Blog de Pedro De La Torre

Blog profesional de Pedro De La Torre

Blog de Pedro De La Torre Rodríguez con información sobre peritaje informático, tasaciones y valoraciones en el ámbito de la informática, protección de datos personales (LOPD), seguridad informática, y proyectos tecnológicos.

Blog profesional de Pedro De La Torre

Presto servicios profesionales en Almería, Granada, Málaga, Sevilla, Madrid, Murcia, Córdoba, Alicante y Jaén.


Calidad de los datos – LOPD en los despachos de abogados

Cuarta entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados en la que les comentaré lo relativo a la calidad de los datos relativos a información de carácter personal

Calidad de los datos lopd

Calidad de los datos

Mucho se ha escrito sobre la protección de los datos de carácter personal y su gestión, pero no sobre el concepto, un tanto difuso, de “calidad” de los datos. ¿Qué es la calidad de los datos?

La Ley Orgánica 15/1999 contiene entre sus principios generales, el principio de calidad de los datos, que exige que los mismos sean adecuados a la finalidad que motiva su recogida. La recogida y tratamiento de datos de carácter personal debe efectuarse también desde su subordinación a la proporcionalidad en su tratamiento, tal y como establece la normativa vigente.

Es decir, se trata de recabar los datos de carácter personal estrictamente necesarios para la prestación del servicio, al único objeto de asegurar adecuadamente dicha prestación. La proporcionalidad tanto en la recogida de los datos como en su tratamiento posterior serán fundamentales para gestionar correctamente la información.

Principios relativos a la calidad de los datos

Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos, siempre que la información se encuentre disociada.

Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de los derechos de rectificación y cancelación.

Cuando los datos hubieran sido comunicados previamente, el responsable del fichero o tratamiento deberá notificar al cesionario, en el plazo de diez días, la rectificación o cancelación efectuada, siempre que el cesionario sea conocido. En el plazo de diez días desde la recepción de la notificación, el cesionario que mantuviera el tratamiento de los datos, deberá proceder a la rectificación y cancelación notificada.

Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

También podrán conservarse los datos durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de la una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado. Una vez cumplido este período los datos sólo podrán ser conservados previa disociación de los mismos.

Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.

La recogida de datos por medios fraudulentos, desleales o ilícitos está totalmente prohibida.

El tratamiento de datos es costoso

Aunque suene a perogrullada, conviene tener en cuenta que el tratamiento de los datos es costoso. Cuanto mayor sea el volumen de datos tratados, mayores serán los costes asociados a su conservación, protección y destrucción.

Por ello, además de por los principios marcados por la legislación en materia de protección de datos personales, conviene que aplique a su despacho el principio de recabar únicamente la información justa, lo que reducirá el volumen de documentos que tendrá que gestionar.

También conviene que tenga en cuenta que es mucho más costosa la conservación, protección y destrucción de información en papel que en formato digital. A buen seguro buena parte de las instalaciones de su despacho estarán ocupadas por archivadores conteniendo montañas de papeles. Digitalice.

Ventajas de digitalizar la información del despacho

Existen multitud de ventajas a la hora de digitalizar la información del despacho, funcionando sin papeles. Les voy a citar brevemente algunos:

  • Abaratamiento del coste de almacenamiento y protección de la información.
  • Mayor control sobre el acceso a la información.
  • Fácil bloqueo y/o eliminación de los datos.
  • Agilidad en la búsqueda y obtención de la información frente al archivo tradicional.
  • Capacidad de realizar copias de seguridad frente a desastres o sabotajes.
  • Facilidad para disociar información a efectos estadísticos.

Olvídese de trituradoras de papel, destinar buena parte de la superficie de su despacho a archivadores, y a tediosas búsquedas de casos antiguos. Por no mencionar el riesgo de incendio o el deterioro de la documentación durante su almacenaje.

En conclusión

En resumidas cuentas querido lector, recabe únicamente la información necesaria para una correcta prestación de servicios y use dicha información únicamente en el marco de dicha prestación.

Digitalice en lo posible la información para abaratar los costes de almacenaje, protección, gestión y destrucción de dicha información.

Una correcta política de calidad de los datos facilitará que de cumplimiento al deber de secreto respecto a los datos de carácter personal que gestione y es un pilar fundamental a la hora de implementar medidas de responsabilidad activa, ambos conceptos ya examinados en esta serie de artículos.

No se preocupe si no termina de comprender del todo las ventajas que le señalo, ya que lo trataré en profundidad en próximos artículos.

Y eso es todo, les espero en la próxima entrega: “Comunicaciones de datos personales y accesos de terceros”

¿Qué te ha parecido la información?
Comparte esto:

Apelación y dictámenes periciales informáticos

Hoy les voy a ilustrar sobre la apelación de dictámenes periciales informáticos presentados en primera instancia y lo vital que resulta contar con un perito informática desde el primer momento.

Apelación de dictámenes periciales informáticos

Apelación y dictámenes periciales informáticos

Como cualquier otra prueba aportada en un proceso judicial, un peritaje informático puede ser objeto de un proceso de apelación o recurso posterior. Adicionalmente también se puede aportar un dictamen pericial informático en fase de apelación. Sin embargo, todo esto sólo es viable en unos casos muy concretos, recomendándoles que siempre que haya evidencias digitales de por medio (correos, whatsapp, fotos, videos, etc…) aporten el peritaje o contraperitaje informático en primera instancia.

Marco normativo para la apelación de dictámenes periciales informáticos

El artículo 460 de la Ley de Enjuiciamiento Civil admite la posibilidad de aportar documentos en segunda instancia así como de una práctica de prueba en apelación. La jurisprudencia, no obstante, es ciertamente restrictiva a la hora de admitir, en segunda instancia, la práctica de una prueba que no se ha practicado en la primera. Por ello es muy difícil que se admita un dictamen pericial informático en apelación.

Establece el citado artículo 460, en su apartado 1º, que al escrito de interposición del recurso de apelación, el apelante podrá acompañar los documentos que se encuentren en alguno de los casos del artº 270 y que no hayan podido aportarse en la primera instancia. Así pues, podrá aportar aquéllos documentos que sean de fecha posterior a la demanda y contestación o aquellos que no hubiera podido conocer antes. Asimismo, establece, además, el citado artículo, en su apartado 2º, que en el escrito de interposición se podrá pedir, además, la práctica de prueba en segunda instancia.

Se debe precisar, que es en la primera fase del proceso donde el legislador sitúa la actividad probatoria, de forma que el recibimiento a prueba en la fase de apelación presenta un carácter excepcional y muy limitado.

Principios para la apelación de un peritaje informático.

Documentos posteriores a la sentencia en primera instancia.

Aun presentándose un dictamen pericial informático con posterioridad a la sentencia en primera instancia, la posterioridad de la documentación no puede serlo por la manifiesta inactividad de la parte que lo pretende aportar. Es decir, que si el peritaje informático pudo aportarse en primera instancia, relativo a supuestos hechos anteriores a la vista, y conocidos durante el proceso, no se admitiría en apelación, por indolencia de la parte.

Pertinencia del peritaje informático

Un segundo requisito, además de la fecha y del conocimiento posterior al momento de la resolución en primera instancia es que dicha prueba sea pertinente y ajustada a la necesidad probatoria de los hechos controvertidos. Y ello por cuanto el Tribunal Supremo tiene declarado que para instaurar indefensión es necesario demostrar que la práctica de la prueba omitida hubiera tenido trascendencia decisiva en el fallo (Sentencias de 22 de febrero de 1995, 19 de julio de 1996, 29 de febrero y 2 de diciembre de 2000 y el TC de 19 de noviembre de 1993).

En ningún caso podrá considerarse indefensión cuando la inadmisión de un peritaje informático se haya producido debidamente en aplicación estricta de normas legales, cuya legitimidad constitucional no pueda ponerse en duda. Por el contrario, cabrá entenderlo vulnerado cuando se hubiesen inadmitido pruebas relevantes para la decisión final sin motivación alguna, o mediante una interpretación y aplicación de la legalidad carente de razón, manifiestamente errónea o arbitraria.

