y descargas no autorizadas de material protegido por copyright (música, videojuegos, películas, programas de ordenador, etc.)
1
XSS es un ataque de inyección de código malicioso para su posterior ejecución que puede realizarse a sitios web, aplicaciones locales e incluso al propio navegador. Sucede cuando un usuario mal intencionado envía código malicioso a la aplicación web y se coloca en forma de un hipervínculo para conducir al usuario a otro sitio web, mensajería instantánea o un correo electrónico.
www.cepolicia.info
12
Tema 33 (EB). Curso online preparación acceso a Policía
obteniendo un beneficio económico, ya sea por la venta directa o por publicidad en el sitio de alojamiento.
Ataques informáticos: como el hacking, las intrusiones, la difusión maliciosa de virus, los ataques de denegación de servicio (DDoS).No es imprescindible que el atacante sea un experto para realizar esta actividad dada la gran cantidad de herramientas que existen hoy en día en la red.
UNIDADES POLICIALES INFORMÁTICO O CIBERDELITO.
QUE
INVESTIGAN
EL
DELITO
La circular 914/2000 creó la Unidad de Investigación de la Delincuencia en las Tecnologías de la Información (UITI).En la actualidad su denominación es Unidad de Investigación Tecnológica (UIT) y depende de la Comisaría General de Policía Judicial (Orden INT/28/2013 de 18 de enero por la que se desarrolla la estructura orgánica y funciones de los Servicios Centrales y Periféricos de la Dirección General de la Policía.) La UIT asume la investigación y persecución de las actividades delictivas que impliquen la utilización de las tecnologías de la información y las comunicaciones (TIC) y el ciberdelito de ámbito nacional y transnacional, relacionadas con el patrimonio, el consumo, la protección al menor, la pornografía infantil, delitos contra la libertad sexual, contra el honor y la intimidad, redes sociales, fraudes, propiedad intelectual e industrial y seguridad lógica. Actuará como Centro de Prevención y Respuesta E-Crime del Cuerpo Nacional de Policía. De esta Unidad dependen: a) La Brigada Central de Investigación Tecnológica, a la que corresponde la investigación de las actividades delictivas relacionadas con la protección de los menores, la intimidad, la propiedad intelectual e industrial y los fraudes en las telecomunicaciones. b) La Brigada Central de Seguridad Informática la que corresponde la investigación de las actividades delictivas que afecten a la seguridad lógica y a los fraudes. A nivel territorial se han creado Grupos de Delincuencia Tecnológica en distintas plantillas policiales, cuya coordinación, a nivel nacional, será efectuada por la UIT. Las funciones de la UIT, en estos casos, son:
www.cepolicia.info
13
Tema 33 (EB). Curso online preparación acceso a Policía
Dirección técnica y operativa de los dispositivos complejos.
Coordinación de los grupos y enlaces territoriales.
Apoyo a la prevención e investigación.
Realización de las investigaciones complejas y especializadas.
Patrullas cibernéticas.
Coordinación operativa nacional e internacional.
2.- PROTECCIÓN DE DATOS.
LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL DE ESPAÑA La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, (LOPD), es una Ley Orgánica española que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar. Fue aprobada en las Cortes españolas el 13 de diciembre de 1999. Está ley se desarrolla fundamentándose en el artículo 18 de la constitución española de 1978, sobre el derecho a la intimidad familiar y personal y el secreto de las comunicaciones. Su objetivo principal es regular el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan. Esta ley afecta a todos los datos que hacen referencia a personas físicas registradas sobre cualquier soporte, informático o no. Quedan excluidos de esta normativa aquellos datos recogidos para uso doméstico, las materias
www.cepolicia.info
14
Tema 33 (EB). Curso online preparación acceso a Policía
clasificadas del estado y aquellos ficheros que recogen datos sobre Terrorismo y otras formas de delincuencia organizada (no simple delincuencia). A partir de esta ley se creó la Agencia Española de Protección de Datos, de ámbito estatal que vela por el cumplimiento de esta normativa. La AEPD es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada. Para definir lo que se conoce como dato de carácter personal, el artículo 3 de la citada Ley dice: A los efectos de la presente Ley Orgánica se entenderá por: a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
Algunos datos pueden clasificarse bajo ciertos parámetros, entre los cuales se encuentran:
Datos especialmente protegidos: Ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud y vida sexual.
