Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

EXPERTS GROUP

Anuncio 
GRUPO DE EXPERTOS
«PLATAFORMA PARA LA CONSERVACIÓN DE DATOS ELECTRÓNICOS PARA
CON FINES DE INVESTIGACIÓN, DETECCIÓN Y ENJUICIAMIENTO DE DELITOS
GRAVES»
ESTABLECIDO POR LA DECISIÓN 2008/324/CE DE LA COMISIÓN
Serie A (Documentos orientativos técnicos) Documento # 2:
Obligación de conservar los registros de correo electrónico ¿Cuándo deben conservarse los datos del correo electrónico
no solicitado (spam)?
Versión final 8 de junio de 2009
Fecha y estado
- El presente documento de posición fue adoptado el 6 de mayo de 2009 por procedimiento
escrito, de conformidad con el artículo 5, apartado 1 de las Normas de procedimiento de la
plataforma para la conservación de datos electrónicos – en su versión modificada de 6 de junio
de 2009
- Se aplica una cláusula de exención de responsabilidad (véase al final de este documento)
Aspectos de la Directiva 2006/24/CE contemplados por el presente
documento
ƒ
ƒ
Artículo 5, apartado 1 - categorías de datos que deberán conservarse: obligación de los
proveedores de servicios de comunicaciones electrónicas de conservar los datos
relativos a la distribución y recepción de correo electrónico;
Considerandos 11, 13 y 23: el primero de ellos declara que los proveedores deberán
conservar los «datos generados o tratados, en el marco de la prestación de servicios
de comunicaciones».
Observaciones clave
El correo electrónico masivo no solicitado, comúnmente conocido como «spam», supone un
gran problema para los proveedores de servicios de correo electrónico. Los gestores de
servidor de correo utilizan diversos medios para reducir el impacto del spam, bien como
metodologías alternativas, bien de común acuerdo entre ellos. El destinatario ni pide ni desea
tales mensajes electrónicos, por lo que carecen de valor para las autoridades policiales en la
investigación de delitos para los cuales se deban conservar los datos de conformidad con la
Directiva 2006/24/CE. De hecho, conservar cantidades enormes de spam puede afectar
negativamente a la capacidad de los proveedores de servicios de conservar y, cuando así se
solicite, de recuperar los datos para las autoridades policiales.
No obstante, la Directiva 2006/24/CE no hace ninguna distinción entre los correos electrónicos
que deben conservarse. Por ello, el presente documento analiza hasta qué punto los
proveedores de servicios de correo electrónico, que, conforme a la Directiva, están
normalmente obligados a conservar los datos de todo correo electrónico enviado a sus clientes,
pueden eludir dicha obligación en relación con los spam.
Recomendaciones
ƒ
Cuando un correo electrónico, pese a estar marcado como spam por el proveedor de
servicios de correo, se envíe al usuario, el proveedor deberá conservar un registro de
dicho correo electrónico de conformidad con la Directiva;
Página 1 de 5
ƒ
ƒ
Si un spam es eliminado por un proveedor de servicios de correo, de modo que no se
realice la transmisión de la comunicación al destinatario previsto, el proveedor, de
conformidad con la Directiva, no deberá conservar ningún registro de dicho correo
electrónico;
Si el gestor de servidor de correo pone el correo electrónico a disposición del usuario
final (por ejemplo, para que pueda «ser recibido» por el usuario), se espera que el
gestor de servidor de correo trate el correo electrónico como sujeto a la obligación de
conservación.
Grupo de expertos en conservación de datos
Interpretación de la Directiva de conservación de
datos:
correo electrónico y spam
Descripción de la disposición relativa al correo electrónico
El correo electrónico de internet se envía de un servidor de correo electrónico a otro. El
cuadro 2 ilustra este proceso:
Aquí un usuario (1) conecta con un servidor de correo electrónico (2) para enviar un correo
electrónico. El servidor de correo electrónico envía el correo electrónico a través de internet a
otro correo electrónico (3). El destinatario final (4) puede a su debido tiempo conectar con el
servidor destinatario de correo electrónico para recoger el mensaje.
Los servidores (2 y 3) pueden ser gestionados por redes que proporcionan a los usuarios
acceso a internet (de hecho, es habitual que los proveedores de acceso a internet proporcionen
este servicio, así como la conexión. Sin embargo, este servicio es diferente del suministro de
Página 2 de 5
acceso a internet, y no es raro obtener el servicio de correo electrónico de un tercer proveedor,
o incluso de un proveedor de servicios de la sociedad de la información que no entre en el
ámbito de aplicación de la Directiva (por ejemplo, los proveedores de webmail).
¿Qué tipos de datos hay?
El servidor remitente (2) recibirá la siguiente información, que puede registrar y conservar:
ƒ
ƒ
ƒ
La dirección IP del usuario (1)
La dirección IP del servidor destinatario del correo (3)
La dirección de correo electrónico de destino, que puede ser la utilizada por el
destinatario final (4), o una dirección intermedia.
El servidor remitente desconoce la dirección IP del usuario (4), que es quien en definitiva recibe
el correo electrónico.
El servidor destinatario (3) recibirá la siguiente información, que puede registrar y conservar:
ƒ
ƒ
La dirección IP del servidor remitente (2), o
La dirección IP del usuario destinatario (4), o bien la dirección IP de otro servidor (por
ejemplo, cuando se gestiona una lista de distribución de correo electrónico)
El servidor destinatario (3) puede conocer la dirección IP y la dirección de correo electrónico del
remitente original, pero estos datos pueden falsificarse y son tan poco fiables que las
autoridades policiales generalmente buscan esta información en el servidor de origen (2).
Téngase en cuenta que la capacidad de los gestores de servidor de correo para identificar a los
usuarios consiste en registrar la dirección IP utilizada en un momento dado. La trazabilidad, por
lo tanto, requiere que esta información se utilice junto con la dirección IP para establecer un
nexo con la asignación conservada por los proveedores de acceso.
Filtrado de spam
El correo electrónico masivo no solicitado, comúnmente conocido como «spam», es una plaga
de internet. Se ha convertido en un problema tal que se han pedido sucesivas medidas de
acción para reducirlo y frenarlo. Los gestores de servidor de correo utilizan diversos medios de
reducir el impacto del spam, bien como metodologías alternativas, bien de común acuerdo
entre ellos.
Método 1: Denegación de conexión del servidor de correo electrónico
Un método utilizado por el servidor destinatario de correo para prevenir la recepción de spam
es rechazar la conexión a ciertos servidores de correo1, de manera que no se transmita ningún
correo electrónico entre ellos. Al no existir tal transmisión, el procedimiento que consiste en
bloquear un transmisor determinado no puede depender del contenido del correo electrónico
que se desea enviar, ya que la decisión de bloquear se produce antes de que el destinatario
potencial haya visto el mensaje. Dichos procedimientos, por lo tanto, se basan generalmente
en el hecho de que el servidor remitente es conocido (o así se cree) por haber enviado spam.
1
Ello puede hacerse mediante el protocolo SMTP, por ejemplo contestando simplemente a la orden de
apertura "HELO" con una respuesta negativa, como por ejemplo «554», o al nivel TCP enviando un
paquete TCP RST (restablecimiento).
Página 3 de 5
ƒ
ƒ
Un gestor de servidor de correo que desee bloquear a los distribuidores de correo
basándose en su reputación de ser origen de spam puede utilizar una lista de bloqueo
accesible al público. Diversos proveedores comerciales y no comerciales suministran
listas públicas de distribuidores de spam que pueden utilizarse con este fin. Dichas
publicaciones pueden registrar las listas de servidores de correo que ya han enviado
spam a estos suministradores de listas, o pueden simplemente registrar las denuncias
recibidas.
Un ejemplo de bloqueo del correo en función del origen se produce cuando un gestor
de servidor de correo en Europa decide que se puede bloquear todo el correo de un
determinado país asiático, cuando la probabilidad de que el correo electrónico legítimo
procedente de allí es tan pequeña que cabe suponer que se trata de spam.
Cualesquiera que sean los medios utilizados para determinar cuándo emplear este método de
bloqueo, ni el usuario ni su proveedor de servicios de correo reciben nunca correo electrónico
que se sospecha ser spam. Por consiguiente, las políticas de filtrado de correo que dependen
de un análisis del contenido del mensaje no pueden aplicarse a este método.
Método 2: Clasificación del correo electrónico y archivo discriminatorio
Un método alternativo de control del spam consiste en que el servidor destinatario analiza el
contenido del correo recibido para intentar determinar si es spam (existe una amplia variedad
de métodos), y en función del resultado cambia la ubicación de almacenamiento del correo. En
consecuencia, el usuario recibirá normalmente todo correo electrónico supuestamente libre de
spam, pero solamente recibirá correo supuestamente con spam si lo pide específicamente (sin
duda para comprobar la exactitud del algoritmo de clasificación).
Al utilizar este método de bloqueo, el gestor de servidor de correo puede tratar
automáticamente el contenido del correo para determinar la probabilidad de que sea spam. Hay
una amplia variedad de procedimientos, entre ellos el bloqueo basado en palabras clave o el
análisis estadístico.
Conforme a este método, el usuario no recibirá normalmente el correo electrónico
marcado como spam; el gestor de servidor de correo lo conservará temporalmente, y
normalmente lo eliminará sin haberlo leído al cabo de cierto tiempo.
Método 3: Clasificación y marcado del correo electrónico para que el usuario
tome una decisión
El tercer método es inicialmente similar al segundo, salvo que cuando se clasifica el correo
como spam no se archiva por separado sino el proveedor de servicios de correo lo marca
simplemente como spam. Se entrega todo el correo al usuario, sobre el cual recae la
responsabilidad de decidir cómo disponer del correo marcado como spam por el gestor de
servicios de correo.
Obligaciones de conservación y filtrado de spam
Está claro que la obligación de conservar el correo electrónico se aplica también al correo
electrónico marcado como spam por el proveedor de servicios de correo, cuando dicho correo
electrónico se ha enviado al usuario (método 3). La obligación de conservación en los otros dos
casos requiere un análisis más profundo.
En el caso del método 1, el servidor destinatario de correo («3» en el cuadro 1) no recibe
ningún correo electrónico; aunque el servidor distribuidor de correo indique que desea enviar
correo electrónico, dicha transmisión no se produce. No hay, pues, ningún correo electrónico al
que aplicar la obligación de conservación. Un prestador de servicios de correo que emplee el
Página 4 de 5
método 1 no tiene, por lo tanto, ninguna obligación de conservar nada por lo que respecta a
dichas conexiones incompletas.
En el caso del método 2, aunque el servidor de correo pueda haber recibido un correo
electrónico, el usuario no lo ha hecho. No hay ningún motivo evidente para conservar los datos
relativos al spam, que, aunque haya sido enviado en grandes cantidades, nunca ha sido
recibido o leído por un usuario final.
ƒ
Cuando puede demostrarse definitivamente que el correo no ha llegado al usuario final,
dicho correo electrónico puede considerarse «en transmisión» a efectos de su
conservación. Por lo tanto, no hay ninguna obligación para conservar los datos de
dicho correo electrónico hasta que haya sido recibido por el usuario final.
ƒ
En otros casos, el gestor de servidor de correo puede no distinguir entre el correo
recibido o no recibido por el usuario final. En estos casos, se espera que el gestor de
servidor de correo trate todo correo electrónico como sujeto a la misma obligación de
conservación.
Por lo tanto, la obligación de conservar los datos relativos al spam se determinará con arreglo a
un principio fijo, pero podrá aplicarse de diferente manera entre los gestores de servidor de
correo, de conformidad con sus sistemas particulares.
Desde la perspectiva del usuario, se conservarán los datos de las comunicaciones respecto a
todo el correo electrónico que reciba (a condición de que su proveedor de servicios de correo
electrónico entre en el ámbito de aplicación de la Directiva), pero solamente se conservará el
correo electrónico enviado si llega a su destino.
Cláusula de exención de responsabilidad
Los puntos de vista y las opiniones expresados en este documento no son compartidos
necesariamente por cada uno de los miembros del grupo de expertos "plataforma para la
conservación de datos electrónicos con fines de investigación, detección y enjuiciamiento de
delitos graves" y no constituyen un asesoramiento jurídico.
Las opiniones expresadas en este documento no reflejan necesariamente los puntos de vista de
la Comisión Europea que no asume ningún tipo de responsabilidad con respecto a su contenido.
Para más detalles sobre la procedencia y el estado de las orientaciones de este documento,
véase el documento adjunto «Introducción a esta serie».
Página 5 de 5
Documentos relacionados
ACTIVIDAD DE CLASE TECNOLOGÍA E INFORMATICA SEGUNDO PERÍODO GRADO SEXTO
ACTIVIDAD DE CLASE TECNOLOGÍA E INFORMATICA SEGUNDO PERÍODO GRADO SEXTO
Fortacel S.A. RUT: 216269080014 1. Queda prohibido el SPAM, en
Fortacel S.A. RUT: 216269080014 1. Queda prohibido el SPAM, en
Los “SPAMS” Tipos de “SPAMS” profesor Felipe Villalobos
Los “SPAMS” Tipos de “SPAMS” profesor Felipe Villalobos
Guía ayuda nuevos usuarios
Guía ayuda nuevos usuarios
¿Cuáles son los principales peligros en Internet?
¿Cuáles son los principales peligros en Internet?
Cómo protegerse en Internet
Cómo protegerse en Internet
Protegiendo la Información del Cliente
Protegiendo la Información del Cliente
que es internet[1]+lore
que es internet[1]+lore
Descargar
Anuncio
Anuncio