Agencia Estatal Boletín Oficial del Estado

El artículo 20 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, establece que la creación, modificación y supresión de los ficheros de las Administraciones Públicas sólo podrá hacerse por disposición general publicada en el «Boletín Oficial del Estado» o Diario Oficial correspondiente. La plena incorporación de las tecnologías de la comunicación a las actividades de la Administración Penitenciaria, constituye un factor estratégico esencial para garantizar el desarrollo del trabajo en este ámbito social en las mejores condiciones y el progreso de la tecnología en la llamada sociedad de la información. En ese contexto, la Administración Penitenciaria, está llamada a desempeñar un papel fundamental en la extensión e implantación del uso de las herramientas tecnológicas en la gestión pública, en aras de conseguir una mayor eficacia y eficiencia en la gestión, así como la mejora de la objetividad y transparencia de la misma. En este proceso, los Sistemas de Información Penitenciarios vienen siendo objeto de un proceso de modernización, cambiando su estructura y medios, con el objetivo último de conseguir una administración penitenciaria capaz de dar servicio a los ciudadanos con mayor agilidad, calidad y eficacia, aplicando para ello los métodos de organización e instrumentos de tratamiento más modernos y avanzados. Nuevas necesidades surgidas, en orden a la mejora de la gestión en el ámbito de la gestión social penitenciaria, demandan la creación de un nuevo fichero informático, que posibilite mejorar y agilizar la coordinación y el control de estas funciones. La implantación de un nuevo sistema informático, que se denominara Sistema Informático Social Penitenciario (SISPE), se enmarca en el plan de modernización de la Institución Penitenciaria, desarrollado dentro del Plan AVANZ@, y persigue alcanzar una mejora en la gestión social penitenciaria mediante la implantación del uso de nuevas tecnologías en los sistemas y protocolos de asistencia social, tanto interna como externa, de todos los Centros Penitenciarios dependientes de la Secretaría General de Instituciones Penitenciarias, Centros de Inserción Social y Servicios Sociales Penitenciarios, permitiendo la continuidad en el trabajo desempeñado en la prestación social al interno y su familia. Permitirá además, la gestión ágil y eficaz tanto de las penas y medidas alternativas a la pena privativa de libertad, como de las reglas de conductas impuestas por los órganos judiciales correspondientes tanto en estos casos como en los casos de libertad condicional. Por consiguiente, a fin de dar cumplimiento al mandato legal del artículo 20 de la citada Ley Orgánica 15/1999, de 13 de diciembre, con el informe favorable de la Agencia Española de Protección de Datos, dispongo:

Apartado único. Creación del fichero de datos de carácter personal «Sistema Informático Social Penitenciario (SISPE)».

Se crea, en el Ministerio del Interior, el fichero de datos de carácter personal Sistema Informático Social Penitenciario (SISPE), que se describe en el anexo de esta Orden.

Disposición final única. Entrada en vigor.

La presente Orden entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».

Madrid, 26 de septiembre de 2008.-El Ministro del Interior, Alfredo Pérez Rubalcaba.

ANEXO

Nombre del fichero. SISPE (Sistema de Información Social Penitenciario).

1. Finalidad del fichero y usos previstos: Mejorar la gestión social penitenciaria mediante la implantación del uso de nuevas tecnologías en los sistemas y protocolos de asistencia social, tanto interna como externa, de todos los Centros Penitenciarios dependientes de la Secretaría General de Instituciones Penitenciarias, Centros de Inserción Social y Servicios Sociales Penitenciarios.

Usos:

Intervención Social de internos y penados a pena y/o medidas alternativas y diagnostico social.

Manejo de información de carácter personal y penal, que se describe a continuación, sobre los internos dependientes de la Administración penitenciaria internos en los Centros de Inserción social y/o condenados a penas y/o medidas alternativas a la prisión, dependientes de los Servicios Sociales Penitenciarios. Situación de Salud y datos sobre el consumo de drogas, datos del Sistema Sanitario General y datos sobre minusvalías, discapacidades y HIVS. Situación Profesional, estudios realizados, formación específica y nivel de estudios alcanzados. Situación Ambiental General, datos de la vivienda, entorno social y Grupos de relaciones. Nivel de instrucción o estudios. Situación Familiar, dinámica Familiar. Situación Ambiental -Si el individuo está institucionalizado o no. Tipo de centro en el que está institucionalizado en el caso de que así haya sido tipo de acogida, datos de Internamiento y otros datos psiquiátricos. Conseguir mayor eficacia y eficiencia en la ejecución de las condenas a penas y/o medidas alternativas a la prisión y los liberados condicionales y mayor transparencia en la gestión. Conseguir un mejor control de la ejecución de penas y medidas alternativas y del seguimiento de la libertades condicionales, permitiendo una gestión administrativa más ágil y eficaz. Mejorar la consecución de los datos estadísticos referidos a la ejecución penitenciaria, a los recursos utilizados y a la eficacia de los mismos. Emisión de Informes, Certificaciones y Acreditaciones relacionadas con el ejercicio de potestades jurídico-publicas. Envío de comunicaciones, en el ámbito nacional e internacional, vinculadas con el ejercicio de potestades de derecho público. Relación de datos entre el SIP y este nuevo Sistema de Información. Relación de datos entre la aplicación del Sistema de Seguimiento Integral de Violencia de Género y Doméstica, de la Secretaria de Estado de Seguridad y este nuevo Sistema de Información. Fines científicos históricos y estadísticos. El ejercicio de cualquier otra potestad de derecho público.

2. Personas o colectivos, sobre los que se pretende obtener datos de carácter personal: Los internos de los Centros Penitenciarios dependientes de la Secretaría General de Instituciones Penitenciarias, las personas sometidas a cualquier pena y/o medida alternativa al ingreso en prisión, así como, estrictamente en lo que respecta a los datos de situación familiar y dinámica familiar, los de las familias de todos los anteriores, y/o las personas con vinculación afectiva similar.

Estructura básica del fichero y descripción de los tipos de datos de carácter personal, incluidos en el mismo:

Nombre: GESOC_DSOC.

Gestor DBMS: ORACLE Versión 10g. Comentario: Fichero de Datos de Intervención Social que incluye Datos de Salud del penado considerados de alto nivel.