Datos de carácter identificativo: dígito numero identificador, dirección, imagen, voz, Nº Seguridad Social/mutualidad, teléfono, marcas físicas, nombre y apellidos, firma, huella, firma electrónica.
Datos relativos a las características personales: datos de estado civil, datos de familia, fecha de nacimiento, lugar de nacimiento, edad, sexo, nacionalidad, características físicas o antropométricas.
Datos relativos a las circunstancias sociales: Características de alojamiento, vivienda, situación familiar, propiedades, posesiones, aficiones y estilos de vida, pertenencia a clubes y asociaciones, licencias, permisos y autorizaciones.
Datos Académicos y profesionales: Formación, titulaciones, historial del estudiante, experiencia profesional, pertenencia a colegios o asociaciones profesionales.
www.cepolicia.info
15
Tema 33 (EB). Curso online preparación acceso a Policía
Detalles de trabajo: Profesión, puestos de trabajo, datos no económicos de nómina, historial del trabajador.
Datos que aportan Información comercial: Actividades y negocios, licencias comerciales, subscripciones a publicaciones o medios de comunicación, creaciones artísticas, literarias, científicas o técnicas.
Datos económicos, financieros y de seguros: Ingresos, rentas, inversiones, bienes patrimoniales, créditos, préstamos, avales, datos bancarios, planes de pensiones, jubilación, datos económicos de nómina, datos deducciones impositivas/impuestos, seguros, hipotecas, subsidios, beneficios, historial de créditos, tarjetas de crédito.
Datos relativos a transacciones de bienes y servicios: Bienes y servicios, transacciones financieras, compensaciones e indemnizaciones.
Ámbito de aplicación El Artículo 2 de la LOPD establece claramente el ámbito de aplicación de la misma, diciendo: 1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal: a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público. c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.
www.cepolicia.info
16
Tema 33 (EB). Curso online preparación acceso a Policía
2. El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación: a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas. c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.
3. Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales: a) Los ficheros regulados por la legislación de régimen electoral. b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública. c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen del personal de las Fuerzas Armadas. d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes. e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia. (LO 4/97 de 4 de Agosto por la que se regula la utilización de videocámaras por las FFCCS en lugares públicos) Sanciones Las sanciones se dividen en tres grupos dependiendo de la gravedad del hecho cometido, siendo España el país de la Unión Europea que tiene las sanciones más altas en materia de protección de datos. Dichas sanciones dependen de la infracción cometida.
www.cepolicia.info
17
Tema 33 (EB). Curso online preparación acceso a Policía
Se dividen en:
Leves, van desde 900 a 40.000 € Graves, van desde 40.001 a 300.000 € Muy graves, van desde 300.001 a 600.000 €
La Agencia Española de Protección de Datos (AEPD) fue creada en 1994 conforme a lo establecido en la derogada LORTAD. Su sede se encuentra en Madrid, si bien las Comunidades Autónomas de Madrid, País Vasco y Cataluña han creado sus propias Agencias de carácter autonómico.
DEBER DE INFORMACIÓN Los datos personales se clasifican en función de su mayor o menor grado de sensibilidad, siendo los requisitos legales y de medidas de seguridad informáticas más estrictos en función de dicho mayor grado de sensibilidad, siendo obligatorio en todo caso la declaración de los ficheros de protección de datos a la "Agencia Española de Protección de Datos". Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: 1. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. 2. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. 3. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. 4. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. 5. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Se permite sin embargo, el tratamiento de datos de carácter personal sin haber sido recabados directamente del afectado o interesado, aunque no se
www.cepolicia.info
18
Tema 33 (EB). Curso online preparación acceso a Policía
exime de la obligación de informar de forma expresa, precisa e inequívoca, por parte del responsable del fichero o su representante, dentro de los tres meses siguientes al inicio del tratamiento de los datos. Excepción: No será necesaria la comunicación en tres meses de dicha información si los datos han sido recogidos de "fuentes accesibles al público", y se destinan a la actividad de publicidad o prospección comercial, en este caso "en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten".
