LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 00:02:10

LegalToday

Por y para profesionales del Derecho

Retos jurídicos ante la fuga de información

Attorney of Governance, Risk & Compliance practice at ECIX GROUP

La información es un activo crítico de toda compañía, su pérdida en formato electrónico, es una amenaza creciente en la actual sociedad digital. Tanto en el caso de que sea intencional o accidental, lo cierto es que la frecuencia con que se produce aumenta, tanto la provocada por amenazas externas como, y quizá cada vez de modo más habitual, la provocada por agentes internos.

Retos jurídicos ante la fuga de información

Los supuestos de fuga de información suceden casi a diario: robo de portátiles con información sensible, publicación de datos de empleados afectados por expedientes de regulación de empleo, publicación de listados de afiliados sindicales, pérdida de soportes y dispositivos de memoria, olvidos de PDA´s, robo de información corporativa por empleados descontentos, etc.

Por ello, diseñar una buena estrategia jurídica y técnica así como de cualquier otro aspecto que sea necesario tener en cuenta, e implantar soluciones adaptadas a cada negocio, es esencial para prevenir la fuga de información, detectarla y, en todo caso, disponer de los medios adecuados de reacción. Todo ello sobre la base de la evidencia electrónica que, en estos casos, se constituye como un elemento esencial para disponer de las garantías jurídicas suficientes que nos permitan trasladar a la sede judicial las acciones oportunas, con suficientes garantías de éxito.

En este sentido, se expone una visión estratégica que, como cualquier otra y más aun cuando se refiere a cuestiones tan complejas como es la fuga de información, es sólo una estrategia dentro de las posibles. No obstante, se propone desde el convencimiento de que sin duda reúne una característica que es fundamental ante estos supuestos como es proporcionar una solución integral al problema, evitando los puntos débiles, que en último término, descompensarían y, consecuentemente, harían ineficaz el sistema de gestión

La visión estratégica que se propone se fundamenta en cuatro pilares básicos: legal, técnico, organizativo y forensic.

En relación a los aspectos legales, señalar que éstos afectan, empapan o atraviesan de modo transversal todos los aspectos de una solución de gestión de los riesgos de fuga de información. Y ello por cuanto que la eficacia última del sistema vendrá condicionada por su adecuación al marco jurídico de referencia.

En este sentido, las normas que pueden verse implicadas en la materia de Fuga de información, tanto en las medidas para evitar o responder a una fuga como en las consecuencias desencadenas por la misma, son tantas y tan heterogéneas que exceden en su exposición a la extensión de este artículo. No obstante, se puede mencionar, como algunas de las afectadas, la normativa sobre protección de datos personales, la laboral referida al control del empleado, la de competencia, la de propiedad intelectual, la penal o la procesal. Tratar de modo adecuado todas ellas, en el resto de pilares, y realizar una gestión que evite solapamientos y que aproveche sinergias optimizará, sin duda, el sistema que gestione la fuga de información.

Adicionalmente a lo indicado, se deberá tener en cuenta que la implantación de ciertas tecnologías de control, monitorización, trazabilidad de actuaciones de empleados en entornos electrónicos será especialmente sensible para materias como protección de datos personales o privacidad. La Sentencia del Tribunal Supremo de 26 de septiembre de 2007, al hablar de "reglas de uso" de los medios informáticos, vino a solventar en buena medida las grandes dudas e indefiniciones con las que se trabajaba anteriormente.

Respecto a los aspectos técnicos, conviene señalar que existe una diversidad de soluciones tecnológicas para reducir el riesgo de fuga de información: DLP, correlación de logs, DRM, control de adjuntos a correos electrónicos, datamasking, etc. Lo esencial es que todas las tecnologías sean gestionadas bajo un elemento común, como puede ser un Centro de Control de Seguridad, que garantice la homogeneidad de criterios y la eficiencia de las inversiones realizadas.