Nombre	Comentario	Tipo de Dato	Longitud
DSOC_CODIGO	Identificador del objeto.	NUMBER(10)	10
DSOC_CODEXP	Expresión de identificador.	NUMBER(10)	10
ESTU_CODIGO	Código del nivel de instrucción o estudios.	VARCHAR2(2)	2
DSOC_FREG	Fecha en la que se va a guardar la información. Para el histórico.	DATE
DSOC_DINFAM	Situación Familiar -Dinámica Familiar.	VARCHAR2(512)	512
DSOC_INSTIT	Situación Ambiental -Si el individuo está institucionalizado o no.	NUMBER(1)	1
DSOC_CINST	Situación ambiental -Tipo de centro en el que está institucionalizado en el caso de que así haya sido:	CHAR(1)	1
	-Acogida.
	-Internamiento.
	-Psiquiátrico.
DSOC_FINICP	Situación ambiental -Fecha desde la que está en Prisión.	DATE
DSOC_OBSSA	Situación Ambiental: Otros datos o comentarios del trabajador social al respecto.	VARCHAR2(1024)	1024
DSOC_TIPVIV	Situación Ambiental -Datos de la vivienda -Tipo de vivienda:	CHAR(1)	1
	-Unifamiliar.
	-Plurifamiliar.
	-Rural.
DSOC_REGVIV	Situación Ambiental -Datos vivienda -Régimen de la vivienda:.	CHAR(1)	1
	-Propiedad.
	-Alquiler.
DSOC_CONVIV	Situación Ambiental -Datos vivienda -Condiciones en las que se encuentra la vivienda.	VARCHAR2(1024)	1024
DSOC_BARRIO	Situación Ambiental -Datos vivienda -Entorno Social -Tipo de barriada en la que vive el individuo:	CHAR(1)	1
	-Marginal.
	-Urbano.
	-Rural.
DSOC_NUCLEO	Situación Ambiental -Datos vivienda -Entorno Social -Núcleo de población en el que vive.	VARCHAR2(1024)	1024
DSOC_GRUPRL	Situación Ambiental -Datos vivienda -Entorno Social -Grupo de relaciones.	VARCHAR2(1024)	1024
DSOC_NIVEST	Situación Educativa -Nivel de estudios alcanzado:	VARCHAR2(2)	2
	-Analfabeto.
	-Semi-analfabeto.
	-Educación Primaria -Incompleta.
	-Educación Primaria -Completa.
	-Educación Secundaría -Primera Etapa.
	-Educación Secundaría -Segunda Etapa.
	-Bachillerato.
	-Módulos FP.
	-Enseñanza Universitaria -Primer Ciclo.
	-Enseñanza Universitaria -Segundo Ciclo.
	-Enseñanza Universitaria -Tercer Ciclo.
DSOC_ESTUD	Situación Educativa -Especificación de los estudios alcanzados por el individuo en el caso de tener estudios universitarios.	VARCHAR2(128)	128
DSOC_EDADDE	Situación Educativa -Edad en la que dejó los estudios.	NUMBER(3)	3
DSOC_MOTDE	Situación Educativa -Motivo por los que dejó los estudios.	VARCHAR2(512)	512
DSOC_OBSEST	Situación Educativa -Comentario sobre la formación por parte del trabajador social (Observaciones).	VARCHAR2(1024)	1024
DSOC_SITLAB	Situación Laboral -Situación laboral al ingreso:	CHAR(1)	1
	-Ninguna.
	-Estudiando.
	-Trabajando.
	-En paro subsidiario.
	-En paro sin subsidio.
DSOC_OBSLAB	Situación Laboral -Otros comentarios u observaciones por parte del trabajador social.	VARCHAR2(1024)	1024
DSOC_TJTSAN	Situación Salud -Numero de la tarjeta sanitaria en el caso de que la tenga.	VARCHAR2(20)	20
DSOC_CSALUD	Situación Salud -Centro de salud que le corresponde en el momento en el que esté en libertad.	VARCHAR2(128)	128
DSOC_DISCAP	Situación Salud -Tipo de discapacidad que puede presentar el individuo:	VARCHAR2(50)	50
	-Física.
	-Intelectual.
	-Enfermedad Mental.
DSOC_PORDIS	Situación Salud -Porcentaje de minusvalía.	NUMBER
DSOC_MINUSV	Situación Salud -Posibilidad de que tenga minusvalía o no.	NUMBER(1)	1
DSOC_SIDA	Situación de Salud -Si es seropositivo.	NUMBER(1)	1
DSOC_OBSSAN	Situación Salud -Comentario u observaciones sobre la situación de salud que presenta el individuo por parte del trabajador social.	VARCHAR2(1024)	1024
DSOC_DROGAS	Situación Salud -Consumo de drogas -drogas consumidas:	VARCHAR2(4)	4
	-Alcohol.
	-Cocaína.
	-Cannabis.
	-Pastillas.
DSOC_EDADID	Situación Salud -Consumo de drogas -Edad de inicio en el consumo de drogas.	NUMBER(3)	3
DSOC EDADFD	Situación Salud -Consumo de drogas -Edad de finalización en el consumo de drogas.	NUMBER(3)	3
DSOC_TTO	Situación Salud -Consumo de drogas -Tratamiento recibido para rehabilitación de un problema de drogadicción.	VARCHAR2(512)	512
DSOC_LUGTTO	Situación Salud -Consumo de drogas -Lugar donde ha recibido el tratamiento de rehabilitación.	VARCHAR2(50)	50
DSOC_FITTO	Situación Salud -Consumo de drogas -Fecha de Inicio del tratamiento.	DATE
DSOC_FFTTO	Situación Salud -Consumo de drogas -Fecha de finalización del tratamiento recibido.	DATE
DSOC_OBSDRO	Situación Salud -Consumo de drogas -Comentario u observaciones del trabajador social sobre la situación del consumo de drogas por parte del individuo.	VARCHAR2(1024)	1024
DSOC_SITECO	Situación Económica -Descripción.	VARCHAR2(1024)	1024
DSOC_INTERP	Intervención Social -Interpretación Diagnóstica Social del trabajador social tras la entrevista realizada.	VARCHAR2(1024)	1024
DSOC_PROBS	Intervención Social -Problemas a tratar.	VARCHAR2(1024)	1024
DSOC_MOTIVS	Intervención Social -Motivaciones y compromisos por parte del individuo.	VARCHAR2(1024)	1024
DSOC_OBJTVS	Intervención Social -Objetivos.	VARCHAR2(1024)	1024
DSOC_RECURS	Intervención Social -Recursos.	VARCHAR2(1024)	1024
DSOC_OBSSOC	Intervención Social -Comentarios u observaciones del trabajador social.	VARCHAR2(1024)	1024

3. Procedimiento de recogida de datos de carácter personal.-Fichas de adscripción, declaraciones del interesado, documentales o telemáticas.

Se adquirirán determinados datos por traspaso automático de datos de los recabados en el Sistema de Información Penitenciarias. 4. Cesiones de datos que se prevean y transferencias a países terceros, en su caso:

Órganos de prestación Social del Sistema General de Prestación Social de la Administración.

Tribunales, Jueces y Ministerio Fiscal en el ejercicio de las funciones que tienen atribuidas. Al Defensor del Pueblo o institución análoga de las Comunidades Autónomas que ejerzan competencias ejecutivas en materia penitenciaria. Administraciones General del Estado, de las Comunidades Autónomas, Local e Instituciones de carácter público competentes, para el ejercicio de competencias cuando así lo establezca una ley. Administraciones autonómicas que tengan transferidas competencias en materia penitenciaria. Servicios Públicos responsables de la producción de estadísticas oficiales. Observatorio Estatal de Violencia sobre la mujer. Delegación Especial del Gobierno contra la Violencia sobre la mujer. Sistema de Seguimiento Integral de Violencia de Género y Doméstica, de la Secretaria de Estado de Seguridad. Autoridades competentes de los Estados miembros de la Unión Europea, de origen o de acogida, de los internos. En su caso, Organismos y Entidades internacionales, con competencia en la materia. Cualquier otra que resulte de la normativa vigente, con rango de ley.

Las mencionadas cesiones deberán cumplir en todo caso el principio de proporcionalidad, sin que puedan ser cedidos más datos de los necesarios para el cumplimiento de los fines del cesionario.

5. Órgano responsable del fichero.-Secretaría General de Instituciones Penitenciarias. C/ Alcalá 38-40. 28014 Madrid. 6. Órgano ante el que pueden ejercitarse los derechos de acceso, rectificación o cancelación, cuando proceda.-Secretaría General de Instituciones Penitenciarias. C/ Alcalá 38 -40.28014 Madrid. 7. Medidas de seguridad, con indicación del nivel básico, medio o alto exigible.-Se adoptarán todas las medidas de seguridad correspondientes al nivel alto, previstas en el RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Las primeras medidas a adoptar, previas a la redacción del documento de Seguridad serán:

7.1 Administración del Sistema: La Secretaría General de Instituciones Penitenciarias del Ministerio del Interior será el órgano administrativo encargado de administrar y mantener el entorno operativo y disponibilidad del sistema, teniendo la responsabilidad de la realización de las tareas necesarias que garanticen el correcto funcionamiento, la custodia y la seguridad del sistema, sin perjuicio de las atribuciones correspondientes a otros órganos de la administración con competencias asumidas en la materia y reguladas por convenios de cooperación tecnológica. Dichos convenios se ajustarán a las características del sistema y respetarán las garantías establecidas en este real decreto.

