Protecció de dades personals en l'execució penal. Ismael Carmona

Download Protecció de dades personals en l'execució penal. Ismael Carmona

Post on 25-Jun-2015

512 views

Category:

Education

0 download

Embed Size (px)

DESCRIPTION

VI Jornada de juristes de centres penitenciaris. Barcelona, 25 d'octubre de 2011

TRANSCRIPT

<ul><li> 1. Protecci de dades personalsen lexecuci penal Departament de JustciaBarcelona, octubre de 2011</li></ul><p> 2. Organitzaci de la seguretat de lainformaci Poltica de seguretat definida per la direcci i un Document de seguretat que lespecifica. Responsables de fitxers a nivell dunitat orgnica (secretari i director general). Responsable de Seguretat nic per als tres mbits (general, execuci penal i judicial). Referents de Seguretat a nivell dunitat orgnica. Responsables en mbits especfics (TIC, seguretat fsica i installacions, desenvolupament normatiu...). 3. Els fitxers de dades Conjunts de tractaments en qualsevol suport amb una finalitat definida i una coherncia que permet agrupar-lo en fitxers lgics. Cal que es declarin prviament al seu funcionament. Aix persegueix assolir una funci de control previ i una correcta informaci per als tercers. Cada fitxer t el seu responsable, normalment un secretari o director general. Hi ha fitxers que sn emprats per treballadors que no es troben dins de la unitat del responsable del fitxer (personal, gesti econmica, logstica, suport TIC...). 4. Els fitxers de lexecuci penal Poblaci reclusa als centres penitenciaris de Catalunya (Alt) Personal dels centres penitenciaris (Mitj) Gesti de professionals, voluntaris, visitants i altre personal relacionat amb lentorn penitenciari (Bsic) Gesti de certificats per a lobtenci dajuts i prestacions (Mitj) Expedients de suport i assistncia jurdica en lexecuci penal (Alt) Expedients dinspecci de serveis penitenciaris (Mitj) Atenci a la vctima (Alt) Menors sota la custdia del Departament (Alt) Gesti de mesures penals alternatives (Alt) 5. El fitxer de poblaci reclusa Finalitat i usos previstos La finalitat del fitxer s la gesti integral de la poblaci reclusa deCatalunya en relaci amb la poltica global penitenciria i derehabilitaci. Els usos previstos sn la gesti penitenciria i dels centres, lexecuci de les penes de privaci de llibertat, les actuacions administratives, policials i judicials relacionades i ladopci de les mesures que afavoreixin la reinserci social de les persones condemnades. Tamb s preveu la tramitaci dindults i lelaboraci destadstica interna i pblica sobre els serveis penitenciaris. 6. El fitxer de poblaci reclusa Persones i collectius afectats o obligats a subministrar lesdades Poblaci reclusa en centres penitenciaris de Catalunya i el seuentorn sociofamiliar. Procediment de recollida de les dades Les dades sobtenen dentrevistes, transmissions electrniques,comunicacions de tercers i de les observacions i valoracionsrecollides en lexpedient. Procedncia de les dades De la mateixa persona interessada, des de registres pblics, altresadministracions, comunicacions de la famlia de la personainteressada i dels professionals de lexecuci penal. 7. El fitxer de poblaci reclusa Estructura bsica del fitxer i tipus de dades de carcterpersonal Dades identificatives: DNI/NIF/NIE i codis didentificaci penitenciria, nom i cognoms, telfon, dades biomtriques (signatura i empremtes, imatge i veu), nmero dafiliaci a la Seguretat Social o mutualitat, adrea postal i electrnica. Dades de caracterstiques personals: estat civil, dades familiars, lloc i data de naixement, sexe, edat i nacionalitat, caracterstiques fsiques i llengua materna. Dades de circumstncies socials: allotjament o habitatge, propietats i possessions, clubs i associacions, situaci militar i aficions i estils de vida. Dades acadmiques i professionals: formaci i titulacions, experincia professional i historial acadmic. Dades docupaci laboral: llocs de treball i historial laboral. Dades dinformaci comercial: activitats i negocis i creacions artstiques. 8. El fitxer de poblaci reclusa Estructura bsica del fitxer i tipus de dades de carcterpersonal Dades economicofinanceres i dassegurances: ingressos i rendes, inversions i patrimoni, nmines, hipoteques, subsidis i beneficis, dades bancries i plans de pensi. Dades psicolgiques, criminolgiques, psicopedaggiques i psicosocials necessries per avaluar el subjecte en relaci a la seva activitat delictiva, programar el tractament adequat per a la seva reeducaci i reinserci social, realitzar el necessari pronstic de reinserci i possibilitar lavaluaci continua en relaci a la presa de decisions sobre el procs de compliment de la pena o mesura. Dades especialment protegides necessries per definir i gestionar el tractament de lintern dins del centre i per a lexecuci de les mesures de rehabilitaci i inserci: ideologia, religi, creences, vida sexual, origen racial o tnic. Dades relatives a la comissi dinfraccions penals o administratives: delictes i faltes, infraccions i sancions administratives. 