La semana pasada os hablamos de los principios básicos que rigen el tratamiento de los datos por los centros escolares así como la legitimación que puede amparar cualquier tratamiento de datos. Esta semana os propondremos una serie de medidas de seguridad, siempre siguiendo las directrices que marca la propia AEPD en la guía sectorial dirigida las escuelas.
Las Administraciones públicas que actúan como responsables de tratamiento cuando ejercen dicha función así como los centros docentes deberán cumplir con una serie de medidas de seguridad encaminadas a proteger los datos personales que obran en su poder para garantizar la confidencialidad, disponibilidad e integridad de los datos personales.
Estas medidas son de carácter tanto técnico como organizativo y certificarán que éstas ofrecen suficiente protección para los citados datos frente al tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
Asimismo, y a mayor abundamiento, las Administraciones educativas deberán cumplir, además de con los principios básicos y requisitos mínimos del RGPD-LOPDGDD, con lo establecido en el Esquema Nacional de Seguridad (Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica).
Ni el RGPD ni la LOPDGDD establecen un catálogo de medidas de seguridad a aplicar, pero para determinar qué medidas de seguridad pueden aplicarse puede partirse de las siguientes premisas:
*En primer lugar y relacionado con el principio de accountability (responsabilidad activa), los responsables deberán realizar un análisis de riesgos para valorar qué riesgos y amenazas se asocian al tratamiento realizado y así poder acotar mejor qué medidas se deben aplicar y cómo hacerlo.
*En segundo lugar, y en función de los riesgos detectados en el análisis realizado previamente, los responsables y encargados deben adoptar las medidas de seguridad, teniendo en cuenta, tal y como indica el RGPD,:
*el estado de la técnica
*los costes de aplicación de dichas medidas
*la naturaleza, alcance, contexto y fines del tratamiento
*los riesgos para los derechos y libertades
El RGPD prevé que cada responsable, centro o Administración educativa mantenga la documentación relativa a las actividades de tratamiento efectuadas bajo su responsabilidad e incluya, cuando ello sea posible, una descripción general de las medidas de seguridad adoptadas.
Una de las medidas organizativas básicas de los centros y las Administraciones educativas, como responsables del tratamiento, es garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo pueda tratar dichos datos en el ejercicio de las funciones que tenga asignadas.
En materia de seguridad de la información, y siguiendo la Guía Sectorial mencionada, os indicamos dos webs que os pueden ayudar a la hora de aplicar las medidas de seguridad:
- Web del Centro Criptológico Nacional (CCN-CERT), dirigido fundamentalmente a las Administraciones públicas. En ella se ofrecen recursos relacionados con la seguridad de la información, como la notificación de incidencias, herramientas para realizar análisis de riesgos y recursos para el cumplimiento del Esquema Nacional de Seguridad (ENS).
- Web del Instituto Nacional de Ciberseguridad (INCIBE) y la Oficina de Seguridad del Internauta (OSI), donde se encuentran disponibles herramientas para el autodiagnóstico y la formación sobre ciberseguridad.
En las próximas semanas os hablaremos de qué datos pueden recogerse en los centros docentes, y la forma de recogerlos de forma lícita, para ya terminar la serie de RGPD Y CENTROS DOCENTES con un decálogo a modo de resumen de esta serie de posts .