Cinco tendencias legales para 2017

enero 3, 2017

Por Marina Guillén.
 

Finalizado un 2016 que, aunque en el ámbito nacional no ha destacado por un gran número de reformas legislativas, sí que ha sido especialmente importante en algunos ámbitos tales como el Compliance, ciberseguridad o la lucha contra la corrupción y el blanqueo de capitales conformándose como preocupaciones principales para muchas empresas y particulares.

 

1. Compliance

Acuñando la ya muy pronunciada frase de “el compliance viene para quedarse” podemos afirmar que 2016 ha sido un año en el que ha comenzado a calar más profundamente esa idea que existía si bien de forma embrionaria de que las empresas podían responder ante el derecho penal desde la Ley Orgánica 5/2010 de reforma del Código Penal, que introdujo en España la responsabilidad penal de la persona jurídica.

 

La entrada en vigor del texto definitivo en julio de 2015, refleja la adopción de programas de compliance eficaces para prevenir la comisión de ilícitos penales en el seno de las empresas y que, podrá operar como atenuante o eximente de la responsabilidad penal de la persona jurídica según el caso.

 

Así mismo, aumenta el interés de las empresas por incluir la función de compliance ya no como un instrumento preventivo ante la sanción penal, sino como una función voluntaria fundamental de la estructura, funcionamiento y organización de la empresa en atención a valores que se asumen como propios y que incluye elementos no normativos tales como los principios éticos de la empresa.

 

Con la ya también muy comentada Circular 1/2016 de la Fiscalía General del Estado se realiza una apuesta clara por parte del Poder Judicial por los programas de cumplimiento normativo, recalcando la necesidad de su establecimiento adaptado a las dimensiones y modelos organizativos, y no sólo enfocado al cumplimiento del Código Penal, sino como modelos de organización y gestión establecidos para el cumplimiento normativo general, debiendo evitarse en todo caso aquellos programas realizados de manera general y no adaptados a las particularidades de cada organización (los conocidos como cosmetic compliance programs). Así mismo, la Circular establece la necesidad de que el órgano de compliance esté dotado de autonomía e independencia, debiendo ser, una función interna de la propia organización.

 

Con toda seguridad asistiremos a la investigación y procesamiento de personas jurídicas, donde podremos comprobar en la práctica como se aplica el estatuto jurídico de persona jurídica en el proceso penal y la valoración probatoria de los programas de compliance.

 

Precisamente y a través de los programas de compliance es como se está instaurando una nueva cultura de cumplimiento normativo y ético en la empresa, que tradicionalmente ha sido relacionada con empresas cotizadas y de mayores dimensiones, sobre las que la ley ya imponía la creación de códigos de buen gobierno corporativo y diversas obligaciones de control interno. Si bien, lo cierto es que esta tendencia no sólo incluye a este tipo de empresas, sino que afecta, sin duda alguna a todo el tejido empresarial español, en su mayoría conformado por empresas de pequeñas y medianas dimensiones (PyMES) y, que el legislador, ha incluido específicamente – con precisiones – en la redacción del artículo 31 bis del Código Penal.

 

2. Ciberseguridad

La vertiginosa aparición de nuevas tecnologías y su presencia online que indudablemente proporciona un valor añadido a las organizaciones, genera a la par numerosos riesgos. Las nuevas tecnologías, aunque no lo parezcan a veces, no son perfectas. Las palabras “ransonware”, “malware”, “cloud”, o “infraestructuras críticas” ya suenan conocidos en todos los ámbitos.

 

El uso generalizado de los smartphones para gran cantidad de actividades y transacciones, los hace especialmente vulnerables a ataques (siendo una de las maneras más utilizadas por los ciberdelincuentes para obtener y clonar datos de tarjetas bancarias de los usuarios a través de malware y redes Wifi maliciosas, entre otros métodos usados), y aunque los desarrolladores mejoran y actualizan continuamente los sistemas de seguridad de estos dispositivos, lo cierto es que los usuarios han de extremar cuidados con el uso que se le dan (se estima que un tercio de estos ataques se producen precisamente por fallo de diligencia o cuidado del usuario al abrir correos electrónicos maliciosos o conectarse a redes WiFI sin seguridad).

