c/ Beato Tomás de Zumárraga, 71, 3º - 01008 Vitoria – Gasteiz - Tel. 945 016 230 - Fax. 945 016 231 avpd@avpd.es - www.avpd.es

Notas para la intervención en la

III Jornada Pribatua sobre Evidencias Electrónicas

Pedro Alberto González – paGonzalez@avpd.es

1 Terminología (de qué hablamos)

Evidencias Certeza clara y manifiesta, de la que no se puede dudar

o raíz indoeuropea WEID- [ver, conocer] (ex)(WEID)(ent)(ia)

Pruebas Justificación de la verdad de los hechos controvertidos en un juicio

o Raíz indoeuropea PER- [conducir, primero, alrededor]

o Latín probare, [ensayar, examinar, comprobar] y probus, [honrado, que te puedes fiar de él]

Forensics Forense Perteneciente o relativo al foro plaza pública

o Raíz indoeuropea DHWER- [puerta]

o Metonimia de “Médico Forense” Médico “del foro” que determina la causa de la muerte

Pericial Sabiduría, práctica, experiencia y habilidad en una ciencia o arte

o Raíz indoeuropea PER, [intentar, probar, arriesgar]

Latín Peri, que da tanto (ex)(peri)(ent)(ia) como peligro

Griego Peir, que da tanto Peiran (probar) como Peirates (PIRATA)

Ergo… las evidencias electrónicas sirven para “pillar” a los “piratas”

2

2 Ámbitos (dónde se aplican las evidencias electrónicas)

2.1 Ámbito Judicial

Estándares aplicables: Leyes de Enjuiciamiento correspondientes

La prueba

o Medios de prueba para los que son relevantes las evidencias:

Docs. privados (electrónicos)

Dictámenes de peritos

Reconocimiento judicial (inspección ocular, análisis del cuerpo del delito

o Valoración de la prueba

Penal (carga: quien acusa)

o Pornografía

o Terrorismo

o Delitos fiscales

Civil / Mercantil (carga: quien alega)

o Propiedad intelectual

o Competencia desleal

o Espionaje industrial

Social

o Sanciones disciplinarias

o Casos de despido

Contencioso

o Contraprueba

o Pruebas en contra de presunciones legales

2.2 Ámbito Interno (de las Organizaciones)

Análisis / diagnóstico en SGSI

Incidentes de seguridad (ataques externos)

Fugas de información

Conflictos internos / disciplinarios

2.3 Auditoría (Auditores profesionales)

Conducidas por terceros

Cumplimiento / certificación

Evidencias de auditoría

2.4 Inspección (AAPP)

Potestad sancionadora / disciplinaria

o Hacienda, Urbanismo, Vivienda, Industria, Transportes, etc, etc

Facultad inspectora

Este caso es el de la AVPD

3

3 Características de las evidencias

Características, de acuerdo con la RFC-3227 (2002)

o Admisibles (legalmente)

o Autenticas

o Completas

o Fiables

Ciclo de vida, de acuerdo con la familia de normas ISO/IEC-27035:2011 y sigs.

o Identificación (Potencial - previamente o en la escena)

o Recolección (incautación) ó Adquisición (en la escena) (ISO/IEC-27037:2012)

o Preservación (cadena de custodia en la escena y el laboratorio)

o Análisis e Interpretación (en el laboratorio) (ISO/IEC-27042:????)

o Documentación/Presentación (en el caso)

Robustez de las evidencias

o Rigor material:

Identificación,

Recolección o adquisición

Análisis e interpretación

o Rigor formal:

Preservación

Documentación

Exigencias de robustez, según el ámbito de aplicación:

Ro

bu

ste

z

Fo

rmal

Mate

rial

Ámbitos Interno Auditoría Inspección Judicial

4

4 La actividad inspectora de la AVPD

4.1 Marco legal de la AVPD

Creada por Ley 2/2004 del Parlamento Vasco

Órgano de control en materia de protección de datos, de acuerdo con la LO-15/1999 (LOPD)

Sujeta al Derecho Administrativo (Ley 30/1992)

Sigue la Ley 8/1998, de la Potestad sancionadora de las AAPP del País Vasco

4.2 Estructura de la AVPD

El director: resuelve sobre los expedientes incoados

La Asesoría Jurídica: Inspecciona e Instruye los expedientes

o (reconocimientos, documentales, interrogatorios, …)

El Servicio de Registro y Auditoría de Ficheros: Inspecciona

o (reconocimiento, recolección y análisis de evidencias digitales)

(La Secretaría General)

5

4.3 Procedimientos seguidos en la AVPD

Procedimientos regulados en el Decreto 308/2005, que desarrolla la Ley 2/2004

o Expedientes de Registro de Ficheros

o Función consultiva e Informativa

o Expedientes de tutela de derechos

o Expedientes sancionadores

Procedimiento de Denuncia / Procedimiento de Actuaciones previas

o Finalidad:

Determinar de las circunstancias de los hechos

Identificar los responsables del tratamiento objeto de averiguación

Decidir sobre la necesidad, o no, de iniciar procedimiento sancionador

o Evidencias:

Inspección ordenada por el Director

Realizada por Inspectores (jurídicos y/o técnicos)

Carácter de Autoridad Pública

Documentado como Acta de Inspección.

Habilitación expresa para requerir documentos, inspeccionar equipos,

o Se aseguran las evidencias para posibilitar su uso posterior

o Si hay un perjuicio evidente, se procura la cesación del tratamiento de los datos en cuestión

o Cuando no es competente la AVPD,

se da traslado a la AEPD (u otra competente)

se aporta a la AEPD, preservando la “cadena de custodia”, como forma de asegurar la evidencia

Procedimiento de declaración de Infracción / sancionador

o Se incorporan las actuaciones previas como antecedentes (no como prueba) al posterior expediente sancionador

o Se sigue el procedimiento sancionador habitual

traslado al responsable / interesado, alegaciones,

periodo probatorio,

Propuesta de resolución, trámite de audiencia,

Actuaciones complementarias y resolución del procedimiento

o Evidencias:

en la fase probatoria

con todas las garantías de la fase de prueba

se procura el máximo rigor material y formal, en la eventualidad de un posterior recurso Contencioso-Administrativo

6

5 Principales evidencias tratadas

5.1 Cooperación / obstrucción por los investigados

En general, todas las AAPP colaboran con la AVPD en las tareas de investigación.

o Como mucho, “resistencia pasiva”

o Solo hemos sancionado en dos ocasiones por obstrucción a la labor inspectora.

La mayor parte de las veces se aporta la información solicitada de forma documental,

o no suele ser necesaria la incautación de evidencias

5.2 Análisis de Logs

Ligados a denuncias por accesos indebidos

Incumplimiento manifiesto del deber de secreto

Trazabilidad exigible en ficheros de nivel alto (logs de aplicación)

Inicios de sesión

5.3 Análisis de metadatos

Determinación de la autoría de documentos (word, pdf, …)

Trazabilidad de cesiones

5.4 Información existente en Internet

Oposición a la publicación de datos personales en Boletines Oficiales

Cancelación de datos en buscadores y redes sociales (para AEPD)

5.5 Verificación de medidas de seguridad

En Inspecciones sectoriales