Ciberinvestigación

Marco normativo de los peritajes digitales y el uso de OSINT

Home / Ciberinvestigación / Marco normativo de los peritajes digitales y el uso de OSINT
OSINT y peritaje informático

Marco normativo de los peritajes digitales y el uso de OSINT

Normativa española en peritajes digitales y OSINT 

En España, el marco legal de los peritajes digitales se basa en la Ley de Enjuiciamiento Civil (LEC) y la Ley de Enjuiciamiento Criminal (LECrim). Según el artículo 340.1 LEC, los peritos deben contar con un título oficial en la materia objeto del dictamen pericial. Esto significa que un perito informático forense debe poseer una titulación en informática, como ingeniería informática. 

De manera similar, el artículo 457 de la LECrim diferencia entre peritos titulados y no titulados, con opción a que ambos puedan ejercer su especialidad como perito. Esto es posible siempre que demuestren el conocimiento en la materia. Esta posibilidad se refuerza en el artículo 458. Este establece expresamente: «Cuando no hubiere peritos titulados, o lo exigiere la urgencia del caso, podrán ser nombrados personas inteligentes en la materia.» Esto implica que, en el ámbito penal, no se exige necesariamente una titulación oficial. Es suficiente con que el perito posea conocimientos técnicos suficientes y pueda acreditar experiencia o solvencia en la materia objeto del dictamen. 

Esta apertura permite que profesionales con formación práctica y trayectoria sólida en campos como la informática forense o el OSINT puedan intervenir judicialmente como peritos. Esto es posible sin necesidad de una titulación universitaria específica, siempre que no se atribuyan falsamente una profesión regulada. 

Regulación del OSINT en España

El uso de OSINT (Open-Source Intelligence) en España no cuenta con una legislación específica, pero sí se enmarca dentro de diversas normas. La Ley 5/2014 de Seguridad Privada, que regula la actividad de los detectives privados, no establece restricciones para la recopilación de información pública en Internet. Esto significa que cualquier persona, incluyendo peritos informáticos y analistas, entre otros, puede recolectar información de fuentes abiertas siempre que no infrinjan derechos fundamentales. 

La información disponible públicamente en Internet (como perfiles abiertos en redes sociales, sitios web accesibles sin autenticación o foros públicos) puede ser utilizada sin que ello suponga una violación a la privacidad. De hecho, la jurisprudencia española considera que cuando un usuario publica datos personales en una fuente abierta, existe un consentimiento tácito, lo que limita su expectativa de privacidad sobre esa información. 

El Tribunal Supremo ha señalado que no es necesaria autorización judicial para que investigadores recopilen datos que un usuario ha hecho públicos por sí mismo. Sin embargo, existen límites legales y éticos

  • No se puede acceder a información protegida por contraseña o que requiera autenticación sin autorización. 
  • La vulneración de medidas de seguridad o el acceso no autorizado a datos privados pueden constituir delitos, sancionados con penas de cárcel.
  • Aunque una persona publique información personal, ello no legitima una vigilancia invasiva o permanente de su vida.

En resumen, el uso de OSINT en peritajes digitales está permitido siempre que la información provenga de fuentes abiertas y accesibles sin quebrantar medidas de seguridad ni derechos fundamentales. 

Te puede interesar: OSINT La Inteligencia de Fuentes Abiertas Como Herramienta Legal.

Normativa europea sobre peritajes digitales y OSINT

A nivel de la Unión Europea, no existe una regulación específica sobre OSINT, pero varias normativas afectan su aplicación en peritajes digitales: 

Reglamento General de Protección de Datos (RGPD) y OSINT 

El RGPD y la normativa española equivalente (LOPDGDD) establecen que incluso los datos personales disponibles en fuentes abiertas deben tratarse con una base jurídica adecuada. Para un perito digital o investigador, las bases legales más aplicables son:

  • Interés legítimo (art. 6.1.f RGPD) 
  • Ejecución de un procedimiento legal (art. 6.1.c y art. 9.2.f RGPD para datos sensibles) 

Esto significa que un informe pericial basado en OSINT es legal. Los datos deben ser recopilados dentro de los principios de minimización y finalidad legítima. La Agencia Española de Protección de Datos (AEPD) ha indicado que el hecho de que una persona publique información en Internet no implica que pueda ser utilizada sin restricciones. Por lo tanto, su uso debe ser proporcional y justificado.

Evidencia digital y peritajes OSINT en Europa

En el contexto legal europeo, existen normativas que facilitan la admisión de pruebas digitales en procedimientos judiciales: 

  • Reglamento e-Evidence: Busca establecer un marco común para la recopilación de pruebas electrónicas transfronterizas.
  • Reglamento eIDAS (910/2014): Proporciona mecanismos de certificación digital y sellado de tiempo electrónico. Esto permite a un perito demostrar la autenticidad e integridad de la información obtenida mediante OSINT.

El Tribunal Europeo de Derechos Humanos (TEDH) ha confirmado que la recopilación de datos accesibles públicamente no infringe el Artículo 8 del Convenio Europeo de Derechos Humanos (derecho a la privacidad). Esto es válido siempre que se respeten los principios de proporcionalidad y legitimidad.

Conoce más acerca de Data Research de INTELISOC aquí.

Conclusión 

El marco normativo de los peritajes digitales y el uso de OSINT en España y Europa permite la recopilación y uso de información de fuentes abiertas para ciberinvestigaciones y pruebas forenses. Esto es válido siempre que se respeten los derechos fundamentales y las normativas de protección de datos. El uso adecuado de OSINT en peritajes digitales es clave para garantizar la validez legal de las pruebas en juicios y procesos judiciales.