Covid-19 - Cuestiones de interés en materia de protección de datos

Información sobre protección de datos en el marco del plan de contingencia Covid-19

Seguridad en teletrabajo: Medidas orientadas a garantizar la privacidad y la confidencialidad de los datos personales y cualquier otra información relativa a la actividad profesional en la U.G.R.

Gestión de documentos

  1. Si hemos sacado documentación de la UGR por necesitarlo para nuestro trabajo la debemos custodiar lo mejor posible, bajo llave cuando no la utilicemos y hacer un inventario de documentos extraídos.

  2. Imprimir en la menor medida posible, documentos en casa. Si se ha hecho, cuando se termine de trabajar custodiarlos bajo llave o garantizar que pueden ser a visualizados por terceras personas a través de cualquier otro medio.

  3. Cuando el documento no sea ya útil destruirlo mediante máquina destructora, si se posee. En caso contrario, asegurarse de hacerlo en pedazos lo más pequeños posibles antes de tirarlo a la basura.

  4. Cuando termine el confinamiento, si fuera necesario trasladar físicamente los documentos a la Universidad, hacerlo en un soporte físico cerrado, siempre con la debida vigilancia.

Puesto de trabajo, ordenador propio/local

  1. Protegerlo con contraseña, usar antivirus, y activar el firewall.

  2. Intentar que el equipo que se utilice sea distinto al que emplee el resto de la unidad familiar.

  3. Con objeto de proteger nuestro portátil aconsejamos utilizar sistemas de cifrado de disco, en windows bitlocker, por si en algún desplazamiento perdemos el ordenador no puedan acceder a los contenidos del disco duro. Busca en la ayuda información sobre esto.

  4. Para evitar la visualización o modificación, intencionada o no, de los miembros de la unidad familiar, bloquear el dispositivo cuando nos levantemos, en windows tecla windows + l, si es que no se posee de un protector de pantalla que automáticamente bloquee el acceso.

  5. Evitar hacer copias locales de los ficheros (documentos, carpetas, etc.). Si nos resulta necesario guardar en nuestro ordenador o dispositivo personal un documento para trabajar, una vez terminada la tarea almacenarlo donde corresponda y eliminarlo a la mayor brevedad posible.

  6. Hay que tener cuidado con las memorias USB (pendrives) personales y los ficheros que metemos en ellos como copias no autorizadas. Hay que evitarlo.

  7. Importante prestar especial atención al “phising”: mensajes que te merezcan dudas o desconfianza. No debes de abrir, en ningún caso, ni los enlaces, ni los adjuntos que contengan.

  8. Aconsejamos que las claves tanto de vpn como de otros servicios se cambien con mas periodicidad. Cada mes por ejemplo.

  9. De la misma forma hay que intentar hacer un uso moderado de los almacenamientos en la nube de documentos de expedientes administrativos.

  10. En caso de pérdida del dispositivo de trabajo, el trabajador debe avisar de la brecha de seguridad según protocolo establecido en protección de datos .

Animamos a que se consulten las medidas de seguridad para protección de datos en UGR, así como la normativa en materia de ENS (Esquema Nacional de Seguridad) para trabajo fuera de UGR.

RECUERDA que tú eres el responsable de la información, contenga o no datos personales, que estás manejando fuera del entorno universitario. Ante cualquier duda, envía un correo a protecciondedatos@ugr.es o seguridadinformatica@ugr.es

Comunicaciones de consejo de transparencia y protección de datos de Andalucía

teletrabajo_pdd

Comunicación de la agenda española de protección de datos

Control de temperatura en el acceso a centros de trabajo

Nota informativa Protección de datos, 5 de mayo de 2020

La reciente nota informativa de la Agencia Española de Protección de Datos analiza el impacto y la adecuación a la normativa de protección de datos, de la medición de temperaturas como medida para frenar la transmisión del virus.

La toma de temperaturas, para garantizar el acceso a los centros de trabajo, supone llevar a cabo un tratamiento de datos personales relativos a la salud, que precisa de garantías adicionales y ajuste a la legalidad.

En este sentido, considera la AEPD que una correcta implementación de la medida precisa que la autoridad sanitaria competente, actualmente el Ministerio de Sanidad, determine, con carácter previo y sin perder de vista el objetivo principal, cómo ha de realizarse esta operación.

Ello se debe a que se requiere de un criterio uniforme y homogéneo, delimitado dentro de las posibilidades que ofrece la evidencia científica, para establecer un límite que, de superarse, permita denegar el acceso a los trabajadores a sus centros de trabajo sin que se produzca disparidad de decisiones en función del centro.

De manera más específica, la denegación de acceso ha de realizarse de forma que se minimice el impacto en la persona afectada, evitando, al ocurrir en espacios públicos y con la presencia de terceros, que se produzca una revelación de información personal.

En ningún caso ha de condicionarse el acceso a la prestación de consentimiento por el interesado a someterse a la medición, luego el fundamento jurídico que legitima este tratamiento de datos de carácter personal no podrá basarse ni en el consentimiento de los interesados, ni tampoco en la posible existencia de un interés legítimo de los responsables.

De conformidad con los artículos 6.1 y 9.2 del Reglamento General de Protección de Datos, el fundamento no es otro que el deber de los empleadores de garantizar la seguridad y salud de los trabajadores a su servicio, ponderando la incidencia en la esfera de derechos de clientes y usuarios y el nivel de protección de los trabajadores. Igualmente, podría fundamentarse en intereses generales en el terreno de la salud público, artículo 9.2.i), siempre y cuando exista respaldo normativo legal.

Concluye la AEPD, recalcando que ha de limitarse el tratamiento a la finalidad de detectar posibles contagiados y evitar su acceso a ciertos lugares y que han de utilizarse instrumentos que garanticen un alto nivel de precisión en la toma de temperaturas, evitando emplear instrumentos como cámaras térmicas, siempre que sea posible utilizar medios menos intrusivos.

En cualquier caso, se debe cumplir con el deber de informar a los interesados, y en particular del ejercicio de derechos, si se registran y conservan los datos, evento que sólo será posible en caso de que se pretenda utilizar como prueba frente a acciones legales fruto de una denegación de acceso al interesado.

Comunicaciones de la CRUE Universidades Españolas

Covid-19: Ciberconsejos

Centro Criptológico Nacional (CCN)

Información amplia y detallada: "Principios y recomendaciones básicas en Ciberseguridad"

Secretaría de Estado de Digitalización e Inteligencia Artificial

Oficina de Seguridad del Internauta (OSI)