Archivo por meses: mayo 2011

Herramientas de monitorización, prueba del debido control e intimidad

Posted on por

La reforma del Código Penal y las obligaciones de control previo al delito que se establecen en el artículo 31 bis para evitar la responsabilidad penal de la empresa están obligando a replantear el alcance de la monitorización de los recursos TIC corporativos. 

A ello hay que añadir el modelo de seguridad Zero Trust propuesto por Forrester que consiste en tratar a los usuarios internos con confianza cero, es decir, como si fuesen usuarios externos. Este modelo se centra en la necesidad de monitorizar y analizar todo el tráfico de la red corporativa y la actividad de los usuarios mediante herramientas específicas para ello.

Además, la actual crisis económica ha enrarecido el clima laboral en las empresas, incrementando el riesgo de ataques desde el interior y de fuga de datos. Además de los casos de entrega de información confidencial a competidores, la alta valoración de la cartera de un comercial o un directivo fichado por otra empresa del sector puede provocar una explotación ilícita de datos de CRM de la empresa anterior.

El problema es que una medida preventiva, como la simple publicación de las normas de uso de los recursos TIC de la empresa, puede resultar insuficiente para acreditar el debido control. Hasta ahora se ha buscado un equilibrio entre disuasión, prevención, detección y prueba. Pero el nuevo escenario exige un mayor compromiso, ya que en muchos casos se llega tarde y es imposible obtener pruebas del delito. Por ejemplo, las empresas aplican un protocolo de seguridad informática en el momento del despido que no puede prevenir las fugas de información previas a una baja voluntaria.

Ello nos lleva a la aplicación de esquemas de forensic readiness que permitan capturar y almacenar de forma segura las pruebas electrónicas que puedan ser necesarias en el futuro para acreditar la comisión de un delito, así como la existencia de controles para evitarlo o, al menos, detectarlo.

Para cumplir esa función surgen herramientas de monitorización capaces de cumplir a la vez una función disuasoria, preventiva, detectiva y probatoria. Tras aplicar el protocolo exigido legalmente para su instalación, este software realiza varios controles de forma rutinaria. Uno de ellos consiste en capturar las pantallas de cada ordenador con la frecuencia que cada empresa estime necesaria. En frecuencias inferiores al minuto la información capturada ocupa 4GB al año por cada ordenador. Es decir, 4T al año para una empresa con 1.000 ordenadores.

Este sistema actúa como una auténtica caja negra, que va registrando toda la actividad de los usuarios sin necesidad de intervención humana. Aunque pueden configurarse diversos tipos de alertas, lo normal es que sólo se acuda a la información almacenada en el caso de que exista una sospecha razonable de la existencia de un delito. Se trataría de un acceso similar al que se produce con las cajas negras de los aviones en el caso de un accidente aéreo, aunque, en el caso de las pruebas informáticas, se aplicará un protocolo que garantice la proporcionalidad, idoneidad y necesidad del acceso a la información. También puede contratarse un servidor de almacenamiento controlado por un tercero para dotar al sistema de mayores garantías.

En este sentido, cabe recordar la sentencia del Tribunal Supremo de 27/09/07 a la que dediqué un slidecast. En ella se establece que la empresa, de acuerdo con las exigencias de buena fe, debe establecer previamente las reglas de uso de los recursos TIC corporativos (con aplicación de prohibiciones absolutas o parciales) e informar a los trabajadores de que va existir control y de los medios que se aplicarán papa comprobar la corrección del uso de dichos recursos por los trabajadores.

De esta manera, si los recursos TIC se utilizan para usos privados, en contra de estas prohibiciones y con conocimiento de los controles y medidas aplicables, no podrá entenderse que, al realizarse el control, se ha vulnerado una expectativa razonable de intimidad. Lo mismo cabe decir respecto al secreto de las comunicaciones.

De acuerdo con estos antecedentes, mi opinión se resume en las siguientes conclusiones:

  1. Existen fundamentos legales para establecer controles destinados a disuadir, prevenir, detectar y crear pruebas en relación a los delitos que puedan cometerse utilizando los recursos TIC corporativos.
  2. En la actualidad concurren diversos factores que aconsejan incrementar el nivel de control sobre los recursos TIC de las empresas.
  3. Existen herramientas de monitorización que permiten capturar y almacenar la actividad de los usuarios, a modo de caja negra del sistema.
  4. La aplicación de protocolos de investigación adecuados a la doctrina del Tribunal Supremo permiten aplicar los controles y obtener pruebas de eventuales delitos sin violar el derecho a la intimidad y el secreto de las comunicaciones.

