Los troyanos de Gallardón



Ha saltado en estos días a todos los medios de comunicación la noticia de los troyanos de la policía, los troyanos de Gallardón o troyanos buenos.

En definitiva, lo que se ha planteado es la introducción en el borrador del nuevo Código Procesal Penal español  de medidas que permitan la instalación de software en ordenadores –por parte de la policía y previa autorización judicial- de sujetos sospechosos de ciertos delitos, para poder hacer un seguimiento remoto de su actividad.

Desde luego, la utilización de troyanos (ya sea por policías buenos, malos, de verdad, de mentira, por delincuentes, por detectives privados, etc…) no es nueva y ha habido unos cuantos  “escándalos” por su utilización.

La cuestión es que hoy día, con la LOPD y normativa de desarrollo en la mano, yo concluyo básicamente dos cosas:

1ª. Si tu ordenador tiene un troyano, estás incumpliendo la LOPD y su Reglamento de desarrollo (RD 1720/2007, de 21 de diciembre).

2ª. Si has permitido que coloquen un troyano en tu ordenador, la verdad: eres un poquito tonto.

No olvidemos que nuestra famosa LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) es eso: una Ley Orgánica. Además, es una Ley que desarrolla un Derecho Constitucional, como así lo ha declarado el Tribunal Constitucional en su Sentencia nº 292/2000, de 30 de noviembre, que ubica este Derecho dentro del artículo 18 de la Constitución Española. Con todo esto quiero decir que no estamos hablando de una ordenanza municipal sobre caquitas de perro, ni de cualquier normativa administrativa secundaria, sino de las normas más básicas y esenciales de nuestro ordenamiento jurídico, de derechos que gozan de la más suprema protección.

Por ello, difícilmente puede casar el troyano del amigo Gallardón (ni ningún otro) con todo eso.

Veamos qué nos dice exactamente la LOPD:

Artículo 9 Seguridad de los datos 

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

Si nos dirigimos al Reglamento de desarrollo de la LOPD, encontramos las siguientes normas (y me centro sólo en las medidas de seguridad de nivel básico, porque son aplicables a TODOS los sujetos que estén bajo el ámbito de aplicación de la Ley):

Artículo 91 Control de acceso 

1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones. 

2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. 

3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. 

4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero. 

5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

Artículo 93 Identificación y autenticación 

1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios. 

2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. 

3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. 

4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.

Es decir, que como responsable de los datos que almacenas en tus equipos informáticos, tienes la obligación legal de adoptar todas las medidas técnicas y organizativas de seguridad necesarias para garantizar la seguridad de la información, evitando con ello su pérdida, alteración, accesos no autorizados, etc… Las medidas que cito en los artículos de arriba, son las medidas mínimas que tienes que aplicar siempre y en todo caso.

El de la Seguridad es uno de los principios básicos y esenciales de la normativa de protección de datos. De ahí que haya dicho anteriormente que, además de ser un poco tonto si permites que te metan un troyano,  también estarías incumpliendo la Ley Orgánica y su Reglamento.

Pues ya me dirás qué tipo de medidas de seguridad tienes  implantadas en tu negocio que permiten que los troyanos se paseen felizmente por tus datos de carácter personal…

Y si tuvieras un troyano o la menor sospecha de que pudieras tenerlo, más te vale que, con carácter inmediato, te asegures de que no lo tienes o procedas a su eliminación.

De estos asuntos (y de muchos otros) sabe un montón mi amigo Antonio el de la salsa. A pesar del “apellido” que le pongo, es informático y experto en seguridad de la información y casi abogado. Puedes leer su peculiar parecer sobre estas cuestiones en su blog, aquí:

La verdad, sobran comentarios: mejor léelo.

Deja un comentario