Índice de contenidos
En este entorno tecnológico y con el desarrollo del Big Data es preciso establecer una serie de normas que estructuren marcos específicos a la hora de usar los datos en las empresas. Para ello, la gobernanza de datos ayuda a englobar todas aquellas normas, políticas, acciones y procesos que garantizan el uso correcto de la información proveniente de los datos y su tratamiento, permitiendo así que las empresas alcancen sus objetivos de forma segura y eficiente.
Para implantar un sistema de gobernanza efectivo es importante, en primer lugar, conocer y tener en cuenta cuáles son las obligaciones que tienen las empresas dentro del marco de la normativa actual.
Obligaciones de las empresas.
La implantación de la nueva ley de privacidad y protección de datos RGPD ha aumentado el control del uso y adquisición de los datos de los ciudadanos en entornos digitales. Las empresas tienen que cambiar y adaptarse a esta nueva normativa y deben tener en cuenta una serie de medidas para poder gestionar de forma adecuada los datos. En caso de incumplimiento de la normativa, las empresas pueden verse envueltas una serie de sanciones que variarán su cantidad en función de la gravedad de la infracción.
Para garantizar el cumplimiento de la normativa, es necesario tomar medidas garanticen el cumplimiento de la normativa para empresas que trabajen con datos e información de personas físicas, aplicando así la gobernanza de datos. En este sentido, también es relevante hablar de la anonimización de los datos que las organizaciones deben llevar a cabo para poder trabajar con información personal.
Según Atico34[1] algunos de los factores más importantes son:
Principales obligaciones de las empresas
- El consentimiento explícito de los usuarios, en el que el usuario indica de forma positiva que permite el uso y tratamiento de sus datos.
- Aviso obligatorio a los usuarios en caso de que exista una brecha de seguridad en el que se vean afectados los datos personales y ponga en riesgo sus derechos.
- Información clara de quien va a usar los datos de los usuarios y con qué finalidad. Se debe informar del nombre del responsable, por qué tratar sus datos, para qué se usan y cómo ejercitar los derechos.
- Se debe informar del plazo de conservación de los datos, aunque no existe un plazo mínimo de conservación único establecido y depende de la documentación que se trate.
- El tratamiento de datos que existan riesgos elevados para la privacidad y protección de los datos como informes psicológicos, detectives privados… se hará obligatorio el uso de un DPO (Delegado de Protección de Datos).
- Al iniciar un nuevo tratamiento, por ejemplo, el formulario de contacto en una página web, será necesario realizar un análisis previo EIPD (Evaluación de Impacto en la Protección de Datos Personales) de los riesgos que conlleva para los usuarios que introduzcan sus datos.
- Cada tratamiento de datos personales que se realizan debe ser tratado como fichero, y se debe especificar la finalidad de cada uno de los ficheros que se realicen.
- Elaboración del documento de seguridad, este documento resume todo lo relacionado con el tratamiento de datos personales dentro de la actividad profesional.
- La formación de las personas encargadas del tratamiento de datos también es fundamental en la nueva normativa.
- Se realizarán auditorías periódicas para controlar que se están llevando a cabo todas estas medidas para proteger la privacidad de los usuarios.
Anonimización de los datos personales (Objetivo, riesgos, técnicas..)
En las empresas que trabajan con grandes cantidades de datos e información de usuarios es imprescindible llevar a cabo el proceso de anonimización.
La anonimización de los datos personales es, básicamente, tratar de que sea imposible identificar a una persona, que mediante diferentes técnicas específicas para cada dato, tiene el objetivo fundamental de que no sea posible identificar a ninguna persona de la información que disponemos.
Este proceso pretende reducir al mínimo o eliminar por completo el riesgo que existe de poder vincular cualquier dato con el usuario al que pertenece. Se realiza siempre previamente al tratamiento de los datos, intentando no distorsionar los datos una vez realizado el proceso de anonimización y garantizando su veracidad. Sin embargo, la evolución tecnológica y las herramientas e información de la que actualmente disponemos hace difícil que los datos anónimos puedan serlo de forma absoluta, especialmente a largo plazo. A pesar de esto, la anonimización va a ofrecer mayores garantías de privacidad en las personas.
Gobernanza de datos: Riesgos
Esta herramienta, recogida en el RGPD, es a la que recurren las empresas y organizaciones para garantizar la privacidad y protección de datos de los usuarios cuando se van a realizar operaciones con información personal, y existen diferentes técnicas con distintos grados de solidez que podemos llevar a cabo, pero, en primer lugar, debemos tener en cuenta los principales riesgos que existen:
- La singularización, es la extracción de determinados conjuntos de datos procedentes de un registro que puedan llevar a identificar a una persona.
- La vinculabilidad, se trata de la posibilidad de vincular dos datos de una persona procedentes de una misma base de datos o de dos distintas.
- La inferencia, deducir con probabilidad el valor de un atributo partiendo de valores de otros atributos distintos.
Gobernanza de datos: Técnicas de anonimización de datos
Sabiendo los posibles riesgos que puede tener, se debe escoger la técnica que más se adecue a los datos que poseemos. Podemos hablar de tres diferentes:
- Aleatorización. Consiste en alterar la veracidad de los datos para dificultar la identificación de su procedencia. De esta manera, los datos resultan ser tan ambiguos que no se pueden vincular a una persona en concreto, garantizando así la privacidad y la protección de datos. Esta técnica puede tener diferentes variedades:
- Adicción del ruido, en la que se modifica la veracidad de los datos, metiendo “ruido” en la base de datos, para crear un efecto ambiguo.
- Permutación, en este caso se mezclan los valores de los atributos para que se vinculen con diferentes personas.
- Privacidad diferencial, se trata de generar vistas anonimizadas de los datos, mientras guarda una copia de la base de datos original.
- Generalización. Esta técnica consiste en generalizar los datos que poseemos, de manera en la que si poseemos un dato como “ciudad” podemos cambiarlo por otro dato más general como “región”. Puede tener las siguientes variaciones:
- Agregación y anonimato K, para evitar la identificación de una persona se generalizan los valores de los atributos generalizándolos de forma en la que todos los individuos compartan el mismo valor.
- Diversidad L, garantiza el anonimato mezclando los valores, para que exista un grado significativo de incertidumbre.
- Proximidad T, consiste en un perfeccionamiento de la Diversidad L, en el que elaboran valores que se parecidos a los originales, y que esos valores se generen las veces necesarias para que sean anónimos.
- Seudonimización. Se trata de la sustitución de un atributo por otro, sin embargo, el uso exclusivo de esta técnica puede llevar a un gran riesgo de que puedan ser identificados.
La utilidad de la Gobernanza de datos.
Como hemos mencionado anteriormente, la transformación cultural y digital de las empresas con la introducción del Big Data ha llevado a implantar una serie de normas y procesos en las propias empresas, para garantizar el uso correcto de los datos y su tratamiento, estableciendo unas políticas de acceso y manejo de los datos, con el fin de lograr los objetivos marcado por la empresa. Este conjunto de acciones se establece con la implementación de la gobernanza de datos.
Principios de la gobernanza de datos
Según PowerData[2], los principios de la gobernanza de datos se basan en:
- Integridad en las relaciones con los demás, siendo veraces y comunicativos.
- Transparencia e los procesos para todos los participantes y auditores.
- Auditabilidad, todas las decisiones relacionadas con datos serán auditables y tendrán la documentación en regla.
- Responsabilidad, se deben definir las responsabilidades para las decisiones multifuncionales de los procesos y controles.
- Gestión, la gobernanza de datos define las actividades de gestión, en concreto de las responsabilidades de los contribuidores individuales y las del grupo de administradores de datos.
- Introducir un control y balance entre el negocio y la tecnología.
- Soporte a la estandarización de datos de la empresa.
- Gestión del cambio en las actividades proactivas y reactivas.
Por ello, plantear una adecuada estrategia de gobernanza de datos es fundamental en cualquier empresa que utilice grandes cantidades de datos e información privada. Conocer y orientar a la empresa en el marco normativo por el que se puede mover crea cierta ventaja competitiva con respecto a otras empresas. También favorece el establecimiento de unas directrices generales en la organización, con las que puede mejorar el proceso de toma de decisiones, así como reducir los procesos que resulten ser más costosos aumentando la transparencia en las acciones que se lleven a cabo. Básicamente se trata de resolver conflictos que surgen en las empresas relacionados con los datos.
Protocolo para implementar la gobernanza de datos
Para establecer la gobernanza de datos en una organización no hay unas estructuras básicas a la hora de establecer perfiles, cada organización tiene unas actividades diferentes, así como un número de empleados o un número de clientes diferentes, pero existen unas medidas comunes que todas las empresas se deben tener en cuenta. Tal y como menciona EAE Bussines School[3] el protocolo para implementar una gobernanza de datos tendría las siguientes fases:
- Establecer metas que sean coherentes que puedan ser medidos.
- Establecer unos KPIs claros para saber qué información necesitas en todo momento.
- Saber cómo van a ser las tomas de decisiones a través del análisis de datos, algunas se podrán tomar de forma sencilla y otras llevarán más tiempo.
- Comunicación de las decisiones que se tomen y de la información estudiada.
- El análisis, que es clave para saber si se están cumpliendo los objetivos que se han marcado.
Es importante también, a la hora de establecer una gobernanza de datos, implicar a los trabajadores en la implantación de este nuevo proyecto para que haya una mayor aceptación entre los trabajadores de etas nueva medidas y funciones que van a realizar. De esta manera, los empleados de la organización conocen las responsabilidades que cada uno de ellos tiene con respecto a los datos que se usan en su empresa.
Lorena Fernández, agosto de 2020