Principales líneas formativas |

[ver en PDF] [cursos] [solicitar formación]

Principales líneas formativas del DPD de la ULL

A la vista de las necesidades detectadas en las consultas recibidas, y la observación del actuar de esta Universidad, así como del análisis de la estructura de la información, se considera fundamental un plan de formación que se desarrollará tanto en líneas de microformación o diseminación informativa, como en cursos más estandarizados. Este documento es un avance con respecto a los contenidos básicos, que posteriormente se trasladarán a las concretas acciones. Reflejan algunos items que se consideran fundamentales.

Éstas van desde la preparación de una página web con contenidos específicos, la elaboración de píldoras formativas on-line; reuniones de consultas con el Delegado (a realizar en las dependencias de la unidad solicitante), normalmente con ocasión de alguna consulta o del impulso a la implantación de las políticas a desarrollar; o los cursos formales de formación del personal, que deberán ser de asistencia obligada a todo el personal.

A continuación se refieren los principales contenidos:

1.- Uso seguro del correo electrónico.

La suplantación del correo como caballo de troya:

El correo electrónico es como una postal, pero los usuarios piensan que es una carta certificada (se le parece sólo si se cifra, pero ¿cuántos cifran su correo?). Eso permite escribir cualquier remitente, y hacer que el destinatario piense que el emisor es quien figura en él. Así se remiten correos aparentamente desde entidades de crédito o administradores de sistemas pidiendo claves de acceso (phising), pero también dando otras instrucciones más sofisticadas (hacking social). Debemos de saber que el emisor de un correo no tiene porque ser el que figura como remitente, ya que ese valor lo rellena el cliente de correo del remitente. Gran parte de los virus y programas troyanos, que permiten el control remoto del ordenador infectado, se difunden por correo, y nos pueden llegar por correos que consideramos legítimos, por conocer al remitente. Hay que recordarf que en un corroe no hay garantía de la identidad del remitente. Por tanto, nunca se debe tener en cuenta como criterio de seguridad el remitente.

…salvo que el correo vaya firmado electrónicamente.

Además, se dice que es una postal, y no una carta, porque su contenido va abierto. Puede ser leído por todos los administradores de todos los ordenadores por los que tiene que pasar hasta llegar al destinatario y, según las conexiones que haya en la cadena de envío y recepción, también por los usuarios que estén conectados a dichas redes. Un correo está en ese sentido más expuesto a los ojos de terceros que una postal, que siempre esta custodiada por una empresa. Al ser un tratamiento electrónico, cualquier brecha en el largo camino hasta el buzón del destinatario y desde éste hasta su lector (cliente de correo o webmail) hace que los posibles “lectores ilegítimos” puedan ser muchos.

Y ¿existe un sobre para el correo electrónico? ¿puede cerrarse para que no se lea “in itinere”. Sí, claro que sí. La misma firma electrónica que permite autenticar el remitente, permite cifrar para el destinatario, de modo que sólo éste pueda “abrir el sobre”. Aunque la técnica es la misma que el firmado, la operación se realiza de forma inversa: se realiza la operación en el receptor, usando su firma electrónica, pasando de un texto alterado (incomprensible) al original (firmado o no) del emisor. ¿Cómo se hace, pulsando un botón? Hoy en día la tecnología permite hacerlo así de simple.

Si no firmas ni cifras, es porque no quieres.

Tecnologías recomendadas:

Para dispositivos móviles (Android e iOS)¹:
Para escritorios: ²
Para sistemas web:

Si bien son las más sencillas de usar, sus implementaciones más completas son GnuPG/OpenPGP, disponibles hoy día prácticamente para todas las plataformas.

2.- Redes sociales ¿porqué dejarse llevar?

El RGPD pretende luchar contra la creación de perfiles de usuario, que es justamente el propósito de los servicios de red gratuitos³. Una de las mejores maneras de luchar contra ello es la desentralización, impedir que todos los datos estén en manos de unas pocas empresas. Con eso los estudios de mercado, que se podrán seguir haciendo, se basarán en la voluntad del usuario, no por el mero uso de la concreta red o servicio del que hablemos. Eso se consigue con redes distribuidas. Hoy en día tienen madurez suficiente para seguir haciendo las mismas cosas, funcionalidades análogas, sin comprometer la privacidad, sin obligación de aceptar el análisis de una pléyade de datos del usuario (los propios de la interacción con la red o servicio, y los captados por los sensores de sus dispositivos móviles: micrófono, cámara, wifi, gps, conexiones a antenas de telefonía móvil, estado de carga, movimiento, que según que aplicación se instale autoriza dicha captación).

Cuando una Administración pública divulga contenido exclusivamente mediante una red comercial, está obligando al usuario, que tiene derecho a acceder a dicha información, a aceptar las condiciones de acceso a dicha red. Una Administración Pública no puede comunicar ninguna información de modo que se produzca esta discriminación para quienes no quieran aceptar los términos de uso de tal red ajena a la Administración. Ello ocurre desde luego con la información que viene obligada a hacer disponible al público, pero también con la que aporta como mejora de su transparencia o atención a usuarios, pues estaría invitando a éstos a que, para pertenecer al grupo de los mejor informados, se adhieran a una red con condiciones de privacidad en ocasiones cuestionables. Debe por tanto, como mínimo, valorarse las condiciones de uso de la red en la que se divulgará la información. La conclusión de dicho análisis puede ser incluso que no deba usar dicha red en absoluto, pero en cualquier caso sería siempre recomendable usar además otros medios que sean claramente correctos desde el punto de vista de la privacidad, para poner a disposición del usuario la misma información. Desde luego lo será si es la propia Administración la que controla el servicio, colaborando a que sus usuarios utilicen estos también en otros ámbitos de su vida personal, contribuyendo así decisivamente a difundir y promover un buen uso de las redes por la sociedad.

Alternativas:

Este DPD ha puesto en marcha tres proyectos pilotos coordinados con la Oficina de Software Libre de la Universidad de La Laguna, invitando a toda la Universidad a usarlo como alternativa (o en paralelo) a las redes comerciales, son los siguientes:

Diáspora: red social análoga a Facebook. Su url principal se puede encontrar en este enlace. En espera del servicio propio de la ULL puede usarse cualquier nodo (llamados pods) listado en este enlace. Este DPD gestiona uno propio que tiene abierto a la comunidad: Enlace. Se accede por invitación, solicíteme una. Además del acceso web desde android se puede utilizar dandelion*.

Mastodon: es un sistema de Microblogs, como Twitter, o GNUsocial. Puede elegirse un nodo (llamados instancias) en este enlace. En espera de que la ULL disponga de uno propio, este DPD gestiona uno, abierto a la comunidad, bajo esta url (enlace). Probablemente el cliente más moderno para esta red es Fedilab. Además del acceso web existen otros muchos clientes, como Twidere, para el móvil. Este último es recomendable también si se usa la red Twitter, pudiendo integrarse ambas plataformas en un mismo cliente (lo que será deseable para quienes tienen ya cuenta de Twitter)⁴. En breve estará disponible el nodo de la ULL, montado a instancias y con el asesoramiento de este DPD.

Jabber/XMPP: Un sistema de mensajería instantánea con funcionalidades análogas a las de WhatsApp, si bien no depende del número de teléfono, sino de un usuario/contraseña, permitiendo que un mismo usuario escriba/reciba desde diversos dispositivos simultáneamente (ordenador, móvil, tablet, portátil,…). Los servidores jabber se conectan entre sí para permitir remitir mensajes de texto (y dependiendo del servidor también multimedia y archivos) entre usuarios. Una lista de servidores jabber gratuitos se encuentre disponible en este enlace. La dirección jabber de contacto profesional de este DPD es luis.fajardo@fajardolopez.com, mientras se monta el servicio propio de la ULL⁵(misma dirección que Diaspora), se ha creado una dirección en un servidor gestionado por la Universidad de Viena, dpdull@jabber.zone. Se recomienda el cliente Conversations para Android y AstraChat (no probado, basado en especificaciones) para iOS. Para escritorio, por coherencia con la aplicación de correo, se recomienda Thunderbird, o como cliente independiente, Pidgin.

