La setmana passada us parlàvem dels principis bàsics que regeixen el Tractament de les dades pels Centres escolars així com la legitimació que pot emparar qualsevol Tractament de dades. Aquesta setmana us proposarem una sèrie de mesures de seguretat, sempre seguint les directrius que marca la pròpia AEPD a la guia sectorial dirigida a les escoles.
Les administracions públiques que actuen com a responsables de tractament quan exerceixen aquesta funció així com els centres docents, hauran de complir amb una sèrie de mesures de seguretat encaminades a protegir les dades personals que obren en el seu poder per garantir la confidencialitat, disponibilitat i integritat de les dades personals .
Aquestes mesures son de caràcter tant tècnic com organitzatiu i certificaran que ofereixen suficient protecció per les seves dades enfront del tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental.
Així mateix, i exponencialment, les administracions educatives han de complir, a més d’aquests principis bàsics i requisits mínims del RGPD-LOPDGDD, amb el que estableix l’Esquema Nacional de Seguretat (Reial Decret 3/2010, de 8 de gener, pel qual es regula l’Esquema Nacional de Seguretat en l’àmbit de l’Administració Electrònica).
Ni el RGPD ni la LOPDGDD estableixen un catàleg d’aplicació de mesures de seguretat , però per determinar quines d’aquestes mesures es poden aplicar es parteix de les següents premisses:
* En primer lloc i relacionat amb el principi d’accountability (responsabilitat activa), els responsables hauran de realitzar una anàlisi de riscos per valorar quins riscos i amenaces s’associen al tractament realitzat i així poder acotar millor quines mesures s’han d’aplicar i com fer-ho.
* En segon lloc, i en funció dels riscos detectats durant l’anàlisi realitzada prèviament, els responsables i encarregats han d’adoptar les mesures de seguretat, tenint en compte, tal com indica el RGPD:
* l’estat de la tècnica
* els costos d’aplicació d’aquestes mesures
* la naturalesa, abast, context i fins del tractament
*els riscos per als drets i llibertats
El RGPD preveu que cada responsable, centre o administració educativa mantingui la documentació relativa a les activitats de tractament efectuades sota la seva responsabilitat i inclogui, quan això sigui possible, una descripció general de les mesures de seguretat adoptades.
Una de les mesures organitzatives bàsiques dels centres i les administracions educatives, com a responsables del tractament, és garantir que qualsevol persona que actuï sota la seva autoritat i tingui accés a dades personals només pugui tractar aquestes dades en l’exercici de les funcions que tingui assignades.
En matèria de seguretat de la informació, i seguint la Guia Sectorial esmentada, us indiquem dues webs que us poden ajudar a l’hora d’aplicar les mesures de seguretat:
- Web del Centre Criptològic Nacional (CCN-CERT), dirigit fonamentalment a les Administracions públiques. S’hi ofereixen recursos relacionats amb la seguretat de la informació, com la notificació d’incidències, eines per realitzar anàlisis de riscos i recursos per al compliment de l’Esquema Nacional de Seguretat (ENS).
- Web de l’Institut Nacional de Ciberseguretat (INCIBE) i l’Oficina de Seguretat de l’Internauta (OSI), on es troben disponibles eines per a l’autodiagnòstic i la formació sobre ciberseguretat.
Durant les properes setmanes us parlarem de quines dades es poden recollir en els centres docents, i la forma de recollir-los de forma lícita per finalitzar la sèrie de RGPD I CENTRES DOCENTS amb un decàleg a manera de resum d’aquesta sèrie de posts.