Por fin, el pasado sábado 19 de enero de 2008, ha publicado en el BOE el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Usuarios de juegos online, redes sociales y las elecciones presidenciales de Estados Unidos, objetivo de las amenazas de Internet; las botnets cambian de táctica y el código malicioso se hace más inteligente
Barcelona, 16 de enero de 2008.- El último informe de seguridad en Internet publicado por CA advierte que los usuarios de juegos online y de redes sociales y los eventos como las elecciones presidenciales de Estados Unidos o los Juegos Olímpicos de Pekín están entre los principales objetivos potenciales de los ataques online en 2008. El estudio, que se basa en los datos recogidos por el grupo de investigadores internacionales del CA Global Security Advisor, presenta las predicciones de seguridad en Internet para 2008 y las tendencias observadas en 2007.
Las predicciones de CA acerca de la seguridad online para 2008 son:
1. Las botnets dominarán en 2008: el número de ordenadores infectados por botnets aumentará enormemente en 2008. En un esfuerzo por ser más difíciles de detectar, los individuos que controlan las botnets están cambiando su táctica y descentralizando vía arquitecturas peer to peer. Cada vez más están utilizando mensajería instantánea como su principal vehículo de distribución de botnets.
2. Código malicioso más inteligente: hay nuevos modelos de sofisticación en el código malicioso (malware), que apuntará a ordenadores virtualizados y cada vez más utilizará técnicas de ofuscación para ocultarse a la vista, incluyendo esteganografía y encriptaciones, que ayudarán a los delincuentes a encubrir sus actividades.
3. Los usuarios de juegos online están en la línea de fuego: ya eran un objetivo codiciado y robar las credenciales de su cuenta continuará siendo uno de los principales objetivos de los delincuentes online. Los usuarios de juegos online suelen estar más preocupados por optimizar sus ordenadores para obtener un mayor rendimiento que por una buena seguridad. En 2008, los activos virtuales equivaldrán al dinero del mundo real para los delincuentes de Internet.
4. Las redes sociales están en el punto de mira: los sitios web de redes sociales cada vez son más populares, y como resultado de ello, más vulnerables. El gran número de víctimas potenciales y su relativamente poca preocupación por la seguridad informática hace que estos sitios web sean una oportunidad de ganancias para los ladrones cibernéticos.
5. Oportunidades en fechas clave: las elecciones presidenciales de Estados Unidos y los Juegos Olímpicos 2008 de Pekín ofrecen oportunidades para ataques destructivos y corrupción o robo de información.
6. Los sitios y servicios de web 2.0 serán blanco de ataques dirigidos: aunque es relativamente sencillo implementar servicios de web 2.0, puede ser todo un reto configurarlos para que sean completamente seguros. Por lo tanto, muchos sitios de Internet que utilicen estos servicios son blancos fáciles con pocas indicaciones externas que hagan sospechar que la seguridad del sitio se ha visto comprometida.
7. Windows Vista corre peligro: a medida que las empresas y particulares compren nuevos ordenadores, la cuota de mercado de Vista crecerá. Aunque está diseñado como el sistema operativo más seguro de Microsoft, en 2007 se publicaron 20 vulnerabilidades, según el National Institute of Standards and Technology. Cuanta más gente utilice este sistema operativo, más atacantes apuntarán a él.
8. Los dispositivos móviles aún serán seguros: los dispositivos móviles aún están a salvo a pesar de los rumores sobre código malicioso móvil. Los smartphones y otros dispositivos móviles del estilo no significarán una verdadera oportunidad para los delincuentes en 2008. Las pruebas hechas con código malicioso para los dispositivos móviles aún no se han traducido en ataques importantes. La única vulnerabilidad importante publicada en 2007 fue la del iPhone de Apple.
“El rastro digital que se recopila y almacena cada vez que utilizamos Internet es increíblemente valioso para los profesionales de marketing, pero también para los delincuentes online,” continua Grayek. “Hemos visto como el código malicioso ha evolucionado para convertirse en un verdadero negocio del fraude. Sorprendentemente, ahora está operando con prácticas de negocio similares a las organizaciones legítimas de software. Nuestra actitud respecto a la protección de nuestra privacidad en Internet y las acciones que tomemos, sea en el trabajo o en casa, pueden cambiar significativamente la seguridad en Internet.”
Los investigadores de CA constataron las siguientes tendencias en 2007:
El objetivo del informe CA 2008 Internet Security Outlook es informar a empresas y particulares de las amenazas de Internet más nuevas y peligrosas, y de las tendencias que se prevén, además de ofrecer consejo práctico para la protección. El análisis realizado se basa en la información sobre los incidentes recogidos por el equipo de investigadores del CA Global Security Advisor, enviados por los clientes de CA desde enero a octubre de 2007. Para obtener el informe de seguridad completo de CA 2008 Internet Security Outlook, visite www.ca.com/securityadvisor.
El equipo de CA Global Security Advisor, formado por expertos en seguridad, investigadores y personal de soporte especializado que trabajan en diversos países, lleva más de 16 años ofreciendo consejos sobre seguridad. CA Security Advisor está disponible en http://www.ca.com/securityadvisor y ofrece gratuitamente alertas de seguridad, RSS feeds, exploraciones de PC y un blog de seguridad que actualizan regularmente los investigadores de CA. El equipo de investigación también ayuda a mantener actualizados toda la gama de productos de gestión de amenazas de CA, tanto para usuarios particulares, como pymes y grandes empresas.
Desde hace tiempo se ven letreros en las gasolineras prohibiendo el uso de teléfonos móviles.
¿Puede ser un teléfono móvil la causa de una explosión en una gasolinera?
Las pruebas de este video no favorecen esta teoría.
En cambio, sugieren que las ropas de nylon utilizadas a menudo por los empleados de estos servicios sí podrían generar chispas capaces de prender en zonas poco ventiladas en las que se concentren los vapores de combustibles.
Visto en Darwin Awards.
Uno de los aspectos tratados en el Consejo de Ministros del 21 de diciembe de 2007 ha sido la creación de la Oficina de Seguridad del Internauta.
El Consejo de Ministros ha aprobado la creación de la Oficina de Seguridad del Internauta con el objetivo de proporcionar a los ciudadanos que navegan por la Red la confianza necesaria para sortear los posibles incidentes de seguridad por los que se pueden ver afectados.
La Oficina ofrecerá, de modo gratuito, asesoramiento especializado y gestión ante posibles dudas o incidencias sobre temas de seguridad en la red. Para ello se contará, en un primer nivel, con una línea de atención telefónica gratuita, un portal web de información accesible, así como atención mediante correo electrónico y foros de consulta. El segundo nivel de atención será atendido por profesionales de seguridad especializados del Instituto Nacional de Tecnologías de la Comunicación (INTECO).
En caso de requerirse, la Oficina establecerá contacto con las Fuerzas y Cuerpos de Seguridad del Estado para facilitar la tramitación de incidencias de seguridad que puedan incurrir en un delito informático o de fraude y supongan una agresión o perjuicio económico o personal para el ciudadano.
Por otra parte, la Oficina impulsará, mediante campañas de promoción de los diversos servicios a través de diferentes canales, la detección y denuncia de nuevas amenazas en la red, fraudes y estafas online y otros tipos de ataques de seguridad informática. Asimismo, prestará el ciudadano la información y el asesoramiento necesario en materia legal sobre Internet y las tecnologías relacionadas.
La Oficina de Seguridad del Internauta estará en pleno funcionamiento en mayo de 2008, aunque algunos servicios podrían iniciarse en febrero de 2008.
El pasado 3 de diciembre de 2007 tuvo lugar el DISI 2007: Segundo Día Internacional de la Seguridad de la Información.
Toda la jornada fue muy interesante pero para mí fue muy emocionante especialmente por la mañana.
La primera ocasión al poder saludar personalmente a Mr Martin Hellman y poder charlar brevemente con él. No me he lavado la mano desde el lunes 😉
El doctor Martin Hellman es coautor de una de las primeras patentes de criptografía de clave pública (Martin E. Hellman, Bailey W. Diffie, and Ralph C. Merkle) y de los trabajos seminales sobre el tema.
Su disertación fue muy interesante. Hizo un recorrido de las pricipales aportaciones iniciales a este tipo de criptografía, dedicando un pequeño homenaje a varios «Unsung heroes».
When I was first studying cryptography, my colleagues were almost uniform in their appraisal that my efforts were foolish. Citing NSA’s huge budget, they asked how I could ever hope to discover something NSA did not already know. And they argued that, if I did find anything good, the government would classify it. Both arguments were valid, and later came back to haunt me. Yet, in hindsight, this fool’s errand was a very worthwhile adventure.
In this talk I recount those early days: what brought me to cryptography; why I disregarded the conventional wisdom; the roles of Diffie, Merkle, RSA, and NSA; and the thought sequence that led us to pubic key cryptography. I will also shine some light on several unsung heroes of those early days and discuss the work of the NRC Committee to Study National Cryptographic Policy (1994-96). Although not as intimately involved in cryptography’s current study, I will also venture a few thoughts on its future.
Luego, el doctor Hugo Scolnik presentó un trabajo muy interesante y prometedor sobre la posibilidad de factorizar eficientemente los productos de grandes números primos que son la base del sistema criptográfico de clave pública RSA.
Fernando Acero ha descrito con cierto detalle la presentación del doctor Scolnik.
Aunque es pronto para saber si se trata de un método genérico, permite vaticinar que la necesidad de cambiar a otro tipo de criptografía no basada en RSA empieza a ser acuciante. Son interesantes algunos comentarios que Fernando ha recibido a su artículo en Kriptópolis.
En fin, todas las charlas fueron interesantes. A ver si en una posterior actualización voy poniendo más cosas sobre ellas.
Y para colofón una divertida reflexión de Juan Carlos García Cuartango sobre la escasa industrialización del software en el devenir de 30 años. Me gustaría conseguir el video de su charla.
Actualización.
Ya están disponibles los «abstracts»:
Conferenciantes Internacionales Invitados
Dr. Martin Hellman – Universidad de Stanford, Estados Unidos
A Fool’s Errand: Inventing Public Key Cryptography
Dr. Hugo Scolnik – Universidad de Buenos Aires, Argentina
Avances en la Factorización Entera
Ponentes Nacionales Invitados
D. Artemi Rallo – Director de la Agencia Española de Protección de Datos
Protección de Datos en la Sociedad de la Información
D. Víctor Domingo – Presidente de la Asociación de Internautas
Delitos y Peligros en la Red
D. Sergio de los Santos – Hispasec
Evolución del Malware
D. Fernando Acero – Hispalinux
Seguridad en Entornos Linux
D. Juan Carlos García – Instituto para la Seguridad en Internet
El Fracaso del Software
Segun fuentes próximas al entorno hacker, varios hackers españoles estarían preparando una batería de acciones, desde virus informáticos, hasta troyanos y «defacements» destinados a bloquear organismos e instituciones próximas al líder populista Hugo Chávez.
Esta iniciativa, indican las fuentes consultadas, es una reacción a la escalada verbal y de amenazas contra los intereses españoles del mandatario venezolano.
Admitiendo que las formas en la petición de silencio del monarca español en la reciente XVII Cumbre Iberoamerica han sido poco convencionales, no es menos cierto que previamente el representante de Venezuela impedía a voces y con insultos el uso de la palabra al Presidente del Gobierno español, a quien le correspondía en ese momento.
Hugo Chávez exige al Rey de España que se disculpe amenzando con graves represalias a las empresas españolas en un grave ejercicio de arbitrariedad, prevaricación y abuso de autoridad. Sin embargo el mismo no reconoce los excesos cometidos en la pasada cumbre, y tras ella.
«Utiliza el enfrentamiento con España como una cortina de humo para ocultar sus acciones antidemocráticas y desviar la atención de los graves problemas de su país» comenta uno de los activistas informáticos «con lo que perjudica a Venezuela, como va quedar patente en breve»
El ataque hacker podría estar siendo diseñado de forma que impacte lo menos posible en los servicios esenciales del país pero suponga una gran visibilidad en el entorno del presidente golpista Chávez. «No queremos que se vea como un ataque a Venezuela ni a los venezolanos, sino como una respuesta diplomática a la actuación inadmisible de su presidente» indican las fuentes.
El libro blanco «La seguridad de los negocios en Internet» se presentaba el pasado 22 de noviembre de 2007 en Barcelona, en la Casa Llotja de Mar, como es habitual en los actos de la Cámara de Comercio.
Es un documento de divulgación destinado a los empresarios que identifica los problemas de seguridad y señala sus soluciones.
Espero conseguir pronto un ejemplar y ampliar el comentario.
El lunes 3 de diciembre de 2007 en el Campus Sur de la Universidad Politécnica de Madrid se celebrará DISI 2007, segunda edición del Día Internacional de la Seguridad de la Información, simposio al más alto nivel científico y técnico organizado por la Cátedra UPM – Applus+ de Seguridad y Desarrollo de la Sociedad de la Información, adscrita a la Escuela Universitaria de Ingeniería Técnica de Telecomunicación EUITT.
El evento, cuya asistencia es gratuita previa inscripción en la página Web de dicha cátedra www.capsdesi.upm.es tendrá lugar en el Salón de Actos de la Escuela Universitaria de Ingeniería Técnica de Telecomunicación UPM (Madrid)
cuenta este año con la destacada participación del Dr.Martin Hellman, profesor emérito de la Universidad de Stanford y creador junto a Whitfield Diffie y Ralph Merkle de la criptografía de clave pública.
Junto al Dr. Hellman, estará como conferenciante extranjero invitado el Dr. Hugo Scolnik, matemático e investigador de la Universidad de Buenos Aires y uno de los pioneros de la seguridad informática y la criptografía en Argentina.
Ponentes
Además de estos invitados internacionales, tendrán destacada participación en DISI 2007 D. Artemi Rallo Lombarte, Director de la Agencia Española de Protección de Datos; D. Víctor Domingo de la Asociación de Internautas, D. Martín Pérez de Asimelec, D. Manuel Arrebola de Zitralia, D. Julián Inza de Albalia, Dña. Gemma Deler de Applus+, D. Sergio de los Santos de Hispasec, D. Fernando Acero de Hispalinux y D. Juan Carlos García Cuartango del Instituto para la Seguridad en Internet. Como en su primera edición, colaboran en la difusión de DISI 2007 entre otros Red Seguridad, ISSA, ATI, Hispasec y hakin9.
El programa está disponible en PDF y las instrucciones para llegar en HTML.
Este es el programa detallado:
Conferenciantes Internacionales Invitados
Dr. Martin Hellman – Universidad de Stanford, Estados Unidos
A Fool’s Errand: Inventing Public Key Cryptography
Dr. Hugo Scolnik – Universidad de Buenos Aires, Argentina
Avances en la Factorización Entera
Ponentes Nacionales Invitados
D. Artemi Rallo – Director de la Agencia Española de Protección de Datos
Protección de Datos en la Sociedad de la Información
D. Víctor Domingo – Presidente de la Asociación de Internautas
D. Sergio de los Santos – Hispasec
D. Fernando Acero – Hispalinux
D. Juan Carlos García – Instituto para la Seguridad en Internet
Invitados a Mesa Redonda
D. Martín Pérez – Asimelec
D. Manuel Arrevola – Zitralia
D. Julián Inza – Albalia
D. Rodolfo Lomascolo – IPSCA
Dña. Gemma Deler – Applus+
Moderadores de Sesión, Foro y Mesa Redonda
Dr. Justo Carracedo – Director EUITT
Dr. Jorge Ramió – Director de la Cátedra UPM Applus+
D. Manuel Ballester – Director Revista Red Seguridad
D. Fernando Bahamonde – Presidente ISSA
Y este un reportaje sobre el DISI 2006
El pasado 19 de octubre se publicaba en el BOE la LEY 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. Ya había comentado anteriormente el Proyecto de Ley
La transcribo por su interés:
JUAN CARLOS I
REY DE ESPAÑA
A todos los que la presente vieren y entendieren.
Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente ley.
PREÁMBULO
I
La aplicación de las nuevas tecnologías desarrolladas en el marco de la sociedad de la información ha supuesto la superación de las formas tradicionales de comunicación, mediante una expansión de los contenidos transmitidos, que abarcan no sólo la voz, sino también datos en soportes y formatos diversos. A su vez, esta extraordinaria expansión en cantidad y calidad ha venido acompañada de un descenso en los costes, haciendo que este tipo de comunicaciones se encuentre al alcance de cualquier persona y en cualquier rincón del mundo.
La naturaleza neutra de los avances tecnológicos en telefonía y comunicaciones electrónicas no impide que su uso pueda derivarse hacia la consecución de fines indeseados, cuando no delictivos.
Precisamente en el marco de este último objetivo se encuadra la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de marzo, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, y por la que se modifica la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio, cuya transposición a nuestro ordenamiento jurídico es el objetivo principal de esta Ley.
El objeto de esta Directiva es establecer la obligación de los operadores de telecomunicaciones de retener determinados datos generados o tratados por los mismos, con el fin de posibilitar que dispongan de ellos los agentes facultados. Se entienden por agentes facultados los miembros de los Cuerpos Policiales autorizados para ello en el marco de una investigación criminal por la comisión de un delito, el personal del Centro Nacional de Inteligencia para llevar a cabo una investigación de seguridad amparada en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y en la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia, así como los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdo con el apartado 1 del artículo 283 de la Ley de Enjuiciamiento Criminal. Se trata, pues, de que todos éstos puedan obtener los datos relativos a las comunicaciones que, relacionadas con una investigación, se hayan podido efectuar por medio de la telefonía fija o móvil, así como por Internet. El establecimiento de esas obligaciones, justificado en aras de proteger la seguridad pública, se ha efectuado buscando el imprescindible equilibrio con el respeto de los derechos individuales que puedan verse afectados, como son los relativos a la privacidad y la intimidad de las comunicaciones.
En este sentido, la Ley es respetuosa con los pronunciamientos que, en relación con el derecho al secreto de las comunicaciones, ha venido emitiendo el Tribunal Constitucional, respeto que, especialmente, se articula a través de dos garantías: en primer lugar, que los datos sobre los que se establece la obligación de conservación son datos exclusivamente vinculados a la comunicación, ya sea telefónica o efectuada a través de Internet, pero en ningún caso reveladores del contenido de ésta; y, en segundo lugar, que la cesión de tales datos que afecten a una comunicación o comunicaciones concretas, exigirá, siempre, la autorización judicial previa.
En relación con esta última precisión, cabe señalar que la Directiva se refiere, expresamente, a que los datos conservados deberán estar disponibles a los fines de detección o investigación por delitos graves, definidos éstos de acuerdo con la legislación interna de cada Estado miembro.
II
La Ley cuenta con diez artículos que se agrupan en tres capítulos.
El Capítulo I («Disposiciones Generales») se inicia describiendo su objeto, que básicamente se circunscribe a la determinación de la obligación de conservar los datos enumerados en el artículo 3, que se hayan generado o tratado en el marco de una comunicación de telefonía fija o móvil, o realizada a través de una comunicación electrónica de acceso público o mediante una red pública de comunicaciones. Igualmente, se precisan los fines que, exclusivamente, justifican la obligación de conservación, y que se limitan a la detección, investigación y enjuiciamiento de un delito contemplado en el Código Penal o las leyes penales especiales, con los requisitos y cautelas que la propia Ley establece.
En este capítulo también se precisan las limitaciones sobre el tipo de datos a retener, que son los necesarios para identificar el origen y destino de la comunicación, así como la identidad de los usuarios o abonados de ambos, pero nunca datos que revelen el contenido de la comunicación. Igualmente, la Ley impone la obligación de conservación de datos que permitan determinar el momento y duración de una determinada comunicación, su tipo, así como datos necesarios para identificar el equipo de comunicación empleado y, en el caso de utilización de un equipo móvil, los datos necesarios para su localización.
En relación con los sujetos que quedan obligados a conservar los datos, éstos serán los operadores que presten servicios de comunicaciones electrónicas disponibles al público, o que exploten una red pública de comunicaciones electrónicas en España.
La Ley enumera en su artículo 3, de manera precisa y detallada, el listado de datos que quedan sujetos a la obligación de conservación en el marco de las comunicaciones por telefonía fija, móvil o Internet. Estos datos, que, se repite, en ningún caso revelarán el contenido de la comunicación, son los necesarios para identificar el origen y destino de la comunicación, su hora, fecha y duración, el tipo de servicio utilizado y el equipo de comunicación de los usuarios utilizado. En aplicación de las previsiones contenidas en la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de marzo, quedan incluidas también en el ámbito de aplicación de la Ley las denominadas llamadas telefónicas infructuosas. Igualmente se incluye la obligación de conservar los elementos que sean suficientes para identificar el momento de activación de los teléfonos que funcionen bajo la modalidad de prepago.
En el Capítulo II («Conservación y cesión de datos») se establecen los límites para efectuar la cesión de datos, el plazo de conservación de los mismos, que será, con carácter general, de doce meses desde que la comunicación se hubiera establecido (si bien reglamentariamente se podrá reducir a seis meses o ampliar a dos años, como permite la Directiva 2006/24/CE), y los instrumentos para garantizar el uso legítimo de los datos conservados, cuya cesión y entrega exclusivamente se podrá efectuar al agente facultado y para los fines establecidos en la Ley, estando cualquier uso indebido sometido a los mecanismos de control de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo. Además, se establecen previsiones específicas respecto al régimen general regulador de los derechos de acceso, rectificación y cancelación de datos contenido en la referida Ley Orgánica 15/1999.
El Capítulo III, al referirse al régimen sancionador, remite, en cuanto a los incumplimientos de las obligaciones de conservación y protección y seguridad de los datos de carácter personal, a la regulación contenida en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. Por otro lado, los incumplimientos de la obligación de puesta a disposición de los agentes facultados, en la medida en que las solicitudes estarán siempre amparadas por orden judicial, constituirían la correspondiente infracción penal.
En las disposiciones contenidas en la parte final se incluyen contenidos diversos. Por un lado, y a los efectos de poder establecer instrumentos para controlar el empleo para fines delictivos de los equipos de telefonía móvil adquiridos mediante la modalidad de prepago, se establece, como obligación de los operadores que comercialicen dicho servicio, la llevanza de un registro con la identidad de los compradores.
Por último, la Ley incorpora en las disposiciones finales una modificación de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, para adaptarla al contenido de esta Ley, una referencia a su amparo competencial, una habilitación general al Gobierno para su desarrollo y un período de seis meses para que las operadoras puedan adaptarse a su contenido.
CAPÍTULO I
Disposiciones generales
Artículo 1. Objeto de la Ley.
1. Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.
2. Esta Ley se aplicará a los datos de tráfico y de localización sobre personas físicas y jurídicas y a los datos relacionados necesarios para identificar al abonado o usuario registrado.
3. Se excluye del ámbito de aplicación de esta Ley el contenido de las comunicaciones electrónicas, incluida la información consultada utilizando una red de comunicaciones electrónicas.
Artículo 2. Sujetos obligados.
Son destinatarios de las obligaciones relativas a la conservación de datos impuestas en esta Ley los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones, en los términos establecidos en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.
Artículo 3. Datos objeto de conservación.
1. Los datos que deben conservarse por los operadores especificados en el artículo 2 de esta Ley, son los siguientes:
a) Datos necesarios para rastrear e identificar el origen de una comunicación:
1.° Con respecto a la telefonía de red fija y a la telefonía móvil:
i) Número de teléfono de llamada.
ii) Nombre y dirección del abonado o usuario registrado.
2.° Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:
i) La identificación de usuario asignada.
ii) La identificación de usuario y el número de teléfono asignados a toda comunicación que acceda a la red pública de telefonía.
iii) El nombre y dirección del abonado o del usuario registrado al que se le ha asignado en el momento de la comunicación una dirección de Protocolo de Internet (IP), una identificación de usuario o un número de teléfono.
b) Datos necesarios para identificar el destino de una comunicación:
1.º Con respecto a la telefonía de red fija y a la telefonía móvil:
i) El número o números marcados (el número o números de teléfono de destino) y, en aquellos casos en que intervengan otros servicios, como el desvío o la transferencia de llamadas, el número o números hacia los que se transfieren las llamadas.
ii) Los nombres y las direcciones de los abonados o usuarios registrados.
2.º Con respecto al correo electrónico por Internet y la telefonía por Internet:
i) La identificación de usuario o el número de teléfono del destinatario o de los destinatarios de una llamada telefónica por Internet.
ii) Los nombres y direcciones de los abonados o usuarios registrados y la identificación de usuario del destinatario de la comunicación.
c) Datos necesarios para determinar la fecha, hora y duración de una comunicación:
1.° Con respecto a la telefonía de red fija y a la telefonía móvil: la fecha y hora del comienzo y fin de la llamada o, en su caso, del servicio de mensajería o del servicio multimedia.
2.° Con respecto al acceso a Internet, al correo electrónico por Internet y a la telefonía por Internet:
i) La fecha y hora de la conexión y desconexión del servicio de acceso a Internet registradas, basadas en un determinado huso horario, así como la dirección del Protocolo Internet, ya sea dinámica o estática, asignada por el proveedor de acceso a Internet a una comunicación, y la identificación de usuario o del abonado o del usuario registrado.
ii) La fecha y hora de la conexión y desconexión del servicio de correo electrónico por Internet o del servicio de telefonía por Internet, basadas en un determinado huso horario.
d) Datos necesarios para identificar el tipo de comunicación.
1.° Con respecto a la telefonía de red fija y a la telefonía móvil: el servicio telefónico utilizado: tipo de llamada (transmisión de voz, buzón vocal, conferencia, datos), servicios suplementarios (incluido el reenvío o transferencia de llamadas) o servicios de mensajería o multimedia empleados (incluidos los servicios de mensajes cortos, servicios multimedia avanzados y servicios multimedia).
2.° Con respecto al correo electrónico por Internet y a la telefonía por Internet: el servicio de Internet utilizado.
e) Datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación:
1.º Con respecto a la telefonía de red fija: los números de teléfono de origen y de destino.
2.° Con respecto a la telefonía móvil:
i) Los números de teléfono de origen y destino.
ii) La identidad internacional del abonado móvil (IMSI) de la parte que efectúa la llamada.
iii) La identidad internacional del equipo móvil (IMEI) de la parte que efectúa la llamada.
iv) La IMSI de la parte que recibe la llamada.
v) La IMEI de la parte que recibe la llamada.
vi) En el caso de los servicios anónimos de pago por adelantado, tales como los servicios con tarjetas prepago, fecha y hora de la primera activación del servicio y la etiqueta de localización (el identificador de celda) desde la que se haya activado el servicio.
3.° Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:
i) El número de teléfono de origen en caso de acceso mediante marcado de números.
ii) La línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación.
f) Datos necesarios para identificar la localización del equipo de comunicación móvil:
1.° La etiqueta de localización (identificador de celda) al inicio de la comunicación.
2.° Los datos que permiten fijar la localización geográfica de la celda, mediante referencia a la etiqueta de localización, durante el período en el que se conservan los datos de las comunicaciones.
2. Ningún dato que revele el contenido de la comunicación podrá conservarse en virtud de esta Ley.
CAPÍTULO II
Conservación y cesión de datos
Artículo 4. Obligación de conservar datos.
1. Los sujetos obligados adoptarán las medidas necesarias para garantizar que los datos especificados en el artículo 3 de esta Ley se conserven de conformidad con lo dispuesto en ella, en la medida en que sean generados o tratados por aquéllos en el marco de la prestación de los servicios de comunicaciones de que se trate.
En ningún caso, los sujetos obligados podrán aprovechar o utilizar los registros generados, fuera de los supuestos de autorización fijados en el artículo 38 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.
2. La citada obligación de conservación se extiende a los datos relativos a las llamadas infructuosas, en la medida que los datos son generados o tratados y conservados o registrados por los sujetos obligados. Se entenderá por llamada infructuosa aquella comunicación en el transcurso de la cual se ha realizado con éxito una llamada telefónica pero sin contestación, o en la que ha habido una intervención por parte del operador u operadores involucrados en la llamada.
3. Los datos relativos a las llamadas no conectadas están excluidos de las obligaciones de conservación contenidas en esta Ley. Se entenderá por llamada no conectada aquella comunicación en el transcurso de la cual se ha realizado sin éxito una llamada telefónica, sin que haya habido intervención del operador u operadores involucrados.
Artículo 5. Período de conservación de los datos.
1. La obligación de conservación de datos impuesta cesa a los doce meses computados desde la fecha en que se haya producido la comunicación. Reglamentariamente, previa consulta a los operadores, se podrá ampliar o reducir el plazo de conservación para determinados datos o una categoría de datos hasta un máximo de dos años o un mínimo de seis meses, tomando en consideración el coste del almacenamiento y conservación de los datos, así como el interés de los mismos para los fines de investigación, detección y enjuiciamiento de un delito grave, previa consulta a los operadores.
2. Lo dispuesto en el apartado anterior se entiende sin perjuicio de lo previsto en el artículo 16.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, sobre la obligación de conservar datos bloqueados en los supuestos legales de cancelación.
Artículo 6. Normas generales sobre cesión de datos.
1. Los datos conservados de conformidad con lo dispuesto en esta Ley sólo podrán ser cedidos de acuerdo con lo dispuesto en ella para los fines que se determinan y previa autorización judicial.
2. La cesión de la información se efectuará únicamente a los agentes facultados.
A estos efectos, tendrán la consideración de agentes facultados:
a) Los miembros de las Fuerzas y Cuerpos de Seguridad, cuando desempeñen funciones de policía judicial, de acuerdo con lo previsto en el artículo 547 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial.
b) Los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdo con el apartado 1 del artículo 283 de la Ley de Enjuiciamiento Criminal.
c) El personal del Centro Nacional de Inteligencia en el curso de las investigaciones de seguridad sobre personas o entidades, de acuerdo con lo previsto en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y en la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia.
Artículo 7. Procedimiento de cesión de datos.
1. Los operadores estarán obligados a ceder al agente facultado los datos conservados a los que se refiere el artículo 3 de esta Ley concernientes a comunicaciones que identifiquen a personas, sin perjuicio de la resolución judicial prevista en el apartado siguiente.
2. La resolución judicial determinará, conforme a lo previsto en la Ley de Enjuiciamiento Criminal y de acuerdo con los principios de necesidad y proporcionalidad, los datos conservados que han de ser cedidos a los agentes facultados.
3. El plazo de ejecución de la orden de cesión será el fijado por la resolución judicial, atendiendo a la urgencia de la cesión y a los efectos de la investigación de que se trate, así como a la naturaleza y complejidad técnica de la operación.
Si no se establece otro plazo distinto, la cesión deberá efectuarse dentro de las setenta y dos horas contadas a partir de las 8:00 horas del día laborable siguiente a aquél en que el sujeto obligado reciba la orden.
Artículo 8. Protección y seguridad de los datos.
1. Los sujetos obligados deberán identificar al personal especialmente autorizado para acceder a los datos objeto de esta Ley, adoptar las medidas técnicas y organizativas que impidan su manipulación o uso para fines distintos de los comprendidos en la misma, su destrucción accidental o ilícita y su pérdida accidental, así como su almacenamiento, tratamiento, divulgación o acceso no autorizados, con sujeción a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y en su normativa de desarrollo.
2. Las obligaciones relativas a las medidas para garantizar la calidad de los datos y la confidencialidad y seguridad en el tratamiento de los mismos serán las establecidas en la Ley Orgánica 15/1999, de 13 de diciembre, y su normativa de desarrollo.
3. El nivel de protección de los datos almacenados se determinará de conformidad con lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, y en su normativa de desarrollo.
4. La Agencia Española de Protección de Datos es la autoridad pública responsable de velar por el cumplimiento de las previsiones de la Ley Orgánica 15/1999, de 13 de diciembre, y de la normativa de desarrollo aplicables a los datos contemplados en la presente Ley.
Artículo 9. Excepciones a los derechos de acceso y cancelación.
1. El responsable del tratamiento de los datos no comunicará la cesión de datos efectuada de conformidad con esta Ley.
2. El responsable del tratamiento de los datos denegará el ejercicio del derecho de cancelación en los términos y condiciones previstos en la Ley Orgánica 15/1999, de 13 de diciembre.
CAPÍTULO III
Infracciones y sanciones
Artículo 10. Régimen aplicable al incumplimiento de obligaciones contempladas en esta Ley.
El incumplimiento de las obligaciones previstas en esta Ley se sancionará de acuerdo con lo dispuesto en la Ley 32/2003, de 3 de noviembre, sin perjuicio de las responsabilidades penales que pudieran derivar del incumplimiento de la obligación de cesión de datos a los agentes facultados.
Disposición adicional única. Servicios de telefonía mediante tarjetas de prepago.
1. Los operadores de servicios de telefonía móvil que comercialicen servicios con sistema de activación mediante la modalidad de tarjetas de prepago, deberán llevar un libro-registro en el que conste la identidad de los clientes que adquieran una tarjeta inteligente con dicha modalidad de pago.
Los operadores informarán a los clientes, con carácter previo a la venta, de la existencia y contenido del registro, de su disponibilidad en los términos expresados en el número siguiente y de los derechos recogidos en el artículo 38.6 de la Ley 32/2003.
La identificación se efectuará mediante documento acreditativo de la personalidad, haciéndose constar en el libro-registro el nombre, apellidos y nacionalidad del comprador, así como el número correspondiente al documento identificativo utilizado y la naturaleza o denominación de dicho documento. En el supuesto de personas jurídicas, la identificación se realizará aportando la tarjeta de identificación fiscal, y se hará constar en el libro-registro la denominación social y el código de identificación fiscal.
2. Desde la activación de la tarjeta de prepago y hasta que cese la obligación de conservación a que se refiere el artículo 5 de esta Ley, los operadores cederán los datos identificativos previstos en el apartado anterior, cuando para el cumplimiento de sus fines les sean requeridos por los agentes facultados, los miembros de las Fuerzas y Cuerpos de Seguridad del Estado y de los Cuerpos Policiales de las Comunidades Autónomas con competencia para la protección de las personas y bienes y para el mantenimiento de la seguridad pública, el personal del Centro Nacional de Inteligencia en el curso de las investigaciones de seguridad sobre personas o entidades, así como los funcionarios de la Dirección Adjunta de Vigilancia Aduanera.
3. Los datos identificativos estarán sometidos a las disposiciones de esta Ley, respecto a los sistemas que garanticen su conservación, no manipulación o acceso ilícito, destrucción, cancelación e identificación de la persona autorizada.
4. Los operadores deberán ceder los datos identificativos previstos en el apartado 1 de esta disposición a los agentes facultados, a los miembros de las Fuerzas y Cuerpos de Seguridad del Estado y de los Cuerpos Policiales de las Comunidades Autónomas con competencia para la protección de las personas y bienes y para el mantenimiento de la seguridad pública, o al personal del Centro Nacional de Inteligencia, así como a los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, cuando les sean requeridos por éstos con fines de investigación, detección y enjuiciamiento de un delito contemplado en el Código Penal o en las leyes penales especiales.
5. Sin perjuicio del régimen sancionador establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, constituyen infracciones a lo previsto en la presente disposición las siguientes:
a) Son infracciones muy graves tanto el incumplimiento de la llevanza del libro-registro referido, como la negativa a la cesión y entrega de los datos a las personas y en los casos previstos en esta disposición.
b) Son infracciones graves la llevanza incompleta de dicho libro-registro, así como la demora injustificada, en más de setenta y dos horas, en la cesión y entrega de los datos a las personas y en los casos previstos en esta disposición.
6. A las infracciones previstas en el apartado anterior les será de aplicación el régimen sancionador establecido en la Ley 32/2003, de 3 de noviembre, correspondiendo la competencia sancionadora al Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información.
El procedimiento para sancionar las citadas infracciones se iniciará por acuerdo del Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información, pudiendo el Ministerio del Interior instar dicho inicio.
En todo caso, se deberá recabar del Ministerio del Interior informe preceptivo y determinante para la resolución del procedimiento sancionador.
7. La obligación de inscripción en el libro-registro de los datos identificativos de los compradores que adquieran tarjetas inteligentes, así como el resto de obligaciones contenidas en la presente disposición adicional, comenzarán a ser exigibles a partir de la entrada en vigor de esta Ley.
8. No obstante, por lo que se refiere a las tarjetas adquiridas con anterioridad a la entrada en vigor de esta Ley, los operadores de telefonía móvil que comercialicen estos servicios dispondrán de un plazo de dos años, a contar desde dicha entrada en vigor, para cumplir con las obligaciones de inscripción a que se refiere el apartado 1 de la presente disposición adicional.
Transcurrido el aludido plazo de dos años, los operadores vendrán obligados a anular o a desactivar aquellas tarjetas de prepago respecto de las que no se haya podido cumplir con las obligaciones de inscripción del referido apartado 1 de esta disposición adicional, sin perjuicio de la compensación que, en su caso, corresponda al titular de las mismas por el saldo pendiente de consumo.
Disposición transitoria única. Vigencia del régimen de interceptación de telecomunicaciones.
Las normas dictadas en desarrollo del Capítulo III del Título III de la Ley 32/2003, de 3 de noviembre, continuarán en vigor en tanto no se opongan a lo dispuesto en esta Ley.
Disposición derogatoria única. Derogación normativa.
1. Quedan derogados los artículos 12, 38.2 c) y d) y 38.3 a) de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.
2. Asimismo, quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en esta Ley.
Disposición final primera. Modificación de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.
La Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, se modifica en los siguientes términos:
Uno. El artículo 33 queda redactado de la siguiente forma:
«Artículo 33. Secreto de las comunicaciones.
1. Los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público deberán garantizar el secreto de las comunicaciones de conformidad con los artículos 18.3 y 55.2 de la Constitución, debiendo adoptar las medidas técnicas necesarias.
2. Los operadores están obligados a realizar las interceptaciones que se autoricen de acuerdo con lo establecido en el artículo 579 de la Ley de Enjuiciamiento Criminal, en la Ley Orgánica 2/2002, de 6 de mayo, Reguladora del Control Judicial Previo del Centro Nacional de Inteligencia y en otras normas con rango de ley orgánica. Asimismo, deberán adoptar a su costa las medidas que se establecen en este artículo y en los reglamentos correspondientes.
3. La interceptación a que se refiere el apartado anterior deberá facilitarse para cualquier comunicación que tenga como origen o destino el punto de terminación de red o el terminal específico que se determine a partir de la orden de interceptación legal, incluso aunque esté destinada a dispositivo de almacenamiento o procesamiento de la información; asimismo, la interceptación podrá realizarse sobre un terminal conocido y con unos datos de ubicación temporal para comunicaciones desde locales públicos. Cuando no exista una vinculación fija entre el sujeto de la interceptación y el terminal utilizado, este podrá ser determinado dinámicamente cuando el sujeto de la interceptación lo active para la comunicación mediante un código de identificación personal.
4. El acceso se facilitará para todo tipo de comunicaciones electrónicas, en particular, por su penetración y cobertura, para las que se realicen mediante cualquier modalidad de los servicios de telefonía y de transmisión de datos, se trate de comunicaciones de vídeo, audio, intercambio de mensajes, ficheros o de la transmisión de facsímiles.
El acceso facilitado servirá tanto para la supervisión como para la transmisión a los centros de recepción de las interceptaciones de la comunicación electrónica interceptada y la información relativa a la interceptación, y permitirá obtener la señal con la que se realiza la comunicación.
5. Los sujetos obligados deberán facilitar al agente facultado, salvo que por las características del servicio no estén a su disposición y sin perjuicio de otros datos que puedan ser establecidos mediante real decreto, los datos indicados en la orden de interceptación legal, de entre los que se relacionan a continuación:
a) Identidad o identidades del sujeto objeto de la medida de la interceptación.
Se entiende por identidad: etiqueta técnica que puede representar el origen o el destino de cualquier tráfico de comunicaciones electrónicas, en general identificada mediante un número de identidad de comunicaciones electrónicas físico (tal como un número de teléfono) o un código de identidad de comunicaciones electrónicas lógico o virtual (tal como un número personal) que el abonado puede asignar a un acceso físico caso a caso.
b) Identidad o identidades de las otras partes involucradas en la comunicación electrónica.
c) Servicios básicos utilizados.
d) Servicios suplementarios utilizados.
e) Dirección de la comunicación.
f) Indicación de respuesta.
g) Causa de finalización.
h) Marcas temporales.
i) Información de localización.
j) Información intercambiada a través del canal de control o señalización.
6. Además de la información relativa a la interceptación prevista en el apartado anterior, los sujetos obligados deberán facilitar al agente facultado, salvo que por las características del servicio no estén a su disposición y sin perjuicio de otros datos que puedan ser establecidos mediante real decreto, de cualquiera de las partes que intervengan en la comunicación que sean clientes del sujeto obligado, los siguientes datos:
a) Identificación de la persona física o jurídica.
b) Domicilio en el que el proveedor realiza las notificaciones.
Y, aunque no sea abonado, si el servicio de que se trata permite disponer de alguno de los siguientes:
c) Número de titular de servicio (tanto el número de directorio como todas las identificaciones de comunicaciones electrónicas del abonado).
d) Número de identificación del terminal.
e) Número de cuenta asignada por el proveedor de servicios Internet.
f) Dirección de correo electrónico.
7. Junto con los datos previstos en los apartados anteriores, los sujetos obligados deberán facilitar, salvo que por las características del servicio no esté a su disposición, información de la situación geográfica del terminal o punto de terminación de red origen de la llamada, y de la del destino de la llamada. En caso de servicios móviles, se proporcionará una posición lo más exacta posible del punto de comunicación y, en todo caso, la identificación, localización y tipo de la estación base afectada.
8. Con carácter previo a la ejecución de la orden de interceptación legal, los sujetos obligados deberán facilitar al agente facultado información sobre los servicios y características del sistema de telecomunicación que utilizan los sujetos objeto de la medida de la interceptación y, si obran en su poder, los correspondientes nombres de los abonados con sus números de documento nacional de identidad, tarjeta de residencia o pasaporte, en el caso de personas físicas, o denominación y código de identificación fiscal en el caso de personas jurídicas.
9. Los sujetos obligados deberán tener en todo momento preparadas una o más interfaces a través de las cuales las comunicaciones electrónicas interceptadas y la información relativa a la interceptación se transmitirán a los centros de recepción de las interceptaciones. Las características de estas interfaces y el formato para la transmisión de las comunicaciones interceptadas a estos centros estarán sujetas a las especificaciones técnicas que reglamentariamente se establezcan por el Ministerio de Industria, Turismo y Comercio.
10. En el caso de que los sujetos obligados apliquen a las comunicaciones objeto de interceptación legal algún procedimiento de compresión, cifrado, digitalización o cualquier otro tipo de codificación, deberán entregar aquellas desprovistas de los efectos de tales procedimientos, siempre que sean reversibles.
Las comunicaciones interceptadas deben proveerse al centro de recepción de las interceptaciones con una calidad no inferior a la que obtiene el destinatario de la comunicación.»
Dos. El último párrafo del apartado 5 del artículo 38 pasa a tener la siguiente redacción:
«Lo establecido en las letras a) y d) del apartado 3 de este artículo se entiende sin perjuicio de las obligaciones establecidas en la Ley de Conservación de Datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones.»
Tres. En el artículo 53, se modifican los párrafos o) y z), que quedan redactados de la siguiente forma:
«o) El incumplimiento deliberado, por parte de los operadores, de las obligaciones en materia de interceptación legal de comunicaciones impuestas en desarrollo del artículo 33 de esta Ley y el incumplimiento deliberado de las obligaciones de conservación de los datos establecidas en la Ley de Conservación de Datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones.»
«z) La vulneración grave o reiterada de los derechos previstos en el artículo 38.3, salvo el previsto por el párrafo h), cuya infracción se regirá por el régimen sancionador previsto en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, y el incumplimiento grave o reiterado de las obligaciones de protección y seguridad de los datos almacenados establecidas en el artículo 8 de la Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.»
Cuatro. En el artículo 54 se modifican los párrafos ñ) y r), que quedan redactados de la siguiente forma:
«ñ) El incumplimiento, por parte de los operadores, de las obligaciones en materia de interceptación legal de comunicaciones impuestas en desarrollo del artículo 33 de la presente Ley y el incumplimiento de las obligaciones de conservación de los datos establecidas en la Ley de Conservación de Datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones, salvo que deban considerarse como infracción muy grave, conforme a lo dispuesto en el artículo anterior.»
«r) La vulneración de los derechos previstos en el artículo 38.3, salvo el previsto por el párrafo h), cuya infracción se regirá por el régimen sancionador previsto en la Ley 34/2002, de 11 de julio, y el incumplimiento de las obligaciones de protección y seguridad de los datos establecidas en el artículo 8 de la Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, salvo que deban considerarse como infracción muy grave.»
Disposición final segunda. Competencia estatal.
Esta Ley se dicta al amparo de lo dispuesto en el artículo 149.1.29.ª de la Constitución, que atribuye al Estado la competencia exclusiva en materia de seguridad pública, y del artículo 149.1.21.ª, que confiere al Estado competencia exclusiva en materia de telecomunicaciones.
Disposición final tercera. Desarrollo reglamentario.
Se habilita al Gobierno a dictar cuantas disposiciones sean necesarias para el desarrollo y ejecución de lo previsto en esta Ley.
Disposición final cuarta. Formato de entrega de los datos.
1. La cesión a los agentes facultados de los datos cuya conservación sea obligatoria, se efectuará en formato electrónico, en la forma que se determine por Orden conjunta de los Ministros de Interior, de Defensa y de Economía y Hacienda, que se aprobará en el plazo de tres meses desde la entrada en vigor de esta Ley.
2. Los sujetos obligados a los que se refiere el artículo 2 de esta Ley, tendrán un plazo de seis meses desde la entrada en vigor de la misma para configurar, a su costa, sus equipos y estar técnicamente en disposición de cumplir con las obligaciones de conservación y cesión de datos.
Disposición final quinta. Entrada en vigor.
Esta Ley entrará en vigor a los veinte días de su publicación en el «Boletín Oficial del Estado».
Por tanto,
Mando a todos los españoles, particulares y autoridades que guarden y hagan guardar esta ley.
Madrid, 18 de octubre de 2007.
JUAN CARLOS R.
El Presidente del Gobierno,
JOSÉ LUIS RODRÍGUEZ ZAPATERO
Esta norma
Es posible acceder a la LEY 25/2007, de 18 de octubre en PDF.
Los días 8 y 9 de noviembre de 2007, la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), en colaboración con INTECO, organizará un evento relacionado con la Gestión de Riesgos que tendrá lugar en el Hotel 1898, en Barcelona.
En este evento, se presentan algunas conclusiones tras la entrada en vigor del método de Gestión de Riesgos en diferentes países europeos, a través de expertos de cada pais que presentarán sus opiniones al respecto e informarán acerca de sus experiencias.
En concreto, se tratarán aspectos de la seguridad en las PyMEs y la responsabilidad de éstas ante incidentes tecnológicos.
ENISA subvencionará la asistencia al evento de hasta 25 PyMEs. La subvención incluye los gastos de viaje y alojamiento de una persona por PyME. Para solicitar este programa, las PyMEs interesadas deberán rellenar el siguiente Formulario de solicitud para el Programa de Patrocinio para PyMEs y enviarlo por fax al: +30 2810 391895 o por correo a:
Mr Peter Pfeifhofer – Office 00/198
European Network and Information Security Agency
Science and Technology Park of Crete
P.O. Box 1309
71001, Heraklion, Crete, Greece
Es importante hacer la solicitud lo antes posible ya que sólo se tendrán en cuenta las solicitudes recibidas antes del 23 de octubre de 2007.
ENISA se reserva el derecho de selección de las PyMEs aplicando los siguientes criterios:
ENISA pretende repartir las ayudas de forma equitativa según la distribución geográfica.
Para más información, consulte esta página (información disponible en inglés, francés y alemán):
http://ec.europa.eu/enterprise/enterprise_policy/sme_definition/index_en.htm.
Tanto asesores como representantes de organizaciones de PyMEs podrán solicitar estas ayudas. Aún así, ENISA se reserva el derecho de limitar la asistencia de tales grupos en favor de las solicitudes por parte de las PyMEs.
Todo es electrónico 