Presentación Evidencia Digital y Responsabilidad Penal Empresa
1. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 1. SITUACIONES QUE CONVIENE EVITAR (1/2) REFLEXIONES: Verse involucrado en un proceso penal por no haber adoptado las medidas de control a las que faculta el artículo 20. 3 ETT Verse obligado a pagar multas económicas, derivadas de un proceso penal además de haber invertido parte del presupuesto en la preparación de una defensa legal, en ocasiones cara (por no contar con un seguro que incluya la defensa jurídica) y que requiera rapidez de actuación Arriesgarse a que un empleado, se beneficie económicamente de la comisión de un delito y que por ello se le achaque dicho beneficio a la empresa, por haber utilizado sus medios
2. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 1. SITUACIONES QUE CONVIENE EVITAR (2/2) REFLEXIONES: Arriesgarse además, a obtener una sanción económica por parte de la Agencia de protección de datos, por no haber cumplido con el reglamento de medidas de seguridad, de obligatorio cumplimiento No haber previsto la situación y por lo tanto no contar con un sistema de trazabilidad óptimo, que permita detectar posibles delitos, o una vez producidos, conseguir atenuar la responsabilidad penal, según se establecen en el artículo 31.4 del Código Penal Español, letras a, b, c y d a través de las evidencias recopiladas
3. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 2. MARCO LEGAL DE LA RESPONSABILIDAD PENAL EMPRESA Y EVIDENCIA DIGITAL (1/3) Según establece el Artículo 31.2 bis del Código Penal. “Las personas jurídicas serán también penalmente responsables de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en provecho de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por no haberse ejercido sobre ellos el debido control atendidas las concretas circunstancias del caso”. En concreto, en el artículo 31.4 del Código Penal, se establece que: “Sólo podrán considerarse circunstancias atenuantes de la responsabilidad penal de las personas jurídicas haber realizado, con posterioridad a la comisión del delito y a través de sus representantes legales, las siguientes actividades”: “Haber procedido, antes de conocer que el procedimiento judicial se dirige contra ella, a confesar la infracción a las autoridades”. Para cumplir con éste apartado del artículo 31 bis, es necesario conocer previamente la comisión de una infracción.
4. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 2. MARCO LEGAL DE LA RESPONSABILIDAD PENAL EMPRESA Y EVIDENCIA DIGITAL (2/3) “Haber colaborado en la investigación del hecho aportando pruebas, en cualquier momento del proceso que fueran nuevas y decisivas para esclarecer las responsabilidades penales dimanantes de los hechos”. Recopilación de pruebas desde el punto de vista de análisis/investigación de la evidencia posterior a la comisión del delito. “Haber procedido en cualquier momento del procedimiento y con anterioridad al juicio oral a reparar o disminuir el daño causado por el delito”. Desde un punto de vista de seguridad, se puede intervenir para disminuir las consecuencias del daño causado por un empleado desde la empresa acusada.
5. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 2. MARCO LEGAL DE LA RESPONSABILIDAD PENAL EMPRESA Y EVIDENCIA DIGITAL (3/3) “Haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica”. Recopilación de evidencias, previas al juicio oral, es una medida para descubrir los delitos que pudieran haberse producido. No obstante, estos artículos reflejan una situación en la que el empresario se encuentra en un proceso penal. No es necesario haber identificado a la persona física que ha cometido el delito, basta con éste se haya producido de origen en la empresa
6. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 3. CÓMO PREVENIR Y/O MINIZAR LA RESPONSABILIDAD PENAL DE LA EMPRESA MEDIDAS PREVENTIVAS: 1- Establecer medidas de control: Implementar una política interna de empresa 2- Establecer medidas técnicas y organizativas: Cumplir con las obligaciones de la protección de datos personales (LOPD y RLOPD) 3- Implementar certificados de seguridad: Prevenir la suplantación de identidad 4- Establecer medidas de cobertura: Contar con un seguro que cubra además servicios jurídicos 5- Detectar y preservar evidencias que permitan una defensa jurídica proactiva: Minimizar consecuencias del delito COMPUTER FORENSICS
7. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 4. ANÁLISIS PREVENTIVO DE LA RESPONSABILIDAD PENAL DE LA EMPRESA (1/3) 1- Establecer medidas de control: Implementar una política interna de empresa Una política interna de empresa con pautas claras, especificando el uso permitido de los medios de comunicación tanto internos como externos de la empresa, con sus correspondientes comportamientos, expresamente indicados, a modo de medidas de control establecidas por el empresario, según faculta el artículo 20.3 del Estatuto de los Trabajadores. 2- Establecer medidas técnicas y organizativas: Cumplir con las obligaciones de la protección de datos personales (LOPD y RLOPD) Haber cumplido con las obligaciones establecidas por la Ley Orgánica de Protección de Datos personales y sus reglamentos de desarrollo, para establecer medidas técnicas y organizativas necesarias así como medidas de control eficientes de acuerdo con el artículo 20.3 ETT compatible con la privacidad del trabajador Sobre todo, asegurar el control de los medios de comunicación tanto internos como externos
8. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 4. ANÁLISIS PREVENTIVO DE LA RESPONSABILIDAD PENAL DE LA EMPRESA (2/3) 3- Implementar certificados de seguridad: Prevenir la suplantación de identidad Distinguir entre los diferentes tipos de certificados, especialmente para mail y los que aseguren una doble protección en seguridad para prevenir la suplantación de identidad por parte de terceros (internos y externos) no autorizados Para implementar la firma electrónica: - Tener en cuenta las obligaciones legales - Las obligaciones de conservación de facturas 4- Establecer medidas de cobertura: Contar con un seguro que cubra además servicios jurídicos Necesidad de contar con un seguro que contribuya a establecer además, cobertura en la defensa legal
9. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 4. ANÁLISIS PREVENTIVO DE LA RESPONSABILIDAD PENAL DE LA EMPRESA (3/3) 5- Detectar y preservar evidencias que permitan una defensa jurídica orientada a la minimización de posibles consecuencias penales COMPUTER FORENSICS La detección, preservación e investigación de pruebas o evidencias electrónicas que pueden usarse para defender a la empresa ante la posible responsabilidad penal se conoce como COMPUTER FORENSICS. Esta disciplina se divide fundamentalmente en 4 grandes fases o procesos, que pueden desarrollarse bien independientemente, o bien de forma consecutiva, según las necesidades de la empresa. Las fases propias del Computer Forensics van desde la prevención hasta la puesta en práctica de las pruebas en juicio
10. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 5. PROPUESTA DE CLASIFICACIÓN DE FASES DEL PROCESO DE COMPUTER FORENSICS PREVENCION FORENSIC READINESS Objetivo: Facilitar una posible investigación digital Cómo: Establecer e implantar procedimientos de trazabilidad Ejemplo: Intrusion Detection Systems LOCALIZACIÓN DE INFORMACIÓN E-DISCOVERY Objetivo: Búsqueda de datos concretos entre una gran cantidad de información Cómo: Uso de mecanismos de búsqueda y filtro en sistemas de ficheros y bases de datos Ejemplo: Búsqueda de datos contables borrados ADQUISICION DE DATOS CADENA CUSTODIA Objetivo: Iniciar de forma correcta la cadena de custodia de futuras pruebas Cómo: Copia bit a bit de información digital ante notario Ejemplo: Copias de información de un teléfono móvil ANÁLISIS DE EVIDENCIA PERITAJE Objetivo: Analizar información digital y buscar posibles indicios. Cómo: Búsqueda ciega y automatizada de actividades sospechosas Ejemplo: Análisis del PC de un ex empleado por posible robo de información
11. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 6. MOTIVOS DE UNA INVESTIGACIÓN FORENSE (1/2) El Impacto de la incidencia a nivel económico La pérdida de datos es una pérdida económica importante. Escenarios como auditorías LOPDs o litigios entre entidades pueden precisar de una rápida intervención por parte de expertos. Oportunidad de identificar pruebas electrónicas En muchas ocasiones se inician procesos de investigación de una forma inadecuada para conseguir un correcto mantenimiento de la cadena de custodia, de modo que las evidencias que se llegan a recuperar no llegan a ser consideradas como pruebas electrónicas en un marco judicial. Oportunidad de identificar responsabilidades directas Es preciso establecer medidas preventivas con el fin de identificar indicios relacionados con el uso indebido de activos o falsas acusaciones.
12. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 6. MOTIVOS DE UNA INVESTIGACIÓN FORENSE (2/2) Oportunidad de identificar responsabilidades de terceros Proveedor externo responsable de la gestión de los sistemas de información Proveedor externo responsable de la gestión de la seguridad de los sistemas de información Coste económico de la investigación contra beneficio reportado (ROI) NO SOLAMENTE ES IMPORTANTE PLANTEARSE CUBRIR DE MANERA VÁLIDA LAS CAUSAS MOTIVADORAS DE UN DESPIDO Y VELAR POR LA PRODUCTIVIDAD DE LA EMPRESA, SINO QUE ADEMÁS ES NECESARIO PREVENIR LAS CAUSAS PARA EVITAR LAS RESPONSABILIDAD PENAL DE LA EMPRESA
13. www.tusconsultoreslegales.com info@tusconsultoreslegales.com Gracias por su interés Para contratar al experto, por favor contactar con: computerforensics@tusconsultoreslegales.com Para comprar documentos: www.tusconsultoreslegales.com/documentos www.tusconsultoreslegales.com