Con la aplicación del RGPD desde el 25 de mayo de 2018, debe considerarse que la mayor parte de la Instrucción 1/2006 ha quedado desplazada, ya que el contenido de la misma, como puede ser la legitimación o los derechos de las personas, queda desplazado por lo establecido al respecto por la norma europea.
Además, con el RGPD desaparece la obligación de inscribir ficheros a los que se refiere la Instrucción 1/2006.
No obstante, puede considerarse que queda en vigor lo dispuesto en el artículo 6 de la citada instrucción que regula el plazo de conservación, y que se refiere a que se produzca la cancelación de imágenes en el plazo máximo de un mes.
Sin embargo, una interpretación acorde con el RGPD, ya que este no contempla la cancelación sino la supresión, supone que ese plazo de conservación de máximo de un mes no será de cancelación sino de supresión, salvo en aquellos supuestos en que se deban conservar para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.
A mayor abundamiento con el criterio descrito anteriormente, existen normas específicas que así lo contemplan como la Ley Orgánica 4/1997 o el Reglamento que desarrolla la Ley contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte, en las que transcurrido el plazo máximo de un mes, debe producirse el borrado de las imágenes
Derechos de las personas
Los artículos 15 a 22 del RGPD regulan los derechos que los afectados que pueden ejercitar ante los responsables y encargados (en este último caso, cuando así se haya previsto entre el responsable y el encargado): acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición, y oposición a decisiones individuales automatizadas.
No obstante, el ejercicio de estos derechos debe ser matizado en el ámbito de la videovigilancia. En primer lugar, no resulta posible el ejercicio del derecho de rectificación ya que por la naturaleza de los datos -imágenes tomadas de la realidad que reflejan un hecho objetivo-, se trataría del ejercicio de un derecho de contenido imposible.
En segundo lugar, tampoco sería aplicable el derecho de portabilidad ya que, aunque se trata de un tratamiento automatizado, la legitimación no se basa ni en el consentimiento ni en la ejecución de un contrato.
En tercer lugar, no se aplicaría parte del contenido del derecho a la limitación del tratamiento, en su aspecto de “cancelación cautelar” que está vinculada al ejercicio de los derechos de rectificación y oposición.
Por otra parte, sí serían aplicables los siguientes derechos:
·· El derecho de acceso, si bien éste reviste características singulares, ya que requiere aportar como documentación complementaria una imagen actualizada que permita al responsable verificar y contrastar la presencia del afectado en sus registros. Resulta prácticamente imposible acceder a imágenes sin que pueda verse comprometida la imagen de un tercero. Por ello puede facilitarse el acceso mediante escrito certificado en el que, con la mayor precisión posible y sin afectar a derechos de terceros, se especifiquen los datos que han sido objeto de tratamiento.
Si se ejerciese el derecho de acceso ante el responsable de un sistema que únicamente reproduzca imágenes sin registrarlas (visionado de imágenes en tiempo real) deberá responderse en todo caso indicando la ausencia de imágenes grabadas.
·· El derecho de supresión, al que nos hemos referido anteriormente en relación con la supresión de las imágenes en el plazo máximo de un mes, sin perjuicio de la excepción referida
·· El derecho a la limitación del tratamiento, que se aplicaría en su otra vertiente, es decir, se solicite al responsable que se conserven las imágenes cuando:
·· El tratamiento de datos sea ilícito y el interesado se oponga a la supresión de sus datos y solicite en su lugar la limitación de su uso.
·· El responsable ya no necesite los datos para los fines del tratamiento pero el interesado si los necesite para la formulación, ejercicio o defensa de reclamaciones.
Seguridad Lógica
La seguridad informática no dista mucho de la seguridad tradicional. De igual modo que se pueden cometer delitos en el mundo físico, en el digital también se producen.
Alguien puede sustraer dinero de cuentas bancarias, sustraer claves de acceso a sistemas informáticos, blanquear fondos de procedencia ilegal, etc. En definitiva, existen múltiples delitos que se pueden cometer en el entorno digital, todos ellos relacionados con la información que se aloja en sistemas o que se transmite por las redes de comunicaciones.
Las amenazas a la información en una red pueden caracterizarse modelando el sistema como un flujo de información desde una fuente, como por ejemplo un archivo o una región de la memoria principal, a un destino, como por ejemplo otro archivo o un usuario, la creación de información nueva introducida clandestinamente, su modificación alterando la original, su intercepción atacando la confidencialidad, o su interrupción fraudulenta.
Si queremos comprobar si un software es seguro se hace normalmente de tres formar: confiar ciegamente en las declaraciones de los fabricantes del sistema, red informática o software, hacer pruebas personalmente con el consiguiente esfuerzo técnico y personal, o recurrir a una auditoría neutral encargada de evaluar y certificar el cumplimiento de los requisitos de seguridad basada en normas internacionalmente estandarizadas.
La planificación para la seguridad de la información incluye entre sus primeras fases la realización de un análisis de riesgos sobre los activos a proteger. Este análisis tiene como objetivo identificar los riesgos, cuantificar su impacto y evaluar el coste para mitigarlos. Existen muchas categorías de riesgos, como por ejemplo, el daño a la información, lo que representa una pérdida de integridad; revelación de información, lo que supone una pérdida de confidencialidad; o pérdida de información, que es una pérdida de disponibilidad.
Por otro lado, existen numerosos factores de riesgo, como por ejemplo daño físico, fallos técnicos en el funcionamiento, ataques internos o externos, errores humanos o errores de las aplicaciones.
Cada activo de la información analizado posee como mínimo una categoría de riesgo asociada a uno o más factores de riesgo, siendo la exposición la posibilidad de que la amenaza se materialice. Para reducir esta exposición o mitigar el riesgo se aplican contramedidas1.
Un riesgo para un sistema informático está compuesto por la terna de activo, amenaza y vulnerabilidad, relacionados según la fórmula de:
calcular el riesgo asociado; amenaza, comprende los agentes que pueden atacar a un sistema; y vulnerabilidad, como punto en el que un recurso es susceptible de ataque.
Las amenazas a las que nos podemos encontrar se clasifican en:
A. Accidentales
a. Fallos en los equipos
b. Anomalías en el suministro de energía
c. Malfuncionamiento de programas
B. Naturales
a. Fuego
b. Inundaciones
C. Intencionadas
a. Fraudes
b. Sabotajes
c. Amenazas Pasivas
D. Interceptación (p. ej. captura de contraseñas)
a. Amenazas activas:
b. Generación (p.e. envío de correo fraudulento.)
c. Modificación (p. ej. modificación de mensajes de correo)
d. Interrupción (p. ej. bloquear el servicio de cobro de VISA)
1.1.1. Mecanismos de control de defensa en profundidad
Para ello se debe establecer en la empresa un mecanismo de defensa en profundidad que proteja íntegramente las tecnologías de la información de la organización. Las capasen las que se divide esta infraestructura, se dice son siete. En cada una de ellas se implantan una serie de mecanismos de protección que implica al personal, su tecnología y los procesos con la finalidad de mitigar los riesgos:
Políticas y procedimientos de seguridad. Es la más desatendida y constituye la piedra angular de todas las demás. Constituye el programa de seguridad que la dirección de la organización debe divulgar a todo su personal.
Seguridad física y del entorno. Constituyen las medidas de seguridad que intentan evitar que el atacante pueda acceder al sistema informático.
Defensa perimetral. El perímetro es el conjunto de puntos de la red interna de confianza gestionada por la propia organización en contacto con otras redes externas no fiables, no solo de Internet. Se pretende evitar que se acceda ilícitamente a la red desde el exterior atacando los servicios que suministran el acceso a la información.
Defensa de red. Se intenta evitar que el atacante pueda tener acceso a la red interna de la organización mediante el ataque a cualquier puerto del equipo o monitorizar el tráfico de la red.
Defensa de equipos. Para evitar que se pueda acceder al equipo a través de vulnerabilidad en servicios del sistema operativo a la escucha.
Defensa de las aplicaciones. Se evita implantando una sólida infraestructura de mecanismos de autenticación y autorización como son los cortafuegos.
Defensa de datos. Si se ha accedido al sistema y vulnerado todas sus protecciones la implantación de una estructura correcta de cifrado garantizarán la integridad del sistema.
