Mes: septiembre 2021

Publicado el

PELIGROS EN LA RED

Internet nos abre un mundo de oportunidades de información y formación, pero estas funcionalidades también pueden suponer tener que enfrentarnos a riesgos.

Siguiendo a Pere Marqués, los riesgos podríamos clasificarlos según estén relacionados con la información, la comunicación, las actividades económicas o las adiciones. (http://www.peremarques.net/habilweb2.htm)

-Riesgos relacionados con la información.

        • Acceso a información poco fiable y falsa.
        • Dispersión, pérdida de tiempo.
        • Acceso de los niños a información inapropiada y nociva para su edad.
        • Acceso a información peligrosa, inmoral, ilícita (pornografía infantil, violencia, racismo, terrorismo,)

-Riesgos relacionados con la comunicación.

        • Bloqueo del buzón de correo.
        • Recepción de “mensajes basura”.
        • Recepción de mensajes ofensivos.
        • Pérdida de intimidad.
        • Acciones ilegales: difundir datos de terceras personas, plagiar, amenazar, …
        • Malas compañías.

-Riesgos relacionados con las actividades económicas.

        • Estafas.
        • Compras inducidas por publicidad abusiva.
        • Compras por menores sin autorización paterna.
        • Robos.
        • Actuaciones delictivas por violación de la propiedad intelectual.
        • Realización de negocios ilegales.
        • Gastos telefónicos desorbitados.

-Riesgos relacionados con las adicciones.

        • Adicción a buscar información.
        • Adicción a frecuentar las Redes Sociales.
        • Juego compulsivo.
        • Compras compulsivas.

 

Si se materializan estos riesgos podríamos estar ante las siguientes situaciones:

·  Ciberbullying. Se trata del acoso de un menor a otro menor usando las tecnologías: Internet, móvil, videojuegos online, etc. Estamos ante un caso de ciberbullying cuando una persona menor de edad atormenta, amenaza, hostiga, humilla o molesta a otros menores usando estos medios.

· Ciberacoso o acoso cibernético. Se trata de una situación en la que una persona utiliza un perfil en internet, normalmente falso,  para amenazar y acosar anónimamente a una persona en específico. Las víctimas de acoso cibernético tienen que enfrentar problemas psicológicos que interfieren con su vida diaria (trabajo, escuela, etc.).

· Grooming. Estamos ante grooming cuando una persona adulta trata de engañar a un menor a través de Internet para ganarse su confianza con intención de obtener fotos o vídeos de situaciones sexuales o pornográficas e incluso llegar a chantajearle con ellas. En ocasiones es el paso previo al abuso sexual.

·  Sexting. Consiste en enviar mensajes, fotos o vídeos de contenido erótico y sexual personal a través del móvil mediante aplicaciones de mensajería instantánea o redes sociales, correos electrónicos u otro tipo de herramienta de comunicación.

·  Phishing. Se trata de un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza, para manipularla y hacer que realice acciones que no debería realizar

· Suplantación de identidad. Se trata de una actividad malintencionada que consiste en hacerse pasar por otra persona por diversos motivos: cometer algún tipo de fraude, obtener datos de manera ilegal, cometer ciberacoso, grooming u otros delitos.

· Ciberadicción o trastorno de adicción a internet (internet addiction disorder, IAD) es un término que se refiere a una supuesta patología que supone un uso abusivo de Internet, a través de diversos dispositivos (ordenadores, teléfonos, tabletas, etc.), que interfiere con la vida diaria.

Publicado el

DERECHOS DE LA AUTODETERMINACIÓN INFORMATIVA.

No se si habéis escuchado hablar de los derechos de autodeterminación informativa o los derechos ARCO. La actual normativa sobre protección de datos supuso un avance para los derechos de las personas interesadas, surgiendo así el denominado  derecho a la autodeterminación informativa. 

