La fecha límite del Reglamento general de protección de datos (GDPR) ya pasó. Un día fijado en los diarios de organizaciones de todo el mundo, su implementación significa que a partir de ahora, cualquier institución educativa que experimente una violación de datos podría encontrarse respondiendo preguntas difíciles de la Oficina del Comisionado de Información que puede resultar en multas, o al menos en daños a la reputación. Por tanto, lograr y mantener el cumplimiento es de vital importancia.
La implementación de un enfoque de ‘privacidad por diseño’ en todos los proyectos, desde la creación de nuevos sistemas de TI para almacenar o acceder a datos personales, hasta el desarrollo de políticas o estrategias de privacidad, será clave para garantizar el cumplimiento. Los rápidos avances tecnológicos han hecho que esta sea una tarea más difícil, ya que los nuevos sistemas que nos permiten proteger mejor las instalaciones educativas y las personas dentro de ellas también generan grandes cantidades de datos, que tienen valor tanto para el interesado como para las partes malintencionadas que pueden intentar robar eso. Es más importante que nunca garantizar una protección de datos sólida.
¿Por qué es tan importante la privacidad por diseño?
La privacidad por diseño es una mentalidad que el sector de la educación debe adoptar, especialmente porque, como señalamos en una encuesta reciente a profesionales de la educación, las violaciones de datos van en aumento. Este enfoque implica revisar y evaluar el impacto y los riesgos asociados de todos los procesos que incluyen información de identificación personal (PII), lo que ayuda a reconocer y responder a cualquier vulnerabilidad.
Las escuelas, colegios y universidades deben cambiar su forma de pensar con respecto a la protección de datos. Es importante no tomar decisiones precipitadas sobre la suspensión de ciertas actividades que ahora pueden considerarse un riesgo, como llevar el trabajo del estudiante a casa para marcar. En cambio, este proceso debe revisarse con más profundidad. ¿Cuáles son los riesgos que conlleva? ¿Cómo se puede garantizar que las actividades esenciales se lleven a cabo de manera segura? La respuesta podría ser almacenar datos en dispositivos cifrados y no dejar estos dispositivos desatendidos cuando se sacan del lugar de trabajo. Una vez que se ha implementado una política de privacidad, debe documentarse.
Se está avanzando
La buena noticia es que muchos establecimientos educativos ya han adoptado esta mentalidad. Como se destaca en el informe técnico reciente de NW Security Group, el 43% de los encuestados ya se asegura de que la tecnología, los procesos y las políticas se creen teniendo en cuenta la privacidad desde el diseño. Además, el 65% tiene un empleado designado o un servicio subcontratado capaz de realizar un Análisis de Impacto de Protección de Datos (DPIA). Este es un procedimiento integral que ayuda a identificar y minimizar riesgos y no debe pasarse por alto.
Estos son pasos positivos, pero hay más trabajo por hacer, ya que nuestra encuesta también encontró que el 70% de los encuestados no creían que pudieran demostrar de manera efectiva la privacidad por diseño si eran víctimas de una infracción. Este es un problema que no solo identifica nuestro documento técnico. Mientras realizaba Evaluaciones de cumplimiento organizacional (OCA), NW Security Group descubrió que, aunque muchos establecimientos creían que existían políticas y procesos de mejores prácticas, no había nada que lo evidenciara.
La documentación es fundamental para la privacidad desde el diseño y, por lo tanto, el cumplimiento de GDPR. Incluso si existen las políticas correctas, si estas no están documentadas, se considerará que una instalación educativa no cumple con las normas. Con la ahora ley GDPR, se debe considerar que los establecimientos educativos están implementando medidas de protección de datos. Esto comienza con la formación de conciencia; Es fundamental que todo el personal comprenda bien sus obligaciones y las mejores prácticas recomendadas.