 

Además el uso del cloud computing o la “nube” para guardar y gestionar información, hace de estas infraestructuras una opción cada más elegida por empresas y particulares, debido a la comodidad para el almacenamiento, uso y precisamente la seguridad que otorga que un tercero sea el encargado de gestionar la protección de esta información. Sin embargo, estás infraestructuras también son especialmente atractivas para los ciber delincuentes, precisamente por la información que contienen (datos de carácter personal, operativos e información sensible sobre operativa empresarial en muchos casos), por lo que las empresas dedicadas al almacenamiento en la nube (dato: actualmente Microsoft es la única reconocida por la Agencia de Protección de Datos como proveedora expresamente autorizada) o que ofrecen estos servicios, dedican grandes recursos económicos y técnicos a su protección.

 

Así mismo, el secuestro de información (ramsonware) y los ataques al internet de las cosas cuesta millones de euros a las empresas, y, en la medida en la que cada vez más usuarios se pasen a la nube, estas serán también objetivo de éstos siendo una de las principales preocupaciones respecto a ciberseguridad en 2017, según apuntan desde ESET España .

 

3. Prevención de blanqueo de capitales.

La lucha contra el blanqueo de capitales y financiación del terrorismo, es una de las principales preocupaciones de las organizaciones internacionales y de los estados. Las recomendaciones del GAFI se están aplicando en la Unión Europea a través de la cuarta Directiva contra el blanqueo de capitales.

 

Actualmente, el Consejo de la Unión Europea trabaja en una modificación de la citada Directiva, cuya propuesta de modificación se publicó en julio de 2016, en la que se abarcan numerosas mejoras en aspectos tales como:

 

Adaptarse a los nuevos sistemas de pago y los servicios financieros y prevenir los riesgos que generan: las monedas virtuales o las tarjetas de prepago anónimas, por ejemplo.

• Refuerzo del control sobre operaciones financieras transfronterizas a través de la cooperación policial y judicial entre los estados para la prevención de actividades terroristas.
Adecuar la legislación de la UE: las resoluciones 2199(2015) y 2253(2015) del Consejo de Seguridad de las Naciones Unidas pedían medidas que impidieran el acceso de los grupos terroristas a las instituciones financieras internacionales.
Aumento de las competencias de las Unidades de Información Financiera nacionales, mediante la creación de registros centralizados de cuentas bancarias y de pago.

 

4. Lucha contra la corrupción.

2016 ha sido un año en el que hemos visto sentados en el banquillo a banqueros, políticos, ex presidentes de comunidades autónomas, futbolistas e incluso miembros de la Casa Real en procesos por corrupción, y se han dictado sentencias ejemplares con penas de prisión importantes.

 

Queda patente la tendencia de la sociedad al rechazo sobre estos comportamientos que provocan un clima de desconfianza sobre los poderes públicos, generan desigualdad, y menoscaban los recursos económicos del Estado.

 

Aunque aún queda mucho trabajo por hacer, encontrándose aun España en los últimos puestos europeos sobre percepción de la corrupción según evaluaciones de organismos internacionales (Transparencia Internacional, OCDE), poco a poco se consolida la idea de que la cultura del “todo vale” que ha de ser superada.

 

En el sector privado, el compromiso internacional de lucha contra la corrupción se ha visto concretado con la publicación de la ISO 37001, estándar internacional de la International Standard Organization y, que sin duda va a tener su propio protagonismo.

 

La ISO 37001 (que además, va a ser certificable), establece como objetivo la creación de mecanismos de control y gestión para mejorar la prevención de riesgos de delitos relacionados con el soborno mediante directrices para la implementación de los procedimientos y controles razonables y proporcionados a las características de cada organización. Estos procedimientos son, entre otros: las evaluaciones de riesgo, creación de políticas y procedimientos sobre pagos, obsequios y regalos, la realización de formación anti soborno de directivos y empleados o el establecimiento de procedimientos de Due Diligence para detectar el riesgo de soborno en terceros.

 

5. Pacto de Estado por la justicia.

Por, último, más que una predicción, es un deseo que se mantenga sobre el tapete la discusión de los siguientes tópicos.

 

• La urgente necesidad de adopción de medidas para la agilización de la justicia.
• La creación de un nuevo sistema de comunicación informática más eficiente, tras las dificultades de implementación de LEXNET.
• La dotación de mayores recursos para la Justicia Gratuita, encargada de velar por defender los derechos de los colectivos más vulnerables.
• El debate sobre la instrucción penal en manos del Fiscal.
• Garantizar la independencia del Poder Judicial mediante un sistema de designación democrático.
• La potenciación y desarrollo de los mecanismos alternativos de resolución de conflictos.

