El Técnico o Perito Informático en el Modelo de Compliance Penal de la Empresa

Publicado el 26/02/2018 por Rafael_L_R

TECNOLOGIAS TICs Y COMPLIANCECada día se pone más en relieve la necesidad de las empresas de contar con un modelo de cumplimiento Normativo (Compliance) con un adecuado diseño e implementación de un Programa de Prevención, Detección y Respuesta a los delitos que se pudieran derivar del desempeño o de las actividades desarrolladas dentro del contexto de la empresa o en nombre y representación de la misma.

Desde el catálogo de los posibles riesgos de comisión de delitos en los que pudieran intervenir las TIC’s (Tecnologías de la Información y las Comunicaciones) dentro del contexto del modelo de Compliance Penal de la empresa se podrían hacer dos clasificaciones diferenciadas:

A) Delitos con Medios Informáticos

Delitos en los que la TIC’s intervienen o son los posibilitan actuando como medios que permiten la ejecución o el tratamiento y resultado de la información. En esta categoría se podrían encuadrar todos los delitos que se consideren en el Compliance Penal puesto que, en todos ellos, existe la posibilidad de existencia de documentos electrónicos, correos electrónicos, información preservada electrónicamente, firmas digitales, mensajería instantánea, o cualquier otro uso, medio o producto final que se pueda llevar a cabo con las TIC’s.

B) Delitos Informáticos

Delitos donde tienen relevancia o la componente principal son las TIC’s o bien en aquellos donde se realiza el uso especializado de las mismas.

En este grupo de delitos considerados en el Código Penal se encuadrarían principalmente en:

– Delitos contra la Intimidad (art. 197.1 y 197.2 CP).

– Delito de Acceso no autorizado a un Sistema Informático ajeno (art. 197.3 CP).

– Delito contra el Secreto de Empresa (art. 278 CP y 279 CP).

 – Delitos contra la Propiedad intelectual y Piratería de Software (art. 270 CP).

– Delito contra la Propiedad Industrial (art. 273 CP).

– Delito de Daños Informáticos (art. 264.quarter CP).

– Delito de Piratería de Servicios de Comunicación y Electrónicos (art. 286 CP).

– Delito de Estafa informática (art. 248.2 CP).

– Delito de Falsificación de Tarjetas (art. 399 bis CP).

– Delito de Pornografía infantil digital (art. 189 CP).

– Delito de Acoso laboral digital u hostigamiento (art. 173 y art. 172 CP).

– Delito de Incitación al Odio y a la Violencia (art. 510 CP).

Con esta visión generalista se puede fácilmente vislumbrar la influencia y relevancia que pueden tener las TIC’s en la comisión de estos delitos y, consecuentemente, tratar las mismas desde la consideración de la presencia y relevancia de las TIC’s.

Es por este motivo que dentro del contexto de implantación y funcionamiento de un  SGCP – Sistema de Gestión de Compliance Penal en base a la norma UNE 19601, se debería considerar la intervención de un «Técnico Especialista Experto Informático» que pudiera realizar sus aportaciones y cuyo perfil técnico varía según en la fase del SGCP en la cual se encuentre.

En el diagrama adjunto se ejemplifica y resume: el perfil y el rol según sea la situación del SGCP en la que desarrolle su labor:

Compliance Experto Informático

Desarrollando el esquema anterior se obtendría:

Diseño e Implementación del Modelo del SGCP

Esta es la fase inicial del modelo del SGCP en la cual se identifican y evalúan los Riesgos, se diseñan las Políticas y los Procedimientos a implementar en el SGCP, así como las medidas de seguimiento, los controles, reporting y alarmas específicas.

El perfil técnico sería el correspondiente a un Técnico Informático o Perito especializado en Medios Informáticos y Seguridad. Su misión es la de considerar tanto la forma de guardar y preservar la información como las medidas de prevención, de seguridad y de reacción necesarias a aplicar en caso de un incidente de seguridad.

Auditoría y Revisión del SGCP

En esta fase se audita el funcionamiento global y el nivel de implementación del SGCP, identificando nuevos riesgos a considerar, evaluando y verificando el cumplimiento del modelo, identificando mejoras y no conformidades para realizar una revisión / corrección del modelo e implementando medidas de mejora continuada del mismo.

El perfil técnico sería el correspondiente a un Auditor Informático (por ejemplo CISA) o a un Perito especializado en Medios Informáticos y Seguridad. Su misión es la de evaluar el modelo, identificar no conformidades o incumplimientos y proponer mejoras al mismo, asegurándose que llegado el momento, se pueda demostrar el cumplimiento normativo de la empresa por medio de la información del SGCP.

Investigación Interna de Sucesos e Incidentes

Esta fase de produce cuando en los controles rutinarios, canal de denuncias, o por cualquier otra vía de adquisición de información se ha detectado un incidente o una posible comisión de delito, en cuya situación el Compliance Officer ve necesario la realización de una investigación interna a fin de verificar su veracidad y alcance.

El perfil técnico sería el correspondiente a un Técnico Informático externo especializado con conocimientos judiciales o Perito especializado en Medios Informáticos y Seguridad, debido a que se han de adquirir, tratar y preservar las evidencias con garantías procesales puesto que el desarrollo de la investigación podría llegar a determinar un proceso sancionador laboral o despido y/o a un expediente penal, por lo que no se puede dejar la investigación en manos de un profesional que no tuviese en cuenta los procedimientos que garantiza la validez judicial de las evidencias, los principios de prueba y de contradicción. Asimismo, al ser el Técnico externo o Perito un ente ajeno a la Organización se garantiza su neutralidad e imparcialidad.  

Defensa Penal del Modelo SGCP

Esta fase se produce cuando se ha de realizar una defensa del modelo SGCP frente a la acusación de incumplimientos o por comisión de delito que pudieran dar lugar a sanciones a la empresa y/o penas para los componentes de la Organización de la empresa.

El perfil técnico sería el correspondiente a un Perito especializado en Medios Informáticos y Seguridad, debido a que se ha de actuar dentro del contexto de una defensa que se ha de llevar a cabo posiblemente en los tribunales y en la que el  experto el informático ha de elaborar el informe técnico correspondiente, defender y ratificar el mismo en sala durante la práctica de la prueba que se llevase a cabo.

Participación del Técnico o  Perito Informático en el modelo SGCP

Tal y como se puede apreciar si bien el perfil del técnico informático es necesario en todas las fases del modelo del SGCP para asegurar el correcto tratamiento de la información o de los delitos inherentes a las TIC’s, el nivel de especialidad así como la acreditación que debe tener el técnico especialista es diferente en función de la fase en la cual se esté ejerciendo la labor, puesto que el objetivo y el resultados (entregables) de dicha labor tienen en cada caso un destino diferenciado.

Desde estas líneas quisiera reivindicar la figura del Perito Informático como el perfil más completo para llevar a cabo las actividades de Diseño, Investigación de Incidentes y en la Argumentación y Defensa Penal del Modelo SGCP implementado.

Acerca de Rafael_L_R

Perito Judicial Informático y Director de Organización, Proyectos y Servicios TICs
Esta entrada fue publicada en Compliance, Delitos Informáticos, Divulgación, Estándares y normas, Gestión y Management, Legislación, Opinión, Peritaje Informático o Tecnológico, Seguridad Informática, Todos y etiquetada , , , , . Guarda el enlace permanente.