"evidencias electrónicas" - notas de mi intervención en la iii jornada pribatua
DESCRIPTION
Estas son las "notas del orador" que utilicé en mi exposición sobre "evidencias Electrónicas" en la III Jornada organizada por Pribatua. paGonzalez (Pedro Alberto Gonzalez) AVPD (Agencia Vasca de Protección de Datos)TRANSCRIPT
c/ Beato Tomás de Zumárraga, 71, 3º - 01008 Vitoria – Gasteiz - Tel. 945 016 230 - Fax. 945 016 231 [email protected] - www.avpd.es
Notas para la intervención en la
III Jornada Pribatua sobre Evidencias Electrónicas
Pedro Alberto González – [email protected]
1 Terminología (de qué hablamos)
Evidencias Certeza clara y manifiesta, de la que no se puede dudar
o raíz indoeuropea WEID- [ver, conocer] (ex)(WEID)(ent)(ia)
Pruebas Justificación de la verdad de los hechos controvertidos en un juicio
o Raíz indoeuropea PER- [conducir, primero, alrededor]
o Latín probare, [ensayar, examinar, comprobar] y probus, [honrado, que te puedes fiar de él]
Forensics Forense Perteneciente o relativo al foro plaza pública
o Raíz indoeuropea DHWER- [puerta]
o Metonimia de “Médico Forense” Médico “del foro” que determina la causa de la muerte
Pericial Sabiduría, práctica, experiencia y habilidad en una ciencia o arte
o Raíz indoeuropea PER, [intentar, probar, arriesgar]
Latín Peri, que da tanto (ex)(peri)(ent)(ia) como peligro
Griego Peir, que da tanto Peiran (probar) como Peirates (PIRATA)
Ergo… las evidencias electrónicas sirven para “pillar” a los “piratas”
2
2 Ámbitos (dónde se aplican las evidencias electrónicas)
2.1 Ámbito Judicial
Estándares aplicables: Leyes de Enjuiciamiento correspondientes
La prueba
o Medios de prueba para los que son relevantes las evidencias:
Docs. privados (electrónicos)
Dictámenes de peritos
Reconocimiento judicial (inspección ocular, análisis del cuerpo del delito
o Valoración de la prueba
Penal (carga: quien acusa)
o Pornografía
o Terrorismo
o Delitos fiscales
Civil / Mercantil (carga: quien alega)
o Propiedad intelectual
o Competencia desleal
o Espionaje industrial
Social
o Sanciones disciplinarias
o Casos de despido
Contencioso
o Contraprueba
o Pruebas en contra de presunciones legales
2.2 Ámbito Interno (de las Organizaciones)
Análisis / diagnóstico en SGSI
Incidentes de seguridad (ataques externos)
Fugas de información
Conflictos internos / disciplinarios
2.3 Auditoría (Auditores profesionales)
Conducidas por terceros
Cumplimiento / certificación
Evidencias de auditoría
2.4 Inspección (AAPP)
Potestad sancionadora / disciplinaria
o Hacienda, Urbanismo, Vivienda, Industria, Transportes, etc, etc
Facultad inspectora
Este caso es el de la AVPD
3
3 Características de las evidencias
Características, de acuerdo con la RFC-3227 (2002)
o Admisibles (legalmente)
o Autenticas
o Completas
o Fiables
Ciclo de vida, de acuerdo con la familia de normas ISO/IEC-27035:2011 y sigs.
o Identificación (Potencial - previamente o en la escena)
o Recolección (incautación) ó Adquisición (en la escena) (ISO/IEC-27037:2012)
o Preservación (cadena de custodia en la escena y el laboratorio)
o Análisis e Interpretación (en el laboratorio) (ISO/IEC-27042:????)
o Documentación/Presentación (en el caso)
Robustez de las evidencias
o Rigor material:
Identificación,
Recolección o adquisición
Análisis e interpretación
o Rigor formal:
Preservación
Documentación
Exigencias de robustez, según el ámbito de aplicación:
Ro
bu
ste
z
Fo
rmal
Mate
rial
Ámbitos Interno Auditoría Inspección Judicial
4
4 La actividad inspectora de la AVPD
4.1 Marco legal de la AVPD
Creada por Ley 2/2004 del Parlamento Vasco
Órgano de control en materia de protección de datos, de acuerdo con la LO-15/1999 (LOPD)
Sujeta al Derecho Administrativo (Ley 30/1992)
Sigue la Ley 8/1998, de la Potestad sancionadora de las AAPP del País Vasco
4.2 Estructura de la AVPD
El director: resuelve sobre los expedientes incoados
La Asesoría Jurídica: Inspecciona e Instruye los expedientes
o (reconocimientos, documentales, interrogatorios, …)
El Servicio de Registro y Auditoría de Ficheros: Inspecciona
o (reconocimiento, recolección y análisis de evidencias digitales)
(La Secretaría General)
5
4.3 Procedimientos seguidos en la AVPD
Procedimientos regulados en el Decreto 308/2005, que desarrolla la Ley 2/2004
o Expedientes de Registro de Ficheros
o Función consultiva e Informativa
o Expedientes de tutela de derechos
o Expedientes sancionadores
Procedimiento de Denuncia / Procedimiento de Actuaciones previas
o Finalidad:
Determinar de las circunstancias de los hechos
Identificar los responsables del tratamiento objeto de averiguación
Decidir sobre la necesidad, o no, de iniciar procedimiento sancionador
o Evidencias:
Inspección ordenada por el Director
Realizada por Inspectores (jurídicos y/o técnicos)
Carácter de Autoridad Pública
Documentado como Acta de Inspección.
Habilitación expresa para requerir documentos, inspeccionar equipos,
o Se aseguran las evidencias para posibilitar su uso posterior
o Si hay un perjuicio evidente, se procura la cesación del tratamiento de los datos en cuestión
o Cuando no es competente la AVPD,
se da traslado a la AEPD (u otra competente)
se aporta a la AEPD, preservando la “cadena de custodia”, como forma de asegurar la evidencia
Procedimiento de declaración de Infracción / sancionador
o Se incorporan las actuaciones previas como antecedentes (no como prueba) al posterior expediente sancionador
o Se sigue el procedimiento sancionador habitual
traslado al responsable / interesado, alegaciones,
periodo probatorio,
Propuesta de resolución, trámite de audiencia,
Actuaciones complementarias y resolución del procedimiento
o Evidencias:
en la fase probatoria
con todas las garantías de la fase de prueba
se procura el máximo rigor material y formal, en la eventualidad de un posterior recurso Contencioso-Administrativo
6
5 Principales evidencias tratadas
5.1 Cooperación / obstrucción por los investigados
En general, todas las AAPP colaboran con la AVPD en las tareas de investigación.
o Como mucho, “resistencia pasiva”
o Solo hemos sancionado en dos ocasiones por obstrucción a la labor inspectora.
La mayor parte de las veces se aporta la información solicitada de forma documental,
o no suele ser necesaria la incautación de evidencias
5.2 Análisis de Logs
Ligados a denuncias por accesos indebidos
Incumplimiento manifiesto del deber de secreto
Trazabilidad exigible en ficheros de nivel alto (logs de aplicación)
Inicios de sesión
5.3 Análisis de metadatos
Determinación de la autoría de documentos (word, pdf, …)
Trazabilidad de cesiones
5.4 Información existente en Internet
Oposición a la publicación de datos personales en Boletines Oficiales
Cancelación de datos en buscadores y redes sociales (para AEPD)
5.5 Verificación de medidas de seguridad
En Inspecciones sectoriales