El día 5 de Abril de 2014 se publicó en BOE el texto de la nueva Ley 5/2014, de 4 de abril, de Seguridad Privada. A falta de un reglamento que la desarrolle, vamos a analizar algunos puntos que afectan directamente a la Seguridad Informática y a las empresas que prestan dichos servicios.
El artículo 6.6 dice: "A las empresas, sean o no de seguridad privada, que se dediquen a las actividades de seguridad informática, entendida como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquéllos prestan, por su incidencia directa en la seguridad de las entidades públicas y privadas, se les podrán imponer reglamentariamente requisitos específicos para garantizar la calidad de los servicios que presten".
Se puede interpretar aquí que el legislador prevé incluir en el reglamento de desarrollo de la ley normas que regulen la actividad de las empresas consultoras de Seguridad Informática. Siempre, según se desprende del espíritu de la ley, para garantizar la calidad de los servicios.
El artículo 7, que detalla aquellas actividades excluidas de cumplir esta ley, especifica en su punto 2: "Queda fuera del ámbito de aplicación de esta ley la obtención por uno mismo de información o datos, así como la contratación de servicios de recepción, recopilación, análisis, comunicación o suministro de información libre obrante en fuentes o registros de acceso público".
Es decir, no se va a regular la recopilación de información pública ni la recopilada para uso propio.
En el artículo 10 se especifican qué actuaciones están expresamente prohibidas. En concreto, el artículo 10.1d establece: "El empleo o utilización, en servicios de seguridad privada, de medios o medidas de seguridad no homologadas cuando sea preceptivo, o de medidas o medios personales, materiales o técnicos de forma tal que atenten contra el derecho al honor, a la intimidad personal o familiar o a la propia imagen o al secreto de las comunicaciones, o cuando incumplan las condiciones o requisitos establecidos en esta ley y en su normativa de desarrollo".
Entre otras cosas, se desprende la prohibición de espiar las comunicaciones incluso en el ejercicio de actividades relacionadas con la seguridad privada. Es obvio que para ciertos servicios de consultoría en Seguridad Informática se recurre constantemente a intentar capturar tráfico de red (sniffing), así que este artículo podría entrar en conflicto con ciertas actividades como los test de intrusión. No parece que el espíritu de la ley vaya por ahí, así que aunque habrá que estar a lo que la norma dicte una vez desarrollada (la redacción del propio artículo deja ver que podrá haber excepciones), sería interesante que se incluyera la posibilidad de celebración de contratos en los que se permita, previo acuerdo, dichas actividades.
El artículo 11 regula el Registro Nacional de seguridad privada. En el punto 4 se dice: "En los mencionados registros, nacional y autonómicos, se anotarán también los datos de las empresas que realicen actividades de seguridad informática, de acuerdo con lo que reglamentariamente se determine".
Lo que quiere decir que a partir de la entrada en vigor del reglamento, las empresas que se dediquen a la Seguridad Informática tendrán la obligación de inscribirse en dicho registro.
El capítulo IV de la ley habla de las medidas de seguridad que pueden y deben ser adoptadas por personas físicas o jurídicas, públicas o privadas. En el artículo 52, que establece los tipos de medidas de seguridad aplicables, el apartado c dice:"De seguridad informática, cuyo objeto es la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida".
Esto, sin equiparar a las empresas de seguridad privada con las de seguridad informática, expresa que hay que dar especial protección a los sistemas informáticos (incluyendo la disponibilidad de los sistemas y la información que contienen). Estos servicios son ofrecidos por empresas especializadas en Seguridad Informática.
En cuanto al régimen sancionador, el artículo 57.1r define como infracción muy grave: "La falta de comunicación por parte de empresas de seguridad informática de las incidencias relativas al sistema de cuya protección sean responsables cuando sea preceptivo.".
El artículo 61 establece las sanciones. Por una falta muy grave como la del artículo 57.1r la sanción es:
a) Multa de 30.001 a 600.000 euros.
b) Extinción de la autorización, o cierre de la empresa o despacho en los casos de declaración responsable, que comportará la prohibición de volver a obtenerla o presentarla, respectivamente, por un plazo de entre uno y dos años, y cancelación de la inscripción en el registro correspondiente.
c) Prohibición para ocupar cargos de representación legal en empresas de seguridad privada por un plazo de entre uno y dos años.
Finalmente, la disposición final cuarta especifica que la entrada en vigor será a los dos meses de su publicación en el Boletín Oficial del Estado. Es decir, a partir de Junio, todas las empresas que se dediquen a la seguridad de sistemas informáticos han de adaptarse a las normas de esta ley y a las del reglamento que en su momento las desarrolle.
El artículo 6.6 dice: "A las empresas, sean o no de seguridad privada, que se dediquen a las actividades de seguridad informática, entendida como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquéllos prestan, por su incidencia directa en la seguridad de las entidades públicas y privadas, se les podrán imponer reglamentariamente requisitos específicos para garantizar la calidad de los servicios que presten".
Se puede interpretar aquí que el legislador prevé incluir en el reglamento de desarrollo de la ley normas que regulen la actividad de las empresas consultoras de Seguridad Informática. Siempre, según se desprende del espíritu de la ley, para garantizar la calidad de los servicios.
El artículo 7, que detalla aquellas actividades excluidas de cumplir esta ley, especifica en su punto 2: "Queda fuera del ámbito de aplicación de esta ley la obtención por uno mismo de información o datos, así como la contratación de servicios de recepción, recopilación, análisis, comunicación o suministro de información libre obrante en fuentes o registros de acceso público".
Es decir, no se va a regular la recopilación de información pública ni la recopilada para uso propio.
En el artículo 10 se especifican qué actuaciones están expresamente prohibidas. En concreto, el artículo 10.1d establece: "El empleo o utilización, en servicios de seguridad privada, de medios o medidas de seguridad no homologadas cuando sea preceptivo, o de medidas o medios personales, materiales o técnicos de forma tal que atenten contra el derecho al honor, a la intimidad personal o familiar o a la propia imagen o al secreto de las comunicaciones, o cuando incumplan las condiciones o requisitos establecidos en esta ley y en su normativa de desarrollo".
Entre otras cosas, se desprende la prohibición de espiar las comunicaciones incluso en el ejercicio de actividades relacionadas con la seguridad privada. Es obvio que para ciertos servicios de consultoría en Seguridad Informática se recurre constantemente a intentar capturar tráfico de red (sniffing), así que este artículo podría entrar en conflicto con ciertas actividades como los test de intrusión. No parece que el espíritu de la ley vaya por ahí, así que aunque habrá que estar a lo que la norma dicte una vez desarrollada (la redacción del propio artículo deja ver que podrá haber excepciones), sería interesante que se incluyera la posibilidad de celebración de contratos en los que se permita, previo acuerdo, dichas actividades.
El artículo 11 regula el Registro Nacional de seguridad privada. En el punto 4 se dice: "En los mencionados registros, nacional y autonómicos, se anotarán también los datos de las empresas que realicen actividades de seguridad informática, de acuerdo con lo que reglamentariamente se determine".
Lo que quiere decir que a partir de la entrada en vigor del reglamento, las empresas que se dediquen a la Seguridad Informática tendrán la obligación de inscribirse en dicho registro.
El capítulo IV de la ley habla de las medidas de seguridad que pueden y deben ser adoptadas por personas físicas o jurídicas, públicas o privadas. En el artículo 52, que establece los tipos de medidas de seguridad aplicables, el apartado c dice:"De seguridad informática, cuyo objeto es la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida".
Esto, sin equiparar a las empresas de seguridad privada con las de seguridad informática, expresa que hay que dar especial protección a los sistemas informáticos (incluyendo la disponibilidad de los sistemas y la información que contienen). Estos servicios son ofrecidos por empresas especializadas en Seguridad Informática.
En cuanto al régimen sancionador, el artículo 57.1r define como infracción muy grave: "La falta de comunicación por parte de empresas de seguridad informática de las incidencias relativas al sistema de cuya protección sean responsables cuando sea preceptivo.".
El artículo 61 establece las sanciones. Por una falta muy grave como la del artículo 57.1r la sanción es:
a) Multa de 30.001 a 600.000 euros.
b) Extinción de la autorización, o cierre de la empresa o despacho en los casos de declaración responsable, que comportará la prohibición de volver a obtenerla o presentarla, respectivamente, por un plazo de entre uno y dos años, y cancelación de la inscripción en el registro correspondiente.
c) Prohibición para ocupar cargos de representación legal en empresas de seguridad privada por un plazo de entre uno y dos años.
Finalmente, la disposición final cuarta especifica que la entrada en vigor será a los dos meses de su publicación en el Boletín Oficial del Estado. Es decir, a partir de Junio, todas las empresas que se dediquen a la seguridad de sistemas informáticos han de adaptarse a las normas de esta ley y a las del reglamento que en su momento las desarrolle.
Comentarios
Publicar un comentario