 

Son, entre otras, medidas y cambios que siguen, un año más puestos sobre la mesa y que deben seguir siendo tendencia en este 2017.

 

Para la implementación de Programas de Compliance visita la sección de Consultoría o escríbenos a info@garberipenal.com.

 

Contactos

 

En Garberí Penal contamos con un equipo profesional altamente especializado y capacitado para atender los requerimientos de su empresa en materia penal.

 

[button align_button=’center’ a_fffect=’fadeInLeft’ link=’http://www.garberipenal.com/contacto/’ background=’#967433′ border=’#ffffff’ color=’#ffffff’ hover_bg_color=’#ffffff’ hover_border=’#967433′ hover_text_icon_color=’#967433′ icon=’info-sign’]Ver Información[/button]

7 soluciones para mejorar la seguridad de datos en las PyMES

agosto 9, 2016

 

La seguridad de datos es una de las mayores preocupaciones de los empresarios y ejecutivos hoy en día. Según un artículo publicado por Forbes a principios de 2016, las amenazas cibernéticas constituyen una de las más severas para los CEO a nivel mundial.

Por otro lado, el Informe Cibersecurity Index elaborado por IBM indica que el 45% de los ataques informáticos durante 2015, fueron accesos no autorizados. Esto quiere decir que casi la mitad de las amenazas, fueron en búsqueda de información almacenada por las empresas.

Las grandes empresas no son las únicas que se ven afectadas por las amenazas cibernéticas. Las PyMES también pueden convertirse en víctimas de los hackers y delincuentes que van en búsqueda de la información que almacenan, tanto en servidores propios, como aquella que le confían a sus proveedores. Y a diferencia de las multinacionales y gran empresa que poseen recursos para blindar su seguridad informática, las PyMES suelen quedar más expuestos.

Por ello os compartimos 7 soluciones para mejorar la seguridad de los datos en la pequeña y mediana empresa:

1. Uso de contraseñas seguras en los ordenadores y dispositivos corporativos.

Gran parte de las brechas de información ocurre por la debilidad en las contraseñas. Anualmente la empresa SplashData publica un estudio de las contraseñas más utilizadas. En el estudio de 2015, la lista estuvo encabezada por “123456” y “password”. Si bien los empleados tienden a utilizar contraseñas cortas y fáciles de recordar, éstas pueden ser descifradas por hackers a través de algoritmos en cuestión de minutos. Es por ello que se recomienda como una medida efectiva en la seguridad de datos, utilizar contraseñas de al menos 12 caracteres y que combinen mayúsculas, minúsculas, números y caracteres especiales.

2. Un usuario por sesión contribuye a la seguridad de datos.

Es común que en algunas PyMES y especialmente en comercios los empleados compartan ordenador, sobretodo en aquellos locales en que trabajan por turnos. Si bien no siempre se puede asignar un ordenador a cada persona, cuando sea necesario compartir equipos se debe procurar que cada usuario tenga una sesión propia y personal. De esta manera, se puede saber quién tiene acceso a la información.

Asimismo, los accesos deben ser restringidos según la necesidad. Otorgar facultades de Administrador a todos los usuarios es una de las maneras más sencillas de hacer vulnerable a la empresa. Según datos del ya citado Cibersecurity Index, el 60% de los accesos no autorizados fue con participación de personal interno o proveedores.

3. Clasificar datos sensibles.

No todos los datos tienen el mismo grado de sensibilidad. Puede haber información confidencial o extremadamente delicada en un ordenador, archivada junto a datos personales como información comercial del día a día. Se debe establecer un mecanismo de clasificación y establecer medidas de seguridad de datos adecuadas según la sensibilidad de la información.

4. Utilizar antivirus y Firewall.

Virtualmente todos los ordenadores de una compañía se encuentran conectados a Internet hoy en día, por lo tanto se encuentran expuestos a ataques maliciosos vía virus o intentos de acceso no autorizados. El uso de un antivirus y un Firewall confiable, si bien implica una inversión para la empresa, el monto a desembolsar será siempre mucho menor al daño económico que puede sufrir si sus datos caen en manos de un tercero.

