Archivo de la categoría: Delitos telemáticos

Free Lotto y otros fraudes de loterías

Muchas personas acceden a este Blog buscando información sobre supuestos sorteos que aparecen en mensajes de e-mail que reciben. A pesar de las explicaciones que he ido poniendo, y que otros lectores han ido enriqueciendo siguen preguntando si su caso concreto tiene premio o no.

De hecho, algunos de los posts de este blog se han hecho muy populares gracias a Google, en función de esa duda ilusionada de muchas personas que reciben los mails fraudulentos y tras ellos investigan términos de su email en buscadores.

Los comentarios que ponen en el blog son siempre agradecidos por el autor, pero no puedo atenderlos todos de forma individualizada.

Por favor, lean lo que ya está escrito y no dejen preguntas personales ni escriban su dirección de e-mail porque los delincuentes utilizan programas automáticos para captar direcciones de e-mail de todo tipo de páginas web.

Respecto a Free Lotto, es cierto que hubo una empresa Free Lotto que se caracterizaba por su marketing agresivo. Permitían jugar en sorteos a cambio de ver publicidad. Aunque sus técnicas de marketing son ilegales en la mayor parte del mundo, la empresa aparentemente existe y podría ser legal en Estados Unidos.

Sin embargo, no solo con el nombre de Free Lotto, sino con el de muchas organizaciones legales de loterías (como «Lotería Nacional», «El Gordo» y otras) y a veces inventándose sorteos falsos (de Microsoft, Google, Yahoo y otras marcas conocidas), ciertos delincuentes ofrecen premios con técnicas de SCAM nigeriano, de forma que hay que dar ciertos datos y hacer ciertos pagos para liberar el supuesto premio.

Estos premios no existen.

La regla de oro es: Si usted no la jugado en una lotería, es imposible que le haya correspondido un premio.

De modo que la probabilidad de que el correo que ha recibido sea un fraude es del 100%.

Incluso si ha jugado de verdad en cualquier tipo de juego (lo cual debería saber, ya que deberá conservar el billete de lotería o el el justificante de haber pagado por su participación, y conocerá la fecha de celebración del sorteo y el local en el que realizó la adquisición), la probabilidad de obtener un premio es muy baja y ninguna organización confirma los premios individualmente: usted deberá comprobar en la publicación de premios si su participación resulta agraciada.

Nunca informe de datos personales, especialmente financieros y nunca realice ningún tipo de pago incitado por mensajes de correo electrónico.

Nunca haga click en enlaces que vengan en un correo electrónico, especialmente si es para acceder a un formulario en el que haya que introducir ningún tipo de dato, como nombre, número de cuenta o de tarjeta VISA o MAsterCArd, código de usuario o clave.

Se puede hacer «phishing» de muchas maneras.

Y un último ruego: en los mensajes intenten cuidar la ortografía. Aunque fallos los tenemos todos, y yo puedo editar los mensajes que ustedes dejan, a veces recibo mensajes horrorosos que no me queda más remedio que borrar.

Free Lotto es un engaño. Freelotto es un fraude.

Ya he avisado en anteriores ocasiones contra FreeLotto. No hay duda: es un fraude.

Es un fraude la forma ilegal de actuar de la citada entidad (por su marketing agresivo y poco claro), y lo son las múltiples variantes de fraude que citando a Free Lotto, o la lotería del Zodiaco, o la lotería de Camelot, o «El Gordo», o la de Microsoft, o la de Yahoo o la de Google intentan captar datos personales y entre ellos, datos financieros y de tarjetas de crédito. Son loterías inventadas por los delincuentes que citan marcas o nombres célebres para ganar credibilidad.

La mayor parte de ellas proceden de múltiples paises (muchas de Nigeria, o de nigerianos especializados en este tipo de fraudes y ubicados por su organización criminal en distintas partes del mundo), por lo que no se entiende el sentimiento «anti yanki» de muchos de los comentarios que se incluyen en este y otros webs, por personas que presuponen algún tipo de interés criminal o de desprecio contra los latinoamericanos por parte de los nortemericanos de «a pie».

Nada más lejos de la realidad. La policía norteamericana es la que de manera más constante y efectiva persigue este tipo de delitos y colabora en su persecución con las policías de todo el mundo.

A pesar de que debería parecer obvio para cualquiera que no es posible ganar un premio en una lotería sin haber jugado, y que, incluso en ese caso, la probabilidad de obtener un premio es estadísticamente despreciable, muchas personas llegan a este blog, ilusionadas, creyendo que encontrarán las instrucciones para cobrar «su premio» de 1 millón de dólares. Animadas porque las explicaciones están en español en contraposición con el lenguaje en el que le comunican el supuesto premio que han recibido en inglés.

A estas personas les tengo que insistir en que no hay una forma de reclamar «su premio» de un millón de dólares porque no existe tal premio.

Cualquier otra información que crean no es sino otro fraude más para obtener datos personales y financieros y posiblemente diversificar la forma de bombardear con correo no deseado (SPAM) o cobrarle dinero (SCAM) a base de engaños automatizados, muchas veces en el marco de redes mafiosas organizadas.

Si alguien ya ha dado los primeros pasos solicitados por los delincuentes, debe reconocer que ha sido engañado. Entre estos pasos están los de proporcionar datos personales y el número de la tarjeta de crédito. Si éste es su caso, cancele su cuenta de correo y su tarjeta de crédito y obtenga otras. Quizá lo de cancelar la cuenta de correo no sea tan importante, si la entidad que se la gestiona tiene un buen filtro anti-SPAM y usted puede configurarlo para eliminar como «correo no deseado» cualquiera que contenga los términos lottery o lotto.

Por favor no deje mensajes en este blog indicando su cuenta de correo electrónico y esperando respuestas de los lectores porque lo que seguramente sucederá es que los programas araña que van captando por todo tipo de páginas web direcciones de e-mail para usarlas en otros fraudes por email, volverán a incluirles en mensajes de correo electronico «basura».

Sin embargo son bienvenidos los mensajes que expliquen el funcionamiento de estos tipos de fraudes. Si deja comentarios, por favor, cuide la ortografía y no utilice palabras malsonantes.

Algunos de los lectores dejan mensajes que tengo que borrar. Borro los que son muy repetitivos, los que tienen muchas faltas de ortografía, los que utilizan palabras malsonantes o los que revelan datos personales.

Francisco Ros clausura el 4º Foro de las Evidencias Electrónicas

3 respuestas

Logo Foro Evidencias Más de 400 personas asistieron al IV Foro de las Evidencias Electrónicas que se celebró el pasado 15 de junio de 2007 en el Hotel Ritz.

El acto, organizado por Albalia Interactiva y el despacho de abogados Garrigues, contó, en la conferencia de clausura, con la intervención del secretario de Estado de Telecomunicaciones y para la Sociedad de la Información, Francisco Ros, quien incidió en el «protagonismo creciente» de la sociedad en internet, donde cada día se crean 100.000 nuevos «blogs» y el número de internautas -actualmente 2.000 millones de personas- se duplica cada cuatro años.

Según sus palabras, casi cinco millones de españoles harán su declaración de la renta a través de internet este año. El secretario de Estado subrayó el impacto de la red en los modelos de negocio y aseguró que España, «con más de 20 millones de internautas», es una comunidad «muy potente» que evoluciona «al ritmo europeo» en materia electrónica, aunque «aún quedan muchos retos en materia de seguridad», agregó.

Sobre esta cuestión, el magistrado de la Sala Segunda del Tribunal Supremo Manuel Marchena criticó la «pereza institucional para asumir los compromisos normativos» que requiere la sociedad de la información, porque «los jueces necesitan un marco jurídico claro que aplicar, por ejemplo la intervención del correo electrónico».

El portavoz del Consejo General del Poder Judicial, Enrique López, abogó por un concepto de prueba electrónica de carácter trasnacional y por la formación de un grupo de peritos oficiales especialistas en materia informática que asesoren a los jueces.

Antonio Garrigues en el IV Foro de las Evidencias Electrónicas Por su parte, el presidente del Foro, Antonio Garrigues Walker, afirmó que para avanzar en «democracia electrónica» y saber realmente «cómo está España» en materia de nuevas tecnologías con respecto a otros países, hay que mejorar «nuestros conocimientos y técnicas estadísticas».

Entre las medidas que se están implantando en España contra la «ciberdelincuencia», la mayor parte de los participantes en el acto coincidieron en alabar la implantación del DNI electrónico, que permitirá, entre otras cosas, identificar a los remitentes de los emails y evitar los correos-basura que expanden los virus.

El evento tuvo lugar gracias a la Colaboración de Red.es y al patrocinio de AnCert, Consejo General del Poder Judicial, Cybex, El Derecho, Informática El Corte Inglés, Postal Trust, Secuware, SGAE, Symantec y T-Systems.

La Presentación del 4º Foro de las Evidencias Electrónicas corrió a cargo de D. Antonio Garrigues Walker. Presidente del Foro y la Ceremonia de Apertura la protagonizó D. José Marqueño, Presidente del Consejo General del Notariado.

En la primera sesión sobre la Prueba Electrónica intervinieron Dña. Mª Ángeles Manzano, Socia de Garrigues, D. Enrique López, Vocal del Consejo General del Poder Judicial y D. Manuel Marchena, Magistrado de la Sala Segunda del Tribunal Supremo, con la moderación de D. César Belda, Notario y Director General de Feste.

En la segunda sesión sobre Ciberdelincuencia intervinieron D. Juan Salom, Comandante del Grupo de Delitos Telemáticos, en la Unidad Central Operativa de la Guardia Civil, D. Jorge Martín, Jefe del Grupo de Seguridad Lógica de la Brigada de Investigación Tecnológica en la Comisaría General de Policía Judicial y D. Juan Carlos Ruiloba, Jefe del Grupo de Delincuencia Tecnológica y Delitos contra la Propiedad Intelectual e Industrial de Barcelona, con la moderación de D. Jorge Alcalde, periodista y Director de la Revista Quo.

Tras el café tuvo lugar la tercera Sesión, centrada en la Desmaterialización de la Propiedad Intelectual: el ejemplar electrónico, con las intervenciones de D. Pablo Hernández, Director de los Servicios Jurídicos de la SGAE, Dña. Bárbara Navarro, Directora Antipiratería de NBC Universal y D. Salvador Esteban, Director de Asesoría Jurídica de la Federación Antipiratería, y la moderación de D. José María Anguiano, Socio de Garrigues.

En la cuarta sesión centrada en los Aspectos Técnicos de la Prueba Electrónica y que moderé yo (D. Julián Inza, Presidente de Albalia Interactiva, como certeramente anunciaba el programa) dió apenas tiempo para hacer 2 rondas de preguntas a D. Vicente Calzado, Director de la División de Tecnología de Informática El Corte Inglés, D. Luis Jara. Director de Seguridad e-Security & Professional Services de T-Systems, D. Carlos Jiménez, Presidente de Secuware, D. Matías Bevilacqua, Director Tecnológico de Cybex y D. Juan Ramón Fontán, Advisory Services Manager de Symantec.

El bloque técnico se cerró con la intervención de D. Sebastián Muriel, Director General de Red.es centrada en las Actuaciones de Red.es en el Ámbito de la Seguridad Informática, que sirvió de referencia posteriormente a la intervención del secretario de estado.

Tras una breve intervención a modo de Resumen y Conclusiones por D. Antonio Garrigues Walker, el Foro acabó con la Ceremonia de Clausura en la D. Francisco Ros, Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información del Ministerio de Industria, Turismo y Comercio destacó los avances que se han producido recientemente en el desarrollo de la Sociedad de la Información en España.

Tras el acto formal, la fiesta continuó en los jardines del Hotel Ritz. Un cóctel en el que retomar contactos de colegas y que permite la relación entre técnicos y juristas.

Los directivos de algunos clubes deportivos pueden estar actuando ilegalmente en materia de juego

1 respuesta

El Partido Popular ha presentado ayer jueves una proposición no de ley en la que insta al Gobierno a regular las apuestas y los juegos de azar por internet y otros medios tecnológicos porque las empresas que los facilitan «cometen presuntos delitos de una gravedad manifiesta».

En la rueda de prensa de presentación de la iniciativa en el Congreso de los Diputados, el portavoz de Deportes del grupo parlamentario popular, Francisco González, denunció que este tipo de empresas «cometen delitos como blanqueo de capitales o estafa, y delitos contra la hacienda pública, contra los consumidores, contra la infancia, o contra la ley de publicidad».

González explicó que miles de españoles juegan, apuestan o participan en sorteos habitualmente a través de multitud de empresas que se dedican a esta actividad.

Sólo el sector de las «apuestas on line» registró en 2005 unos 250.000 usuarios y movió unos 255 millones de euros en España, unas cifras que entre enero y octubre de 2006 habían pasado a 500.000 apostantes y a 500 millones de euros, precisó.

«Pese a la importancia de esta actividad ilegal, en teoría, en España están prohibidas las apuestas deportivas y los casinos y bingos virtuales que no tienen licencia de un organismo del Estado».

En concreto, sólo son legales las quinielas y loterías de Loterías y Apuestas del Estado (LAE), las de la ONCE y las autorizadas por las comunidades autónomas, subrayó González.

En España están prohibidas las apuestas deportivas y los casinos y bingos virtuales que no tienen licencia

Sin embargo, cuando se le pregunta al Consejo Superior de Deportes sobre la actividad de estas empresas que patrocinaban a clubes deportivos, «se lava las manos de forma meritoria y dice que, salvo que se constate alguna infracción, esta actividad es una fuente de financiación de los clubes de fútbol», cuando no lo es para las arcas públicas del Estado, ironizó González.

Con esta permisividad, denunció, «cada día más clubes españoles son objeto de patrocinio de este tipo empresas, que son ilegales, que su publicidad es ilegal» y que además hacen la competencia a empresas «perfectamente legales» y que buscan beneficio social en favor de los discapacitados, por ejemplo.

En ese sentido explicó que «el Sevilla lleva mucho tiempo llevando una empresa que patrocina su camiseta» y recordó que el Real Madrid «ha presentado hace escasos días» otra empresa similar.

«Me encantaría que el Real Madrid tuviera toda la financiación del mundo, pero yo creo que hay otras fórmulas para conseguirla que no son esas precisamente».

Además las asociaciones de ludópatas han avisado de que hay un número importante de niños que acceden a través de la red a hacer apuestas, que luego se quedan enganchados porque estas empresas incentivan con regalos económicos, aseguró González.

Por todo ello, subrayó, el Gobierno «tiene la obligación de actuar contundentemente y de una forma rápida contra todas estas actuaciones» y hacer que la ley actúe contra quienes incumplen la normativa.

En otro plano, la presidenta de Madrid, Esperanza Aguirre, ya promovió a primeros de año una regulación de las apuestas online para la Comunidad, aunque esta limitación regional presenta algunos problemas que se resolverían con una normativa a nivel nacional.

Via 20 minutos

La noticia, además, se ha difundido en:

http://www.europapress.es/noticia.aspx?cod=20070614145423&ch=67

http://www.hoytecnologia.com/noticias/Ahora-insta-Gobierno-regular/12946

http://www.fuerteventuradigital.com/portal/noticias/noticia.asp?canal=deportes&fecha=20070614&hora=145423

http://www.hispanidad.com/noticia_ep.aspx?ID=20070614145423

http://www.cerestvnoticias.com/portal/noticias/noticia.asp?canal=deportes&fecha=20070614&hora=145423

http://actualidad.terra.es/sociedad/articulo/pp_gobierno_internet_1643641.htm

http://www.atbnoticias.es/noticia.php?id_seccion=12&id=32874

http://www.discapnet.es/Discapnet/Castellano/Actualidad/Noticias/Linea%20Social/detalle?id=74539

http://www.libertaddigital.com/noticias/noticia_1276307700.html

El problema también ha sido identificado por el PSOE que propone una medida similar:

http://www.libertaddigital.com/noticias/noticia_1276307619.html

http://www.noticiasdot.com/wp2/2007/06/14/el-psoe-pide-una-regulacion-para-las-apuestas-por-internet/

http://www.redaragon.com/noticias/noticia.asp?pkid=329081

http://www.atbnoticias.es/noticia.php?id_seccion=15&id=32662

http://www.elperiodicodearagon.com/noticias/noticia.asp?pkid=329081

Y empiezan a verse más iniciativas para poner las cosas en su sitio:

http://www.hispanidad.com/noticia_ep.aspx?ID=20070614173357

http://www.europasur.com/110350_ESN_HTML.htm

http://www.bottup.com/index.php?option=com_content&task=view&id=1287&Itemid=69

http://www.hoytecnologia.com/noticias/Denuncian-actividad-ilegal-casinos/12403

http://www.eleconomista.es/empresas-finanzas/noticias/227336/06/07/AUC-denuncia-ante-Agencia-Tributaria-actividad-ilegal-de-casinos-on-line.html

http://www.discapnet.es/Discapnet/Castellano/Actualidad/Nueva_Hemeroteca/detalle?id=142902

http://actualidad.terra.es/sociedad/articulo/auc_agencia_tributaria_1635301.htm

Evidencias electrónicas y peritaje informático

6 respuestas

Podemos definir informática forense (computer forensics) como la rama tecnológica y legal encargada de la investigación sistemática de medios informáticos y telemáticos en busca de evidencias electrónicas, presentes tras un acto delictivo o ilegítimo, así como la posterior gestión de las mismas.

Las evidencias electrónicas son rastros existentes en los equipos informáticos que, debidamente preservados, y puestos en relación con información existente en otros ordenadores o en el contexto de otras evidencias o de hechos probados permiten demostrar que se ha llevado a cabo una acción, por medios informáticos o no, e, incluso, quien o quienes la han llevado a cabo.

No se trata de un arte al que solo afecte la tecnología, sino que, como muchas otras facetas de la Seguridad Informática y de las Telecomunicaciones, presenta importantes implicaciones legales.

El perito o informático forense, debe ajustarse a ciertas metodologías, frecuentemente apoyadas mediante actas notariales, para que las evidencias electrónicas sirvan como pruebas fehacientes de un posible delito ante eventuales procesos judiciales.

Estas metodologías pueden encuadrarse dentro de lo que se considera el procedimiento genérico de investigación forense, que consta de dos fases principales:

Incautación Confiable de la Prueba y Preservación de la Cadena de Custodia.
Análisis de la información disponible con arreglo al incidente investigado y Redacción del informe pericial

Uno de los elementos esenciales es la correcta incautación de la prueba, que respete los derechos de las partes y no de pie a que se descarte en un tribunal.

Otro aspecto que hay que cuidar es la correcta preservación de la cadena de custodia de todo el ciclo de vida de la evidencia, de forma que existan garantías de que la prueba no puede ser manipulada.

El análisis de la información se orienta al tipo de prueba y al tipo de incidente, y sus conclusiones se reflejan en el Informe Pericial, que el perito deberá, en caso necesario, ratificar ante el juez.

Con la información disponible se puede valorar la conveniencia o no de pleitear o de negociar.

Supuesto que se decide pleitear, el perito de parte colabora con la parte y su abogado informando sobre la especialidad tecnológica y los problemas probatorios.

El rol de perito de la demanda es el más deseable, ya que se dispone de tiempo suficiente para preparar el análisis. Sin embargo, el perito de la contestación, normalmente tiene la restricción de los plazos procesales, a la que se añade el tiempo de respuesta de la parte demandada y de su abogado en concluir que necesitan un perito.

Resumen del III Foro de las Evidencias Electrónicas (2006)

Deja un comentario

La tercera edición del Foro de las Evidencias Electrónicas ha tratado, entre otros asuntos, del DNI electrónico, las diferentes formas de ciberdelincuencia, la vulneración de los derechos de autor en Internet y el valor probatorio de la evidencia electrónica.

El evento, anunciado para el 30 de mayo, nos condujo a redactar algunas conclusiones.

La importancia de Internet como un todo no pasa desapercibida en el ámbito jurídico. Sin embargo, este estamento se enfrenta aún al reto de crecer en tecnología y al de avanzar en materia de seguridad jurídica para acabar con lacras como la ciberdelincuencia o el anonimato en la Red.

En base a esta realidad y con el objetivo también de acercar posturas entre técnicos y juristas, el 30 de mayo de 2006 tuvo lugar la III edición del Foro de las Evidencias Electrónicas, una iniciativa que nació hace tres años para generar seguridad jurídica en el ámbito de las transacciones electrónicas, el intercambio de documentos y la creación y comercialización de contenidos que se producen diariamente en la Sociedad de la Información.

D. Antonio Garrigues Walker, presidente del Foro de las Evidencias Electrónicas, fue el encargado de inaugurar este acto, organizado por el despacho Garrigues que preside y Albalia Interactiva con la colaboración de VNU Conferencias. El acto se estructuró en torno a cuatro areas temáticas: DNI Electrónico, Propiedad Intelectual y Ciberdelincuencia y aspectos técnicos en la prueba electrónica.

Así, y desde la perspectiva del atraso tecnológico en el que aún se haya sumido nuestro país, Antonio Garrigues comenzó su alocución aludiendo a la necesidad de avanzar en materia de seguridad jurídica, clave para el movimiento de capitales y acciones económicas pero también para todo lo que tiene que ver con la protección del individuo. En este sentido, el abogado expresó la necesidad de que España mejore en estos aspectos ya que «a nivel global el país sufre un déficit tecnológico muy importante y sí el sistema judicial se desconecta de este avance tecnológico no habremos hecho nada. Tenemos que ser sensibles a este tipo de temas para que la norma siga siendo importante».

Recogiendo sus palabras y considerando «la justicia como un servicio que no puede ser resistente a las innovaciones tecnológicas y a la seguridad jurídica», Francisco José Hernando, presidente del Consejo General del Poder Judicial, habló sobre la necesidad de que el juez sepa adaptarse a la nueva realidad social. «Debe ser moderno y con capacidad para percibir aquellas modificaciones que la realidad experimenta. Y esta modernización no es solo sociológica sino también tecnológica, son hechos que penetran en la sociedad y que el legislador también quiere que entren en su campo».

Tras la intervención del presidente del Consejo General del Poder Judicial, Jorge Alcalde, director de la Revista Quo y moderador de la primera mesa sobre DNI Electrónico, dio paso a José María Anguiano, socio de Garrigues, Abogados y Asesores Tributarios, quien realizó un análisis del marco jurídico en el que se desarrolla el DNI Electrónico.

Reconociendo la realidad del documento electrónico y manifestando su apoyo a esta iniciativa que plantará cara a problemas como el anonimato electrónico y la ciberdelincuencia, el socio de Garrigues, citó, no obstante, algunas carencias que esconde.

Con el alegato de la defensa de los derechos de autor en Internet, Pedro Farré, director de relaciones corporativas de SGAE, expresó un punto de vista pesimista sobre esta cuestión, afirmando que a pesar de la tasa de crecimiento de las líneas ADSL y del número de PCs, el mayor interés que despierta hoy Internet es el P2P. “Hoy no se compran discos, la conducta desviada la tiene quien paga por adquirir cultura”.

En base a esto, Farré abogó por la implantación de disposiciones protectoras que castiguen a quien no cumpla, como ya se hace en el resto de Europa, además de por aumentar el número de efectivos policiales destinados a controlar estas prácticas.

Planteando el tema de la ciberdelincuencia desde un punto de vista policial, “ya se ha delimitado y se conocen las actividades delictivas que se hacen por Internet. Se ha llegado a un punto en el que hay que pasar de la mera observación a trabajar para impedirlo y combatirlo”, José Vicente Moreno, de la Brigada de Investigación Tecnológica, del Cuerpo Nacional de Policía, dependiente del Ministerio del Interior, realizó un anecdotario de los pasos que integran el delito informático, esto es: lo que hace el delincuente desde que inicia la estafa (phishing) hasta que consigue el dinero, para terminar concluyendo que “todos estos mecanismos pueden ser corregidos con pequeños parches en cada fase del proyecto. También, a través del DNI, que permitirá conocer la identidad de la persona, acreditándola”.

Cerrando esta segunda sesión, y atendiendo al valor probatorio de la evidencia electrónica conseguida tras el trabajo policial, Enrique López, vocal del Consejo General del Poder Judicial, reconoció la gran responsabilidad que supone el mantenimiento del orden social en el mundo de las tecnologías y, que ahora se está más cerca de conseguir gracias a pruebas que funcionan como evidencia electrónica.

López incidió en la necesaria colaboración entre países en materia legal además de destacar la importancia que tiene la tipificación de los delitos que se cometen a través de Internet ya que éstos tienen dificultades distintas a los integrados en el ámbito real, y muchas veces no encuentran la sentencia condenatoria merecida.

Tras las argumentaciones vertidas por los juristas llegó el turno de los técnicos, que debatieron en torno a varias cuestiones que yo planteé como moderador de la tercera mesa.

Así, el debate arrancó con la visión qué en Europa se tiene de las evidencias, y que según Fredesvinda Insa, directora de desarrollo estratégico de Prueba Electrónica de Cybex, “es un tema que tanto a nivel nacional como internacional despierta un gran interés”.

En este sentido, Insa explicó como ante la falta de estándares y a consecuencia de las lagunas que existen en esta materia, Cybex decidió acometer un estudio para averiguar el interés que en el continente se tiene sobre esto. Dividido en varias fases, el informe ha permitido conocer la legislación, recoger información sobre informática forense, identificar casos de excelencia y, por último, -esta fase aún no se ha iniciado-elaborar una guía de mejora, en este sentido.

Aportando su visión como experto en prevención e investigación de fraudes, Ricardo Noreña Herrera, director de KPMG Forensic, trató el tema de la informática forense, también en el ámbito internacional.

Cómo se preparan las empresas para lidiar con estos temas fue otra de las preguntas que realicé. Tomando la palabra, Rafael Ortega, vicepresidente de Azertia Consulting en el área de de Continuidad de Negocio y Seguridad destacó, en este punto, una transformación en la mentalidad de las empresas que empiezan a entender la problemática y los riesgos de sufrir un ataque informático.

El paso de lo tangible a lo digital, contratos que nacen en papel y pasan a ser digitales, y de la necesaria validación de los mismos fue otro de los temas tratados. En este sentido, y tras reconocer que ya hay un alto número de empresas que se encuentran en proceso de convertir documentación en papel a digital, Vicente Calzado, director de la división ECM de Informática de El Corte Inglés, advirtió los distintos casos que pueden darse así como las condiciones a aplicar en cada uno de ellos.

“Mientras que en el ámbito tributario ya existe un borrador del concepto de digitalización certificada, que encierra las distintas condiciones para que este pueda ser llevado a cabo, en el mundo público se hace a través de la compulsa y certificación por parte de un funcionario de registros. Todo ello acompañado de dispositivos técnicos”.

El requerimiento de una firma electrónica, tipificada en distintos niveles, y la necesaria codificación que la misma implica fue planteado a Jesús Alonso, consultor ejecutivo de Atos Origin.

“Se habla de la validación, porque tan importante es firmar como el hecho del que la reciba tenga capacidad de validarla”. De esta forma, Jesús Alonso distingue dos enfoques: uno, relacionado con el receptor, que tiene capacidad para validar la firma, y otro que tiene que ver con la validación realizada en el momento de la firma. “Esto supondría que además de la firma se incluyese un sello de tiempo además de algún certificado electrónico que indicase que en el momento de la firma ésta era válida en tiempo y forma”, concluye.

Reflexiones interesantes de técnicos y juristas que llaman la atención de las instituciones sobre el camino que queda por recorrer.

Denuncias por internet

Una vez más tengo que recordar qué hacer para presentar una denuncia .

Quienes piensen que su problema tiene que ver con cesión inadecuada de datos, pueden acceder a la Agencia de Protección de Datos.

Como denunciar fraudes, estafas y delitos por Internet

En ocasiones recibo consultas de personas que son víctimas de fraudes y estafas, y quieren denunciarlo. Y tengo que repetir estas indicaciones.

Los residentes en España, pueden optar entre denunciarlo a la Policía o a la Guardia Civil. La elección dependerá del lugar donde uno viva y de la cercanía de una comisaría de policía o de un cuartel de la guardia civil.

En general, en las ciudades la opción preferente será la policía y en las zonas rurales, la guardia civil.

Tanto un cuerpo como el otro cuenta con profesionales excelentemente preparados para actuar contra estos delitos, si bien la capilaridad de la red de atención al ciudadano se estructura de forma diferente. Frecuentemente colaboran por el alcance de los delitos contra los que actúan.

También los Mossos d’Esquadra (en Cataluña) y la Ertzaintza (en el País Vasco) recogen denuncias de estos delitos, en las Comunidades Autónomas indicadas. La Policía Foral de Navarra, de momento, no ha desarrollado esta especialidad.

No todos los delitos se pueden denunciar por estos procedimientos a distancia. En las páginas web de las diferentes instituciones se indica la forma de proceder y también los idiomas en los que se atiende.

Guardia Civil. Información sobre denuncias. Modelo a cumplimentar para acelerar la comparecencia. Urgencias por teléfono: 088
Policía. Denuncias en Internet. Por teléfono: 902 102 112. Se puede realizar la denuncia por teléfono o por internet, aunque hay que ratificarla presentándose en una comisaría a firmar (pronto se podrá firmar electrónicamente con el DNI electrónico).
Mossos d’Esquadra. Denuncias en Internet. Por teléfono: 088. Se puede realizar la denuncia por internet, aunque hay que ratificarla presentándose en alguna de las comisarías señaladas en el web, de los Mossos d’Esquadra o de la policía local a firmar
Policía Foral de Navarra (Nafarroako Foruzaingoa). Atención telefónica: 112.
Ertzaintza. Información sobre denuncias. Denuncias en Internet. Por teléfono: 112. Los delitos telemáticos se denuncian presencialmente en comisaría.

Técnicas fraudulentas combinando SPAM y SCAM

Recibo muchas consultas sobre supuestos premios de loterías que se reciben sin que uno sea consciente de haber jugado.

Ya en un post anterior avisé sobre estas prácticas.

Lo que hay que saber es que nadie da nada gratis.

En algunas ocasiones, técnicas de promoción agresivas (como las que antiguamente utilizaban los vendedores de multipropiedad y los de enciclopedias) crean un aliciente para acudir a una presentación, ofreciendo regalos y premios. Un requisito para retirar el premio o el regalo es que acudan a la reunión ambos consortes, porque en la presentación se muestra el verdadero producto que se vende (mucho más caro que el regalo ofrecido) y la decisión, tomada entre los dos, da menos margen a la «disonancia cognoscitiva», a arrepentirse de lo comprado a la vista de otras informaciones, y, por tanto, a la cancelación del pedido.

Si se acude a estas presentaciones, hay que hacerlo pensando en mostrar firmeza ante la presión del vendedor, respecto a no adquirir el producto (o el pack).

Estos casos son lo únicos en los que pudiera haber un regalo gratuito, porque forma parte de la metodología de venta.

Sin embargo, incluso aunque es verdad que algunas promociones son ciertas y el vendedor estima un número de abandonos que queda compensado por el de afiliaciones, las estadísticas son implacables: la mayor parte de las promociones son lisa y llanamente fraudes.

Por eso, quienes reciban un correo electrónico o postal indicando que han ganado un premio o una cantidad en metálico, lo que deben hacer es NO CONTESTAR al correo, borrarlo y olvidarse de él.

Es un fraude (SCAM) en formato de correo indiscriminado (SPAM).

Proyecto de Ley sobre Conservación de datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones

3 respuestas

Ya he tratado en un post anterior sobre la interceptación legal de las telecomunicaciones.

En relación con este tema, me gustaría señalar el paso por el Congreso del proyecto de Ley sobre Conservación de datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones.

En el Boletín Oficial del Congreso del 16 de marzo se publicó el texo con el que entró la norma, a falta de las preceptivas enmiendas.

Me sorprende que, dado el alcance de la norma, no se hayan producido más reacciones.

Para facilitar su lectura, transcribo lo más relevante de la publicación y el texto del proyecto de ley.

BOLETÍN OFICIAL DE LAS CORTES GENERALES
CONGRESO DE LOS DIPUTADOS
VIII LEGISLATURA
Serie A: PROYECTOS DE LEY
16 de marzo de 2007

Núm. 128-1

PROYECTO DE LEY

121/000128 Conservación de datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones.

La Mesa de la Cámara, en su reunión del día de hoy, ha adoptado el acuerdo que se indica respecto del asunto de referencia.
(121) Proyecto de ley
121/000128
AUTOR: Gobierno.

Proyecto de Ley de conservación de datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones.

Acuerdo:

Encomendar su aprobación con competencia legislativa plena, conforme al artículo 148 del Reglamento, a la Comisión de Justicia. Asimismo, publicar en el Boletín Oficial de las Cortes Generales, estableciendo plazo de enmiendas, por un período de quince días hábiles, que finaliza el día 3 de abril de 2007.

En ejecución de dicho acuerdo se ordena la publicación de conformidad con el artículo 97 del Reglamento de la Cámara.

Palacio del Congreso de los Diputados, 13 de marzo de 2007.-P. D. El Secretario General del Congreso de los Diputados, Manuel Alba Navarro.

PROYECTO DE LEY DE CONSERVACIÓN DE DATOS RELATIVOS A LAS COMUNICACIONES ELECTRÓNICAS Y A LAS REDES PÚBLICAS DE COMUNICACIONES

Exposición de motivos

La aplicación de las nuevas tecnologías desarrolladas en el marco de la Sociedad de la Información ha supuesto la superación de las formas tradicionales de comunicación, mediante una expansión de los contenidos transmitidos, que abarcan no sólo la voz, sino también datos e imágenes en soportes diversos. A su vez, esta extraordinaria expansión en cantidad y calidad, ha venido acompañada de un descenso en los costes, haciendo que este tipo de comunicaciones se encuentre al alcance de cualquier persona y en cualquier rincón del mundo.

La naturaleza neutra de los avances tecnológicos en telefonía y comunicaciones electrónicas no impide que su uso pueda derivarse hacia la consecución de fines indeseados, cuando no delictivos. Un claro ejemplo lo constituye el uso de Internet como medio del que se sirven las redes de delincuencia organizada, bandas terroristas o delincuentes individuales para contactar y comunicarse de manera barata, inmediata y camuflada entre el millonario número de comunicaciones que diariamente se efectúan a través de la red. Ante esta realidad, la sociedad demanda de las Autoridades que tienen encomendada la persecución de los delitos que se anticipen a la culminación de estas acciones criminales y proporcionen una respuesta eficaz, para lo cual deben contar con todos los medios técnicos, humanos y jurídicos necesarios.

Precisamente, en el marco de este último objetivo se encuadra la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de marzo, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, y por la que se modifica la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio, cuya transposición a nuestro ordenamiento jurídico es el objetivo principal de esta Ley.

El objeto de esta Directiva es establecer la obligación de los operadores de telecomunicaciones de retener determinados datos generados o tratados por los mismos, con el fin de posibilitar que dispongan de ellos los agentes facultados, los miembros de los Cuerpos Policiales autorizados para ello, en el marco de una investigación criminal por la comisión de un delito, el personal del Centro Nacional de Inteligencia para llevar a cabo una investigación de seguridad amparada en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y en la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia, así como los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdo con el apartado 1 del artículo 283 de la Ley de Enjuiciamiento Criminal. Se trata, pues, de que todos éstos puedan obtener los datos relativos a las comunicaciones que, relacionadas con una investigación, se hayan podido efectuar por medio de la telefonía fija o móvil, así como por Internet. El establecimiento de esas obligaciones, justificado en aras de proteger la seguridad pública, se ha efectuado buscando el imprescindible equilibrio con el respeto de los derechos individuales que puedan verse afectados, como son los relativos a la privacidad y la intimidad de las comunicaciones.

En este sentido, la Ley es respetuosa con los pronunciamientos que, en relación con el derecho al secreto de las comunicaciones, ha venido manifestando el Tribunal Constitucional, respeto que, especialmente, se articula a través de dos garantías: en primer lugar, porque los datos sobre los que se establece la obligación de conservación son datos exclusivamente vinculados a la comunicación, ya sea telefónica o efectuada a través de Internet, pero en ningún caso reveladores del contenido de ésta; y, en segundo lugar, porque la cesión de tales datos que afecten a una comunicación o comunicaciones concretas, exigirá, siempre, la autorización judicial previa.

En relación con esta última precisión, cabe señalar que, si bien la Directiva se refiere, expresamente, a que los datos conservados deberán estar disponibles a los fines de detección o investigación por delitos graves, definidos éstos de acuerdo con la legislación interna de cada Estado miembro, el legislador ha optado por habilitar la cesión de estos datos para cualquier tipo de delito a fin de no privar a las Autoridades Judiciales de un mecanismo de detección e investigación con el que actualmente cuentan de acuerdo con la configuración constitucional del derecho al secreto de las comunicaciones.

De esta forma, la extensión de la regulación a todo tipo de delitos, al margen de su calificación como grave o no, deriva del hecho que con frecuencia es imposible de saber con precisión cuando se inicia una investigación penal cuál será la calificación final de los hechos ilícitos. Asimismo, esta opción cuenta con la cobertura que ofrece el artículo 15 de la Directiva 2002/58/CE del Parlamento y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas. Un precepto que habilita posibilidad por cuanto constituye una medida necesaria, proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional, la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de los delitos.

La ley cuenta con diez artículos que se agrupan en tres capítulos. El Capítulo I («Disposiciones Generales») se inicia describiendo su objeto, que básicamente se circunscribe a la determinación de la obligación de conservar los datos enumerados en el artículo tercero, que se hayan generado o tratado en el marco de una comunicación de telefonía fija o móvil, o realizada a través de una comunicación electrónica de acceso público o mediante una red pública de comunicaciones. Igualmente, se precisan los fines que, exclusivamente, justifican la obligación de conservación, y que se limitan a la detección, investigación y enjuiciamiento de un delito contemplado en el Código Penal o las leyes penales especiales, con los requisitos y cautelas que la propia ley establece.

En este capítulo también se precisan las limitaciones sobre el tipo de datos a retener, que son los necesarios para identificar el origen y destino de la comunicación, así como la identidad de los usuarios o abonados de ambos, pero nunca datos que revelen el contenido de la comunicación. Igualmente, la Ley impone la obligación de conservación de datos que permitan determinar el momento y duración de una determinada comunicación, su tipo, así como datos necesarios para identificar el equipo de comunicación empleado y, en el caso de utilización de un equipo móvil, los datos necesarios para su localización.

En relación con los sujetos que quedan obligados a conservar los datos, éstos serán los operadores que presten servicios de comunicaciones electrónicas disponibles al público, o que exploten una red pública de comunicaciones electrónicas en España.

La Ley enumera en su artículo 3, de manera precisa y detallada, el listado de datos que quedan sujetos a la obligación de conservación en el marco de las comunicaciones por telefonía fija, móvil o Internet. Estos datos, que, se repite, en ningún caso revelarán el contenido de la comunicación, son los necesarios para identificar el origen y destino de la comunicación, su hora, fecha y duración, el tipo de servicio utilizado, y el equipo de comunicación de los usuarios utilizado. En aplicación de las previsiones contenidas en la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de marzo, quedan incluidas también en el ámbito de aplicación de la Ley las denominadas llamadas telefónicas infructuosas. Igualmente se incluye la obligación de conservar los elementos que sean suficientes para identificar el momento de activación de los teléfonos que funcionen bajo la modalidad prepago.

En el Capítulo II («Conservación y cesión de datos») se establecen los límites para efectuar la cesión de datos, el plazo de conservación de los datos, que será, con carácter general, de doce meses desde que la comunicación se hubiera establecido (si bien reglamentariamente se podrá reducir a seis meses o ampliar a dos años, como permite la Directiva 2006/24/CE), y los instrumentos para garantizar el uso legítimo de los datos conservados, cuya cesión y entrega exclusivamente se podrá efectuar al agente facultado, y para los fines establecidos en la ley, estando cualquier uso indebido sometido a los mecanismos de control de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y su normativa de desarrollo. Además, se establecen previsiones específicas respecto al régimen general regulador de los derechos de acceso, rectificación y cancelación de datos contenido en la referida Ley Orgánica 15/1999.

El Capítulo III, al referirse al régimen sancionador, remite, en cuanto a los incumplimientos de las obligaciones conservación y protección y seguridad de los datos de carácter personal, a la regulación contenida en la Ley 32/2003 de 3 de noviembre, General de Telecomunicaciones. Por otro lado, los incumplimientos de la obligación de puesta a disposición de los Agentes facultados, en la medida en que las solicitudes estarán siempre amparadas por orden judicial, constituirían la correspondiente infracción penal.

En las disposiciones contenidas en la parte final se incluyen contenidos diversos. Por un lado, y a los efectos de poder establecer instrumentos para controlar el empleo para fines delictivos de los equipos de telefonía móvil adquiridos mediante la modalidad prepago, se establece, como obligación de los operadores que comercialicen dicho servicio, la llevanza de un registro con la identidad de los compradores.

Por último, la ley incorpora en las disposiciones finales una modificación de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, para adaptarse al contenido de esta ley, una referencia a su amparo competencial, una habilitación general de desarrollo al Gobierno y un período de seis meses para que las operadoras puedan adaptarse a su contenido.

CAPÍTULO I

Disposiciones generales

Artículo 1. Objeto de la Ley.

1. Esta ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados cuando les sean requeridos con fines de investigación, detección y enjuiciamiento de un delito contemplado en el Código Penal o en las leyes penales especiales.

2. Esta ley se aplicará a los datos de tráfico y de localización sobre personas físicas y jurídicas y a los datos relacionados necesarios para identificar al abonado o usuario registrado.

3. Se excluye del ámbito de aplicación de esta ley el contenido de las comunicaciones electrónicas, incluida la información consultada utilizando una red de comunicaciones electrónicas.

Artículo 2. Sujetos obligados.

Son destinatarios de las obligaciones relativas a la conservación de datos impuestas en esta ley los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones, en los términos establecidos en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

Artículo 3. Datos objeto de conservación.

1. Los datos que deben conservarse por los operadores especificados en el artículo 2 de esta ley, son los siguientes:

a) Datos necesarios para rastrear e identificar el origen de una comunicación:

1.º Con respecto a la telefonía de red fija y a la telefonía móvil:

i) Número de teléfono de llamada.

ii) Nombre y dirección del abonado o usuario registrado.

2.º Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:

i) La identificación de usuario asignada.

ii) La identificación de usuario y el número de teléfono asignados a toda comunicación que acceda a la red pública de telefonía.

iii) El nombre y dirección del abonado o del usuario registrado al que se le ha asignado en el momento de la comunicación una dirección de Protocolo de Internet (IP), una identificación de usuario o un número de teléfono.

b) Datos necesarios para identificar el destino de una comunicación:

1.º Con respecto a la telefonía de red fija y a la telefonía móvil:

i) El número o números marcados (el número o números de teléfono de destino), y en aquellos casos en que intervengan otros servicios, como el desvío o la transferencia de llamadas, el número o números hacia los que se transfieren las llamadas.

ii) Los nombres y las direcciones de los abonados o usuarios registrados.

2.º Con respecto al correo electrónico por Internet y la telefonía por Internet:

i) La identificación de usuario o el número de teléfono del destinatario o de los destinatarios de una llamada telefónica por Internet.

ii) Los nombres y direcciones de los abonados o usuarios registrados y la identificación de usuario del destinatario de la comunicación.

c) Datos necesarios para determinar la fecha, hora y duración de una comunicación:

1.º Con respecto a la telefonía de red fija y a la telefonía móvil: la fecha y hora del comienzo y fin de la comunicación.

2.º Con respecto al acceso a Internet, al correo electrónico por Internet y a la telefonía por Internet:

i) La fecha y hora de la conexión y desconexión del servicio de acceso a Internet registradas, basadas en un determinado huso horario, así como la dirección del Protocolo Internet, ya sea dinámica o estática, asignada por el proveedor de acceso a Internet a una comunicación, así como la identificación de usuario o del abonado o del usuario registrado.

ii) La fecha y hora de la conexión y desconexión del servicio de correo electrónico por Internet o del servicio de telefonía por Internet, basadas en un determinado huso horario.

d) Datos necesarios para identificar el tipo de comunicación.

1.º Con respecto a la telefonía de red fija y a la telefonía móvil: el servicio telefónico utilizado.

2.º Con respecto al correo electrónico por Internet y a la telefonía por Internet: el servicio de Internet utilizado.

e) Datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación:

1.º Con respecto a la telefonía de red fija: los números de teléfono de origen y de destino.

2.° Con respecto a la telefonía móvil:

i) Los números de teléfono de origen y destino.

ii) La identidad internacional del abonado móvil (IMSI) de la parte que efectúa la llamada.

iii) La identidad internacional del equipo móvil (IMEI) de la parte que efectúa la llamada.

iv) La IMSI de la parte que recibe la llamada.

v) La IMEI de la parte que recibe la llamada.

vi) En el caso de los servicios anónimos de pago por adelantado, tales como los servicios con tarjetas prepago, fecha y hora de la primera activación del servicio y la etiqueta de localización (el identificador de celda) desde la que se haya activado el servicio.

3.º Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:

i) El número de teléfono de origen en caso de acceso mediante marcado de números.

ii) La línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación.

f) Datos necesarios para identificar la localización del equipo de comunicación móvil:

1.º La etiqueta de localización (identificador de celda) al inicio de la comunicación.

2.º Los datos que permiten fijar la localización geográfica de la celda, mediante referencia a la etiqueta de localización, durante el período en el que se conservan los datos de las comunicaciones.

2. Ningún dato que revele el contenido de la comunicación podrá conservarse en virtud de esta ley.

CAPÍTULO II

Conservación y cesión de datos

Artículo 4. Obligación de conservar datos.

1. Como excepción a lo establecido en el artículo 38 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, los sujetos obligados adoptarán las medidas necesarias para garantizar que los datos especificados en el artículo 3 de esta ley se conserven de conformidad con lo dispuesto en ella, en la medida en que sean generados o tratados por aquéllos en el marco de la prestación de las servicios de comunicaciones de que se trate.

2. La citada obligación de conservación se extiende a los datos relativos a las llamadas infructuosas, en la medida que los datos son generados o tratados y conservados o registrados por los sujetos obligados. Se entenderá por llamada infructuosa aquella comunicación en el transcurso de la cual se ha realizado con éxito una llamada telefónica pero sin contestación, o en la que ha habido una intervención por parte del operador u operadores involucrados en la llamada.

3. Los datos relativos a las llamadas no conectadas están excluidos de las obligaciones de conservación contenidas en esta ley. Se entenderá por llamada no conectada aquella comunicación en el transcurso de la cual se ha realizado sin éxito una llamada telefónica, sin que haya habido intervención del operador u operadores involucrados.

Artículo 5. Período de conservación de los datos.

1. La obligación de conservación de datos impuesta cesa a los doce meses computados desde la fecha en que se haya producido la comunicación.
Reglamentariamente se podrá ampliar o reducir el plazo de conservación para determinados datos o una categoría de datos hasta un máximo de dos años o un mínimo de seis meses, tomando en consideración el coste del almacenamiento y conservación de los datos, así como el interés de los mismos para los fines de investigación, detección y enjuiciamiento de los delitos, previa consulta a los operadores.

Los datos, excepto aquéllos que se hayan cedido, se suprimirán al término del período de conservación.

2. Sin perjuicio de lo establecido en el apartado anterior, los datos permanecerán cancelados, a los efectos previstos en el artículo 16.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en tanto no se haya producido la prescripción de las infracciones previstas en la presente ley.

Artículo 6. Normas generales sobre cesión de datos.

1. Los datos conservados de conformidad con lo dispuesto en esta ley sólo podrán ser cedidos de acuerdo con lo dispuesto en ella o en otras normas con rango de ley, y para los fines que en ellas se determinan.

2. La cesión de la información se efectuará únicamente a los agentes facultados. A estos efectos, tendrán la consideración de agentes facultados los miembros de las fuerzas y cuerpos de seguridad, cuando desempeñen funciones de policía judicial, de acuerdo con lo previsto en el artículo 547 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial; el personal del Centro Nacional de Inteligencia en el curso de las investigaciones de seguridad sobre personas o entidades, de acuerdo con lo previsto en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y en la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia; así como los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdo con el apartado 1 del artículo 283 de la Ley de Enjuiciamiento Criminal.

Artículo 7. Procedimiento de cesión de datos.

1. Los operadores estarán obligados a ceder al agente facultado, previa resolución judicial, los datos conservados a los que se refiere el artículo 3 de esta ley.

2. La resolución judicial determinará, conforme a lo previsto en la Ley de Enjuiciamiento Criminal y de acuerdo con los principios de necesidad y proporcionalidad, los datos conservados que han de ser cedidos a los agentes facultados.

3. El plazo de ejecución de la orden de cesión será el fijado por los agentes facultados, atendiendo a la urgencia de la cesión a los efectos de la investigación de que se trate, así como a la naturaleza y complejidad técnica de la operación. Si no se establece otro plazo distinto, la cesión deberá efectuarse:

a) Cuando los datos tengan una antigüedad inferior a tres meses, dentro de cuarenta y ocho horas contadas a partir de las 8,00 horas del día laborable siguiente a aquél en que el sujeto obligado reciba la orden.

b) Cuando los datos tengan una antigüedad superior a tres meses, dentro de setenta y dos horas contadas a partir de las 8,00 horas del día laborable siguiente a aquél en que el sujeto obligado reciba la orden.

Artículo 8. Protección y seguridad de los datos.

1. Los sujetos obligados deberán identificar al personal especialmente autorizado para acceder a los datos objeto de esta ley, adoptar las medidas técnicas y organizativas que impidan su manipulación o uso para fines distintos de los comprendidos en la misma, su destrucción accidental o ilícita, y su pérdida accidental, así como su almacenamiento, tratamiento, divulgación o acceso no autorizados, con sujeción a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y en su normativa de desarrollo.

2. Las obligaciones relativas a las medidas para garantizar la calidad de los datos y la confidencialidad y seguridad en el tratamiento de los mismos serán las establecidas en la Ley Orgánica 15/1999, de 13 de diciembre, y su normativa de desarrollo.

3. El nivel de protección de los datos almacenados se determinará de conformidad con lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, y en su normativa de desarrollo.

4. La Agencia Española de Protección de Datos es la autoridad pública responsable de velar por el cumplimiento de las previsiones de la Ley Orgánica 15/1999, de 13 de diciembre, y de la normativa de desarrollo aplicables a los datos contemplados en la presente ley.

Artículo 9. Excepciones a los derechos de acceso y cancelación.

1. El responsable del tratamiento de los datos no comunicará la cesión de datos efectuadas de conformidad con esta ley.

2. El responsable del tratamiento de los datos denegará el ejercicio del derecho de cancelación, previsto en la Ley Orgánica 15/1999, de 13 de diciembre, cuando el afectado esté siendo objeto de investigación de un delito. Se entenderá que el afectado está siendo objeto de investigación de un delito cuando sus datos hayan sido cedidos conforme al procedimiento regulado en el artículo 7 de esta ley.

3. El afectado al que se deniegue, total o parcialmente, el ejercicio del derecho mencionado en el apartado anterior podrá ponerlo en conocimiento del Director de la Agencia Española de Protección de Datos, que deberá asegurarse de la procedencia o improcedencia de la denegación.

CAPÍTULO III

Infracciones y sanciones

Artículo 10. Régimen aplicable al Incumplimiento de obligaciones contempladas en esta Ley.

El incumplimiento de las obligaciones previstas en esta Ley se sancionará de acuerdo con lo dispuesto en la Ley 32/2003, de 3 de noviembre, sin perjuicio de las responsabilidades penales que pudieran derivar del incumplimiento de la obligación de cesión de datos a los agentes facultados.

Disposición adicional única. Servicios de telefonía mediante tarjetas prepago.

1. Los operadores de telefonía móvil que comercialicen servicios con sistemas de activación mediante la modalidad de tarjetas de prepago, deberán llevar un libro-registro en el que conste la identidad de los clientes que adquieran una tarjeta inteligente con dicha modalidad de pago.

La identificación se efectuará mediante documento acreditativo de la personalidad, haciéndose constar en el libro-registro el nombre, apellidos y nacionalidad del comprador, así como el número correspondiente al documento identificativo utilizado y la naturaleza o denominación de dicho documento. En el supuesto de personas jurídicas, la identificación se realizará aportando la tarjeta de identificación fiscal, y se hará constar en el libro-registro la denominación social y el código de identificación fiscal.

2. Durante la vigencia de la tarjeta y hasta que cese la obligación de conservación a que se refiere el artículo 5 de esta ley, los operadores deberán estar en disposición de proporcionar los datos identificativos previstos en el apartado anterior, cuando para el cumplimiento de sus fines les sean requeridos por los agentes facultados, los miembros de las Fuerzas y Cuerpos de Seguridad del Estado y de los Cuerpos Policiales de las Comunidades Autónomas con competencia para la protección de las personas y bienes y para el mantenimiento de la seguridad pública, el personal del Centro Nacional de Inteligencia en el curso de las investigaciones de seguridad sobre personas o entidades, así como los funcionarios de la Dirección Adjunta de Vigilancia Aduanera.

3. Los datos identificativos estarán sometidos a las disposiciones de esta ley, respecto a los sistemas que garanticen su conservación, no manipulación o acceso ilícito, destrucción, cancelación e identificación de la persona autorizada.

4. Los operadores deberán ceder los datos identificativos previsto en el apartado 1 de esta disposición a los agentes facultados, a los miembros de las Fuerzas y Cuerpos de Seguridad del Estado y de los Cuerpos Policiales de las Comunidades Autónomas con competencia para la protección de las personas y bienes y para el mantenimiento de la seguridad pública, o al personal del Centro Nacional de Inteligencia, así como los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, cuando les sea requeridos por éstos con fines de investigación, detección y enjuiciamiento de un delito contemplado en el Código Penal o en las leyes penales especiales.

5. Constituyen infracciones a lo previsto en la presente disposición las siguientes:

a) Son infracciones muy graves tanto el incumplimiento de la llevanza del libro-registro referido, como la negativa a la cesión y entrega de los datos a las personas y en los casos previstos en esta disposición.

b) Son infracciones graves la llevanza incompleta de dicho libro-registro, así como la demora injustificada en la cesión y entrega de los datos a las personas y en los casos previstos en esta disposición.

6. A las infracciones previstas en el apartado anterior les será de aplicación el régimen sancionador establecido en la Ley 32/2003, de 3 de noviembre, correspondiendo la competencia sancionadora al Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información.

El procedimiento para sancionar las citadas infracciones se iniciará por acuerdo del Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información, pudiendo el Ministerio del Interior instar dicho inicio.

En todo caso, se deberá recabar del Ministerio del Interior informe preceptivo y determinante para la resolución del procedimiento sancionador.

7. La obligación de inscripción en el libro-registro de los datos identificativos de los compradores que adquieran tarjetas inteligentes, así como el resto de obligaciones contenidas en la presente disposición adicional, comenzarán a ser exigibles a partir de la entrada en vigor de esta ley.

8. La obligación de inscripción a que se refiere el apartado anterior no es de aplicación a las tarjetas adquiridas con anterioridad a la entrada en vigor de esta ley, incluso en los supuestos de recarga de las mismas.

Disposición transitoria única. Vigencia del régimen de interceptación de telecomunicaciones.

Las normas dictadas en desarrollo del Capítulo III del Título III de la Ley 32/2003, de 3 de noviembre, continuarán en vigor en tanto no se opongan a lo dispuesto en esta ley.

Disposición derogatoria única. Derogación normativa.

1. Quedan derogados los artículos 12 y 38.2, c) y d), y 3 a) de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

2. Asimismo, quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en esta ley.

Disposición final primera. Modificación de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

La Ley 32/2003 de 10 de noviembre, General de Telecomunicaciones se modifica en los siguientes términos:

Uno. Se suprime el último párrafo del apartado 5 del artículo 38.

Dos. Se añade un nuevo epígrafe 9 al artículo 38 con la siguiente redacción:

«9. Lo establecido en este artículo se entiende sin perjuicio de las obligaciones establecidas en la Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.»

Tres. En el artículo 53, se modifican los párrafos o) y z), que quedan redactados de la siguiente forma:

«o) El incumplimiento deliberado, por parte de los operadores, de las obligaciones en materia de interceptación legal de comunicaciones impuestas en desarrollo del artículo 33 de esta ley y el incumplimiento deliberado de las obligaciones de conservación de los datos establecidas en la Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.»

«z) La vulneración grave o reiterada de los derechos previstos en el artículo 38.3, salvo el previsto por el párrafo h), cuya infracción se regirá por el régimen sancionador previsto en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, y el incumplimiento grave o reiterado de las obligaciones de protección y seguridad de los datos almacenados establecidas en el artículo 8 de la Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.»

Cuatro. En el artículo 54 se modifican los párrafos ñ) y r), que quedan redactados de la siguiente forma:

«ñ) El incumplimiento, por parte de los operadores, de las obligaciones en materia de interceptación legal de comunicaciones impuestas en desarrollo del artículo 33 de la presente ley y el incumplimiento de las obligaciones de conservación de los datos establecidas en la Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, salvo que deban considerarse como infracción muy grave, conforme a lo dispuesto en el artículo anterior.»

«r) La vulneración de los derechos previstos en el artículo 38.3, salvo el previsto por el párrafo h), cuya infracción se regirá por el régimen sancionador previsto en la Ley 34/2002, de 11 de julio, y el incumplimiento de las obligaciones de protección y seguridad de los datos establecidas en el artículo 8 de la Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, salvo que deban considerarse como infracción muy grave.»

Disposición final segunda. Competencia estatal.

Esta ley se dicta al amparo de lo dispuesto en el artículo 149.1.29ª de la Constitución, que atribuye al Estado la competencia exclusiva en materia de seguridad pública y de la regla 21ª del artículo 149.1.21ª, que confiere al Estado competencia exclusiva en materia de telecomunicaciones.

Disposición final tercera. Desarrollo reglamentario.

Se habilita al Gobierno a dictar cuantas disposiciones sean necesarias para el desarrollo y ejecución de lo previsto en esta Ley.

Disposición final cuarta. Adaptaciones y configuraciones técnicas.

1. La cesión a los agentes facultados de los datos cuya conservación sea obligatoria, se efectuará en formato electrónico, en la forma que se determine por Orden conjunta de los Ministros de Interior, de Defensa y de Economía y Hacienda, que se aprobará en el plazo de tres meses desde la entrada en vigor de esta ley.

2. Los sujetos obligados, a los que se refiere el artículo 2 de esta ley, tendrán un plazo de tres meses desde la aprobación de la Orden prevista en el apartado anterior para configurar, a su costa, sus equipos y estar técnicamente en disposición de cumplir con las obligaciones de conservación y cesión de datos.

Disposición final quinta. Entrada en vigor.

Esta ley entrará en vigor a los veinte días de su publicación en el «Boletín Oficial del Estado».

Todo es electrónico

Identidad digital, Cartera IDUE, Frma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital