Carlos B Fernández. La implementación de sistemas de data governance o gobernanza del dato está demostrando ser una vía para la consecución de la necesaria madurez de las organizaciones, que permite a las empresas una gestión de la información ágil, flexible y segura, alineada con su estrategia comercial de tal forma que la organización pueda empezar a percibir estos sistemas y los recursos involucrados en ella como una inversión y una oportunidad. Para alcanzar este objetivo, son clave los procedimientos, las personas y la infraestructura adecuados, sin olvidar el necesario cambio cultural de la organización.
Estas son algunas de las principales conclusiones del informe elaborado por el Observatorio de Derecho Digital IE-Écija,
dedicado a la gobernanza del dato.
Este informe, elaborado por Teresa Pereyra, socia de privacidad de Écija, junto a IE Law school, fue presentado el pasado 7 de junio, en la sede del IE Law School. El documento recoge en lo fundamental las conclusiones de una sesión de trabajo en la que los participantes, miembros de los equipos jurídicos y de privacidad de importantes empresas pertenecientes a diversos sectores caracterizadas por la relevancia de los datos en su actividad, compartieron sus experiencias, conocimientos y opiniones sobre los sistemas de data governance y los principales retos y necesidades/oportunidades que identifican desde sus respectivas posiciones.
La importancia empresarial del dato
Como destaca el informe, no resulta difícil entender por qué cada vez hay más empresas inmersas en la revisión de sus estructuras y procesos para crear su sistema de gobernanza de los datos. Los datos son un activo intangible esencial para cualquier empresa que permite desde lo más básico, la adecuada gestión del negocio y una toma de decisiones informada, hasta cuestiones estratégicas de mayor madurez como procesos de transformación digital o estrategias de la tan ansiada monetización de la información.
Es decir, los datos son uno de los activos intangibles de mayor valor en el caso de muchas empresas y los esfuerzos de estas se concentran en incrementar su valor y monetizarlo.
La monetización de esta información puede ser de carácter directo o indirecto. La capacidad de alcanzar la monetización indirecta de la información está íntimamente ligada a su capacidad de contribuir a los objetivos estratégicos de la empresa y las posibilidades en este sentido son amplias
Sistemas de gobernanza del dato o data governance. Concepto
El informe recoge, en primer lugar, el concepto de data governance, definido como el conjunto de mecanismos y estructuras corporativas orientados a controlar y gestionar, con un objetivo último comercial, toda la información del negocio, considerando como parte de este todo tipo de datos, no sólo los de carácter personal. Este concepto comprende, por tanto: procedimientos, personas e infraestructuras.
En términos generales, su objetivo es asegurar que la información corporativa alcanza altos estándares de disponibilidad, integridad, seguridad, relevancia y usabilidad para permitir la toma de decisiones, así como una gestión de la información coherente con la estrategia de la organización.
¿Qué ventajas aporta implementar un sistema de gobernanza del dato en una organización?
El informe identifica las siguientes: 1. permite establecer los parámetros necesarios para la gestión y el uso de los datos en una organización, mejorando así su accesibilidad; 2. contribuyen a un nivel adecuado de cumplimiento normativo, especialmente en términos de privacidad y confidencialidad de la información; 3. mejoran la flexibilidad de la empresa, así como su eficacia y eficiencia en términos de costes; 4. coadyuvan a la reducción de riesgos de diversa naturaleza (estratégicos, relacionados con la continuidad de negocio, legales, reputacionales, etc.); 5. mejoran la calidad de la información que se maneja; 6. sirven de apoyo a las estrategias generales del modelo de negocio en cuestión; 7. permiten la gestión de la información de forma que contribuya a la satisfacción y fidelización del cliente interno y externo y, 8. agregan y protegen el valor del activo intangible;
Por el contrario, advierten, carecer de estrategias de data management y data governance conlleva desorganización y caos respecto de la información y priva a las organizaciones de los beneficios de este sistema de gestión.
¿Qué se requiere para poner en marcha un sistema data governance?
1. En primer lugar, es necesario identificar cuál o cuáles son los objetivos de cada empresa al implementar su sistema de gobierno de la información. Solo así será posible definir el alcance, los sistemas e infraestructura necesarias y otras necesidades.