Datos cuyo tratamiento está prohibido
Los relativos a "infracciones penales o administrativas".
Excepción: Sólo podrán ser incluidos Administraciones públicas competentes.
en
ficheros
de
las
CONSENTIMIENTO Tipos de consentimiento A) Consentimiento inequívoco El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. B) Consentimiento tácito Esta será la forma normal del consentimiento en los supuestos que no se exija un consentimiento expreso o expreso y por escrito. C) Consentimiento expreso Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando,
www.cepolicia.info
19
Tema 33 (EB). Curso online preparación acceso a Policía
por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. D) Consentimiento expreso y por escrito Se requiere consentimiento expreso y por escrito del afectado respecto a los datos relativos a la ideología, afiliación sindical, religión y creencias y sólo podrán ser cedidos con consentimiento expreso.
COMUNICACIÓN DE DATOS Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. El consentimiento exigido en el apartado anterior no será preciso: 1. Cuando la cesión está autorizada en una ley. 2. Cuando se trate de datos recogidos de fuentes accesibles al público. 3. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. 4. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
www.cepolicia.info
20
Tema 33 (EB). Curso online preparación acceso a Policía
5. Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. 6. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable. Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley. Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.
ACCESO A LOS DATOS POR CUENTA DE TERCEROS 1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. 2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin
www.cepolicia.info
21
Tema 33 (EB). Curso online preparación acceso a Policía
distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar. 3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. 4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
3.- ESPECIAL CONSIDERACIÓN AL DERECHO A LA INTIMIDAD.
El derecho a la intimidad consiste en la defensa de la persona en su totalidad a través de un muro que prohíbe publicar o dar a conocer datos sobre temas como la religión, la política o la vida íntima. La revelación de estos datos conlleva una pena, en algunos países perpetua y en España de 6 o 7 años. El ser humano tiene derecho absoluto a mantener su vida privada y bajo ningún concepto esto puede ser revelado ni siquiera a una persona muy cercana. En ese marco, debe entenderse que el derecho a la inviolabilidad de correspondencia no se reduce únicamente al ámbito de la correspondencia escrita (es decir, la carta postal), sino que también se extiende a cualquier medio o sistema de comunicación privada de las personas, dado que con el desarrollo y avance de la tecnología, actualmente se cuenta con múltiples formas y sistemas de comunicación privada como son la telefonía fija, telefonía móvil y el correo electrónico. La intimidad es la parte de la vida de una persona
www.cepolicia.info
22
Tema 33 (EB). Curso online preparación acceso a Policía
que no ha de ser observada desde el exterior, y afecta sólo a la propia persona. Se incluye dentro del “ámbito privado” de un individuo cualquier información que se refiera a sus datos personales, relaciones, salud, correo, comunicaciones electrónicas privadas, etc. El derecho que poseen las personas de poder excluir a las demás personas del conocimiento de su vida privada, es decir, de sus sentimientos y comportamientos. Una persona tiene el derecho a controlar cuándo y quién accede a diferentes aspectos de su vida particular. De manera general, la privacidad puede ser definida como aquel ámbito de la vida personal de un individuo, que (según su voluntad) se desarrolla en un espacio reservado y debe mantenerse con carácter confidencial. Por otro lado, y según el Diccionario de la lengua española de la Real Academia Española, la «privacidad» se define como el «ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión» e «intimidad» se define como «zona espiritual íntima y reservada de una persona o de un grupo, especialmente de una familia». En este sentido, el artículo 12 de la Declaración Universal de los Derechos Humanos, adoptada por la Asamblea General de las Naciones Unidas, establece que el derecho a la vida privada es un derecho humano, y que: “Nadie será objeto de injerencias arbitrarias en su vida privada, ni su familia, ni cualquier entidad, ni de ataques a su honra o su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.” Asimismo, el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos, adoptado por la Asamblea General de las Naciones Unidas, consagra, al respecto, lo siguiente: “1. Nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación; 2. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques.”
www.cepolicia.info
23
Tema 33 (EB). Curso online preparación acceso a Policía
4.- LA PRUEBA DIGITAL EN EL PROCESO PENAL.
