Todas las Preguntas Frecuentes agrupadas por categoría

Aplicación de cumplimiento LOPDyENS

#56. ¿Por qué existen dos tipos de responsable tecnológico? ¿Qué papel juega cada uno?

El/los Responsable/s Tecnológico/s es/son: 

El/los Máximo/s Responsable/s de la/s Unidad/es (o persona en quien delegue) donde se ubican los servidores que contienen las aplicaciones y ficheros relativos a los tratamientos. Se encargará/n del establecimiento desde el punto de vista tecnológico y mantenimiento de las medidas técnicas y organizativas que garanticen el cumplimiento de la normativa, en el tratamiento correspondiente.

Pueden existir dos tipos de RT en función de cómo hayan de incluirse las medidas de seguridad técnicas:

Responsable Tecnológico del Aplicativo: es la persona que gestión la aplicación en la que se tratan los datos. En algunas ocasiones las aplicaciones se gestionan en el SIC, siendo éste el responsable tecnológico de los aplicativos.

Responsable Tecnológico de la Infraestructura: es la persona responsable de los servidores que albergan las aplicaciones, y de las infraestructuras en la que se alojan dichos servidores. Si estos están en el CPD principal de la Universidad, las medidas (o una parte de ellas cuando los servidores se alojen en la modalidad de Infraestructura como Servicio) serán responsabilidad del SIC.

#57. El significado de corresponsable en un tratamiento

Según el art. 26 del RGPD hay corresponsabilidad cuando:

Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 y 14, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.

#58. Las peticiones relacionadas con medidas de seguridad en la aplicación, ¿de quién es la responsabilidad de cumplimentarlas?

Del Responsable Tecnológico, siguiendo las indicaciones de las medidas organizativas que le indique el RD. También puede desempeñarlas por delegación del RD, si así lo cree conveniente y la persona que se encarga de ello tiene los suficientes conocimientos informáticos, el Gestor o cualquier persona en quien delegue el primero.

El contenido de este apartado debe ser realizado por el RT en coordinación con el RD en función del tipo de tratamiento y de las aplicaciones que se utilicen. Otra cosa es quien debe rellenarlo, puede ser tanto el RT como el gestor, pero la responsabilidad del contenido es del RT.

#59. ¿Cómo se establecen las medidas de seguridad para garantizar la integridad y confidencialidad de los datos?

La confidencialidad se consigue mediante privilegios de acceso a la información. Solo las personas autorizadas podrán acceder a los datos. Cuando la información está en tránsito las conexiones deben ser seguras, utilizando canales de comunicación cifrados que impidan que un tercero pueda acceder a ella (por ejemplo, mediante el uso de https en la navegación cuando hay datos confidenciales.) 

La integridad es la propiedad de la información que garantiza que esta no ha sido modificada desde el origen al destino.

La integridad debe preservarse no solamente en la transmisión (de origen al destino) sino en el almacenamiento.

Para prevenir ataques activos que produzcan alteración de la información en tránsito, inyección de información espuria o secuestro de la sesión por una tercera parte hay que aplicar distintas medidas de seguridad: proteger accesos, actualizar software, eliminar vulnerabilidades, instalar sistemas de protección específicos.

Para el tema de la integridad de la información en el almacenamiento se recomiendan medidas como los verificadores de integridad y los File Integrity Monitoring (FIM) y en la transmisión la integridad se conserva mediante el uso de protocolos seguros que la tengan en cuenta.

#61. ¿Cuáles deben ser las medidas de seguridad a aplicar?

Las establecidas en el art.28.5 del RGPD, y las establecidas en la D.A. 1ª de la LOPDyGDD[1] que han de ajustarse a los dispuesto en el R.D. 3/2010, de 8 de Enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración Electrónica. Las medidas aplicadas deben ser proporcionales al tipo de datos y tratamiento que se les dé a estos.

[1] Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

#62. Cuando entro en la aplicación, ¿qué diferencia hay entre “transparencia” y “ejercicio de derechos de los interesados? ¿No es lo mismo?

La Transparencia es uno de los principios básicos y directamente aplicables que es necesario cumplir en todo tratamiento de datos personales. Se trata de la información relativa al tratamiento de los datos personales y a los derechos que asisten al interesado, que toda Unidad/Centro o Servicio debe comunicar a los usuarios/interesados, cuyos datos van a ser objeto de tratamiento.

Ejercicio de derechos de los interesados es el procedimiento establecido por la Unidad/Centro/Servicio de la Universidad, para que aquellos puedan ejercitar los derechos reconocidos en la normativa. 

#64. ¿En qué casos de los art. 6 al 9 del RGPD, hay que pedir el consentimiento y/o consentimiento informado?