7.2 Disponibilidad del Sistema: El sistema estará en funcionamiento durante las veinticuatro horas del día, todos los días del año, sin perjuicio de lo previsto en el siguiente párrafo. En ningún caso, la presentación telemática de escritos y documentos o la recepción de actos de comunicación por medios telemáticos implicarán la alteración de lo establecido en las leyes sobre el tiempo hábil para las actuaciones procesales, plazos y su cómputo, ni tampoco supondrá ningún trato discriminatorio en la tramitación y resolución de los procesos judiciales. Cuando la ineludible realización de trabajos de mantenimiento u otras razones técnicas lo requieran, podrán planificarse paradas de los sistemas informáticos que afecten o imposibiliten de forma temporal el servicio de comunicaciones telemáticas. Estas paradas serán avisadas por el propio sistema informático con una antelación mínima de cuatro días, siempre que sea posible, indicando el tiempo estimado de indisponibilidad del servicio. Cuando por cualquier causa el sistema no pudiera prestar el servicio en las condiciones establecidas se informará a los usuarios de las circunstancias de la imposibilidad a los efectos de la eventual realización de actos procesales en forma no telemática y, en su caso, se expedirá, previa solicitud, justificante de la interrupción del servicio. La custodia de la información gestionada a través del sistema corresponde al administrador del sistema, en las condiciones establecidas en el documento de Seguridad correspondiente que se elaborara posteriormente. 7.3 Implantación del Sistema: La implantación del sistema se llevará a cabo de forma gradual en función de las posibilidades técnicas y presupuestarias de la Secretaría General de Instituciones Penitenciarias, respecto de aquellos Centros Penitenciarios de ella dependientes y tipos de procedimientos incluidos en cada fase del proceso de despliegue. Del mismo modo será gradual la incorporación al sistema de los usuarios de los Servicios Sociales tanto internos como externos, de los Centros de Inserción Social. 7.4 Perfiles de usuario: La línea general de atribución de Perfiles de Usuario de la aplicación SISPE se basará en la precisión de las características del usuario, sistematizada a través de la precisión de su perfil o conjunto de funciones profesionales por persona para el caso de los puestos unipersonales o grupo para el resto de puestos. La forma de establecer perfiles se realizará por factores como:

1. Localización geográfica (Centro Penitenciario o Servicio Social Externo).

2. Funciones o actividad principal a realizar. 3. Recursos de información requeridos. 4. Procedimientos de actuación.

Así se han definido inicialmente los perfiles siguientes:

1. Subdirectores de Régimen y Tratamiento: el modo de acceso a datos exclusivamente en modo consulta a los datos de su Centro y los datos de los Servicios Sociales Externos adscritos.

2. Coordinadores Sociales: Modo de acceso a datos con capacidades de modificación de los datos de su Centro y funcionalidad completa incluido el permiso de realización exclusivo de traslados de Expedientes. 3. Trabajadores Sociales (en Centros o en Servicios Sociales): Modo de acceso a datos con capacidades de modificación de los datos de su Centro o Servicio Social con funcionalidad completa excepto permisos de realización de traslados de Expedientes. 4. Jefe de los Servicios Sociales Externos: Modo de acceso a datos con capacidades de modificación de los datos de su Servicio Social y funcionalidad completa con permisos de realización exclusivo de traslados de Expedientes. 5. Funcionarios de Apoyo, Directores de Programas y Funcionarios de Segunda Actividad: Modo de acceso a datos con capacidad de modificación pero exclusivamente en los procedimientos de recepción y escaneo de sentencias e informes y sin acceso al resto de funcionalidades mas que en modo consulta. 6. Funcionarios de Oficio de Gestión: Tienen acceso en modo modificación de datos pero solo en los procedimientos de Liberado Condicional y de Localización Permanente.

7.5 Requisitos de acceso seguro al Sistema: El acceso al Sistema de información se realizara a través de páginas web, para lo cual el usuario del Sistema podrá utilizar un navegador Web que cumpla la especificación W3C HTML 4.01 o superior o a través de estándares abiertos y estándares internacionalmente reconocidos.

Adicionalmente, el Sistema establecerá comunicaciones seguras mediante servicios Web u otros mecanismos que la Secretaría General de Instituciones Penitenciarias determine, basados en dichos estándares, con el fin de posibilitar la operatividad con otros sistemas. El protocolo para la comunicación entre el navegador Web y el sistema de información será HTTPS como versión segura del protocolo HTTP con un canal de comunicación seguro basado en SSL (Secure Socket Layers) (cifrado simétrico de, al menos, 128 bits utilizando encriptación SSL/TLS) entre el navegador del cliente y el servidor HTTP. Para completar el nivel alto de seguridad se instalarán certificados de clave pública en los servidores. Estos certificados, para una mayor seguridad, serán firmados por una autoridad certificadora autorizada.

Se establecen los siguientes procedimientos de identificación y autenticación de usuarios: Procedimiento de identificación: La identificación de un usuario se deberá acreditar mediante una petición por escrito ante las Subdirecciones Generales de Medio Abierto y Medidas Alternativas o Coordinación Territorial, según el área funcional de que se trate, haciendo constar necesariamente el nombre y apellidos del usuario, su D.N.I., su destino (Centro Penitenciario o unidad si es usuario de Servicios Centrales) y una descripción breve del perfil de los datos que desea tratar. Esta petición deberá contar con el visto bueno del Director del Centro Penitenciario del usuario o Director de la Unidad de quien dependa. Las citadas Subdirecciones concederán, o no, la autorización de acceso a los datos de carácter personal que contiene el SISPE, para el desempeño de las funciones que se han encomendado al usuario, por un periodo de tiempo concreto mientras dicho usuario tenga que desempeñar estas funciones.

Procedimiento de autenticación: Una vez concedido el acceso a los datos de un usuario, se le hará entrega en otro momento de un juego de dos contraseñas para proceder a autenticarse ante cada uno de los sistemas de información, es decir, la Red y la propia aplicación SISPE, para acceder a los datos cada vez que los necesite, según su perfil de acceso. Se utilizará el Sistema estándar de Identificación y Autenticación de JBOSS en J2EE. Procedimiento de Almacenamiento de la Contraseña: Una vez concedido el acceso a los datos de un usuario y comunicado al usuario interesado el login y contraseña, se almacenará la contraseña dentro de la Aplicación para el proceso de validación. El registro de la contraseña, se realiza a través de la imagen hash del password, de manera que el administrador no pueda descifrarlo. Procedimiento de Auditoria: Para el cumplimiento de lo relativo al Control del Registro de Accesos a Datos Protegidos se habilitarán las siguientes medidas:

1. De cada intento de acceso se guardarán, como mínimo un «LOG de Registro de Accesos» donde se registra: Quién accede.

Cuándo se accede. Fichero de acceso. Tipo acceso. Si se autoriza el acceso.

2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

Nombre	Comentario
RLPD_CODEXP	Expediente al que se ha accedido.
RLPD_DATACC	Tipo de datos al que se ha accedido:
	Corresponde al fichero protegido al que se accede.
	SO -datos sociales (salud).
	PE -datos penitenciarios (SIP).
	PR -datos judiciales (SIP y Medio abierto y Medidas Alternativas).
	DO -documento asociado al expediente.
RLPD_REGIST	Registro al que se ha accedido de la tabla que se ha especificado en el campo RLPD_DATACC.
RLPD_MODACC	Modo de acceso a los datos:
	M -modificación.
	C -consulta.

Los mecanismos que permiten este registro de accesos estarán bajo el control directo del responsable de seguridad competente, o Administrador Social sin que deban permitir la desactivación ni manipulación de los mismos.

El periodo mínimo de conservación de los datos registrados será de dos años.