Normatives i estàndards per a l'àmbit forense digital (III de III)
Juan Antonio Calles
Avui es donarà finalització a aquesta cadena d'articles analitzant les últimes normes UNE relacionades i tractant les diferents lleis d'aplicació.
UNE 71506: Guia per a l'actuació del perit tecnològic
Complementària a la UNE 197001, la norma UNE 71506 aborda la pràctica professional del perit tecnològic des d'una òptica més operativa. Inclou aspectes com la imparcialitat, la qualificació tècnica, la documentació del procediment, la comunicació amb les parts, la compareixença en judici i l'ús adequat de metodologies estandarditzades. La seva adopció contribueix a professionalitzar la figura del perit en entorns cada cop més exigents.
En investigacions forenses, aquesta guia permet a l'especialista reforçar la seva intervenció davant el tribunal, actuant amb solvència tant en la redacció de l'informe com en la ratificació oral. El seu compliment garanteix un comportament ètic, coherent i tècnicament justificat, cosa que atorga més credibilitat a les troballes presentades, especialment en processos on les parts puguin confrontar els mètodes utilitzats.
UNE-EN 16775: Requisits de qualitat per a serveis de peritatge
La norma UNE-EN 16775 estableix criteris europeus de qualitat per a la prestació de serveis de peritatge, aplicables tant a perits individuals com a firmes especialitzades. Abarca des dels processos interns de qualitat, independència i competència tècnica, fins a la gestió de relacions amb clients, tribunals i organismes reguladors. La seva adopció ajuda a estructurar organitzacions forenses amb models de maduresa elevats.
Per als equips que ofereixen serveis pericials continuats o multidisciplinaris, aquesta norma es converteix en un marc d'excel·lència operativa. També permet a clients i magistrats tenir confiança que el perit compleix amb estàndards europeus reconeguts. En investigacions d'alta complexitat, com ciberatacs transfronterers o fuites massives d'informació, la seva aplicació representa un segell de garantia tècnica i ètica.
Esquema Nacional de Seguretat (ENS)
L'ENS, d'obligat compliment en l'àmbit del sector públic espanyol, defineix els requisits mínims de seguretat que han d'aplicar els sistemes d'informació que processen dades a les Administracions Públiques. Classificat en tres categories (bàsica, mitjana i alta), estableix principis com la integritat, traçabilitat, autenticitat, disponibilitat i confidencialitat de la informació.
En l'àmbit forense, l'ENS és especialment rellevant quan s'analitza un incident que afecta una entitat pública o un proveïdor que presta serveis a l'Administració. Permet al perit avaluar el compliment del marc regulador i detectar incompliments que puguin haver facilitat l'atac o compromès l'evidència. També serveix de referència per valorar l'eficàcia de mesures tècniques com els registres d'auditoria, l'autenticació forta o la protecció d'infraestructures crítiques.
Reglament General de Protecció de Dades (RGPD) – UE 2016/679
El RGPD estableix les regles de tractament de dades personals en l'àmbit europeu, incloent principis com la minimització, la limitació del termini de conservació, el consentiment explícit i el dret a la portabilitat o supressió. Per al perit forense, el RGPD no només marca els límits legals de la seva intervenció, sinó que determina les precaucions necessàries per tractar adequadament les dades personals trobades durant la investigació.
Especialment en l'anàlisi de correus electrònics, logs d'accés o arxius documentals, és habitual que apareguin dades personals o sensibles. El compliment del RGPD implica aplicar tècniques de seudonimització, registrar la base legal del tractament, i garantir que la custòdia de l'evidència respecta els drets del titular de les dades. A més, el RGPD imposa la notificació de fuites de seguretat a les autoritats competents, cosa que pot requerir informes forenses com a suport.
Llei Orgànica 3/2018 (LOPDGDD)
La LOPDGDD adapta el RGPD al context jurídic espanyol i estableix matisos rellevants per a la protecció de dades en sectors com el judicial, el sanitari o el laboral. Per a l'analista forense, aquesta llei detalla el tractament específic que han de rebre les evidències que contenen dades d'empleats, històrics clínics, comunicacions internes o gravacions de veu.
La seva aplicació pràctica obliga el perit a realitzar avaluacions d'impacte en protecció de dades (EIPD) quan l'anàlisi impliqui dades de sensibilitat especial, així com a adoptar mesures tècniques reforçades en la documentació i emmagatzematge de proves. En investigacions internes dins d'empreses, la LOPDGDD delimita els drets del treballador i pot determinar la licitud o il·licitud de certes proves digitals.
Llei d'Enjudiciament Civil (LEC)
La LEC regula el procediment judicial en l'àmbit civil i mercantil, incloent la intervenció de perits judicials. Els articles 299.2 i 335 a 343 especifiquen els tipus de proves admissibles, el procediment de designació de perits, els terminis de lliurament del dictamen, i la ratificació en vista. Aquesta normativa constitueix la base legal per a l'activitat del perit forense digital quan actua davant tribunals de dret civil.
Perquè un informe forense sigui admissible, ha d'estar correctament formulat segons el que exigeix la LEC: estructurat, motivat, datat, signat i amb claredat en les conclusions. A més, ha d'acompanyar-se d'annexos tècnics, declaració d'imparcialitat, i ser ratificat per l'autor en audiència. Un error processal pot invalidar una prova tècnicament correcta, per la qual cosa el coneixement d'aquesta llei és imprescindible per al perit.
Llei d'Enjudiciament Criminal (LECrim)
En l'àmbit penal, la LECrim regula les fases d'instrucció, judici oral i pràctica de proves. Estableix el paper del perit com a auxiliar del jutge i permet que la policia judicial actuï també com a perit tecnològic en determinades circumstàncies. La norma exigeix que l'obtenció d'evidències respecti les garanties constitucionals, especialment pel que fa a la inviolabilitat de les comunicacions i la protecció de drets fonamentals.
En investigacions forenses on s'examinen correus electrònics, dispositius mòbils o servidors, el procediment ha de respectar la cadena de custòdia, comptar amb mandat judicial quan correspongui, i estar degudament documentat en actes. L'experiència forense ha d'alinear-se amb les instruccions del jutge instructor, i el perit ha d'estar preparat per comparèixer en judici oral i respondre preguntes tècniques formulades per les parts.
Conclusió
La tasca de l'analista forense digital es desenvolupa a la intersecció entre la tècnica, el dret i l'ètica professional. Dominar els estàndards ISO, les normes UNE i les regulacions nacionals i europees no només aporta solidesa al procediment tècnic, sinó que garanteix la validesa legal i l'acceptació dels resultats en entorns judicials, corporatius o administratius. En un entorn cada cop més regulat i exigent, on l'evidència digital pot condicionar la resolució de conflictes, fraus o ciberincidents, l'aplicació rigorosa d'aquests marcs normatius esdevé una garantia de qualitat, legitimitat i professionalitat.
