Planes de Seguridad y Protección de Datos en la Administración de Justicia

Transcripción

1 Planes de Seguridad y Protección de Datos en la Administración de Justicia Una reforma pendiente Madrid, 15 de Marzo de 2005 Seminario organizado por la revista Pedro Alberto González Consejo General del Poder Judicial

2 1 - Marco legal actual CONSEJO GENERAL Ley Orgánica del Poder Judicial Art. 230: (...) 3. Los procesos que se tramiten con soporte informático garantizarán la identificación y el ejercicio de la función jurisdiccional por el órgano que la ejerce, así como la confidencialidad, privacidad y seguridad de los datos de carácter personal que contengan en los términos que establezca la ley. (...) P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 2

3 1 - Marco legal actual CONSEJO GENERAL Ley Orgánica del Poder Judicial Art. 230: (...) 5. Reglamentariamente se determinarán por el Consejo General del Poder Judicial los requisitos y demás condiciones que afecten al establecimiento y gestión de los ficheros automatizados que se encuentren bajo la responsabilidad de los órganos judiciales de forma que se asegure el cumplimiento de las garantías y derechos establecidos en la LO 5/1992 de 29 octubre, de Regulación del tratamiento automatizado de los datos de carácter personal. (...) Desarrollada por el Reglamento 5/1995 del CGPJ De los aspectos accesorios de las actuaciones Judiciales Art. 77 a 88 P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 3

4 2 - Aspectos destacables del marco legal actual (Reglamento 5/1995) Artículo Naturaleza En los ficheros de datos jurisdiccionales solamente se contendrán los datos de carácter personal que deriven de las actuaciones jurisdiccionales... Artículo 79 - Recogida Los datos de carácter personal que hayan de incorporarse a los ficheros de datos jurisdiccionales se recogerán de los documentos o escritos que obren en el procedimiento... Artículo 80 - Conservación Los datos de carácter personal incorporados se conservarán en tanto su supresión no sea ordenada por decisión judicial... Artículo 81 - Cesión Sólo por aplicación de las normas (...), que determinen la atribución del conocimiento del asunto (...) a un órgano jurisdiccional o gubernativo distinto, podrá producirse la cesión de los datos de carácter personal... P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 4

5 2 - Aspectos destacables del marco legal actual (Reglamento 5/1995) Artículo 82 Responsable De los ficheros automatizados de los órganos judiciales unipersonales será responsable el Secretario del Juzgado. De los ficheros dependientes de Tribunales será responsable el Secretario judicial que se indique en el acuerdo de creación o modificación. Artículo 84 Tutela de derechos 1. Los derechos de acceso, rectificación y cancelación podrán ejercerse por el afectado en la sede del órgano judicial o gubernativo titular del fichero y ante el responsable del mismo. Artículo 85- Recursos Contra las resoluciones expresas o presuntas del responsable del fichero denegatorias del acceso, rectificación o cancelación que se haya solicitado, el afectado podrá interponer los recursos previstos en el artículo 4.3. de este Reglamento. P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 5

6 2 - Aspectos destacables del marco legal actual (Reglamento 5/1995) Artículo 84 Limitación de Derechos (...) 3. Se denegará el acceso a los datos de carácter personal registrados en un fichero dependiente de un Juzgado o de un Tribunal, (...) cuando los datos afecten a unas diligencias judiciales penales que sean o hayan sido declaradas secretas. 4. El derecho de acceso no podrá ejercerse en perjuicio del derecho a la intimidad de personas distintas del afectado. 5. Los datos que reflejen hechos constatados en un procedimiento jurisdiccional o en un expediente gubernativo no podrán ser modificados o cancelados mediante el ejercicio de los derechos a los que se refiere este artículo. P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 6

