CONSEJO GENERAL DEL PODER JUDICIAL
Planes de Seguridad y Protección de Datos en
Planes de Seguridad y Protección de Datos en
la Administración de Justicia
la Administración de Justicia
Una reforma pendiente
Pedro Alberto González
Consejo General del Poder JudicialMadrid, 15 de Marzo de 2005
CONSEJO GENERAL DEL PODER JUDICIAL
1
1
-
-
Marco legal actual
Marco legal actual
• Ley Orgánica del Poder Judicial
– Art. 230:
• (...)
• 3. Los procesos que se tramiten con soporte
informático garantizarán la identificación y el
ejercicio de la función jurisdiccional por el órgano
que la ejerce, así como la confidencialidad,
privacidad y seguridad de los datos de carácter
personal que contengan en los términos que
CONSEJO GENERAL DEL PODER JUDICIAL
1
1
-
-
Marco legal actual
Marco legal actual
• Ley Orgánica del Poder Judicial
– Art. 230:
• (...)
• 5. Reglamentariamente se determinarán por el Consejo General del Poder Judicial los requisitos y demás condiciones que afecten al
establecimiento y gestión de los ficheros automatizados que se
encuentren bajo la responsabilidad de los órganos judiciales de forma que se asegure el cumplimiento de las garantías y derechos establecidos en la LO 5/1992 de 29 octubre, de Regulación del tratamiento automatizado de los datos de carácter personal.
• (...)
• Desarrollada por el Reglamento 5/1995 del CGPJ
CONSEJO GENERAL DEL PODER JUDICIAL
2
2
-
-
Aspectos destacables del marco legal
Aspectos destacables del marco legal
actual (Reglamento 5/1995)
actual (Reglamento 5/1995)
• Artículo 78.2 - Naturaleza– “En los ficheros de datos jurisdiccionales solamente se contendrán los datos de carácter personal que deriven de las actuaciones
jurisdiccionales...”
• Artículo 79 - Recogida
– “Los datos de carácter personal que hayan de incorporarse a los ficheros de datos jurisdiccionales se recogerán de los documentos o escritos que obren en el procedimiento...”
• Artículo 80 - Conservación
– “Los datos de carácter personal incorporados se conservarán en tanto su supresión no sea ordenada por decisión judicial...”
• Artículo 81 - Cesión
CONSEJO GENERAL DEL PODER JUDICIAL
2
2
-
-
Aspectos destacables del marco legal
Aspectos destacables del marco legal
actual (Reglamento 5/1995)
actual (Reglamento 5/1995)
• Artículo 82 – Responsable– De los ficheros automatizados de los órganos judiciales unipersonales será responsable el Secretario del Juzgado. De los ficheros
dependientes de Tribunales será responsable el Secretario judicial que se indique en el acuerdo de creación o modificación.
• Artículo 84 – Tutela de derechos
– 1. Los derechos de acceso, rectificación y cancelación podrán ejercerse por el afectado en la sede del órgano judicial o gubernativo titular del
fichero y ante el responsable del mismo. • Artículo 85- Recursos
– Contra las resoluciones expresas o presuntas del responsable del fichero denegatorias del acceso, rectificación o cancelación que se haya
CONSEJO GENERAL DEL PODER JUDICIAL
2
2
-
-
Aspectos destacables del marco legal
Aspectos destacables del marco legal
actual (Reglamento 5/1995)
actual (Reglamento 5/1995)
• Artículo 84 – Limitación de Derechos
– (...)
– 3. Se denegará el acceso a los datos de carácter personal
registrados en un fichero dependiente de un Juzgado o de un Tribunal, (...) cuando los datos afecten a unas diligencias judiciales penales que sean o hayan sido declaradas secretas. – 4. El derecho de acceso no podrá ejercerse en perjuicio del
derecho a la intimidad de personas distintas del afectado.
– 5. Los datos que reflejen hechos constatados en un procedimiento jurisdiccional o en un expediente gubernativo no podrán ser
CONSEJO GENERAL DEL PODER JUDICIAL
2
2
-
-
Aspectos destacables del marco legal
Aspectos destacables del marco legal
actual (Reglamento 5/1995)
actual (Reglamento 5/1995)
• Artículo 86 – Creación de ficheros
– 1. La creación, modificación y supresión de los ficheros
automatizados de datos de carácter personal dependientes de los juzgados y tribunales tendrá lugar mediante acuerdo del Consejo General del Poder Judicial que se publicará en el «Boletín Oficial del Estado» y en los diarios oficiales de las Comunidades
Autónomas y se notificará a la agencia de protección de datos.
– 2. El Consejo General del Poder Judicial adoptará dicho acuerdo a propuesta de la Sala de Gobierno del Tribunal Supremo, de la
Audiencia Nacional o del Tribunal Superior de Justicia correspondiente.
• Artículo 88 – Medidas de seguridad
– 1. El Consejo General del Poder Judicial aprobará, a propuesta de las Salas de Gobierno de los Tribunales Superiores de Justicia, los sistemas de seguridad física e informática de los ficheros
CONSEJO GENERAL DEL PODER JUDICIAL
3
3
-
-
Problemas que presenta el marco actual
Problemas que presenta el marco actual
• Sometimiento a la Ley Orgánica 15/1999 – LOPD
– Hay quien opina que se debió excluir en la última reforma de la Ley Orgánica del Poder Judicial.