Cuando hablamos de delitos informáticos o aquellos cometidos utilizando directa o indirectamente un medio tecnológico, se pregunta inmediatamente por el tipo de prueba o evidencia que se puede utilizar para probarlos. Definir qué es una evidencia digital no es una tarea sencilla. Se entiende por prueba digital a los datos que constan en formato electrónico y que constituyen elementos de prueba, comprendiendo las etapas de extracción, procesamiento e interpretación. La definición de evidencia digital puede ser abordada desde dos perspectivas. 1. Como OBJETO, cuando se vincula con aquellas acciones que se realizan por medios electrónicos (obtención de datos mediante el ingreso indebido a una base de datos, la intercepción no autorizada de una conversación telefónica, entre otros). 2. Como REPRESENTACIÓN de ciertos actos jurídicamente relevantes, el hecho en sí no es electrónico, sino más bien los medios electrónicos son elementos que representan eficazmente el consentimiento, la voluntad y el delito, pero no constituyen tales elementos. Además de estos medios electrónicos, podrían presentarse otros para probar la existencia del consentimiento, la voluntad y el delito. En ambos casos, se requiere una mirada tecnológica para entender las características de los medios utilizados, y un análisis técnico-jurídico que determine cómo obtener la evidencia, cómo presentar la prueba, cómo interpretarla, y cómo relacionarla con los hechos o actos jurídicos materia de juicio. En resumen, puede considerarse a la evidencia digital como un tipo de prueba física en donde sus datos pueden ser recolectados, almacenados y
www.cepolicia.info
24
Tema 33 (EB). Curso online preparación acceso a Policía
analizados con herramientas informáticas forenses y técnicas especiales. Con esto nos referimos a registros almacenados en el equipo informático, como pueden ser correos electrónicos, archivos de aplicaciones de ofimática, imágenes, entre otros; también registros generados por los equipos informáticos, como por ejemplo auditoría, transacciones, eventos, entre otros; y registros que parcialmente han sido generados y almacenados en los equipos de informáticos, en tal caso serán hojas de cálculo financieras, consultas especializadas en bases de datos, vistas parciales de datos, entre otras. Si se la compara con otras formas de evidencia, la prueba digital es única. Es sensiblemente frágil, una copia de un documento almacenado en un archivo es idéntica al original; permite realizar copias no autorizadas de archivos sin dejar rastro alguno. Por lo tanto, entre sus características se encuentran su volatilidad, su anonimato, su duplicabilidad, su posibilidad de ser alterada, modificada y eliminada. La preponderancia que tiene la prueba o evidencia digital para esclarecer un delito depende de la vinculación que tenga con un caso en particular. Esta puede provenir de un delito informático o de un delito que se cometió utilizando de manera directa o indirecta con algún medio tecnológico. Si la evidencia fue presentada de manera correcta y su cadena de custodia no fue alterada, puede llegar a ser crucial para resolver cualquier clase de delitos. Pero muchas veces se encuentran algunos inconvenientes a la hora de demostrar o echar luz acerca de un hecho, justamente por los problemas que se generan al momento de tipificarlo correctamente. Si bien, paulatinamente la justicia ha ido considerando a estos medios tecnológicos como parte del proceso judicial a la hora de resolver delitos de todo tipo, esta situación no se ha visto acompañada por cambios en las ciencias jurídicas y en la teoría procesal. Esta situación tampoco ha permitido a los operadores del derecho moverse con certezas al momento de las decisiones judiciales que implican los hechos tecnológicos, por lo que se requiere una necesaria capacitación en este sentido.
www.cepolicia.info
25
View more...
Comments