5. No utilizar Whatsapp como canal para transmitir información confidencial.

Si bien WhatsApp logró encriptar las conversaciones de sus usuarios y con ello disminuir el riesgo de una fuga de la información en tránsito, la premisa se mantiene: El uso de redes sociales o un canal de comunicación como Whatsapp expone las empresas no sólo por la facilidad de interceptar los datos, sino porque deja información sensible al alcance de cualquiera que tenga acceso al dispositivo.

6. Evitar el acceso a redes públicas desde dispositivos corporativos.

En la era del trabajo remoto, es común que el personal e incluso los directores de las compañías tenga información asociada a sus dispositivos portátiles y que accedan a ella desde distintas locaciones. Sin embargo hacerlo desde lugares públicos puede implicar riesgos, ya que deja expuesta la información del dispositivo ante personas que se encuentren en la misma red y puedan, malintencionadamente, intentar acceder al mismo.

7. Formatear el equipo antes de asignarlo a un nuevo empleado.

Es común -sobretodo en PyMES y microempresas- que los empleados utilicen equipos que anteriormente pertenecían a otra persona y reciban el ordenador tal y como lo dejó el usuario anterior. Esto no representa mayor problema en los casos en que el nuevo usuario continuará efectuando la labor de su antecesor; sin embargo, cuando se asigna un mismo equipo a otra persona de otra área o función, habrá mucha información que no es necesaria para su cargo a la cual tendrá acceso yque puede comprometer la seguridad de la empresa. Por lo tanto, siempre es recomendable formatear los equipos antes de asignarlos a un nuevo miembro de la compañía y así prevenir una brecha en la seguridad de datos.

Primera condena por enaltecimiento del terrorismo en redes sociales (I)

julio 25, 2016

86

El Tribunal Supremo estima el recurso de Casación promovido por la defensa, contra la sentencia de la Sala de lo Penal de la Audiencia Nacional, Sección 4ª, de fecha 29 de enero de 2016, en causa seguida por delito de enaltecimiento del terrorismo y humillación a la víctimas del terrorismo. STS 623/2016, de 13 de julio.

 

STS 623/2016, de 13 de julio de 2016

Tribunal Supremo, Sala de lo Penal, Sección 1ª

Nº de Recurso: 291/2016

Nº de Resolución: 623/2016

Procedimiento: RECURSO CASACIÓN

Ponente: Excmo. Sr. Julián Artemio Sánchez Melgar.

 

Los hechos enjuiciados se refieren a la difusión de una serie de mensajes con un contenido propio del denominado “Discurso del Odio”, mediante la técnica de comunicación pública denominada “twitter” -una variedad de la mensajería instantánea con acceso abierto- y que han sido expresamente admitidos por su autora desde un inicio.

 

Pueden destacarse las siguientes cuestiones jurídico-procesales del cuerpo de la sentencia:

 

  • Acerca de la trascendencia jurídica del concepto “Discurso del Odio” en la doctrina de los Derechos Fundamentales.

 

Tanto el Tribunal Europeo de Derechos Humanos (v.gr. SSTEDH de 8 de julio de 1999, SÜREK vs. Turquía, y de 4 de Diciembre de 2003, MÜSLÜM vs. Turquía), como nuestro Tribunal Constitucional (STC 235/2007, de 7 de noviembre) y esta misma Sala (STS 812/2011, de 21 de julio) entienden que el castigo del enaltecimiento del terrorismo persigue la justa interdicción de lo que vienen denominando “discurso del odio”: alabanza o justificación de acciones terroristas.

 

Derechos fundamentales, como la libertad de expresión (art. 20 CE) o la libertad ideológica (art. 16 CE), no amparan tales comportamientos, pues el terrorismo constituye “la más grave vulneración de los derechos humanos de la comunidad que lo sufre”, sustentado por un discurso que se basa “en el exterminio del distinto, en la intolerancia más absoluta, en la pérdida del pluralismo político, y, en definitiva, en generar un terror colectivo que sea el medio con el que conseguir esas finalidades( STS 224/2010, de 3 de marzo ).

 

Conviene apuntar, que no se trata de criminalizar opiniones discrepantes sino de combatir actuaciones dirigidas a la promoción pública de quienes ocasionan un grave quebranto en el régimen de libertades y daño en la paz de la comunidad con sus actos criminales, atentando contra el sistema democrático establecido” (STS 676/2009, de 5 de junio).

 

En sentencias recientes de esta Ilustre Sala (STS 846/2015, de 30 de diciembre) se expone que la humillación o desprecio a las víctimas, por su parte, “afecta directamente, a su honor y, en definitiva, a su dignidad” (arts. 18.1 y 10 CE), al mismo tiempo que la libertad ideológica o de expresión no pueden ofrecer cobijo “a la exteriorización de expresiones que encierran un injustificable desprecio hacia las víctimas del terrorismo, que conllevan a su humillación”.

 

Mientras que la libertad ideológica no tiene más limitación, en sus manifestaciones, que la necesariapara el mantenimiento del orden público protegido por la Ley(art. 16.1 CE), la libertad de expresión encuentra su frontera “en el respeto a los derechos reconocidos en este Título, en los preceptos de las Leyes que lo desarrollan, y, especialmente, en el derecho al honor, a la intimidad, a la propia imagen y a la protección de la juventud y de la infancia(art. 20.4 CE).

 

En esta línea, cabe asegurar que determinadas restricciones a la libertad de expresión pueden ser “legítimas e incluso hasta necesarias ante conductas que pueden incitar a la violencia, o, como sucede en la humillación a las víctimas, provocar un especial impacto sobre quien las sufre en un contexto terrorista” (539/2008, de 23 de septiembre).

 

  • Acerca del fundamento jurídico de la dosimetría penal aplicable al caso en concreto.

La sentencia recurrida no hace sino asumir acríticamente la petición del Ministerio Fiscal, que era la máxima penalidad imponible; y ello –según detalla- porque todas las conductas punibles reflejadas en el art. 578 del Código Penal, “fueron perpetradas por la acusada de forma reiterada y firme”.

 

Sin embargo, la Sala de instancia no tuvo en cuenta que este delito no puede ser sancionado en continuidad delictiva, por tratarse el tipo que lo define de un “concepto global que abarca diversos grados de ilicitud”, aunque se trate de acciones reiteradas de humillación a las víctimas del terrorismo.

 

Este tipo de acciones, materializadas en desprecio, deshonra, descrédito, burla y afrenta de aquellas personas que han sufrido el zarpazo del terrorismo y cuya dignidad debe ser protegida, han de ser castigadas con “una pena proporcionada tanto al desvalor de la conducta como a las condiciones personales de la persona infractora”.

 

Por tanto, la pena a imponer deberá de atender, por un lado, “a las expresiones que conforman el tipo objetivo del delito”; y por el otro -y de forma sustancial- “a la personalidad y en este caso juventud de la autora de esta infracción criminal”.

 

Destacar además, que la LO 2/2015, de 30 de marzo, al modificar el art. 578 del C.P, elevó su penalidad. Concretamente, de uno a tres años de prisión más una multa de doce a dieciocho meses, aumentando las penas a su mitad superior cuando los hechos se hubieran llevado a cabo mediante “la difusión de servicios o contenidos accesibles al público a través de medios de comunicación, internet, o por medio de servicios de comunicaciones electrónicas o mediante el uso de tecnologías de la información”, como ha sucedido en este caso.

 

Por todo lo anterior, esta Sala entiende ajustado a derecho casar la sentencia recurrida y “decretar una penalidad más proporcionada a las condiciones personales del culpable”.

 

Lectura Recomendada: Las redes sociales antes, durante y después de la masacre en París 

10 medidas de Compliance para la Protección de Datos en empresas

julio 18, 2016

El Compliance debe abarcar distintos ámbitos de la empresa, y una de las áreas más sensibles -especialmente en España- es la relacionada con la protección de datos, ya que las infracciones a la Ley Orgánica de Protección de Datos de Carácter Personal pueden acarrear sanciones de hasta 600.000€.

1. Consentimiento previo

El tratamiento de los datos de carácter personal requiere el consentimiento inequívoco del titular de los mismos. En caso de que existan dudas sobre el otorgamiento del consentimiento para el fin que se solicitaron, es recomendable eliminarlos.

2. Información confidencial

La información sensible debe estar resguardada de manera adecuada, y sólo debe conservarse en los supuestos en que sea estrictamente necesario. Debe tenerse particular cuidado con la información relativa a ideología, afiliación sindical, religión y creencias, orientación sexual, etc.

3. Derechos de la persona

El titular de los datos siempre mantendrá derechos sobre los mismos. Es por ello que se debe informar al interesado, entre otras cosas, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

4. Archivo y registro de documentos

Es recomendable archivar y retener únicamente la información personal cuando sea absolutamente necesario, y eliminar sistemáticamente cualquier registro que se encuentre desactualizado o no se requiera.

5. Disposición de la información

La empresa debe tener cuidado de no dejar a la vista o accesible a terceros la información que se está desechando. En caso de hallarse en soportes físicos, se recomienda la utilización de trituradoras de papel.

6. Precisión de los datos

No conservar en los registros de datos información errada o imprecisa asociada a las personas, ni realizar enmiendas sobre la información que el titular de los datos suministró.

7. Seguridad de la información

Implementar medidas de seguridad y resguardo de la información lo suficientemente confiables según el tipo de dato que se esté protegiendo. En el caso de archivos físicos, estas medidas pueden ir desde no dejar documentos sensibles a la vista, hasta la utilización de un archivo con seguro. Para documentos digitales, se recomienda no enviar información o documentos confidenciales a través de servidores no seguros.

8. Revelación de datos

Sólo pueden revelarse los datos que se registran en el caso de que exista un requerimiento por parte de las autoridades acompañado de orden judicial, o cuando el afectado otorgue su consentimiento expreso y por escrito.

9. Uso de servidores en el exterior

Cada país puede establecer distintos niveles de seguridad en la protección de los datos, y algunos de ellos son más flexibles que el marco legislativo europeo. Es por ello que si la empresa va a mantener la información o datos de una persona en servidores ubicados en el exterior, deberá solicitar autorización expresa al titular de los datos.

10. Proveedores de almacenamiento de archivos

Si la empresa utiliza un proveedor para el almacenamiento de archivos y documentos, deberá suscribir un contrato con el mismo en el cual se establezcan las garantías suficientes respecto al resguardo de la información.

Si requiere asesoría en materia de Ciberseguridad, por favor contacte con nuestros expertos o comuníquese al 937 004455 de 09:00 a 19:00, de Lunes a Viernes.

La ciberseguridad como elemento del Compliance Penal

enero 25, 2016

En un entorno empresarial donde cada vez se depende más de los ordenadores y del intercambio de información a través de las redes, uno de los aspectos que debe integrar un sistema efectivo de Compliance Penal es un buen esquema de seguridad informática.

 

No son pocos los escándalos que se han presentado recientemente en las empresas por brechas en la seguridad informática, que derivan en responsabilidades para las personas jurídicas no sólo a nivel penal sino también civil o administrativo. Recientemente hemos visto cómo las fallas de seguridad informática deriva en casos como el de Ashley Madison, la cadena de tiendas por departamento Target, o la propia nube de Apple.

 

Y es que la vulnerabilidad se presenta desde distintos actores. Por un lado las empresas deben cuidarse de ser víctimas de ataques externos de personas que buscan acceder a sus datos para obtener un provecho o como parte de un ejercicio de hacking para poner a prueba la seguridad informática (hacking “ético” o malicioso, según el caso). Por el otro debe evitar que su propio personal incurra en infracciones por acción u omisión que pongan en peligro los sistemas.

Ciberseguridad y la protección de datos

 

Uno de los primeros elementos que debe resguardar la empresa son los datos propios y de terceros que maneja, particularmente los datos personales e información sensible que puede generarle responsabilidad conforme lo dispuesto en la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.

 

Los ficheros de la empresa deben contar con medidas de seguridad ajustadas, y acordes al tipo de información almacenada. En este sentido, para el caso de datos especialmente sensibles, deberán implementarse mecanismos de encriptación, uso de servidores propios, restricción y control de acceso acordes con el nivel de riesgo.

 

Para ello la empresa deberá contar con la asesoría de especialistas en materia de seguridad informática, que determinen cuáles medidas son recomendables y qué herramientas de control se deben implementar. Esto debe necesariamente formar parte del programa de Compliance de la empresa, puesto que se trata de un recurso necesario para establecer una barrera en la prevención de delitos relacionados con datos personales y revelación de información.

 

Delitos de propiedad intelectual e industrial

 

Otro bloque de delitos que representan alto riesgo en tema de seguridad informática son aquellos relativos a la propiedad intelectual e industrial.

 

Por un lado, la empresa debe prevenir que personas no autorizadas tengan acceso a la información almacenada sobre productos o desarrollos propios o de terceros que reposen en sus sistemas, aplicando las medidas mencionadas en el punto anterior.

 

Por el otro, existe el riesgo de que el personal o colaboradores hagan uso de programas o aplicaciones ilegales en sistemas de la empresa, consciente o inconscientemente. Si la empresa obtiene un beneficio de este tipo de actividades (por ejemplo, la utilización de un software descargado ilegalmente para la gestión de las ventas), puede generarse responsabilidad penal para la persona jurídica.

 

Más allá de las sanciones penales, la responsabilidad civil y administrativa en casos de piratería pueden implicar cuantiosas multas, según la Ley 21/2014, de 4 de noviembre, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por Real Decreto Legislativo 1/1996, de 12 de abril.

 

Un programa de Compliance Penal que evalúe las condiciones de la seguridad informática de la empresa, le permitirá tomar las medidas necesarias para prevenir este tipo de riesgos, que cada vez es más tangible.

 

Daños informáticos

 

Otro riesgo que debe mitigarse dentro de las empresas es la utilización de los recursos informáticos propios para actividades delictivas o con el fin de ocasionar daños a terceros.

 

Este riesgo si bien puede ser más evidente en el caso de empresas asociadas al sector tecnológico, también puede perjudicar a empresas más pequeñas. En este sentido, nada impide que desde los ordenadores de una PyME del sector servicios se ejecuten acciones dirigidas a afectar el servidor de su competidor. Y este tipo de conductas puede ocurrir con o sin conocimiento de la alta dirección de la empresa, si no se implementan los controles y el monitoreo adecuado a los sistemas informáticos propios.

 

Estos tres elementos destacan entre los más relevantes en materia de seguridad informática, pero no son los únicos. Hoy en día la tendencia es al incremento de medios informáticos para la comisión de delitos. Quienes los ejecutan corren un menor riesgo y obtienen un mayor beneficio. Por otra parte existe una mayor dependencia a las redes en el manejo de información y ejecución de transacciones.

 

Por lo tanto, en la medida en que las empresas implementen controles internos de seguridad informática, estarán contribuyendo a la mitigación de los mismos y a la eficacia de su programa de Compliance.

Podéis consultarnos sobre temas de seguridad informática y Compliance Penal a través de nuestra dirección de correo info@garberipenal.com o visitar nuestra sección de Delitos Informáticos.

 

Alex Garberí & José Alejandro Cuevas, División de Compliance Penal de «Garberí Penal»

 

 

 

 

Delitos Informáticos: Marco Legal español.

enero 18, 2016

 

Delitos informáticos: definición.

Delito informático es toda aquella acción antijurídica y culpable, que se da por vías informáticas o que tiene como objetivo destruir y dañar ordenadores, medios electrónicos y redes de internet. Actividad delictiva que va dirigida contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos.

También te puede interesar:

Ciberdelitos: Cómo el phishing es utilizado para realizar estafas

septiembre 15, 2015

  Alex Garberí Mascaró

  José Alejandro Cuevas Sarmiento

 

  1. ¿Qué es el phishing?

El phishing es uno de los métodos de estafa más comunes hoy en día, que busca engañar al usuario, generalmente haciéndole suministrar sus datos a través de una página o un correo electrónico falso. Los datos posteriormente son utilizados por el estafador para distintos fines, tales como:

 

  1. La venta de la información captada (el caso de nombre de usuarios, correos y redes sociales) a empresas o terceras personas que deseen una base de datos;
  2. La sustracción ilegal de fondos (cuando se obtienen contraseñas, datos de tarjeta de crédito o bancarios); o
  3. El “secuestro” de las cuentas para pedir rescate a los usuarios.

 

Aunque ya hemos tratado de forma general las estafas electrónicas en otro artículo, en esta ocasión nos enfocaremos en el phishing tradicional, orientado a la sustracción ilegal de fondos.

 

  1. Cómo funciona el phishing tradicional para facilitar delitos de estafa

 

El delincuente crea una fachada que simula páginas que visita habitualmente la víctima: Bancos, Redes Sociales, instituciones públicas; y le alerta de una situación que amerita una acción inmediata. Un caso frecuente es a través de correos electrónicos que solicitan la actualización inminente de datos.

