Con el fin de impulsar la seguridad y la confianza en la fiabilidad de las evidencias y pruebas electrónicas, un grupo de profesionales de la seguridad TI, el Derecho y la protección de datos han constituido AEDEL. En palabras de su presidenta Paloma Llaneza, “AEDEL nace con el objetivo de ser referente técnico y jurídico en aquello que las evidencias y pruebas electrónicas afecten a los ciudadanos, queriendo hacer posible con su actividad que la sociedad española – ciudadanos, padres, jóvenes, entidades públicas y privadas, sin distinción de tamaño o sector- puedan disfrutar de un marco de seguridad y confianza en los entornos digitales y en Internet.”Aspectos básicos como la igualdad de género ante el acceso a la sociedad de la información, o cuestiones prácticas de las pruebas electrónicas en teléfonos móviles y correo electrónico, son ejemplos de las lagunas que AEDEL pretende cubrir con información, formación y apoyo a la normalización y legislación

Paloma Llaneza es Abogado en ejercicio, colegiada en Madrid (41.821) y socio de LLaneza y Asociados, Abogados. Desde Marzo de 1996 es Letrado colaborador de la Secretaría Técnica del Ilustre Colegio de Abogados de Madrid. Además Es Árbitro de la Corte de arbitraje del Ilustre Colegio de Abogados de Madrid y Miembro Honorario del Ilustre Colegio de Abogados de Caracas. Obtuvo el Diploma del Colegio de Europa en Brujas, en la rama de derecho comunitario (Diplome d’Hautes Etudes Européens), así como el Master en programación de ordenadores por la Universidad pontificia de Salamanca de Madrid.

Fue Secretaria de la Junta Directiva de la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y Comunicaciones (ASIA). Así mismo, fue Secretaria del ISACA-MADRID CHAPTER (Information System Audit and Control Association).Trabajó, además, en las Naciones Unidas como jurista en el Departamento de Derecho del Mar y participó en las actividades de la Comisión Preparatoria (PREPCOM) de la Convención de Jamaica de Derecho del Mar.Fue abogado en la oficina de Bruselas del despacho inglés Stephenson Harwood.

Es Coordinadora del GT 1 del Subcomité 27 de AENOR (Comité espejo del internacional de ISO JTC 1/SC 27/WG 1 de gestión de la seguridad TI), donde se estudian y aprueban las normas NE en esta materia. Es también Coordinadora del WG6 del SC37, sobre legislación en materia de biometría. Incorporada desde su consitución al WG25 sobre ITIL.Es desde 2004 co-editora de la norma internacional ISO de Métricas de Seguridad de Gestión de Sistemas de la Información (ISO/IEC 27004).Ha sido Directora de varios cursos sobre TIC y telecomunicaciones y profesora de esta materia en varios cursos de postgrado, ICADE (Telecomunicaciones, Banca y Seguros), UOC, Universidad Nebrija, Universidad de Castilla-La Mancha, Universidad de Granada, Instituto de Auditores Internos y ESIC.

¿Podría decirnos cuál va a ser el papel de AEDEL como dinamizador de la prueba electrónica?

Creo que más que establecer por anticipado cuál es el papel que AEDEL va a tener, sólo podemos hablar del que tiene por el momento y del que le gustaría tener en el futuro.

Por lo pronto, estamos realizando una enorme labor en el mundo de la normalización. Los miembros de AEDEL y yo misma como coordinadora del Grupo Ad-Hoc, estamos trabajando en AENOR en una metodología de trabajo que las organizaciones y administraciones deberían de considerar para generar y conservar de manera segura evidencias electrónicas: un sistema de gestión segura de evidencias. Hay muchas entidades que se centran en el clonado seguro o en los informes periciales. Nosotros, por el perfil transdisciplinar, queremos trabajar toda la cadena, desde la autenticidad e integridad de la información, en el banco con el que trabajamos por ejemplo, hasta la aportación en un juicio de un SMS amenazante.

En este aspecto también estamos trabajando en homogeneizar la metodología de análisis forense y los formatos de presentación en juicio.

Esperamos en el futuro poder formar profesionales en la materia, con conocimientos transversales, así como participar en proyectos de RSC y de concienciación.

En breve esperamos lanzar nuestro observatorio a empresas e instituciones y poder empezar los contactos con los actores principales, orientados a completar en el mundo legislativo lo nos falta desde el lado técnico.

Desde la perspectiva que supone la relación que mantiene AEDEL con otras entidades, ¿podría decirnos qué países son pioneros en estos temas?

En los países anglosajones, bastante avanzado. No sólo tienen regulada la cadena de custodia, sino que hay mucha documentación y normativa relativa a la metodología de análisis forense. Los países de derecho común nos queda trabajo por hacer

¿Cuál es el principal inconveniente para que la prueba electrónica se acepte en los juzgados? ¿Qué habría que cambiar de la regulación actual?