Argumentación de las conclusiones del peritaje informático

Cobra especial importancia la forma en la que se argumentan las conclusiones expuestas en un peritaje informático. Pueden ser objeto de apelación los dictámenes periciales informáticos en los que se aprecie un error de derecho en la valoración de la prueba basado en una apreciación absurda, ilógica o irracional de la misma.

Dictámenes periciales denegados en primera instancia

El artículo 460.2 de la Ley de Enjuiciamiento Civil prevé que las pruebas documentales denegadas en primera instancia, siempre que se hubiere intentado la reposición de la resolución denegatoria o se hubiere formulado la oportuna propuesta, podrán solicitarse en segunda instancia.

Ello puede llevarse a cabo únicamente tras resolución negativa a tomar en consideración las pruebas aportadas sin la debida justificación, considerándose que dichos elementos probatorios puedan afectar de forma manifiesta a la resolución judicial adoptada.

En las pruebas denegadas en primera instancia, la reposición o la protesta es un requisito esencial, sin el cual no podrá solicitarse en segunda instancia.

Para no urtar la posibilidad de recurrir en segunda instancia un peritaje informática lo normal es que el tribunal de apelación retrotraiga las actuaciones a la primera instancia, se tome en consideración el dictamen y se emita nueva sentencia en primera instancia.

En conclusión

Como ya se ha visto, resulta de enorme relevancia la fundamentación de las conclusiones de un peritaje informático, ya que sólo podrá ser recurrido en apelación demostrando que dicha fundamentación es ilógica e irracional. Es decir, que tras valorar las evidencias digitales se lleguen a conclusiones de difícil explicación. En ningún caso se podrá recurrir un dictamen pericial informático en segunda instancia basándose en el procedimiento técnico realizado o en la captura y preservación de las evidencias digitales.

Así mismo, conviene tener en cuenta que únicamente podrá aportar un peritaje informático en primera instancia, salvo que el dictamen trate únicamente sobre hechos conocidos con posterioridad al fallo y susceptibles de afectar de forma clara dicho fallo.

Se podrá aportar un dictamen contrapericial informático en segunda instancia únicamente al objeto de demostrar una fundamentación ilógica o arbitraria de las conclusiones del peritaje informático aportado por la parte contraria en primera instancia.

Por todo ello le recomiendo encarecidamente que siempre que se trate de evidencias digitales relativos a hechos fundamentales para el caso cuente con un perito informático colegiado desde el primer momento. No hacerlo puede costarle el caso, arriesgándose a la tacha del perito y no pudiendo recurrir a un perito informático con posterioridad.

¿Qué te ha parecido la información?
Comparte esto:

Deber de secreto – LOPD en despachos de abogados

Tercera entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados en la que les comentaré lo relativo al deber de secreto y a la responsabilidad del despacho al respecto.

Deber de secreto en despachos de abogadosEl deber de secreto y responsabilidad del despacho

Según la normativa en materia de protección de datos personales, el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Es decir, están obligados al secreto y al deber de guardar esos datos, el despacho como persona jurídica, los integrantes del mismo, los terceros a los que se ceden esos datos, y aquellos que prestan servicios al despacho y tienen acceso a datos de carácter personal.

El deber de secreto consiste en la no divulgación de datos de carácter personal, ya sea hacia el exterior del despacho, como internamente a personas que no tengan necesidad de conocer esa información durante la prestación de servicios.

El incumplimiento del deber de secreto constituye una infracción grave según la normativa en materia de protección de datos personales.

Comunicación de datos

Los datos de carácter personal sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar. Esto se aplica directamente al caso de comunicación de datos a los procuradores.

El consentimiento para la comunicación de los datos de carácter personal tiene carácter revocable, por lo que deberán explicarse al interesado los medios para revocar dicho consentimiento.

Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.

De no observar lo anterior, sepa que estaría incumpliendo su deber de secreto.

Acceso a los datos por cuenta de terceros

No se considerará comunicación de datos el acceso de un tercero a la información cuando dicho acceso sea necesario para la prestación de un servicio al bufete.

La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito, o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento está obligado a implementar e indicaciones de cualquier otra índole sobre el tratamiento de los datos.

De no observar lo anterior, estaría incumpliendo su deber de secreto para con sus clientes. Incluso podría incurrir en falta disciplinaria por vulnerar el secreto profesional.

Responsabilidad activa y deber de secreto

Como ya les expliqué en mi anterior artículo, los bufetes deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías establecidas por la normativa en materia de protección de datos.

En lo tocante al deber de secreto, el despacho deberá asegurar:

  • Que todos los integrantes del despacho conocen el deber de guardar secreto respecto a los datos de carácter personal.
  • Que está procedimentado el consentimiento del cliente para comunicar sus datos personales, en los casos necesarios, a procuradores, administración de justicia y cuantos otros puedan verse involucrados en la prestación del servicio.
  • Que están procedimentadas las cláusulas legales exigibles a aquellas empresas o profesionales que prestan servicios al despacho en lo tocante a la protección de datos de carácter personal.
  • Que existen procedimientos de seguridad de la información encaminados a evitar en lo posible una comunicación de datos no autorizada, así como la destrucción o sustracción de datos de carácter personal.

No se preocupe si esto le puede parecer complejo, porque se lo iré desgranando en detalle a lo largo de esta serie de artículos.

Publicación de sentencias

Si merece la pena detallarles en este artículo la particularidad de la publicación de sentencias judiciales a través de medios del despacho, ya que es muy habitual querer demostrar los casos de éxito con el fin de atraer a potenciales nuevos clientes.

Tenga en cuenta que, según lo anterior, si publica una sentencia en la que figuren datos de carácter personal, y no dispone de consentimiento expreso de cada una de ellas, no podrá publicarlas, so pena de incurrir en una comunicación ilegal de datos de carácter personal, penada con fuertes multas. Esto es así porque la publicación de estos datos es susceptible de afectar a la honorabilidad y la privacidad de los afectados, independientemente de lo legítimo de la acción judicial.

Por ello, antes de publicar cualquier sentencia deberá someterla a un proceso de disociación, esto es, la eliminación o sustitución de todos los datos de carácter personal y referencias a una persona física que permitan su identificación. Lo normal es tachar nombres o sustituirlos por las iniciales.

Así mismo, en el caso de sentencias en el que figuran datos de personas jurídicas, podrá publicarlas sin temor alguno, a no ser que esté limitado por cláusulas de confidencialidad pactadas con su cliente. Aunque no sean datos de carácter personal, por deferencia para con su cliente, le recomiendo que solicite previamente su consentimiento.

Recomendaciones

La primera recomendación que le hago, querido lector, es que use el sentido común. Cuente siempre con contratos firmados con todos aquellos terceros con acceso a la información personal de sus clientes. Cuente también con cláusulas contractuales para con los integrantes del despacho que les obliguen al cumplimiento del deber de secreto. En definitiva, implemente medidas que permitan delimitar la responsabilidad en caso de una filtración, robo o destrucción de información de carácter personal.

Como segunda recomendación, preocúpese de momento de los “por qué” y los “para qué”. En próximos artículos les explicaré con más detalle cómo implementar este tipo de medidas, todas ellas muy ligadas al concepto de seguridad de la información.

Les espero en la próxima entrega: “Calidad de los datos en el despacho profesional

¿Qué te ha parecido la información?
Comparte esto:

Condena a proveedor de software por mala praxis

Peritaje informática: Hoy les traslado un caso real en el que he intervenido como perito informático en el que se condena a proveedor de software por mala prestación de servicios.

Condena a proveedor de software por mala praxis

Condena a proveedor de software por mala praxis

En este caso práctico que les traslado, con plena autorización por parte de mi cliente, Aulaventura S.L., vamos a ver algunos principios muy interesantes a la hora de reclamar responsabilidades a los proveedores de software por una mala prestación de servicios.

