• No se han encontrado resultados

Planes de Seguridad y Protección de Datos en la Administración de Justicia

N/A
N/A
Protected

Academic year: 2021

Share "Planes de Seguridad y Protección de Datos en la Administración de Justicia"

Copied!
22
0
0

Texto completo

(1)

CONSEJO GENERAL DEL PODER JUDICIAL

Planes de Seguridad y Protección de Datos en

Planes de Seguridad y Protección de Datos en

la Administración de Justicia

la Administración de Justicia

Una reforma pendiente

Pedro Alberto González

Consejo General del Poder Judicial

Madrid, 15 de Marzo de 2005

(2)

CONSEJO GENERAL DEL PODER JUDICIAL

1

1

-

-

Marco legal actual

Marco legal actual

• Ley Orgánica del Poder Judicial

– Art. 230:

• (...)

• 3. Los procesos que se tramiten con soporte

informático garantizarán la identificación y el

ejercicio de la función jurisdiccional por el órgano

que la ejerce, así como la confidencialidad,

privacidad y seguridad de los datos de carácter

personal que contengan en los términos que

(3)

CONSEJO GENERAL DEL PODER JUDICIAL

1

1

-

-

Marco legal actual

Marco legal actual

• Ley Orgánica del Poder Judicial

– Art. 230:

• (...)

• 5. Reglamentariamente se determinarán por el Consejo General del Poder Judicial los requisitos y demás condiciones que afecten al

establecimiento y gestión de los ficheros automatizados que se

encuentren bajo la responsabilidad de los órganos judiciales de forma que se asegure el cumplimiento de las garantías y derechos establecidos en la LO 5/1992 de 29 octubre, de Regulación del tratamiento automatizado de los datos de carácter personal.

• (...)

• Desarrollada por el Reglamento 5/1995 del CGPJ

(4)

CONSEJO GENERAL DEL PODER JUDICIAL

2

2

-

-

Aspectos destacables del marco legal

Aspectos destacables del marco legal

actual (Reglamento 5/1995)

actual (Reglamento 5/1995)

• Artículo 78.2 - Naturaleza

– “En los ficheros de datos jurisdiccionales solamente se contendrán los datos de carácter personal que deriven de las actuaciones

jurisdiccionales...”

• Artículo 79 - Recogida

– “Los datos de carácter personal que hayan de incorporarse a los ficheros de datos jurisdiccionales se recogerán de los documentos o escritos que obren en el procedimiento...”

• Artículo 80 - Conservación

– “Los datos de carácter personal incorporados se conservarán en tanto su supresión no sea ordenada por decisión judicial...”

• Artículo 81 - Cesión

(5)

CONSEJO GENERAL DEL PODER JUDICIAL

2

2

-

-

Aspectos destacables del marco legal

Aspectos destacables del marco legal

actual (Reglamento 5/1995)

actual (Reglamento 5/1995)

• Artículo 82 – Responsable

– De los ficheros automatizados de los órganos judiciales unipersonales será responsable el Secretario del Juzgado. De los ficheros

dependientes de Tribunales será responsable el Secretario judicial que se indique en el acuerdo de creación o modificación.

• Artículo 84 – Tutela de derechos

– 1. Los derechos de acceso, rectificación y cancelación podrán ejercerse por el afectado en la sede del órgano judicial o gubernativo titular del

fichero y ante el responsable del mismo. • Artículo 85- Recursos

– Contra las resoluciones expresas o presuntas del responsable del fichero denegatorias del acceso, rectificación o cancelación que se haya

(6)

CONSEJO GENERAL DEL PODER JUDICIAL

2

2

-

-

Aspectos destacables del marco legal

Aspectos destacables del marco legal

actual (Reglamento 5/1995)

actual (Reglamento 5/1995)

• Artículo 84 – Limitación de Derechos

– (...)

– 3. Se denegará el acceso a los datos de carácter personal

registrados en un fichero dependiente de un Juzgado o de un Tribunal, (...) cuando los datos afecten a unas diligencias judiciales penales que sean o hayan sido declaradas secretas. – 4. El derecho de acceso no podrá ejercerse en perjuicio del

derecho a la intimidad de personas distintas del afectado.

– 5. Los datos que reflejen hechos constatados en un procedimiento jurisdiccional o en un expediente gubernativo no podrán ser

(7)

CONSEJO GENERAL DEL PODER JUDICIAL

2

2

-

-

Aspectos destacables del marco legal

Aspectos destacables del marco legal

actual (Reglamento 5/1995)

actual (Reglamento 5/1995)

• Artículo 86 – Creación de ficheros

– 1. La creación, modificación y supresión de los ficheros

automatizados de datos de carácter personal dependientes de los juzgados y tribunales tendrá lugar mediante acuerdo del Consejo General del Poder Judicial que se publicará en el «Boletín Oficial del Estado» y en los diarios oficiales de las Comunidades

Autónomas y se notificará a la agencia de protección de datos.

– 2. El Consejo General del Poder Judicial adoptará dicho acuerdo a propuesta de la Sala de Gobierno del Tribunal Supremo, de la

Audiencia Nacional o del Tribunal Superior de Justicia correspondiente.

• Artículo 88 – Medidas de seguridad

– 1. El Consejo General del Poder Judicial aprobará, a propuesta de las Salas de Gobierno de los Tribunales Superiores de Justicia, los sistemas de seguridad física e informática de los ficheros

(8)

CONSEJO GENERAL DEL PODER JUDICIAL

3

3

-

-

Problemas que presenta el marco actual

Problemas que presenta el marco actual

• Sometimiento a la Ley Orgánica 15/1999 – LOPD

– Hay quien opina que se debió excluir en la última reforma de la Ley Orgánica del Poder Judicial.

– De forma análoga a las exclusiones y regulación específica previstas en el art. 2 de la LOPD

• Adecuación de los derechos y garantías allí reconocidos

– Los datos judiciales se obtienen, en la mayor parte de los casos, sin solicitar el consentimiento del afectado

– Los derechos de rectificación y de cancelación también están limitados por el art. 84 del Reglamento 5/1995

– Los ficheros jurisdiccionales (atestados, declaraciones, resoluciones) recogen habitualmente datos especialmente protegidos sobre origen racial, salud, vida sexual, afiliación

(9)

CONSEJO GENERAL DEL PODER JUDICIAL

3

3

-

-

Problemas que presenta el marco actual

Problemas que presenta el marco actual

• El papel reservado a las Salas de Gobierno de TS, TSJ y

AN no es operativo.

– Su papel como proponentes de la creación de ficheros y de los sistemas de seguridad les otorga un protagonismo no deseado.

• No contempla adecuadamente el papel de las

Administraciones Públicas

– Las Administraciones Públicas son quienes han tenido la

iniciativa real en la creación de sistemas de gestión procesal y en la adopción de las medidas de seguridad física e informática

• Otorga al Secretario Judicial la responsabilidad del fichero

– Por extensión de su papel de fedatario público y de custodio de la documentación de los expedientes

(10)

CONSEJO GENERAL DEL PODER JUDICIAL

4

4

-

-

La reforma del Reglamento 5/1995

La reforma del Reglamento 5/1995

• El CGPJ está actualmente reformando todos sus

reglamentos,

– como consecuencia de las profundas modificaciones introducidas por la nueva redacción de la Ley Orgánica del Poder Judicial

• El CGPJ tiene identificados los aspectos a reformar

relativos al establecimiento y gestión de los ficheros

judiciales,

– pero aún no se han incorporado a los nuevos reglamentos que se están redactando.

• La reforma recogerá también una adecuación relativa al

reglamento de seguridad

(11)

CONSEJO GENERAL DEL PODER JUDICIAL

4

4

-

-

La reforma del Reglamento 5/1995

La reforma del Reglamento 5/1995

• 1.

Responsable de los ficheros judiciales.

– El CGPJ, como órgano de gobierno del Poder Judicial que determina los requisitos de establecimiento y gestión de los ficheros judiciales y que, por tanto, decide sobre la finalidad, contenido genérico y uso de sus tratamientos, es el Responsable de los ficheros judiciales.

• 2.

Encargado del tratamiento.

– Las Administraciones Públicas con competencias en medios materiales al servicio de la Administración de Justicia, como

entidades públicas que tratan los ficheros judiciales por cuenta del CGPJ y responsables de los centros de tratamiento, locales,

equipos, sistemas, programas y del personal técnico que

(12)

CONSEJO GENERAL DEL PODER JUDICIAL

4

4

-

-

La reforma del Reglamento 5/1995

La reforma del Reglamento 5/1995

• 3.

Responsables de seguridad:

– Persona o personas a las que el responsable del tratamiento ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Existirán dos tipos de

responsables de seguridad:

• Responsables de seguridad tecnológica. • Responsables de seguridad funcional.

(13)

CONSEJO GENERAL DEL PODER JUDICIAL

4

4

-

-

La reforma del Reglamento 5/1995

La reforma del Reglamento 5/1995

• Tipos de Responsables de Seguridad:

– Responsables de seguridad tecnológica,

• establecerán los mecanismos de seguridad tecnológicamente aplicables a locales, equipos, sistemas y programas que deberán seguirse por los usuarios y el personal que interviene en el

tratamiento.

– Responsables de seguridad funcional.

• A los Secretarios Judiciales, en tanto que titulares de la fe pública judicial, directores de la oficina judicial y depositarios de la

(14)

CONSEJO GENERAL DEL PODER JUDICIAL

5

5

Actuaciones desarrolladas:

Actuaciones desarrolladas:

Auditoría de Seguridad Judicial

Auditoría de Seguridad Judicial

• En 2003, se inició un proceso de Auditoría de Seguridad de los Sistemas de Gestión Procesal

– Al amparo del Art. 230 de la LOPJ

– Prevista en el Art. 17 del Reglamento de Seguridad LOPD

• Objetivos:

– Verificar el nivel de adecuación de los Sistemas de Gestión Procesal a lo exigido en el Reglamento de Medidas de Seguridad, identificando

posibles disconformidades y aspectos susceptibles de mejora en dichos sistemas.

(15)

CONSEJO GENERAL DEL PODER JUDICIAL

5

5

Auditoría de Seguridad.

Auditoría de Seguridad.

Planificación del Proyecto

Planificación del Proyecto

PREPARACIÓN DE LOS TRABAJOS

FASE 0

FASE 1

FASE 2

FASE 3

Tareas de Organización y Planificación previas al proceso de Auditoría de Seguridad

VERIFICACIÓN PRELIMINAR DE MEDIDAS

Comprobación de las medidas implantadas en los sistemas de información sobre una muestra de Partidos Judiciales

IMPLANTACIÓN DE MEDIDAS

Implantación, por parte de las Administraciones Públicas afectadas, de las medidas recomendadas tras la verificación preliminar

VERIFICACIÓN FINAL E INFORME DE AUDITORIA

(16)

CONSEJO GENERAL DEL PODER JUDICIAL

5

5

Alcance de la Auditoría de Seguridad.

Alcance de la Auditoría de Seguridad.

• Administración de Justicia Española:

– Aproximadamente 3.500 Órganos Judiciales

– Distribuidos en 430 localidades (Partidos Judiciales)

• Actuación basada en muestreo

– Incluyendo todas las Comunidades Autónomas

– Muestra basada en los 90 partidos judiciales de mayor tamaño – Abarcando a 2.962 Órganos Judiciales

• Calendario:

– Fase 1: Último trimestre de 2003 – Fase 2: Año 2004

– Fase 3: Primer semestre de 2005

(17)

CONSEJO GENERAL DEL PODER JUDICIAL

5

(18)

CONSEJO GENERAL DEL PODER JUDICIAL

6

6

-

-

Principales aspectos observados

Principales aspectos observados

Cuestiones generales

Cuestiones generales

• El modelo de sistemas de información es distribuido.

– Esta situación (que, probablemente, conlleva otro tipo de ventajas) no facilita la gestión de sistemas y exige disponer de ubicaciones adecuadas para los sistemas de información en un mayor número de edificios.

• Hay dependencia significativa de los proveedores de HW/SW

– Ausencia de acuerdos de nivel de servicio en los contratos de mantenimiento

– Limitado control efectivo, por utilizar sistemas desarrollados por terceros – Existe trabajo fuera de las instalaciones por parte de los magistrados. Este

hecho dificulta el control sobre la información sensible que pudiera salir de las sedes judiciales.

• Las recomendaciones propuestas implican un coste.

(19)

CONSEJO GENERAL DEL PODER JUDICIAL

Principales aspectos observados

Principales aspectos observados

6.1.

6.1.

