Legislación y protección de datos – Análisis de riesgos (1).

Legislación y protección de datos – Análisis de riesgos (1).

1. Enunciado de la práctica.


Este ejercicio práctico se enfoca en la realización de un análisis de riesgos legales asociados al cumplimiento de las normativas de protección de datos, prestando especial atención a las medidas de seguridad de la información requeridas.

El análisis se centrará específicamente en el sistema de gestión de registros académicos de estudiantes de enseñanza primaria y secundaria en España. Las comunidades autónomas del país utilizan sistemas informáticos para que el personal docente pueda ingresar calificaciones y llevar un seguimiento del rendimiento y comportamiento de los estudiantes. En estos registros se concentran voluminosas cantidades de datos, recopilados por las instituciones educativas y centralizados en servidores asignados por cada comunidad autónoma. Se solicita a los expertos en seguridad de la información que evalúen los riesgos legales asociados al uso de las TIC y la protección de los datos personales dentro de estos sistemas.

Entre los datos almacenados en servidores centralizados, se incluyen:

  1. Datos identificativos de los centros educativos.
  2. Datos identificativos y de circunstancias personales del personal docente.
  3. Datos identificativos, de circunstancias personales y registros académicos de los estudiantes.

Además, en los ordenadores de uso local situados en las instituciones educativas, en los departamentos de educación de los gobiernos regionales y en los ayuntamientos, se manejan:

  1. Datos personales de los registros académicos de los usuarios del sistema.
  2. Datos personales del personal docente.
  3. Bases de datos con historiales de registros académicos, traslados y cambios de centro, entre otros.
  4. Datos personales utilizados en centros concertados, como nombres y direcciones de los responsables.

Es crucial recordar que muchos de estos datos corresponden a menores de edad.

Con base en esta información, se plantean las siguientes tareas:

  1. Identificar diez posibles amenazas a la seguridad de los datos personales gestionados por el sistema, considerando aspectos como la disponibilidad, integridad y confidencialidad. El Real Decreto 1720/2007 puede servir como guía para determinar posibles amenazas a partir de las medidas de seguridad establecidas.
  2. Analizar las vulnerabilidades presentes en el sistema y reflexionar sobre estas.
  3. Evaluar el impacto de las amenazas identificadas utilizando una escala de impacto de 1 a 5.
  4. Estimar la probabilidad de ocurrencia de cada amenaza, empleando una escala de probabilidad de 1 a 5.
  5. Calcular el riesgo inherente resultante de la combinación del impacto y la probabilidad de cada amenaza.

2. Solución propuesta.


A través de la siguiente tabla se da respuesta a las cinco cuestiones solicitadas, acotando el número de amenazas a las diez solicitadas.

Para realizar el análisis de una manera más visual, se ha considerado el siguiente código de colores:

  • Color gris = valores de severidad muy baja de impacto, probabilidad y riesgo inherente.
  • Color verde = valores de severidad baja de impacto, probabilidad y riesgo inherente.
  • Color amarillo = valores de severidad media de impacto, probabilidad y riesgo inherente.
  • Color naranja = valores de severidad alta de impacto, probabilidad y riesgo inherente.
  • Color rojo = valores de severidad muy alta de impacto, probabilidad y riesgo inherente.

Para el cálculo del riesgo inherente se ha desarrollado la siguiente tabla de riesgo, con una escala que va desde el valor 1 al 25, fruto de multiplicar el valor del impacto por el de la probabilidad de que se materialice la amenaza.



A continuación, se muestra la tabla desarrollada con el análisis de riesgos.



En referencia al tema del tratamiento de datos de los menores, habrá que cumplir con los siguientes puntos que marca la AEPD.

Según la AEPD, tras la publicación de la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en el artículo 7 “Consentimiento de los menores de edad”, se establece que:

“1. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años.

Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.

2. El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela.”

De la misma manera, en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en su “Artículo 13. Consentimiento para el tratamiento de datos de menores de edad.” Establece que:

“1. Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.

2. En ningún caso podrán recabarse del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior.

3. Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo.

4. Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.”


Para llevar a cabo procesos de auditoría, es fundamental realizar una buena planificación previa, como mostramos en nuestro artículo «Principios, programa y planificación de auditoría y gobierno de las TIC«.

En caso de necesitar un plan de auditoría pueden contactarnos a través de nuestro formulario de contacto.

English

No puedes copiar el contenido