Es de destacar el peso de la ausencia de un proyecto técnico de ingeniería informática que respalde las actuaciones realizadas por parte del proveedor de software.

Los hechos

El proveedor de software, Eflox Software S.L, reclama a Aulaventura S.L. el pago de 5480€ por la prestación de servicios realizada, consistente en la ampliación de funcionalidad de plataforma software de gestión preexistente, propiedad de Aulaventura S.L. Dicha cantidad responde al pago final de los servicios junto a 2625€ adicionales en concepto de “subsanación de errores en base de datos”. Aulaventura S.L. decide resolver el contrato por incumplimiento de lo establecido en el mismo.

La resolución judicial

La magistrada titular del juzgado de primera instancia nº 11 de Granada, procede a desestimar la demanda del proveedor de software “Eflox Software S.L” y la condena a abono de costas en base a lo siguiente:

“Don Pedro J. De La Torre Rodríguez, Colegio Profesional de Ingenieros Técnicos en Informática de Andalucía nº 20090318-B. Así, en el citado dictamen el perito observa importantes carencias, inherentes a cualquier proyecto de desarrollo de software profesional. El más importante es que no consta proyecto técnico explicándose en el dictamen que un proyecto de ingeniería informática habitualmente se compone de:

  • Memoria: Es el documento que constituye la columna vertebral del proyecto, siendo el apartado descriptivo y explicativo del mismo. En él se expone cual es el objeto del proyecto, a quien se destina o dónde se instalará. Se indican los antecedentes, especificaciones y estudios previos, las hipótesis de las que se parte y la selección de estas, así como las conclusiones y resultados definitivos. También incluye los procesos de transporte, montaje y puesta en marcha así como la identificación y firma del ingeniero proyectista. La Memoria deberá ser claramente comprensible, no sólo por profesionales especialistas sino por terceros y, muy especialmente, por el cliente.
  • Anexos: Incluye todos los documentos que desarrollan, justifican o aclaran apartados específicos de la memoria u otros documentos básicos del proyecto.
  • Planos: Tienen como misión, junto con la memoria, definir de forma unívoca el objeto del proyecto, y son esenciales para su materialización.
  • Pliego de condiciones: Tiene como misión establecer las condiciones técnicas, económicas, administrativas y legales para que el objeto del proyecto pueda materializarse en las condiciones especificadas, evitando posibles interpretaciones diferentes de las deseadas.
  • Estado de mediciones: Tiene como misión definir y determinar las unidades de cada partida o unidad de obra que configuran la totalidad del producto, obra, instalación, servicio o software objeto del proyecto.
  • Presupuesto: Tiene como misión determinar el coste económico de materializar el objeto del proyecto. Se basará en el estado de mediciones y seguirá su misma ordenación.
  • Estudios con entidad propia: Tienen como misión incluir los documentos requeridos por exigencias legales.”

Adicionalmente la jueza argumenta:

“Tampoco consta según el citado perito (y la actora no ha aportado documental alguna tendente a acreditar lo contrario pese a que tenía toda la facilidad probatoria para ello) Seguro de Responsabilidad Civil Profesional que pueda cubrir los daños y perjuicios ocasionados por una mala prestación de servicios. No consta la identidad del ingeniero responsable del proyecto ni si éste pertenece a un colegio profesional con competencia en la materia, todo ello exigible a una empresa experta en la prestación de este tipo de servicios.”

Tras quedar acreditada la falta de profesionalidad según lo anterior, la jueza relata los incumplimientos contractuales demostrados por este perito:

“No consta que la demandada haya recibido el trabajo de auditoría del sistema informático de su propiedad para conocer el estado previo del mismo y el alcance real de los trabajos a acometer, cuya adecuada cuantificación monetaria es poco menos que imposible sin conocer previamente el alcance de los trabajos. Además, tampoco constan ni el documento de garantía de la solución informática que, por contrato, debía emitir el Proveedor, ni el documento escrito en el que el Cliente declara, según el contrato, que el servicio recibido se ha ajustado a sus necesidades y que supone la finalización de los trabajos. Tampoco figuran los documentos de aceptación de los ficheros informáticos correspondientes a las pruebas del sistema de información, ni un listado de los mismos junto a sus firmas Hash que los identifiquen inequívocamente, permitiendo identificar si se han producido alteraciones en los mismos. Le llama la atención al perito la corta duración del proyecto y el relativamente bajo precio del mismo.”

Finalmente la jueza enumera los defectos del programa informático entregado, demostrados por este perito:

“Además de los incumplimientos citados el perito detalla fallos y carencias siguientes:

  1. No existe módulo de Login/Registro, según especificaciones.
  2. No existe la funcionalidad de importar información desde ficheros de datos, según especificaciones.
  3. No funciona la configuración de idioma: Si se selecciona el idioma “Inglés (USA)”, el programa sigue apareciendo en castellano, aún abandonando la aplicación y volviendo a validarse.
  4. Errores de objeto nulo en tiempo de ejecución. A destacar que, al acceder a varias partes del programa sin haber seleccionado un centro, el programa produce una pantalla de error en tiempo de ejecución.
  5. Log out incontrolado: El programa cierra la sesión del usuario sin notificar tras alrededor de un minuto sin realizar ninguna acción. Cuando se intentan después a acceder a ciertas partes del programa, provoca un error de objeto nulo.
  6. Procedimientos almacenados inexistentes: El programa usa procedimientos almacenados en base de datos inexistentes, provocando un error en tiempo de ejecución.
  7. Rotura del menú de navegación: Se produce una rotura del menú de navegación tras realizar una búsqueda de elementos, provocando que el menú se cierre automáticamente y nos impida navegar.
  8. La exportación a PDF de la Agenda de eventos no funciona, cortándose la agenda en las 15:00 horas.
  9. Los números de cuenta bancaria presentes en la aplicación no están en formato IBAN.
  10. La herramienta de cargar informes no funciona en ninguna sección de la aplicación.
  11. Las cajas desplegables permiten añadir nuevos elementos, pero no eliminarlos en caso de no ser ya necesarios. Tampoco se detecta opción de que los elementos personalizados por un usuario sólo estén disponibles para ese usuario, para un conjunto o para la totalidad de los mismos.
  12. La mayoría de las exportaciones de datos a PDF no están correctamente tipadas, apareciendo cortados tanto los títulos de las columnas como datos de longitud predecible, lo que permite inferir que no han sido debidamente formateados los datos para su exportación.
  13. En las búsquedas con filtro, al incluir un determinado filtro, el programa muestra un error de “incorrect sintaxis near…”, provocado por un fallo de programación que impide realizar la citada búsqueda.
  14. La aplicación no permite ver actividades relacionadas con grupos extraescolares. Al pulsar sobre el botón no realiza ninguna acción.
  15. No se encuentra la funcionalidad de grupos extraescolares.”

El fallo judicial

Finalmente la jueza basa la condena al proveedor de software, que paradójicamente era la parte reclamante, según lo siguiente:

“Procede desestimar la demanda ante los incumplimientos probados de la actora y teniendo en cuenta que se han pagado parte de los trabajos realizados de forma defectuosa y tardía lo que excluye que en el caso de autos considere que estaríamos ante un posible enriquecimiento injusto y considerando que el incumplimiento del plazo (fijado como esencial en el contrato) y la ejecución defectuosa en los términos que constan en el dictamen pericial, junto a las omisiones de proyecto y auditoría, determinen que tenga acogida la excepción opuesta por la demandada considerando, con cita de la Sentencia de la Audiencia Provincial de Granada, Sección Tercera, de fecha 11 de octubre de 2016 que la excepción de contrato no cumplido, como recuerda la STS 21 de mayo de 2008, ha de ser interpretada restrictivamente, exigiéndose un verdadero y propio incumplimiento de las obligaciones, frustrando el fin del contrato. Como también precisa la STS 20 de diciembre de 2006 “El incumplimiento que permite oponer a la acción de cumplimiento o de resolución la exceptio non adimpleti contractus (excepción de contrato incumplido), según ha declarado la jurisprudencia con reiteración, debe ser un incumplimiento que tenga la relevancia suficiente para ser tomado en consideración como determinante de la frustración, en términos de razonabilidad, de la finalidad económica del contrato para la parte frente a la que se exige la resolución o a la que se exige el cumplimiento”. En nuestro caso, considero que los incumplimientos relacionados en el fundamento de derecho anterior se deben calificar como graves tanto desde el punto de vista del plazo (dos meses prorrogables por un mes más) a fin de que la demandada pudiera comercializar el producto, como de la propia funcionalidad de la plataforma. Estas consideraciones son aplicables en relación con ambas facturas reclamadas por la actora pues si la misma no ha cumplido sus obligaciones esenciales del contrato nada puede reclamar a la demandada quien, como se ha dicho, ya pagó dos facturas a la demandante.”

