D O B L E F O NDO

Peteretes regulatorios
Este mes deberían sustanciarse acontecimientos con repercusión regulatoria en ciberseguridad. Deja-
remos fuera la recién iniciada tramitación del proyecto de ley de Seguridad Nacional, que el Gobierno, José de la Peña Muñoz
Director
siguiendo en este caso lo indicado por el Consejo de Estado, ha remitido a las Cortes como ley ordina- jpm@codasic.com
ria y no como ley orgánica. También dejaremos de lado la tramitación parlamentaria del proyecto de
ley de Enjuiciamiento Criminal, cuyo resultado será crucial para poder investigar respetando los derechos fundamentales.
Del mismo modo, nos olvidaremos del Reglamento General de Protección de Datos, que sigue sometido a las fuerzas de con-
vección de las instituciones de la UE. La verdad es que esta bochornosa circunstancia tiene que beneficiar a algunos actores.
¿A cuáles?
Y lo mismo pasa con la Directiva de Conservación de Datos, que fue hace tiempo invalidada por el Tribunal de Justicia de la
UE –cuando ya estaba traspuesta a nuestro ordenamiento jurídico en forma de ley–. Nadie sabe, nadie contesta. Y aquí sí
sabemos a quién beneficia esta situación: a los delincuentes.
El Código Penal ya es otra cosa. La reforma ha traído la identificación de ciertos comportamientos relacionados con el uso de
TIC y su tipificación como delictivos, algo importante (los CIO deberían leer el Código Penal). Aunque uno de esos compor-
tamientos, en concreto el relacionado con la elaboración, adquisición o puesta en servicio de herramientas TIC para realizar
ataques esté causando debate en muchas comunidades de ciberseguridad. La cosa es que todas las herramientas tienen un
doble uso. Habrá delito si se demuestra que se han utilizado o se iban a utilizar para atacar. Esto deja a criterios interpretati-
vos mucha carga probatoria, algo que debe reducirse a la mínima expresión en materia penal.

Directiva NIS

Aquí sí entramos en el tema, porque se espera que esta pieza, relativa a la Seguridad de las Redes y de la Información,
esté lista a finales de este mes. Como toda Directiva, será un documento de mínimos y deberá ayudar, entre otras cosas, a
establecer estructuras armonizadas de gobierno de ciberseguridad en los Estados, así como pautas para la compartición de
información. Lo previsible es que, tras la publicación de la Directiva y de su correspondiente transposición, pase lo de siem-
pre: que cada país haya hecho una interpretación libre, por lo que algún informado saldrá y propondrá hacer un reglamento
general, al modo en que se está ensayando en privacidad. De ser así, esperemos que con mejores resultados.

AEPD: cambio de director

También se espera que en este mes se proceda al relevo del director de la Agencia Española de Protección de Datos. Estaría
fetén que la persona que al final resulte “elegida” tuviera las suficientes nociones sobre ciberseguridad como para impulsar
una renovación en este Organismo. Porque ya está bien de normas, interpretaciones y concienciación. Sin seguridad técnica
no habrá privacidad efectiva. ¿Se entiende? 

SiC / Nº115 / JUNIO 2015 11