Aprovechando este fin de semana que para algunos es un puente largo, nos mudamos a nuevas instalaciones un poco más amplias, muy próximas a nuestras oficinas anteriores.
Así que modificad en vuestros CRMs y agendas personales que tanto Albalia Interactiva como Atenea Interactiva cambian de dirección, de Arturo Soria, 200 a Mesena, 3 (seguimos en Madrid)
Ya he tratado en un post anterior sobre la interceptación legal de las telecomunicaciones.
En relación con este tema, me gustaría señalar el paso por el Congreso del proyecto de Ley sobre Conservación de datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones.
En el Boletín Oficial del Congreso del 16 de marzo se publicó el texo con el que entró la norma, a falta de las preceptivas enmiendas.
Me sorprende que, dado el alcance de la norma, no se hayan producido más reacciones.
Para facilitar su lectura, transcribo lo más relevante de la publicación y el texto del proyecto de ley.
BOLETÍN OFICIAL DE LAS CORTES GENERALES
CONGRESO DE LOS DIPUTADOS
VIII LEGISLATURA
Serie A: PROYECTOS DE LEY
16 de marzo de 2007
Núm. 128-1
PROYECTO DE LEY
121/000128 Conservación de datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones.
La Mesa de la Cámara, en su reunión del día de hoy, ha adoptado el acuerdo que se indica respecto del asunto de referencia.
(121) Proyecto de ley
121/000128
AUTOR: Gobierno.
Proyecto de Ley de conservación de datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones.
Acuerdo:
Encomendar su aprobación con competencia legislativa plena, conforme al artículo 148 del Reglamento, a la Comisión de Justicia. Asimismo, publicar en el Boletín Oficial de las Cortes Generales, estableciendo plazo de enmiendas, por un período de quince días hábiles, que finaliza el día 3 de abril de 2007.
En ejecución de dicho acuerdo se ordena la publicación de conformidad con el artículo 97 del Reglamento de la Cámara.
Palacio del Congreso de los Diputados, 13 de marzo de 2007.-P. D. El Secretario General del Congreso de los Diputados, Manuel Alba Navarro.
Exposición de motivos
I
La aplicación de las nuevas tecnologías desarrolladas en el marco de la Sociedad de la Información ha supuesto la superación de las formas tradicionales de comunicación, mediante una expansión de los contenidos transmitidos, que abarcan no sólo la voz, sino también datos e imágenes en soportes diversos. A su vez, esta extraordinaria expansión en cantidad y calidad, ha venido acompañada de un descenso en los costes, haciendo que este tipo de comunicaciones se encuentre al alcance de cualquier persona y en cualquier rincón del mundo.
La naturaleza neutra de los avances tecnológicos en telefonía y comunicaciones electrónicas no impide que su uso pueda derivarse hacia la consecución de fines indeseados, cuando no delictivos. Un claro ejemplo lo constituye el uso de Internet como medio del que se sirven las redes de delincuencia organizada, bandas terroristas o delincuentes individuales para contactar y comunicarse de manera barata, inmediata y camuflada entre el millonario número de comunicaciones que diariamente se efectúan a través de la red. Ante esta realidad, la sociedad demanda de las Autoridades que tienen encomendada la persecución de los delitos que se anticipen a la culminación de estas acciones criminales y proporcionen una respuesta eficaz, para lo cual deben contar con todos los medios técnicos, humanos y jurídicos necesarios.
Precisamente, en el marco de este último objetivo se encuadra la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de marzo, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, y por la que se modifica la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio, cuya transposición a nuestro ordenamiento jurídico es el objetivo principal de esta Ley.
El objeto de esta Directiva es establecer la obligación de los operadores de telecomunicaciones de retener determinados datos generados o tratados por los mismos, con el fin de posibilitar que dispongan de ellos los agentes facultados, los miembros de los Cuerpos Policiales autorizados para ello, en el marco de una investigación criminal por la comisión de un delito, el personal del Centro Nacional de Inteligencia para llevar a cabo una investigación de seguridad amparada en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y en la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia, así como los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdo con el apartado 1 del artículo 283 de la Ley de Enjuiciamiento Criminal. Se trata, pues, de que todos éstos puedan obtener los datos relativos a las comunicaciones que, relacionadas con una investigación, se hayan podido efectuar por medio de la telefonía fija o móvil, así como por Internet. El establecimiento de esas obligaciones, justificado en aras de proteger la seguridad pública, se ha efectuado buscando el imprescindible equilibrio con el respeto de los derechos individuales que puedan verse afectados, como son los relativos a la privacidad y la intimidad de las comunicaciones.
En este sentido, la Ley es respetuosa con los pronunciamientos que, en relación con el derecho al secreto de las comunicaciones, ha venido manifestando el Tribunal Constitucional, respeto que, especialmente, se articula a través de dos garantías: en primer lugar, porque los datos sobre los que se establece la obligación de conservación son datos exclusivamente vinculados a la comunicación, ya sea telefónica o efectuada a través de Internet, pero en ningún caso reveladores del contenido de ésta; y, en segundo lugar, porque la cesión de tales datos que afecten a una comunicación o comunicaciones concretas, exigirá, siempre, la autorización judicial previa.
En relación con esta última precisión, cabe señalar que, si bien la Directiva se refiere, expresamente, a que los datos conservados deberán estar disponibles a los fines de detección o investigación por delitos graves, definidos éstos de acuerdo con la legislación interna de cada Estado miembro, el legislador ha optado por habilitar la cesión de estos datos para cualquier tipo de delito a fin de no privar a las Autoridades Judiciales de un mecanismo de detección e investigación con el que actualmente cuentan de acuerdo con la configuración constitucional del derecho al secreto de las comunicaciones.
De esta forma, la extensión de la regulación a todo tipo de delitos, al margen de su calificación como grave o no, deriva del hecho que con frecuencia es imposible de saber con precisión cuando se inicia una investigación penal cuál será la calificación final de los hechos ilícitos. Asimismo, esta opción cuenta con la cobertura que ofrece el artículo 15 de la Directiva 2002/58/CE del Parlamento y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas. Un precepto que habilita posibilidad por cuanto constituye una medida necesaria, proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional, la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de los delitos.
