La Agencia Española de Proteccion de Datos ha emitido un informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en la nube con sistemas ajenos a las plataformas educativas. En el se incluye una serie de recomendaciones a seguir. Para leer dicho informe puede pinchar aquí.
Brechas de seguridad en datos personales
Hoy vamos a hablar de las brechas de seguridad. Como ya indiqué en una entrada anterior tenemos que notificar las brechas a la Agencia Española de Protección de Datos en un plazo de 72 horas por parte del encargado del tratamiento de los datos. En la UGR podemos dirigirnos a la Oficina de Protección de Datos, a la Delegada de Protección de Datos o al Servicio de Seguridad Informática del CSIRC, para conseguir asesoramiento o para tramitar la comunicación de la Brecha.
El RGPD define, de un modo amplio, las “violaciones de seguridad de los datos personales” como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
La Agencia de Protección de Datos ha editado una Guía sobre brechas de seguridad, podemos verla aquí, o si deseamos comunicar una Brecha podemos hacerlo sede electrónica de la Agencia de Protección de Datos. Siempre antes de comunicarlo debemos notificarlo dentro de UGR a los actores que aparecen en negrita en el párrafo primero.
Veamos algunos ejemplo en tono de humor en este enlace.
Como comunicar datos sensibles entre áreas o fuera de UGR
Con el RGPD nos obligan que los datos sensibles ,cuando los comuniquemos entre servicios/áreas de la UGR, lo hagamos de forma cifrada. Esto lo podemos conseguir de diferentes formas mediante correo electrónico:
- 1.- Comprimir los ficheros con el compresor 7zip ( compresor homologado por el Centro Criptológico Nacional ) y ponerle un clave antes de enviarlo adjunto en un correo electrónico. Por supuesto la clave debe ir en otro mensaje, o por otro medio, por ejemplo teléfono, al del fichero comprimido. Este es el método mas sencillo ya que no necesita grandes configuraciones. ¿ Como poner clave en 7zip ?
- 2.- Utilizar el programa basado en certificados, para esto necesitaremos un certificado personal y el cliente de correo Thunderbird. Por supuesto el receptor necesitará Thunderbird y la parte pública del certificado del que lo envía para poder descifrarlo.
- 3.- O podemos utilizar OpenPGP con el cliente de correo Thuderbird. Aquí podéis ver como hacerlo. Generamos el certificado de correo nosotros mismos, no hay que pedirlo a entidades externas. Otro ejemplo de como hacerlo y gráficos de que significa cifrar, aquí.
- 4.- Por último podemos enviar los ficheros en formato Office pero con clave , este sistema no es tan seguro como el anterior, pero aquí os lo dejo, Excel o Word
Por último os dejo otro enlace donde se resume el uso de thunderbird con cifrado de mensaje. Pincha aquí.
Roles en la protección de datos en la UGR
DPD.- Delegada de protección de datos (delegadapd@ugr.es) . Tiene una labor de revisión de cumplimiento de normativa y asesoramiento a la institución en materia de protección de datos.
Oficina de protección de datos .- (protecciondedatos@ugr.es) depende de Secretaria General. En ella se podrá consultar o gestionar cualquier asunto en materia en protección de datos.
Responsable del tratamiento.– En los datos relativos a la Universidad de Granada será la propia Universidad. Pueden dirigirse a secretariageneral@ugr.es o a la dirección de email de la Oficina de protección de datos o a la Delegada.
Encargado del tratamiento.- Es quién gestiona los datos. Si es una aplicación externa sería la empresa externa con la cual debe haber un contrato para dicho tratamiento, siempre asociado al servicio que nos dé.
Para cualquier brecha de seguridad, exposición de datos personales, hay que avisar a la Oficina de protección de datos, caso de ser datos no informatizados, o el Servicio de Seguridad Informática del CSIRC (seguridadinformatica@ugr.es) caso de datos informatizados. En breve se hará público un procedimiento para toda la UGR para informar brechas de seguridad. En cualquier caso hay 72 horas, según ley, para avisar. ! Ojo ! de no hacerlo, si se ha detectado, puede ser sancionable.
Puede extender esta información aquí.
Deber de informar de brechas de seguridad en datos personales en un plazo de 72 horas.RGPD
La AEPD presenta una guía para gestionar y notificar las quiebras de seguridad según el Reglamento
- El documento ofrece a las organizaciones recomendaciones preventivas y un plan de actuación, de forma que conozcan cómo evitarlas y cómo proceder en caso de que se produzcan
- Desde el pasado 25 de mayo, es obligatorio notificar a la Agencia las brechas de seguridad que afecten a datos personales y constituyan un riesgo, cumpliendo unos plazos para ello
- Además, si existe un alto riesgo para los derechos y libertades también será obligatorio notificarlas a las personas cuyos datos pudieran haberse visto afectados
Comunicado completo de la Agencia de Protección de Datos (19 de junio 2018)