Las claves del caso

En este caso de condena al proveedor de software por mala prestación de servicios, han sido claves:

1- Determinación de falta de profesionalidad:

Este extremo se ha sustentado en la ausencia de proyecto técnico, la carencia de seguro de responsabilidad civil profesional y la no identificación del ingeniero responsable de los trabajos. Estas tres características son esenciales para el cumplimiento de la prestación de servicios en condiciones de razonable calidad por parte de cualquier proveedor de software.

2- Incumplimientos contractuales:

Este extremo ha sido sustentado mediante una auditoría del proyecto, consistente en la falta del mismo y de diversa documentación que el proveedor de software se comprometió a entregar contractualmente durante las distintas fases  de la prestación de servicios y que no aportó.

3- Defectos de la plataforma software

Este extremo se sustentó mediante la intervención y certificación de cadena de custodia de todos los ficheros que componían la plataforma software entregada y auditando su funcionalidad como usuario de dicha plataforma. Como verán, en ningún momento se examinó código fuente de ningún tipo, dado que dicho código es irrelevante respecto de la funcionalidad requerida por la parte contratante.

Así mismo, fue imposible certificar si lo hayado por este perito coincidía con lo entregado por el proveedor de software, ya que no existía documento alguno inventariando cada fichero que componía la plataforma software junto a su firma Hash.

Recomendaciones

A los proveedores de software les recomiendo encarecidamente que elaboren el proyecto técnico de la plataforma software, ya sea en proyectos a medida como en proyectos de tipo “software as service”. Con el proyecto técnico es la única forma que tienen de acreditar a priori, en caso de reclamaciones por parte de los clientes, la funcionalidad y características de la plataforma.La carencia de proyecto técnico también les afectará en lo relativo a responsabilidad penal de personas jurídicas en caso de negligencia de un empleado y por políticas de seguridad activa y “compliance”. Es decir, que por su propio bien, redacten proyecto técnico del software.

A los clientes y consumidores les recomiendo que, en caso de fallos o taras en el software o servicio contratado se pongan en contacto con un perito informático colegiado que les pueda dar indicaciones sobre cómo proceder. Así mismo, antes de la firma de un contrato de adquisición o alquiler de una plataforma software cuenten con asesoramiento especializado a fin de limitar riesgos. En muchos casos las plataformas software son fundamentales para el devenir de un negocio, y es fundamental que exijan por adelantado las suficientes garantías.

Sentencia completa

¿Qué te ha parecido la información?
Comparte esto:

Responsabilidad activa – LOPD en despachos de abogados 2

Segunda entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados en la que les introduciré al concepto de la responsabilidad activa y a algunos de los desafíos para implantar las medidas de protección de datos de carácter personal en el bufete.

LOPD en despachos de abogados: Responsabilidad activa

Qué es la responsabilidad activa

El nuevo “REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE” (Reglamento general de protección de datos), introduce como novedad el principio de responsabilidad activa.

Las empresas y profesionales, como parte de esta responsabilidad activa, deberán adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar a posteriori.

Resultan muy importantes los términos “prevención” y “asegurar razonablemente”. Por ello el Reglamento introduce una serie de medidas cuya obligatoriedad y modo de aplicación debe analizarse caso por caso en base a:

  1. El estado de la técnica.
  2. La naturaleza, contexto, ámbito y fines del tratamiento.
  3. El coste de la aplicación de las medidas.
  4. Los riesgos inherentes al tratamiento y la probabilidad de causar perjuicios a los derechos y libertades de las personas físicas.
  5. La cantidad de datos personales recogidos.
  6. La duración en el tiempo del tratamiento de dichos datos y su conservación.
  7. Grado de accesibilidad de los datos.

Desafíos de la responsabilidad activa

Las medidas a las que se aludían anteriormente pueden suponer todo un desafío para los despachos de abogados. Algunas de ellas son:

Protección de datos desde el diseño:

Consiste en la implantación de medidas y procesos que permitan acreditar el cumplimiento de la normativa en materia de protección de datos desde el mismo momento de la concepción de un nuevo producto o servicio.

Esta medida resulta útil para el despacho no sólo por el cumplimiento normativo, sino por permitirnos identificar, corregir o mitigar posibles problemas desde una fase muy temprana, y por lo tanto, con el menor coste posible.

Protección de datos por defecto:

Consiste en garantizar por defecto que únicamente sean objeto de tratamiento los datos personales necesarios para el cumplimiento de las finalidades previstas y que éstos sean únicamente accesibles por el número de personas indispensable para llevar a cabo la acción deseada.

Esta medida resulta muy útil para el ahorro en costes de almacenamiento y gestión de datos, dado que cuanta más información recojamos en el despacho, mayor será su coste de gestión. Así mismo, estas medidas nos ayudarán también a plantear desde fases tempranas la seguridad de la información, restringiendo el acceso a los datos.

Medidas de seguridad:

Engloban una serie de medidas y procesos destinados a evitar la sustracción, pérdida, deterioro o destrucción de datos de carácter personal tratados en el despacho. Algunos de estos procesos son:

  • Identificación y Autenticación de Usuarios.
  • Control de acceso.
  • Administración de Usuarios.
  • Ficheros temporales.
  • Separación de los recursos de desarrollo y producción.
  • Gestión de Soportes y Documentos.
  • Desechado y reutilización de soportes.
  • Almacenamiento de ficheros no automatizados.
  • Custodia de soportes.
  • Criterios de archivo.
  • Seguridad en redes de comunicación.
  • Copias de respaldo.
  • Régimen de trabajo fuera de los locales de la ubicación del fichero.
  • Traslado de documentación.

Este tipo de medidas serán fundamentales para acreditar que se han asegurado razonablemente los datos de carácter personal en caso de que exista una incidencia.

Mantenimiento de un registro de tratamientos:

Consiste en la llevanza de un registro de los distintos tratamientos realizados sobre los datos de carácter personal gestionados por el despacho, incluyendo la persona física o jurídica responsable de dicho tratamiento, su objeto y el horizonte temporal en el que se ha llevado a cabo.

Este tipo de medidas son fundamentales para delimitar la responsabilidad en caso de incidencia, pudiendo acreditar fácilmente dónde ha podido originarse.

Realización de evaluaciones de impacto sobre la protección de datos:

Consiste en diversas y medidas y procesos conducentes a determinar el impacto de un incidente relativo a los datos de carácter personal gestionados en el despacho. El objeto no es otro que delimitar la gravedad de los perjuicios que se puedan ocasionar a los derechos y libertades de las personas físicas afectadas.

Este proceso es muy importante, dado que el grado de obligatoriedad en la implementación de todas estas medidas que les estoy relatando dependerá en buena medida de los riesgos inherentes al tratamiento de los datos.

Nombramiento de un delegado de protección de datos:

El delegado de protección de datos es la persona especialista en el ámbito de la protección de datos de carácter personal cuyas funciones son:

  • Informar y asesorar a los responsables y encargados del tratamiento de datos personales (y a sus empleados) de las obligaciones que tienen, derivadas tanto de la legislación europea como de la española.
  • Supervisar el cumplimiento de las medidas y procesos conducentes al cumplimiento de dicha legislación y de la política del despacho: asignación de responsabilidades, concienciación y formación del personal, auditorías, etc.
  • Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas, y supervisar luego su aplicación.
  • Deber de cooperar con las Agencias de Protección de Datos en aquello que se le requiera.
  • Actuar como “punto de contacto” de las autoridades de control para cualquier consulta sobre el tratamiento de datos personales a realizar por el despacho.

