Читать книгу Manual de informática forense II - Luis Enrique Arellano González - Страница 29

Ante una visita de cualquier empresa que reivindica derechos de terceros (en particular, comprobación de la existencia de licencias de programas instalados), pero sin el poder de policía para efectuarlo in situ, lo que implica que debe contar con la autorización específica del visitado para acceder a sus sistemas, o limitarse a actuar conforme a la ley (hay que tener un protocolo de procedimiento en la empresa, para actuar ante la visita sorpresiva, es decir un plan de acción y un plan de contingencia, para que sepan cómo actuar) y cuya solicitud ha decidido ser aceptada por aquel funcionario (público o privado) que tenga la potestad de hacerlo:

1. Recibirlos y hacerlos acompañar, durante toda la visita, por personal de la empresa.

2. Autorizarlos a comprobar la existencia de las licencias en las máquinas. No se los autoriza a operar las máquinas en modo alguno.

3. Toda la inspección se hace en presencia de un abogado de la empresa y de sus administradores de sistemas y de seguridad informática, que comprobarán paso a paso:

a. Que únicamente se acceda a los registros de las licencias.

b. Que no se visualice ninguna otra información pública, privada, reservada, confidencial o secreta de la empresa, ni de terceros.

c. Que se cumplan con los requisitos de privacidad que la gestión de información requiera.

d. Que las máquinas sean operadas únicamente por sus operadores naturales (usuarios de la empresa).

e. Que la autorización para observar información de la empresa sea explícitamente otorgada por el propietario de la información, acorde con la distribución de roles, funciones y organigrama de la empresa.

f. Que no se realice registro informático alguno de las tareas realizadas, salvo a solicitud de un miembro de la empresa (ni captura de pantallas, ni transferencia de archivos, ni ninguna otra tarea informática empleando las computadoras de la empresa).

g. En caso de transgresión, se dará por finalizada la inspección y se exigirá, para concurrir nuevamente, la orden judicial que corresponda.

h. No se permitirá que ninguna persona extraña a la empresa conecte equipo alguno a la red de datos y/o eléctrica de esta.

i. Los concurrentes deberán demostrar su representatividad para el acto (algo así como la legitimación activa para el acto), es decir, poder, orden judicial, título que los habilita para realizar este tipo de tarea, matrícula, etc.

No existe peor enemigo del seudoinocente que la conciencia culpable. Para ingresar a los activos informáticos de una persona (física o jurídica) de manera compulsiva, es necesario, en un Estado de Derecho, contar con autorización legal expresa, representada por una orden de allanamiento, confeccionada en tiempo y forma, por aquellas autoridades judiciales que tienen la potestad de hacerlo. Si quien quiere revisar los activos no la tiene, simplemente debe ser invitado a abandonar el lugar y regresar cuando disponga de ella. Aun en el caso de que la consiga, debemos recordar:

1. La orden de allanamiento debe especificar estrictamente el o los locales a ser accedidos, la oportunidad y horarios dispuestos para esa diligencia.

2. No puede tener cláusulas ambiguas ni genéricas infundadas (por ejemplo: “que se acceda a todos los locales del establecimiento”), ya que esto implicaría una grave violación al derecho a la privacidad de sus ocupantes. La determinación específica e inconfundible de los locales a acceder está implícita en el derecho de defensa y debe estar fundada en la necesidad de recolectar elementos probatorios conducentes y pertinentes a la investigación judicial en proceso.

3. En el caso de la orden de allanamiento con autorización de recolección de prueba documental informática, este documento debe contener, de manera precisa, clara y sin posibilidad de falsas interpretaciones, su alcance y extensión. No se deben admitir generalidades que provoquen claras indeterminaciones en el acceso a la información, que podrían derivar en robo, sustracción o derivación de datos innecesarios para el proceso (incluyendo la factibilidad de instrumentar subrepticiamente mecanismos de espionaje comercial y/o industrial) (27).

4. Los datos a recolectar deben estar detallados de manera precisa y estar conformados únicamente por aquella información disponible, necesaria para constituir la prueba documental informática estrictamente pertinente y conducente a los fines de asegurar el debido proceso a las partes. Nada debe quedar a criterio del profesional que realice la tarea, o al arbitrio de las partes y autoridades que lo certifiquen. La responsabilidad por la enumeración, descripción, selección y requerimiento de información, detallada en la orden de registro, es exclusiva del tribunal que la autoriza y solicita, lo que debe constituir un elemento de control de oficio o a pedido de parte, para el órgano judicial de instancia superior que deba convalidar el empleo procesal de la prueba documental informática secuestrada.