Zynga, Facebook y los nuevos modelos de negocio y marketing

Posted on por

La próxima salida a bolsa de Zynga, la empresa que desarrolla la mayoría de los juegos más populares de Facebook, parece consolidar una plataforma de negocio que también es apta para los nuevos formatos de publicidad, marketing y merchandising.

Aunque el nivel de popularidad de estos juegos es notorio, no fue hasta hace unos meses, en una sesión de trabajo con clientes en la que estábamos analizando el tipo de datos del perfil de Facebook a los que este tipo de aplicaciones pedían acceso, cuando vi que mis hijos ya eran usuarios avanzados de Farmville, una aplicación que te permite administrar un granja virtual.

El modelo de negocio de Zynga, que puede ser una pesadilla para los padres pero una gran oportunidad para el sector, consiste en que el usuario necesita comprar artículos virtuales (semillas, herramientas, vehículos, terreno) para progresar en el juego. A partir de aquí, no es necesaria demasiada imaginación para ver hasta dónde puede llegar en el futuro la explotación de estos recursos:

  1. Contrato de merchandising en relación a las marcas, productos y personajes que pueden adquirirse en el juego.
  2. Contrato de licencia en materia de propiedad intelectual e industrial para el uso de imágenes, diseños, marcas, etc.
  3. Contrato de publicidad contextual para que aparezcan anuncios relacionados con cada escenario en los espacios publicitarios del juego: vallas, autobuses, vídeos, diálogos…
  4. Contrato de behavioral targeting en relación al comportamiento y al perfil de los usuarios.
  5. Contrato de cesión de datos segmentados en función del perfil del usuario y de las preferencias demostradas a través de su comportamiento y los productos adquiridos en el juego. Como es natural, el usuario dede dar su consentimiento previo para que dicha cesión pueda realizarse.

También se plantean retos como la correcta información que debe suministrarse al usuario sobre el tratamiento de sus datos, el alcance y proporcionalidad de la recogida de datos, la prueba del contenido y de la aceptación de las condiciones generales de contratación, entre otros.

Con este modelo de negocio, Zynga facturó en 2010 cerca de 850 millones de dólares y obtuvo un beneficio neto de 400 millones de dólares. 

El mercado de los bienes virtuales, como los que pueden adquirirse en los juegos de Zynga, registró el año pasado un volumen de negocio de 9.280 millones de dólares. ThinkEquity prevé que lleguen hasta los 20.300 millones en 2014. 

Fundada hace tan sólo cuatro años por el emprendedor Mark Pincus, 247 millones de personas entran en Facebook cada mes para jugar a títulos creados por Zynga, según Expansión. Entre estos juegos figuran el ya mencionado Farmville, Cityville, Mafia Wars y Texas Holdem Poker.

Necesidad urgente de abogados con experiencia en TIC

Posted on por

Debido al inicio inmediato de varios proyectos necesitamos cinco abogados con una experiencia mínima de cuatro años en protección de datos, contratos tecnológicos, propiedad intelectual, delitos tecnológicos  o litigios tecnológicos. El objetivo es contratar a tres abogados para la oficina de Madrid y dos para la de Barcelona.

Es importante que los candidatos hayan:

  1. Consolidado su vocación profesional
  2. Decidido especializarse en Derecho de las Tecnologías de la Información
  3. Apostar por esta rama del derecho a largo plazo

Iniciamos un proceso de selección hace tres meses pero los resultados no han sido satisfactorios hasta el momento debido a las características especiales del perfil y al alto nivel de preparación y dedicación requerido.

Agradeceremos a los interesados que envíen su CV a javier.ribas@es.pwc.com, especificando en el asunto: (Madrid), (Barcelona) o (Madrid y Barcelona) en función de la disponibilidad del candidato.

Muchas gracias.

 

 

 

Insuficiencia del informe de experto para enervar la responsabilidad penal

Posted on por

Imaginemos la siguiente escena en la fase de informe de un juicio oral: "Como prueba del control establecido por la empresa para prevenir este delito tecnológico, se ha aportado un certificado firmado por mi mismo, y aunque la acusación particular y el Ministerio Fiscal mantengan que este certificado fue emitido con posterioridad a la comisión del delito, yo, como abogado experto en la materia, ratifico que el control era suficiente y anterior al delito".