El derecho a la autodeterminación informativa surge como respuesta a la posibilidad de un tratamiento masivo de datos. Fue construido y elaborado a partir de la sentencia del Tribunal Constitucional Federal alemán de 15 de diciembre de 1983.11. En dicha sentencia, el Tribunal configura, a partir del derecho general de la personalidad recogido en el artículo 2.1 de la Ley Fundamental de Bonn, la facultad del individuo, derivada de  la autodeterminación, de decidir básicamente por sí mismo, cuándo y dentro de qué límites, procede revelar situaciones referentes a la vida propia. Surge la necesidad de establecer jurídicamente mecanismos de protección de los datos personales frente a su uso informatizado, no tanto por el carácter estrictamente privado de éstos, sino por el peligro que supone la utilización que se haga de los mismos.

En todo caso, el derecho no comporta una patrimonialización de los datos personales, sino que es la garantía de una serie de facultades individuales que permitirán al titular llevar a cabo el control y seguimiento de la información personal registrada en soportes informáticos.

En palabras del Tribunal Constitucional español, «el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de estos datos proporcionará a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o no»

Podemos definir la autodeterminación informativa como la capacidad del individuo para determinar la divulgación y el uso de sus datos personales, controlar y determinar lo que los demás pueden, en cada momento, saber sobre su vida personal. Este derecho ayuda a las y los ciudadanos a proteger sus datos personales y, en ejercicio de este derecho, a autodefinirse y modular su imagen pública y reputación.

El RGPD reconoce el “derecho a la autodeterminación informativo” y lo concreta en la posibilidad de ejercer ante el responsable del tratamiento los derechos de acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.

Vamos a ver en qué consiste cada derecho:

    • Derecho a la rectificación: supone el derecho a obtener, sin dilación indebida del responsable del tratamiento, la rectificación de los datos personales inexactos que le conciernan o que se completen, según los fines, mediante una declaración adicional. Se deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse. Además, deberán acompañar, cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento.
    • Derecho de supresión: derecho a obtener, sin dilación indebida del responsable del tratamiento, la supresión de los datos personales que le conciernan, cuando concurra alguna de las circunstancias siguientes:
      1. los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
      2. el interesado retire el consentimiento y este no se base en otro fundamento jurídico;
      3. el interesado se oponga al tratamiento;
      4. los datos personales hayan sido tratados ilícitamente; 
      5. los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el derecho de la unión o de los estados miembros que se aplique al responsable del tratamiento;
      6. los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información
    • Derecho a la limitación del tratamiento: derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:
      1. se impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
      2. el tratamiento sea ilícito y las/los interesados se opongan a la supresión de los datos personales y soliciten en su lugar la limitación de su uso;
      3. el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
      4. se haya ejercido el derecho de oposición al tratamiento, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
  • Derecho a la portabilidad: derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
      1. el tratamiento esté basado en el consentimiento y
      2. el tratamiento se efectúe por medios automatizados.
  • Derecho de oposición: derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

EJERCICIO DE LOS DERECHOS.

Es importante señalar que el ejercicio es gratuito, sólo si las solicitudes son manifiestamente infundadas o excesivas (p. ej., carácter repetitivo) el responsable podrá:

    • Cobrar un canon proporcional a los costes administrativos soportados
    • Negarse a actuar 

Las solicitudes deben responderse en el plazo de un mes, aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más. El responsable está obligado a informar sobre los medios para ejercitar estos derechos y estos medios deben ser accesibles y no se puede denegar este derecho por el solo motivo de que se opte por otro medio.

Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.

Si el responsable no da curso a la solicitud, informará y a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control. Cabe la posibilidad de que el encargado sea quien atienda tu solicitud por cuenta del responsable si ambos lo han establecido en el contrato o acto jurídico que les vincule

Se pueden ejercer los derechos directamente o por medio de tu representante legal o voluntario. Si el responsable tiene dudas sobre tu identidad, podrá solicitar información adicional para confirmar la misma como la fotocopia del DNI o pasaporte u otro documento válido que identifique a persona solicitante. Se puede utilizar la firma electrónica y si se ejercitan a través de un representante se deberá aportar el documento o instrumento electrónico que acredite la representación.

En la solicitud debe incluirse la petición, la dirección a efectos de notificaciones, fecha y firma, así como los documentos acreditativos de la petición si fuesen necesarios.

