SlideShare une entreprise Scribd logo

Protecció de dades personals en l'execució penal. Ismael Carmona

Departament de Justícia. Generalitat de Catalunya.
Departament de Justícia. Generalitat de Catalunya.

VI Jornada de juristes de centres penitenciaris. Barcelona, 25 d'octubre de 2011

Formation
1  sur  48
Télécharger pour lire hors ligne
Protecció de dades personals en l’execució penal Departament de Justícia Barcelona, octubre de 2011
Organització de la seguretat de la informació • Política de seguretat definida per la direcció i un Document de seguretat que l’especifica. • Responsables de fitxers a nivell d’unitat orgànica (secretari i director general). • Responsable de Seguretat únic per als tres àmbits (general, execució penal i judicial). • Referents de Seguretat a nivell d’unitat orgànica. • Responsables en àmbits específics (TIC, seguretat física i instal·lacions, desenvolupament normatiu...).
Els fitxers de dades • Conjunts de tractaments en qualsevol suport amb una finalitat definida i una coherència que permet agrupar-lo en fitxers lògics. • Cal que es declarin prèviament al seu funcionament. Això persegueix assolir una funció de control previ i una correcta informació per als tercers. • Cada fitxer té el seu responsable, normalment un secretari o director general. • Hi ha fitxers que són emprats per treballadors que no es troben dins de la unitat del responsable del fitxer (personal, gestió econòmica, logística, suport TIC...).
Els fitxers de l’execució penal • Població reclusa als centres penitenciaris de Catalunya (Alt) • Personal dels centres penitenciaris (Mitjà) • Gestió de professionals, voluntaris, visitants i altre personal relacionat amb l'entorn penitenciari (Bàsic) • Gestió de certificats per a l'obtenció d'ajuts i prestacions (Mitjà) • Expedients de suport i assistència jurídica en l'execució penal (Alt) • Expedients d'inspecció de serveis penitenciaris (Mitjà) • Atenció a la víctima (Alt) • Menors sota la custòdia del Departament (Alt) • Gestió de mesures penals alternatives (Alt)
El fitxer de població reclusa Finalitat i usos previstos La finalitat del fitxer és la gestió integral de la població reclusa de Catalunya en relació amb la política global penitenciària i de rehabilitació. Els usos previstos són la gestió penitenciària i dels centres, l'execució de les penes de privació de llibertat, les actuacions administratives, policials i judicials relacionades i l'adopció de les mesures que afavoreixin la reinserció social de les persones condemnades. També és preveu la tramitació d'indults i l'elaboració d'estadística interna i pública sobre els serveis penitenciaris.
El fitxer de població reclusa Persones i col·lectius afectats o obligats a subministrar les dades Població reclusa en centres penitenciaris de Catalunya i el seu entorn sociofamiliar. Procediment de recollida de les dades Les dades s’obtenen d’entrevistes, transmissions electròniques, comunicacions de tercers i de les observacions i valoracions recollides en l'expedient. Procedència de les dades De la mateixa persona interessada, des de registres públics, altres administracions, comunicacions de la família de la persona interessada i dels professionals de l’execució penal.
El fitxer de població reclusa Estructura bàsica del fitxer i tipus de dades de caràcter personal Dades identificatives: DNI/NIF/NIE i codis d'identificació penitenciària, nom i cognoms, telèfon, dades biomètriques (signatura i empremtes, imatge i veu), número d'afiliació a la Seguretat Social o mutualitat, adreça postal i electrònica. Dades de característiques personals: estat civil, dades familiars, lloc i data de naixement, sexe, edat i nacionalitat, característiques físiques i llengua materna. Dades de circumstàncies socials: allotjament o habitatge, propietats i possessions, clubs i associacions, situació militar i aficions i estils de vida. Dades acadèmiques i professionals: formació i titulacions, experiència professional i historial acadèmic. Dades d’ocupació laboral: llocs de treball i historial laboral. Dades d'informació comercial: activitats i negocis i creacions artístiques.
El fitxer de població reclusa Estructura bàsica del fitxer i tipus de dades de caràcter personal Dades economicofinanceres i d'assegurances: ingressos i rendes, inversions i patrimoni, nòmines, hipoteques, subsidis i beneficis, dades bancàries i plans de pensió. Dades psicològiques, criminològiques, psicopedagògiques i psicosocials necessàries per avaluar el subjecte en relació a la seva activitat delictiva, programar el tractament adequat per a la seva reeducació i reinserció social, realitzar el necessari pronòstic de reinserció i possibilitar l’avaluació continua en relació a la presa de decisions sobre el procés de compliment de la pena o mesura. Dades especialment protegides necessàries per definir i gestionar el tractament de l'intern dins del centre i per a l'execució de les mesures de rehabilitació i inserció: ideologia, religió, creences, vida sexual, origen racial o ètnic. Dades relatives a la comissió d’infraccions penals o administratives: delictes i faltes, infraccions i sancions administratives.
El fitxer de població reclusa Sistema de tractament Parcialment automatitzat Cessions de dades Als òrgans judicials, al Ministeri Fiscal, als representants consulars (si hi ha consentiment exprés de l'intern), al Ministeri d'Interior, les forces i cossos de seguretat i el Síndic de Greuges. De conformitat amb la Llei orgànica 1/1979, de 26 de setembre, general penitenciària, el Reial decret 190/1996, de 9 de febrer, pel qual s'aprova el Reglament penitenciari, i altra normativa de desplegament reglamentari, la Llei orgànica 2/1986, de 13 de març, de cossos i forces de seguretat, i l'article 11.2.d) de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal. Al Centre d’Estudis Jurídics i Formació Especialitzada, en relació amb allò establert a l’article 3 de la Llei 18/1990, de 15 de novembre.
El fitxer de població reclusa Transferències internacionals No es preveuen transferències de dades a tercers països. Òrgan administratiu responsable Direcció General de Serveis Penitenciaris Nivell de mesures de seguretat Alt
Les mesures de seguretat • Els responsables dels tractaments o els fitxers i els encarregats del tractament han d’implantar les mesures de seguretat d’acord amb el RLOPD • Les mesures de seguretat exigibles als fitxers i tractaments es classifiquen en tres nivells: bàsic, mitjà i alt. • Tots els fitxers o tractaments de dades de caràcter personal han d’adoptar les mesures de seguretat qualificades de nivell bàsic.
Aplicació dels nivells de seguretat • S’han d’implantar, a més de les mesures de nivell bàsic, les mesures de nivell mitjà, en els següents fitxers o tractaments: • Comissió d’infraccions administratives o penals. • Els que continguin un conjunt de dades de caràcter personal que ofereixin una definició de les característiques o de la personalitat dels ciutadans i que permetin avaluar determinats aspectes de la seva personalitat o comportament.
Aplicació dels nivells de seguretat (II) • A més de les mesures de nivell bàsic i mitjà, les mesures de nivell alt s’han d’aplicar en els següents fitxers o tractaments: • Els que es refereixin a dades d’ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual. • Els que continguin o es refereixin a dades obtingudes per a fins policials sense consentiment de les persones afectades. • Els que continguin dades derivades d’actes de violència de gènere
Accés a través de xarxes • Les mesures de seguretat exigibles als accessos a dades de caràcter personal a través de xarxes de comunicacions, siguin públiques o no, han de garantir un nivell de seguretat equivalent al corresponent als accessos en mode local i adients a l’establert al Document de Seguretat i al RLOPD.
Treball fora dels locals • Quan les dades personals s’emmagatzemin en dispositius portàtils o es tractin fora dels locals del responsable de fitxer o tractament, o de l’encarregat del tractament, és necessari que hi hagi una autorització prèvia del responsable del fitxer o tractament, i en tot cas s’ha de garantir el nivell de seguretat corresponent al tipus de fitxer tractat • L’autorització ha de constar en el document de seguretat i es pot establir per a un usuari o per a un perfil d’usuaris i se n’ha de determinar un període de validesa.
Fitxers temporals i còpies • Els fitxers temporals o còpies de documents que s’han creat exclusivament per a la realització de treballs temporals o auxiliars han de complir el nivell de seguretat que els correspongui conforme als criteris establerts al RLOPD. • Qualsevol fitxer temporal o còpia de treball creat així s’ha d’esborrar o destruir una vegada deixi de ser necessari per als fins que van motivar la seva creació.
El document de seguretat • El responsable del fitxer o tractament ha d’elaborar un document de seguretat que reculli les mesures d’índole tècnica i organitzativa conformes amb la normativa de seguretat vigent que és de compliment obligat per al personal amb accés als sistemes d’informació. • El document de seguretat pot ser únic i ha d’incloure tots els fitxers o tractaments, o bé individualitzat per a cada fitxer o tractament. També es poden elaborar diferents documents de seguretat agrupant fitxers o tractaments segons el sistema de tractament utilitzat per a la seva organització, o bé atenent criteris organitzatius del responsable. • En tot cas té el caràcter de document intern de l’organització.
Normatives addicionals • El Document de Seguretat incorpora les següents normatives específiques: • Instrucció 1/2006, de 15 de maig, de la Secretaria General de Justícia, sobre el protocol de destrucció de documentació amb dades de caràcter personal en suport paper • Instrucció 1/2009, de 9 de març, de la Secretaria General de Justícia, sobre els protocols de videovigilància del Departament de Justícia • Circular 1/2010, de la Secretaria de Serveis Penitenciaris, Rehabilitació i Justícia Juvenil, sobre el dret d'informació previst a la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal • Circular 2/2010, de la Secretaria de Serveis Penitenciaris, Rehabilitació i Justícia Juvenil, d’adaptació als centres d’execució penal del Protocol de videovigilància del Departament de Justícia, aprovat per la Instrucció 1/2009
Mesures Nivell Bàsic (automatitzats) • Funcions i obligacions del personal: documentades al DdS i difoses entre el personal • Registre d’incidències: procediment de notificació i gestió i registre • Control d’accés: accés pertinent, relació de perfils i protecció • Gestió de suports i documents: identificació, inventari i accessibilitat. Sortida • Identificació i autenticació: inequívoca i personalitzada • Còpies de seguretat i recuperació
Funcions i obligacions del personal • Les funcions i obligacions de cadascun dels usuaris o perfils d’usuaris amb accés a les dades de caràcter personal i als sistemes d’informació han d’estar clarament definides i documentades en el document de seguretat. • El responsable del fitxer o tractament ha d’adoptar les mesures necessàries perquè el personal conegui d’una forma comprensible les normes de seguretat que afectin l’exercici de les seves funcions així com les conseqüències en què pugui incórrer en cas d’incompliment.
Registre d’incidències • Hi ha d’haver un procediment de notificació i gestió de les incidències que afectin les dades de caràcter personal i s’ha d’establir un registre en què es faci constar el tipus d’incidència, el moment en què s’ha produït, o si s’escau, detectat, la persona que fa la notificació, a qui se li comunica, els efectes que se’n deriven i les mesures correctores aplicades.
Control d’accés • Els usuaris han de tenir accés només als recursos que necessitin per a l’exercici de les seves funcions. • El responsable del fitxer s’ha d’encarregar que hi hagi una relació actualitzada d’usuaris i perfils d’usuaris, i els accessos autoritzats per a cadascun d’ells. • El responsable del fitxer ha d’establir mecanismes per evitar que un usuari pugui accedir a recursos amb drets diferents dels autoritzats.
Gestió de suports i documents • Els suports i documents que continguin dades de caràcter personal han de permetre identificar el tipus d’informació que contenen, han de ser inventariats i només hi ha de poder accedir el personal autoritzat per fer-ho en el document de seguretat. • La sortida de suports i documents que continguin dades de caràcter personal, inclosos els compresos i/o annexos a un correu electrònic, fora dels locals sota el control del responsable del fitxer o tractament, l’ha d’autoritzar el responsable del fitxer o ha d’estar degudament autoritzada en el document de seguretat.
Gestió de suports i documents (II) • En el trasllat de la documentació s’han d’adoptar les mesures dirigides a evitar la sostracció o pèrdua de la informació o l’accés indegut a aquesta durant el seu transport. • Sempre que s’hagi de rebutjar qualsevol document o suport que contingui dades de caràcter personal, s’ha de destruir o esborrar mitjançant l’adopció de mesures dirigides a evitar l’accés a la informació que conté o la seva recuperació posterior.
Identificació i autenticació • El responsable del fitxer o tractament ha d’adoptar les mesures que garanteixin la correcta identificació i autenticació dels usuaris. • El responsable del fitxer o tractament ha d’establir un mecanisme que permeti la identificació de forma inequívoca i personalitzada de qualsevol usuari que intenti accedir al sistema d’informació i la verificació conforme està autoritzat. • Quan el mecanisme d’autenticació es basi en l’existència de contrasenyes, hi ha d’haver un procediment d’assignació, distribució i emmagatzematge que en garanteixi la confidencialitat i integritat.
Còpies de seguretat i recuperació • S’han d’establir procediments d’actuació per fer, com a mínim setmanalment, còpies de seguretat, tret que en el període esmentat no s’hagi produït cap actualització de les dades. • Així mateix, s’han d’establir procediments per a la recuperació de les dades que garanteixin en tot moment la reconstrucció a l’estat en què estaven en el moment de produir-se la pèrdua o destrucció.
Mesures Nivell Mitjà (automatitzats) • Responsable de seguretat • Auditoria: interna o externa. Cada 2 anys mínim • Gestió de suports i documents: registre d’entrada i de sortida • Identificació i autenticació: límit d’intents d’accessos no autoritzats • Control d’accés físic: accés exclusiu personal autoritzat al DdS • Registre d’incidències: recuperacions de dades
Responsable de seguretat • En el document de seguretat s’han d’assignar un o diversos responsables de seguretat encarregats de coordinar i controlar les mesures que hi estan definides. • En cap cas aquesta designació suposa una exoneració de la responsabilitat que correspon al responsable del fitxer o a l’encarregat del tractament.
Auditoria • A partir del nivell mitjà, els sistemes d’informació i instal·lacions de tractament i emmagatzematge de dades s’han de sotmetre, almenys cada dos anys, a una auditoria interna o externa que verifiqui el compliment legal. • Els informes d’auditoria els ha d’analitzar el responsable de seguretat competent, que n’ha d’elevar les conclusions al responsable del fitxer o tractament perquè adopti les mesures correctores adequades, i han de quedar a disposició de les autoritats de control.
Gestió de suports i documents • S’ha d’establir un sistema de registre d’entrada de suports que permeti, directament o indirectament, conèixer el tipus de document o suport, la data i hora, l’emissor, el nombre de documents o suports inclosos en l’enviament, el tipus d’informació que contenen, la forma d’enviament i la persona responsable de la recepció, que ha d’estar degudament autoritzada. • Igualment s’ha de disposar d’un sistema de registre de sortida de suports que permeti, directament o indirectament, conèixer el tipus de document o suport, la data i hora, el destinatari, el nombre de documents o suports inclosos en l’enviament, el tipus d’informació que contenen, la forma d’enviament i la persona responsable del lliurament, que ha d’estar degudament autoritzada.
Identificació i autenticació • El responsable del fitxer o tractament ha d’establir un mecanisme que limiti la possibilitat d’intentar reiteradament l’accés no autoritzat al sistema d’informació.
Control d’accés físic • Exclusivament el personal autoritzat en el document de seguretat pot tenir accés als llocs on estiguin instal·lats els equips físics que donin suport als sistemes d’informació.
Registre d’incidències • Cal consignar, a més dels continguts bàsics, els procediments de recuperació de les dades realitzats. • És necessària l’autorització del responsable del fitxer per a l’execució dels procediments de recuperació de les dades.
Mesures Nivell Alt (automatitzats) • Gestió i distribució de suports: etiquetatge tècnic, xifratge en distribució/portàtil • Còpies de seguretat i recuperació: fora dels locals on estan els equips • Registre d’accessos: logs d’accessos durant 2 anys • Telecomunicacions: xifratge o mecanisme segur anàleg
Gestió i distribució de suports • La identificació dels suports s’ha de realitzar utilitzant sistemes d’etiquetatge comprensibles i amb significat, que permetin als usuaris amb accés autoritzat als suports i documents esmentats identificar el seu contingut, i que dificultin la identificació per a la resta de persones. • La distribució dels suports que continguin dades de caràcter personal s’ha de fer xifrant les dades esmentades o bé utilitzant un altre mecanisme que garanteixi que la dita informació no sigui accessible o manipulada durant el seu transport. • S’han de xifrar les dades que continguin els dispositius portàtils quan aquests dispositius estiguin fora de les instal·lacions que estan sota el control del responsable del fitxer. • S’ha d’evitar el tractament de dades de caràcter personal en dispositius portàtils que no permetin el xifratge.
Còpies de seguretat i recuperació • S’ha de conservar una còpia de seguretat de les dades i dels procediments de recuperació d’aquestes dades en un lloc diferent d’aquell en què estiguin els equips informàtics que els tracten, que ha de complir en tot cas les mesures de seguretat exigides, o utilitzant elements que garanteixin la integritat i recuperació de la informació, de forma que sigui possible la seva recuperació.
Registre d’accessos • De cada intent d’accés s’han de guardar, com a mínim, la identificació de l’usuari, la data i hora en què es va realitzar, el fitxer a què s’ha accedit, el tipus d’accés i si ha estat autoritzat o denegat. • En cas que l’accés hagi estat autoritzat, és necessari guardar la informació que permeti identificar el registre a què s’ha accedit. • Els mecanismes que permeten el registre d’accessos han d’estar sota el control directe del responsable de seguretat competent sense que permetin la seva desactivació ni manipulació. • El període mínim de conservació de les dades registrades és de dos anys.
Telecomunicacions • Quan s’hagin d’implantar les mesures de seguretat de nivell alt, la transmissió de dades de caràcter personal a través de xarxes públiques o xarxes sense fil de comunicacions electròniques s’ha de fer xifrant les dades esmentades o bé utilitzant qualsevol altre mecanisme que garanteixi que la informació no sigui intel·ligible ni manipulada per tercers.
Mesures comunes per fitxers no automatitzats NIVELL BÀSIC • Funcions i obligacions del personal • Registre d’incidències • Control d’accés • Gestió de suports i documents NIVELL MITJÀ • Responsable de seguretat • Auditoria
Mesures Nivell Bàsic (no automatitzats) • Criteris d’arxiu: segons normativa específica. Conservació, localització, consulta i exercici de drets • Dispositius d’emmagatzemament: mecanisme d’obstaculització d’apertura o mesures de no accés • Custòdia dels suports: treballador està al seu càrrec quan fora d’arxiu
Criteris d’arxivament • L’arxivament dels suports o documents s’ha de fer d’acord amb els criteris que preveu la seva respectiva legislació. • Aquests criteris han de garantir la correcta conservació dels documents, la localització i consulta de la informació i han de possibilitar l’exercici dels drets d’oposició al tractament, accés, rectificació i cancel·lació.
Dispositius d’emmagatzematge • Els dispositius d’emmagatzematge dels documents que continguin dades de caràcter personal han de disposar de mecanismes que n’obstaculitzin l’obertura. • Quan les característiques físiques d’aquests no permetin adoptar aquesta mesura, el responsable del fitxer o tractament ha d’adoptar mesures que impedeixin que hi puguin accedir persones no autoritzades.
Custòdia dels suports • Mentre la documentació amb dades de caràcter personal no estigui arxivada en els dispositius d’emmagatzematge que estableix l’article anterior, pel fet d’estar en procés de revisió o tramitació, ja sigui prèviament o posteriorment al seu arxivament, la persona que se n’encarregui l’ha de custodiar i impedir en tot moment que hi pugui accedir una persona no autoritzada.
Mesures Nivell Alt (no automatitzats) • Emmagatzemament de la informació: en zones tancades amb clau, permanentment • Còpia o reproducció: sota control del personal autoritzat. Destrucció de còpies i reproduccions descartades • Accés a la documentació: exclusiu al personal autoritzat. Registre d’accessos si hi ha múltiples usuaris • Trasllat de la documentació: mesures per impedir accés o manipulació
Emmagatzematge de la informació • Els armaris, arxivadors o altres elements en què s’emmagatzemin els fitxers no automatitzats amb dades de caràcter personal han d’estar en àrees en què l’accés estigui protegit amb portes d’accés dotades de sistemes d’obertura mitjançant una clau o un altre dispositiu equivalent. Aquestes àrees s’han de mantenir tancades quan no sigui necessari l’accés als documents inclosos en el fitxer. • Si, ateses les característiques dels locals de què disposa el responsable del fitxer o tractament, no és possible complir el que estableix l’apartat anterior, el responsable ha d’adoptar mesures alternatives que, degudament motivades, s’han d’incloure en el document de seguretat.
Còpia o reproducció • La generació de còpies o la reproducció dels documents únicament pot ser realitzada sota el control del personal autoritzat en el document de seguretat. • S’ha de procedir a la destrucció de les còpies o reproduccions rebutjades de manera que s’eviti l’accés a la informació que contenen o la seva recuperació posterior.
Accés a la documentació • L’accés a la documentació s’ha de limitar exclusivament al personal autoritzat. • S’han d’establir mecanismes que permetin identificar els accessos realitzats en el cas de documents que puguin ser utilitzats per múltiples usuaris.
Trasllat de documentació • Sempre que es procedeixi al trasllat físic de la documentació que conté un fitxer, s’han d’adoptar mesures dirigides a impedir l’accés a la informació objecte de trasllat o la seva manipulació.

Recommandé

[Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dades
[Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dades[Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dades
[Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dadesCentre de Recursos per a Associacions Juvenils
 
Auxiliars Ajuntament Girona - Tema 22
Auxiliars Ajuntament Girona - Tema 22Auxiliars Ajuntament Girona - Tema 22
Auxiliars Ajuntament Girona - Tema 22Bernat Costas
 
Protecció de dades de carácter personal
Protecció de dades de carácter personalProtecció de dades de carácter personal
Protecció de dades de carácter personalLaura GC
 
Presentació Introducció a la LOPD
Presentació Introducció a la LOPD Presentació Introducció a la LOPD
Presentació Introducció a la LOPD Empresa i Emprenedoria Granollers
 
Ron Mueck Esculto Real
Ron Mueck Esculto RealRon Mueck Esculto Real
Ron Mueck Esculto RealV Sanchez
 
Bon nadal!!! ^^
Bon nadal!!! ^^Bon nadal!!! ^^
Bon nadal!!! ^^sar3ta
 
Sabías que? de ClockDali
Sabías que? de ClockDaliSabías que? de ClockDali
Sabías que? de ClockDaliclockdali
 
Planetas Iván
Planetas IvánPlanetas Iván
Planetas Iványull71
 

Recommandé

[Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dades
[Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dades[Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dades
[Cicle legal, fiscal i comptable 2010] Complir amb la llei de protecció de dadesCentre de Recursos per a Associacions Juvenils
 
Auxiliars Ajuntament Girona - Tema 22
Auxiliars Ajuntament Girona - Tema 22Auxiliars Ajuntament Girona - Tema 22
Auxiliars Ajuntament Girona - Tema 22Bernat Costas
 
Protecció de dades de carácter personal
Protecció de dades de carácter personalProtecció de dades de carácter personal
Protecció de dades de carácter personalLaura GC
 
Presentació Introducció a la LOPD
Presentació Introducció a la LOPD Presentació Introducció a la LOPD
Presentació Introducció a la LOPD Empresa i Emprenedoria Granollers
 
Ron Mueck Esculto Real
Ron Mueck Esculto RealRon Mueck Esculto Real
Ron Mueck Esculto RealV Sanchez
 
Bon nadal!!! ^^
Bon nadal!!! ^^Bon nadal!!! ^^
Bon nadal!!! ^^sar3ta
 
Sabías que? de ClockDali
Sabías que? de ClockDaliSabías que? de ClockDali
Sabías que? de ClockDaliclockdali
 
Planetas Iván
Planetas IvánPlanetas Iván
Planetas Iványull71
 
Arriba Venezuela!
Arriba Venezuela!Arriba Venezuela!
Arriba Venezuela!gerdix
 
trabajos
trabajostrabajos
trabajosestrella
 
Luto hebreo
Luto hebreoLuto hebreo
Luto hebreonelibri
 
Avaluacio de la sessio
Avaluacio de la sessioAvaluacio de la sessio
Avaluacio de la sessioCarmina Pinya i Salomó
 
origamidesde la estetica occidental
origamidesde la estetica occidentalorigamidesde la estetica occidental
origamidesde la estetica occidentalCOKY -------------------------------------
 
Eduvlogs Jute
Eduvlogs JuteEduvlogs Jute
Eduvlogs JuteGorka J Palacio Arko
 
Investiguemos sobre Domòtica
Investiguemos sobre DomòticaInvestiguemos sobre Domòtica
Investiguemos sobre Domòticaveronica5700ar
 
Tiempo
TiempoTiempo
Tiempoakira
 
Itinerari Les Santes. Paz, Bea, Lidón
Itinerari Les Santes. Paz, Bea, LidónItinerari Les Santes. Paz, Bea, Lidón
Itinerari Les Santes. Paz, Bea, Lidónsmestref
 
Tournoi des Talents des Lagunes - Ivoire Académie (2015)
Tournoi des Talents des Lagunes - Ivoire Académie (2015)Tournoi des Talents des Lagunes - Ivoire Académie (2015)
Tournoi des Talents des Lagunes - Ivoire Académie (2015)Ivoire Académie
 
Pratique de la programmation en go
Pratique de la programmation en goPratique de la programmation en go
Pratique de la programmation en gokader15
 
La Casa del Terror
La Casa del TerrorLa Casa del Terror
La Casa del Terrorlolabielsa
 
El procés de desistiment de les persones empresonades
El procés de desistiment de les persones empresonadesEl procés de desistiment de les persones empresonades
El procés de desistiment de les persones empresonadesDepartament de Justícia. Generalitat de Catalunya.
 
Tiddlywiki Es 35
Tiddlywiki Es 35Tiddlywiki Es 35
Tiddlywiki Es 35Gorka J Palacio Arko
 
La alegria es necesaria
La alegria es necesariaLa alegria es necesaria
La alegria es necesariaV Sanchez
 
aprende a conectar una pc por walter
aprende a conectar una pc por walteraprende a conectar una pc por walter
aprende a conectar una pc por walterulin
 
Livrets de recettes 1
Livrets de recettes 1Livrets de recettes 1
Livrets de recettes 1MALKOUN Bassem
 
eee 28
eee 28eee 28
eee 28noraznar
 
Avaluació de les condicions de treball dels tècnics de medi obert. Joaquim Se...
Avaluació de les condicions de treball dels tècnics de medi obert. Joaquim Se...Avaluació de les condicions de treball dels tècnics de medi obert. Joaquim Se...
Avaluació de les condicions de treball dels tècnics de medi obert. Joaquim Se...Departament de Justícia. Generalitat de Catalunya.
 
Importancia de los medios sociales digitales para el turista extranjero de ne...
Importancia de los medios sociales digitales para el turista extranjero de ne...Importancia de los medios sociales digitales para el turista extranjero de ne...
Importancia de los medios sociales digitales para el turista extranjero de ne...Alvaro Cuellar Lira
 
Llei de Protecció de dades de caràcter personal (LOPD)
Llei de Protecció de dades de caràcter personal (LOPD)Llei de Protecció de dades de caràcter personal (LOPD)
Llei de Protecció de dades de caràcter personal (LOPD)Xavier Sala Pujolar
 
Protecció de dades. Miguel Hernández
Protecció de dades. Miguel HernándezProtecció de dades. Miguel Hernández
Protecció de dades. Miguel HernándezDepartament de Justícia. Generalitat de Catalunya.
 

Contenu connexe

En vedette

Arriba Venezuela!
Arriba Venezuela!Arriba Venezuela!
Arriba Venezuela!gerdix
 
Luto hebreo
Luto hebreoLuto hebreo
Luto hebreonelibri
 
Investiguemos sobre Domòtica
Investiguemos sobre DomòticaInvestiguemos sobre Domòtica
Investiguemos sobre Domòticaveronica5700ar
 
Tiempo
TiempoTiempo
Tiempoakira
 
Itinerari Les Santes. Paz, Bea, Lidón
Itinerari Les Santes. Paz, Bea, LidónItinerari Les Santes. Paz, Bea, Lidón
Itinerari Les Santes. Paz, Bea, Lidónsmestref
 
Tournoi des Talents des Lagunes - Ivoire Académie (2015)
Tournoi des Talents des Lagunes - Ivoire Académie (2015)Tournoi des Talents des Lagunes - Ivoire Académie (2015)
Tournoi des Talents des Lagunes - Ivoire Académie (2015)Ivoire Académie
 
Pratique de la programmation en go
Pratique de la programmation en goPratique de la programmation en go
Pratique de la programmation en gokader15
 
La Casa del Terror
La Casa del TerrorLa Casa del Terror
La Casa del Terrorlolabielsa
 
La alegria es necesaria
La alegria es necesariaLa alegria es necesaria
La alegria es necesariaV Sanchez
 
aprende a conectar una pc por walter
aprende a conectar una pc por walteraprende a conectar una pc por walter
aprende a conectar una pc por walterulin
 
Importancia de los medios sociales digitales para el turista extranjero de ne...
Importancia de los medios sociales digitales para el turista extranjero de ne...Importancia de los medios sociales digitales para el turista extranjero de ne...
Importancia de los medios sociales digitales para el turista extranjero de ne...Alvaro Cuellar Lira
 

En vedette (20)

Arriba Venezuela!
Arriba Venezuela!Arriba Venezuela!
Arriba Venezuela!
 
trabajos
trabajostrabajos
trabajos
 
Luto hebreo
Luto hebreoLuto hebreo
Luto hebreo
 
Avaluacio de la sessio
Avaluacio de la sessioAvaluacio de la sessio
Avaluacio de la sessio
 
origamidesde la estetica occidental
origamidesde la estetica occidentalorigamidesde la estetica occidental
origamidesde la estetica occidental
 
Eduvlogs Jute
Eduvlogs JuteEduvlogs Jute
Eduvlogs Jute
 
Investiguemos sobre Domòtica
Investiguemos sobre DomòticaInvestiguemos sobre Domòtica
Investiguemos sobre Domòtica
 
Tiempo
TiempoTiempo
Tiempo
 
Itinerari Les Santes. Paz, Bea, Lidón
Itinerari Les Santes. Paz, Bea, LidónItinerari Les Santes. Paz, Bea, Lidón
Itinerari Les Santes. Paz, Bea, Lidón
 
Tournoi des Talents des Lagunes - Ivoire Académie (2015)
Tournoi des Talents des Lagunes - Ivoire Académie (2015)Tournoi des Talents des Lagunes - Ivoire Académie (2015)
Tournoi des Talents des Lagunes - Ivoire Académie (2015)
 
Pratique de la programmation en go
Pratique de la programmation en goPratique de la programmation en go
Pratique de la programmation en go
 
La Casa del Terror
La Casa del TerrorLa Casa del Terror
La Casa del Terror
 
El procés de desistiment de les persones empresonades
El procés de desistiment de les persones empresonadesEl procés de desistiment de les persones empresonades
El procés de desistiment de les persones empresonades
 
Tiddlywiki Es 35
Tiddlywiki Es 35Tiddlywiki Es 35
Tiddlywiki Es 35
 
La alegria es necesaria
La alegria es necesariaLa alegria es necesaria
La alegria es necesaria
 
aprende a conectar una pc por walter
aprende a conectar una pc por walteraprende a conectar una pc por walter
aprende a conectar una pc por walter
 
Livrets de recettes 1
Livrets de recettes 1Livrets de recettes 1
Livrets de recettes 1
 
eee 28
eee 28eee 28
eee 28
 
Avaluació de les condicions de treball dels tècnics de medi obert. Joaquim Se...
Avaluació de les condicions de treball dels tècnics de medi obert. Joaquim Se...Avaluació de les condicions de treball dels tècnics de medi obert. Joaquim Se...
Avaluació de les condicions de treball dels tècnics de medi obert. Joaquim Se...
 
Importancia de los medios sociales digitales para el turista extranjero de ne...
Importancia de los medios sociales digitales para el turista extranjero de ne...Importancia de los medios sociales digitales para el turista extranjero de ne...
Importancia de los medios sociales digitales para el turista extranjero de ne...
 

Similaire à Protecció de dades personals en l'execució penal. Ismael Carmona

Llei de Protecció de dades de caràcter personal (LOPD)
Llei de Protecció de dades de caràcter personal (LOPD)Llei de Protecció de dades de caràcter personal (LOPD)
Llei de Protecció de dades de caràcter personal (LOPD)Xavier Sala Pujolar
 
El Document De Seguretat
El Document De SeguretatEl Document De Seguretat
El Document De Seguretatjoanbajb
 
3a. sessió Curs d'Obligacions legals
3a. sessió Curs d'Obligacions legals3a. sessió Curs d'Obligacions legals
3a. sessió Curs d'Obligacions legalsSuportAssociatiu
 
ARSO (P1): Informatica forense - Informe
ARSO (P1): Informatica forense - InformeARSO (P1): Informatica forense - Informe
ARSO (P1): Informatica forense - InformeAurora Lara Marin
 
RGPD - La nova llei de protecció de dades
RGPD - La nova llei de protecció de dadesRGPD - La nova llei de protecció de dades
RGPD - La nova llei de protecció de dadesTICAnoia
 
Criteris cerca projecte
Criteris cerca projecteCriteris cerca projecte
Criteris cerca projecteDanna Isabella
 
com es protegeixen les nostres dades a la xarxa
com es protegeixen les nostres dades a la xarxacom es protegeixen les nostres dades a la xarxa
com es protegeixen les nostres dades a la xarxaElsguardiansdelesTICS
 
Protecció de Dades - Taula d'entitats del Tercer Sector
Protecció de Dades - Taula d'entitats del Tercer SectorProtecció de Dades - Taula d'entitats del Tercer Sector
Protecció de Dades - Taula d'entitats del Tercer Sectorm4Social
 

Similaire à Protecció de dades personals en l'execució penal. Ismael Carmona (13)

Llei de Protecció de dades de caràcter personal (LOPD)
Llei de Protecció de dades de caràcter personal (LOPD)Llei de Protecció de dades de caràcter personal (LOPD)
Llei de Protecció de dades de caràcter personal (LOPD)
 
Protecció de dades. Miguel Hernández
Protecció de dades. Miguel HernándezProtecció de dades. Miguel Hernández
Protecció de dades. Miguel Hernández
 
El Document De Seguretat
El Document De SeguretatEl Document De Seguretat
El Document De Seguretat
 
3a. sessió Curs d'Obligacions legals
3a. sessió Curs d'Obligacions legals3a. sessió Curs d'Obligacions legals
3a. sessió Curs d'Obligacions legals
 
ARSO (P1): Informatica forense - Informe
ARSO (P1): Informatica forense - InformeARSO (P1): Informatica forense - Informe
ARSO (P1): Informatica forense - Informe
 
RGPD - La nova llei de protecció de dades
RGPD - La nova llei de protecció de dadesRGPD - La nova llei de protecció de dades
RGPD - La nova llei de protecció de dades
 
Como se hace un cuadro de seguridad y acceso
Como se hace un cuadro de seguridad y accesoComo se hace un cuadro de seguridad y acceso
Como se hace un cuadro de seguridad y acceso
 
Criteris cerca projecte
Criteris cerca projecteCriteris cerca projecte
Criteris cerca projecte
 
JornadesTAC
JornadesTACJornadesTAC
JornadesTAC
 
com es protegeixen les nostres dades a la xarxa
com es protegeixen les nostres dades a la xarxacom es protegeixen les nostres dades a la xarxa
com es protegeixen les nostres dades a la xarxa
 
Protecció de Dades - Taula d'entitats del Tercer Sector
Protecció de Dades - Taula d'entitats del Tercer SectorProtecció de Dades - Taula d'entitats del Tercer Sector
Protecció de Dades - Taula d'entitats del Tercer Sector
 
Respostes a les preguntes sobre LOPD-GDD
Respostes a les preguntes sobre LOPD-GDDRespostes a les preguntes sobre LOPD-GDD
Respostes a les preguntes sobre LOPD-GDD
 
L'Anàlisi Diplomàtica
L'Anàlisi DiplomàticaL'Anàlisi Diplomàtica
L'Anàlisi Diplomàtica
 

Plus de Departament de Justícia. Generalitat de Catalunya.

Plus de Departament de Justícia. Generalitat de Catalunya. (20)

Recerca "La intervenció en situacions de comportaments per odi i discriminaci...
Recerca "La intervenció en situacions de comportaments per odi i discriminaci...Recerca "La intervenció en situacions de comportaments per odi i discriminaci...
Recerca "La intervenció en situacions de comportaments per odi i discriminaci...
 
Recerca "Els grups urbans violents i els delictes d'odi" (29.05.18)
Recerca "Els grups urbans violents i els delictes d'odi" (29.05.18)Recerca "Els grups urbans violents i els delictes d'odi" (29.05.18)
Recerca "Els grups urbans violents i els delictes d'odi" (29.05.18)
 
Sessió d'investigació: "Innovació en l'abordatge de les violències" (24.04.18)
Sessió d'investigació: "Innovació en l'abordatge de les violències" (24.04.18)Sessió d'investigació: "Innovació en l'abordatge de les violències" (24.04.18)
Sessió d'investigació: "Innovació en l'abordatge de les violències" (24.04.18)
 
VIII Jornada de Criminologia. Elaboració d’una guia per a treballadors socia...
VIII Jornada de Criminologia. Elaboració d’una guia per a treballadors socia...VIII Jornada de Criminologia. Elaboració d’una guia per a treballadors socia...
VIII Jornada de Criminologia. Elaboració d’una guia per a treballadors socia...
 
VIII Jornada de Criminologia. El lobo solitario y herramientas de evaluación ...
VIII Jornada de Criminologia. El lobo solitario y herramientas de evaluación ...VIII Jornada de Criminologia. El lobo solitario y herramientas de evaluación ...
VIII Jornada de Criminologia. El lobo solitario y herramientas de evaluación ...
 
VIII Jornada de Criminologia. Análisis del terrorismo de base religiosa desde...
VIII Jornada de Criminologia. Análisis del terrorismo de base religiosa desde...VIII Jornada de Criminologia. Análisis del terrorismo de base religiosa desde...
VIII Jornada de Criminologia. Análisis del terrorismo de base religiosa desde...
 
VIII Jornada de Criminologia. La actual movilización yihadista desde una per...
VIII Jornada de Criminologia. La actual movilización yihadista desde una per...VIII Jornada de Criminologia. La actual movilización yihadista desde una per...
VIII Jornada de Criminologia. La actual movilización yihadista desde una per...
 
VIII Jornada de Criminologia. Los mecanismos psicosociales para los procesos ...
VIII Jornada de Criminologia. Los mecanismos psicosociales para los procesos ...VIII Jornada de Criminologia. Los mecanismos psicosociales para los procesos ...
VIII Jornada de Criminologia. Los mecanismos psicosociales para los procesos ...
 
VIII Jornada de Criminologia. La prevenció de la radicalització en l’àmbit d...
VIII Jornada de Criminologia. La prevenció de la radicalització en l’àmbit d...VIII Jornada de Criminologia. La prevenció de la radicalització en l’àmbit d...
VIII Jornada de Criminologia. La prevenció de la radicalització en l’àmbit d...
 
VIII Jornada de Criminologia. Pla Local de Prevenció de la Radicalització Vio...
VIII Jornada de Criminologia. Pla Local de Prevenció de la Radicalització Vio...VIII Jornada de Criminologia. Pla Local de Prevenció de la Radicalització Vio...
VIII Jornada de Criminologia. Pla Local de Prevenció de la Radicalització Vio...
 
VIII Jornada de Criminologia. Prevención de la radicalización desde Europa. ...
VIII Jornada de Criminologia. Prevención de la radicalización desde Europa. ...VIII Jornada de Criminologia. Prevención de la radicalización desde Europa. ...
VIII Jornada de Criminologia. Prevención de la radicalización desde Europa. ...
 
VIII Jornada de Criminologia. L'afectació psíquica en les víctimes del terror...
VIII Jornada de Criminologia. L'afectació psíquica en les víctimes del terror...VIII Jornada de Criminologia. L'afectació psíquica en les víctimes del terror...
VIII Jornada de Criminologia. L'afectació psíquica en les víctimes del terror...
 
