Parece una pregunta capciosa. Y, en parte, lo es.
En los últimos años, la protección de datos personales dejó de ser un tema exclusivamente legal. Hoy es una preocupación que atraviesa a toda la organización. Aun así, muchas empresas siguen enfrentando un problema mucho más básico: no saben con claridad qué datos tienen, dónde están, quién los usa ni para qué.
Ahí es donde aparece el concepto de gobierno de datos. Pero antes de llegar a él, conviene entender algo más simple.
Partamos por algo más conocido: gestionar datos
Los datos siempre han existido en las organizaciones. Durante mucho tiempo fueron vistos como un subproducto de la operación:
Si una empresa vendía, aparecían datos de clientes.
Si cobraba, aparecían datos de pagos.
Si hacía marketing, aparecían datos de contacto.
El problema es que esos datos no se trataban como algo valioso. Quedaban dispersos, duplicados, sin control claro. En otras palabras, estaban ahí, pero nadie los gestionaba.
Con el crecimiento de la tecnología y la capacidad de almacenamiento y cómputo, los datos empezaron a verse como un activo. Y así se fue masificando la gestión de datos.
Gestionar datos significa, en términos simples, decidir (ya no ocurre por casualidad) qué recopilar, procesar y cómo utilizar los datos de forma segura y eficiente para obtener mejores resultados. No es un fin en sí mismo. Es una herramienta para lograr otros objetivos.
Si una empresa quiere crecer en un producto, necesitará datos de calidad para entender a sus clientes, tomar decisiones y medir resultados; Si quiere mejorar la experiencia necesitará datos de feedback de sus clientes, tasas de resolución, interacciones en canales, etc. La gestión de datos existe para apoyar el objetivo de la empresa y su estrategia.
Entonces, ¿qué es el gobierno de datos?
Si la gestión de datos es la ejecución del día a día, el gobierno de datos es el marco que ordena esa ejecución.
El gobierno de datos define las reglas del juego. Establece quién es responsable de los datos, qué estándares deben cumplir, cómo se accede a ellos, bajo qué condiciones se usan y qué controles deben existir.
En la práctica, permite que la gestión de datos ocurra de manera consistente, segura y alineada con los objetivos de la organización. Sin ese marco, cada área termina manejando los datos a su manera, y el resultado suele ser desorden, duplicidad y falta de control.
¿Y dónde entra la protección de datos personales?
Las leyes de protección de datos personales exigen que este tipo de información sea tratada y resguardada de una determinada manera. Para cumplir con eso, una organización necesita saber, entre otras cosas, qué datos personales tiene, para qué los usa, con qué fundamento los trata, quién accede a ellos y cómo los protege.
Eso parece obvio, pero en la práctica no siempre ocurre. Muchas veces el problema no es falta de intención de cumplir la ley. El problema es más básico: la empresa opera sobre datos desordenados y, por lo mismo, no tiene herramientas reales para aplicar adecuadamente las exigencias legales.
Ahí el gobierno de datos cumple un rol clave. Ayuda a identificar responsables, clasificar los datos, definir reglas de uso, almacenamiento y retención, establecer controles y ordenar todo esto de forma sistemática.
Es tan visible como preguntarse en qué escenario es más fácil proteger los datos.
Donde el escenario 2 tiene responsables y políticas que permiten que la gestión correcta se mantenga en el tiempo:
Tener gobierno de datos no asegura, por sí solo, la protección de los datos personales. Puede ayudar mucho, pero no basta.
Si la privacidad no forma parte de la estrategia de la organización, el gobierno de datos puede terminar enfocándose solo en ordenar, explotar o sacar valor de la información, sin necesariamente priorizar su protección (recordemos que la gestión y gobierno de datos buscan apalancar los objetivos de negocio).
En cambio, cuando la privacidad se incorpora como un principio de la organización, el gobierno de datos se transforma en un vehículo natural para hacerla operativa.
Vamos a lo concreto: qué prácticas de gobierno de datos ayudan a proteger la privacidad
La respuesta corta es: prácticamente todas. Pero algunas son especialmente útiles para comenzar.
- Catálogo de datos. No es lo mismo que un Registro de Actividades de Tratamiento, aunque ambos se complementan. El catálogo de datos reúne información clave sobre cada dato relevante para la organización. Permite entender qué significa ese dato, qué tan crítico es, quién lo administra, qué reglas de calidad debe cumplir, coms e clasifica (por ejemplo, si corresponde o no a un dato personal o sensible) y otra metadata que la organización considere relevante. Por ejemplo en simple (pueden haber catálogos de datos tan complejos como quieras):
- Definir responsables de datos: Los datos son tan diversos y específicos que resulta imposible que una sola persona conozca en profundidad todos los conjuntos de información de una organización. Por eso se asignan roles.
- El Data Owner suele tener un rol de decisión. Es responsable de un conjunto de datos determinado, como los datos de clientes. Define criterios de calidad, uso y seguridad, y debe entender si esos datos requieren medidas especiales de resguardo, por ejemplo por tratarse de datos personales o sensibles.
- El Data Steward tiene un rol más operativo. Apoya al Data Owner en la aplicación diaria de las políticas y estándares definidos. Se ocupa, por ejemplo, de que los datos estén bien clasificados, documentados y gestionados.
- El Data Custodian, en cambio, tiene un foco más técnico. Es quien implementa los controles necesarios para asegurar la disponibilidad, seguridad y respaldo de los datos.
- Definir políticas de datos. Su función es dejar claro cuáles son las reglas de la organización para usar datos. Estas políticas deberían incorporar expresamente criterios de protección de datos personales y de seguridad de la información, para que no exista ambigüedad respecto de qué se puede hacer, qué no se puede hacer y cuáles son las consecuencias de incumplir.
En el fondo, incorporar un gobierno de datos es facilitar condiciones, prácticas y estructura de roles que favorecen la protección de los datos personales.