7 2 - Aspectos destacables del marco legal actual (Reglamento 5/1995) Artículo 86 Creación de ficheros 1. La creación, modificación y supresión de los ficheros automatizados de datos de carácter personal dependientes de los juzgados y tribunales tendrá lugar mediante acuerdo del Consejo General del Poder Judicial que se publicará en el «Boletín Oficial del Estado» y en los diarios oficiales de las Comunidades Autónomas y se notificará a la agencia de protección de datos. 2. El Consejo General del Poder Judicial adoptará dicho acuerdo a propuesta de la Sala de Gobierno del Tribunal Supremo, de la Audiencia Nacional o del Tribunal Superior de Justicia correspondiente. Artículo 88 Medidas de seguridad 1. El Consejo General del Poder Judicial aprobará, a propuesta de las Salas de Gobierno de los Tribunales Superiores de Justicia, los sistemas de seguridad física e informática de los ficheros automatizados de datos de carácter personal dependientes de los órganos judiciales existentes en las Comunidades Autónomas. P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 7

8 3 - Problemas que presenta el marco actual CONSEJO GENERAL Sometimiento a la Ley Orgánica 15/1999 LOPD Hay quien opina que se debió excluir en la última reforma de la Ley Orgánica del Poder Judicial. De forma análoga a las exclusiones y regulación específica previstas en el art. 2 de la LOPD Adecuación de los derechos y garantías allí reconocidos Los datos judiciales se obtienen, en la mayor parte de los casos, sin solicitar el consentimiento del afectado Los derechos de rectificación y de cancelación también están limitados por el art. 84 del Reglamento 5/1995 Los ficheros jurisdiccionales (atestados, declaraciones, resoluciones) recogen habitualmente datos especialmente protegidos sobre origen racial, salud, vida sexual, afiliación sindical, creencias y, por supuesto, infracciones penales, civiles o administrativas. P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 8

9 3 - Problemas que presenta el marco actual CONSEJO GENERAL El papel reservado a las Salas de Gobierno de TS, TSJ y AN no es operativo. Su papel como proponentes de la creación de ficheros y de los sistemas de seguridad les otorga un protagonismo no deseado. No contempla adecuadamente el papel de las Administraciones Públicas Las Administraciones Públicas son quienes han tenido la iniciativa real en la creación de sistemas de gestión procesal y en la adopción de las medidas de seguridad física e informática Otorga al Secretario Judicial la responsabilidad del fichero Por extensión de su papel de fedatario público y de custodio de la documentación de los expedientes Como consecuencia, la Ley no se está cumpliendo P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 9

10 4 - La reforma del Reglamento 5/1995 CONSEJO GENERAL El CGPJ está actualmente reformando todos sus reglamentos, como consecuencia de las profundas modificaciones introducidas por la nueva redacción de la Ley Orgánica del Poder Judicial El CGPJ tiene identificados los aspectos a reformar relativos al establecimiento y gestión de los ficheros judiciales, pero aún no se han incorporado a los nuevos reglamentos que se están redactando. La reforma recogerá también una adecuación relativa al reglamento de seguridad para compaginar los papeles que realmente existen en el a mbito de la Administración de Justicia P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 10

11 4 - La reforma del Reglamento 5/1995 CONSEJO GENERAL 1. Responsable de los ficheros judiciales. El CGPJ, como órgano de gobierno del Poder Judicial que determina los requisitos de establecimiento y gestión de los ficheros judiciales y que, por tanto, decide sobre la finalidad, contenido genérico y uso de sus tratamientos, es el Responsable de los ficheros judiciales. 2. Encargado del tratamiento. Las Administraciones Públicas con competencias en medios materiales al servicio de la Administración de Justicia, como entidades públicas que tratan los ficheros judiciales por cuenta del CGPJ y responsables de los centros de tratamiento, locales, equipos, sistemas, programas y del personal técnico que intervienen en el tratamiento, son los Encargados del Tratamiento de los ficheros judiciales. P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 11

12 4 - La reforma del Reglamento 5/1995 CONSEJO GENERAL 3. Responsables de seguridad: Persona o personas a las que el responsable del tratamiento ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Existirán dos tipos de responsables de seguridad: Responsables de seguridad tecnológica. Responsables de seguridad funcional. En el establecimiento de las políticas de seguridad, se ajustarán a las pautas generales que establecerá el CGPJ, como responsable del fichero P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 12

13 4 - La reforma del Reglamento 5/1995 CONSEJO GENERAL Tipos de Responsables de Seguridad: Responsables de seguridad tecnológica, establecerán los mecanismos de seguridad tecnológicamente aplicables a locales, equipos, sistemas y programas que deberán seguirse por los usuarios y el personal que interviene en el tratamiento. Responsables de seguridad funcional. A los Secretarios Judiciales, en tanto que titulares de la fe pública judicial, directores de la oficina judicial y depositarios de la documentación y archivo de los expedientes judiciales, corresponde administrar la seguridad funcional de los ficheros jurisdiccionales y gubernativos de sus respectivos Órganos Judiciales, a través de los controles de acceso y demás medidas de seguridad de que dispongan los sistemas de información a su servicio. P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 13

14 5 Actuaciones desarrolladas: Auditoría de Seguridad Judicial En 2003, se inició un proceso de Auditoría de Seguridad de los Sistemas de Gestión Procesal Al amparo del Art. 230 de la LOPJ Prevista en el Art. 17 del Reglamento de Seguridad LOPD Objetivos: Verificar el nivel de adecuación de los Sistemas de Gestión Procesal a lo exigido en el Reglamento de Medidas de Seguridad, identificando posibles disconformidades y aspectos susceptibles de mejora en dichos sistemas. Concienciar a las Administraciones Públicas competentes en medios materiales para la Administración de Justicia, de la importancia de la adopción de medidas de seguridad asociadas a la protección de datos personales. Auditoría desarrollada por Deloitte P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 14

15 5 Auditoría de Seguridad. Planificación del Proyecto PREPARACIÓN DE LOS TRABAJOS FASE 0 Tareas de Organización y Planificación previas al proceso de Auditoría de Seguridad VERIFICACIÓN PRELIMINAR DE MEDIDAS FASE 1 Comprobación de las medidas implantadas en los sistemas de información sobre una muestra de Partidos Judiciales IMPLANTACIÓN DE MEDIDAS FASE 2 Implantación, por parte de las Administraciones Públicas afectadas, de las medidas recomendadas tras la verificación preliminar VERIFICACIÓN FINAL E INFORME DE AUDITORIA FASE 3 Verificación del grado de implantación de las medidas recomendadas y elaboración del informe final de auditoría. P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 15

16 5 Alcance de la Auditoría de Seguridad. CONSEJO GENERAL Administración de Justicia Española: Aproximadamente Órganos Judiciales Distribuidos en 430 localidades (Partidos Judiciales) Actuación basada en muestreo Incluyendo todas las Comunidades Autónomas Muestra basada en los 90 partidos judiciales de mayor tamaño Abarcando a Órganos Judiciales Calendario: Fase 1: Último trimestre de 2003 Fase 2: Año 2004 Fase 3: Primer semestre de 2005 Planteamiento de Auditoría Continua : En sucesivas ediciones, muestras móviles cada año P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 16

17 Modelo de Seguridad (Marco Normativo) 5 Tareas realizadas en la Auditoría de Seguridad. Procedimientos Técnicos y Organizativos Revisión Medidas Técnicas Normativa de Seguridad Funciones y Obligaciones del Personal Identificación y Autenticación Seguridad Física Telecomunicaciones Copias de Seguridad Registro de Accesos Gestión de Soportes P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 17