El delegado de protección de datos será normalmente un profesional externo al despacho, con amplios conocimientos técnicos y prácticos en la gestión de datos, en el que el despacho descargará buena parte de la responsabilidad del día a día en materia de protección de datos de carácter personal.

Notificación de violaciones de la seguridad de los datos:

Se tratará de un conjunto de procesos destinados a la detección de violaciones de seguridad de la información y a su comunicación tanto a los responsables del despacho como a las personas físicas susceptibles de verse afectadas e incluso, según el caso, a las autoridades competentes.

Con este tipo de procesos limitaremos en buena medida la responsabilidad del despacho, acreditando que existen las medidas de alerta adecuadas.

Recomendación

La primera recomendación que le hago, querido lector, es la de que no se agobie. Pese a la complejidad inicial que puedan suponer este tipo de medidas se trata de ser metódicos y constantes desde el inicio. Implantar medidas de responsabilidad activa delimitará las responsabilidades del despacho en caso de incidencia.

Como segunda recomendación, cuente desde el inicio con ayuda de profesionales cualificados que le ayuden en las distintas fases que tendrá que afrontar. Aunque sólo sea para que le encaminen en la dirección correcta, se ahorrará muchos disgustos.

Les espero en la próxima entrega: “Deber de secreto y responsabilidad del despacho

¿Qué te ha parecido la información?
Comparte esto:

España condenada a indemnizar a un pederasta

Peritaje informático: España ha sido condenada a indemnizar a un pederasta por intervenir ilegalmente evidencias digitales durante el registro domiciliario.

España condenada a indemnizar a un pederasta

España condenada a indemnizar a un pederasta

El Tribunal de Derechos Humanos de Estrasburgo ha estimado el recurso de Carlos T. R. contra la sentencia de la Audiencia Provincial de Sevilla de 2008 que le condenó a cuatro años de prisión por posesión y divulgación de imágenes pornográficas de menores. El acusado pidió la nulidad de las pruebas, alegando que el artículo 8 del Convenido de Derechos Humanos había sido violado cuando la Policía accedió al contenido y archivos de su ordenador sin autorización judicial.

Aunque el Tribunal Supremo y el Tribunal Constitucional rechazaron ambos recursos contra su condena, ahora la Corte Europea le da la razón y obliga a España a indemnizar a un pederasta porque no se han perseguido de forma proporcional los objetivos legítimos de prevención del delito y protección de los derechos de los demás, necesarios en una sociedad democrática, según indica la sentencia.

La clave del caso

El Tribunal de Estrasburgo recuerda que en la legislación española se prevé la necesidad de una autorización judicial previa, salvo en caso de emergencia, para aprehender objetos, en este caso un ordenador, y acceder a los contenidos. La Sección Tercera de la Corte no ve acreditada la urgencia de la situación que obliga a la Policía a incautar el ordenador y examinar los archivos sin autorización de un juez, dado que no existía ningún riesgo inmediato de que estos ficheros desaparecieran.

El Tribunal no entra a valorar si efectivamente esta persona cometió o no el delito imputado, sino sobre la nulidad de las pruebas aportadas para conseguir dicha condena, dado que se vulneraron derechos fundamentales del acusado para dicha obtención.

Actuación negligente de la Policía

Como es bien sabido, la intervención domiciliaria para incautación de pruebas, en este caso, un ordenador personal, debe ser autorizada por un juez excepto en casos de justificada urgencia. Para recibir dicha autorización los Cuerpos de Seguridad deben documentar al juez instructor:

a) El posible delito.
b) Los indicios sugestivos de que dicho delito podría hallarse en curso de preparación o de ejecución por determinadas personas.
c) La actividad investigadora que condujo a la obtención de estos indicios sugestivos.

En este caso concreto no se hizo y tampoco existían causas de justificada urgencia, por lo que se violaron los derechos fundamentales de esta persona, tal y como falla el Tribunal de Estrasburgo. No todo vale para conseguir una condena, aún cuando se haya cometido un delito.

Fallos en intervenciones de evidencias digitales

No se trata, ni mucho menos, de un caso aislado a la hora de la elaboración de un pliego de cargos por parte de los Cuerpos de Seguridad con evidencias digitales de por medio. Son muy comunes la no conservación de la cadena de custodia de los elementos probatorios, así como el incorrecto análisis y documentación de las mismas al objeto de inferir de forma indubitada la comisión de un delito.

Como ejemplo este perito ya observó en un caso real informe de la unidad de delitos telemáticos de la Guardia Civil sustentando la oportunidad de una serie de diligencias 6 meses después de haberse llevado a cabo esas diligencias, motivo por el que el juez de instrucción negó la intervención pretendida, aunque el Cuerpo persistiera en poner pliego de cargos en manos de la Justicia por supuesto delito de incitación al odio.

Recomendación

Ante cualquier intervención de evidencias digitales por parte de los Cuerpos de Seguridad, cuente con un perito informático legalmente habilitado que examine al detalle los pormenores de dicha intervención, dado que podrían estar vulnerándose sus derechos. Ahórrese problemas desde el principio para no tener que llegar, como en este caso, al Tribunal de Estrasburgo.

¿Qué te ha parecido la información?
Comparte esto:

LOPD en despachos de abogados: conceptos básicos 1

Hoy arranco una serie de artículos sobre la protección de datos personales y el cumplimiento de la LOPD en despachos de abogados.

LOPD en despachos de abogados: conceptos básicos

LOPD en despachos de abogados: conceptos básicos

Como primera entrega de la serie de artículos sobre protección de datos personales y el cumplimiento de la LOPD en despachos de abogados, hoy les introduciré al entorno de la protección de datos de carácter personal: conceptos, objetivos y principios básicos.

Entorno jurídico

Las reglas y principios a cumplir en el despacho están determinadas por la siguiente legislación:

La autoridad competente en materia de protección de datos de carácter personal en España es la Agencia Española de Protección de Datos (AEPD)

Principios básicos

Como principio fundamental a la hora de implementar la LOPD en despachos de abogados a conviene grabarse, y tener muy claro, lo siguiente:

 “Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”

Todo lo concerniente a la protección de datos personales gira entorno a lo anteriormente descrito, y en caso de duda o controversia, deberemos remitirnos a ello.

Adicionalmente les recomiendo que, antes de que empiecen a plantearse cualquier tipo de medida para garantizar lo anteriormente descrito, tengan muy en cuenta estas recomendaciones:

  1. Pregúntese por qué, para qué, cómo, hasta cuándo y dónde. Planifique.
  2. Aproveche para incorporar al bufete procesos de gestión y control. Procedimente y supervise.
  3. Aproveche para asegurar la información sensible de su bufete además de los datos de carácter personal. Seguridad por encima de todo.
  4. Como premisa, garantice siempre los derechos de las personas sobre su información.

Objetivos

Muchas empresas y profesionales se toman la legislación como un fastidio burocrático e intentan implementar medidas que les eviten denuncias y multas. A mi juicio esa actitud es un tremendo error que, para colmo, casi nunca evita que sufran denuncias y multas.

Al implementar las medidas LOPD en despachos de abogados se debe aprovechar para la mejora en dos áreas fundamentales en este tipo de despacho profesional: la gestión y el control.

Por ello los objetivos son muy claros:

  1. Introducir procedimientos de funcionamiento en el despacho, de los que carecen la mayoría.
  2. Disponer de elementos de consulta y apoyo a la hora de funcionar en el despacho.
  3. Capacidad de auditar y mejorar el funcionamiento del despacho.
  4. Delimitar responsabilidades de los integrantes del despacho y del propio despacho ante cualquier incidencia.
  5. Introducir elementos de seguridad en la custodia y gestión de información sensible.
  6. Afrontar con mínimas garantías el aumento de las ciberamenazas.

En general, las empresas y despachos profesionales en España no tienen costumbre de procedimentar su funcionamiento por escrito, tendiendo a un funcionamiento anárquico y a veces imprevisible e incontrolable. Las medidas de protección de datos de carácter personal, ya que está obligado a implantarlas, deben servirle adicionalmente para optimizar el funcionamiento de su bufete.

Conceptos básicos

Si bien no pretendo entrar a fondo en los conceptos legales vinculados con la protección de datos de carácter personal, sí es conveniente que les relacione una serie de conceptos que van a estar muy presentes a lo largo de esta serie de artículos:

  • Datos de carácter personal: cualquier dato concerniente a personas físicas identificadas o identificables.
  • Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
  • Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
  • Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento.
  • Encargado del tratamiento: Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo, o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
  • Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordina y controlar las medidas de seguridad aplicables.
  • Afectado o interesado: Persona física titular de los datos que sean objeto de tratamiento.
  • Persona identificable: Toda persona cuya identidad pueda determinarse directa o indirectamente mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social.
  • Tercero: La persona física o jurídica, pública o privada, u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento.
  • Consentimiento del interesado: Toda manifestación de voluntad libre, inequívoca, específica e informada mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
  • Sistema de información: Conjunto de ficheros, tratamientos, programas, soportes, y en su caso, equipos empleados para el tratamiento de datos de carácter personal.
  • Sistema de tratamiento: Modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento los sistemas de información podrán ser automatizados, no automatizados o parcialmente automatizados.
  • Copia de respaldo: Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.
  • Ficheros temporales: Ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento.
  • Accesos autorizados: Autorizaciones concedidas a un usuario para la utilización de los diversos recursos. En su caso incluirán las autorizaciones o funciones que tenga atribuidas un usuario por delegación del responsable del fichero o tratamiento o del responsable de seguridad.
  • Transferencia internacional de datos: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español

Recomendación

Como ya le he indicado, antes de ponerse manos a la obra con la protección de datos personales en el bufete conviene que planifique, tenga claros sus objetivos y que consulte con profesionales legalmente habilitados que le asesoren.

Su bufete funcionará mucho mejor, se lo aseguro.

Les espero en la próxima entrega sobre responsabilidad activa y los desafíos en el despacho de abogados para implementar la protección de datos.

¿Qué te ha parecido la información?
Comparte esto:

Recusación y tacha del perito informático 1

Peritaje informático: Hoy voy a hablarles sobre los supuestos en los que se puede practicar la recusación y tacha del perito informático en un proceso judicial así como la habitualidad de falta de titulación.

Recusación y tacha del perito informático

Recusación y tacha del perito informático

Como ya sabrán, uno de los medios de prueba aceptados en los procesos judiciales es el de la intervención de un perito, en nuestro caso, un perito informático, los cuales actúan cuando son necesarios conocimientos científicos y técnicos en el ámbito de la informática al objeto de valorar hechos o circunstancias relevantes.

Pues bien, en ciertos supuestos se puede dar la recusación y tacha del perito informático, quedando su trabajo sin efecto al objeto de emitir sentencia sobre el asunto en litigio.

Recusación de un perito informático

Según el artículo 343 de la Ley de Enjuiciamiento Civil, únicamente los peritos informáticos designados judicialmente podrán ser recusados. Las circunstancias de recusación las marcan la Ley Orgánica del Poder Judicial, en su artículo 219, y la Ley de Enjuiciamiento Civil en su artículo 124. En lo que concierne a los peritos las causas son:

  1. El vínculo matrimonial o situación de hecho asimilable y el parentesco por consanguinidad o afinidad dentro del cuarto grado con las partes o el representante del Ministerio Fiscal.
  2. El vínculo matrimonial o situación de hecho asimilable y el parentesco por consanguinidad o afinidad dentro del segundo grado con el letrado o el procurador de cualquiera de las partes que intervengan en el pleito o causa.
  3. Ser o haber sido defensor judicial o integrante de los organismos tutelares de cualquiera de las partes, o haber estado bajo el cuidado o tutela de alguna de éstas.
  4. Estar o haber sido denunciado o acusado por alguna de las partes como responsable de algún delito o falta, siempre que la denuncia o acusación hubieran dado lugar a la incoación de procedimiento penal y éste no hubiera terminado por sentencia absolutoria o auto de sobreseimiento.
  5. Haber sido sancionado disciplinariamente en virtud de expediente incoado por denuncia o a iniciativa de alguna de las partes.
  6. Haber sido defensor o representante de alguna de las partes, emitido dictamen sobre el pleito o causa como letrado, o intervenido en él como fiscal, perito o testigo.
  7. Ser o haber sido denunciante o acusador de cualquiera de las partes.
  8. Tener pleito pendiente con alguna de éstas.
  9. Amistad íntima o enemistad manifiesta con cualquiera de las partes.
  10. Tener interés directo o indirecto en el pleito o causa.
  11. Haber ocupado cargo público, desempeñado empleo o ejercido profesión con ocasión de los cuales haya participado directa o indirectamente en el asunto objeto del pleito o causa o en otro relacionado con el mismo.
  12. Haber dado anteriormente sobre el mismo asunto dictamen contrario a la parte recusante, ya sea dentro o fuera del proceso.
  13. Haber prestado servicios como tal perito al litigante contrario o ser dependiente o socio del mismo.
  14. Tener participación en sociedad, establecimiento o empresa que sea parte del proceso.

Tacha de un perito informático

Según el artículo 343 de la Ley de Enjuiciamiento Civil, los peritos informáticos de parte no podrán ser recusados, pero si tachados, en alguno de los siguientes casos:

1.º Ser cónyuge o pariente por consanguinidad o afinidad, dentro del cuarto grado civil de una de las partes o de sus abogados o procuradores.

2.º Tener interés directo o indirecto en el asunto o en otro semejante.

3.º Estar o haber estado en situación de dependencia o de comunidad o contraposición de intereses con alguna de las partes o con sus abogados o procuradores.

4.º Amistad íntima o enemistad con cualquiera de las partes o sus procuradores o abogados.

5.º Cualquier otra circunstancia, debidamente acreditada, que les haga desmerecer en el concepto profesional.

Es de especial el supuesto 5º, que se da con mucha frecuencia como les voy a mostrar a continuación.

Peritos informáticos de parte sin titulación oficial en el ámbito de la informática

Aunque parezca increíble, la inmensa mayoría de “supuestos” profesionales que ofrecen servicios como perito informático de parte no poseen titulación oficial alguna en el ámbito de la informática. De hecho, este perito ha tenido que contender en numerosas ocasiones contra peritos informáticos que en realidad eran delineantes, economistas e, incluso, de Bellas Artes, con el consabido resultado de la anulación de sus tesis a la hora de dictar sentencia.

Muchas veces, por desconocimiento del letrado actuante, no se procede a la recusación y tacha del perito informático, así como de las tesis por él sostenidas.

Les voy a dar algunas indicaciones que les sirvan para reconocer a este tipo de falsos peritos informáticos y proceder a su tacha razonada en Audiencia Previa:

  1. No aparece referencia explícita a la titulación del perito firmante.
  2. Aparece referencia a una titulación extranjera.
  3. Indican poseer un Máster en el ámbito del peritaje informático, pero omiten qué titulación oficial poseen.

Por experiencia, en todos estos casos, el supuesto perito informático no es tal, y no posee titulación oficial como se exige por el artículo 340 de la Ley de Enjuiciamiento Civil.

Consecuencias de la recusación o tacha del perito informático

La recusación y tacha del perito son circunsancias no deseables durante el litigio, ya que puede resultar anulado un testimonio fundamental para el conocimiento de los hechos, y dar al traste con los intereses de la parte contratante de dicho perito.

