Violación de datos en escuelas: ¿En qué forma debe una institución académica reportar un incidente de seguridad para cumplir con el GDPR?

Share this…

Algunas recomendaciones para el cumplimiento del reglamento de seguridad de datos de la UE

Tal como han informado especialistas en seguridad informática y forense digital, todas las organizaciones que procesan datos personales de residentes de los países miembros de la comunidad europea deben cumplir con el Reglamento General de Protección de Datos de la Unión Europea (GDPR). La principal misión del GDPR es unificar las medidas de protección de datos entre los Estados miembros de la UE y garantizar que los ciudadanos tengan un mayor control sobre la manera en que estas organizaciones administran su información personal.

En consecuencia, los lineamientos para procesar datos personales se han vuelto más estrictos, lo que ha representado un inconveniente para algunas empresas, aunque pocas se han visto tan afectadas como las instituciones académicas. Estas organizaciones procesan cantidades considerables de información personal, pero la mayoría carecen de los recursos humanos, financieros y tecnológicos para la protección de la información.

El GDPR establece que una organización deberá informar determinados tipos de incidentes de seguridad a las autoridades competentes en un plazo no mayor a 72 horas después de tener conocimiento del incidente. Especialistas en forense digital consideran que esta es una de las normas del GDPR más complejas en la práctica, por lo que a continuación se brindan algunos consejos que las organizaciones pueden seguir para el debido cumplimiento de estos estándares.

Para comenzar, ¿qué es una violación de datos?

El término ‘violación de datos’ es frecuentemente utilizado como sinónimo de ciberataque. Sin embargo, no todos los ciberataques derivan en violación de datos, y no todas las violaciones de datos son resultado de un ciberataque.

Acorde a especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, la violación de datos se presenta cuando la confidencialidad, integridad y disponibilidad de la información se ve comprometida. Esto abarca también incidentes de pérdida, alteración, corrupción o divulgación pública de información confidencial, además del robo premeditado.

Algunos ejemplos de violación de datos en las escuelas son:

  • Acceso no autorizado: Un alumno o personal no autorizado podría acceder a información confidencial dadas las deficientes medidas de seguridad en una escuela
  • Acción u omisión deliberada o accidental: Un miembro del personal podría destruir una PC en desuso sin formatear el disco duro. Otro ejemplo son los registros en papel, que se envían a la basura sin ser destruidos antes
  • Divulgación accidental: un administrador podría enviar un email con datos personales de un alumno al destinatario incorrecto
  • Alteración: alguien podría acceder al sistema de nómina de una escuela e ingresar información incorrecta

GDPR dicta que una violación de datos deberá ser notificada sólo si representa un riesgo para los derechos y libertades de la persona afectada. Para esto, las consecuencias de la violación de datos deben llevar a escenarios como:

  1. Discriminación

Esto es relevante cuando se compromete información como:

  • Información sobre necesidades especiales de un alumno
  • Historial médico de alumnos o personal de la escuela
  • Registros de protección infantil
  • Información de nómina de la organización
  • Información sobre el rendimiento académico del alumno
  1. Robo de identidad o fraude

Esto es relevante cuando se compromete información como:

  • Nombres, fechas de nacimiento y direcciones
  • Registros completos de información del alumno
  1. Pérdidas económicas

Esto es relevante cuando se compromete información como:

  • Información bancaria, datos de nómina o formularios de reclutamiento
  • Software de pago de la escuela, información de facturación o cuentas bancarias
  1. Daño moral

Esto es relevante cuando se compromete información como:

  • Registros de desempeño del personal
  • Registros de conducta de los alumnos
  1. Pérdida de confidencialidad

Esto es relevante cuando se compromete información como:

  • Registros de protección infantil
  • Registros de desempeño del personal
  1. Desventajas sociales

Esto es relevante cuando se compromete información como:

  • Información de nómina
  • Información sobre alumnos que reciben becas u otros apoyos

Los incidentes de seguridad también deberán informarse siempre que se vea comprometida información confidencial como:

  • Origen racial o étnico
  • Afiliación política, religiosa o filosófica
  • Afiliación sindical
  • Datos genéticos y de salud
  • Antecedentes penales

La información sensible se puede encontrar a lo largo de toda la infraestructura informática de una escuela, consideran especialistas en forense digital. Al considerar tantos escenarios como sea posible, las organizaciones se acercarán en mayor medida al total cumplimiento con esta estricta reglamentación.