– De forma análoga a las exclusiones y regulación específica previstas en el art. 2 de la LOPD
• Adecuación de los derechos y garantías allí reconocidos
– Los datos judiciales se obtienen, en la mayor parte de los casos, sin solicitar el consentimiento del afectado
– Los derechos de rectificación y de cancelación también están limitados por el art. 84 del Reglamento 5/1995
– Los ficheros jurisdiccionales (atestados, declaraciones, resoluciones) recogen habitualmente datos especialmente protegidos sobre origen racial, salud, vida sexual, afiliación
CONSEJO GENERAL DEL PODER JUDICIAL
3
3
-
-
Problemas que presenta el marco actual
Problemas que presenta el marco actual
• El papel reservado a las Salas de Gobierno de TS, TSJ y
AN no es operativo.
– Su papel como proponentes de la creación de ficheros y de los sistemas de seguridad les otorga un protagonismo no deseado.
• No contempla adecuadamente el papel de las
Administraciones Públicas
– Las Administraciones Públicas son quienes han tenido la
iniciativa real en la creación de sistemas de gestión procesal y en la adopción de las medidas de seguridad física e informática
• Otorga al Secretario Judicial la responsabilidad del fichero
– Por extensión de su papel de fedatario público y de custodio de la documentación de los expedientes
CONSEJO GENERAL DEL PODER JUDICIAL
4
4
-
-
La reforma del Reglamento 5/1995
La reforma del Reglamento 5/1995
• El CGPJ está actualmente reformando todos sus
reglamentos,
– como consecuencia de las profundas modificaciones introducidas por la nueva redacción de la Ley Orgánica del Poder Judicial
• El CGPJ tiene identificados los aspectos a reformar
relativos al establecimiento y gestión de los ficheros
judiciales,
– pero aún no se han incorporado a los nuevos reglamentos que se están redactando.
• La reforma recogerá también una adecuación relativa al
reglamento de seguridad
CONSEJO GENERAL DEL PODER JUDICIAL
4
4
-
-
La reforma del Reglamento 5/1995
La reforma del Reglamento 5/1995
• 1.
Responsable de los ficheros judiciales.
– El CGPJ, como órgano de gobierno del Poder Judicial que determina los requisitos de establecimiento y gestión de los ficheros judiciales y que, por tanto, decide sobre la finalidad, contenido genérico y uso de sus tratamientos, es el Responsable de los ficheros judiciales.
• 2.
Encargado del tratamiento.
– Las Administraciones Públicas con competencias en medios materiales al servicio de la Administración de Justicia, como
entidades públicas que tratan los ficheros judiciales por cuenta del CGPJ y responsables de los centros de tratamiento, locales,
equipos, sistemas, programas y del personal técnico que
CONSEJO GENERAL DEL PODER JUDICIAL
4
4
-
-
La reforma del Reglamento 5/1995
La reforma del Reglamento 5/1995
• 3.
Responsables de seguridad:
– Persona o personas a las que el responsable del tratamiento ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Existirán dos tipos de
responsables de seguridad:
• Responsables de seguridad tecnológica. • Responsables de seguridad funcional.
CONSEJO GENERAL DEL PODER JUDICIAL
4
4
-
-
La reforma del Reglamento 5/1995
La reforma del Reglamento 5/1995
• Tipos de Responsables de Seguridad:
– Responsables de seguridad tecnológica,
• establecerán los mecanismos de seguridad tecnológicamente aplicables a locales, equipos, sistemas y programas que deberán seguirse por los usuarios y el personal que interviene en el
tratamiento.
– Responsables de seguridad funcional.
• A los Secretarios Judiciales, en tanto que titulares de la fe pública judicial, directores de la oficina judicial y depositarios de la
CONSEJO GENERAL DEL PODER JUDICIAL
5
5
–
–
Actuaciones desarrolladas:
Actuaciones desarrolladas:
Auditoría de Seguridad Judicial
Auditoría de Seguridad Judicial
• En 2003, se inició un proceso de Auditoría de Seguridad de los Sistemas de Gestión Procesal
– Al amparo del Art. 230 de la LOPJ
– Prevista en el Art. 17 del Reglamento de Seguridad LOPD
• Objetivos:
– Verificar el nivel de adecuación de los Sistemas de Gestión Procesal a lo exigido en el Reglamento de Medidas de Seguridad, identificando
posibles disconformidades y aspectos susceptibles de mejora en dichos sistemas.
CONSEJO GENERAL DEL PODER JUDICIAL
5
5
–
–
Auditoría de Seguridad.
Auditoría de Seguridad.
Planificación del Proyecto
Planificación del Proyecto
PREPARACIÓN DE LOS TRABAJOSFASE 0
FASE 1
FASE 2
FASE 3
Tareas de Organización y Planificación previas al proceso de Auditoría de Seguridad
VERIFICACIÓN PRELIMINAR DE MEDIDAS
Comprobación de las medidas implantadas en los sistemas de información sobre una muestra de Partidos Judiciales
IMPLANTACIÓN DE MEDIDAS
Implantación, por parte de las Administraciones Públicas afectadas, de las medidas recomendadas tras la verificación preliminar
VERIFICACIÓN FINAL E INFORME DE AUDITORIA
CONSEJO GENERAL DEL PODER JUDICIAL
5
5
–
–
Alcance de la Auditoría de Seguridad.
Alcance de la Auditoría de Seguridad.
• Administración de Justicia Española:
– Aproximadamente 3.500 Órganos Judiciales
– Distribuidos en 430 localidades (Partidos Judiciales)
• Actuación basada en muestreo
– Incluyendo todas las Comunidades Autónomas
– Muestra basada en los 90 partidos judiciales de mayor tamaño – Abarcando a 2.962 Órganos Judiciales
• Calendario:
– Fase 1: Último trimestre de 2003 – Fase 2: Año 2004
– Fase 3: Primer semestre de 2005
CONSEJO GENERAL DEL PODER JUDICIAL
5
CONSEJO GENERAL DEL PODER JUDICIAL
6
6
-
-
Principales aspectos observados
Principales aspectos observados
Cuestiones generales
Cuestiones generales
• El modelo de sistemas de información es distribuido.– Esta situación (que, probablemente, conlleva otro tipo de ventajas) no facilita la gestión de sistemas y exige disponer de ubicaciones adecuadas para los sistemas de información en un mayor número de edificios.
• Hay dependencia significativa de los proveedores de HW/SW
– Ausencia de acuerdos de nivel de servicio en los contratos de mantenimiento
– Limitado control efectivo, por utilizar sistemas desarrollados por terceros – Existe trabajo fuera de las instalaciones por parte de los magistrados. Este
hecho dificulta el control sobre la información sensible que pudiera salir de las sedes judiciales.
• Las recomendaciones propuestas implican un coste.
CONSEJO GENERAL DEL PODER JUDICIAL
Principales aspectos observados
Principales aspectos observados
6.1.
6.1.
-
-
Modelo de Seguridad
Modelo de Seguridad
• No han sido asignadas y/o no son conocidas las funciones y
responsabilidades de cada uno de los agentes con acceso potencial a los sistemas de información soporte a la gestión procesal
• El nivel de formalización (políticas, normas, procedimientos) respecto a las medidas de protección aplicables a la información de gestión procesal puede considerarse limitado
– Esto incluye la no existencia de un documento de seguridad, en los términos que se recogen en el artículo 8 del R.D 994/1999
• El nivel de concienciación de los usuarios respecto a la sensibilidad de la información a la que acceden, resulta moderado
– es frecuente la compartición de usuarios, la comunicación a terceros de palabras de acceso,...
– En la mayoría de los casos, no se ha abordado un proceso estructurado y planificado de sensibilización, formación y concienciación de los
CONSEJO GENERAL DEL PODER JUDICIAL
6.2.
6.2.
-
-
Procedimientos técnicos y
Procedimientos técnicos y
organizativos
organizativos
• En algunos casos, la no existencia de un procedimiento formalizado de realización de copias de seguridad supone un riesgo potencial. • La conservación y custodia de las copias de seguridad presenta
aspectos susceptibles de mejora (armarios, cajones sin llave,...).
• Las ubicaciones físicas de los servidores no restringen, por lo general, de forma adecuada el acceso, ni disponen de medidas básicas de
protección frente a incendios, inundaciones,...
– Esto es más significativo en la medida que, en la inmensa mayoría de los casos, no se dispone de Planes de Continuidad de Operaciones.
• El proceso de alta de nuevos usuarios presenta debilidades significativas en algunos casos.
– La palabra de acceso inicial es común, los usuarios son genéricos,...
• El control sobre la salida de soportes es, en algunos casos, muy limitado.
• Existe, en numerosas ocasiones, información sensible en los
CONSEJO GENERAL DEL PODER JUDICIAL
6.2.
6.2.
-
-
Revisión de medidas técnicas
Revisión de medidas técnicas
• La configuración de seguridad de las aplicaciones de gestión procesal (en términos de prevención de accesos no autorizados) resultan
insuficientes para garantizar el cumplimiento de este objetivo.
• Existe una notable ausencia de control en la asignación de usuarios temporales que sustituyen a otros.
• La mayoría de las aplicaciones analizadas no disponen de registros de eventos a nivel aplicación
– Para monitorización y trazabilidad de las acciones de los usuarios en los términos exigidos por el R.D. 994/1999.
– En todo caso, no se han activado mecanismos sobre los sistemas de gestión procesal que registren los accesos a la información sensible.
CONSEJO GENERAL DEL PODER JUDICIAL
7.
7.
-
-
Situación a día de hoy y
Situación a día de hoy y
tareas pendientes
tareas pendientes
• Se está contando con la plena colaboración de todas las
Administraciones Públicas competentes.
• Se está confeccionando un calendario de cierre de la
auditoria, caso por caso
– Quedan muchas medidas por implantar
– Se emitirá un informe final de auditoría antes de verano