jueves, 31 de octubre de 2013

Obligaciones de colaboración del Código Procesal Penal, ¿pesadillas para los administradores de sistemas?

Decíamos ayer, que se ha prestado poco interés a la propuesta de ciertas obligaciones de colaboración en el borrador de nuevo Código Procesal Penal (pdf).

Como decía, se introducen dos obligaciones con el fin de que en el curso de una investigación se puede hacer un registro de equipos y sistemas informáticos.

Así el artículo 350 establece que:
"El Tribunal de Garantías podrá autorizar, a petición razonada del Ministerio Fiscal, la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático"
Por un lado la instalación de "troyanos" y por otro el acceso mediante contraseña y usuario.
Dichas medidas en la práctica serían de muy difícil ejecución en muchos supuestos, es por ello que se establece una obligación de colaboración muy amplia con el fin de que la medida adoptada sea efectiva.

De este modo el artículo 351 regula el deber de colaboración y dice :
1.- Los proveedores de acceso o servicios telemáticos y los titulares o responsables del sistema informático o base de datos objeto del registro están obligado a facilitar a los agentes investigadores la colaboración precisa para la práctica de la medida y el acceso al sistema.
Asimismo, están obligados a facilitar la asistencia necesaria para que los datos e información recogidos puedan ser objeto de examen y visualización.
2.- Las autoridades y los agentes encargados de la investigación podrán ordenar a cualquier persona que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que facilite la información que resulte necesaria para el buen fin de la diligencia.
Por lo tanto, obligados a colaborar en la instalación del software serán desde cualquier persona con conocimientos a los responsables del sistema informático, evidentemente cuando se trate de terceros (proveedores de hosting, etc.)

Pero puede darse el caso del administrador de sistemas de una empresa que se enfrente a una petición de este tipo porque se investiga, por ejemplo, blanqueo de capitales, en las cuentas de la sociedad para la que trabaja.

En principio, con esta redacción, la obligación de colaborar es clara y deberá facilitar el acceso, pero ¿ello no podría suponer un conflicto con el derecho de defensa de la empresa? Recordemos que ahora hay responsabilidad penal de las personas jurídicas.

En una entrada y registro a nadie se le obliga a decir donde esconde las cosas, es la Policía quien debe encontrarlo. Pero, ¿y si puedo obligar al informático a que me proporcione acceso a todo?

Por supuesto que si el administrador detecta una entrada no autorizada al sistema, sin tener conocimiento de que se está llevando una investigación judicial, ninguna responsabilidad tendría por repeler o impedir ese "ataque". De hecho no tiene porqué conocer el origen de la intrusión.

Pero el problema se plantea cuando es requerido para colaborar directamente.

Además, no sólo se debe facilitar el acceso sino incluso colaborar para que los datos sean comprensibles. Entiendo que indicando formatos adecuados, etc.

Y, como se dispone en el párrafo segundo, la obligación de colaborar se extendería a cualquiera que conozca el funcionamiento del sistema. Podríamos incluir al "pringao" o al técnico al que se lleve el ordenador a reparar.

Supone esta redacción ponerse al servicio de un agente para facilitar la entrada en un sistema ajeno, ya que no es requisito según ese segundo párrafo ser propietario o responsable del sistema, sólo tener conocimiento.

¿Que pasaría con un hacker?¿Tendrán los hackers obligación de colaborar con la policía?

En definitiva, una medida que sin duda facilita las investigaciones, pero que presenta aristas muy importantes que deben contemplarse y que sin duda pueden plantear importantes quebraderos para los administradores de sistemas, como plantearon en las III de informática judicial al abordar este tema.

No hay comentarios:

Publicar un comentario en la entrada