II
La ley cuenta con diez artículos que se agrupan en tres capítulos. El Capítulo I («Disposiciones Generales») se inicia describiendo su objeto, que básicamente se circunscribe a la determinación de la obligación de conservar los datos enumerados en el artículo tercero, que se hayan generado o tratado en el marco de una comunicación de telefonía fija o móvil, o realizada a través de una comunicación electrónica de acceso público o mediante una red pública de comunicaciones. Igualmente, se precisan los fines que, exclusivamente, justifican la obligación de conservación, y que se limitan a la detección, investigación y enjuiciamiento de un delito contemplado en el Código Penal o las leyes penales especiales, con los requisitos y cautelas que la propia ley establece.
En este capítulo también se precisan las limitaciones sobre el tipo de datos a retener, que son los necesarios para identificar el origen y destino de la comunicación, así como la identidad de los usuarios o abonados de ambos, pero nunca datos que revelen el contenido de la comunicación. Igualmente, la Ley impone la obligación de conservación de datos que permitan determinar el momento y duración de una determinada comunicación, su tipo, así como datos necesarios para identificar el equipo de comunicación empleado y, en el caso de utilización de un equipo móvil, los datos necesarios para su localización.
En relación con los sujetos que quedan obligados a conservar los datos, éstos serán los operadores que presten servicios de comunicaciones electrónicas disponibles al público, o que exploten una red pública de comunicaciones electrónicas en España.
La Ley enumera en su artículo 3, de manera precisa y detallada, el listado de datos que quedan sujetos a la obligación de conservación en el marco de las comunicaciones por telefonía fija, móvil o Internet. Estos datos, que, se repite, en ningún caso revelarán el contenido de la comunicación, son los necesarios para identificar el origen y destino de la comunicación, su hora, fecha y duración, el tipo de servicio utilizado, y el equipo de comunicación de los usuarios utilizado. En aplicación de las previsiones contenidas en la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de marzo, quedan incluidas también en el ámbito de aplicación de la Ley las denominadas llamadas telefónicas infructuosas. Igualmente se incluye la obligación de conservar los elementos que sean suficientes para identificar el momento de activación de los teléfonos que funcionen bajo la modalidad prepago.
En el Capítulo II («Conservación y cesión de datos») se establecen los límites para efectuar la cesión de datos, el plazo de conservación de los datos, que será, con carácter general, de doce meses desde que la comunicación se hubiera establecido (si bien reglamentariamente se podrá reducir a seis meses o ampliar a dos años, como permite la Directiva 2006/24/CE), y los instrumentos para garantizar el uso legítimo de los datos conservados, cuya cesión y entrega exclusivamente se podrá efectuar al agente facultado, y para los fines establecidos en la ley, estando cualquier uso indebido sometido a los mecanismos de control de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y su normativa de desarrollo. Además, se establecen previsiones específicas respecto al régimen general regulador de los derechos de acceso, rectificación y cancelación de datos contenido en la referida Ley Orgánica 15/1999.
El Capítulo III, al referirse al régimen sancionador, remite, en cuanto a los incumplimientos de las obligaciones conservación y protección y seguridad de los datos de carácter personal, a la regulación contenida en la Ley 32/2003 de 3 de noviembre, General de Telecomunicaciones. Por otro lado, los incumplimientos de la obligación de puesta a disposición de los Agentes facultados, en la medida en que las solicitudes estarán siempre amparadas por orden judicial, constituirían la correspondiente infracción penal.
En las disposiciones contenidas en la parte final se incluyen contenidos diversos. Por un lado, y a los efectos de poder establecer instrumentos para controlar el empleo para fines delictivos de los equipos de telefonía móvil adquiridos mediante la modalidad prepago, se establece, como obligación de los operadores que comercialicen dicho servicio, la llevanza de un registro con la identidad de los compradores.
Por último, la ley incorpora en las disposiciones finales una modificación de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, para adaptarse al contenido de esta ley, una referencia a su amparo competencial, una habilitación general de desarrollo al Gobierno y un período de seis meses para que las operadoras puedan adaptarse a su contenido.
CAPÍTULO I
Disposiciones generales
Artículo 1. Objeto de la Ley.
1. Esta ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados cuando les sean requeridos con fines de investigación, detección y enjuiciamiento de un delito contemplado en el Código Penal o en las leyes penales especiales.
2. Esta ley se aplicará a los datos de tráfico y de localización sobre personas físicas y jurídicas y a los datos relacionados necesarios para identificar al abonado o usuario registrado.
3. Se excluye del ámbito de aplicación de esta ley el contenido de las comunicaciones electrónicas, incluida la información consultada utilizando una red de comunicaciones electrónicas.
Artículo 2. Sujetos obligados.
Son destinatarios de las obligaciones relativas a la conservación de datos impuestas en esta ley los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones, en los términos establecidos en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.
Artículo 3. Datos objeto de conservación.
1. Los datos que deben conservarse por los operadores especificados en el artículo 2 de esta ley, son los siguientes:
a) Datos necesarios para rastrear e identificar el origen de una comunicación:
1.º Con respecto a la telefonía de red fija y a la telefonía móvil:
i) Número de teléfono de llamada.
ii) Nombre y dirección del abonado o usuario registrado.
2.º Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:
i) La identificación de usuario asignada.
ii) La identificación de usuario y el número de teléfono asignados a toda comunicación que acceda a la red pública de telefonía.
iii) El nombre y dirección del abonado o del usuario registrado al que se le ha asignado en el momento de la comunicación una dirección de Protocolo de Internet (IP), una identificación de usuario o un número de teléfono.
b) Datos necesarios para identificar el destino de una comunicación:
1.º Con respecto a la telefonía de red fija y a la telefonía móvil:
i) El número o números marcados (el número o números de teléfono de destino), y en aquellos casos en que intervengan otros servicios, como el desvío o la transferencia de llamadas, el número o números hacia los que se transfieren las llamadas.
ii) Los nombres y las direcciones de los abonados o usuarios registrados.
2.º Con respecto al correo electrónico por Internet y la telefonía por Internet:
i) La identificación de usuario o el número de teléfono del destinatario o de los destinatarios de una llamada telefónica por Internet.
ii) Los nombres y direcciones de los abonados o usuarios registrados y la identificación de usuario del destinatario de la comunicación.
c) Datos necesarios para determinar la fecha, hora y duración de una comunicación:
1.º Con respecto a la telefonía de red fija y a la telefonía móvil: la fecha y hora del comienzo y fin de la comunicación.