Así mismo, otra circunstancia adversa es el descubrimiento de circunstancias de recusación y tacha del perito, o al menos, la inducción a la duda razonable a jueces y fiscales sobre las mismas, más si cabe, la sospecha de impericia del perito informático durante la vista. Abundan los casos en los que el juez no toma en consideración la prueba pericial informática al no encontrarla suficientemente sustanciada, bien por percepción propia de que el perito informático no es profesional, bien por el concurso de un perito informático titulado y con mayor conocimiento y práctica que lo demuestre fehacientemente.

A los letrados les recomiendo que exijan a los peritos informáticos que vayan a actuar de su parte que exijan:

  1. Bien acreditación del profesional como profesional colegiado, que es lo ideal por garantías deontológicas adiconales e intervención del órgano colegiado en caso de conflicto.
  2. Bien una declaración jurada del perito asegurándole que no incurre en ninguno de los supuestos de recusación o tacha.

¡Extreme las precauciones a la hora de contratar un perito informático! Aunque parezca increíble, la mayoría de los peritos informáticos ni tan siquiera están titulados y que además desconocen las responsabilidades civiles y penales en las que incurren por ese hecho.

¿Qué te ha parecido la información?
Comparte esto:

Ransomware: Cómo minimizar sus efectos

Seguridad informática: Tras los masivos ataques con ransomware a empresas y particulares conviene tener en cuenta una serie de premisas para minimizar sus efectos.

Cómo minimizar los efectos del Ransomware

Cómo minimizar los efectos del Ransomware

Estos días estamos asistiendo a una serie de ataques masivos con ransomware a empresas y particulares, agravados por la falta de prevención, de legislación y de profesionales de la seguridad informática. Este ataque ni es el primero ni será el último, con que estimado lector le recomiendo leer atentamente este artículo.

Cómo actúa un ransomware

El ransomware es un tipo virus informático accede al dispositivo objetivo para proceder a cifrar su contenido y pedirnos un rescate por nuestros datos. Generalmente infecta el dispositivo a través de un link enviado por correo electrónico o a través de una red social, bajo la apariencia de un vídeo o foto que nos pasa un contacto conocido.

Una vez infectado el dispositivo el virus informático procede a encriptar todos los datos del disco duro en el que se encuentra instalado nuestro sistema operativo, secuestrando la información que pudiéramos tener. A cambio de la clave de desencriptación los ciberdelincuentes suelen pedir una importante suma de dinero.

Principios básicos para minimizar los efectos del Ransomware

Querido lector, no hay trucos mágimos para enfrentarnos al Ransomware mas allá de la cautela y de la prevención. Cautela para no abrir sistemáticamente todos los links que nos llegan por mail y redes sociales y prevención porque, sin un plan para asegurar nuestra información estaremos perdidos.

Dicho plan de seguridad, de mayor o menor complejidad dependiendo de si se trata de una empresa o de un particular es lo que hará que un ransomware nos ocasione una catástrofe o que no pase de ser un mero fastidio.

Siga las siguientes recomendaciones:

Compartimente sus datos

Este principio es básico. Nunca almacene sus datos de trabajo o personales en el mismo disco duro en el que se encuentra el sistema operativo. ¿Por qué? Porque el ransomware cifrará el disco duro del sistema, pero no el de sus datos, con lo que permanecerán a salvo. Simplemente deberá formatear el disco duro del sistema y volver a instalarlo, tarea que no le llevará ni una hora.

Mantenga actualizado su equipo informático

Teniendo actualizado nuestro equipo informático con las últimas actualizaciones de seguridad y actualizado nuestro cortafuegos y antivirus, dificultamos en gran medida la infección por ransomware. ¿Hace cuánto que no actualiza su equipo informático?

Servidores de datos

Para una empresa recomiendo, como medida básica, que los datos se almacenen en servidores FTP en la red de la empresa, con carpetas de trabajo para cada empleado. Así, por un lado obviamos el daño por ransomware, ya que el empleado podrá seguir trabajando inmediatamente desde otro dispositivo, y por otro lado facilitamos la labor de copia de seguridad, al centralizar la información.

Adicionalmente podemos ejercer un control exhaustivo de la información a la que accede cada empleado, dificultando la sustracción o eliminación de información corporativa.

Realice copias de seguridad

Realizar copias de seguridad periódicas de nuestra información importante es algo de capital importancia, no sólo para minimizar el daño por ransomware, sino de cara a que nuestros datos sobrevivan ante una catastrofe como una inundación, un incendio o al robo y destrucción de dicha información.

Para un particular recomiendo tener un disco duro externo sincronizado con una plataforma de datos en la Nube como Dropbox. Con ello, cada fichero que copiemos al disco, además, será copiado y almacenado en un servidor externo.

Para las empresas les recomiendo implantar un servidor de copias de seguridad que realice las tareas en red y de forma automatizada. Así mismo recomiendo que parte de las copias de seguridad se almacenen fuera de la empresa, bajo custodia de una empresa de seguridad o similar. Ello tiene un efecto análogo al comentado para particulares.

Nuestro peor enemigo es la dejadez

Como puede comprobar, las medidas para minimizar los daños son bastante básicas. El problema es que muy pocas personas o empresas las implementan, por dejadez y por no estar concienciados con este tipo de incidencias que, en algunos casos pueden suponernos una auténtica ruina.

Para estar mucho más seguros les recomiendo contacten inmediatamente a un profesional de la seguridad informática debidamente colegiado para que revise y adecúe sus procedimientos de seguridad a su casuística concreta.

Adelántese a los ciberdelincuentes y prevenga daños. Una vez infectado ya será tarde.

¿Qué te ha parecido la información?
Comparte esto:

Correos electrónicos y cláusulas suelo

Peritaje informático: Una reciente sentencia del Tribunal Supremo con correos electrónicos como elementos de prueba ha supuesto un punto de inflexión a favor de la banca en los pleitos por cláusulas suelo.

Correos electrónicos y cláusulas suelo

Correos electrónicos y cláusulas suelo

Una reciente sentencia del Tribunal Supremo del pasado 9 de marzo, en la que se estimaban como legales aquellas cláusulas hipotecarias aquellas cláusulas hipotecarias (incluidas las cláusulas suelo) negociadas individualmente, ha supuesto todo un punto de inflexión con respecto a la forma en que se resuelven las causas judiciales, en este caso a favor de la banca española.

Dicha sentencia se basa en que existen elementos probatorios, en este caso, correos electrónicos, que demuestran que se negoció individualmente el clausulado con el cliente, con pleno conocimiento de las repercusiones de dicho clausulado por parte de este.

La sentencia del Tribunal Supremo

La sentencia de recurso de casación 2223/2014 especifica que el control de transparencia tiene su justificación en el art. 4.2 de la Directiva 93/13 , según el cual el control de contenido no puede referirse «a la definición del objeto principal de contrato ni a la adecuación entre precio y retribución, por una parte, ni a los servicios o bienes que hayan de proporcionarse como contrapartida, por otra, siempre que dichas cláusulas se redacten de manera clara y comprensible». Esto es, cabe el control de abusividad de una cláusula relativa al precio y a la contraprestación si no es transparente.

Ello tiene por objeto que el adherente conozca o pueda conocer con sencillez tanto la ‘carga económica’ que realmente supone para él el contrato celebrado, esto es, la onerosidad o sacrificio patrimonial realizada a cambio de la prestación económica que se quiere obtener, como la ‘carga jurídica’ del mismo, es decir, la definición clara de su posición jurídica tanto en los presupuestos o elementos típicos que configuran el contrato celebrado, como en la asignación o distribución de los riesgos.

Reviste una importancia fundamental para el consumidor disponer, antes de la celebración de un contrato, de información sobre las condiciones contractuales y las consecuencias de dicha celebración. El consumidor decide si desea quedar vinculado por las condiciones redactadas de antemano por el profesional basándose principalmente en esa información.

El juicio sobre la transparencia de la cláusula no tiene por qué atender exclusivamente al documento en el cual está inserta o a los documentos relacionados, como la previa oferta vinculante, sino que pueden tenerse en consideración otros medios a través de los cuales se pudo cumplir con la exigencia de que la cláusula en cuestión no pasara inadvertida para el consumidor y que este estuviera en condiciones de percatarse de la carga económica y jurídica que implicaba.