3.- Administración electrónica

Existe un desconocimiento por parte de la comunidad universitaria de que muchas de las actuaciones que realizan se enmarcan dentro de un procedimiento administrativo. Ciertamente no existen herramientas ni protocolo suficientemente claro para un buen proceder administrativo, pero sí puede irse concienciando y usando las herramientas existentes, al tiempo que en otro ámbito se desarrollan las instrucciones reguladoras que aporten la claridad necesaria al sistema. El correcto actuar administrativo (que hoy en día es tramitación electrónica) soluciona muchos de los problemas de protección de datos. A la vez, el Esquema Nacional de Seguridad que deriva de las normas de administración electrónica incide notablemente en la protección de los datos. De ahí que articular debidamente la administración electrónica tiene una incidencia directa en el tratamiento correcto de los datos personales y en la seguridad del sistema. Los cursos irán enfocados a facilitar culminar la implantación de la administración electrónica, en concordancia con el RGPD.

La importancia de articular un registro de tratamiento accesible:

Pero también ocurre al revés, también una buena política de protección de datos está en la base de una buen modelo de administración electrónica. Siendo así que la propuesta estratégica de este Delegado tiene como uno de sus ejes de actuación el reconducir el disperso tratamiento de datos existente en la ULL a unos tratamientos si no centralizados, sí bien coordinados y conocidos. Sólo sabiendo de qué datos se dispone y qué se hace con ellos es posible garantizar el ejercicio de derechos del RGPD. Ahora mismo se ha dibujado la fachada, se tiene un procedimiento electrónico para el ejercicio de los derechos RGPD, como antes el ejercicio de ARCO, pero lo cierto es que se queda en poco más que recepcionar la petición (y contestar con apenas los datos de los servicios administrativos centrales), puesto que no se puede informar ni tomar medidas con respecto a la multitud de formularios que proliferan para todo tipo de eventos, seminarios, cursos, y servicios universitarios de muy diversa índole.

La estrategia es la creación de un procedimiento en sede para la creación de formularios (remitido en febrero al GAP para su implantación), que indique la finalidad, el responsable del uso de los datos que se recaban, la justificación jurídica del tratamiento que se va a llevar a cabo y, finalmente, los datos que son necesarios. El formulario del referido procedimiento no pedirá análisis, sino elegir entre respuestas pre-redactadas, facilitando la consulta al DPD si se desconoce la respuesta, o la redacción facultativa de una respuesta distinta a las estándar. De este modo la inscripción en un seminario, por ejemplo, se podrá realizar por los alumnos con simplemente pulsar el botón “apuntarme”, sin necesidad de introducir (salvo que sea preciso) ningún dato, pues la ULL ya cuenta con los datos necesarios. El entorno es seguro, los datos están controlados, es mucho más sencillo incluso que realizar un “Google Form”, pero sobre todo es correcto. Para los usuarios es mucho más claro, tanto la búsqueda del formulario como el uso del mismo.

La concreción de esta propuesta requiere previamente el diseño de dicho meta-procedimiento, cuya finalidad es permitir actualizar el registro de tratamientos, y conocer los responsables del manejo de datos en distintos ámbitos de la ULL, lo que es necesario para posteriormente implementar en ENS, que es fundamentalmente una estructura orgánica de seguridad, una asignación de roles. En ocasiones no se tratará de un mero formulario (inscripción en una actividad), sino de un verdadero procedimiento de administración electrónica. De ahí que deba existir otro meta-procedimiento para la generación de procedimientos de administración electrónica⁶.

Otra cuestión que afecta a los procedimientos administrativos es el acceso de los interesados a ellos, siendo delicado su tratamiento cuando existen datos de carácter personal. También se darán pautas al respecto⁷.

Actas, notificaciones y publicidad

La protección de datos puede incidir en el contenido que se comunica de determinados expedientes, así como en la forma de dar publicidad a algunos de ellos. En ocasiones surgen dudas sobre cómo confeccionar un acta de una sesión de un órgano colectivo cuando existen datos personales, cuestión que no afecta realmente al acta, sino a la publicidad de la misma. El acta debe incorporar la información tratada, pero a la hora de su certificación se limitará el contenido innecesario a los efectos de la certificación. Todos estos aspectos, según el público al que se dirija, deben ser abordados.

Custión especial merece el tratamiento de las actas de calificaciones, lo que requiere más de un taller y debate práctico trasladando los principios de protección de datos y administración electrónico al actuar actual de la Universidad, para en base a ello, además de dar pautas, sugerir los cambios normativos que se consideren adecuados.