2.º Con respecto al acceso a Internet, al correo electrónico por Internet y a la telefonía por Internet:
i) La fecha y hora de la conexión y desconexión del servicio de acceso a Internet registradas, basadas en un determinado huso horario, así como la dirección del Protocolo Internet, ya sea dinámica o estática, asignada por el proveedor de acceso a Internet a una comunicación, así como la identificación de usuario o del abonado o del usuario registrado.
ii) La fecha y hora de la conexión y desconexión del servicio de correo electrónico por Internet o del servicio de telefonía por Internet, basadas en un determinado huso horario.
d) Datos necesarios para identificar el tipo de comunicación.
1.º Con respecto a la telefonía de red fija y a la telefonía móvil: el servicio telefónico utilizado.
2.º Con respecto al correo electrónico por Internet y a la telefonía por Internet: el servicio de Internet utilizado.
e) Datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación:
1.º Con respecto a la telefonía de red fija: los números de teléfono de origen y de destino.
2.° Con respecto a la telefonía móvil:
i) Los números de teléfono de origen y destino.
ii) La identidad internacional del abonado móvil (IMSI) de la parte que efectúa la llamada.
iii) La identidad internacional del equipo móvil (IMEI) de la parte que efectúa la llamada.
iv) La IMSI de la parte que recibe la llamada.
v) La IMEI de la parte que recibe la llamada.
vi) En el caso de los servicios anónimos de pago por adelantado, tales como los servicios con tarjetas prepago, fecha y hora de la primera activación del servicio y la etiqueta de localización (el identificador de celda) desde la que se haya activado el servicio.
3.º Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:
i) El número de teléfono de origen en caso de acceso mediante marcado de números.
ii) La línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación.
f) Datos necesarios para identificar la localización del equipo de comunicación móvil:
1.º La etiqueta de localización (identificador de celda) al inicio de la comunicación.
2.º Los datos que permiten fijar la localización geográfica de la celda, mediante referencia a la etiqueta de localización, durante el período en el que se conservan los datos de las comunicaciones.
2. Ningún dato que revele el contenido de la comunicación podrá conservarse en virtud de esta ley.
CAPÍTULO II
Conservación y cesión de datos
Artículo 4. Obligación de conservar datos.
1. Como excepción a lo establecido en el artículo 38 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, los sujetos obligados adoptarán las medidas necesarias para garantizar que los datos especificados en el artículo 3 de esta ley se conserven de conformidad con lo dispuesto en ella, en la medida en que sean generados o tratados por aquéllos en el marco de la prestación de las servicios de comunicaciones de que se trate.
2. La citada obligación de conservación se extiende a los datos relativos a las llamadas infructuosas, en la medida que los datos son generados o tratados y conservados o registrados por los sujetos obligados. Se entenderá por llamada infructuosa aquella comunicación en el transcurso de la cual se ha realizado con éxito una llamada telefónica pero sin contestación, o en la que ha habido una intervención por parte del operador u operadores involucrados en la llamada.
3. Los datos relativos a las llamadas no conectadas están excluidos de las obligaciones de conservación contenidas en esta ley. Se entenderá por llamada no conectada aquella comunicación en el transcurso de la cual se ha realizado sin éxito una llamada telefónica, sin que haya habido intervención del operador u operadores involucrados.
Artículo 5. Período de conservación de los datos.
1. La obligación de conservación de datos impuesta cesa a los doce meses computados desde la fecha en que se haya producido la comunicación.
Reglamentariamente se podrá ampliar o reducir el plazo de conservación para determinados datos o una categoría de datos hasta un máximo de dos años o un mínimo de seis meses, tomando en consideración el coste del almacenamiento y conservación de los datos, así como el interés de los mismos para los fines de investigación, detección y enjuiciamiento de los delitos, previa consulta a los operadores.
Los datos, excepto aquéllos que se hayan cedido, se suprimirán al término del período de conservación.
2. Sin perjuicio de lo establecido en el apartado anterior, los datos permanecerán cancelados, a los efectos previstos en el artículo 16.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en tanto no se haya producido la prescripción de las infracciones previstas en la presente ley.
Artículo 6. Normas generales sobre cesión de datos.
1. Los datos conservados de conformidad con lo dispuesto en esta ley sólo podrán ser cedidos de acuerdo con lo dispuesto en ella o en otras normas con rango de ley, y para los fines que en ellas se determinan.
2. La cesión de la información se efectuará únicamente a los agentes facultados. A estos efectos, tendrán la consideración de agentes facultados los miembros de las fuerzas y cuerpos de seguridad, cuando desempeñen funciones de policía judicial, de acuerdo con lo previsto en el artículo 547 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial; el personal del Centro Nacional de Inteligencia en el curso de las investigaciones de seguridad sobre personas o entidades, de acuerdo con lo previsto en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y en la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia; así como los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdo con el apartado 1 del artículo 283 de la Ley de Enjuiciamiento Criminal.
Artículo 7. Procedimiento de cesión de datos.
1. Los operadores estarán obligados a ceder al agente facultado, previa resolución judicial, los datos conservados a los que se refiere el artículo 3 de esta ley.
2. La resolución judicial determinará, conforme a lo previsto en la Ley de Enjuiciamiento Criminal y de acuerdo con los principios de necesidad y proporcionalidad, los datos conservados que han de ser cedidos a los agentes facultados.
3. El plazo de ejecución de la orden de cesión será el fijado por los agentes facultados, atendiendo a la urgencia de la cesión a los efectos de la investigación de que se trate, así como a la naturaleza y complejidad técnica de la operación. Si no se establece otro plazo distinto, la cesión deberá efectuarse:
a) Cuando los datos tengan una antigüedad inferior a tres meses, dentro de cuarenta y ocho horas contadas a partir de las 8,00 horas del día laborable siguiente a aquél en que el sujeto obligado reciba la orden.
b) Cuando los datos tengan una antigüedad superior a tres meses, dentro de setenta y dos horas contadas a partir de las 8,00 horas del día laborable siguiente a aquél en que el sujeto obligado reciba la orden.
Artículo 8. Protección y seguridad de los datos.
