Cualquier empresa que trate datos personales de residentes de los países miembros de la comunidad europea debe cumplir con el Reglamento General de Protección de Datos.
Dentro de las obligaciones que establece, está la de notificar determinados tipos de incidentes de seguridad a las autoridades competentes en un plazo no mayor a 72 horas después de tener conocimiento del incidente.
Esta es una de las normas del RGPD más complejas en la práctica, por lo que a continuación os daré algunos consejos que los centros educativos pueden seguir para el debido cumplimiento de esa obligación.
¿Qué es una violación de datos?
Se usa normalmente el término violación de datos como sinónimo de ciberataque. Sin embargo, no todos los ciberataques derivan en violación de datos, y no todas las violaciones de datos son resultado de un ciberataque.
Se considera que existe violación de datos cuando la confidencialidad, integridad y disponibilidad de la información se ven comprometidas.
Esto abarca también incidentes de pérdida, alteración, corrupción o divulgación pública de información confidencial, además del robo premeditado.
Como ejemplos de violación de datos en los centros educativos cabe destacar:
- Acceso no autorizado: Personal no autorizado o un alumno podrían acceder a información confidencial como consecuencia de deficientes medidas de seguridad existentes en la escuela.
- Acción u omisión deliberada o accidental: Un miembro del personal podría destruir un PC en desuso sin formatear el disco duro. O en caso de registros en papel, que se tiran a la basura sin destruirlos antes.
- Comunicación accidental: podría enviarse un email por personal del centro con datos personales de un alumno al destinatario incorrecto.
- Modificación: cualquiera podría acceder al sistema de nóminas de un colegio e introducir información incorrecta
Una violación de datos deberá ser notificada sólo si representa un riesgo para los derechos y libertades de la persona afectada.
Para esto, analizaré las consecuencias de la violación de datos en distintos escenarios.
Discriminación
Esto es relevante cuando se compromete información como:
- Información sobre necesidades especiales de un alumno
- Historial médico de personal de la escuela o de alumnos
- Registros de protección infantil
- Información de nómina de la organización
- Información sobre el rendimiento académico del alumno
Robo de identidad o fraude
Esto es relevante cuando se compromete información como:
- Nombres, fechas de nacimiento y direcciones
- Registros completos de información del alumno
Pérdidas económicas
Esto es relevante cuando se compromete información como:
- Formularios de reclutamiento, datos de nóminas o información bancaria
- Software de pago de la escuela, información de facturación o cuentas bancarias
Daño moral
Esto es relevante cuando se compromete información como:
- Registros de desempeño del personal
- Registros de conducta de los alumnos
Pérdida de confidencialidad
Esto es relevante cuando se compromete información como:
- Registros de protección infantil
- Registros de desempeño del personal
Desventajas sociales
Esto es relevante cuando se compromete información como:
- Información de nómina
- Información sobre alumnos que reciben becas u otros apoyos
Los incidentes de seguridad también deberán informarse siempre que se vea comprometida información confidencial como:
- Origen racial o étnico
- Afiliación política, religiosa o filosófica
- Afiliación sindical
- Datos genéticos y de salud
- Antecedentes penales
Todos estos supuestos e información debes tener en cuenta en caso de sufrir un ataque en el colegio.
He sufrido un incidente de seguridad, ¿Ahora qué hago?
Importante contar con un plan de acción previamente establecido.
En primer lugar, diseñaremos un procedimiento para la detección de incidencias.
Es posible establecer procedimientos de alertas, verificaciones periódicas de los sistemas, programas informáticos especializados… Para ello pueden serte muy útiles los recursos que ofrecen organismos como INCIBE.
Cualquier brecha de seguridad debe ser registrada y documentada.
Llevaremos un registro de incidencias, que contenga la información sobre el suceso en cuestión. Tendremos en cuenta el tipo de amenaza, su contexto, categorías y tipos de afectados y las consecuencias que hayan podido derivarse del mismo.
En caso de que se hayan visto afectados los derechos y libertades de los interesados por ese incidente, debemos proceder a notificarlo a la autoridad de control competente (en España la Agencia Española de Protección de Datos, AEPD), tan pronto como nos sea posible, y en todo caso, en un plazo máximo de 72 horas desde que tuvimos conocimiento de la misma.
Si de la brecha de seguridad se derivaran perjuicios graves para los interesados, también habrá que comunicarles a estos la incidencia en el plazo máximo de 72 horas, para que puedan tomar las medidas oportunas.
¿Y si no lo notifico?
Habrá que determinar el nivel de responsabilidad de la misma y si ésta había tomado todas las medidas oportunas para evitar el incidente, siguiendo con la accountability que recoge el RGPD.
También debe tenerse en cuenta si ha ocasionado una lesión efectiva a los derechos y libertades de los interesados.
No olvides que cualquier incidente de seguridad puede producir un daño reputacional a la compañía más grave aún que cualquier sanción que se le llegue a imponer.
Por eso más vale prevenir que curar.