El documento resume los esfuerzos de las universidades catalanas para adaptarse al Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Las universidades han trabajado conjuntamente para desarrollar una hoja de ruta de cumplimiento que incluye realizar inventarios de tratamientos de datos, unificar criterios con su delegado de protección de datos, evaluar riesgos e impactos, y abordar las implicaciones en medidas de seguridad y herramientas técnicas. Un gran reto es aplicar estas medidas a los grupos de investigación
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Adecuación de las universidades catalanas al RGPD
1. Adecuación de las universidades
catalanas al RGPD
Albert Portugal Brugada
Responsable Administración Electrónica CSUC
Delegador protección datos del CSUC
albert.portugal@csuc.cat
https://es.linkedin.com/in/albertportugal
@Albert_Portugal
9 de mayo del 2018
2. Consorci de Serveis Universitaris de Catalunya
Consorcio público creado el 1991 e
integrado por:
• Generalitat de Catalunya
• Universitat de Barcelona
• Universitat Autònoma de Barcelona
• Universitat Politècnica de Catalunya
• Universitat Pompeu Fabra
• Universitat de Lleida
• Universitat de Girona
• Universitat Rovira i Virgili
• Universitat Oberta de Catalunya
• Universitat Ramon Llull
• Universitat de Vic
Infraestructura científica y tecnológica
singular (ICTS) des del 2000
Hasta el 2011, Centre de Supercomputació
de Catalunya
Hasta el 2013, Centre de Serveis Científics i
Acadèmics de Catalunya
3. El “compliance” con el RGPD
• El RGPD supone un cambio en la forma de trabajo en relación a la protección de datos
de carácter personal. Especialmente a nivel organizativo y de uso de nuevos
procedimientos.
• La CRUE TIC creó el grupo de trabajo del RGPD centrado especialmente en la Código
de Conducta y el Registro de Tratamientos.
• Las universidades catalanas crearon en marzo 2017 un grupo de trabajo con el objetivo
de analizar conjuntamente el modelo de cumplimiento del RGPD y el establecimiento
de acciones conjuntas así como servicios consorciados.
4. Hoja de ruta
• El primer paso fue establecer la hoja de ruta para el cumplimiento del RGPD
5. Inventario de tratamientos
Trabajo realizado
• Consensuar el mecanismo para realizar el inventario de tratamientos.
• Compartición de los registros de tratamientos entre universidades para unificar
esfuerzos.
Retos de futuro
• Trabajar en herramientas para:
• Autoquestionarios para el mundo universitario de evaluación
de riesgo
• Descubrimiento de datos de carácter personal
(BBDD, sistema de ficheros)
6. Unificación de criterios
Trabajo realizado
• Definición del perfil requerido para el Delegado de Protección de Datos para las
universidades.
• Establecimiento de criterios sobre elementos no definidos (ej: fuentes accesibles
al público)
• Realización de consultas a la Autoridad de Control (datos abiertos de la
investigación)
• Análisis conjunto de documentos, guías de las autoridades de control y WP29
• Documentos formales de la protección de datos.
• Compartición del grupo de trabajo protección de datos con el grupo de trabajo
de seguridad
Retos de futuro
• Continuar unificando criterios
7. Evaluación del riesgo y evaluaciones de impacto
Trabajo realizado
• Definición del contenido requerido para los PIA (y demás documentos formales)
• Análisis metodologías gestión riesgo (ej: NIST)
• Análisis de herramientas
Retos de futuro
• Definición compartida de riesgos y medidas
• Estandarización PIA proveedores
8. Implicaciones en medidas de seguridad
Trabajo realizado
• Estrategia para la gestión de incidentes de seguridad (y relación con los
incidentes en materia de protección de datos).
• Guía de Seguridad de las TIC CCN-STIC 803 - Valoración sistemas en
universidades
• Implicaciones del Esquema Nacional de Seguridad sobre sistemas actualmente
no contemplados para cumplimiento del RGPD.
• Identificación de los interlocutores RT, ET, Comité de seguridad, …
• Datos a comunicar a la Autoridad de Control
• Violación, categoría de los datos, número afectados
• Datos de contacto y DPD
• Identificación consecuencias
• Medidas adoptadas y propuestas de solución
9. Otras herramientas en análisis – medidas técnicas
Trabajo realizado
•Conocimiento de la existencia de herramientas para:
• Anonimización de datos y documentos.
• Encriptación, control acceso, auditoria bases de datos
• Prevención fugas de datos
• Herramientas de detección de vulnerabilidades
Retos de futuro
•Establecer servicios consorciados / comunes
10. El gran reto: los grupos de investigación
Trabajo realizado
•La Universidad Autònoma de Barcelona realizó un congreso específico relativo a la
Protección de Datos y la investigación.
•Los equipos de protección de datos están trabajando con los grupos de investigación
como facilitadores.
Retos de futuro
•Actualmente está trabajando para la realización de un congreso periódico dedicado a la
Protección de Datos y los Grupos de Investigación con el objetivo de formar, sensibilizar
y compartir.