Publicado el

MEDIDAS BÁSICAS DE CIBERSEGURIDAD: COPIAS DE SEGURIDAD.

Hoy os traigo una nueva recomendación sobre ciberseguridad, en este caso las copias de seguridad.

Una de las medidas imprescindibles que debemos llevar a cabo para tratar datos con seguridad es la realización periódica de copias de seguridad de los datos. Según el artículo 32.c del RGPD las herramientas de copias de seguridad son fundamentales para recuperarse de los incidentes de seguridad, dado que las amenazas de tipo ransomware o secuestro de la información están muy extendidas y son muy dañinas, causando la indisponibilidad temporal o permanente de datos y servicios.

Por ello, se debe establecer una política de cómo se realizarán las copias de seguridad en la organización. 

A continuación os dejamos un video donde se explica cómo realizar copias de seguridad:

Publicado el

MEDIDAS BÁSICAS DE CIBERSEGURIDAD: CONTRASEÑAS SEGURAS.

Una de las recomendaciones básicas sobre seguridad en internet es la de establecer contraseñas seguras.

¿Qué se considera una contraseña segura?

Siguiendo la “Guía de Seguridad de las TIC CCN-STIC 821. APÉNDICE V: NORMAS DE CREACIÓN Y USO DE CONTRASEÑAS NP40” (https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/534-ccn-stic-821-normas-de-seguridad-en-el-ens-anexo-v/file.html)   las contraseñas deberán tener una longitud mínima de 8 caracteres y ser alfanuméricas.

Se recomienda la utilización de la concatenación de varias palabras para construir contraseñas largas (passphrases) cuya deducción, automática o no, no sea simple. 

Por ejemplo: “elefanteneumáticocarpeta”, incluso contemplando la presencia de espacios en blanco. Por ejemplo: “cocina televisor ventana”. También pueden utilizarse frases cortas sin sentido, tales como “blue pigs do not piss”, “los tontos huelen amarillo”, “los de aquí son cortos de nariz”, “azulín, azulado, esta contraseña me la he inventado”.

Las contraseñas no deben estar compuestas de datos propios o de otra persona que puedan ser adivinadas u obtenidas fácilmente como el uso de nombre, apellidos, fecha de nacimiento, etc, ni ser frases famosas o refranes, ni estrofas de canciones. Pero debemos encontrar el equilibrio, porque las contraseñas deben ser fáciles de recordar, hay que encontrar una solución de compromiso entre la robustez de la contraseña y la facilidad con la que podemos recordarla.

No es recomendable apuntarlas en papel o en otro procedimiento o contenedor no seguro, las contraseñas deben tener carácter secreto, no debemos comunicarla a nadie.

Es imprescindible cambiarlas con una cierta periodicidad, siendo un año razonable para su sustitución. Del mismo modo las sustituiremos antes si existe evidencia de que hubieran sido comprometidas.

Cuando cambiemos las contraseñas, no deberán ser igual a ninguna de las últimas usadas, ni estar formada por una concatenación de ellas.

No deberemos utilizar la misma contraseña para distintos servicios web o el acceso a distintos dispositivos.

Publicado el

MEDIDAS BÁSICAS DE CIBERSEGURIDAD: ALGUNAS RECOMENDACIONES.

Todas las instituciones educativas, independientemente de su naturaleza jurídica, deben establecer políticas internas de seguridad. Antes de proceder a ello deberán evaluar el impacto del tratamiento de datos que realizan para determinar si afecta a derechos y libertades de interesados/as y siguiendo el resultado del análisis se establecerán las medidas de seguridad adecuadas.

Así mismo, se deberá establecer un sistema efectivo de comunicación que permita el estudio y resolución de incidencias y brechas de seguridad, por ejemplo, habilitando una cuenta de correo electrónico específica.

Aunque los centros deben incorporar en sus políticas de seguridad las medidas que se adecuen al resultado del análisis, existen una serie de recomendaciones básicas que debemos cumplir en todas las instituciones educativas, especialmente en los centros públicos, en cumplimiento del código de conducta legalmente vigente.

Entre esas medidas destacamos las siguientes:

A. Debemos instalar antivirus en todos los dispositivos conectados a internet. Si bien la instalación será institucional en el caso de centros públicos y las personas funcionarias que hagan uso de los equipamientos TIC no podrán modificar el software que se encuentre instalado en los mismos.

B. Se deberán mantener actualizados tanto los antivirus como los sistemas operativos.

C. No se deberán instalar programas no autorizados.

D. Se deberán realizar copias de seguridad habitualmente.

E. Sólo abriremos correos de remitentes conocidos.

F. Deberemos proteger el wifi, para hacer seguro el wifi es imprescindible cambiar la contraseña por defecto del rúter y establecer contraseñas seguras.

G. Sólo trabajaremos en entornos seguros, no haremos uso de redes públicas cuando tratemos datos en ejercicio de nuestro cargo.

H. Deberemos utilizar contraseñas largas y alfanuméricas y diferentes para las distintas cuentas y redes sociales.

I.  Es imprescindible asegurar los dispositivos con contraseñas, PIN o información biométrica.

J.  Es recomendable encriptar y asegurar la información sensible.

K. Antes de instalar aplicaciones debemos revisar los permisos y eliminar las aplicaciones que no usemos, desinstalándolas.  

Publicado el

OBLIGACIÓN DE INFORMACIÓN POR PARTE DE LOS CENTROS EDUCATIVOS

Se acercan las primeras reuniones con las familias y el encuentro con nuestro alumnado mayor de edad, por ello he querido hacer esta entrada en la que resumo nuestras obligaciones de información en relación a la normativa vigente de protección de datos que espero que os sea de utilidad.

Es importante recordar que los centros educativos van a realizar tratamientos de datos legitimadas por tres circunstancias diferentes y esto va a suponer que se desplieguen distintos efectos jurídicos (obligaciones y derechos).

Vamos a repasar las distintas posibilidades:

    • Tratamiento de datos legitimado por una norma con rango legal. La mayoría de las actividades de tratamiento de datos que desarrollan los centros educativos se realizan bajo la legitimación que le ofrece una norma con rango legal, por lo tanto, no requieren consentimiento expreso e informado. El artículo 27.1 de la Constitución Española reconoce el derecho fundamental a la educación y este derecho implica una necesaria actividad administrativa y su consecuente tratamiento de datos personales. Los centros educativos, ya sean de titularidad pública o privada, pueden tratar los datos personales de su alumnado que sean necesarios para el ejercicio de su función educativa y orientadora, así lo establece la Ley Orgánica de Educación, que habilita el tratamiento de los datos del alumnado con este fin desde el momento en que el alumnado se incorpora al sistema educativo. Igualmente, habilita a los centros educativos, en su caso, para que ceda datos del alumnado en caso de cambio de centro. Asimismo, la Ley Orgánica de Educación habilita a las escuelas para el tratamiento de datos de categorías especiales de datos cuyo conocimiento sea necesario para la educación y la orientación del alumnado. La Ley Orgánica de Educación legitima el tratamiento de datos personales relacionados con el origen y ambiente familiar del alumnado y su familia, características o condiciones personales, datos relativos a la patria potestad y la custodia, datos sobre resultados de la función docente y orientadora, características o condiciones personales del alumnado en cuanto sean necesarios para la función educativa, datos de matriculación del alumnado, discapacidades, enfermedades crónicas, TDAH, intolerancias alimentarias, alergias o tratamientos médicos.
    • Tratamiento de datos por consentimiento expreso e informado. Para todas aquellas otras funciones que no formen parte de la función docente y orientadora de los centros, será necesario contar con la base jurídica para tratar los datos correspondientes (consentimiento, contrato, interés público, etc.). (Para saber más del consentimiento informado: Consentimiento expreso e informado en protección de datos )
    • Tratamiento de datos legitimado por la relación contractual existente. No se requiere el consentimiento cuando se trata de datos necesarios para mantener o cumplir la relación laboral o administrativa que mantengan con el centro. Si bien, es importante señalar que rige el principio de proporcionalidad en el tratamiento (art. 5 RGPD), esto significa que se deberán tratar los datos estrictamente necesarios y proporcionales a la finalidad perseguida.

Los diferentes supuestos que legitiman el tratamiento van a generar diferentes obligaciones para los centros educativos.

En el caso de que tratemos datos por la competencia atribuida por una norma con rango de ley (función docente y orientadora, relación jurídica derivada de la matriculación, etc) deberemos informar a las familias o alumnado mayor de edad en los siguientes extremos:

      • de la existencia de un fichero o tratamiento de datos personales,
      • de la finalidad para la que se recaban los datos y su licitud, por ejemplo, para el ejercicio de la función educativa, o para difundir y dar a conocer las actividades del centro,
      • de la obligatoriedad o no de facilitar los datos y de las consecuencias de negarse,
      • de los destinatarios de los datos,
      • de los derechos de los interesados y dónde ejercitarlos,
      • de la identidad del responsable del tratamiento: el centro o la administración educativa.

Es importante recordar el principio de proactividad que exige que las instituciones que tratan datos informen adecuadamente de estos aspectos, así como, el hecho de que es la institución la que deberá contar con medios probatorios de la existencia de esta comunicación de la información y de que se ha realizado en los términos que legalmente se establecen.

¿Y a efectos prácticos sobre qué deberíamos informar a las familias o al alumnado mayor de edad al principio de curso? A menos deberíamos informar con un documento que incluyera los siguientes puntos:

      1. Se van a tratar sus datos personales. Este tratamiento, cuando se refiere a la función docente y orientadora, responde al cumplimiento de una obligación legal por lo que no requieren su consentimiento, si bien tendrán a su disposición los derechos de autodeterminación informativa que reconoce la normativa. Si se negaran al tratamiento NO podrían obtener el servicio público que ofrecemos.
      2. En el caso de tratamientos no contemplados en el apartado anterior, les solicitaremos el consentimiento expreso e informado. Deben saber que el consentimiento será requerido a mayores de 14 años o a tutores legales de los menores de 14.
      3. El centro va hacer uso de las siguiente APPs y plataformas educativas que cumplen los estándares de ciberseguridad……………… con la finalidad de llevar a cabo el proyecto educativo.
      4. Se podrán ejercitar los derechos relacionados con la protección de datos en este correo electrónico: ………… (o indicar otro método, recordando que debe ser fácil y ágil)
      5. Recordarles que la normativa les reconoce los derechos de acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas.
      6. Así mismo, no olvidar que están obligados a mantener actualizados los datos personales, con especial mención a los relacionados con la guardia y custodia y la patria potestad, que deberán ser comunicados de manera inmediata al centro para velar por l@s menores implicad@s.

Y recordad debéis obtener prueba de que se ha procedido a informar de todos estos aspectos.

¡Espero que os sea de utilidad!

Publicado el

NUEVA TEMPORADA EN LLEGÓ LA HORA: CURSO 21-22

Este curso, en septiembre, comenzó una nueva temporada en «Llegó la Hora» en 101TV Málaga, conducido por el gran Roberto López y producido por Nadia.  Hace ya unos años que comenzó esta apuesta por hablar de educación el la televisión, una idea original de Roberto y Nadia que me propusieron en 2018 colaborar con una sección de educación en la que acercáramos conceptos, reflexiones e información sobre las aulas a las familias. 

Os dejo algunos de los programas:

  • Hablamos de FP visible, FP de calidad y de Jumanji Emprendedor.

  • Roberto López contacta con nuestra clase para felicitar por el Premio Educa a Mejor Docente de España de FP. 

  • Hablamos de la visita al Ministerio de Educación.

  • En este programa hablamos de la visita de la Ministra de educación para participar en el proyecto FP visible, FP de calidad, de las 24 propuestas para reformar nuestro sistema educativo y cerramos con una técnica para estudiar. 

  • Competencia digital. Día de internet seguro.

  • Hablamos de vocación y de la nueva EvAU.

  • Cambio de calificación en primaria.

  • Educar para la paz.

  • Orientación educativa y laboral. Claves.

  • Conexión desde Florencia. Erasmus.

  • Desarrollar el espíritu crítico.

  • Premios CODAPA a la trayectoria profesional.

  • Nueva EVAU.