Cómo la creación de un programa proactivo de gobernanza de datos puede abordar las inminentes regulaciones de privacidad
Los datos son poderosos. Las organizaciones los utilizan para tomar mejores decisiones de negocio, optimizar las operaciones y reducir los costos operativos generales. Muchas de las empresas Fortune 1000 actuales transformaron sus negocios al embarcarse en una transición digital que convirtió los datos en su activo más valioso.
Por supuesto, las cosas valiosas necesitan protección. Los datos tienen el poder de transformar la información, ya que a menudo contienen información sensible que podría perjudicar a las personas a las que afectan.
Los Directores de Privacidad (CPO) se enfrentan a nuevos requisitos regulatorios para proteger y reportar datos sensibles, lo que ha creado una necesidad urgente para las empresas de gestionar mejor sus activos de datos. Organizaciones que antes no estaban reguladas están mejorando sus programas de gobernanza de datos para abordar esta necesidad. Como parte de este esfuerzo, es necesario que los CPO y los CDO colaboren de manera más eficiente para gestionar, proteger y reportar los datos de sus organizaciones.
La llamada de atención del RGPD y la CCPA
Con la reciente adopción de la Ley General de Protección de Datos (GDPR) y la Ley de Privacidad del Consumidor de California (CCPA), las regulaciones de privacidad de los EE. UU. llegaron más allá de los sectores previamente regulados de finanzas, salud y datos infantiles para especificar que cualquier organización que procese “datos personales” o “información personal” (PI) debe cumplir con nuevos estándares de cumplimiento en sus prácticas de datos, o someterse a multas costosas.
Con la privacidad de datos en el punto de mira y las regulaciones en constante evolución a nivel mundial (al momento de escribir este artículo, 61 países tienen regulaciones de privacidad en consideración), las organizaciones basadas en datos se están volviendo más estratégicas y progresistas en su gobernanza de datos. Las empresas ya no pueden permitirse tratar cada nueva regulación de privacidad como un proyecto aislado ni dedicar horas a recopilar y agregar manualmente datos para generar informes personalizados sobre las personas. Necesitan las soluciones adecuadas para operacionalizar y automatizar sus activos de datos a gran escala.
Descubriendo el punto ciego de la gobernanza de datos
Entramos en escena la gobernanza de datos y el rol del Director de Datos (CDO). La gobernanza de datos es la gestión de la calidad e integridad de los datos en toda la organización. Garantiza el consenso y la veracidad de los datos, y su precisión y completitud, confiables para todas las funciones de la organización.
El CDO es responsable de ejecutar las actividades necesarias para la gestión de datos y de definir las políticas de datos y los acuerdos de intercambio de datos. Para cualquier organización que recopile y procese datos confidenciales de clientes, empleados o empresas, y que desee garantizar que los datos se mantengan lo más precisos, completos y veraces posible, el CDO puede ser el mejor aliado del CPO. Y en casi todas las organizaciones, existe una creciente necesidad de que colaboren para lograr el cumplimiento normativo continuo.
En la actualidad, las empresas (especialmente aquellas fuera de sectores previamente regulados, como la salud y las finanzas) pueden presentar deficiencias en sus programas de gestión de datos. Estas organizaciones carecen de conocimiento histórico y documentación sobre la totalidad de sus activos de datos, o bien, dichos datos se encuentran dispersos en un panorama tecnológico diverso. Además, la gran cantidad de metadatos que se genera a diario puede dificultar la gestión eficiente de las solicitudes (incluidas las solicitudes de acceso de los interesados), y esto solo se puede solucionar abordando la gobernanza de datos.
La gobernanza tiene su momento
Los datos gestionados y gobernados adecuadamente pueden respaldar todas las funciones comerciales de la organización, incluida la gestión de la privacidad de los datos.
Así pues, si bien las regulaciones de privacidad pueden ser el catalizador, resulta que una solución para lograr el cumplimiento reside en el manejo responsable de los datos. Para muchas empresas que anteriormente no han logrado desarrollar un programa de datos sostenible, la gobernanza de datos está cobrando protagonismo. Esto se debe a la financiación destinada al cumplimiento del RGPD y a la revolucionaria formalización del procesamiento de datos que exige la normativa.
El lenguaje legal que rodea estas regulaciones no capta la visión completa e integral de cómo se gestionan los activos de datos de toda una organización. Por ejemplo, el descubrimiento de datos de información personal bajo la CCPA es solo una pequeña parte de las actividades de gobernanza de datos. Los datos que se encuentran cerca de la información personal (también conocidos como datos de proximidad) amplían el tipo de datos que deben catalogarse y categorizarse para obtener mayor documentación sobre su disponibilidad, uso y contexto.
Los datos de proximidad pueden incluir, por ejemplo, la dirección IP de una persona, su historial médico relacionado e incluso la configuración de cookies. Dado que estos conjuntos de datos ampliados también deben incluirse en el programa de gobernanza específico de la CCPA, un enfoque proactivo consiste en crear un programa de datos flexible y expansivo que pueda prepararse proactivamente para diversos requisitos de informes relacionados con la privacidad.
En general, las organizaciones deben optimizar sus recursos limitados para satisfacer diversos requisitos. Esto implica construir un marco sólido con procesos repetibles y eficientes que respondan rápidamente a los nuevos requisitos regulatorios, a veces contradictorios.
Cuando la privacidad y la gobernanza trabajan juntas
Hay varios métodos que los responsables de privacidad y datos pueden utilizar para crear programas defendibles para responder a amenazas inminentes a la privacidad y a las regulaciones.
Definir y clasificar.
El enfoque principal debe ser construir una base de datos representada por bloques de construcción discretos de elementos de datos. Estos atributos incluyen, entre otros:
- definiciones
- propósito de uso
- reglas de negocio
- controles de negocios y datos
- procesos de negocio
- reglas y puntuaciones de calidad de datos
- impactos del riesgo
- una matriz de propiedad
Además, un catálogo de datos es un inventario de datos disponibles y atributos asociados, incluida la clasificación, que describe las configuraciones de los datos como confidenciales, sensibles, internas, etc.
- Para el responsable de gobernanza de datos: Esto identifica cómo tratar los datos que se clasifican como confidenciales para el nivel de acceso o incluso la priorización de proyectos de gobernanza.
- Para el oficial de privacidad: Esto ayuda a explicar el riesgo asociado con las actividades de procesamiento que involucran esos datos.
Etiquetado
El segundo método de gobernanza de datos para la regulación de la privacidad es la inclusión de una categoría en el catálogo de datos.
- Para el responsable de gobernanza de datos: Este atributo describe el propósito de uso de los datos.
- Para el responsable de privacidad: Tanto el RGPD como la CCPA exigen que una entidad describa el propósito por el cual se utilizan esos datos.
Identificar el linaje de los datos.
El tercer método que alinea la gobernanza y la privacidad es documentar cómo fluyen los datos desde la parte ascendente hasta la descendente.
- Para el responsable de gobernanza de datos:El linaje de datos documenta e ilustra el recorrido completo de principio a fin de un elemento de datos, desde la fuente “autorizada” que creó los datos hasta las fuentes y aplicaciones posteriores que los almacenan, los muestran o ambas cosas.
- Para el responsable de privacidad:Esto revela la fuente de datos original o la procedencia de dónde se recopilan los datos y su ciclo de vida en todo el negocio.
Cumplimiento total, información real
Toda entidad que procese datos debe hacerlo de forma responsable, priorizando los datos de sus clientes y empleados. La privacidad y la gobernanza de datos constituyen una intersección importante donde esto es posible, y donde residen innumerables oportunidades para abordar el cumplimiento normativo. Si bien la privacidad puede ser el factor financiero y regulatorio que impulsa a una empresa a evaluar mejor sus activos de datos, un programa sólido de gobernanza de datos puede ser la base para gestionarlos y protegerlos.
Por lo tanto, es crucial que los CDO y los CPO colaboren de forma eficaz y frecuente para desarrollar nuevos procesos y procedimientos internos que gestionen, protejan y generen informes sobre los datos de forma eficiente. Las organizaciones pueden implementar software tecnológico para mapear datos estructurados y no estructurados, operacionalizar y automatizar todos los datos, eliminar la duplicación, gestionar las investigaciones de filtraciones y facilitar la elaboración de informes.
Al adoptar un enfoque de abajo hacia arriba hacia los datos, el CPO y el CDO juntos pueden crear un marco de privacidad defendible que no solo pone a su negocio en pleno cumplimiento, sino que también brinda valor al crear información real derivada de los datos.
Autor
