Cumplimiento de la normativa GDPR en Goombook
En el ámbito de la educación se generan cantidades ingentes de datos que son vitales para que los centros operen. La normativa europea GDPR afecta a qué datos tiene el centro, cómo los utiliza, dónde los almacena y cuánto tiempo son almacenados. En este sentido, los principales cambios que afectan a la educación incluyen:
Privacidad personal
Los individuos tienen derecho a:
- Acceder a los datos personales.
- Corregir errores en sus datos personales.
- Borrar sus datos personales.
- Objetar el procesamiento de sus datos.
- Exportar su propia información personal.
Controles y certificaciones
El centro necesita:
- Proteger la información personal utilizando la seguridad apropiada.
- Notificar a las autoridades las infracciones cometidas contra la información personal.
- Documentar el procesamiento de la información personal.
- Mantener los registros detallados de procesamiento de datos y consentimiento.
Políticas de transparencia
El centro debe:
- Proveer avisos claros de la colección de datos.
- Describir los propósitos del procesamiento y los casos de uso.
- Definir la retención de datos y la eliminación de políticas.
- Describir cómo los individuos pueden ejercer sus derechos.
IT y entrenamiento
Los centros necesitan:
- Formar al personal y a los empleados.
- Auditar y actualizar las políticas de datos relativas a estudiantes, staff y proveedores.
- Si se requiere, contratar a un profesional de protección de datos.
- Crear y administrar contratos con proveedores compatibles, incluyendo todos los abastecedores y profesores suplentes.
La normativa GDPR provee la regulación para administrar y proteger los datos que posee cada institución educativa mientras se crean políticas de privacidad. Pero depende de cada institución crear un sistema GDPR que funcione. Asimismo, las instituciones deben presentar evidencias del cumplimiento efectivo de la normativa y se enfrenta a severas penalizaciones en caso de incumplimiento. MICROSOFT CLOUD puede ayudarte con el cumplimiento del GDPR, ya que aporta los recursos que necesitas para cumplir sus requisitos:
1. DESCUBRIR
Qué datos y dónde se alojan
Además de almacenar y asegurar los datos, se debe documentar cómo son procesados.
- Hay que identificar qué datos son recogidos y almacenados.
- Descubrir las localizaciones donde se almacenan los datos. Aquí se deben incluir también los proveedores cloud y los hostings ajenos, como websites y centros de servicios compartidos.
- Organizar y etiquetar los datos existentes basándose en su grado de sensibilidad, uso, propietario, administradores y usuarios.
- Documentar criterios GDPR para el procesamiento.
- Comprobar el consentimiento del procesamiento y renovarlo.
La información suele estar disponible en varios dispositivos: servidores, escritorios, portátiles, tablets, smartphones, ordenadores… Además, se administran entornos cloud y no cloud. Por otro lado, hay que señalar que los dispositivos personales suponen un gran reto:
- Hacer un inventario y una lista con todos los dispositivos que podrían almacenar datos personales.
- Auditar los dispositivos personales que no pertenecen al centro.
GDPR impone normas estrictas sobre quién puede procesar los datos y cómo y cuándo puede hacerlo. Antes de compartir información personal, se debe asegurar que aquellos que tienen acceso a la misma están autorizados, dentro y fuera de la institución.
- Identifica e incluye en una lista a todos los usuarios, incluidos estudiantes, staff y proveedores.
La información sólo puede ser compartida y sólo es accesible para las personas autorizadas, tanto dentro como fuera de la organización. Es responsabilidad del centro que las personas autorizadas cumplan con la legislación.
- Identificar y hacer un listado con todas las subcontratas en el directorio del usuario.
- Comprobar el cumplimiento del GDPR.
- Firmar un contrato de cumplimiento del GDPR.
- Comprobar si los datos pueden ser accesibles mientras se sigue on site.
Office 365 Advanced eDiscovery o Buscador de Contenidos. Ayuda a buscar información ya existente.
Clasificación de datos con Office 365. Permite clasificar datos de la organización.
Listas de SharePoint. Una herramienta flexible que ayuda a organizar y etiquetar los datos.
Usuario de Administración de Cuentas en Office 365. Para organizar a los usuarios.
Microsoft Intune for Education. Para listar y administrar los diferentes tipos de dispositivos.
System Center. Una solución para listar y administrar los servidores con varios OSs y soluciones alojadas en la nube.
Azure Search. Añade funcionalidades de búsqueda avanzada en el entorno actual.
Azure Data Catalog. Registra, descubre, entiende y consume fuentes de datos.
Cloud Discovery. Analiza el tráfico de registros frente a más de 15.000 apps en la nube del catálogo Cloud App Security que tiene un ranking y puntuación basado en más de 60 factores de riesgo.
Advanced Data Governance (ADG). Para identificar automáticamente, clasificar y administrar datos personales y sensibles y para la retención y supresión de políticas.
2. ADMINISTRAR
Cómo se usan los datos y cómo se accede a ellos
Cuando los estudiantes se registran, se debe ser transparente en cuanto a qué datos personales son recopilados. Específicamente se debe saber para qué se necesitan esos datos, cuánto tiempo serán almacenados, por qué se almacenarán y cómo se puede acceder a ellos. Donde sea aplicable, el consentimiento de procesamiento debe ser requerido, obtenido y almacenado como prueba. Por su parte, los estudiantes menores necesitan el consentimiento de sus tutores legales.
- Definir claramente la misión.
- Listar los sujetos de datos.
- Automatizar la colección de datos y actuar con responsabilidad.
- Establecer qué datos personales son requeridos.
- Clarificar las cláusulas GDPR para los contratos.
En el ámbito de la educación, los dispositivos son variados y se extienden por un amplio rango de usuarios: ordenadores personales de profesores, smartphones y tablets de estudiantes, ordenadores de clase, dispositivos personales, apps privadas, apps y localizaciones en la nube no monotorizadas, dispositivos de subcontratas, USBs y documentos en papel. Para cumplir con el GDPR se deben administrar estos dispositivos de forma consistente.
- Desarrollar políticas de uso de dispositivos.
- El personal educativo y los estudiantes deben ser conscientes del GDPR.
- Eventos de auditoría y registro.
Mientras que el proceso de descubrir da perspectivas a la base de datos del usuario, la administración del proceso ayuda a organizar a los usuarios en listas inteligentes, permitiendo la configuración de permisos, políticas de firma de registro y seguimiento de acceso. Cuando los usuarios dejan la institución, sus accesos a los recursos del centro necesitan terminar rápido para evitar potenciales filtraciones.
- Organizar a los usuarios en grupos seguros.
- Definir permisos y políticas.
- Introducir políticas.
- Educar a estudiantes, personal y contratas en un correcto uso de los datos.
Las actividades online son una parte vital en la promoción para atraer estudiantes y personal.
- Auditar los datos de la web recogidos automáticamente.
- Hacer una lista de cookies primarias y ajenas.
- Comprobar formularios online para obtener una seguridad de extremo a extremo.
- Comprobar los procesos de consentimiento para GDPR.
- Crear un documento de declaración de privacidad: qué información es recogida, quién la recoge, cómo es recogida, cómo se usa, con quién será compartida, qué efecto tendrá en las industrias a las que afecte.
Grupos seguros en Office 365. Para configurar un paquete de permisos en las apps de Office 365.
Accesorios inteligentes de Outlook. Para prevenir escapes de información de la institución.
Consejos mail de Office 365. Para evitar errores comunes.
Prevención de pérdida de datos de Office 365. Para evitar que la información escape las premisas.
Flows automatizados. Creados entre aplicaciones, optimizan y aseguran los datos.
Intune for Education. Ayuda a administrar las políticas, las apps y a configurar los dispositivos de la clase.
Azure AD (Azure Active Directory). Directorio basado en la nube de Microsoft y servicio de administración de identificación.
PowerApps. Crear apps móviles para alimentar directamente las bases de datos.
Solicita categorías de datos personales y administra la gobernación de datos en Office 365.
Azure Information Protection. Controla y ayuda a la seguridad mail, en documentos y datos sensibles que se comparten fuera de la compañía.
Microsoft Forms. Puede asegurar la entrada de datos a través de formularios online y permite ofrecer los requisitos de consentimiento que la normativa GDPR exige.
Office 365 Teams. Permite a las instituciones centralizar y coordinar todas las comunicaciones requeridas por las políticas GDPR.
3. PROTEGER
Controles de seguridad para prevenir, detectar y responder ante amenazas
GDPR requiere respuestas rápidas cuando sea necesario y protección a los datos personales.
- Encriptar los datos y el correo electrónico.
- Proteger los datos en dispositivos.
- Almacenar de forma segura.
- Añadir derechos a los documentos y mails individuales.
- Monitorizar intrusiones, infecciones, amenazas y comportamientos anormales.
Los dispositivos y las apps tocan de cerca cada aspecto de los datos. Pueden ser parte de tu red de área local, dispositivos móviles, dispositivos en otras localizaciones (como en casa o en el campus) y en dispositivos y apps en la nube. Cada dispositivo y app requiere una atención específica.
- Proteger la red (LAN) con antivirus, firewall y protección física.
- Encriptar los dispositivos, discos y USBs.
- Educar a los estudiantes y al personal en las mejores prácticas en sus casas.
Control de accesos y gestión de identidad una vez que los usuarios se organizan.
- Revisar las políticas de contraseñas y opciones de registro.
- Educar y crear conciencia.
Asimismo, es necesario evaluar la efectividad de las medidas.
- Facilitar los tests regulares.
- Evaluar la efectividad de las medidas de seguridad.
Prevención de pérdida de datos de Office 365 (A3). Permite la creación de reglas de prevención para evitar que los tipos de información deseados escapen a las premisas.
Azure Information Protection. Controla y ayuda a la seguridad de emails, documentos e información sensible compartida fuera de la organización. Desde clasificar con facilidad a integrar etiquetas y permisos, mejorando la protección de datos sin importar dónde estén almacenados o con quién se compartan.
Customer Lockbox. Permite a los controladores demostrar que hay procedimientos explícitos para acceder al contenido del cliente durante las operaciones de servicio.
AppLocker. Ayuda a los administradores a crear y desarrollar políticas de control de aplicaciones, restringir el acceso a usuarios no autorizados a aplicaciones que puedan poner en riesgo datos personales.
Microsoft Advanced Threat Analytics (ATA). Una plataforma on-premise que ayuda a proteger al centro de múltiples tipos de ciberataques y de posibles amenazas internas.
Office 365 Threat Intelligence.
Intune for Education. Una solución que permite desarrollar políticas de seguridad, apps y configuraciones para los dispositivos del aula.
Windows Defender Advanced Threat Protection. Disponible en Windows 10 Educación, es un servicio de seguridad que permite detectar, investigar y responder ante amenazas avanzadas.
Azure Backup o Azure Disaster Recovery.
BitLocker Drive Encryption. Una funcionalidad de protección de datos que se integra con el sistema operacional y aborda las amenazas como el robo de datos o la pérdida de los mismos.
Multi Factor Authentication. En Windows 10 y Office 365 con Windows Hello.
4. NOTIFICAR
Mantener la documentación requerida y administrar las notificaciones
GDPR requiere responsabilidad para salvaguardar y procesar apropiadamente los datos personales. Los registros deberán contener la naturaleza de cada requerimiento que el sujeto de datos haga y la resolución que busca.
- Retener registros requeridos por los sujetos de los datos que demuestren el cumplimiento del GDPR.
- Seguimiento y registro cuando los datos personales salen de la Unión Europea.
- Seguimiento y registro de datos enviados a terceros servicios.
- Mantener auditorías de huellas para demostrar el cumplimiento del GDPR.
- Seguimiento y registro de flujos de datos personales a servicios de proveedores ajenos.
Las organizaciones deberán notificar a las autoridades las posibles infracciones dentro de las 72 horas siguientes a su identificación.
- Activar registros e informes.
- Responder dentro del intervalo requerido.
- Mantener registros separados de los cambios en la información personal en caso de desastre o recuperación.
Microsoft Trust Center. La fuente ideal para comprobar la información de GDPR y su cumplimiento.
Microsoft Compliance Manager. Ayuda a desarrollar evaluaciones de riesgos y simplificar el procedimiento de conformidad dando recomendaciones de acciones, recopilaciones de evidencias y auditorías de preparación.
Auditoría y registro Azure. Con un registro electrónico de actividades sospechosas ayuda a detectar patrones que podrían indicar tentativas o penetraciones exteriores exitosas, así como ataques internos.
Securescore.office.com. Una herramienta analítica de seguridad que ayuda a entender qué ha hecho el centro para reducir los riesgos para los datos en Office 365 y muestra qué se puede hacer para reducir dichos riesgos. Es la fuente ideal de conocimiento de auditoría, registro y otras funcionalidades de seguridad de Office 365.
Auditoría unificada de registro. Aporta perspectivas de los datos que han sido transferidos a terceros.