Me recuerda aquel dibujo de Honoré Daumier en el que el abogado defensor exclama: "No, no y mil veces no. Y como mil negaciones valen más que una afirmación, ruego que se absuelva a mi cliente".

Para una empresa sería una estrategia nefasta dejar su defensa en manos del mismo abogado que certifica como experto la suficiencia del control y la fecha de su implantación. Pensemos que en la jurisdicción penal se pone en duda la validez de la prueba con una frecuencia mucho mayor que en otras jurisdicciones. Los informes de experto son considerados como informes de parte y si provienen del abogado que defiende a la empresa pueden perder credibilidad.

Pero incluso en el caso de que el informe vaya firmado por un experto independiente, en el procedimiento penal se puede poner en duda igualmente la fecha efectiva del control.

Por ello es muy importante que exista una actividad adicional que permita aportar credibilidad cronológica a los esfuerzos realizados por la empresa para prevenir y detectar el delito. Con la experiencia obtenida en los primeros seis meses dedicados a proyectos de prevención, PwC ha diseñado un protocolo que refuerza la eficacia probatoria de los controles establecidos por las empresas.

Para descargar el protocolo, las empresas interesadas pueden solicitar las claves de acceso a javier.ribas@es.pwc.com

 

 

Responsabilidad penal de un Director de IT o de Seguridad Informática

Posted on por

La reforma del Código Penal no ha afectado al régimen de responsabilidad penal de las personas físicas que existía antes del 23 de diciembre de 2010 (con excepción de la desaparición de la responsabilidad solidaria y directa de la persona jurídica respecto a las multas impuestas a las personas físicas de su organización).

Ello significa que un Director de IT o de Seguridad Informática sólo será responsable a título personal cuando sea autor del delito, es decir, cuando haya realizado el hecho por sí solo, conjuntamente o por medio de otro del que se haya servido como instrumento. Así lo establece el artículo 28 del Código Penal.

También son considerados autores los que inducen a directamente a otra persona o personas a ejecutar el hecho delictivo y los que cooperan en su ejecución con un acto sin el cual no se habría efectuado.

Como vemos, en todos estos casos el Código Penal exige una implicación directa y dolosa del directivo en la ejecución de los actos. Esta implicación puede consistir en la participación directa en el acto delictivo o en la emisión de órdenes e instrucciones que lleven a los subordinados a cometer el delito.

Los delitos tecnológicos no admiten otra forma de comisión que la dolosa. Es decir, no pueden cometerse por imprudencia. Exigen una conducta activa e intencional del sujeto, una voluntad deliberada de cometer el delito.

La jurisprudencia ha desarrollado el concepto de responsabilidad penal por omisión, en la que puede incurrir un directivo respecto a conductas delictivas ejecutadas por quienes ocupan en la organización empresarial puestos subordinados. Para que se dé esta figura, el directivo debe tener conocimiento de los hechos y poder de disposición sobre los mismos, omitiendo el ejercicio de las facultades propias de su cargo para impedir el delito.

Para ello, es necesario que el directivo disponga de datos suficientes para saber que la conducta de sus subordinados, ejecutada en el ámbito de sus funciones y en el marco de su poder de dirección, crea un riesgo penal, y es necesario también que el directivo no ejerza las facultades de control que le corresponden sobre el subordinado y su actividad, o no actúe para impedir el acto delictivo.

Esta tolerancia dolosa, que situaría al directivo en la esfera de la autoría, es independiente del rango del directivo, ya que existirá responsabilidad penal por omisión siempre que el directivo tenga una posición de garante, es decir una obligación de supervisión y control sobre los actos de sus subordinados.

Por ello, para que los directivos de un Departamento de IT o de un Departamento de Seguridad Informática puedan ser declarados responsables penales de un delito cometido por uno de sus subordinados, el nivel de implicación del directivo en los hechos debe ser alto, a través de la autoría directa o del conocimiento y la tolerancia dolosa de los actos de sus subordinados.

La deliberada falta de control sobre riesgos con un nivel de probabilidad medio o alto podría ser asimilada a tolerancia dolosa, aunque será necesario analizar las circunstancias de cada caso.