CIBERSEGURIDAD

PROTOCOLO EN CIBERSEGURIDAD
en los centros educativos
Riesgos y amenazas relacionadas con la protección de datos personales propios y ajenos
#ProyectaSeguridad


A.- DESTINATARIOS: claustro del CEIP EL PINAR (Grao)

B.- JUSTIFICACIÓN: hacer un protocolo de ciberseguridad para mi centro educativo partiendo de los principales riesgos y amenazas relacionados con la protección de datos personales propios y ajenos como ciudadanos y como docentes.

C.- OBJETIVOS:
. conocer los principales riesgos y amenazas relacionados con la protección de datos personales propios y ajenos

D.- CONTENIDOS:
1.-Derecho a la protección de datos personales. RGPD
2.-Protección de datos personales y sensibles: nuestros y ajenos.
   2.1.-Identidad y rastro o huella digital
   2.2.-Antes de aceptar
3.-Protección de datos personales en los centros educativos
   3.1.-Tratamiento de imágenes del alumnado
   3.2.- Comunicaciones entre profesorado, alumnado y familias
   3.3.- Decálogo de buenas prácticas
4.- Riesgos y amenazas digitales (mi página: Riesgos en la red)

E.- ACTIVIDADES

F.- TIPO DE EVALUACIÓN

G.- FORMA DE DIFUSIÓN: una página de mi blog, vía correo electrónico y un grupo de Telegraml Los resultados de la evaluación los expondré en su correo personal.

H.- FUENTE: CURSO INTEF: Diseño de proyectos educativos sobre seguridad en la red (2ª edición) E INFORMACIÓN DE MI BLOG

¡Comenzamos!

1.-*Derecho a la protección de datos personales

El Reglamento General de Protección de Datos (RGPD) protege nuestros datos personales y aquellos que han sido proporcionados en línea.
La normativa de protección de datos permite que puedas ejercer ante el responsable del tratamiento los siguientes derechos:
Acceso. Los titulares de los datos personales tienen derecho a saber qué tipo de datos de carácter personal tiene el responsable del tratamiento, su origen, con qué finalidad se recaban y tratan, qué tratamiento se les da y los destinatarios de los datos.
Rectificación. Garantiza la certeza de los datos permitiendo corregir errores, actualizar los datos o modificar aquellos que sean inexactos o incompletos.
Supresión. Tienes derecho a que se supriman los datos que resulten ser inadecuados o excesivos. Tal y como se indica en la página de la AEPD “La revocación del consentimiento da lugar a la cancelación de los datos cuando su tratamiento está basado en él, pero sin efecto retroactivo”. Este derecho conecta con el “derecho al olvido”.
Oposición. Puedes pedir que no se lleve a cabo el tratamiento de tus datos de carácter personal o que se cese en el mismo por motivos relacionados con tu situación personal.
Limitación al tratamiento. En las condiciones establecidas en el Art.18 tienes derecho a el “marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro”
Portabilidad. El responsable del tratamiento de tus datos deberá facilitártelos si se los pides en un formato estructurado, estándar y que permita la lectura mecánica y tienes derecho a dárselos a otro servicio.
El derecho a no ser objeto de decisiones individuales automatizadas busca garantizar que los juicios jurídicos o que te afecten significativamente no sean tomados en base al tratamiento de tus datos o la elaboración de perfiles en los que, a partir de de tus datos personales se evalúen o predigan aspectos personales como puede ser tu salud, tu rendimiento en el trabajo, tu comportamiento o tus intereses personales.
Información. El responsable del tratamiento debe haberte informado del tratamiento de tus datos. La AEPD recomienda que se informe de manera resumida de la información básica en el mismo momento y medio que se recojan tus datos personales y se te proporcione una información adicional más detallada de manera adecuada.