Se debe pedir el consentimiento informado exclusivamente para aquellas actividades de tratamiento que de acuerdo con los artículos citados se legitimen en esta condición. Cada RD ha definido en el tratamiento qué bases de legitimación son las aplicables en cada caso. Será necesario solicitar el consentimiento en aquellas actividades de tratamiento de datos personales que esta condición sea base legitimadora. En la aplicación hay que demostrar que se ha solicitado y cómo el responsable del tratamiento lo guarda.

#65. ¿Qué considera el RGPD como tratamiento lícito?

La licitud o legitimidad del tratamiento es uno de los principios básicos y directamente aplicable del sistema jurídico de protección de datos europeo. Se encuentra regulado en los artículos 6 y 9 del RGPD donde se señalan una serie de condiciones en que se habrán de basar los tratamientos de datos personales para considerarse legítimos/lícitos.

Comunicaciones

#29. A veces sale un aviso de seguridad que desaconseja conectar con páginas web de la propia Universidad, ¿a qué se debe?

En principio, no debe ocurrir cuando se navega desde dentro de la propia universidad hacia la página de un servicio corporativo ya que las conexiones, dependiendo desde dónde nos conectemos, no siempre pasan por el cortafuego. Cuando navegamos desde la Universidad hacia Internet y nos aparece ese mensaje es que la página a la que intentamos conectarnos está catalogada como maliciosa. El motivo del mensaje es que la página remota contiene código que puede ser dañino para nuestros equipos y por eso se bloquea. Sólo en el caso de que el usuario esté seguro de que la página es buena, debe seguir las instrucciones de la propia página de aviso para pedir la revisión de la misma al fabricante del cortafuego. Ante la duda, mejor preguntar al Servicio de Atención al Usuario SOS.

#31. Diariamente los registros de logs de mi sistema muestran intentos de ataque ¿hay alguna forma de evitar estos ataques en el cortafuego corporativo?

Es más operativo realizar el filtrado de ataques a un servidor concreto de la Universidad en el cortafuego del propio servidor, a no ser que se detecte que el ataque se realiza de forma masiva a múltiples equipos de la Universidad de Sevilla. No obstante, es conveniente estudiar estos ataques que a veces ocurren porque tenemos expuesto un puerto o servicio al mundo cuando que debería estar restringido a la Universidad de Sevilla. En ciertos casos se podría incluir una regla en el cortafuego perimetral que paliara un ataque concreto.

#46. ¿Qué es el CICA?

El Centro Informático Científico de Andalucía (CICA) es un centro de la Junta de Andalucía concebido para prestar servicios a la comunidad científica andaluza. Es nuestro punto de acceso a Internet. Todas las Universidades Andaluzas y centros de investigación accedemos a Internet a través del CICA.

Conexión a la red wifi

#10. ¿Cómo puedo cambiar la clave de wifi en mi móvil?

Dependiendo del terminal móvil las opciones de configuración pueden variar. Nuestra recomendación es que busque las opciones de configuración para su modelo de móvil en Internet y localice la forma de cambiar en el móvil la clave para acceder a una red wifi particular (la de casa, por ejemplo). En relación al acceso a Eduroam, para que la configuración sea segura, la mejor opción es acceder a la página web de Eduroam CAT para configurar su dispositivo. La página incluye un instalador.

Conexión remota al puesto de trabajo

Configuración segura de ordenadores

#3. Para tener un equipo más seguro ¿cómo se qué servicios se pueden desactivar en el ordenador?

Los servicios mínimos necesarios que deben estar arrancados en un equipo dependen del uso que se le vaya a dar al equipo y del sistema operativo usado. Puede encontrar información de cómo realizarlo en esta Guía de bastionado o configuración segura. Sin los conocimientos necesarios es una tarea difícil de realizar por el usuario por lo que recomendamos que para los puestos de trabajo se solicite ayuda al Servicio de Atención a Usuarios SOS.

#5. ¿Qué ocurre si actualizo Java?

La actualización de Java puede afectar al uso de herramientas de UXXI que requieren una versión específica. La actualización automática del Sistema Operativo no implica la actualización automática de Java. No obstante, ante cualquier problema que surja, debe contactar con el Servicio de Atención a Usuarios SOS y seguir sus indicaciones.

Copias de seguridad y cifrado de la información

#43. ¿Es posible llevarse fuera de la Universidad un disco duro externo con la copia de seguridad del puesto de trabajo?

Para sacar información corporativa fuera de las dependencias de la Universidad de Sevilla es necesario disponer de una autorización del responsable de dicha información. En función del tipo de información almacenada en el disco duro externo o en cualquier otro soporte extraible, podría ser necesario cifrarlo debido a que el transporte de este tipo de dispositivos tienen un riesgo añadido de pérdida, robo o daño.

Datos personales

#16. Las fotografías de eventos públicos que se suben a los servidores Web de la Universidad, a los que accede personal externo a la Universidad de Sevilla, ¿sería una mala práctica? ¿Se pueden publicar fotos externas en las RRSS corporativas?

