Capítulo 15 Gobernanza de Datos
15.1 Introducción
En el contexto actual la información es clave para el manejo de toda institución, tanto la información interna como la externa a la institución. Esta información proviene de la gestión de los datos como unidad básica generadora de información. Tanto los datos como la información obtenida de ellos es susceptible de ser alterada, manipulada indebidamente o utilizada para fines distintos a los originales.
El primer paso en este programa es definir a los propietarios de los datos de la institución. En cada área de la institución se identificará al o los responsables de los datos que esa área genera o administra. Identificando quién es responsable de los diferentes aspectos de los datos incluyendo su exactitud, accesibilidad, consistencia, integridad y actualización.
El siguiente paso es la definición de los procesos acerca de cómo los datos van a ser almacenados, archivados, respaldados y protegidos contra incidentes, robos o ataques. Se debe desarrollar un conjunto de normas y procedimientos que definan como los datos van a ser utilizados por el personal autorizado.
Finalmente se debe establecer un conjunto de controles y procedimientos de auditoría que aseguren el cumplimiento continuo de las normas de gobierno.
Una estrategia de gobernanza debe identificar los datos tanto en sus orígenes como en su posterior adaptación, para luego gestionar los accesos y obligaciones de los propietarios y/o administradores al cumplimiento de las normas de seguridad internas establecidas para su manejo y finalmente el cumplimiento de las normas legales establecidas a nivel nacional.
La mejora en los procesos de una organización con una gobernanza de datos apropiada se resumen en los siguientes aspectos:
Comprensión compartida de los datos y la gestión de estos para todas las unidades de la organización.
Mejora la calidad de la información. Se mejora la precisión y coherencia de datos.
Mejoramiento de la estructura de datos. Mejora la relación entre los datos colectados y propende a la creación de repositorios comunes y mejores análisis de las relaciones entre los distintos datos. Se establecen jerarquías y mejores esquemas.
Visión 360. Datos coherentes y organizados permiten una visión completa del estado de una organización.
Cumplimiento de regulaciones. Se garantiza el cumplimiento de las regulaciones nacionales relativas a la información.
15.2 Consideraciones
La ubicación del gobierno de datos puede variar dependiendo de la estructura de la organización. En cualquier caso la unidad debe recibir los niveles de apoyo apropiados para la ejecución y gestión de la gobernanza. Además necesita:
El apoyo de todos los integrantes de la organización.
El patrocinio de la dirección, ya que es un proceso top down.
Involucrar a todos los participantes que laboran con datos.
Reconocer que existen problemas con el manejo de datos.
Corrección de problemas de datos.
El uso de un marco de datos organizado y bien estructurado permite tanto a gerencia como al resto del personal tomar mejores decisiones y más eficientes. Y en conjunto resolver conflictos con los datos.
15.3 Reglamentación Nacional
Como todo el proceso de gobierno de datos debe estar cumplimentado a las regulaciones existentes, se establecerá un resumen aclaratorio de la ley que regula el tratamiento de los datos en Chile.
La ley 19628 del 28 de agosto de 1999 referida como Ley de Protección de vida personal (LPVP), establece que se requiere contar con el consentimiento previo, informado y por escrito del titular de los datos para poder procesar sus datos personales.
La LPVP indica en su artículo 4. "La autorización puede ser revocada, aunque sin efecto retroactivo, lo que también deberá hacerse por escrito.
No requiere autorización el tratamiento de datos personales que provengan o que se recolecten de fuentes accesibles al público, cuando sean de carácter económico, financiero, bancario o comercial, se contengan en listados relativos a una categoría de personas que se limiten a indicar antecedentes tales como la pertenencia del individuo a ese grupo, su profesión o actividad, sus títulos educativos, dirección o fecha de nacimiento, o sean necesarios para comunicaciones comerciales de respuesta directa o comercialización o venta directa de bienes o servicios."
La protección de datos personales se consagró explícitamente en la constitución en 2018, sin embargo hasta la fecha no se ha actualizado debidamente tomando en cuenta el nivel e importancia de la digitalización.
Cualquier servicio sólo podrá recolectar datos que hayan sido consentidos expresamente y sólo para la finalidad con que fueron recabados originalmente. Lo que significa que los datos no pueden ser transferidos a terceros para fines de marketing por ejemplo, o ser utilizados para otros fines aún dentro del mismo servicio que los colectó en primer lugar.
Si una entidad privada infringe esta ley se establece un sumario de “Habeas Data” ante tribunales civiles lo que conlleva multas y permite exigir la indemnización de perjuicios por daño patrimonial y moral. En el caso de una entidad pública es el Consejo para la Transparencia el encargado de velar por esta ley aunque no cuenta con herramientas sancionatorias.
Esta LPVP no establece claramente los derechos de acceso a la información, rectificación, cancelación y oposición. Tampoco está actualizada (1999) en aspectos como calidad o seguridad en el tratamiento de los datos.
Para sortear los problemas mencionados se está avanzando en un nuevo proyecto de Ley de Protección de Datos Personales (LPDP). Que modifica, sin derogar, la LPVP de 1999 en muchos aspectos. Ver proyecto de ley
Hay que considerar esta nueva ley que se encuentra en trámite desde 2020 y que presenta nuevos principios:
La licitud del tratamiento, de finalidad, de proporcionalidad; de calidad, de responsabilidad, de seguridad, de transparencia e información, y de confidencialidad.
Ampliación de los derechos del titular de los datos consagrando el derecho de acceso, de rectificación, de cancelación, de oposición y el de portabilidad.
Se establecen nuevas fuentes de licitud para el tratamiento de datos personales sin requerir el consentimiento informado del titular.
Fuentes de acceso público.
Relativos a obligaciones comerciales, económicas o bancario.
Para formulación o ejercicio de un derecho ante tribunales de justicia u otros organismos.
Los datos sensibles sólo pueden tratarse con consentimiento expreso del titular.
Se agrega los datos de geolocalización como categoría de datos personales.
Se establecen nuevas reglas para el tratamiento de datos personales de niños y adolescentes.
Se agregan nuevas obligaciones en materia de seguridad a cumplir por los responsables de los bancos de datos.
Establece una regulación expresa para el Big Data.
Establece regulaciones para la transferencia internacional de datos personales según estándares OCDE.
Contempla la creación de una agencia especializada para velar por la protección de datos personales (o el Consejo para la Transparencia).
Refuerza el derecho al olvido. La eliminación de los datos personales de cualquier base.
Aumento en las multas por infracción a la ley que van desde 1 a 5.000 UTM.
Al entrar en vigencia esta nueva ley en trámite (LPDP) las empresas e instituciones van a estar jurídicamente obligadas a responder explicar en qué ocuparan la información de los usuarios. Parte de las obligaciones será establecer cómo tratar los datos según la autorización de los titulares. Los datos personales, médicos, geolocalización y biométricos deben ser resguardados y se debe explicitar el uso y forma de almacenamiento.
15.4 Reglamentación Internacional
15.5 Estandarización
Estandarización es organizar los datos basados en normas, que evitarán la redundancia y los errores asegurando la integridad de datos.
Los datos estandarizados son importantes porque:
Hacen coincidir los datos de forma más efectiva.
Facilitan un formato coherente en los datos de entrada y salida.
La estandarización de datos está íntimamente ligada a la calidad de los datos. Esto indica que los datos deben estar estandarizados y se refleja en que los datos deben estar consistentemente colectados, modificados y almacenados.