Este documento resume las principales ideas sobre evidencias electrónicas en el contexto de la Agencia Vasca de Protección de Datos (AVPD). Explica la terminología relevante, los ámbitos de aplicación de las evidencias electrónicas, las características de las evidencias, y los procedimientos empleados por la AVPD para inspeccionar y recopilar evidencias electrónicas durante investigaciones de incumplimientos de protección de datos. También describe los principales tipos de evidencias electrónicas tratadas por la AVPD, como aná

1. c/ Beato Tomás de Zumárraga, 71, 3º - 01008 Vitoria – Gasteiz - Tel. 945 016 230 - Fax. 945 016 231 avpd@avpd.es - www.avpd.es
Notas para la intervención en la
III Jornada Pribatua sobre Evidencias Electrónicas
Pedro Alberto González – paGonzalez@avpd.es
1 Terminología (de qué hablamos)
 Evidencias  Certeza clara y manifiesta, de la que no se puede dudar
o raíz indoeuropea WEID- [ver, conocer] (ex)(WEID)(ent)(ia)
 Pruebas  Justificación de la verdad de los hechos controvertidos en un juicio
o Raíz indoeuropea PER- [conducir, primero, alrededor]
o Latín probare, [ensayar, examinar, comprobar] y probus, [honrado, que te puedes fiar de él]
 Forensics  Forense  Perteneciente o relativo al foro  plaza pública
o Raíz indoeuropea DHWER- [puerta]
o Metonimia de “Médico Forense”  Médico “del foro” que determina la causa de la muerte
 Pericial  Sabiduría, práctica, experiencia y habilidad en una ciencia o arte
o Raíz indoeuropea PER, [intentar, probar, arriesgar]
 Latín Peri, que da tanto (ex)(peri)(ent)(ia) como peligro
 Griego Peir, que da tanto Peiran (probar) como Peirates (PIRATA)
 Ergo… las evidencias electrónicas sirven para “pillar” a los “piratas” 

2. 2
2 Ámbitos (dónde se aplican las evidencias electrónicas)
2.1 Ámbito Judicial
 Estándares aplicables: Leyes de Enjuiciamiento correspondientes
 La prueba
o Medios de prueba para los que son relevantes las evidencias:
 Docs. privados (electrónicos)
 Dictámenes de peritos
 Reconocimiento judicial (inspección ocular, análisis del cuerpo del delito
o Valoración de la prueba
 Penal (carga: quien acusa)
o Pornografía
o Terrorismo
o Delitos fiscales
 Civil / Mercantil (carga: quien alega)
o Propiedad intelectual
o Competencia desleal
o Espionaje industrial
 Social
o Sanciones disciplinarias
o Casos de despido
 Contencioso
o Contraprueba
o Pruebas en contra de presunciones legales
2.2 Ámbito Interno (de las Organizaciones)
 Análisis / diagnóstico en SGSI
 Incidentes de seguridad (ataques externos)
 Fugas de información
 Conflictos internos / disciplinarios
2.3 Auditoría (Auditores profesionales)
 Conducidas por terceros
 Cumplimiento / certificación
 Evidencias de auditoría
2.4 Inspección (AAPP)
 Potestad sancionadora / disciplinaria
o Hacienda, Urbanismo, Vivienda, Industria, Transportes, etc, etc
 Facultad inspectora
 Este caso es el de la AVPD

3. 3
3 Características de las evidencias
 Características, de acuerdo con la RFC-3227 (2002)
o Admisibles (legalmente)
o Autenticas
o Completas
o Fiables
 Ciclo de vida, de acuerdo con la familia de normas ISO/IEC-27035:2011 y sigs.
o Identificación (Potencial - previamente o en la escena)
o Recolección (incautación) ó Adquisición (en la escena) (ISO/IEC-27037:2012)
o Preservación (cadena de custodia en la escena y el laboratorio)
o Análisis e Interpretación (en el laboratorio) (ISO/IEC-27042:????)
o Documentación/Presentación (en el caso)
 Robustez de las evidencias
o Rigor material:
 Identificación,
 Recolección o adquisición
 Análisis e interpretación
o Rigor formal:
 Preservación
 Documentación
 Exigencias de robustez, según el ámbito de aplicación:
Robustez
FormalMaterial
Ámbitos Interno Auditoría Inspección Judicial

4. 4
4 La actividad inspectora de la AVPD
4.1 Marco legal de la AVPD
 Creada por Ley 2/2004 del Parlamento Vasco
 Órgano de control en materia de protección de datos, de acuerdo con la LO-15/1999 (LOPD)
 Sujeta al Derecho Administrativo (Ley 30/1992)
 Sigue la Ley 8/1998, de la Potestad sancionadora de las AAPP del País Vasco
4.2 Estructura de la AVPD
 El director: resuelve sobre los expedientes incoados
 La Asesoría Jurídica: Inspecciona e Instruye los expedientes
o (reconocimientos, documentales, interrogatorios, …)
 El Servicio de Registro y Auditoría de Ficheros: Inspecciona
o (reconocimiento, recolección y análisis de evidencias digitales)
 (La Secretaría General)

5. 5
4.3 Procedimientos seguidos en la AVPD
 Procedimientos regulados en el Decreto 308/2005, que desarrolla la Ley 2/2004
o Expedientes de Registro de Ficheros
o Función consultiva e Informativa
o Expedientes de tutela de derechos
o Expedientes sancionadores
 Procedimiento de Denuncia / Procedimiento de Actuaciones previas
o Finalidad:
 Determinar de las circunstancias de los hechos
 Identificar los responsables del tratamiento objeto de averiguación
 Decidir sobre la necesidad, o no, de iniciar procedimiento sancionador
o Evidencias:
 Inspección ordenada por el Director
 Realizada por Inspectores (jurídicos y/o técnicos)
 Carácter de Autoridad Pública
 Documentado como Acta de Inspección.
 Habilitación expresa para requerir documentos, inspeccionar equipos,
o Se aseguran las evidencias para posibilitar su uso posterior
o Si hay un perjuicio evidente, se procura la cesación del tratamiento de los datos en cuestión
o Cuando no es competente la AVPD,
 se da traslado a la AEPD (u otra competente)
 se aporta a la AEPD, preservando la “cadena de custodia”, como forma de asegurar
la evidencia
 Procedimiento de declaración de Infracción / sancionador
o Se incorporan las actuaciones previas como antecedentes (no como prueba) al posterior
expediente sancionador
o Se sigue el procedimiento sancionador habitual
 traslado al responsable / interesado, alegaciones,
 periodo probatorio,
 Propuesta de resolución, trámite de audiencia,
 Actuaciones complementarias y resolución del procedimiento
o Evidencias:
 en la fase probatoria
 con todas las garantías de la fase de prueba
 se procura el máximo rigor material y formal, en la eventualidad de un posterior
recurso Contencioso-Administrativo

6. 6
5 Principales evidencias tratadas
5.1 Cooperación / obstrucción por los investigados
 En general, todas las AAPP colaboran con la AVPD en las tareas de investigación.
o Como mucho, “resistencia pasiva”
o Solo hemos sancionado en dos ocasiones por obstrucción a la labor inspectora.
 La mayor parte de las veces se aporta la información solicitada de forma documental,
o no suele ser necesaria la incautación de evidencias
5.2 Análisis de Logs
 Ligados a denuncias por accesos indebidos
 Incumplimiento manifiesto del deber de secreto
 Trazabilidad exigible en ficheros de nivel alto (logs de aplicación)
 Inicios de sesión
5.3 Análisis de metadatos
 Determinación de la autoría de documentos (word, pdf, …)
 Trazabilidad de cesiones
5.4 Información existente en Internet
 Oposición a la publicación de datos personales en Boletines Oficiales
 Cancelación de datos en buscadores y redes sociales (para AEPD)
5.5 Verificación de medidas de seguridad
 En Inspecciones sectoriales