La Audiencia, para remarcar el conocimiento que el cliente tenía de la cláusula suelo antes de la firma del contrato, llega a afirmar que «existe(n) en el procedimiento elementos probatorios que revelan que el establecimiento de dicha cláusula fue negociado individualmente entre los actores y la entidad demandada, hasta el punto de que la misma aplicó un “suelo”, inferior al tipo usual aplicado por dicha entidad (…)»

Correos electrónicos para probar la negociación individual

En diversos juicios se están utilizando correos electrónicos para demostrar que hubo negociación individual con el cliente y que éste era consciente de las consecuencias jurídicas y económicas del contrato que iba a suscribir.

Cabe recordar por este perito informático, que los correos electrónicos, como cualquier otro elemento de prueba, están sujetos a falsificación y/o manipulación, y que dicho elemento de prueba debe ser ratificado por un perito informático o, en su defecto, arriesgarse a que dicho elemento probatorio sea desestimado, dando al traste con el litigio.

Por ello conviene tener en cuenta:

¿Qué es un correo electrónico?

El correo electrónico, también conocido como e-mail, es un servicio que permite el intercambio de mensajes a través de sistemas de comunicación electrónicos. El concepto se utiliza principalmente para denominar al sistema que brinda este servicio vía Internet mediante el protocolo SMTP (Simple Mail Transfer Protocol), pero también permite nombrar a otros sistemas similares que utilicen distintas tecnologías. Los mensajes de correo electrónico posibilitan el envío, además de texto, de cualquier tipo de documento digital como imágenes, videos, audios, etc.

¿Cómo funciona el correo electrónico?

El funcionamiento del correo electrónico es similar al del correo postal. Ambos permiten enviar y recibir mensajes, que llegan a destino gracias a la existencia de una dirección. El correo electrónico también tiene sus propios buzones: son los servidores que guardan temporalmente los mensajes hasta que el destinatario los revisa.

¿De qué se compone un correo electrónico?

Un correo electrónico tiene los siguientes elementos básicos:

  • El destinatario. En esta casilla llamada “Para”, se pueden incluir tanto una como varias direcciones de personas a las que se les va a enviar dicho correo. Además se otorga la oportunidad de que esas direcciones que se van a incluir no sean visibles por el resto de personas que las reciben.
  • El asunto. Es el apartado donde de manera breve y escueta debe aparecer el tema sobre el que gira el correo electrónico.
  • El mensaje. En dicho apartado, de gran amplitud, es donde se escribe el mensaje que desea enviar. Para que dicho texto esté, estéticamente hablando, tal y como deseamos se ofrecen herramientas con las que elegir el tipo de letra, la alineación, el color, hipervínculos e incluso emoticonos.
  • Archivos anexos. Los correos electrónicos permiten adjuntar tanto documentos de diversa tipología (textos, hojas de cálculo, base de datos, pdf…) como fotografías e incluso vídeos.

Luego, quien reciba dicho email tiene distintas posibilidades. Así, no sólo podrá leerlo y responderle al emisor del mismo sino que también podrá reenviarlo a otros destinatarios, archivarlo, almacenar una copia local en el PC, borrarlo de manera permanente, marcarlo, añadirle etiquetas y también catalogarlo como spam.

Los correos electrónicos se envían y se reciben en código MIME.

¿Qué es el código MIME?

Multipurpose Internet Mail Extensions o MIME (en español “extensiones multipropósito de correo de internet”) son una serie de convenciones o especificaciones dirigidas al intercambio a través de Internet de todo tipo de archivos (texto, audio, vídeo, etc.) de forma transparente para el usuario.

Prácticamente todos los mensajes de correo electrónico escritos por personas en Internet, y una proporción considerable de estos mensajes generados automáticamente, son transmitidos en formato MIME a través de SMTP. Los clientes de correo y los servidores de correo convierten automáticamente desde y a formato MIME cuando envían o reciben (SMTP/MIME) e-mails.

Como se crea una falsificación de correo electrónico

Como sabe cualquier perito informático cualificado, las copias de los correos electrónicos que cualquier software de gestión de e-mail descarga a nuestro PC desde nuestro buzón de correo son totalmente falsificables, y con una herramienta muy sencilla de usar: el bloc de notas de Windows.

A continuación les presento el código MIME de un mail de prueba guardado en un archivo .eml junto con su visualización en un gestor de correos electrónicos:

Return-Path: <prueba@indalics.com>
Received: from www.indalics.com ([62.210.151.182])
        by mx.google.com with ESMTPSA id bi9sm11432386wib.18.2015.02.08.12.42.49
        for <zntrnw@ctibnr.com>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Sun, 08 Feb 2015 12:42:49 -0800 (PST)
Date: Sun, 8 Feb 2015 21:45:43 +0100
Return-Path: prueba@indalics.com
To: zntrnw@ctibnr.com
From: =?utf-8?Q?Indalics_Consultor=C3=ADa_Inform=C3=A1tica=2E?= <prueba@indalics.com>
Reply-to: prueba@indalics.com
Subject: [Website feedback] LeZApMuVYWpZxDz
Message-ID: <ca8c133800e8561674f9320d00e895d3@www.indalics.com>
X-Priority: 3
X-Mailer: PHPMailer 5.1 (phpmailer.sourceforge.net)
MIME-Version: 1.0
Content-Transfer-Encoding: 8Bit
Content-Type: text/plain; charset=”utf-8″
Gracias por comunicarse con nosotros. En breve le daremos respuesta a sus inquietudes
 Cómo se falsifica un correo electrónico en un proceso judicial

A continuación procedo a modificar en el archivo .eml datos del remitente, fecha y hora del mail, asunto y contenido de la comunicación usando el bloc de notas:

Return-Path: <pirata@hacker.es>
Received: from www.hacker.es ([620.21.153.182])
        by mx.google.com with ESMTPSA id bi9sm11432386wib.18.2014.03.09.13.42.49
        for <zntrnw@ctibnr.com>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Sun, 2014 Mar 2014 13:42:49 -0800 (PST)
Date: Sun, 8 Feb 2015 21:45:43 +0100
Return-Path: pirata@hacker.es
To: zntrnw@ctibnr.com
From: <pirata@hacker.es>
Reply-to: pirata@hacker.es
Subject: Ejemplo de falsificacion de un correo
Message-ID: <ca8c133800e8561674f9320d00e895d3@www.hacker.es>
X-Priority: 3
X-Mailer: PHPMailer 5.1 (phpmailer.sourceforge.net)
MIME-Version: 1.0
Content-Transfer-Encoding: 8Bit
Content-Type: text/plain; charset=”utf-8″
Este es un correo totalmente falso

Cómo se falsifica un correo electrónico en un proceso judicial

Ya está creada la falsificación de correo electrónico. Tan sencillo como esto.

¿Se puede introducir un correo electrónico falso en un proceso judicial?

Absolutamente. Si las evidencias digitales se han obtenido a partir de los archivos de un software gestor de e-mails en un dispositivo electrónico, siento decirle que no sólo es posible, sino muy sencillo hacerlo, tal y como he demostrado con la anterior falsificación de correo electrónico.

Cómo cerciorarse de que un correo electrónico presente en un proceso judial no es falso o susceptible de serlo

Muy sencillo, querido lector. Cuente siempre con un perito informático debidamente cualificado que obtenga correctamente las evidencias, las estudie, emita un dictamen, o bien someta a duda razonable la integridad la prueba aportada de contrario, y lo defienda con garantías en sede judicial.

Extreme las precauciones a este respecto y exija que el perito informático esté colegiado. Está aumentando alarmantemente el número de falsos peritos informáticos que en la mayoría de casos no están ni titulados o no tienen experiencia alguna en este tipo de casos, costándole el litigio a sus clientes por su impericia.

¿Qué te ha parecido la información?
Comparte esto: