Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de LOPD

Charlas para centros sobre seguridad de la información.

Comenzamos este ciclo de charlas en el centro de de Trabajo Social (17 de marzo a las 9:00) , en el Campus de Ceuta (20 de marzo a las 11:00) y en la ETSICCP el día 31 de marzo, junto con la Oficina de Protección de Datos, la Delegada de Protección de Datos  y el Responsable de Seguridad de la Información de la UGR.

 

CONTENIDO:

Presentación Servicio de Seguridad Informática.

Área formada por dos personas que actualmente estamos realizando, entre otras, las siguientes funciones:

  •    Gestión de incidencias de ciberseguridad.
  •    Asesoría ciberseguridad.
  •    Control de vulnerabilidades en equipos.
  •    Gestión de documentación y control del ENS en el CSIRC.
  •    Tareas de cibervigilacia.
  •    Comunicación brechas de datos personales al CTyPDA.
  •    Concienciación y formación a toda la Institución. (FPAS,FIDO,Mentordatos,Emails, blogs seguridad,blog protección de datos,charlas,..)
  •    Participación de proyectos de ciberseguridad en la CRUE sectorial TIC.
  •    Contacto con el CCN, INCIBE, Policia, Juzgados, … para la resolución sobre diferentes incidencias.
  •    ….. y lo que venga en materia de ciberseguridad.

La seguridad de la información se encuentra distribuida en el resto de áreas del CSIRC desde los diferentes administradores de áreas.

En materia de concienciación aconsejo dar una vuelta por las píldoras formativas en el blog de seguridad..

Tenemos en la página de Secretaria General un apartado dedicado a normativas en materia de seguridad de la información  Página Seguridad Información principalmente relacionado con el ENS (Esquema Nacional de Seguridad) en el que estamos certificados.

En materia de protección de datos existe un Protocolo comunicación brechas de seguridad en proteción de datos personales.

Este protocolo nos orienta para cumplir con la obligación de comunicar a la autoridad de control, en nuestro caso el Consejo de Transparencia y Protección de Datos de Andalucia, en un plazo máximo de 72 horas desde que se descubre.

En el RGPD,  Reglamento (UE) 2016/679, aparece un concepto que es “accountability”, o lo que podríamos denominar responsabilidad proactiva para con los datos personales, deja que las medidas de seguridad las apliquemos nosotros como mejor veamos para proteger la información.

En la ley 3/2018, LOPDGDD, aparece en la disposición adicional primera, que debemos aplicar Esquema Nacional de Seguridad en las administraciones públicas, actualmente R.D. 311/2022. La UGR está certificada desde hace unos años en un alcance que cubre el CSIRC, principalmente. Aunque de momento es en el antiguo R.D. 3/2010 en los próximos dos años debemos adecuarnos al nuevo que se ha publicado este año.

La UGR, a través de la Oficina de Protección de datos, aconsejó  unas medidas básicas en el siguiente documento:

Medidas básicas de seguridad Informática.

  •    Datos automatizados
  •    Datos en papel
  •    Nube
  •    Seguridad en las App’s

De igual forma si queremos resumir aun mas las medidas de seguridad podemos ver este post Medidas mínimas de seguridad en nuestros equipos de trabajo. (ugr.es)

CCN contra el ransomware  MicroCLAUDIA software antiransomware, instalatelo si tienes windows. (ugr.es)

Para cualquier pregunta se puede mandar email a  seguridadinformatica@ugr.es

Algunos videos explicativos protocolo de comunicación de brechas y de medidas básicas. Enlace.

 

¿Te han suplantado en RRSS?

 

Si suplantan tu identidad en redes sociales, contacta con la plataforma:

Twitter: help.twitter.com/es/forms/authe

Facebook: facebook.com/help/174210519

TikTok: support.tiktok.com/es/safety-hc/r

Instagram: facebook.com/help/instagram

28 de enero día internacional de la protección de datos personales.

En 2006 el Consejo de Europa y la Comisión Europea tuvieron la iniciativa de establecer un Día internacional de la Protección de Datos Personales con el objetivo de ayudar a ciudadanos y empresas a comprender sus derechos y responsabilidades en materia de protección de datos, desde entonces todos los 28 de enero se conmemora la cultura de la protección de datos y se desarrollan actividades dirigidas a concienciar a los ciudadanos sobre la importancia de proteger su privacidad.

El día 28 de enero de 2023 es el décimo séptimo aniversario de su celebración y reviste de una especial importancia dado que nos encontramos ante importantes novedades normativas en materia de protección de datos y privacidad como son:

  • La aplicación del Reglamento (UE) 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a  la libre  circulación de  estos
  • La entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Puedes consultar tus derechos en esta infografía que ha preparado la Agencia Española de Protección de Datos  cuales-son-tus-derechos-de-proteccion-de-datos

Con motivo de este día el Instituto de Ciberseguridad ha hecho la siguiente publicación https://www.incibe.es/protege-tu-empresa/blog/dia-europeo-proteccion-datos-garantia-proteccion-los-usuarios

 

 

Protección de datos y ciberseguridad para entornos docentes.

Os dejo una recopilacion de información sobre generalidades del nuevo Reglamento y de la Ley de  Proteccion de Datos y Garantía de los Derechos Digitales orientados a centros educativos.

Nuevo Reglamento – Introducción

El Parlamento Europeo y el Consejo aprobó finalmente el Reglamento General de Protección de Datos (RGPD), que, con la aspiración de unificar los regímenes de todos los Estados Miembros sobre la materia, entró en vigor el día 25 de mayo de 2016, si bien su cumplimiento se hizo obligatorio transcurridos dos años desde dicha fecha. Estas son las principales novedades que establece la nueva norma en relación con la antigua LOPD.

Nuevos Principios

  • PRINCIPIO DE RESPONSABILIDAD (ACCOUNTABILITY). Habrá que implementar mecanismos que permitan acreditar que se han adoptando todas las medidas necesarias para tratar los datos personales como exige la norma. Es una responsabilidad proactiva. Las organizaciones deben ser capaces de demostrar que cumplen dichas exigencias, lo cual obligará a desarrollas políticas, procedimientos, controles, etc.
  • PRINCIPIOS DE PROTECCIÓN DE DATOS POR DEFECTO Y DESDE EL DISEÑO. Se deberán adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de dato, como regla y desde el origen.
  • PRINCIPIO DE TRANSPARENCIA. Los avisos legales y políticas de privacidad deberán ser más simples e inteligibles, facilitando su comprensión, además de más completos. Incluso se prevé que, con el fin de informar sobre el tratamiento de los datos, puedan utilizarse iconos normalizados.

Nuevas obligaciones para empresas, administraciones y otras entidades

  • En ocasiones, será obligatorio designar un Delegado de Protección de Datos (DPO), interno o externo, que asista a las organizaciones en el proceso de cumplimiento normativo. No obstante, la complejidad de la nueva norma hará muy recomendable esta figura en la inmensa mayoría de organizaciones.
  • En ciertos casos, se deberán realizar EVALUACIONES DE IMPACTO SOBRE LA PRIVACIDAD, que determinen los riesgos específicos que supone tratar ciertos datos de carácter personal y prevean medidas para mitigar o eliminar dichos riesgos.
  • Las empresas multinacionales tendrán como interlocutora a una sola autoridad de control nacional: la del establecimiento principal de la entidad. Es lo que se conoce como VENTANILLA ÚNICA.
  • Las BRECHAS DE SEGURIDAD deberán ser comunicadas a las autoridades de control y, en casos graves, a los afectados, tan pronto sean conocidas, estableciéndose el plazo máximo de 72 horas.
  • DATOS SENSIBLES: Se amplían los datos especialmente protegidos, incluyendo ahora los datos genéticos y biométricos. Se incluyen también en esta categoría las infracciones y condenas penales, aunque no las administrativas.
  • La SELECCIÓN de un encargado del tratamiento se endurece, puesto que habrá que elegir uno que aporte suficientes garantías de cumplimiento normativo.
  • GARANTÍAS ADICIONALES PARA LAS TRANSFERENCIAS INTERNACIONALES DE DATOS: Establecimiento de garantías más estrictas y mecanismos de seguimiento en relación con las transferencias internacionales de datos fuera de la Unión Europea.
  • SELLOS Y CERTIFICACIONES: Se prevé que se creen sellos y certificaciones de cumplimiento que permiten acreditar la Accountability por parte de las organizaciones.
  • DESAPARECE LA OBLIGACIÓN DE INSCRIBIR LOS FICHEROS, que se sustituye por un control interno y, en algunos casos, un inventario de las operaciones de tratamiento de datos que se realicen, que se intuye de un contenido similar al que actualmente tiene el formulario NOTA.
  • SANCIONES: Las cuantías de las sanciones por incumplimiento de la norma crecen, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual (no se excluye de las multas a las Administraciones Públicas, aunque los Estados Miembros pueden acordarlo así).

