presentación evidencia digital y responsabilidad penal empresa
TRANSCRIPT
www.tusconsultoreslegales.com
Verse involucrado en un proceso penal por no haber adoptado las medidas de control a las que faculta elartículo 20. 3 ETT
Verse obligado a pagar multas económicas, derivadas de un proceso penal además de haber invertido partedel presupuesto en la preparación de una defensa legal, en ocasiones cara (por no contar con un seguroque incluya la defensa jurídica) y que requiera rapidez de actuación
Arriesgarse a que un empleado, se beneficie económicamente de la comisión de un delito y que por ello sele achaque dicho beneficio a la empresa, por haber utilizado sus medios
REFLEXIONES:
www.tusconsultoreslegales.com
Arriesgarse además, a obtener una sanción económica por parte de la Agencia de protección de datos, porno haber cumplido con el reglamento de medidas de seguridad, de obligatorio cumplimiento
No haber previsto la situación y por lo tanto no contar con un sistema de trazabilidadóptimo, que permita detectar posibles delitos, o una vez producidos, conseguir atenuar laresponsabilidad penal, según se establecen en el artículo 31.4 del Código Penal Español, letrasa, b, c y d a través de las evidencias recopiladas
REFLEXIONES:
www.tusconsultoreslegales.com
Según establece el Artículo 31.2 bis del Código Penal.
“Las personas jurídicas serán también penalmente responsables de los delitos cometidos, en el ejercicio deactividades sociales y por cuenta y en provecho de las mismas, por quienes, estando sometidos a la autoridad delas personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por no haberseejercido sobre ellos el debido control atendidas las concretas circunstancias del caso”.
En concreto, en el artículo 31.4 del Código Penal, se establece que:
“Sólo podrán considerarse circunstancias atenuantes de la responsabilidad penal de las personasjurídicas haber realizado, con posterioridad a la comisión del delito y a través de sus representanteslegales, las siguientes actividades”:
a) “Haber procedido, antes de conocer que el procedimiento judicial se dirige contra ella, a confesar la infraccióna las autoridades”.
Para cumplir con éste apartado del artículo 31 bis, es necesario conocer previamente la comisiónde una infracción.
www.tusconsultoreslegales.com
b) “Haber colaborado en la investigación del hecho aportando pruebas, en cualquier momento del proceso que fueran nuevas y decisivas para esclarecer las responsabilidades penales dimanantes de los hechos”.
Recopilación de pruebas desde el punto de vista de análisis/investigación de la evidencia posterior a la comisión del delito.
c) “Haber procedido en cualquier momento del procedimiento y con anterioridad al juicio oral a reparar o disminuir el daño causado por el delito”.
Desde un punto de vista de seguridad, se puede intervenir para disminuir las consecuencias del daño causado por un empleado desde la empresa acusada.
www.tusconsultoreslegales.com
d) “Haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica”.
Recopilación de evidencias, previas al juicio oral, es una medida para descubrir los delitos que pudieran haberse producido.
No obstante, estos artículos reflejan una situación en la que el empresario se encuentra en un proceso penal. No es necesario haber identificado a la persona física que ha cometido el delito, basta con éste se haya producido de origen en la empresa
www.tusconsultoreslegales.com
MEDIDAS PREVENTIVAS:
1- Establecer medidas de control: Implementar una política interna de empresa
5- Detectar y preservar evidencias que permitan una defensa jurídicaproactiva: Minimizar consecuencias del delito
2- Establecer medidas técnicas y organizativas: Cumplir con las obligaciones de la protección dedatos personales (LOPD y RLOPD)
3- Implementar certificados de seguridad: Prevenir la suplantación de identidad
COMPUTER FORENSICS
4- Establecer medidas de cobertura: Contar con un seguro que cubra además servicios jurídicos
www.tusconsultoreslegales.com
Una política interna de empresa con pautas claras, especificando el uso permitido de los medios decomunicación tanto internos como externos de la empresa, con sus correspondientescomportamientos, expresamente indicados, a modo de medidas de control establecidas por elempresario, según faculta el artículo 20.3 del Estatuto de los Trabajadores.
