GDPR: ¿que significa para un Academy Trust?

Con la Oficina del Comisionado de Información (ICO) informando recientemente un crecimiento del 40% en incidentes de seguridad de datos en el sector educativo¹, no sorprende que la regulación también esté aumentando. El tema del cumplimiento está aumentando en la agenda de los profesionales de la alta dirección y la gestión operativa, y la prioridad en la agenda debería ser el nuevo Reglamento General de Protección de Datos (RGPD), que entrará en vigor el 25 de mayo de 2018.

El RGPD contiene requisitos pertinentes para el sector de la educación, que describe cómo las organizaciones deben procesar y salvaguardar la información de identificación personal (PII). Esto incluye garantizar que las violaciones de datos se informen a las autoridades pertinentes dentro de las 72 horas y las políticas para asegurar la portabilidad de los datos. Se espera que la nueva regulación no solo simplifique el complejo entorno regulatorio, sino que garantice la protección adecuada de los datos de los estudiantes, el personal y las partes interesadas.

Requisito de un delegado de protección de datos (DPO)

Debido a la naturaleza sensible y, a menudo, fragmentada de los datos en poder de Academy Trusts, la adherencia al RGPD requerirá una planificación y revisión significativas en torno a las personas, los sistemas y los procesos necesarios para implementarlo. Si bien la alta dirección será clave para garantizar que la seguridad y la protección de datos se tomen en serio en toda la organización, el propio RGPD desalienta a la alta dirección y a la dirección operativa de gestionar este proceso, y alienta el nombramiento de una persona designada para informarles. La legislación dice que las autoridades públicas deben contratar a un oficial de protección de datos (DPO) para asegurarse de que tienen el personal y las habilidades suficientes requeridos por GDPR y para actuar como el primer punto de contacto para las autoridades de supervisión y para las personas cuyos datos se procesan. Aunque no existe una definición de ‘autoridades públicas’ en el GDPR, es probable que incluya escuelas y fideicomisos académicos, como es el caso de la ley de protección de datos actual.

Con los equipos de liderazgo escolar que enfrentan una variedad de desafíos, como mejorar la educación de los estudiantes y mantener los niveles de protección mientras se enfrentan a presupuestos restringidos, es comprensible que la necesidad de revisar las políticas de seguridad y protección de datos a veces se haya deslizado hacia la agenda prioritaria. En el mundo comercial, las responsabilidades de cumplimiento legislativo y fiduciario descritas en la ley, como la Ley de Sociedades de 2006, suelen tener prioridad. Sin embargo, como educadores, la prioridad de la alta dirección sigue siendo comprensiblemente el bienestar del personal y los estudiantes. A medida que se digitalizan los datos almacenados en los estudiantes y capturados por dispositivos como CCTV, la protección está evolucionando y se está interconectando cada vez más con los problemas de seguridad y protección de datos.

Revisión de la gobernanza y el cumplimiento

Con el fin de satisfacer GDPR requisitos y para que organismos como Academy Trusts logren las mejores prácticas de gobernanza, NW Security está trabajando en estrecha colaboración con los proveedores de educación para garantizar un enfoque holístico de la seguridad física y la ciberseguridad que coloque el cumplimiento y la protección de GDPR en su núcleo. Esto incluye una revisión de alto nivel de los procedimientos de gobernanza de un establecimiento, pero también una revisión de gobernanza interna en profundidad, evaluando los niveles de cumplimiento cuando se comparan con los requisitos legales como la protección y el RGPD.

El impacto exacto del RGPD sigue siendo desconocido, pero hay pocas dudas de que cambiará la forma en que el sector educativo aborda el tema de la protección de datos. Si bien las infracciones más graves pueden resultar en una multa de 20 millones de euros o el 4% de la facturación anual (lo que sea más alto), se pueden imponer sanciones de hasta 10 millones de euros o el 2% de la facturación anual por una simple falta de cumplimiento. al reglamento. Antes de la fecha límite de mayo de 2018, Academy Trusts tiene la oportunidad de prepararse para la legislación y considerar cuidadosamente cómo sería beneficioso el apoyo de un socio externo. Si bien una revisión de los sistemas y la tecnología existentes es un buen lugar para comenzar, un DPO estará en la mejor posición para asesorar sobre las tareas involucradas. Esto incluye todo, desde evaluaciones de impacto de violación de datos hasta evaluar la comprensión actual de las partes interesadas clave del GDPR y las actividades internas de protección de datos existentes.

¹https://ico.org.uk/action-weve-taken/data-security-incident-trends