Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de Proteccion de datos

Informe para realizar evaluación de impacto en protección de datos.

La AEPD publica un modelo de informe para ayudar a las Administraciones Públicas a realizar evaluaciones impacto en la protección de datos

Publicado el:
miércoles, 10 julio 2019

  • Recopila todos los aspectos que deben ser tenidos en cuenta por las AAPP para elaborar un informe de Evaluación de Impacto (EIPD), complementando a la Guía práctica publicada por la Agencia
  • El modelo ha sido elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social

La Agencia Española de Protección de Datos (AEPD) ha publicado un modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) dirigido a Administraciones Públicas con el fin de facilitar la realización de estas evaluaciones y desarrollado a partir de la Guía práctica para las Evaluaciones de Impacto en la Protección de Datos, publicada por la AEPD. El modelo ha sido elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social.

Entre las obligaciones que el Reglamento General de Protección de Datos (RGPD) impone a los responsables del tratamiento se encuentra la necesidad de evaluar el impacto de las actividades de tratamiento en la protección de datos cuando resulte probable que dicho tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas.

El modelo recopila todos los aspectos que deben ser tenidos en cuenta para elaborar un informe de evaluación de impacto, entre los que se encuentra la descripción del tratamiento, la base jurídica que lo justifica, los análisis del tratamiento, de la obligación de realizar una EIPD o de cumplimiento, así como las medidas para la reducción del riesgo, un plan de acción y un apartado de conclusiones y recomendaciones.

Si bien este modelo no va dirigido a responsables que efectúen tratamientos de datos de bajo riesgo, en aquellos casos en que no sea obligatorio hacer una evaluación de impacto puede valorarse la posibilidad de llevar a cabo este análisis con otros fines, como estudiar en profundidad un tratamiento; mejorar la gestión global de los procesos de una organización; generar conocimiento y cultura de protección de datos, o hacer un ejercicio de responsabilidad proactiva.

Más información

Protocolo de comunicación de brechas de seguridad en UGR para datos personales.

Según aparece en la Ley de Protección de Datos se deben comunicar las fugas de información a la Agencia de Protección de Datos. A través de la Oficina de Protección de Datos de la UGR se ha establecido un protocolo de comunicación de dichas fugas/brechas de seguridad. Lo puede ver en la página web de Secretaría General en este enlace.

Se han añadido varios ejemplos de situaciones en las que debemos actuar. Hay que hacer notar que hay que notificarlo en las 72 horas posteriores a su detección, puede conllevar multas de no hacerlo.

Medidas de protección para datos personales.

En la Ley Orgánica 3/2018 ,del 5 de diciembre del 2018, sobre protección de datos aparece  que debemos aplicar una serie de medidas de seguridad en la protección de los datos personales, todo enmarcado en el Esquema Nacional de Seguridad. Así mismo en el Reglamento de la Unión Europea sobre protección de datos dice que cada pais definirá las medidas. En este sentido la Oficina de Protección de Datos y la Delegada de Protección de Datos de la UGR , junto con el área de seguridad informática del CSIRC, se establecen unas medidas básicas a cumplir en la protección de los datos personales. Dicho documento lo puede encontrar en la página web de Secretaría General en este enlace.

Cifrado de información en la nube.

Cifrado de discos

Como continuación de este post del año pasado os quiero hacer referencia a la herramienta para cifrado de información en la nube llamada boxcryptor, pincha en este enlace para saber más. Es gratuita para un usuario de un site de almacenamiento en la nube.

Igualmente puedes usar veracrypt, claro que esto vale para discos externos y demas variaciones de dispositivos de almacenamiento, puedes ver un pequeño manual gracias a security-in-the-box en este enlace.

Espero que os sea de interés.