Gobernanza y política de protección de datos

I.    ¿Qué es la gobernanza de datos?

La rápida evolución tecnológica y la globalización han planteado nuevos retos para la gestión de los datos en las organizaciones. La magnitud de la recogida y del intercambio de información, incluidos datos personales, ha aumentado de manera significativa. La tecnología permite la utilización de datos en una escala sin precedentes y de forma globalmente deslocalizada y descentralizada.

Es este escenario, es fundamental gestionar de forma efectiva y eficiente la información en la entidad, lo cual puede ser una tarea compleja si ésta se encuentra distribuida en sistemas dispersos y no integrables; los datos son recopilados, mantenidos y utilizados por diferentes niveles de una organización de forma separada; existen incoherencias entre los distintos repositorios de datos; o los sistemas en los que se recogen los datos no incorporan como requisito el aseguramiento de la calidad de los datos. Este problema puede verse agudizado cuando los datos son tratados por múltiples responsables y encargados.

El gobierno de datos es el proceso por el que se definen políticas y procedimientos para garantizar una gestión de datos proactiva y efectiva. Además, la adopción de un marco de gobierno de datos permite la colaboración de todos niveles de la organización, nivel estratégico, táctico y operativo, para gestionar datos de toda la entidad, y proporciona la capacidad para alinear los datos con los objetivos corporativos.

Los datos y su correcta explotación pueden generar un gran valor, pero ese no ha de ser el único objetivo de la gobernanza de los datos. Entre otros, cuando se trata de datos personales, las personas físicas deben tener el control de sus propios datos y deben garantizarse sus derechos y libertades conforme al RGPD que incluso llega a otorgar a los interesados la posibilidad de supervisar los tratamientos y al responsable con fines de transparencia (considerando 78). Los tratamientos de datos personales deben estar respaldados por la implementación efectiva de los principios de protección de datos personales, tomando las medidas adecuadas y ofreciendo garantías suficientes.

El RGPD, en su artículo 24, establece que el responsable del tratamiento deberá aplicar las medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme con la normativa, teniendo en cuenta la naturaleza, el ámbito, el contexto, los fines del tratamiento y los riesgos a los que se puede ver expuesto dicho tratamiento. Además, señala como medidas pertinentes el establecimiento de políticas adecuadas de protección de datos. La gobernanza de datos facilita el marco de trabajo apropiado para establecer dichas políticas, integrándolas en la organización de forma que se lleve a cabo una gestión y un control eficaz y pertinente, favoreciendo el cumplimiento del RGPD.

II.   Importancia de la gobernanza de datos

Los datos tienen valor cuando se asegura su calidad, lo que garantiza que la información obtenido realmente es útil para alimentar los procesos de decisión de la entidad. La calidad de los datos se mide por su precisión, oportunidad, relevancia, integridad, confiabilidad y definición contextual. La buena calidad de los datos requiere una gestión de datos efectiva. Para promover una gestión de datos efectiva es importante contar con un proceso de gobernanza de datos, que lleva a las organizaciones que lo desarrollan a tener una adecuada gestión de la información en la entidad.

El gobierno de datos es inherentemente un desafío de integración, ya que obliga a las organizaciones deben tener un enfoque holístico. Los datos que existen y se explotan solo en un departamento o grupo solo generan valor dentro de esa parte de la organización. En el momento en que los datos se comparten se convierten en un activo empresarial que debe ser gobernado para protegerlo y maximizar su valor para toda la organización.

Objetivos de la gobernanza de datos

Los objetivos de la Gobernanza de datos deben estar alineados con los objetivos de la organización en la que se integra. En general, los principales objetivos de la gobernanza de datos son:

• Permitir una mejor toma de decisiones.
• Capacitar a la dirección y a la entidad en general para adoptar enfoques comunes con relación a los datos.
• Establecer procedimientos y procesos repetibles.
• Reducir costes y aumentar la eficacia coordinando esfuerzos.
• Reducir la fricción operacional.
• Proteger las necesidades de las partes interesadas relativas a los datos.
• Asegurar transparencia de los procesos.

Cuando se están tratando datos personales, la gobernanza de datos debe estar comprometida con la protección de la privacidad de las personas, sus derechos y sus libertades, aplicando las garantías adecuadas, y por tanto ha de integrar la política de protección de datos de la organización.