Si no se cumplen los principios de protección de datos, sí es una mala práctica, incluso cuando se publican sólo para personal interno a la US. Dependiendo del evento puede ser necesario tener un consentimiento explícito de las personas que aparezcan en la fotografía, pero en todo caso el obligatorio anunciar la grabación y dar información sobre el tratamiento y la finalidad que se va a dar a esas fotografías. Ante cualquier duda debemos consultar a la Oficina de Protección de Datos de la Universidad de Sevilla.

#18. Una hoja de cálculo con las notas de los alumnos nombre, DNI y calificación, ¿de qué nivel es? ¿Se pueden publicar en tablón de anuncios y plataforma de enseñanza virtual, la calificación de los estudiantes con su nombre y apellidos?

Nombre, apellidos, DNI y calificaciones son datos personales y hay que cumplir la ley. La Universidad de Sevilla establece las directrices para la correcta publicación de las calificaciones en relación a la protección de datos personales y la transparencia. Las instrucciones de publicación de calificaciones se pueden consultar aquí.

#20. Si hago una reunión familiar y publico una foto de todos en Facebook, ¿tengo que pedirles permiso?

El Reglamento General de Protección de Datos no aplica al tratamiento de imágenes efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, si bien la publicación de información de terceros en el ámbito doméstico nunca podrá lesionar los derechos e intereses de las personas. La Agencia Española de Protección de Datos ha publicado una Guía sobre el uso de videocámaras para seguridad y otras finalidades que aclara muchos puntos relacionados con la publicación de imágenes y vídeos, tanto en el ámbito profesional como en el personal.

#22. ¿Cómo podemos evitar que Google nos indexe?

Se puede limitar la indexación de nuestra web, no solo por parte de Google, sino por cualquier otro buscador (Yahoo, Bing…) utilizando el archivo de texto plano robots.txt. Hay que crearlo en la raíz del sitio web, por lo que debe hacerlo el administrador de la página. En dicho archivo se establecen las indicaciones que deben cumplir los robots spiders cuando visiten y rastreen nuestro sitio web.

#24. ¿Por qué ultimamente pregunta SEVIUS si queremos que se pubique nuestra foto? ¿Con qué fin?

El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, establecen el principio de minimización de los datos, que significa que estos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. La Universidad de Sevilla trata los datos imprescindibles para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos que tiene conferidos sin necesidad de tener un consentimiento explícito del usuario. Pero una fotografía puede no ser un dato mínimo y en este caso, sí pide, a través de SEVIUS, el consentimiento para publicarla en el Portal de la Universidad. La publicación es voluntaria.

Información corporativa

#13. ¿Qué es "información corporativa"?

Cualquier información generada en el ejercicio de nuestras funciones en la Universidad de Sevilla es corporativa. Las medidas de protección de la información corporativa dependerán de la clasificación de dicha información. Puedes consultar la normativa relativa a la clasificación y tratamiento de la información en este enlace.

#14. ¿Cómo se puede modificar el correo electrónico de un trabajador/a en el directorio público?

Los datos sobre un trabajador que aparecen en el directorio de la Universidad de Sevilla deben ser exactos y si no lo son, se deben actualizar. Puesto que se obtienen de distintas fuentes de datos corporativas, si un trabajador detecta que no son correctos, la mejor opción es comunicarlo al Servicios de Atención a Usuarios SOS mediante un petición en la plataforma para que el dato incorrecto se actualice en la fuente correspondiente.

#15. ¿Se contempla el correo corporativo y personal con la terminación us.es? Y si es así, ¿existen protocolos de uso diferenciados?

Todo el correo electrónico del dominio us.es es corporativo. Se puede distinguir entre cuentas nominales asociadas al UVUS, de uso personal e intransferible, ya que nos permite el acceso a las aplicaciones corporativas y a nuestros datos personales, y cuentas misceláneas asociadas a un puesto de trabajo, que tienen un único responsable pero que puede ser usada por más de una persona en el tiempo para el ejercicio de sus funciones. Los procedimientos de solicitud, uso y custodia son diferentes y se encuentran descritos en el “Procedimiento de gestión de la Identidad Digital y acceso lógico de la Universidad de Sevilla”.

Navegación segura

#32. ¿La “s” de https es importante?

Importantísima. Significa que la conexión es segura y la información va cifrada. Siempre que nos conectemos a una página que tenga información confidencial, acceso restringido por usuario o cualquier formulario de registro o recogida de datos, debemos asegurarnos de que el protocolo usado es https y no http.

#33. ¿Todas las direcciones que tienen candado son seguras?

No todas. Dependiendo del navegador, a veces, en una conexión segura https, en vez del candado aparece un signo de advertencia en lugar del candado o una página que dice que la conexión es insegura. Esto significa que el certificado digital que usa el servidor al que intentamos conectarnos está caducado o no es de confianza. En ese caso debemos valorar si nos conectamos o no.