Nuevos derechos para los ciudadanos

  • TRANSPARENCIA e INFORMACIÓN. Las organizaciones, al tratar datos personales, deben proporcionar mayor información y de un modo más inteligible, completo y sencillo, lo que favorecerá la toma de decisiones por el ciudadano. Se tiene una especial consideración con los menores de edad en este punto.
  • CONSENTIMIENTO. El consentimiento para poder tratar datos de carácter personal ha de ser inequívoco, libre y revocable y deberá darse mediante un acto afirmativo claro. No se admite consentimiento tácito.
  • DERECHO AL OLVIDO. Se podrá revocar el consentimiento prestado para el tratamiento de datos personales en cualquier momento, pudiendo exigir la supresión y eliminación de los datos en redes sociales o buscadores de internet.
  • DERECHO A LA LIMITACIÓN DEL TRATAMIENTO. Permite al ciudadano solicitar el bloqueo temporal del tratamiento de sus datos cuando existan controversias sobre su licitud.
  • PORTABILIDAD DE LOS DATOS. Se permitirá al ciudadano solicitar la transferencia de los datos personales de un proveedor de servicios en Internet a otro.
  • DENUNCIAS. Se podrán presentar denuncias a través de asociaciones de usuarios.
  • INDEMNIZACIONES. Se reconoce la posibilidad de exigir indemnización de daños y perjuicios derivados del tratamiento ilícito de los datos personales.
  • El responsable del fichero podrá establecer un CANON a la contestación de los ejercicios del derecho de acceso, teniendo en cuentas los costes administrativos que ello le suponga.

 

BREVE RESUMEN DE LA LEY 3/2018. LOPDGDD.

El siguiente enlace nos da una visión general de nuestra ley estatal que deriva en su mayo número de articulado del RGPD, si bien se añaden una serie de artículos para garantizar los derechos digitales, tales como los que aparencen en los articulos 83 y 84 sobre educacion digital y cuidar de los menores.

LOPDGDD

 

ALGUNOS ASPECTOS A TENER EN CUENTA CON LOS MENORES

En el caso de los niños y jóvenes menores de edad existen unas características especiales para el tratamiento de su información que tenemos que tener en cuenta, con particularidades que no son las mismas que las de los adultos.

  1. Consentimiento a partir de los 14 años

El tratamiento de los datos personales de un menor de edad en España solo podrá realizarse con su  consentimiento cuando sea mayor de 14 años. Por otro lado, el tratamiento de datos de menores de 14 años fundado en el consentimiento solo se podrá realizar si se lleva a cabo por el titular de la patria potestad o tutela.

Es decir, en España se pueden recabar los datos de los menores a partir de los 14 años, siempre con el consentimiento expreso de los mismos. Si se trata de menores de esa edad, el consentimiento lo prestarán los padres o tutores.

  1. Ejercicio de los derechos recogidos en el RGPD

Del mismo modo, los jóvenes mayores de 14 años se encuentran habilitados para ejercer los derechos contemplados en el reglamento como el acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento.

En el caso de los menores de 14 años, el ejercicio de estos derechos se realizará siempre por quien ostente la patria potestad o por sus tutores.

  1. El especial tratamiento en colegios

Las principales dudas sobre el tratamiento de datos, imágenes y vídeos de menores suelen surgir en el ámbito escolar. En este contexto, es necesario diferenciar entre dos situaciones:

* Eventos organizados por el centro

En un evento al margen de la función educativa, el centro debe informar a los mayores de 14 años y, si tienen menos de esa edad, solicitar el consentimiento expreso a los padres y tutores. Se debe informar de la difusión que se hará de estas imágenes, por ejemplo, en la página web o en las redes sociales. Si no se da ese consentimiento, el centro solo puede publicar las imágenes en las que aparezca el menor solo de forma en la que no sea identificable, por ejemplo, pixeladas.

* Ejercicio de la función educativa

En el caso en el que el evento responda al  ejercicio de la función educativa de los centros la utilización de los datos para dicha finalidad se entendería amparada en la Ley Orgánica de Educación.

En cualquier caso, la AEPD recomienda que el centro educativo solicite el permiso a los padres para la participación de los menores en eventos escolares y que informe de que es posible que familiares y amigos de los alumnos puedan tomar imágenes del evento para un uso doméstico.

Asimismo, recomienda como buena práctica que antes de que comience el evento el centro informe de que su grabación solo se puede usar en el ámbito doméstico y no para su publicación en abierto.

 

Diferentes enlaces de interés:

 

Algunas web de seguridad de la información y/o privacidad para jovenes.

* Tu decides en internet  https://www.tudecideseninternet.es/aepd/

Algunas fuentes utilizadas:

https://rgpd.es/

RGPD y Menores: 3 Aspectos a tener en cuenta