1- Establecer medidas de control: Implementar una política interna de empresa
2- Establecer medidas técnicas y organizativas: Cumplir con las obligaciones de la protección dedatos personales (LOPD y RLOPD)
Haber cumplido con las obligaciones establecidas por la Ley Orgánica de Protección de Datos personales y sus reglamentos de desarrollo, para establecer medidas técnicas y organizativas necesarias así como medidas de control eficientes de acuerdo con el artículo 20.3 ETT compatible con la privacidad del trabajador
Sobre todo, asegurar el control de los medios de comunicación tanto internos como externos
www.tusconsultoreslegales.com
3- Implementar certificados de seguridad: Prevenir la suplantación de identidad
Necesidad de contar con un seguro que contribuya a establecer además, cobertura en la defensa legal
4- Establecer medidas de cobertura: Contar con un seguro que cubra además servicios jurídicos
Distinguir entre los diferentes tipos de certificados, especialmente para mail y los que aseguren una doble protección en seguridad para prevenir la suplantación de identidad por parte de terceros (internos y externos) no autorizados
Para implementar la firma electrónica:
- Tener en cuenta las obligaciones legales- Las obligaciones de conservación de facturas
www.tusconsultoreslegales.com
La detección, preservación e investigación de pruebas o evidencias electrónicas que pueden usarse paradefender a la empresa ante la posible responsabilidad penal se conoce como COMPUTER FORENSICS.
Esta disciplina se divide fundamentalmente en 4 grandes fases o procesos, que puedendesarrollarse bien independientemente, o bien de forma consecutiva, según las necesidades de laempresa.
Las fases propias del Computer Forensics van desde la prevención hasta la puesta en práctica de las pruebasen juicio
5- Detectar y preservar evidencias que permitan una defensa jurídica orientada a la minimizaciónde posibles consecuencias penales
COMPUTER FORENSICS
www.tusconsultoreslegales.com
PREVENCIONFORENSIC READINESS
Objetivo:
Facilitar una posible investigación digital
Cómo:
Establecer e implantar procedimientos de trazabilidad
Ejemplo:
Intrusion Detection Systems
LOCALIZACIÓN DE INFORMACIÓNE-DISCOVERY
Objetivo:
Búsqueda de datos concretos entre una gran cantidad de información
Cómo:
Uso de mecanismos de búsqueda y filtro en sistemas de ficheros y bases de datos
Ejemplo:
Búsqueda de datos contables borrados
ADQUISICION DE DATOSCADENA CUSTODIA
Objetivo:
Iniciar de forma correcta la cadena de custodia de futuras pruebas
Cómo:
Copia bit a bit de información digital ante notario
Ejemplo:
Copias de información de un teléfono móvil
ANÁLISIS DE EVIDENCIAPERITAJE
Objetivo:
Analizar información digital y buscar posibles indicios.
Cómo:
Búsqueda ciega y automatizada de actividades sospechosas
Ejemplo:
Análisis del PC de un ex empleado por posible robo de información
www.tusconsultoreslegales.com
El Impacto de la incidencia a nivel económico
La pérdida de datos es una pérdida económica importante. Escenarios como auditorías LOPDs o litigiosentre entidades pueden precisar de una rápida intervención por parte de expertos.
Oportunidad de identificar pruebas electrónicas
En muchas ocasiones se inician procesos de investigación de una forma inadecuada para conseguir uncorrecto mantenimiento de la cadena de custodia, de modo que las evidencias que se llegan a recuperarno llegan a ser consideradas como pruebas electrónicas en un marco judicial.
Oportunidad de identificar responsabilidades directas
Es preciso establecer medidas preventivas con el fin de identificar indicios relacionados con el uso indebidode activos o falsas acusaciones.
www.tusconsultoreslegales.com
Oportunidad de identificar responsabilidades de terceros
Proveedor externo responsable de la gestión de los sistemas de información
Proveedor externo responsable de la gestión de la seguridad de los sistemas de información
Coste económico de la investigación contra beneficio reportado (ROI)
NO SOLAMENTE ES IMPORTANTE PLANTEARSE CUBRIR DE MANERA VÁLIDA LAS CAUSASMOTIVADORAS DE UN DESPIDO Y VELAR POR LA PRODUCTIVIDAD DE LA EMPRESA, SINO QUEADEMÁS ES NECESARIO PREVENIR LAS CAUSAS PARA EVITAR LAS RESPONSABILIDAD PENAL DE LAEMPRESA
www.tusconsultoreslegales.com
Gracias por su interés
Para comprar documentos:www.tusconsultoreslegales.com/documentos
www.tusconsultoreslegales.com
Para contratar al experto, por favor contactar con: