Resum

L’ús creixent de les tecnologies a les organitzacions, que les converteixen en imprescindibles per a la gestió de qualsevol activitat, comporta un augment del volum d’informació emmagatzemat dins dels sistemes informàtics. Algunes d’aquestes dades, molt probablement, contindran informació relacionada amb l’esfera personal o íntima de treballadors o persones. Una gestió incorrecta d’aquesta informació pot ocasionar sancions (multes) o un comportament que contravingui la llei (accions il·legals).

Malgrat que pugueu ser molt hàbils en aspectes tècnics de seguretat informàtica, cal que tingueu molt en compte que no n’hi ha prou per a garantir o satisfer tots els requisits de seguretat d’un sistema informàtic. La legislació, el marc jurídic, és absolutament vital en aquest sentit. No és que la legislació s’adapti a la tecnologia, sinó més aviat el contrari, els usos i la implantació dels sistemes informàtics es troben condicionats per la normativa vigent (que, a més, sol tenir les peculiaritats pròpies a cada país). Així, doncs, no tot allò que us permet fer la tecnologia és legal i les conseqüències de no adequar els sistemes informàtics a la legislació poden ser molt greus i fins i tot comportar penes privatives de llibertat (i, en alguns casos, l’ingrés a la presó).

Els ordinadors han esdevingut eines per a perpetrar delictes (per exemple, l’enviament de missatges de correu amenaçadors), o fins i tot l’objectiu final de l’acció (per exemple, una intrusió en un sistema informàtic). Moltes d’aquestes accions apareixen reflectides en el Codi penal i, en conseqüència, poden tenir conseqüències inesperades. Algunes d’elles, com, per exemple, obrir el correu electrònic d’un amic, o bé penjar un vídeo a Internet, semblen molt innocents i del tot innòcues. Malgrat tot, tal com hem dit, apareixen en el Codi penal (vulneren drets fonamentals, com el dret a la intimitat) i, per tant, poden comportar penes privatives de llibertat. Com a treballadors informàtics, de vegades també podem fer accions que, sense adonar-nos-en, vulnerin els drets i les llibertats d’alguna persona. En cap cas no podrem argumentar desconeixement de la normativa legal, ja que el desconeixement de les normes no exonera de responsabilitat (penal o no) l’infractor.

Tot i que tothom ha sentit a parlar dels anomenats delictes informàtics, el cert és que no apareixen definits així en el Codi penal. Sovint, en realitat, es tracta de delictes perfectament definits en el món real en els quals s’han usat mitjans tecnològics per a dur-los a terme (estafa, amenaces contra la intimitat, contra la propietat intel·lectual, etc.). No obstant això, si un delicte hagués de tenir la consideració de delicte informàtic, aquest seria, sens dubte, la intrusió (accés no autoritzat a un sistema informàtic). Tot i que encara no apareix en el Codi penal, és molt possible que en breu agafi la consideració de delicte (encara que no vagi acompanyat de danys en el sistema informàtic).

Fora del marc penal, hi ha més normativa, amb sancions menys greus, però que també poden tenir conseqüències econòmiques importants.

Un altre dels canvis socials importants que s’ha produït darrerament ha estat la manera com la persona veu i controla les seves dades (el que s’anomena l’esfera íntima), i també la legislació produïda arran d’aquesta nova visió, encara en procés d’adaptació a les noves circumstàncies.

La legislació es mostra especialment protectora amb la intimitat de les persones i, per tant, amb les seves dades personals. En conseqüència, ha aparegut normativa nova, les més important és la LOPDGD (Llei orgànica de protecció de dades personals i garanties dels drets digitals ), que desenvolupa la legislació europea compresa en l’RGPD (Reglament General de Protecció de Dades).

La llei pretén protegir la intimitat de les persones i alhora donar prou flexibilitat perquè les entitats puguin treballar amb les dades. Per això, els principis bàsics ens els quals s’inspira són els següents:

  • Principi de qualitat de les dades.
  • Finalitat expressa.
  • Actualitat de les dades.
  • Principi d’exactitud.
  • Deure d’informació.
  • Necessitat de consentiment.
  • Responsabilitat proactiva.
  • Enfocament de risc.

Les organitzacions que operen a la Unió Europea estan obligades a complir l’RGPD, de manera que un bon maneig dels fitxers requereix una bona gestió del sistema informàtic. Ens cal saber com hem de protegir i assignar correctament els accessos en el sistema informàtic, com fer les còpies de seguretat, com garantir que les transmissions es fan xifrades i, en definitiva, com l’hem de mantenir actualitzat i en bones condicions de treball.

Com a conseqüència de l’enorme expansió de les xarxes d’ordinadors i molt especialment d’Internet, fenòmens que abans eren habituals dins del món analògic o real han acabat traspassant les fronteres per a esdevenir freqüents en el món virtual (per exemple, el comerç electrònic). No podem esperar que el marc jurídic doni resposta als nous reptes provocats per l’ús de les tecnologies de la informació. Si bé els conceptes són antics, el seu trasllat al “món virtual” crea la necessitat d’expandir el marc jurídic (o fins i tot redefinir-lo dins de l’àmbit tecnològic) per a donar resposta als buits legals que es van originant com a conseqüència de l’aplicació de la tecnologia. Aquesta regulació no solament ha d’evitar el mal ús de la tecnologia (per exemple, l’enviament de correu brossa o correu no consentit), sinó que ha de generar un entorn de confiança en què es delimitin clarament les responsabilitats i deures de cadascú, sense el qual no seria possible l’establiment de transaccions, com ara el comerç electrònic.

Així, doncs, l’objectiu de la Llei 34/2002, d’11 de juliol, de serveis de la societat de la informació i del comerç electrònic(LSSICE) és la incorporació de la directiva comunitària sobre el comerç electrònic al marc jurídic espanyol. Aquesta normativa s’ha desenvolupat en diversos àmbits: europeu, estatal i autonòmic.

D’una manera molt resumida, aquesta llei determina els drets i les obligacions següents:

  • El deure dels prestadors de serveis de col·laborar amb els òrgans públics i informar els clients sobre els diferents mitjans tècnics que puguin incrementar la seguretat (tallafocs, antivirus, etc.). Malgrat el deure de col·laboració, no són responsables dels continguts que allotgen o transmeten, sempre que no els coneguin, o bé, una vegada tinguin coneixement efectiu de l’existència de continguts il·lícits, no els vulguin retirar o impossibilitar-ne l’accés.
  • El deure de les empreses dedicades al comerç electrònic d’identificar-se correctament a la seva pàgina web, mostrar els preus dels productes i serveis que ofereixen, i també, en cas que també facin contractes en línia, l’observació rigorosa de les condicions necessàries per a garantir-ne la validesa.
  • Pel que fa als usuaris, han de saber que tenen dret a no rebre cap comunicació publicitària no sol·licitada, i també a renunciar a rebre aquelles publicitats autoritzades que, pel motiu que sigui, volen deixar de rebre. Així mateix, també han de saber que les pàgines personals no es troben subjectes a aquesta llei, sempre que no comportin un guany econòmic als seus titulars. En cas que el titular percebi algun ingrés a causa de la inclusió de bàners publicitaris a la pàgina, cal que la pàgina web ofereixi informació bàsica del titular i que respecti les normes de publicitat incloses en la llei.

El comerç electrònic necessita, però, a més del marc normatiu, una tecnologia eficient, adequada a les possibilitats que ofereixen les lleis. En el cas que ens ocupa, és particularment important la signatura electrònica (basada en tècniques criptogràfiques), la qual permet identificar inequívocament un usuari a la Xarxa, tal com faria en una transacció comercial del món real, de manera que s’atorga la mateixa validesa a la signatura electrònica que a la manuscrita.

Tota la infraestructura tecnològica, tant si és obligada per la legislació com si és necessària per a la supervivència, d’una organització del segle xxi necessita el correu electrònic. Malgrat això, el correu pot ser insegur en molts aspectes. D’una banda, cal complir la LOPDP i, de l’altra, cal tenir present la inseguretat del correu. Els correus viatgen per Internet i són susceptibles de ser vistos. Per a pal·liar el problema s’han de seguir unes pautes en els servidors de correu i en el clients de correu per a protegir la informació personal que contenen.

Anar a la pàgina anterior:
Introducció
Anar a la pàgina següent:
Resultats d'aprenentatge