Ayuda Ley Protección Datos

Violación de datos en colegios, ¿cómo deben notificarse para cumplir el RGPD?

Cualquier empresa que trate datos personales de residentes de los países miembros de la comunidad europea debe cumplir con el Reglamento General de Protección de Datos.

Dentro de las obligaciones que establece, está la de notificar determinados tipos de incidentes de seguridad a las autoridades competentes en un plazo no mayor a 72 horas después de tener conocimiento del incidente.

Esta es una de las normas del RGPD más complejas en la práctica, por lo que a continuación os daré algunos consejos que los centros educativos pueden seguir para el debido cumplimiento de esa obligación.

¿Qué es una violación de datos?

Se usa normalmente el término violación de datos como sinónimo de ciberataque. Sin embargo, no todos los ciberataques derivan en violación de datos, y no todas las violaciones de datos son resultado de un ciberataque.

Se considera que existe violación de datos cuando la confidencialidad, integridad y disponibilidad de la información se ven comprometidas.

Esto abarca también incidentes de pérdida, alteración, corrupción o divulgación pública de información confidencial, además del robo premeditado.

Como ejemplos de violación de datos en los centros educativos cabe destacar:

Una violación de datos deberá ser notificada sólo si representa un riesgo para los derechos y libertades de la persona afectada.

Para esto, analizaré las consecuencias de la violación de datos en distintos escenarios.

Discriminación

Esto es relevante cuando se compromete información como:

Robo de identidad o fraude

Esto es relevante cuando se compromete información como:

Pérdidas económicas

Esto es relevante cuando se compromete información como:

Daño moral

Esto es relevante cuando se compromete información como:

Pérdida de confidencialidad

Esto es relevante cuando se compromete información como:

Desventajas sociales

Esto es relevante cuando se compromete información como:

Los incidentes de seguridad también deberán informarse siempre que se vea comprometida información confidencial como:

Todos estos supuestos e información debes tener en cuenta en caso de sufrir un ataque en el colegio.

He sufrido un incidente de seguridad, ¿Ahora qué hago?

Importante contar con un plan de acción previamente establecido.

En primer lugar, diseñaremos un procedimiento para la detección de incidencias.

Es posible establecer procedimientos de alertas, verificaciones periódicas de los sistemas, programas informáticos especializados… Para ello pueden serte muy útiles los recursos que ofrecen organismos como INCIBE.

Cualquier brecha de seguridad debe ser registrada y documentada.

Llevaremos un registro de incidencias, que contenga la información sobre el suceso en cuestión. Tendremos en cuenta el tipo de amenaza, su contexto, categorías y tipos de afectados y las consecuencias que hayan podido derivarse del mismo.

En caso de que se hayan visto afectados los derechos y libertades de los interesados por ese incidente, debemos proceder a notificarlo a la autoridad de control competente (en España la Agencia Española de Protección de Datos, AEPD), tan pronto como nos sea posible, y en todo caso, en un plazo máximo de 72 horas desde que tuvimos conocimiento de la misma.

Si de la brecha de seguridad se derivaran perjuicios graves para los interesados, también habrá que comunicarles a estos la incidencia en el plazo máximo de 72 horas, para que puedan tomar las medidas oportunas.

¿Y si no lo notifico?

Habrá que determinar el nivel de responsabilidad de la misma y si ésta había tomado todas las medidas oportunas para evitar el incidente, siguiendo con la accountability que recoge el RGPD.

También debe tenerse en cuenta si ha ocasionado una lesión efectiva a los derechos y libertades de los interesados.

No olvides que cualquier incidente de seguridad puede producir un daño reputacional a la compañía más grave aún que cualquier sanción que se le llegue a imponer.

Por eso más vale prevenir que curar.