En definitiva, cuando los tratamientos incluyan datos personales habría que añadir a los objetivos de gobernanza anteriores los siguientes:

• Cumplir con los principios de protección de datos (licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad y responsabilidad proactiva).
• Garantizar que los interesados puedan ejercer sus derechos (derecho de acceso, rectificación, supresión (‘derecho al olvido’), limitación del tratamiento, notificación, portabilidad de los datos, oposición, y sobre decisiones individuales automatizadas).
• Garantizar la protección de la protección de los datos personales desde el diseño y por defecto, mediante una gestión del riesgo para los derechos y libertades.
• Cumplir con los restantes requisitos y obligaciones legales impuestos por la normativa de protección de datos.

Factores críticos de éxito de la gobernanza de datos

Los factores críticos de éxito para la gobernanza de datos pueden determinarse abordando los diez principales controles siguientes:

• Responsabilidad y responsabilidad estratégica. Es necesario un liderazgo ejecutivo para impulsar el proceso de gobernanza de datos. Para implementar con éxito la gobernanza de datos, deben definirse claramente los roles y responsabilidades de las personas que participan en el proceso de gobernanza de datos en la organización, lo que está en la línea de la aplicación del principio de responsabilidad proactiva establecido en el RGPD.
• Estándares. La definición de los estándares de datos es importante ya que los datos corporativos deben definirse y asegurarse de que sean "adecuados para su propósito". En tratamientos de datos personales se debe identificar cada tipología de datos y su categoría, prestando especial atención a las categorías especiales de datos personales (art. 9.1 y 10 del RGPD).
• Punto ciego gerencial. Es necesario alinear los datos, la privacidad, la tecnología, los procesos y los diferentes departamentos con los objetivos de la organización. Generar cultura de la importancia del dato y de su correcta gestión, teniendo siempre el compromiso de preservar la privacidad de las personas, respetando sus derechos y libertades conforme a la normativa.
• Abrazando la complejidad. La gestión de las partes interesadas de los datos es compleja ya que los datos se pueden recopilar, enriquecer, distribuir, consumir y mantener por diferentes partes interesadas. Si están implicados datos personales, es imprescindible gestionar los datos y sus tratamientos conforme al RGPD y garantizar los derechos y deberes de los sujetos de los datos.
• Participación integral. La estructura de gobernanza de datos debe diseñarse de tal manera que incluya la participación de todos los niveles de la organización para conciliar prioridades, agilizar la resolución de conflictos y fomentar el apoyo a la calidad de los datos, de sus tratamientos y la protección de la privacidad. El compromiso debe partir de la alta dirección.
• Métricas. La definición de métricas específicas de calidad de datos, de los tratamientos y de la efectividad de las medidas de privacidad es importante para medir el éxito del gobierno de datos y establecer un proceso de mejora continua.
• Compromiso. Cuando una organización comparte datos con otras organizaciones, se requiere que estas sean responsables de la calidad de sus datos y de sus tratamientos, asegurando la privacidad, para que los esfuerzos de las organizaciones no se vean socavados. Las comunicaciones de datos personales a terceros deben ser conformes a la normativa de protección de datos.
• Elección de puntos estratégicos de control. Deben establecerse controles para determinar dónde y cuándo se evaluará y abordará la calidad de los datos y de sus tratamientos.
• Monitorización de cumplimiento. Las políticas y procedimientos de gestión de datos y de la privacidad deben evaluarse periódicamente para garantizar su cumplimiento. Los controles necesarios para garantizar el funcionamiento de las políticas y procedimientos de gestión, así como su evaluación, se deben de incorporar al marco global para la gestión de riesgos de los tratamientos
• Formación y sensibilización. El responsable, los encargados y su personal deben ser conscientes del valor de la gobernanza de datos y de la necesidad de la protección de los datos personales. La importancia de la calidad de los datos y los beneficios de los datos de calidad, así como la importancia de proteger los derechos y libertades de los interesados y preservar su privacidad, deben comunicarse a todos los implicados en el tratamiento.

Finalmente, se aconseja seguir las recomendaciones elaboradas por la AEPD para aplicar los principios de responsabilidad proactiva que se pueden encontrar en la página de Innovación y Tecnología, específicamente aquellas relacionadas con las políticas de privacidad y principios de protección de datos:

• Guía de Privacidad desde el Diseño
• Guía para la gestión y notificación de brechas de seguridad
• Guía de orientaciones y garantías en los procedimientos de anonimización de datos personales