Desde AEDEL creemos que el principal escollo actual es la disparidad de criterios tanto tecnológicos como jurídicos. Todos los componentes de este grandísimo puzzle estas disponibles desde hace tiempo, solo hay que ordenarlos hacia la dirección correcta.

Además de los cambios regulatorios es necesario un cambio de actitud frente a las nuevas tecnologías de algunos sectores, que aun tienen muchas reticencias. Hay es donde habrá que profundizar mas.

¿A su juicio en qué ámbito del derecho, laboral, civil o mercantil es más complicado incluir la prueba electrónica como elemento clave en estos litigios?

Creo que hay un elemento fundamental en el sistema probatorio español que hay que considerar en la prueba electrónica: el sistema de presunciones y la carga de la prueba. Es mi opinión que cuando se trata de un despido, por ejemplo, la prueba electrónica ha de ser más robusta, hay que demostrar independencia, ya que la normativa es tuitiva y protege al trabajador. Cualquier empleador puede generar una información, ponerla en un sistema, extraerla de manera segura y ser completamente falsa, por mucho que se haya respetado la cadena de custodia desde su extracción.

En el caso del proceso civil, sin embargo, un correo electrónico en papel puede ser una prueba perfecta si la contraparte no la impugna.

Cada jurisdicción tiene sus necesidades y cada juez su manera de valorar la prueba que se le presenta.

¿Por qué cree que no hay una unanimidad en los magistrados a la hora de tomar en serio la prueba electrónica como válida en determinados procesos?

Sinceramente, por la sencillez de manipulación. En la judicatura aún cuesta entender y aplicar cuestiones tecnológicas. Reconozcamos que muchas veces no son sencillas y que las periciales a veces más que ayudar estorban.

Hay un problema de confianza y de sistema de carga de la prueba y de presunciones, reitero. Un log no seguro fácilmente manipulable no pareced la mejor prueba para condenar a penas de privación de libertad.

En este sentido ¿cómo debe actuar la empresa a la hora de obtener pruebas digitales salvaguardando los derechos fundamentales de sus trabajadores? ¿Dónde está el límite entre fraude y respeto a estos derechos?

En el entorno laboral, en el que el trabajador recibe instrucciones de la empresa y elementos de trabajo que han de ser usados para su actividad laboral, la intimidad se mitiga pero no se pierde. Las organizaciones han de tener un muy especial cuidado en el modo en el que se procede a la extracción u obtención de evidencias que impacten en el derecho a la intimidad o en el secreto de las comunicaciones. Es el caso de la apertura del correo electrónico o la intervención de conversaciones telefónicas.

¿Cómo valora en este contexto el esfuerzo de la Admon por impulsar la llamada Sociedad de la Información? ¿Qué opinión tiene sobre la LISI?

Creo que no hay que confundir los esfuerzos en políticas de sociedad de la información como la extensión del DNI electrónico y la factura electrónica, o la mejora de los servicios on-line, con cuestiones como la prueba electrónica, que se ve alcanzada un poco de soslayo.

Estas políticas van orientadas a un uso responsable con mecanismos de autenticación razonables, que es un estupendo comienzo, pero no acaban de resolver los problemas estructurales de la Administración de Justicia, que son un capítulo independiente, o de la comprensión de la complejidad tecnológica por los jueces.

En este contexto de fomento de las pruebas electrónicas, ¿cómo se combina con la legislación de Protección de Datos? ¿Porqué es una legislación tan restrictiva a este respecto?

Soy de las que pienso que la implantación de medidas legales, técnicas y organizativas en cumplimiento con la LOPD no sólo no molestan sino que son el elemento impulsor de una adecuada gestión de la información dentro de las empresas. Quien no considere que la información de su empresa (clientes, proveedores, trabajadores, procesos de negocio, know how, etc..) es un activo valioso y que ha de protegerlo, entonces no comprenderá tampoco el valor de securizar la información con fines evidenciales. Todos los controles que establece el Reglamento LOPD son buenos y se encuentran alineados con una política responsable de gestión de evidencias.

Como ve, no estoy en contra de la LOPD y me parece que es una muy buena escuela para las empresas españolas. Sólo un apunte más: en nuestro país la protección de datos no es un derecho nacido de una directiva, es un derecho fundamental con rango constitucional que hay que proteger de manera reforzada.

Por último ¿Cómo puede fomentarse las buenas prácticas relacionadas con la prueba electrónica?

Con normativa, formación, concienciación, cambios legislativos y, por supuesto, empezando por implantar buenas prácticas en otras áreas como es el cumplimiento normativo LOPD o la implantación de Sistemas de Gestión modelo 27001.

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.