[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/12\/10\/violacion-datos-colegios-rgpd\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2018\/12\/10\/violacion-datos-colegios-rgpd\/","headline":"Violaci\u00f3n de datos en colegios, \u00bfc\u00f3mo deben notificarse para cumplir el RGPD?","name":"Violaci\u00f3n de datos en colegios, \u00bfc\u00f3mo deben notificarse para cumplir el RGPD?","description":"informate sobre como notificar una violacion de datos en colegios para cumplir el rgpd, que es una violacion de datos y consecuencias de no notificarla","datePublished":"2018-12-10","dateModified":"2022-11-17","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":100,"height":100},"url":"https:\/\/ayudaleyprotecciondatos.es\/2018\/12\/10\/violacion-datos-colegios-rgpd\/","about":["DENUNCIAS & SANCIONES","EDUCACI\u00d3N"],"wordCount":1140,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } Cualquier empresa que trate datos personales de residentes de los pa\u00edses miembros de la comunidad europea debe cumplir con el Reglamento General de Protecci\u00f3n de Datos.Dentro de las obligaciones que establece, est\u00e1 la de notificar\u00a0determinados tipos de incidentes de seguridad a las autoridades competentes en un plazo no mayor a 72 horas despu\u00e9s de tener conocimiento del incidente.Esta es una de las normas del RGPD m\u00e1s complejas en la pr\u00e1ctica, por lo que a continuaci\u00f3n os dar\u00e9 algunos consejos que los centros educativos pueden seguir para el debido cumplimiento de esa obligaci\u00f3n.\u00bfQu\u00e9 es una violaci\u00f3n de datos?Discriminaci\u00f3nRobo de identidad o fraudeP\u00e9rdidas econ\u00f3micasDa\u00f1o moralP\u00e9rdida de confidencialidadDesventajas socialesHe sufrido un incidente de seguridad, \u00bfAhora qu\u00e9 hago?\u00bfY si no lo notifico?\u00bfQu\u00e9 es una violaci\u00f3n de datos?Se usa normalmente el t\u00e9rmino violaci\u00f3n de datos como sin\u00f3nimo de ciberataque. Sin embargo, no todos los ciberataques derivan en violaci\u00f3n de datos, y no todas las violaciones de datos son resultado de un ciberataque.Se considera que existe violaci\u00f3n de datos cuando la confidencialidad, integridad y disponibilidad de la informaci\u00f3n se ven comprometidas.Esto abarca tambi\u00e9n incidentes de p\u00e9rdida, alteraci\u00f3n, corrupci\u00f3n o divulgaci\u00f3n p\u00fablica de informaci\u00f3n confidencial, adem\u00e1s del robo premeditado.Como ejemplos de violaci\u00f3n de datos en los centros educativos cabe destacar:Acceso no autorizado: Personal no autorizado o un alumno podr\u00edan acceder a informaci\u00f3n confidencial como consecuencia de deficientes medidas de seguridad existentes en la escuela.Acci\u00f3n u omisi\u00f3n deliberada o accidental: Un miembro del personal podr\u00eda destruir un PC en desuso sin formatear el disco duro. O en caso de registros en papel, que se tiran a la basura sin destruirlos antes.Comunicaci\u00f3n accidental: podr\u00eda enviarse un email por personal del centro con datos personales de un alumno al destinatario incorrecto.Modificaci\u00f3n: cualquiera podr\u00eda acceder al sistema de n\u00f3minas de un colegio e introducir informaci\u00f3n incorrectaUna violaci\u00f3n de datos deber\u00e1 ser notificada s\u00f3lo si representa un riesgo para los derechos y libertades de la persona afectada.Para esto, analizar\u00e9 las consecuencias de la violaci\u00f3n de datos en distintos escenarios.Discriminaci\u00f3nEsto es relevante cuando se compromete informaci\u00f3n como:Informaci\u00f3n sobre necesidades especiales de un alumnoHistorial m\u00e9dico de personal de la escuela o de alumnosRegistros