-

-

Modelo de Seguridad

Modelo de Seguridad

• No han sido asignadas y/o no son conocidas las funciones y

responsabilidades de cada uno de los agentes con acceso potencial a los sistemas de información soporte a la gestión procesal

• El nivel de formalización (políticas, normas, procedimientos) respecto a las medidas de protección aplicables a la información de gestión procesal puede considerarse limitado

– Esto incluye la no existencia de un documento de seguridad, en los términos que se recogen en el artículo 8 del R.D 994/1999

• El nivel de concienciación de los usuarios respecto a la sensibilidad de la información a la que acceden, resulta moderado

– es frecuente la compartición de usuarios, la comunicación a terceros de palabras de acceso,...

– En la mayoría de los casos, no se ha abordado un proceso estructurado y planificado de sensibilización, formación y concienciación de los

(20)

CONSEJO GENERAL DEL PODER JUDICIAL

6.2.

6.2.

-

-

Procedimientos técnicos y

Procedimientos técnicos y

organizativos

organizativos

• En algunos casos, la no existencia de un procedimiento formalizado de realización de copias de seguridad supone un riesgo potencial. • La conservación y custodia de las copias de seguridad presenta

aspectos susceptibles de mejora (armarios, cajones sin llave,...).

• Las ubicaciones físicas de los servidores no restringen, por lo general, de forma adecuada el acceso, ni disponen de medidas básicas de

protección frente a incendios, inundaciones,...

– Esto es más significativo en la medida que, en la inmensa mayoría de los casos, no se dispone de Planes de Continuidad de Operaciones.

• El proceso de alta de nuevos usuarios presenta debilidades significativas en algunos casos.

– La palabra de acceso inicial es común, los usuarios son genéricos,...

• El control sobre la salida de soportes es, en algunos casos, muy limitado.

• Existe, en numerosas ocasiones, información sensible en los

(21)

CONSEJO GENERAL DEL PODER JUDICIAL

6.2.

6.2.

-

-

Revisión de medidas técnicas

Revisión de medidas técnicas

• La configuración de seguridad de las aplicaciones de gestión procesal (en términos de prevención de accesos no autorizados) resultan

insuficientes para garantizar el cumplimiento de este objetivo.

• Existe una notable ausencia de control en la asignación de usuarios temporales que sustituyen a otros.

• La mayoría de las aplicaciones analizadas no disponen de registros de eventos a nivel aplicación

– Para monitorización y trazabilidad de las acciones de los usuarios en los términos exigidos por el R.D. 994/1999.

– En todo caso, no se han activado mecanismos sobre los sistemas de gestión procesal que registren los accesos a la información sensible.

(22)

CONSEJO GENERAL DEL PODER JUDICIAL

7.

7.

-

-

Situación a día de hoy y

Situación a día de hoy y

tareas pendientes

tareas pendientes

• Se está contando con la plena colaboración de todas las

Administraciones Públicas competentes.

• Se está confeccionando un calendario de cierre de la

auditoria, caso por caso

– Quedan muchas medidas por implantar

– Se emitirá un informe final de auditoría antes de verano

• Se modificará el Reglamento 5/1995, de los aspectos

accesorios de las actuaciones judiciales.

Referencias

Documento similar

Relación de Epis necesarios y cuya eficacia ha sido evaluada Casco de seguridad. Ropa de trabajo. Guantes de cuero. Calzado de seguridad. Arnés de seguridad. Medidas preventivas

Y, en segundo término, la posibilidad de que los Estados miembros aplacen la aplicación obligatoria de este principio, entre otros pun- tos, en la fijación de la edad de jubilación

Generar mejoras en la seguridad ciudadana que redunden en la calidad de vida de todos los sectores de la población, promoviendo una cultura policial de proximidad con perspectiva

a) Se debe verificar que el tiempo de inercia entre el apagado del piloto y el cierre de la válvula de seguridad no exceda de 90 segundos. b) Para comprobar si se ha cerrado la

Descripción general Tratar sintomáticamente La exposición a concentraciones de vapour de disolvente, procedente de los disolventes contenidos, que supere los límites de exposición

• Las plataformas, andamios y pasarelas, así como los desniveles, huecos y aberturas existentes en la obra que supongan para los trabajadores riesgo de caída de altura

El algoritmo calcula la secuencia de acciones de control (cambios de marcha y velocidad) para optimizar el desplazamiento de un vehículo sobre un recorrido sometido a restricciones

Aunque tanto la UE, con carácter general, como España, de forma par- ticular, están ejerciendo a nivel global un papel de liderazgo en la lucha contra la pesca INDNR, la estrategia