11 septiembre 2010

SGSI como medio de defensa jurídica

Es por todos sabidos el valor de los activos de información en cualquier organización. De Perogrullo, que dichos activos deben securizarse y gestionarse de una forma metódica, documentada, basada en unos objetivos claros de seguridad y una evaluación de los riesgos, todo ello bajo el paraguas de estándares y marco normativo aplicable, en nuestro ordenamiento jurídico, principalmente: Normativa sobre Protección de Datos de Carácter Personal: Ley 15/99 de 13 de Diciembre, RD 1720/07 de 21 de Diciembre y resto de normativa de desarrollo (Dura Lex, Sed Lex).

Ni que decir, los beneficios que un sistema de gestión de la seguridad, aporta a la organización:
  • Análisis de riesgos, identificando amenazas, vulnerabilidades e impactos sobre los activos de información.
  • Minimiza los riesgos en materia de confidencialidad, integridad y disponibilidad.
  • Mejora continua de la seguridad de la información, mediante la supervisión, revisión y eficacia de los procesos implantados.

  • Aporta un valor añadido y/o diferencial a la compañía.
  • Exterioriza una clara vocación del cumplimiento de la normativa sobre protección de datos.
  • Certifica una especial solvencia técnica en materia de seguridad de la información.
Recordemos que todas aquellas empresas que vayan a ceder datos de carácter personal, a terceros/ proveedores, bajo la figura de encargado de tratamiento, tienen una responsabilidad in- eligendo e in- vigilandoi, donde deben velar por que éstos reúnan las garantías suficientes para cumplir con las exigencias Reglamentarias.

Desde un enfoque mercantil frente a la Administración Pública, La Ley de Contratos del Sector Público, recoge esta materia en su Disposición Adicional Trigésimo Primera. Algunas administraciones han desarrollado, desde su potestad, exigiendo a sus licitadores que acrediten su solvencia en materia de seguridad de la información, a través de los pliegos de cláusulas administrativas y prescripciones técnicas. Tenemos un ejemplo muy reciente, de la Agencia Catalana de Protección de Datos, quien a través de su Recomendación 1/2010 de Abril de 2.010, ha emitido la siguiente recomendación:
Cuando el tratamiento de datos por cuenta de la entidad adjudicadora sea un elemento relevante del contrato, puede ser recomendable prever la posibilidad de acreditar la solvencia técnica, con respecto al tratamiento de los datos, mediante la acreditación de alguno de los certificados, sellos de calidad y otros documentos equivalentes, reconocidos en materia de protección de datos o de seguridad de la información
Pero, la siguiente pregunta racional, que uno debe plantearse es: ¿Aporta algún valor estar certificado en un SGSI, como medio de defensa jurídica?

Toda aquella organización que haya sufrido un procedimiento administrativo sancionador de la Agencia Española de Protección de Datos y su posterior recurso en vía Contencioso Administrativo, desde la perspectiva de una incidencia de seguridad, baraja siempre, desde la legítima defensa, la posibilidad de intentar aplicar el artículo 45.5 de Ley de Protección de Datos:
Si en razón de las circunstancias concurrentes, se apreciará una cualificada disminución de la culpabilidadii del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracción que proceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate
En esta materia, la Audiencia Nacionaliii ha manifestado en innumerables ocasiones, que la presente regla debe aplicarse con exquisita ponderación y solo en los casos donde la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas, atendiendo a las circunstancias del caso concreto.

Bajo este escenario, ha quedado ya manifestado por nuestra Jurisprudencia, que no supone una disminución cualificada de la culpabilidad o antijuridicidad:
  • La falta de intención de infringir normasiv. Cuando uno invoca la buena fe en el actuar, para justificar la ausencia de culpa, basta con decir que esa alegación queda enervada cuando existe un deber de vigilanciav.
  • Que una vez conocida la denuncia, se actuó con arreglo a la legalidadvi.
  • Que se actuó con celeridad en cuanto se conocieron los hechos denunciadosvii.
Sin embargo, en colación con la cuestión planteada, y con un carácter novedoso, la Audiencia Nacional, en su Sentencia de 15 de Octubre de 2.009, Fundamento Jurídico Cuarto, aplica el artículo 45.5 de la LOPD, entre otros elementos, por contar con unos procedimientos certificados por Aenor.

Cito textualmente; “Y también que la excelencia de los procedimientos y métodos de actuación seguidos por dicha empresa actora para el desarrollo de su actividad, ha sido certificada por AENOR, tal y como la misma acredita documentalmente. De todo lo cual es necesario concluir que concurre en el caso una cualificada disminución de la culpabilidad de tal entidad sancionada (…)”

Esta Sentencia, abre un nuevo elemento de defensa y un nuevo componente para justificar la implantación de un sistema de gestión de la seguridad de la información, dentro de las compañías. Si bien se ha de tomar con las reservas debidas, no seamos temerarios y consideremos que porque una Sentencia haya considerado este elemento, como aspecto justificativo para aplicar la disminución de la culpabilidad, pueda ser siempre empleado, recordemos a este respecto, el principio de igualdad en la aplicación judicial del derechoviii:
  • Acreditación de un tertium comparationis. El juicio de igualdad solo puede realizarse sobre la comparación entre la Sentencia impugnada y las precedentes resoluciones del mismo órgano judicial en casos sustancialmente iguales que hayan sido resueltas de forma contradictoria.
  • Identidad de Órgano Judicial, entendiendo por tal, no solo la identidad de Sala, sino también de Sección, al considerarse cada uno de estos Órganos Jurisdiccionales con entidad diferenciada suficiente para desvirtuar una supuesta desigualdad en la aplicación de la Ley.
  • La existencia de alteridad en los supuestos contrastados.
  • El tratamiento desigual ha de acreditarse en la quiebra injustificada del criterio aplicativo consolidado y mantenido hasta entonces por el Órgano Jurisdiccional o de un antecedente en el tiempo inmediato y exactamente igual desde la perspectiva jurídica.
Replicando a Comte: “Saber para prever, a fin de poder”

--------------------------------------
i : Artículo 20.2 del RD 1720/07 de 21 de Diciembre
ii : Art. 130 Ley 30/92 de 26 de Noviembre. STS de 25 de Enero de 2.006. FJ Tercero: El principio de culpabilidad consiste en la falta de diligencia observada por la entidad sancionada (…)
iii : Sentencias de la Audiencia Nacional, Sala de lo Contencioso Administrativo de 25 de Mayo de 2.002, 16 de Febrero de 2.005
iv : Sentencia de la Audiencia Nacional, Sala de lo Contencioso Administrativo de 21 de Enero de 2.004
v : Sentencia de la Audiencia Nacional, Sala de lo Contencioso Administrativo de 13 de Junio de 2.008, 23 de Marzo de 2.004 y 16 de Junio de 2.004
vi : Sentencia de la Audiencia Nacional, Sala de lo Contencioso Administrativo, de 2 de Marzo de 2.006
vii : Sentencia de la Audiencia Nacional, Sala de lo Contencioso Administrativo, de 25 de Mayo de 2.005
viii : Sentencias del Tribunal Constitucional, 2/07 de 15 de Enero de 2.007 y 339/06 de 11 de Diciembre


Artículo por Gonzalo Salas Claver
Senior Manager


Marco Legal y Regulatorio
División de Consultoría - SIA

2 comments :

Román Ramírez dijo...

Excelente artículo, Gonzalo. A ver si a la comunidad de seguridad se le mete en la cabeza ya que SEGURIDAD no es todo pentest y reversing.

Muy buena publicación.

Sobre el contenido, ¿aplica la norma de "parecerlo" (y "serlo")? Me explico, ¿ves razonable argumentar que tu organización está completamente certificada en ISO 27001 en todos sus procesos en un caso mercantil, laboral o penal?

¿Crees que los juristas están preparados para ese discurso en un tribunal? ¿Debe pesar en la valoración del juez que tu organización, como lo harían otras con el 9001, 9002, tenga la citada certificación?

Unknown dijo...

Muy interesante :-). A ver si vemos mas post de este tipo tambien!