2.- Protección de datos personales 

Nuestros datos personales son: nuestro nombre, nuestra dirección postal o electrónica o dirección de IP, nuestros gustos o aficiones, nuestras opiniones, nuestro historial de navegación, nuestra imagen y por ende nuestras fotos y vídeos…
Pero existen datos especialmente sensibles que debemos manejar con exquisito cuidado ya que nos exponen a riesgos, fraudes, robos o chantajes. Por ejemplo:
  • Nombre completo y DNI
  • Datos de autenticación (usuario y contraseña)
  • Correo electrónico
  • Datos bancarios
  • Datos de geolocalización
  • Datos biométricos
  • Fotografías y vídeos comprometedores
Debemos además ser especialmente cuidadosos en el manejo de los datos y la información sensible de otras personas, como respetar las decisiones que los demás han tomado sobre:
. su propia privacidad 
. y la difusión o no de su información sensible y de aspectos relacionados con lo que podría considerarse la intimidad individual aunque no tengamos constancia de que hayan tomado o no decisiones al respecto de su difusión.

Ciberconsejo: evita dar más información personal de la necesaria, tanto propia como ajena

2.1.- Identidad y huella digital
La identidad digital es el conjunto de características que nos identifican dentro de la red y que se va configurando con el rastro o huella digital que deja nuestro paso por internet, como la de Armstrong en la Luna, seguirá allí siempre salvo que nos afanemos mucho en borrarla. aunque al publicar un contenido perdemos el control del mismo y alguien siempre puede haber almacenado una copia del mismo y redistribuirlo aunque esto sea ilegal. 

Ciberconsejos: navegar y publicar con cabeza, además de
.tomarse el tiempo suficiente para valorar si lo que queremos publicar en nuestras RRSS puede tener consecuencias no deseadas de manera inmediata, a medio y a largo plazo. En este sentido debemos tener en cuenta:
  •  Si esa publicación esconde datos informales que no deseemos compartir: metadatos, información sobre nuestros gustos o conductas, sobre nuestro contexto… Las fotografías y los vídeos proporcionan gran cantidad de datos informales.
  • Qué podría inferir una persona que de manera descontextualizada viera nuestra publicación (Datos imaginarios).
  • Configurar las opciones de privacidad de nuestras RRSS siendo conscientes de a qué personas damos acceso a los contenidos que publicamos, limitando el acceso a determinadas informaciones y reduciendo así el riesgo de que sean utilizadas con fines malintencionados.
  • Revisar qué permisos solicitan lo servicios en línea que usas, las aplicaciones que instalas en tu smartphone o los juegos y aplicaciones que añades como complemento a tus redes sociales. Incluso borrar las aplicaciones que no estemos utilizando.
  • Eliminar periódicamente los datos de navegación almacenados en tu navegador web o que lo configuremos para que no los almacene.

2.1.- Antes de aceptar

Antes de registrarnos en cualquier servicio digital debemos preguntarnos si estamos dispuestos a ceder los datos personales que nos solicitan y a consentir que hagan determinado uso de los otros datos que de manera más inconsciente recopilan dichos servicios.
Para poder tomar esta decisión de manera consciente e informada lo primero que debes hacer es saber:
  • A quién estás cediendo nuestro datos: nombre de la empresa, ubicación datos de contacto...
  • Qué datos van a recoger.
  • Con qué finalidad. Es decir, para qué van a utilizarlos.
  • Qué tratamiento van a dar a dichos datos.
  • Si van a compartir tus datos con otras compañías.
  • Cómo puedes ejercer tus derechos de* acceso, rectificación, supresión, oposición, limitación de tratamiento y portabilidad
  • Si se van a realizar perfiles a partir de dichos datos personales
  • Si se van a tomar decisiones informatizadas o no sobre dichos perfiles
  • Durante cuánto tiempo van a conservar dichos datos.
  • Qué medidas de seguridad utilizan para proteger tus datos.
  • Toda esta información debe ser proporcionada por el servicio de internet que pretende recopilar nuestros datos y para conocerla es fundamental leer la política de privacidad y las condiciones de uso antes de aceptarlas.