4.- Seguridad

La implantación del ENS debe considerarse en conjunción con las normas del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información⁸., y en particular la respuesta a incidentes de seguridad (y la preparación de éstos), otro frente en las actuaciones de este DPD que debe trasladarse a los usuarios. Aquí hay un doble trabajo, por un lado hacer de correa de transmisión hacia los usuarios de las desviaciones que el STIC considere más habituales (formar en el correcto uso de los medios a disposición de la comunidad universitaria), y por otro asistir al Consejo de Gobierno, con la colaboración del Vicerectorado de TI en la definición y establecimiento de una política de seguridad y los procedimientos que de aquella se derivan, asistiendo posteriormente a los responsables ENS (de la información, del servicio, de la seguridad de la información y del sistema, y en su caso otros que se implementaran) en el desarrollo de sus actuaciones.

Dicha formación se impartirá junto con los talleres sobre herramientas referidos más arriba.

1También puede usarse como plugin para el Outlook de Microsoft.

2La criptografía, que habilita firma y cifrado, corre a cargo del módulo denominado Enigmail.

3Entendiendo por tales no los ofrecidos gratuitamente por Administraciones Públicas o por colectivos sociales sin ánimo de lucro, sino por empresas de marketing como Google, Facebook, Microsoft (con su servicio Hotmail) o Yahoo.

4Desde el punto de vista d ella seguridad, es preferible usar este cliente de código abierto para Twitter que no la aplicación original.

5En su momento, si la ULL quisiera adoptarlo como mensajería interna, debería coincidir con la dirección de correo, ya que el uso de Gmail como sistema de correo y por tanto de Hangout como mensajería asociada, no debería afectarse por Jabber (originariamente Googletalk usaba jabber, por lo que sería incompatible, pero al cambiar a Hangouts no interfiere con implementar Jabber/XMPP, por lo que se recomienda en un futuro hacerlo coincidir con la dirección de correo).

6La revisión realizada de la normativa de la ULL incorpora un artículo al respecto, que en el último borrador remitido a Secretaría General dice:

“Artículo 17.- Autorización y revisión del catálogo de procedimientos administrativos. Actuaciones administrativas automatizadas.

1. El órgano competente para su instrucción o resolución establecerá:

a. La normativa de aplicación, que deberá incluirse en la ficha del procedimiento, a publicar en el portal web de la ULL;

b. Los tratamientos de datos personales que el procedimiento requiere, recabando las autorizaciones precias de acuerdo al procedimiento establecido en este Reglamento;

c. Las fases del procedimiento y, respecto a cada una de ellas, los datos que pueden acceder automáticamente al portal de transparencia.

d. Los modelos normalizados de solicitud, que deberán contemplar la totalidad de la casuística en la materia, al objeto de no imponer interpretaciones normativas a los administrados, y que se pondrán a disposición de los/as interesados/as en la Sede Electrónica de la Universidad de La Laguna.

e. El momento, forma y condiciones, de acuerdo con las políticas institucionales de aplicación, singularmente la de gestión del conocimiento, y la del documento electrónico, en que proceda la incorporación al repositorio institucional de la producción intelectual que se originara en el procedimiento administrativo o como consecuencia de éste. A estos efectos podrán realizarse varios depósitos, en las distintas fases de su elaboración y publicación.

2. Una vez presentada instancia con la referida documentación, la Secretaría General acordará la actualización del catálogo de procedimientos y, en su caso, del listado de actuaciones administrativas automatizadas.

3. En el plazo de un mes desde su aprobación o, en su lugar, en el que la Secretaría General indicara, el Gabinete de Análisis y Planificación o el órgano a quien la Secretaría General le indique deberá:

a. implementar el procedimiento en la sede electrónica de la ULL;

b. hacer disponible para cada fase del procedimiento los datos a la unidad responsable del portal de transparencia, de modo que puedan automatizarse las actualizaciones del portal.

4. Los referidos órganos competentes deberán actualizar sus procedimientos con arreglo a las reglas aquí establecidas siempre que exista un cambio normativo, o en su defecto cada dos años.”

7Puede verse las Notas de este Delegado a consulta del Negociado de Rectorado sobre actuación respecto a solicitud de copia de expediente disciplinario por persona que dice ser interesada (incluido el estudio de si es o no persona interesada)

8Aplicable a las redes pertenecientes a sistemas críticos conforme a Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, dado que la Universidad reúne la doble condición de ser Administración Pública y disponer de instalaciones de investigación, por lo que sus infraestructuras están doblemente clasificadas como críticas conforme a dicha ley.

Busca en la Universidad de La Laguna: