El Código de Derecho de la Ciberseguridad: análisis de luces y sombras

La ciberseguridad está de moda. Prácticamente en todos los ámbitos ya se oye la palabra ciberseguridad –aunque no muchos tengan idea de qué va- y como no iba a ser menos, el derecho se sube al carro -porque es lo que se lleva- dando lugar al recién publicado Código de Derecho de la Ciberseguridad.

legales_large

El Código no es más que un compendio de normas que en su mayoría llevan publicadas años y que podrían ser de aplicación al sector de la ciberseguridad y las TIC, por lo que no está de más tenerlo en mente como hoja de ruta a la hora de atenerse al cumplimiento normativo del sector. Sin embargo, este Código de Derecho de la Ciberseguridad, tiene algunos trucos a tener en cuenta, por lo que habrá que tener cuidado en su aplicación.

Con un total de 42 leyes –de las cuales aquí solo haremos referencia a las más relevantes- el Código hace un repaso normativo de las normas del sector desde el punto de vista de diferentes sectores entre los que podemos destacar: defensa, telecomunicaciones y administración pública, entre otros, y temas tan transversales como el derecho penal o la protección de datos.

¿Qué podemos destacar de este Código? (Guía rápida con trucos incluidos)

En el ámbito de la Defensa será imprescindible no perder de vista ninguna de las leyes que recoge. Será importante tener en cuenta el Esquema Nacional de Seguridad y sus reglamentos de desarrollo, ya que determinan las especificaciones técnicas en materia de seguridad de la información que tienen que implantar las administraciones públicas. Aquí es importante dilucidar cuál es la definición de administración pública, y para ello hay que ir a la Ley de Acceso electrónico de los ciudadanos que establece como regla general la aplicación de la ley de las administraciones en sus actividades de derecho público, por lo que el Esquema y las leyes de desarrollo no siempre serán de aplicación en todas las Administraciones Públicas.

Siguiendo con Defensa, el Código recogerá la Ley de Infraestructuras Críticas, así como su reglamento de desarrollo. Sin embargo, aquí hay truco, ya que se ha publicado muy recientemente la nueva Directiva europea de redes en sistemas de información –también conocida como NIS- que es de aplicación directa en el tema. Por lo tanto este Código nace desactualizado en materia de Infraestructuras Críticas.

Uno de los grandes sectores en los que se agrupa, pero que en nuestro caso tienen menos relevancia, serán las telecomunicaciones en el sentido estricto de la materia. Así, se incluye la Ley General de Telecomunicaciones, su reglamento de desarrollo, la ley de medidas contra el tráfico no permitido, la de Conservación de datos de comunicaciones electrónicas o el Real Decreto 1066/2001 de protección del dominio del espacio radioeléctrico y restricciones a las emisiones radioeléctricas. Todas ellas de aplicación para operadores que explotan redes de comunicaciones electrónicas, presten servicios de comunicaciones electrónicas o impacten en el espectro radioeléctrico; es decir, prestadores de redes de telecomunicaciones.

Desde el ámbito de la Administración Pública se incluirán, entre otros, (además de la aplicación del Esquema Nacional de Seguridad que comentábamos antes) la ley de firma electrónica, o la ley de acceso electrónico de los ciudadanos a los servicios públicos – truco: esta ley está derogada desde el 2 de octubre de 2016, no obstante, aún están en vigor los preceptos relacionados con el registro electrónico. Sin embargo, una carencia importante del Código y, a mi juicio, un error es que no introduce ninguna referencia o inclusión parcial –como si hace con otras leyes- de la nueva Ley de Procedimiento Administrativo Común de 2015. Esta inclusión es importante, ya que la actualización de la norma incluye todo lo relativo a procedimientos con la administración en el marco de la administración electrónica, incluyendo requisitos de validez, eficacia, plazos, etc. que será útil tener en cuenta a la hora de interactuar con cualquier administración pública.

Por último, desde un punto de vista transversal, encontramos dos normas que afectan integralmente al sector. Por una parte, remite a una inclusión parcial del Código Penal, en concreto, todos los delitos relacionados con tecnologías de la información. Reviste vital importancia, tras la última modificación de 2015, la inclusión de preceptos que hacen explícita referencia a todo tipo de ataques en el ámbito del hacking.

Sobre esto será importante puntualizar varias cosas. Para ser autor de un delito un principio básico del derecho penal es el de tipicidad –es decir, solo se puede castigar lo que aparezca en el código, “el tipo”. Por lo tanto, para ser autor de este tipo de delitos tenemos que tener en cuenta que hace referencia a estructuras como: “el que para descubrir secretos o vulnerar la intimidad, sin su consentimiento” “el que sin estar autorizado….”, por lo, haciendo referencia expresa a la autorización viene a excluir el hacking ético de cualquier sanción penal –por esta vía.

Por otra parte, como hemos mencionado antes, el derecho suele ir con retraso respecto a las tecnologías de la información, y el avance de estos delitos se estaba convirtiendo en un tema controvertido para los juristas. Una parte de la doctrina no sabía dónde encajarlos, mientras que otra los veía perfectamente encuadrables en la anterior redacción del Código Penal. ¿Cómo soluciona el problema el legislador? Metemos todas las conductas posibles que se nos ocurran y que puedan ser un delito informático, lo que ha derivado en que, con tanto detalle, al código penal lo único que le falta es hacer referencia explícita a un keylogger, por ejemplo.

Otra parte fundamental en el sector, es la inclusión de la Ley de Protección de Datos y su reglamento de desarrollo, pero ojo, aquí hay otro truco por el que este Código no es del todo fiable. La protección de datos será otro de los puntos en los que este código nace desactualizado. En mayo de este año se publicó el Reglamento Europeo de Protección de Datos -que el Código no incluye-, que entrará en vigor en 2018 y que será de aplicación directa en todos los Estados Miembros de la Unión Europea. Como vemos, tiene una vacatio legis de dos años, precisamente pensada para que las empresas se adapten a esta nueva normativa. ¿Qué significa esto? Que en no mucho tiempo, en España tendremos en vigor otra ley de protección de datos y una legislación de desarrollo y hoy, sin ellas, la óptica tiene que estar el nuevo Reglamento Europeo y no en la legislación nacional.

A la luz de este resumen, está claro que la codificación de leyes para una materia concreta, como es la ciberseguridad en este caso, siempre es útil. Sin embargo, será de vital importancia analizar el contexto cuando se trata de “modas legislativas” que pueden inducir a error. Por lo que habrá que andar con cautela siempre que se quiera utilizar este código como referencia legislativa en ciberseguridad.

Autor: Lorena Sánchez Chamorro

Las opiniones vertidas por el autor son enteramente suyas y no siempre representan la opinión de GMV
The author’s views are entirely his own and may not reflect the views of GMV
Share

    Deja un comentario

    Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

      I accept the privacy policy Acepto la Política de Privacidad

    Basic Data-Protection information:

    Data-protection supervisor: GMV Innovating Solutions SL
    Purpose: Answer questions, respond to user complaints and recommendations, receive job applicants resumes and career information.
    Legitimation: Consent of data subject
    Addresses: Grupo GMV companies
    Rights: Access, rectify and cancel data plus other rights, as explained in additional information
    Additional information: You can check out the additional and detailed data-protection information on our website:Privacy Policy

    Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

    WP-SpamFree by Pole Position Marketing

    9.494 Total Views