3.- Protección de datos personales en los centros educativos

Los centros educativos manejamos gran cantidad de datos personales del alumnado, de las familias, del personal docente y no docente. Deben hacerlo de acuerdo a la ley con diligencia y respetando la privacidad e intimidad de todos los actores y, en especial, de los menores.
Hemos visto antes que la tipología de datos personales es amplia y existen dentro de estos los “datos de categoría especial” que son aquellos que revelan información sobre la esfera más íntima y personal de la persona, como aquellos relativos a la salud física o psicológica del alumnado o sus informes psicopedagógicos.
Para cumplir con el RGPD, los centros educativos deben designar un Delegado de Protección de Datos cuya función principal es la de informar, asesorar y supervisar el cumplimiento de la normativa sobre protección de datos. En el caso de los centros públicos, el responsable del tratamiento suele ser la Administración pública correspondiente y en los centros concertados o privados, el propio centro.
Hay que tener en cuenta que, si se ceden datos a otras empresas contratadas por el centro (para la gestión del comedor, las rutas, actividades extraescolares...) estas serán encargadas del tratamiento.
Cuando se recaban datos personales es necesario informar a los interesados y, en el caso de que sea necesario consentimiento, este debe ser previo a la recogida de datos, inequívoco, específico y por escrito. Con una sola autorización es suficiente.

3.1.- Tratamiento de las imágenes del alumnado

Una de las dudas que con más frecuencia asalta al profesorado es la relativa a la toma y tratamiento de imágenes del alumnado ya sean estas fijas (fotos) o en movimiento.
  • Si las imágenes las toma el centro escolar con fines educativos como trabajos escolares o evaluaciones y estas no se van a distribuir, no sería necesario recabar el consentimiento del alumnado, de sus padres o tutores.
  • Si lo que se va a grabar por parte del centro escolar son eventos llevados a cabo en el propio centro (la fiesta de fin de curso, por ejemplo) y se prevé su difusión, se debe contar con autorización. Se recomienda que esa publicación tenga lugar en un espacio web de acceso limitado mediante credencial.
  • Si se van a difundir las imágenes en abierto en un blog o en RRSS se debe contar con el consentimiento de todas las personas que sean identificables en las imágenes o de sus padres o tutores si estas tienen menos de 14 años. Además de vigilar las imágenes que se publican, otra opción es tomar las fotos con los menores de espaldas o anonimizar las caras mediante pixelado o tapándolas con stickers.
  • Por otro lado, el centro, en virtud de su autonomía de organización interna, puede prohibir la toma de imágenes en sus instalaciones.

3.2.- Comunicaciones

Las comunicaciones entre profesorado y alumnado, como norma general, debe realizarse mediante las herramientas establecidas por el centro educativo o por email. Excepcionalmente pueden utilizarse aplicaciones de mensajería instantánea siempre que se cuente con autorización para ello y es recomendable incluir en dichos grupos a los padres o madres del alumnado.
En cuanto a la comunicación entre familias y profesorado, también se recomienda utilizar los medios puestos a disposición por el propio centro. 

La creación de grupos de mensajería instantánea debe ser excepcional y contar con el consentimiento de los progenitores. Ya sea un grupo creado para un grupo o un alumno/a concreto, se recomienda que sean los propios padres quienes los administren.



3.3.- Decálogo de buenas prácticas

A continuación os dejamos un decálogo de buenas prácticas, resume el ofrecido por la AEPD en su informe sobre este tema, para proteger los datos personales en el uso de aplicaciones con almacenamiento de datos en nube, distintas de las plataformas educativas contratadas por los centros por parte de los docentes y alumnado:
  1. Los centros educativos deben garantizar que se cumple lo dispuesto en la normativa de protección de datos también en el uso de la tecnología en el aula.
  2. Solo se utilizarán aplicaciones que ofrezcan información claramente definida, suficiente sobre el uso de datos y compatible con la normativa de protección de datos.
  3. Las aplicaciones educativas que se vayan a utilizar deben estar incluidas en la política de seguridad de los centros educativos y haber sido evaluadas positivamente.
  4. Los centros deben informar a los padres de que se va a utilizar tecnología en el aula que utilice datos personales y su finalidad.
  5. Se debe poder controlar el contenido que los menores suban a la red
  6. Hay que tener especial cuidado con la publicación de datos facilitados por terceros, especialmente fotos y vídeos.
  7. Se formará a alumnado y profesorado en la protección de datos personales y se establecerán normas internas.
  8. No se subirán datos personales sensibles a sistemas de almacenamiento en la nube.
  9. Es preferible utilizar las herramientas proporcionadas por la plataforma educativa del centro para la interacción entre alumnado, profesorado y familias.
  10. Para el tratamiento de imágenes del alumnado se recomienda contar con consentimiento expreso de los menores (si son mayores de 14 años) o de sus padres o tutores (si son menores de 14 años).

4.- Riesgos y amenazas digitales

En este apartado vamos a repasar rápidamente las principales amenazas digitales que pueden afectar a nuestro alumnado y al conjunto de la comunidad y que se trata en profundidad en el NOOC “Ante la amenaza digital, ¡actúa!" y que yo he incluido en mi blog en la página: Riesgos en la red como parte práctica del NOOC.


E.- ACTIVIDADES:

. ocho sesiones de una hora: distribuidas de la siguiente manera:
. cada contenido se va a tratar en una sesión de una hora, por lo tanto la teoría son seis sesiones
. la parte práctica: durante estas seis semanas te voy a proponer un reto cada semana para practicar ciberconsejos aquí expuestos, luego de hacerlo o no comenta en el grupo de Telegram, que he abierto específicamente, la razón de porqué lo hiciste o no y si la experiencia fue positiva o negativa para ti: 
  1. reto: Pasa el teléfono de un compañero/a, sin su permiso, a otro compañero/a
  2. reto: publica en tu RRSS favorita una foto de tus alumnos (teniendo la autorización para hacer y difundir la imagen de tu alumnado)
  3. reto: elimina un comentario o una publicación alegando una razón (ahora crees que no es adecuada, por ejemplo) haz un pantallazo y compártelo en el grupo de Telegram
  4. reto: actualiza las app de tu móvil u otros dispositivo, haz un pantallazo y compártelo en el grupo de Telegram
  5. reto: elimina apps que no utilices, elimina fotos y vídeos ¿cuánto memoria tienes libre ahora? haz un pantallazo y compártelo en el grupo de Telegram
  6. reto: nomina a alguien del grupo a hacer un reto a partir de lo expuesto en este protocolo
  7. reto: elige 3 ciberconsejos o retos y difúndelos con tus contactos, puedes hacer en audio, en un comentario...haz un pantallazo y compártelo en el grupo de Telegram
  8. reto: ahora que ya has practicado como ciudadano varios ciberconsejos supongo que también lo has aplicado en tu centro educativo, aquel que más te haya ayudado o impactado o cual recomiendas, incluso puede que durante esta semana hayas descubierto otros o hayas creado los tuyos. Compártelos en el grupo de Telegram.
Como verás he planteado ocho retos en seis semanas porque voy a añadir dos sesiones más para dudas de la teoría y otra para dudas en la parte práctica.

Los retos al estar incluidos en ésta página de mi blog son públicos por lo tanto para que nadie se anticipe a hacerlos cuando vayamos a hacer este protocolo de ciberseguridad cambiaré los retos, iré publicando uno cada semana en el grupo de Telegram.

F.- TIPO DE EVALUACIÓN:

Participar de un 80% de las sesiones y de las actividades/retos comentadas, además de comentar la experiencia en el grupo de Telegram.

No hay comentarios:

Publicar un comentario