audotoria de internet 17.

1 introduccion el titulo de este trabajo puede sugerir muy diferentes contenidos a distintos lectores ya que, si al de por si amplio mundo de la auditoria informatica le aadimos la palabra internet, tenemos, practicamente, un area de estudio practicamente ilimitada. por ello, la bibliografia y los trabajos sobre estos temas son mur numerosos y algunos de ellos se mencionan en las lecturas recomendades del final del capitulo. no obstante, si incluimos en la ecuacion de la auditoria de internet otro termino, el de la privacidad o la proteccion de datos personales, obtenemos un nuevo enfoque, una nueva prespectiva que no ha sido abordada de manera tan amplia, existiendo menos material sobre la misma. ademas, la importancia de la introduccion de mecanismos de control y revicion de los mismos en este campo alcanza cada vez mayor importancia. no en vano venimos hablando desde hace ya bastante tiempo de la sociedad de la informacio, la administracion electronica o el comercio electronico lo que, en terminos practicos, significa que cada vez hay mayor presencia de las organizaciones en internet pero no se trata solo de un incremento cuanitativo sino tambien, y muy especialmente en los ultimos aos, de una gran ampliacion cualitativa de los servicios que ofrecen las empresas y las administraciones publicas. hemos pasado de un mundo en el que las organizaciones utilizaban internet fundamentalmente para dar informacion de sus actividades, productos y servicios a otro completamente distinto en el que se pueden realizar muchos tramites adminsitrativos mediante medios telematicos -la declaracion del impuesto sobre la renta de las personas fisicas seria el ejemplo paradigmatico en espaa pero hoy en dia existen muchos mas- y es posible la oferta y prestacion de multiples servicios y la compra de infinidad de productos a traves de internet, siendo la banda electronica y las subastan online dos meros ejemplos de este proceso. este nuevo escenario ha introducido un drastico cambio en la forma en que las personas se relacionan con las distintas organizaciones a traves de internet. en el pasado, la mayoria de las acciones de las personas se realizaban de forma anonima o practicamente anonima puesto que para el mero acceso a la informacion no es necesario ningun tipo de identificacion. pero desde el momento en que realizamos operaciones en las cuales estan implicados intercambios economicos y financieros o nos personamos delante de las adminstraciones publicas realizando solicitudes de cualquier tipo o interviniendo en procedimientos adminstrativos, la obligacion de identificar correctamente a las personas es indispensable y, desde ese mismo momento, las organizaciones comienzan a tratar datos de caracter personal y estan sujetas al cumplimiento de las normas que regulan el ejercicio y el debido respeto a este derecho fundamental reconocido en espaa y en la union europea y regulado, esencialmente, por la directiva 95/46/CE, de 24 de oct de 1995,relativa a la proteccion de las personas fisicas en lo que respecta al tratamiento de datos personales y a la libre circulacion de estos datos, la directiva 2002/58/CE, de 12 de jul de 2002, relativa al

tratamiento de las datos personales y a la proteccion de la intimidad en el sector de las comunicaciones electronicas (directiva sobre la privacidad y las comunicaciones electronicas), la ley organiza 15/1999, de 13 de dic, de proteccion de datos de caracter personal (LOPD) y sus normas de desarrollo, la ley de 32/2003, de 3 de nov, general de telecomunicaciones y la ley 34/2002, de jul, de servicios de la sociedad de la informacion y de comercio electtronico (LSSI). por lo tanto, ell incumplimiento de estas normas lleva aparejado una serie de importantes riesgos para las organizaciones, tanto en terminos economicos debido a las importantes sanciones que la ley establece para las infracciones a la misma en perdida de imagen y confianza por parte de los consumidores, clientes y ciudadanos. asi pues, joy en dia es indispensable integrar la auditoria del cumplimiento de normas de proteccion de datos en el ambito de lo que constituye probablemente el canal de mayor exposicion publica de una organizacion en su relacion con las personas ajenas a la misma. y este control debe obligatoriamente enfocarse desde dos perspectivas distintas: legal y tecnologica, ya que ambos aspectos confunden en la implantacion de politicas de tratamiento de la informacion respetuosas con las leyes y los derechos de las personas la proteccion de datos personales se plasma en un conjunto de principios y derechos recogidos en la lesgislacion vigente que es necesario conocer con cierta profundidad y plantearse seriamente su aplicacion practica ya que aparente sencillez es engaosa: en muchas ocaciones resulta sumamente complejo y plantea dificultades importantes el conjugar la consecucion de los legitimos objetivos comerciales, estrategicos o adminsitrativos de una gran organizacion con el debido respeto a la normativa de proteccion de datos personales. o, dicho de otro modo, el tratamiento de datos personales en las condiciones marcadas por la ley puede requerir cambios organizaicos en las entidades puclicas y privadas asi como inversiones en recursos de distinto tipo. 17.2 principios y derechos de proteccion de datos en este apartado se repasaran las principales obligaciones que la ley de proteccion de datos impone a las distintas organizaciones y en especial respecto de los servicios y actividades que las mismas prestan o llevan a cabo a traves de internet.pero antes de comenzar este repaso, es necesario clarificar dos importantes conceptos: el de dato de caracter personal y el de tratamiento de datos personales. siguiento la definicion de la LOPD, se consideran dato de daracter personal cualquier informacion concerniente a personal fisicas identificadas o identificables. si la primera clausula de la definicion es obvia (si tomamos datos de alguien cuya identidad ya conocemos en el momento de la recogida o tratamiento posterior de la informacion es evidente que estamos en presencia de datos personales) para ver el alcance del concepto de identificabilidad es necesario realizar alguna reflexion adicional. En efecto, ya que la LOPD carece de una exposicion de motivos que pueda ayudarnos a interpretar la voluntad del legislador, hemos de acudir al considerando 26 de la directiva de proteccion de

datos en el que se datalla que (...) que los principios de la proteccion debera aplicarse a cualquier informacion relatica a una persona identificada o identificable; que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; que los principios de la proteccion no se apllicaran a aquiellos datos hechos anonimos de manera tal que ya no sea posible identificar al interesado A este respecto vemos que la posibilidad de identificacion se deriva a un concepto indeterminado con el de medios razonables que debera ser interpretado por cada responsable y tener en cuenta que los mismos no solo hacen referencia a las posibilidades del responsable sono de otras personas. No obstante, es necesario poner de manifiesto que los criterios utilizados por las autoridades de control son bastante restrictivos a la hora de interpretar que un esfuerzo no es razonable habria que presentar evidencias serias y fundadas de que realmente los medios que habria que utilizar para identificar a la persona o personas de que se trate son realmente desproporcionados, ya que no debemos olvidar que estamos en presencia de un derecho fundamental de las personas que no puede ser evadido con consideraciones de mero interes economico. Por poner un ejemplo clarificador, la obtencion de la identificacion del abonado que esta detras de la direccion IP que ha accesido a una determinada pagina web en ningun caso puede suponer un esfuerzo desproporcionado para el proveedor de acceso a internet ya que tiene registrada a quien corresponde la direccion IP utilizada si hay una asignacion estatica o, en caso de utilizar asignaciones dinamicas, puede en todo momento conocer a quien se le asigno la misma en un instante determinado. En relacion con el concepto de tratamieno de datos personales, la LOPD lo define como las operaciones y procedimiento tecnicos de caracter automatizado o no, que permitan la recogida, grabacion, conservacion, elaboracion, modificacion, comunicaciones, consultas, interconexiones y transferencias, definicion que tampoco requiere grandes comentarios o analisis posteriores. 1.7.2.1 notificacion de los tratamientos En primer lugar, la LOPD establece que todo fichero o trtamiento de datos personales debe ser notificado a la agencia espaola de proteccion de datos (AEPD) para su inscripcion en el registro general de proteccion de datos. En el caso de aquellas comunidades autonomas que hayan creado su propia autoridad de control en la materia, los ficheros de titularidad publica de su ambito de competencia se notificara a las mismas que, una ves inscritos en sus propios registros, procederan a comunicarlos a la agencia espaola.