 

Estos correos son en realidad señuelos que utiliza el delincuente, que contienen enlaces visualmente parecidos a los del proveedor que están simulando, para confundir al usuario. Si éste hace click al enlace y coloca los datos, estará enviando su información al delincuente.

 

Es común que los Bancos sean los principales señuelos para esta modalidad de phishing. La imagen de BBVA, Santander, ING Bank, y muchas otras entidades se utilizan frecuentemente para captar los datos de los clientes, a pesar de los esfuerzos de estas empresas por advertir a sus usuarios.

 

Una vez el delincuente se hace con los datos de un usuario, puede acceder a su cuenta en línea del Banco y realizar transacciones y pagos de servicios no autorizados. Es común que estas transacciones no sean directamente a la cuenta del infractor, sino que se utilicen “mulas” (terceros ajenos a la operación de phishing y que en muchas ocasiones desconocen el origen de los fondos) que reciben el dinero en sus cuentas, retiran el efectivo y lo depositan a cuentas en el extranjero, de manera que se dificulte el rastreo de los fondos.

 

  1. Qué delitos se concretan en esta modalidad de phishing

 

Cuando se sustraen los datos de cuenta de la víctima para realizar operaciones que lo perjudiquen patrimonialmente, se concreta un delito de estafa previsto en el artículo 248.2c del Código Penal Español:

 

”c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero.”

 

Al ser esta una forma de estafa, deben concurrir los tres elementos esenciales para que se concrete dicho delito: Engaño, error y desplazamiento patrimonial.

 

  • Se concreta el engaño en el momento en que se envía un correo en el cual se simula la imagen, logotipo y apariencia de un Banco, para que la víctima ingrese sus datos y contraseña.
  • Concurre el error cuando producto del engaño, la víctima facilita sus datos al autor, datos que de otra manera no le hubiese suministrado.
  • El desplazamiento patrimonial ocurre cuando el autor del delito, habiéndose apoderado de los datos, utiliza los mismos para realizar transferencias o retiro de los fondos de la víctima.

 

  1. Cómo prevenir la estafa

 

La medida más efectiva para prevenir la sustracción de los fondos es evitar caer en el phishing. Para ello, recomendamos tener en cuenta lo siguiente:

  1. Activar la bandeja de “spam” de su correo electrónico. Usualmente los correos de este tipo son filtrados por los servidores de correo y marcados como correo no deseado, y esto contribuye a reducir el riesgo de abrir el correo y confundirlo con uno legítimo.
  2. Familiarizarse con la estructura habitual de los correos que le envía su banco o proveedor de servicios. Por más que los delincuentes traten de simular los correos y comunicaciones de una institución, siempre existirán detalles que pueden delatarlos, tales como mala ortografía, colocación de imágenes en baja resolución o uso de un lenguaje no habitual en las comunicaciones corporativas.
  3. Cuando reciba una notificación de algún servicio que requiera su atención urgente, no copie los vínculos que se encuentran en el correo. Siempre coloque la dirección a la que ha accedido antes, en lugar de abrir o copiar el vínculo que aparece en el correo.
  4. Mantenga actualizado su antivirus y no lo desactive. Si utiliza algún enlace en la página del delincuente, puede que descargue inadvertidamente algún archivo o malware que monitoree su actividad y le suministre continuamente información al infractor.
  5. En caso de dudas, consultar en los buscadores. Hay estafas que se dan a conocer a través de foros por los mismos afectados o por gente que los detecta y busca prevenir a los demás.

 

Si deseas más información sobre delitos contra la privacidad e intimidad o cómo prevenirlos, puedes consultar nuestra sección de Delitos Informáticos o contactarnos a través de info@garberipenal.com.

 

[double_line_divider]

Compliance personalizado y a medida.

La dedicación y transparencia distinguen nuestros servicios de asesoría, en consonancia con nuestra capacidad para entender las necesidades de la pequeña, mediana industria y comercios.

[button align_button=’center’ a_fffect=’fadeInLeft’ link=’http://www.garberipenal.com/contacto/’ background=’#967433′ border=’#ffffff’ color=’#ffffff’ hover_bg_color=’#ffffff’ hover_border=’#967433′ hover_text_icon_color=’#967433′ icon=’info-sign’]Contáctenos[/button]