9. El fitxer de poblaci reclusa Sistema de tractament Parcialment automatitzat Cessions de dades Als rgans judicials, al Ministeri Fiscal, als representants consulars (si hi ha consentiment exprs de lintern), al Ministeri dInterior, les forces i cossos de seguretat i el Sndic de Greuges. De conformitat amb la Llei orgnica 1/1979, de 26 de setembre, general penitenciria, el Reial decret 190/1996, de 9 de febrer, pel qual saprova el Reglament penitenciari, i altra normativa de desplegament reglamentari, la Llei orgnica 2/1986, de 13 de mar, de cossos i forces de seguretat, i larticle 11.2.d) de la Llei orgnica 15/1999, de 13 de desembre, de protecci de dades de carcter personal. Al Centre dEstudis Jurdics i Formaci Especialitzada, en relaci amb all establert a larticle 3 de la Llei 18/1990, de 15 de novembre. 10. El fitxer de poblaci reclusa Transferncies internacionals No es preveuen transferncies de dades a tercers pasos. rgan administratiu responsable Direcci General de Serveis Penitenciaris Nivell de mesures de seguretat Alt 11. Les mesures de seguretat Els responsables dels tractaments o els fitxers i els encarregatsdel tractament han dimplantar les mesures de seguretatdacord amb el RLOPD Les mesures de seguretat exigibles als fitxers i tractaments esclassifiquen en tres nivells: bsic, mitj i alt. Tots els fitxers o tractaments de dades de carcter personal handadoptar les mesures de seguretat qualificades de nivell bsic. 12. Aplicaci dels nivells de seguretat Shan dimplantar, a ms de les mesures de nivell bsic, les mesures de nivell mitj, en els segents fitxers o tractaments: Comissi dinfraccions administratives o penals. Els que continguin un conjunt de dades de carcter personalque ofereixin una definici de les caracterstiques o de lapersonalitat dels ciutadans i que permetin avaluardeterminats aspectes de la seva personalitat ocomportament. 13. Aplicaci dels nivells de seguretat(II) A ms de les mesures de nivell bsic i mitj, les mesures de nivell alt shan daplicar en els segents fitxers o tractaments: Els que es refereixin a dades dideologia, afiliacisindical, religi, creences, origen racial, salut o vidasexual. Els que continguin o es refereixin a dades obtingudes per afins policials sense consentiment de les personesafectades. Els que continguin dades derivades dactes de violncia degnere 14. Accs a travs de xarxes Les mesures de seguretat exigibles als accessos a dades de carcter personal a travs de xarxes de comunicacions, siguin pbliques o no, han de garantir un nivell de seguretat equivalent al corresponent als accessos en mode local i adients a lestablert al Document de Seguretat i al RLOPD. 15. Treball fora dels locals Quan les dades personals semmagatzemin en dispositius porttils o es tractin fora dels locals del responsable de fitxer o tractament, o de lencarregat del tractament, s necessari que hi hagi una autoritzaci prvia del responsable del fitxer o tractament, i en tot cas sha de garantir el nivell de seguretat corresponent al tipus de fitxer tractat Lautoritzaci ha de constar en el document de seguretat i es pot establir per a un usuari o per a un perfil dusuaris i se nha de determinar un perode de validesa. 16. Fitxers temporals i cpies Els fitxers temporals o cpies de documents que shan creat exclusivament per a la realitzaci de treballs temporals o auxiliars han de complir el nivell de seguretat que els correspongui conforme als criteris establerts al RLOPD. Qualsevol fitxer temporal o cpia de treball creat aix sha desborrar o destruir una vegada deixi de ser necessari per als fins que van motivar la seva creaci. 17. El document de seguretat El responsable del fitxer o tractament ha delaborar un document de seguretat que reculli les mesures dndole tcnica i organitzativa conformes amb la normativa de seguretat vigent que s de compliment obligat per al personal amb accs als sistemes dinformaci. El document de seguretat pot ser nic i ha dincloure tots els fitxers o tractaments, o b individualitzat per a cada fitxer o tractament. Tamb es poden elaborar diferents documents de seguretat agrupant fitxers o tractaments segons el sistema de tractament utilitzat per a la seva organitzaci, o b atenent criteris organitzatius del responsable. En tot cas t el carcter de document intern de lorganitzaci. 18. Normatives addicionals El Document de Seguretat incorpora les segents normatives especfiques: Instrucci 1/2006, de 15 de maig, de la Secretaria Generalde Justcia, sobre el protocol de destrucci de documentaciamb dades de carcter personal en suport paper Instrucci 1/2009, de 9 de mar, de la Secretaria General deJustcia, sobre els protocols de videovigilncia delDepartament de Justcia Circular 1/2010, de la Secretaria de Serveis Penitenciaris,Rehabilitaci i Justcia Juvenil, sobre el dret dinformaciprevist a la Llei orgnica 15/1999, de 13 de desembre, deprotecci de dades de carcter personal Circular 2/2010, de la Secretaria de Serveis Penitenciaris,Rehabilitaci i Justcia Juvenil, dadaptaci als centresdexecuci penal del Protocol de videovigilncia delDepartament de Justcia, aprovat per la Instrucci 1/2009 19. Mesures Nivell Bsic (automatitzats) Funcions i obligacions del personal: documentades al DdS i difoses entre el personal Registre dincidncies: procediment de notificaci i gesti i registre Control daccs: accs pertinent, relaci de perfils i protecci Gesti de suports i documents: identificaci, inventari i accessibilitat. Sortida Identificaci i autenticaci: inequvoca i personalitzada Cpies de seguretat i recuperaci 20. Funcions i obligacions del personal Les funcions i obligacions de cadascun dels usuaris o perfils dusuaris amb accs a les dades de carcter personal i als sistemes dinformaci han destar clarament definides i documentades en el document de seguretat. El responsable del fitxer o tractament ha dadoptar les mesures necessries perqu el personal conegui duna forma comprensible les normes de seguretat que afectin lexercici de les seves funcions aix com les conseqncies en qu pugui incrrer en cas dincompliment. 21. Registre dincidncies Hi ha dhaver un procediment de notificaci i gesti de les incidncies que afectin les dades de carcter personal i sha destablir un registre en qu es faci constar el tipus dincidncia, el moment en qu sha produt, o si sescau, detectat, la persona que fa la notificaci, a qui se li comunica, els efectes que sen deriven i les mesures correctores aplicades. 22. Control daccs Els usuaris han de tenir accs noms als recursos que necessitin per a lexercici de les seves funcions. El responsable del fitxer sha dencarregar que hi hagi una relaci actualitzada dusuaris i perfils dusuaris, i els accessos autoritzats per a cadascun dells. El responsable del fitxer ha destablir mecanismes per evitar que un usuari pugui accedir a recursos amb drets diferents dels autoritzats. 23. Gesti de suports i documents Els suports i documents que continguin dades de carcter personal han de permetre identificar el tipus dinformaci que contenen, han de ser inventariats i noms hi ha de poder accedir el personal autoritzat per fer-ho en el document de seguretat. La sortida de suports i documents que continguin dades de carcter personal, inclosos els compresos i/o annexos a un correu electrnic, fora dels locals sota el control del responsable del fitxer o tractament, lha dautoritzar el responsable del fitxer o ha destar degudament autoritzada en el document de seguretat. 24. Gesti de suports i documents (II) En el trasllat de la documentaci shan dadoptar les mesures dirigides a evitar la sostracci o prdua de la informaci o laccs indegut a aquesta durant el seu transport. Sempre que shagi de rebutjar qualsevol document o suport que contingui dades de carcter personal, sha de destruir o esborrar mitjanant ladopci de mesures dirigides a evitar laccs a la informaci que cont o la seva recuperaci posterior. 25. Identificaci i autenticaci El responsable del fitxer o tractament ha dadoptar les mesures que garanteixin la correcta identificaci i autenticaci dels usuaris. El responsable del fitxer o tractament ha destablir un mecanisme que permeti la identificaci de forma inequvoca i personalitzada de qualsevol usuari que intenti accedir al sistema dinformaci i la verificaci conforme est autoritzat. Quan el mecanisme dautenticaci es basi en lexistncia de contrasenyes, hi ha dhaver un procediment dassignaci, distribuci i emmagatzematge que en garanteixi la confidencialitat i integritat. 26. Cpies de seguretat i recuperaci Shan destablir procediments dactuaci per fer, com a mnim setmanalment, cpies de seguretat, tret que en el perode esmentat no shagi produt cap actualitzaci de les dades. Aix mateix, shan destablir procediments per a la recuperaci de les dades que garanteixin en tot moment la reconstrucci a lestat en qu estaven en el moment de produir-se la prdua o destrucci. 27. Mesures Nivell Mitj (automatitzats) Responsable de seguretat Auditoria: interna o externa. Cada 2 anys mnim Gesti de suports i documents: registre dentrada i de sortida Identificaci i autenticaci: lmit dintents daccessos no autoritzats Control daccs fsic: accs exclusiu personal autoritzat al DdS Registre dincidncies: recuperacions de dades 28. Responsable de seguretat En el document de seguretat shan dassignar un o diversosresponsables de seguretat encarregats de coordinar icontrolar les mesures que hi estan definides. En cap cas aquesta designaci suposa una exoneraci de laresponsabilitat que correspon al responsable del fitxer o alencarregat del tractament. 29. Auditoria A partir del nivell mitj, els sistemes dinformaci i installacions de tractament i emmagatzematge de dades shan de sotmetre, almenys cada dos anys, a una auditoria interna o externa que verifiqui el compliment legal. Els informes dauditoria els ha danalitzar el responsable de seguretat competent, que nha delevar les conclusions al responsable del fitxer o tractament perqu adopti les mesures correctores adequades, i han de quedar a disposici de les autoritats de control. 30. Gesti de suports i documents Sha destablir un sistema de registre dentrada de suports que permeti, directament o indirectament, conixer el tipus de document o suport, la data i hora, lemissor, el nombre de documents o suports inclosos en lenviament, el tipus dinformaci que cont...</p>