En cuanto a los aspectos organizativos, indicar que los mismos se sustentan en dos elementos, como son: i) la creación de una organización interna sobre Fuga de información, trasladada a los correspondientes comités y equipos de trabajo, y ii) las acciones de comunicación hacia dentro (formación, concienciación) y hacia fuera (grupos de interés, como clientes, mercados, medios, etc.) que permitan trasladar la preocupación, esfuerzos y medidas aplicadas por la organización con relación a la seguridad de su información.

En último lugar, es fundamental, la informática forense o Forensic, es decir, la aplicación de técnicas que permitan determinar la existencia, contenido y origen o autoría de una información albergada en dispositivos o comunicaciones electrónicas. Son servicios que, en último término, revertirán en la evidencia electrónica que se genere y aporte en juicio, y condicionarán su calidad. Se traduce por ejemplo en servicios de obtención y recuperación de información sin contaminarla, o en servicios de investigación en el origen y destino de la fuga de información.

No obstante, aun manteniendo la consideración de estos cuatro aspectos esenciales, a la hora de realizar la evaluación de los riesgos concurrentes en una organización en cuanto a fuga de información, la estimación podría concretarse en la consideración de dos indicadores: riesgos legales y riesgos tecnológicos. Introduciendo estos dos indicadores en la correspondiente matriz, se podrá determinar que en el "punto de encuentro" entre los resultados de uno y otro, nos muestra el riesgo global en cuanto al problema de fuga de información y nos indicará la pauta de intensidad del sistema de gestión.

Como ya se ha indicado anteriormente, todo ello bajo el prisma común de la necesidad de constitución de evidencia electrónica, es decir, la capacidad de generar una prueba que demuestre cuál fue el hecho (o los hechos) que provocaron la fuga y quién es el autor, directo o indirecto, de la misma. A este respecto, es importante señalar que la prueba debe reunir ciertas características que permitan su aportación en juicio, particularidades que afectan a las fases de configuración de los sistemas respecto a su creación, generación y captura, así como a su almacenamiento y traslado al órgano judicial competente.

Hace tiempo que se abrió la puerta a la prueba electrónica, pues así se contempla en la Ley de Enjuiciamiento Civil. Sin embargo, su éxito depende de que la labor jurídica en cada fase sea capaz de comprender y asimilar los aspectos técnicos y de negocio, y ofrecer un asesoramiento alineado con ellos.

Desde un punto de vista estrictamente procesal, se considera que existen dos elementos clave en la aportación de una evidencia electrónica como prueba en juicio y que son: i) aportación de información técnica, a través de la correspondiente pericia o no, que ponga de manifiesto las garantías jurídicas aplicadas al proceso técnico de su obtención y almacenamiento y que garantice su correspondencia con la situación real al momento de su obtención, así como, la imposibilidad de su alteración posterior y, ii) desarrollo de una argumentación adecuada ante el Juzgado o Tribunal en el que se exponga, procurando que el órgano juzgador pueda asimilar del mejor modo posible qué es, qué garantías reúne y qué demuestra la evidencia electrónica. Para este menester, si no contamos con la experiencia de un profesional con los conocimientos adecuados y específicos, reduciremos nuestras posibilidades de completar el proceso de respuesta ante la fuga de información y nuestras posibilidades de éxito.

En definitiva, la protección de nuestro activo más crítico como es la información de toda compañía frente a posibles fugas, hoy en día, no es una opción, sino una necesidad y lo será de modo más intenso en un futuro conforme vaya avanzando la sociedad de la información.

Las estrategias de gestión podrán basarse en soluciones muy diversas, pero, en todo caso, se deberá procurar que la solución adoptada sea integral, esto es, que sea capaz de comprender y responder a los retos legales, organizativos, técnicos y de forensic enunciados. En todo caso, la constitución de prueba electrónica será el elemento clave para la consecución de un resultado óptimo en sede judicial.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.