1. Los sujetos obligados deberán identificar al personal especialmente autorizado para acceder a los datos objeto de esta ley, adoptar las medidas técnicas y organizativas que impidan su manipulación o uso para fines distintos de los comprendidos en la misma, su destrucción accidental o ilícita, y su pérdida accidental, así como su almacenamiento, tratamiento, divulgación o acceso no autorizados, con sujeción a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y en su normativa de desarrollo.
2. Las obligaciones relativas a las medidas para garantizar la calidad de los datos y la confidencialidad y seguridad en el tratamiento de los mismos serán las establecidas en la Ley Orgánica 15/1999, de 13 de diciembre, y su normativa de desarrollo.
3. El nivel de protección de los datos almacenados se determinará de conformidad con lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, y en su normativa de desarrollo.
4. La Agencia Española de Protección de Datos es la autoridad pública responsable de velar por el cumplimiento de las previsiones de la Ley Orgánica 15/1999, de 13 de diciembre, y de la normativa de desarrollo aplicables a los datos contemplados en la presente ley.
Artículo 9. Excepciones a los derechos de acceso y cancelación.
1. El responsable del tratamiento de los datos no comunicará la cesión de datos efectuadas de conformidad con esta ley.
2. El responsable del tratamiento de los datos denegará el ejercicio del derecho de cancelación, previsto en la Ley Orgánica 15/1999, de 13 de diciembre, cuando el afectado esté siendo objeto de investigación de un delito. Se entenderá que el afectado está siendo objeto de investigación de un delito cuando sus datos hayan sido cedidos conforme al procedimiento regulado en el artículo 7 de esta ley.
3. El afectado al que se deniegue, total o parcialmente, el ejercicio del derecho mencionado en el apartado anterior podrá ponerlo en conocimiento del Director de la Agencia Española de Protección de Datos, que deberá asegurarse de la procedencia o improcedencia de la denegación.
CAPÍTULO III
Infracciones y sanciones
Artículo 10. Régimen aplicable al Incumplimiento de obligaciones contempladas en esta Ley.
El incumplimiento de las obligaciones previstas en esta Ley se sancionará de acuerdo con lo dispuesto en la Ley 32/2003, de 3 de noviembre, sin perjuicio de las responsabilidades penales que pudieran derivar del incumplimiento de la obligación de cesión de datos a los agentes facultados.
Disposición adicional única. Servicios de telefonía mediante tarjetas prepago.
1. Los operadores de telefonía móvil que comercialicen servicios con sistemas de activación mediante la modalidad de tarjetas de prepago, deberán llevar un libro-registro en el que conste la identidad de los clientes que adquieran una tarjeta inteligente con dicha modalidad de pago.
La identificación se efectuará mediante documento acreditativo de la personalidad, haciéndose constar en el libro-registro el nombre, apellidos y nacionalidad del comprador, así como el número correspondiente al documento identificativo utilizado y la naturaleza o denominación de dicho documento. En el supuesto de personas jurídicas, la identificación se realizará aportando la tarjeta de identificación fiscal, y se hará constar en el libro-registro la denominación social y el código de identificación fiscal.
2. Durante la vigencia de la tarjeta y hasta que cese la obligación de conservación a que se refiere el artículo 5 de esta ley, los operadores deberán estar en disposición de proporcionar los datos identificativos previstos en el apartado anterior, cuando para el cumplimiento de sus fines les sean requeridos por los agentes facultados, los miembros de las Fuerzas y Cuerpos de Seguridad del Estado y de los Cuerpos Policiales de las Comunidades Autónomas con competencia para la protección de las personas y bienes y para el mantenimiento de la seguridad pública, el personal del Centro Nacional de Inteligencia en el curso de las investigaciones de seguridad sobre personas o entidades, así como los funcionarios de la Dirección Adjunta de Vigilancia Aduanera.
3. Los datos identificativos estarán sometidos a las disposiciones de esta ley, respecto a los sistemas que garanticen su conservación, no manipulación o acceso ilícito, destrucción, cancelación e identificación de la persona autorizada.
4. Los operadores deberán ceder los datos identificativos previsto en el apartado 1 de esta disposición a los agentes facultados, a los miembros de las Fuerzas y Cuerpos de Seguridad del Estado y de los Cuerpos Policiales de las Comunidades Autónomas con competencia para la protección de las personas y bienes y para el mantenimiento de la seguridad pública, o al personal del Centro Nacional de Inteligencia, así como los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, cuando les sea requeridos por éstos con fines de investigación, detección y enjuiciamiento de un delito contemplado en el Código Penal o en las leyes penales especiales.
5. Constituyen infracciones a lo previsto en la presente disposición las siguientes:
a) Son infracciones muy graves tanto el incumplimiento de la llevanza del libro-registro referido, como la negativa a la cesión y entrega de los datos a las personas y en los casos previstos en esta disposición.
b) Son infracciones graves la llevanza incompleta de dicho libro-registro, así como la demora injustificada en la cesión y entrega de los datos a las personas y en los casos previstos en esta disposición.
6. A las infracciones previstas en el apartado anterior les será de aplicación el régimen sancionador establecido en la Ley 32/2003, de 3 de noviembre, correspondiendo la competencia sancionadora al Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información.
El procedimiento para sancionar las citadas infracciones se iniciará por acuerdo del Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información, pudiendo el Ministerio del Interior instar dicho inicio.
En todo caso, se deberá recabar del Ministerio del Interior informe preceptivo y determinante para la resolución del procedimiento sancionador.
7. La obligación de inscripción en el libro-registro de los datos identificativos de los compradores que adquieran tarjetas inteligentes, así como el resto de obligaciones contenidas en la presente disposición adicional, comenzarán a ser exigibles a partir de la entrada en vigor de esta ley.
8. La obligación de inscripción a que se refiere el apartado anterior no es de aplicación a las tarjetas adquiridas con anterioridad a la entrada en vigor de esta ley, incluso en los supuestos de recarga de las mismas.
Disposición transitoria única. Vigencia del régimen de interceptación de telecomunicaciones.
Las normas dictadas en desarrollo del Capítulo III del Título III de la Ley 32/2003, de 3 de noviembre, continuarán en vigor en tanto no se opongan a lo dispuesto en esta ley.
Disposición derogatoria única. Derogación normativa.
1. Quedan derogados los artículos 12 y 38.2, c) y d), y 3 a) de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
2. Asimismo, quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en esta ley.
Disposición final primera. Modificación de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.
La Ley 32/2003 de 10 de noviembre, General de Telecomunicaciones se modifica en los siguientes términos:
Uno. Se suprime el último párrafo del apartado 5 del artículo 38.
Dos. Se añade un nuevo epígrafe 9 al artículo 38 con la siguiente redacción:
«9. Lo establecido en este artículo se entiende sin perjuicio de las obligaciones establecidas en la Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.»
Tres. En el artículo 53, se modifican los párrafos o) y z), que quedan redactados de la siguiente forma:
«o) El incumplimiento deliberado, por parte de los operadores, de las obligaciones en materia de interceptación legal de comunicaciones impuestas en desarrollo del artículo 33 de esta ley y el incumplimiento deliberado de las obligaciones de conservación de los datos establecidas en la Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.»
«z) La vulneración grave o reiterada de los derechos previstos en el artículo 38.3, salvo el previsto por el párrafo h), cuya infracción se regirá por el régimen sancionador previsto en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, y el incumplimiento grave o reiterado de las obligaciones de protección y seguridad de los datos almacenados establecidas en el artículo 8 de la Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.»
Cuatro. En el artículo 54 se modifican los párrafos ñ) y r), que quedan redactados de la siguiente forma:
«ñ) El incumplimiento, por parte de los operadores, de las obligaciones en materia de interceptación legal de comunicaciones impuestas en desarrollo del artículo 33 de la presente ley y el incumplimiento de las obligaciones de conservación de los datos establecidas en la Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, salvo que deban considerarse como infracción muy grave, conforme a lo dispuesto en el artículo anterior.»
«r) La vulneración de los derechos previstos en el artículo 38.3, salvo el previsto por el párrafo h), cuya infracción se regirá por el régimen sancionador previsto en la Ley 34/2002, de 11 de julio, y el incumplimiento de las obligaciones de protección y seguridad de los datos establecidas en el artículo 8 de la Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, salvo que deban considerarse como infracción muy grave.»
Disposición final segunda. Competencia estatal.
Esta ley se dicta al amparo de lo dispuesto en el artículo 149.1.29ª de la Constitución, que atribuye al Estado la competencia exclusiva en materia de seguridad pública y de la regla 21ª del artículo 149.1.21ª, que confiere al Estado competencia exclusiva en materia de telecomunicaciones.
Disposición final tercera. Desarrollo reglamentario.
Se habilita al Gobierno a dictar cuantas disposiciones sean necesarias para el desarrollo y ejecución de lo previsto en esta Ley.
Disposición final cuarta. Adaptaciones y configuraciones técnicas.
1. La cesión a los agentes facultados de los datos cuya conservación sea obligatoria, se efectuará en formato electrónico, en la forma que se determine por Orden conjunta de los Ministros de Interior, de Defensa y de Economía y Hacienda, que se aprobará en el plazo de tres meses desde la entrada en vigor de esta ley.
2. Los sujetos obligados, a los que se refiere el artículo 2 de esta ley, tendrán un plazo de tres meses desde la aprobación de la Orden prevista en el apartado anterior para configurar, a su costa, sus equipos y estar técnicamente en disposición de cumplir con las obligaciones de conservación y cesión de datos.
Disposición final quinta. Entrada en vigor.
Esta ley entrará en vigor a los veinte días de su publicación en el «Boletín Oficial del Estado».
Hace unos días comentaba un interesante servicio de ASNEF: el PERSUS. Hoy quisiera ampliar la información a otros servicios de prevención del fraude que bajo la marca VERAZ incluyen otras posibilidades.
El Servicio VERAZ-SPF constituye una herramienta para la prevención del fraude en la actividad financiera y comercial. Ha sido diseñado conjuntamente por EQUIFAX y la Comisión de Prevención del Fraude de ASNEF.
Fruto de este trabajo, en el mes de enero de 2006 se produjo el lanzamiento del Servicio VERAZ SPF, cuya explotación realiza la sociedad SOLUCIONES VERAZ ASNEF EQUIFAX, S.L.
El Gestor del Servicio, así como de la Plataforma Tecnológica que la soporta, será la empresa EQUIFAX, quien ostenta una dilatada experiencia de más de 10 años en la gestión de ficheros con datos muy sensibles, como son los bureaus de crédito (ASNEF) y multisectorial (ASNEF-INDUSTRIAL).
El servicio global VERAZ-SPF se compone de tres grandes fuentes de información:
El Fichero VERAZ FODI es un fichero de información de carácter multisectorial, basado en la reciprocidad y que contiene información relativa a operaciones y solicitudes irregulares en las que se han detectado que los datos aportados por el interesado resultan incongruentes con su solvencia y localización. El Fichero VERAZ FODI contiene datos facilitados por la entidad ofertante de una operación irregular, con el previo consentimiento del interesado.La finalidad del Fichero VERAZ FODI es prevenir conductas perjudiciales para el mercado consistentes en obtener la aprobación de operaciones utilizando datos incongruentes, así como la promoción de la transparencia, flexibilidad y saneamiento del mercado.
La base de datos Register of Known Spam Operations (ROKSO) en español, Registro de Operaciones de Spam Conocidas, recoge información y evidencias electrónicas de operaciones de SPAM profesionales que hayan reincidido al menos 3 veces tras las notificaciones de los ISP.
Según este censo 200 bandas son responsables del 80% del SPAM recibido en Europa y América. La información se obtiene recopilando aliases, direcciones de email, dominios, redirecciones, ubicaciones de dominios y ordenadores anfitrión, que permiten llegar a un «núcleo duro» de 200 operaciones en las cuales intervienen 500-600 spammers («ametralladoras de correo no deseado») profesionales que asu vez también van cambiando de dominios y apodos. Estos pájaros que operan ilegalmente se mueven de red en red y de pais en pais buscando ISP (Internet Service Providers, Proveedores de Servicios Internet) benignos a sus prácticas y que son conocidos por la laxitud de sus políticas «anti-spam».
La Base de Datos ROKSO de Spamhaus está disponible en una versión especial de acceso restringido a Cuerpos y Fuerzas de Seguridad (Law Enforcement Agencies) cualificadas que proporciona información sobre los registros de evidencias electrónicas, los logs (diarios electrónicos) y datos adicionales sobre las actividades ilegales de estas bandas que son demasiado sensibles como para ser expuestos de forma pública.