18 6 - Principales aspectos observados Cuestiones generales El modelo de sistemas de información es distribuido. Esta situación (que, probablemente, conlleva otro tipo de ventajas) no facilita la gestión de sistemas y exige disponer de ubicaciones adecuadas para los sistemas de información en un mayor número de edificios. Hay dependencia significativa de los proveedores de HW/SW Ausencia de acuerdos de nivel de servicio en los contratos de mantenimiento Limitado control efectivo, por utilizar sistemas desarrollados por terceros Existe trabajo fuera de las instalaciones por parte de los magistrados. Este hecho dificulta el control sobre la información sensible que pudiera salir de las sedes judiciales. Las recomendaciones propuestas implican un coste. Los presupuestos de la mayoría de las Administraciones Públicas no han contemplado gastos asociados a la seguridad de los sistemas. P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 18

19 Principales aspectos observados Modelo de Seguridad No han sido asignadas y/o no son conocidas las funciones y responsabilidades de cada uno de los agentes con acceso potencial a los sistemas de información soporte a la gestión procesal El nivel de formalización (políticas, normas, procedimientos) respecto a las medidas de protección aplicables a la información de gestión procesal puede considerarse limitado Esto incluye la no existencia de un documento de seguridad, en los términos que se recogen en el artículo 8 del R.D 994/1999 El nivel de concienciación de los usuarios respecto a la sensibilidad de la información a la que acceden, resulta moderado es frecuente la compartición de usuarios, la comunicación a terceros de palabras de acceso,... En la mayoría de los casos, no se ha abordado un proceso estructurado y planificado de sensibilización, formación y concienciación de los usuarios en aspectos relacionados con la seguridad de la información y los requerimientos del Reglamento de Medidas de Seguridad. P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 19

20 6.2.- Procedimientos técnicos y organizativos En algunos casos, la no existencia de un procedimiento formalizado de realización de copias de seguridad supone un riesgo potencial. La conservación y custodia de las copias de seguridad presenta aspectos susceptibles de mejora (armarios, cajones sin llave,...). Las ubicaciones físicas de los servidores no restringen, por lo general, de forma adecuada el acceso, ni disponen de medidas básicas de protección frente a incendios, inundaciones,... Esto es más significativo en la medida que, en la inmensa mayoría de los casos, no se dispone de Planes de Continuidad de Operaciones. El proceso de alta de nuevos usuarios presenta debilidades significativas en algunos casos. La palabra de acceso inicial es común, los usuarios son genéricos,... El control sobre la salida de soportes es, en algunos casos, muy limitado. Existe, en numerosas ocasiones, información sensible en los ordenadores de los usuarios sobre la que es difícil aplicar medidas de protección suficientes. P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 20

21 6.2.- Revisión de medidas técnicas CONSEJO GENERAL La configuración de seguridad de las aplicaciones de gestión procesal (en términos de prevención de accesos no autorizados) resultan insuficientes para garantizar el cumplimiento de este objetivo. Existe una notable ausencia de control en la asignación de usuarios temporales que sustituyen a otros. La mayoría de las aplicaciones analizadas no disponen de registros de eventos a nivel aplicación Para monitorización y trazabilidad de las acciones de los usuarios en los términos exigidos por el R.D. 994/1999. En todo caso, no se han activado mecanismos sobre los sistemas de gestión procesal que registren los accesos a la información sensible. Los sistemas que soportan la operativa asociada a gestión procesal no se encuentran, en algunos casos, separados de forma lógica del resto de la red de la Administración Pública. P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 21

22 7.- Situación a día de hoy y tareas pendientes Se está contando con la plena colaboración de todas las Administraciones Públicas competentes. Se está confeccionando un calendario de cierre de la auditoria, caso por caso Quedan muchas medidas por implantar Se emitirá un informe final de auditoría antes de verano Se modificará el Reglamento 5/1995, de los aspectos accesorios de las actuaciones judiciales. Se planificará la campaña de auditorías de los dos próximos años P.A. González Planes de Seguridad y Protección de Datos en la Administración de Justicia 22