de protecci\u00f3n infantilInformaci\u00f3n de n\u00f3mina de la organizaci\u00f3nInformaci\u00f3n sobre el rendimiento acad\u00e9mico del alumnoRobo de identidad o fraudeEsto es relevante cuando se compromete informaci\u00f3n como:Nombres, fechas de nacimiento y direccionesRegistros completos de informaci\u00f3n del alumnoP\u00e9rdidas econ\u00f3micasEsto es relevante cuando se compromete informaci\u00f3n como:Formularios de reclutamiento, datos de n\u00f3minas o informaci\u00f3n bancariaSoftware de pago de la escuela, informaci\u00f3n de facturaci\u00f3n o cuentas bancariasDa\u00f1o moralEsto es relevante cuando se compromete informaci\u00f3n como:Registros de desempe\u00f1o del personalRegistros de conducta de los alumnosP\u00e9rdida de confidencialidadEsto es relevante cuando se compromete informaci\u00f3n como:Registros de protecci\u00f3n infantilRegistros de desempe\u00f1o del personalDesventajas socialesEsto es relevante cuando se compromete informaci\u00f3n como:Informaci\u00f3n de n\u00f3minaInformaci\u00f3n sobre alumnos que reciben becas u otros apoyosLos incidentes de seguridad tambi\u00e9n deber\u00e1n informarse siempre que se vea comprometida informaci\u00f3n confidencial como:Origen racial o \u00e9tnicoAfiliaci\u00f3n pol\u00edtica, religiosa o filos\u00f3ficaAfiliaci\u00f3n sindicalDatos gen\u00e9ticos y de saludAntecedentes penalesTodos estos supuestos e informaci\u00f3n debes tener en cuenta en caso de sufrir un ataque en el colegio.He sufrido un incidente de seguridad, \u00bfAhora qu\u00e9 hago?Importante contar con un plan de acci\u00f3n previamente establecido.En primer lugar, dise\u00f1aremos un procedimiento para la detecci\u00f3n de incidencias.Es posible establecer procedimientos de alertas, verificaciones peri\u00f3dicas de los sistemas, programas inform\u00e1ticos especializados\u2026 Para ello pueden serte muy \u00fatiles los recursos que ofrecen organismos como INCIBE.Cualquier brecha de seguridad debe ser registrada y documentada.Llevaremos un registro de incidencias, que contenga la informaci\u00f3n sobre el suceso en cuesti\u00f3n. Tendremos en cuenta el tipo de amenaza, su contexto, categor\u00edas y tipos de afectados y las consecuencias que hayan podido derivarse del mismo.En caso de que se hayan visto afectados los derechos y libertades de los interesados por ese incidente, debemos proceder a notificarlo a la autoridad de control competente (en Espa\u00f1a la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos, AEPD), tan pronto como nos sea posible, y en todo caso, en un plazo m\u00e1ximo de 72 horas desde que tuvimos conocimiento de la misma.Si de la brecha de seguridad se derivaran perjuicios graves para los interesados, tambi\u00e9n habr\u00e1 que comunicarles a estos la incidencia en el plazo m\u00e1ximo de 72 horas, para que puedan tomar las medidas oportunas.\u00bfY si no lo notifico?Habr\u00e1 que determinar el nivel de responsabilidad de la misma y si \u00e9sta hab\u00eda tomado todas las medidas oportunas para evitar el incidente, siguiendo con la accountability que recoge el RGPD.Tambi\u00e9n debe tenerse en cuenta si ha ocasionado una lesi\u00f3n efectiva a los derechos y libertades de los interesados.No olvides que cualquier incidente de seguridad puede producir un da\u00f1o reputacional a la compa\u00f1\u00eda m\u00e1s grave a\u00fan que cualquier sanci\u00f3n que se le llegue a imponer.Por eso m\u00e1s vale prevenir que curar."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/12\/10\/violacion-datos-colegios-rgpd\/#breadcrumbitem","name":"Violaci\u00f3n de datos en colegios, \u00bfc\u00f3mo deben notificarse para cumplir el RGPD?"}}]}]