En el servicio de Spamhaus se recogen varios rankings interesantes. En la clasificación de países de los que procede el SPAM destacan Estados Unidos, China y Japón. Los 10 «peores» países desde el punto de vista del SPAM son:
En el ámbito de la gestión de los Call Centers se trabaja continuamente con datos personales. Tanto en el caso de los especializados en la recepción de llamadas como en el de los que las generan, la diligente gestión de los datos es un elemento de capital importancia en el marco general de una provisión de servicios de calidad.
Por ello, todos los sistemas de apoyo a la gestión de llamadas han de ser especialmente cuidadosos en la implementación de las funciones que dejan rastros de auditoría sobre todas las actuaciones en las que se gestionan datos personales.
En los últimos años, se han dado varios casos de personas que han utilizado la LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) como arma arrojadiza frente a las empresas cuando otros mecanismos se han mostrado insuficientes, por ejemplo en la gestión de reclamaciones. Considerando la forma de gestión de las denuncias por parte de la Agencia de Protección de Datos (APD) y la cuantía de las sanciones, está claro que disponer de mecanismos que permitan actuar frente a las denuncias minimizará las incidencias y dotará a las empresas que dispongan de ellos de un excelente recurso para relacionarse con la APD.
Una primera distinción en el tratamiento del problema se da respecto a la titularidad del Call Center. Será diferente el caso de un Call Center operado por la entidad Responsable del Fichero, respecto del de otro operado por una empresa tercera que actúa como Encargado del Tratamiento.
La forma de demostrar la actuación diligente en uno y otro caso es diferente, pero en ambos se basa en registrar minuciosamente todas las actuaciones con indicación precisa de tiempo y del detalle de la actuación.
En el caso de Call Center que actúan para empresas distintas, debe estar perfectamente documentado contractualmente el tipo de relación entre ellas, en particular respecto a la transferencia de datos, su titularidad y su tratamiento, y el tipo de servicio que se presta y cómo afecta a la gestión de los datos. Si la empresa actúa en otro país, o contrata teleoperadores en diferentes ubicaciones, debe indicarse esta circunstancia, señalando el nivel de Protección de Datos que la ley otorga en cada país y la consideración de que este nivel sea equivalente al del país de origen de los datos. En este caso debe solicitarse autorización a la Agencia de Protección de Datos con indicación del País de destino de la transferencia de datos y de las medidas de seguridad técnicas y procedimentales que se aplicarán para garantizar la confidencialidad del tratamiento de los datos.
El Documento de Seguridad de la empresa que ofrece los servicios de Call Center posiblemente sea uno de los Anexos de la relación contractual, que la empresa contratante deberá valorar para asegurarse de que es compatible con sus propias medidas de seguridad, y, por tanto, son su propio Documento de Seguridad.
En el sistema informático de la empresa o el departamento especializados, es conveniente que se registren todas las actuaciones sobre datos personales. Si se visualizan por un operador se indicará en el sistema de registro la identidad del operador y el tipo de datos a que ha tenido acceso y en qué momento. Si pueden modificarse, se registrará el operador que los ha modificado, el momento en que lo hizo, los datos que había antes de la modificación y los que quedaron tras ella. Se indicará la causa de la modificación y la forma exacta en la que se obtuvo el consentimiento del interesado para la gestión de los datos o para la rectificación, en particular indicando si se explicó al usuario la finalidad de la obtención de los datos y el tratamiento que se les dará.
Si la obtención de los datos se realizó a través de un formulario u otro documento escrito se adjuntará un enlace a su imagen digitalizada o un localizador del documento físico que documenta la actuación. Si fue a través de un formulario web, se indicará tal circunstancia y el máximo de datos posibles para demostrar la actuación: la IP desde la que se produjo el acceso, la resolución inversa de dominio, el valor de la cookie, de existir, el tipo de autenticación utilizado (usuario/password, teléfono móvil, certificado electrónico,…). Si el acceso fue telefónico (lo que en nuestro caso será lo más frecuente) se adjuntarán los datos de contexto de que se disponga (identificador del número llamante, mecanismos de identificación utilizados por el operador, enlace a la digitalización de la grabación si se autorizó por el usuario y existe, o localizador de la grabación si se utiliza un sistema independiente.
En los call center inbound (especializados en gestión de llamadas entrantes) en los que se traten quejas y reclamaciones, y especialmente en los relativos a problemas de facturación se instruriá a los operadores a que sean sensibles a cualquier mención de la LOPD o de la APD por parte del reclamante, registrando esta circunstancia en la ficha que documenta la actuación. Aunque no en todos los casos en los que se amenaza con denunciar a la entidad ante la APD se cumple tal amenaza, debemos asegurarnos de que los responsables de la gestión están al tanto de que es posible, de forma que sea posible verificar de forma reforzada que se mantiene toda la capacidad probatoria respecto a las actuaciones en ese cliente si hubiera que documentarlas ante la APD. En este sentido, uno de los elementos de análisis es la proporción entre la cuantía o peculiaridad de la discrepancia con el cliente, respecto al coste de gestión de la denuncia o la cuantía de la sanción potencial.
En los call center outbound (especializados en gestión de llamadas salientes) hay que ser cuidadosos en varios aspectos. Verificar la oportunidad de la llamada y si el destinatario de la llamada desea recibirla en otro momento (registrando esta eventualidad en la ficha de actuación). Identificar en nombre de quien se hace la llamada, que será la entidad Responsable del Fichero o del Tratamiento. De la forma más natural posible en el curso de la conversación, se dará indicación al usuario de las circunstancias por las que la entidad dispone de sus datos, de la importancia de que sean correctos, y de la finalidad de la entidad al disponer de ellos. Antes de concluir la llamada conviene indicar que la entidad es respetuosa con sus datos personales y muy rigurosa en su gestión y la forma en la que el usuario puede ejercitar sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)
Ciertos tipos de datos personales requieren tratamientos especiales. Los datos clasificados por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), como de nivel alto han de estar sometidos a unas medidas de seguridad más severas, lo que debe tenerse en cuenta en los sistemas utilizados para su gestión.
En la actualidad, el Reglamento de Medidas de Seguridad, aprobado por Real Decreto 994/1999, de 11 de junio como desarrollo de la vieja LORTAD (Ley Orgánica 5/1992, de 29 de octubre) sigue vigente por la Disposición Transitoria Tercera de la LOPD. Aunque el Reglamento se aplicaba inicialmente solo al tratamiento automatizado de datos, la LOPD amplió su alcance a los soportes no automatizados (en papel y otros). Eso quiere decir que en todo proyecto nuevo se debe considerar desde el principio toda la gestión no automatizada, si bien, los ficheros en soportes no automatizados que existieran antes de enero del 2000 (fecha de entrada en vigor de la LOPD) disponen del período de adaptación establecido en la Disposición Adicional Primera (que finaliza en octubre de 2007).
En la actualidad se conocen algunos datos del Borrador del nuevo Reglamento que desarrollará la LOPD y que en la actualidad se encuentra en proceso de tramitación parlamentaria. Entre sus objetivos está el de dotar de mayor seguridad jurídica a los consumidores, lo que implica que el sector del telemarketing habrá de estar especialmente alerta a sus contenidos.
El reglamento, elaborado conjuntamente por el Ministerio de Justicia y la Agencia Española de Protección de Datos, será trasladado al para su aprobación. Inicialmente, se pensaba que el reglamento vería la luz en la primavera de 2006. Sin embargo, diferentes circunstancias han alargado el plazo inicialmente previsto, y en estos momentos no parece que se publique antes del 2007.
Aunque no supone una modificación sustancial de la normativa hasta ahora vigente, sí incorpora ciertas novedades que afectarán sobre todo a aquellas empresas o profesionales que tengan en su poder datos de niveles medio y/o alto.
Otras novedades se centran en el desarrollo de las medidas de seguridad que deberán aplicarse en la protección de toda la información empresarial almacenada en soporte papel. Lo que significa, que la entrada en vigor de la nueva norma conllevará la adopción de medidas de seguridad adicionales.
A través de meneame me entero de este servicio de Geolocalización de IP, que es muy curioso.
En nuestro sector de la seguridad ya se sabe desde hace algún tiempo que, gracias al sistema de asignación de direcciones IP de la IANA, es relativamente sencillo asignar una ubicación física a una dirección IP concreta, y conocer detalles como el ISP y el sistema de asignación.
Pero este servicio de Seomoz te lo da todo hecho.
La precisión, digamos, que el punto buscado está dentro de un círculo de unos 10 kilómetros de radio del indicado.
Mensaje para directivos y responsables de seguridad.
Hay normas como la LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) que imponen ciertas obligaciones a las empresas respecto a las medidas de seguridad que deben seguir.
Lo que pretende esa norma es proteger los datos de las personas, que pueden verse sometidos al abuso de un tratamiento indiscriminado en manos de empresas de marketing y publicidad, especialmente con las posibilidades de tratamiento masivo que dan los ordenadores. Sin embargo, las medidas de seguridad que impone su Reglamento (de momento el Reglamento de la anterior LORTAD, aunque se espera la próxima publicación del Reglamento específico de la LOPD) son de gran utilidad para proteger otros tipos de información.
Uno de los riesgos que han aparecido recientemente es el de los dispositivos de almacenamiento (como memorias y discos duros) que son utilizables mediante puertos USB. Y puesto que prácticamente todos los ordenadores tienen puertos USB, la información de la empresa (tanto la que está en el disco local del ordenador como la que está en los servidores de ficheros y en la intranet) corre el riesgo de acabar en uno de esos dispositivos.
La empresa Securewave, cuyos productos distribuye mi empresa Albalia Interactiva ha creado diferentes aplicaciones de seguridad, de las que la más interesante, para atajar el problema que he descrito, es Sancturay Device Control.
Sancturay Device Control es una aplicación ligera que se instala en cada ordenador de la organización y controla los diferentes dispositivos que se le conectan y la información que entra y sale por ellos.
Se gestiona centralizadamente en entornos de red Microsoft que dispongan de Active Directory y permite dar permisos de acceso a periféricos (CD, DVD, Floppy, memory sticks ..) relacionados con grupos de usuarios o de máquinas.
Estos permisos de acceso pueden ser del tipo escritura, lectura o temporales, e incluso en relación con la cantidad máxima de información que se puede insertar o extraer de ellos diariamente. Para usuarios cuyo perfil deba permitir que no se impongan limitaciones, el sistema permite controlar la natiraleza exacta de los ficheros que entran y salen de los dispositivos.
Esta herramienta, de muy bajo coste unitario por licencia (menos de 100 euros, aunque depende del número de unidades adquiridas en una determinada instalación) es una ayuda esencial para poder dar cumplimiento a algunas de las obligaciones de la LOPD que eran muy difíciles de satisfacer hasta fechas recientes.
En la sección Noticias de la web de la Autoridad de Certificación de la Comunidad Valenciana (ACCV) se incluye un interesante artículo que reproduzco aquí.
El pasado mes de mayo el Ministerio de Presidencia publicó en el Boletín Oficial del Estado dos Reales Decretos que eliminan la obligación de aportar fotocopias del DNI y de los certificados de empadronamiento en los trámites de la Administración General del Estado en los que hasta ahora se exigían, con el objeto de dejar constancia de los datos personales y de residencia y evitar así posibles errores o fraudes.
En la nueva normativa se establece que la comprobación de los datos es responsabilidad del Órgano que instruye el procedimiento, mediante datos de identificación que ya obren en sus archivos, bases de datos u otros fondos documentales. En aquellos procedimientos cuya identificación de modo fehaciente sea imprescindible para su tramitación, se solicitará el consentimiento del interesado para que el órgano instructor consulte los datos en la fuente mediante un Sistema de Verificación de Datos de Identidad y/o de Residencia, respectivamente.
Con este cambio en el procedimiento, los datos de los ciudadanos que se obtienen son los mismos y se utilizan para la misma función administrativa que en el procedimiento tradicional. Sin embargo se reduce la documentación a aportar en papel y ésta se obtiene de forma más ágil y fiable ya que los datos se obtienen directamente de la fuente que los produce, simplificándose notablemente los trámites de los ciudadanos con la Administración Pública.
Para que la entrada en vigor de los decretos mencionados sea efectiva, el Ministerio de Administraciones Pública (MAP) está desarrollando el Sistema de Verificación de Datos de Identidad y/o de Residencia al que se hace referencia en los mismos. Se trata de una aplicación capaz de realizar la validación de los datos de residencia de un ciudadano sin necesidad de presentar su certificado de empadronamiento o bien validar los datos asociados a un determinado número de DNI.
El sistema en desarrollo pretende dar cobertura a todos los organismos gestores de la Administración susceptibles de proporcionar algún tipo de trámite administrativo a los ciudadanos y al mismo tiempo, ser lo suficientemente flexible como para ser utilizado en el ámbito de cada Ministerio, Organismo, Comunidad Autónoma y Ente Local.
El objetivo es que el sistema permita verificar los datos por los funcionarios de las unidades gestoras de cualquier Administración Pública autorizados a tal efecto o de forma automatizada por las aplicaciones que sean adaptadas para incluir dicha consulta. Para ello se ha estructurado en dos módulos de verificación de los datos de identidad y de verificación de los datos de residencia respectivamente y se han planteado dos alternativas para realizar la comprobación.
La primera opción es la verificación web de los datos. En este caso el MAP facilitará un interfaz WEB accesible a través de un navegador, donde a partir de un conjunto de datos de entrada de un determinado ciudadano, un funcionario autorizado podrá obtener la verificación de los datos.
El funcionario deberá disponer de un certificado digital de usuario reconocido para identificarse ante el sistema de forma segura y para firmar la solicitud de verificación. El sistema deberá verificar que el certificado del usuario no ha sido revocado y comprobar que el usuario tiene autorización para realizar la consulta de la información.
En primer lugar el sistema comprobará la validez del certificado a través de la Plataforma de Validación del MAP. Una vez verificada la identidad del funcionario y su autorización, se procederá a verificar los datos de identidad del ciudadano objeto de la consulta, a través de una petición firmada electrónicamente.
En función del dato a validar el sistema creado se conectará:
a la Dirección General de Policía y de la Guardia Civil, competente en la consolidación de los datos de identidad.al Instituto Nacional de Estadística competente en la consolidación de los datos de residencia en todo el territorio nacional.Una vez recibida la respuesta con los datos de verificación del ciudadano, ésta será transmitida vía telemática para ser visualizada por el funcionario en su interfaz web.
La segunda opción posible es realizar una Consulta Automatizada de datos del ciudadano a través de un WebService que proporcionará el sistema, y al que se invocará desde la correspondiente aplicación de la unidad gestora mediante una petición firmada por el certificado de la aplicación. La petición contendrá la identificación del ciudadano objeto de la consulta, y será enviada a través de una transmisión telemática de datos entre los correspondientes sistemas.
De forma análoga al módulo anterior, el sistema autorizará la consulta en caso de que el certificado de la aplicación que ha firmado la petición tenga el permiso correspondiente, y a continuación, el sistema solicitará la información de verificación de datos de identidad y/o residencia del ciudadano objeto de la consulta, a través de una petición firmada electrónicamente al servicio proporcionado por la Dirección General de la Policía y de la Guardia Civil o al Instituto Nacional de Estadística.
Una vez recibida la respuesta con los datos de verificación, ésta será transmitida vía telemática a la aplicación a través de una transmisión de datos entre sistemas.
Tanto si la verificación es a través del interfaz web como si se trata de una consulta automatizada de datos, la información transmitida tiene su integridad y confidencialidad garantizada jurídicamente ya que, en ambos casos se realiza el registro de todas las operaciones, con firma electrónica y sellado de tiempo, a través del Módulo de Trazabilidad de Información y Auditoría del sistema.
La ACCV está colaborando con el Ministerio de Administraciones Públicas en la prestación de distintos servicios, tanto en las iniciativas de validación de certificados reconocidos a través de la Plataforma de Validación de Certificados como en el Sistema de Validación de Datos. En concreto, la ACCV ha desarrollado un frontal web que actuará como interfaz en la Comunitat Valenciana para la validación de los datos de identidad y de padrón y ofrecerá los servicios de verificación de datos que facilita el MAP a las Administraciones Públicas valencianas. Estos servicios, cuyo soporte informático y de comunicaciones ya está desarrollado, estarán disponibles para las Administraciones valencianas a través de la ACCV, tan pronto se autorice por parte de los organismos correspondientes de la Administración General del Estado.
Desde la ACCV se considera que los nuevos servicios, en colaboración con el MAP, son de gran interés para los Ciudadanos, Administraciones Públicas, Universidades, Empresas y Colegios Profesionales. Por una parte ofrece la posibilidad de validar a través de sus sistemas cualquier certificado reconocido por el MAP (más información en http://www.dnielectronico.es/seccion_aapp/platform.html) y por otra, la comprobación de los datos del padrón y de D.N.I en las fuentes de las entidades competentes. Todas estas iniciativas fomentan la universalización en el uso de los certificados digitales, la interoperabilidad entre administraciones públicas y trámites administrativos más eficientes.
Escuché este «palabro» a D. Mauricio Pastor.
Él dijo qué significaba, pero yo ya no me acordaba, y, por algún motivo extraño, estos días me rondaba por la cabeza.
Al fin he recurrido a Google y he vuelto a saber que este invento es «a newspaper written in large hieroglyphs», o en el diccionario on-line de la RAE, dazibao (¿se escribe así en español?) «En la República Popular China, periódico mural a veces manuscrito, generalmente de contenido político, expuesto en lugares públicos»
El nombre es curioso y permite dar un nombre culto a los «graffitti» y a las «pintadas».
E incluso valdría para dar nombre a un blog
Bloggers prestigiosos como Enrique Dans dedican comentarios a la Seguridad y ratifican el interés general en una disciplina que nos parece esencial a los que nos dedicamos a ella. También nos parece que no es suficientemente valorada.
Además me ha permitido descubrir el Blog de Fernando Aparicio, al que conozco desde hace años y con quien también he compartido cursos y seminarios en el Instituto de Empresa.
Veo que Fernando empezó su Blog más o menos al mismo tiempo que yo empecé el mío y que tenemos muchos puntos en común, de modo que espero hacer referencia a sus comentarios entre los que ya he visto algunos temas interesantes como la referencia a una Sentencia que llamó la atención hace unos días y que comenté en el Foro de las Evidencias Electrónicas.
Todo es electrónico 