2. Realizar el inventario de los activos, para identificar las bases de datos presentes en la organización, así como su origen, sistemas información involucrados, usos, finalidades, etc. En particular, se requiere un conocimiento completo del ciclo de vida de los datos a fin de poder intervenir sobre él en su mejora.
3. Establecimiento de un conjunto de políticas, procesos y roles bien definidos y alineadas con los objetivos estratégicos de la organización
4. Establecer un equipo humano con roles y responsabilidades bien definidas y acordes a sus capacitaciones y experiencia. Este equipo suelo incluir posiciones como el Chief Data Officer (CDO), el Chief Information Officer (CISO) y el Chief Privacy Officer (CPO).
5. Dotar al equipo de las herramientas tecnológicas y la arquitectura necesaria para sustentar el sistema de gobernanza, permitiendo el almacenamiento y gestión de la información en condiciones de seguridad y de forma que permita la gestión del ciclo de vida completo de los datos de la organización.
6. Establecer un sistema de seguimiento y control para, por un lado, verificar la implementación efectiva de las políticas diseñadas y, por otro, ser capaz de medir el impacto que la implementación del sistema de data governance genera en nuestra organización para lo que será necesario determinar los ratios o KPIs de relevancia en cada organización.
7. Formar y concienciar adecuadamente a las plantillas sobre el valor del activo que es la información.
Gobernanza del dato y ética
A la sombra de grandes escándalos y sanciones, y por la presencia de tecnologías cuya injerencia en la privacidad resulta mayor (inteligencia artificial, tecnología biométrica, etc.) los términos “explotación” y “monetización” de la información han adquirido cierta connotación negativa.
Por tanto, es preciso luchar contra la negativización de la explotación de la información fomentando, entre sus principios, la ética, de tal forma que el beneficio resultante no sea únicamente económico, sino que contribuya al bienestar y beneficio social. En consecuencia, resulta fundamental incluir principios éticos en un sistema de data governance para garantizar el uso responsable, transparente y ético de los datos en una organización.
Para ello, es necesario que estos principios queden debidamente reflejados en las políticas y procedimientos que forman parte del sistema, incorporando directrices claras acerca de cómo tratar los datos con la debida transparencia y respeto al derecho de sus titulares, qué técnicas de recopilación y análisis son las más adecuadas de acuerdo con estos principios y, sobre todo, entendiendo cómo impacta a los titulares de la información el uso que se hace de ella. Incorporar un perfil al equipo de gestión, asignar esta labor a alguno de los miembros del sistema de data governance, probablemente al Chief Data Officer o, incluso, crear un Comité de Ética que asuma esta labor.
Datos y privacidad
El informe refleja la preocupación de los profesionales participantes por una mayor y mejor concienciación en relación con el impacto de la privacidad en cualquier empresa y la necesidad de dotarla no sólo de los roles necesarios, sino de los recursos suficientes para ello. En este sentido, se constata que está demasiado extendido un cumplimiento de carácter superficial sustentado, muchas veces, sobre la base del miedo a la sanción de la Autoridad de Control correspondiente y el cumplimiento de naturaleza reactiva (esto es, el provocado por la apertura de un expediente sancionador o tras las consecuencias de una brecha de seguridad).
En consecuencia, el sector demanda una mayor concienciación sobre la necesidad de crear y dimensionar adecuadamente las estructuras necesarias para asegurar el cumplimiento de la normativa de privacidad, pero, sobre todo, sobre la relevancia e impacto positivo que esto genera sobre cualquier empresa.
En este sentido, además, se destaca la obligación legal de las empresas, como responsables o encargadas del tratamiento, de seleccionar proveedores de servicios que ofrezcan garantías suficientes. A tal fin las empresas no solo se encuentran con la necesidad de desplegar medidas de comprobación y diligencia en el momento de su selección, sino que deben diseñar procedimientos específicos que permitan mantener esta diligencia durante toda su relación con el proveedor, medidas que deben adecuarse a cada tipo de proveedor y a las características concretas del tratamiento de datos que realiza.