Ya tenemos con nosotros otro de esos términos que va a dar mucho que hablar y es que definir las cosas de forma concisa y concreta debe costar demasiado trabajo, o tal vez es que quien escribe determinadas leyes considera que no debe “mojarse” en exceso.
El hecho cierto es que el Nuevo Código Penal introduce la responsabilidad directa de la persona jurídica en el caso, entre otros, de delitos cometidos por personal sometido a la autoridad de personas que ostenten la representación legal de la persona jurídica y administradores de hecho o de derecho, propiciados por no haber ejercido el debido control.
¡¡Toma ya!! Ahí queda eso. Y ahora, con algo tan delicado como el código penal que comporta penas para las personas jurídicas como la disolución de la persona jurídica, la suspensión temporal de actividades, la clausura temporal de locales y establecimientos, la inhabilitación de obtención de subvenciones o la inhabilitación para contratar con el sector público y penas de cárcel para personas físicas, nos quedamos con un concepto tan vago como “el debido control”. Pero, ¿qué es el debido control? ¿será tan difícil concretar un poco más y poner algo como sistemas de gestión de la seguridad de reconocido prestigio?
En este caso tendríamos la discusión sobre ¿qué es reconocido prestigio? Bueno la solución creo que es tan fácil o tan difícil como especificar el tipo de Sistema de Gestión al que se refiere: un Sistema de Gestión de la Seguridad basado en referenciales como ISO 27001, SAS 70 o similar, que estén reconocidos internacionalmente y certificados por una entidad acreditada para hacerlo.
Desde luego entiendo que lo cómodo para el legislador es utilizar el término “debido control” y dejar luego que el juez de turno tenga que devanarse los sesos en pensar que querrá decir o que habrá querido decir con “debido control”. En mi opinión no hay derecho a que equipos creados por el legislador, que tienen la oportunidad de preguntar y asesorarse en estas materias, dejen cabos sueltos de este calibre.
En la LOPD pasa algo parecido pero con algún matiz; en el artículo 9 de la LOPD se dice textualmente:
1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.
Esta frase en la que se utiliza la formula de “…habida cuenta del estado actual de la tecnología…” viene a ser algo parecido al “debido control” utilizado en el código penal. El legislador deja en manos del interesado que él defina las medidas de control que debe implantar para proteger en este caso los datos de carácter personal. Ahora bien, también hay que decir que se desarrolla el Reglamento en el que sí se entra en detalle de las medidas de control que el legislador considera oportunas, aunque vuelve a dejarlo todo un poco en el aire cuando, en el artículo 81 del reglamento “Aplicación de los niveles de seguridad”, en su punto 7, se refiere a la condición de “mínimos exigibles” cuando habla de los controles de seguridad.
Me consta que entre nuestros lectores hay un buen grupo de abogados a los que pido desde estas líneas que opinen o puntualicen las cosas que aquí decimos para que entre todos seamos capaces de aplicar las leyes con mayor rigor.
En definitiva, desde el punto de vista tecnológico exclusivamente, en nuestra opinión, el “debido control” al que hace referencia el legislador en el nuevo código penal se consigue implantando en las organizaciones Sistemas de Gestión de la Seguridad certificables, aunque no tengan que estar explícitamente certificados, basados en estándares como la ISO 27001 que se apoyan en códigos de buenas prácticas como la ISO 27002 y con una plataforma de monitorización y gestión de la seguridad que permita a los CIOs, CISOs o responsables de informática en general, supervisar el uso que los empleados de una organización hacen de sus recursos tecnológicos, observando, eso sí, el cumplimiento de sus deberes de información a los mismos del control ejercido en la red a través de las políticas y normativas de seguridad adecuadas.
En fin, un tema que, en mi opinión, dará mucho que hablar….