VIII Jornada de Criminologia. L'atenció a les víctimes de l'atemptat de Barce...
VIII Jornada de Criminologia. L'atenció a les víctimes de l'atemptat de Barce...VIII Jornada de Criminologia. L'atenció a les víctimes de l'atemptat de Barce...
VIII Jornada de Criminologia. L'atenció a les víctimes de l'atemptat de Barce...
 
Sessió d'investigació "Cercles: delinqüents sexuals d’alt risc ". (27.02.18)
Sessió d'investigació "Cercles: delinqüents sexuals d’alt risc ". (27.02.18) Sessió d'investigació "Cercles: delinqüents sexuals d’alt risc ". (27.02.18)
Sessió d'investigació "Cercles: delinqüents sexuals d’alt risc ". (27.02.18)
 
Sessió d'investigació "Presó, tractament i reinserció". Reinsercioó de les pe...
Sessió d'investigació "Presó, tractament i reinserció". Reinsercioó de les pe...Sessió d'investigació "Presó, tractament i reinserció". Reinsercioó de les pe...
Sessió d'investigació "Presó, tractament i reinserció". Reinsercioó de les pe...
 
Sessió d'investigació "Presó, tractament i reinserció". Qualitat de vida als ...
Sessió d'investigació "Presó, tractament i reinserció". Qualitat de vida als ...Sessió d'investigació "Presó, tractament i reinserció". Qualitat de vida als ...
Sessió d'investigació "Presó, tractament i reinserció". Qualitat de vida als ...
 
49a sessió web 'Comunicar mitjançant infografies'
49a sessió web 'Comunicar mitjançant infografies'49a sessió web 'Comunicar mitjançant infografies'
49a sessió web 'Comunicar mitjançant infografies'
 
La motivació al canvi dels agressors de parella que realitzen un programa for...
La motivació al canvi dels agressors de parella que realitzen un programa for...La motivació al canvi dels agressors de parella que realitzen un programa for...
La motivació al canvi dels agressors de parella que realitzen un programa for...
 
La violència de gènere en perspectiva longitudinal. Resultats preliminars i l...
La violència de gènere en perspectiva longitudinal. Resultats preliminars i l...La violència de gènere en perspectiva longitudinal. Resultats preliminars i l...
La violència de gènere en perspectiva longitudinal. Resultats preliminars i l...
 
Sessió d'investigació 'La reincidència en la justícia de menors'.
Sessió d'investigació 'La reincidència en la justícia de menors'.Sessió d'investigació 'La reincidència en la justícia de menors'.
Sessió d'investigació 'La reincidència en la justícia de menors'.
 

Protecció de dades personals en l'execució penal. Ismael Carmona

  • 1. Protecció de dades personals en l’execució penal Departament de Justícia Barcelona, octubre de 2011
  • 2. Organització de la seguretat de la informació • Política de seguretat definida per la direcció i un Document de seguretat que l’especifica. • Responsables de fitxers a nivell d’unitat orgànica (secretari i director general). • Responsable de Seguretat únic per als tres àmbits (general, execució penal i judicial). • Referents de Seguretat a nivell d’unitat orgànica. • Responsables en àmbits específics (TIC, seguretat física i instal·lacions, desenvolupament normatiu...).
  • 3. Els fitxers de dades • Conjunts de tractaments en qualsevol suport amb una finalitat definida i una coherència que permet agrupar-lo en fitxers lògics. • Cal que es declarin prèviament al seu funcionament. Això persegueix assolir una funció de control previ i una correcta informació per als tercers. • Cada fitxer té el seu responsable, normalment un secretari o director general. • Hi ha fitxers que són emprats per treballadors que no es troben dins de la unitat del responsable del fitxer (personal, gestió econòmica, logística, suport TIC...).
  • 4. Els fitxers de l’execució penal • Població reclusa als centres penitenciaris de Catalunya (Alt) • Personal dels centres penitenciaris (Mitjà) • Gestió de professionals, voluntaris, visitants i altre personal relacionat amb l'entorn penitenciari (Bàsic) • Gestió de certificats per a l'obtenció d'ajuts i prestacions (Mitjà) • Expedients de suport i assistència jurídica en l'execució penal (Alt) • Expedients d'inspecció de serveis penitenciaris (Mitjà) • Atenció a la víctima (Alt) • Menors sota la custòdia del Departament (Alt) • Gestió de mesures penals alternatives (Alt)
  • 5. El fitxer de població reclusa Finalitat i usos previstos La finalitat del fitxer és la gestió integral de la població reclusa de Catalunya en relació amb la política global penitenciària i de rehabilitació. Els usos previstos són la gestió penitenciària i dels centres, l'execució de les penes de privació de llibertat, les actuacions administratives, policials i judicials relacionades i l'adopció de les mesures que afavoreixin la reinserció social de les persones condemnades. També és preveu la tramitació d'indults i l'elaboració d'estadística interna i pública sobre els serveis penitenciaris.
  • 6. El fitxer de població reclusa Persones i col·lectius afectats o obligats a subministrar les dades Població reclusa en centres penitenciaris de Catalunya i el seu entorn sociofamiliar. Procediment de recollida de les dades Les dades s’obtenen d’entrevistes, transmissions electròniques, comunicacions de tercers i de les observacions i valoracions recollides en l'expedient. Procedència de les dades De la mateixa persona interessada, des de registres públics, altres administracions, comunicacions de la família de la persona interessada i dels professionals de l’execució penal.
  • 7. El fitxer de població reclusa Estructura bàsica del fitxer i tipus de dades de caràcter personal Dades identificatives: DNI/NIF/NIE i codis d'identificació penitenciària, nom i cognoms, telèfon, dades biomètriques (signatura i empremtes, imatge i veu), número d'afiliació a la Seguretat Social o mutualitat, adreça postal i electrònica. Dades de característiques personals: estat civil, dades familiars, lloc i data de naixement, sexe, edat i nacionalitat, característiques físiques i llengua materna. Dades de circumstàncies socials: allotjament o habitatge, propietats i possessions, clubs i associacions, situació militar i aficions i estils de vida. Dades acadèmiques i professionals: formació i titulacions, experiència professional i historial acadèmic. Dades d’ocupació laboral: llocs de treball i historial laboral. Dades d'informació comercial: activitats i negocis i creacions artístiques.
  • 8. El fitxer de població reclusa Estructura bàsica del fitxer i tipus de dades de caràcter personal Dades economicofinanceres i d'assegurances: ingressos i rendes, inversions i patrimoni, nòmines, hipoteques, subsidis i beneficis, dades bancàries i plans de pensió. Dades psicològiques, criminològiques, psicopedagògiques i psicosocials necessàries per avaluar el subjecte en relació a la seva activitat delictiva, programar el tractament adequat per a la seva reeducació i reinserció social, realitzar el necessari pronòstic de reinserció i possibilitar l’avaluació continua en relació a la presa de decisions sobre el procés de compliment de la pena o mesura. Dades especialment protegides necessàries per definir i gestionar el tractament de l'intern dins del centre i per a l'execució de les mesures de rehabilitació i inserció: ideologia, religió, creences, vida sexual, origen racial o ètnic. Dades relatives a la comissió d’infraccions penals o administratives: delictes i faltes, infraccions i sancions administratives.
  • 9. El fitxer de població reclusa Sistema de tractament Parcialment automatitzat Cessions de dades Als òrgans judicials, al Ministeri Fiscal, als representants consulars (si hi ha consentiment exprés de l'intern), al Ministeri d'Interior, les forces i cossos de seguretat i el Síndic de Greuges. De conformitat amb la Llei orgànica 1/1979, de 26 de setembre, general penitenciària, el Reial decret 190/1996, de 9 de febrer, pel qual s'aprova el Reglament penitenciari, i altra normativa de desplegament reglamentari, la Llei orgànica 2/1986, de 13 de març, de cossos i forces de seguretat, i l'article 11.2.d) de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal. Al Centre d’Estudis Jurídics i Formació Especialitzada, en relació amb allò establert a l’article 3 de la Llei 18/1990, de 15 de novembre.
  • 10. El fitxer de població reclusa Transferències internacionals No es preveuen transferències de dades a tercers països. Òrgan administratiu responsable Direcció General de Serveis Penitenciaris Nivell de mesures de seguretat Alt
  • 11. Les mesures de seguretat • Els responsables dels tractaments o els fitxers i els encarregats del tractament han d’implantar les mesures de seguretat d’acord amb el RLOPD • Les mesures de seguretat exigibles als fitxers i tractaments es classifiquen en tres nivells: bàsic, mitjà i alt. • Tots els fitxers o tractaments de dades de caràcter personal han d’adoptar les mesures de seguretat qualificades de nivell bàsic.
  • 12. Aplicació dels nivells de seguretat • S’han d’implantar, a més de les mesures de nivell bàsic, les mesures de nivell mitjà, en els següents fitxers o tractaments: • Comissió d’infraccions administratives o penals. • Els que continguin un conjunt de dades de caràcter personal que ofereixin una definició de les característiques o de la personalitat dels ciutadans i que permetin avaluar determinats aspectes de la seva personalitat o comportament.
  • 13. Aplicació dels nivells de seguretat (II) • A més de les mesures de nivell bàsic i mitjà, les mesures de nivell alt s’han d’aplicar en els següents fitxers o tractaments: • Els que es refereixin a dades d’ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual. • Els que continguin o es refereixin a dades obtingudes per a fins policials sense consentiment de les persones afectades. • Els que continguin dades derivades d’actes de violència de gènere
  • 14. Accés a través de xarxes • Les mesures de seguretat exigibles als accessos a dades de caràcter personal a través de xarxes de comunicacions, siguin públiques o no, han de garantir un nivell de seguretat equivalent al corresponent als accessos en mode local i adients a l’establert al Document de Seguretat i al RLOPD.
  • 15. Treball fora dels locals • Quan les dades personals s’emmagatzemin en dispositius portàtils o es tractin fora dels locals del responsable de fitxer o tractament, o de l’encarregat del tractament, és necessari que hi hagi una autorització prèvia del responsable del fitxer o tractament, i en tot cas s’ha de garantir el nivell de seguretat corresponent al tipus de fitxer tractat • L’autorització ha de constar en el document de seguretat i es pot establir per a un usuari o per a un perfil d’usuaris i se n’ha de determinar un període de validesa.
  • 16. Fitxers temporals i còpies • Els fitxers temporals o còpies de documents que s’han creat exclusivament per a la realització de treballs temporals o auxiliars han de complir el nivell de seguretat que els correspongui conforme als criteris establerts al RLOPD. • Qualsevol fitxer temporal o còpia de treball creat així s’ha d’esborrar o destruir una vegada deixi de ser necessari per als fins que van motivar la seva creació.
  • 17. El document de seguretat • El responsable del fitxer o tractament ha d’elaborar un document de seguretat que reculli les mesures d’índole tècnica i organitzativa conformes amb la normativa de seguretat vigent que és de compliment obligat per al personal amb accés als sistemes d’informació. • El document de seguretat pot ser únic i ha d’incloure tots els fitxers o tractaments, o bé individualitzat per a cada fitxer o tractament. També es poden elaborar diferents documents de seguretat agrupant fitxers o tractaments segons el sistema de tractament utilitzat per a la seva organització, o bé atenent criteris organitzatius del responsable. • En tot cas té el caràcter de document intern de l’organització.
  • 18. Normatives addicionals • El Document de Seguretat incorpora les següents normatives específiques: • Instrucció 1/2006, de 15 de maig, de la Secretaria General de Justícia, sobre el protocol de destrucció de documentació amb dades de caràcter personal en suport paper • Instrucció 1/2009, de 9 de març, de la Secretaria General de Justícia, sobre els protocols de videovigilància del Departament de Justícia • Circular 1/2010, de la Secretaria de Serveis Penitenciaris, Rehabilitació i Justícia Juvenil, sobre el dret d'informació previst a la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal • Circular 2/2010, de la Secretaria de Serveis Penitenciaris, Rehabilitació i Justícia Juvenil, d’adaptació als centres d’execució penal del Protocol de videovigilància del Departament de Justícia, aprovat per la Instrucció 1/2009
  • 19. Mesures Nivell Bàsic (automatitzats) • Funcions i obligacions del personal: documentades al DdS i difoses entre el personal • Registre d’incidències: procediment de notificació i gestió i registre • Control d’accés: accés pertinent, relació de perfils i protecció • Gestió de suports i documents: identificació, inventari i accessibilitat. Sortida • Identificació i autenticació: inequívoca i personalitzada • Còpies de seguretat i recuperació
  • 20. Funcions i obligacions del personal • Les funcions i obligacions de cadascun dels usuaris o perfils d’usuaris amb accés a les dades de caràcter personal i als sistemes d’informació han d’estar clarament definides i documentades en el document de seguretat. • El responsable del fitxer o tractament ha d’adoptar les mesures necessàries perquè el personal conegui d’una forma comprensible les normes de seguretat que afectin l’exercici de les seves funcions així com les conseqüències en què pugui incórrer en cas d’incompliment.
  • 21. Registre d’incidències • Hi ha d’haver un procediment de notificació i gestió de les incidències que afectin les dades de caràcter personal i s’ha d’establir un registre en què es faci constar el tipus d’incidència, el moment en què s’ha produït, o si s’escau, detectat, la persona que fa la notificació, a qui se li comunica, els efectes que se’n deriven i les mesures correctores aplicades.
  • 22. Control d’accés • Els usuaris han de tenir accés només als recursos que necessitin per a l’exercici de les seves funcions. • El responsable del fitxer s’ha d’encarregar que hi hagi una relació actualitzada d’usuaris i perfils d’usuaris, i els accessos autoritzats per a cadascun d’ells. • El responsable del fitxer ha d’establir mecanismes per evitar que un usuari pugui accedir a recursos amb drets diferents dels autoritzats.
  • 23. Gestió de suports i documents • Els suports i documents que continguin dades de caràcter personal han de permetre identificar el tipus d’informació que contenen, han de ser inventariats i només hi ha de poder accedir el personal autoritzat per fer-ho en el document de seguretat. • La sortida de suports i documents que continguin dades de caràcter personal, inclosos els compresos i/o annexos a un correu electrònic, fora dels locals sota el control del responsable del fitxer o tractament, l’ha d’autoritzar el responsable del fitxer o ha d’estar degudament autoritzada en el document de seguretat.
  • 24. Gestió de suports i documents (II) • En el trasllat de la documentació s’han d’adoptar les mesures dirigides a evitar la sostracció o pèrdua de la informació o l’accés indegut a aquesta durant el seu transport. • Sempre que s’hagi de rebutjar qualsevol document o suport que contingui dades de caràcter personal, s’ha de destruir o esborrar mitjançant l’adopció de mesures dirigides a evitar l’accés a la informació que conté o la seva recuperació posterior.
  • 25. Identificació i autenticació • El responsable del fitxer o tractament ha d’adoptar les mesures que garanteixin la correcta identificació i autenticació dels usuaris. • El responsable del fitxer o tractament ha d’establir un mecanisme que permeti la identificació de forma inequívoca i personalitzada de qualsevol usuari que intenti accedir al sistema d’informació i la verificació conforme està autoritzat. • Quan el mecanisme d’autenticació es basi en l’existència de contrasenyes, hi ha d’haver un procediment d’assignació, distribució i emmagatzematge que en garanteixi la confidencialitat i integritat.
  • 26. Còpies de seguretat i recuperació • S’han d’establir procediments d’actuació per fer, com a mínim setmanalment, còpies de seguretat, tret que en el període esmentat no s’hagi produït cap actualització de les dades. • Així mateix, s’han d’establir procediments per a la recuperació de les dades que garanteixin en tot moment la reconstrucció a l’estat en què estaven en el moment de produir-se la pèrdua o destrucció.
  • 27. Mesures Nivell Mitjà (automatitzats) • Responsable de seguretat • Auditoria: interna o externa. Cada 2 anys mínim • Gestió de suports i documents: registre d’entrada i de sortida • Identificació i autenticació: límit d’intents d’accessos no autoritzats • Control d’accés físic: accés exclusiu personal autoritzat al DdS • Registre d’incidències: recuperacions de dades
  • 28. Responsable de seguretat • En el document de seguretat s’han d’assignar un o diversos responsables de seguretat encarregats de coordinar i controlar les mesures que hi estan definides. • En cap cas aquesta designació suposa una exoneració de la responsabilitat que correspon al responsable del fitxer o a l’encarregat del tractament.
  • 29. Auditoria • A partir del nivell mitjà, els sistemes d’informació i instal·lacions de tractament i emmagatzematge de dades s’han de sotmetre, almenys cada dos anys, a una auditoria interna o externa que verifiqui el compliment legal. • Els informes d’auditoria els ha d’analitzar el responsable de seguretat competent, que n’ha d’elevar les conclusions al responsable del fitxer o tractament perquè adopti les mesures correctores adequades, i han de quedar a disposició de les autoritats de control.
  • 30. Gestió de suports i documents • S’ha d’establir un sistema de registre d’entrada de suports que permeti, directament o indirectament, conèixer el tipus de document o suport, la data i hora, l’emissor, el nombre de documents o suports inclosos en l’enviament, el tipus d’informació que contenen, la forma d’enviament i la persona responsable de la recepció, que ha d’estar degudament autoritzada. • Igualment s’ha de disposar d’un sistema de registre de sortida de suports que permeti, directament o indirectament, conèixer el tipus de document o suport, la data i hora, el destinatari, el nombre de documents o suports inclosos en l’enviament, el tipus d’informació que contenen, la forma d’enviament i la persona responsable del lliurament, que ha d’estar degudament autoritzada.
  • 31. Identificació i autenticació • El responsable del fitxer o tractament ha d’establir un mecanisme que limiti la possibilitat d’intentar reiteradament l’accés no autoritzat al sistema d’informació.
  • 32. Control d’accés físic • Exclusivament el personal autoritzat en el document de seguretat pot tenir accés als llocs on estiguin instal·lats els equips físics que donin suport als sistemes d’informació.
  • 33. Registre d’incidències • Cal consignar, a més dels continguts bàsics, els procediments de recuperació de les dades realitzats. • És necessària l’autorització del responsable del fitxer per a l’execució dels procediments de recuperació de les dades.
  • 34. Mesures Nivell Alt (automatitzats) • Gestió i distribució de suports: etiquetatge tècnic, xifratge en distribució/portàtil • Còpies de seguretat i recuperació: fora dels locals on estan els equips • Registre d’accessos: logs d’accessos durant 2 anys • Telecomunicacions: xifratge o mecanisme segur anàleg
  • 35. Gestió i distribució de suports • La identificació dels suports s’ha de realitzar utilitzant sistemes d’etiquetatge comprensibles i amb significat, que permetin als usuaris amb accés autoritzat als suports i documents esmentats identificar el seu contingut, i que dificultin la identificació per a la resta de persones. • La distribució dels suports que continguin dades de caràcter personal s’ha de fer xifrant les dades esmentades o bé utilitzant un altre mecanisme que garanteixi que la dita informació no sigui accessible o manipulada durant el seu transport. • S’han de xifrar les dades que continguin els dispositius portàtils quan aquests dispositius estiguin fora de les instal·lacions que estan sota el control del responsable del fitxer. • S’ha d’evitar el tractament de dades de caràcter personal en dispositius portàtils que no permetin el xifratge.
  • 36. Còpies de seguretat i recuperació • S’ha de conservar una còpia de seguretat de les dades i dels procediments de recuperació d’aquestes dades en un lloc diferent d’aquell en què estiguin els equips informàtics que els tracten, que ha de complir en tot cas les mesures de seguretat exigides, o utilitzant elements que garanteixin la integritat i recuperació de la informació, de forma que sigui possible la seva recuperació.
  • 37. Registre d’accessos • De cada intent d’accés s’han de guardar, com a mínim, la identificació de l’usuari, la data i hora en què es va realitzar, el fitxer a què s’ha accedit, el tipus d’accés i si ha estat autoritzat o denegat. • En cas que l’accés hagi estat autoritzat, és necessari guardar la informació que permeti identificar el registre a què s’ha accedit. • Els mecanismes que permeten el registre d’accessos han d’estar sota el control directe del responsable de seguretat competent sense que permetin la seva desactivació ni manipulació. • El període mínim de conservació de les dades registrades és de dos anys.
  • 38. Telecomunicacions • Quan s’hagin d’implantar les mesures de seguretat de nivell alt, la transmissió de dades de caràcter personal a través de xarxes públiques o xarxes sense fil de comunicacions electròniques s’ha de fer xifrant les dades esmentades o bé utilitzant qualsevol altre mecanisme que garanteixi que la informació no sigui intel·ligible ni manipulada per tercers.
  • 39. Mesures comunes per fitxers no automatitzats NIVELL BÀSIC • Funcions i obligacions del personal • Registre d’incidències • Control d’accés • Gestió de suports i documents NIVELL MITJÀ • Responsable de seguretat • Auditoria
  • 40. Mesures Nivell Bàsic (no automatitzats) • Criteris d’arxiu: segons normativa específica. Conservació, localització, consulta i exercici de drets • Dispositius d’emmagatzemament: mecanisme d’obstaculització d’apertura o mesures de no accés • Custòdia dels suports: treballador està al seu càrrec quan fora d’arxiu
  • 41. Criteris d’arxivament • L’arxivament dels suports o documents s’ha de fer d’acord amb els criteris que preveu la seva respectiva legislació. • Aquests criteris han de garantir la correcta conservació dels documents, la localització i consulta de la informació i han de possibilitar l’exercici dels drets d’oposició al tractament, accés, rectificació i cancel·lació.
  • 42. Dispositius d’emmagatzematge • Els dispositius d’emmagatzematge dels documents que continguin dades de caràcter personal han de disposar de mecanismes que n’obstaculitzin l’obertura. • Quan les característiques físiques d’aquests no permetin adoptar aquesta mesura, el responsable del fitxer o tractament ha d’adoptar mesures que impedeixin que hi puguin accedir persones no autoritzades.
  • 43. Custòdia dels suports • Mentre la documentació amb dades de caràcter personal no estigui arxivada en els dispositius d’emmagatzematge que estableix l’article anterior, pel fet d’estar en procés de revisió o tramitació, ja sigui prèviament o posteriorment al seu arxivament, la persona que se n’encarregui l’ha de custodiar i impedir en tot moment que hi pugui accedir una persona no autoritzada.
  • 44. Mesures Nivell Alt (no automatitzats) • Emmagatzemament de la informació: en zones tancades amb clau, permanentment • Còpia o reproducció: sota control del personal autoritzat. Destrucció de còpies i reproduccions descartades • Accés a la documentació: exclusiu al personal autoritzat. Registre d’accessos si hi ha múltiples usuaris • Trasllat de la documentació: mesures per impedir accés o manipulació
  • 45. Emmagatzematge de la informació • Els armaris, arxivadors o altres elements en què s’emmagatzemin els fitxers no automatitzats amb dades de caràcter personal han d’estar en àrees en què l’accés estigui protegit amb portes d’accés dotades de sistemes d’obertura mitjançant una clau o un altre dispositiu equivalent. Aquestes àrees s’han de mantenir tancades quan no sigui necessari l’accés als documents inclosos en el fitxer. • Si, ateses les característiques dels locals de què disposa el responsable del fitxer o tractament, no és possible complir el que estableix l’apartat anterior, el responsable ha d’adoptar mesures alternatives que, degudament motivades, s’han d’incloure en el document de seguretat.
  • 46. Còpia o reproducció • La generació de còpies o la reproducció dels documents únicament pot ser realitzada sota el control del personal autoritzat en el document de seguretat. • S’ha de procedir a la destrucció de les còpies o reproduccions rebutjades de manera que s’eviti l’accés a la informació que contenen o la seva recuperació posterior.
  • 47. Accés a la documentació • L’accés a la documentació s’ha de limitar exclusivament al personal autoritzat. • S’han d’establir mecanismes que permetin identificar els accessos realitzats en el cas de documents que puguin ser utilitzats per múltiples usuaris.
  • 48. Trasllat de documentació • Sempre que es procedeixi al trasllat físic de la documentació que conté un fitxer, s’han d’adoptar mesures dirigides a impedir l’accés a la informació objecte de trasllat o la seva manipulació.