Què ens ha ensenyat el GDPR? Parlem de la relació entre la protecció de dades personals amb el data quality, data governance i machine learning.
Dos anys després de l'aplicació de la GDPR, moltes empreses segueixen sense complir les normes de protecció de dades personals. El marc regulador ens ha donat una lliçó en matèria de qualitat i govern de dades que les companyies no poden seguir ignorant.
El febrer de 2019 anunciàvem l'imminent fi del període que la Unió Europea havia concedit a les organitzacions per aplicar les pautes de compliment de la nova regulació general de protecció de dades (GDPR). En altres paraules, el període d'aplicació de la GDPR acabava el 25 de maig de 2019. En aquella entrada —GDPR: Tens una ETL? Tens un problema— ja comentàvem el problema de les empreses que tenien contractats sistemes ETL, la majoria dels quals no preparats pels nous paràmetres de protecció de dades personals. De fet, la revista Forbes va publicar el 2017 que la gran majoria d'empreses —més del 50%— no complien plenament els requisits del GDPR.
El 28 de gener d'aquest any, amb motiu del Dia Mundial de la Protecció de dades, Bismart va elaborar una infografia de consells orientats a les empreses per complir amb el GDPR.
Així mateix, Adrian Knapp, membre del Consell Tecnològic de Forbes resumia en aquest article publicat el 2021, les bones pràctiques en 3 consells:
1. Coneix les teves dades. Realitza una investigació dels actius de dades. Descobreix quines dades emmagatzema la teva empresa, qui accedeix a elles i si són segures.
2. Elabora un pla. Crea fluxos de treball interns per comprovar on poden replicar-se les dades fora de la infraestructura d'emmagatzematge segur de l'empresa i crea polítiques de dades (data management) per a la prevenció de riscos.
3. Disminueix l'empremta de les teves dades, augmenta la visibilitat i redueix el risc. Saber exactament quines dades es tenen i on s'emmagatzemen permet als gestors de dades eliminar —sí, eliminar— les dades redundants, obsoletes o trivials. Amb menys dades en general, les empreses tenen més control sobre l'accés i limiten el risc de violacions i filtracions.
Dos anys de GDPR: què hem après?
Després de dos anys de la seva aplicació, la GDPR i el no compliment d'aquesta segueixen sent un tema d'actualitat després de nombroses històries de fracàs protagonitzades per empreses que, tot i les advertències, no estaven preparades pel nou marc regulador. El més preocupant és que tot indica que la falta de compliment per part de les organitzacions poc té a veure amb el factor sorpresa o la falta de preparació. El bufet d'advocats especialitzat en protecció de dades personals i privacitat DLA, anunciava el gener de 2021 que l'any 2020 les multes del GDPR van augmentar un 40% en comparació amb els 20 mesos anteriors; cosa que fa pensar que, o bé les empreses van incomplir més la llei el 2020, o bé la Unió Europea planeja endurir progressivament les mesures sancionadores per assegurar el compliment de la normativa.
Però no tot ha estat dolent. Aquests dos anys de GDPR ens han deixat certs aprenentatges que, en un conte infantil, es resumirien en una lliçó molt senzilla: Controla la qualitat d'allò amb què treballes. Si treballes amb materials de mala qualitat, obtindràs mals resultats.
El paper del data quality en la GDPR
Si alguna cosa ens ha deixat clara la GDPR és que el compliment de les normatives o data compliance té més a veure amb la qualitat de les dades que amb les males intencions.
Avui en dia, pràcticament totes les empreses treballen amb dades personals relatives als seus clients, així com poden tractar informació de caràcter sensible i inclús gestionar dades personals de tercers. En aquest sentit, resulta ara més imprescindible que mai que les empreses assumeixin la responsabilitat de la informació amb la qual treballen, no només assegurant la seguretat de les dades, sinó també la seva qualitat i governança.
Una de les mesures de la GDPR camina en aquest sentit, obligant les companyies a corregir les dades personals inexactes o incompletes. En altres paraules, validar les dades, consolidar-les, assegurar que són fidedignes i garantir-ne la qualitat.
La qualitat de les dades, doncs, és ineludible per complir amb la GDPR i és que, sense controls exhaustius de qualitat de les dades, localitzar i resoldre inexactituds resulta impossible. Els processos de data quality, així mateix, han de ser complementats amb iniciatives de data governance. És a dir, les empreses han de fer un canvi de visió en relació amb les polítiques i processos relacionats amb les dades, deixant d'entendre-les com a tasques aïllades per integrar per complet els seus esforços de data governance i data quality.
En aquest blog també hem reflexionat prèviament sobre l'estreta relació entre data quality i data governance, sent una necessària perquè existeixi l'altra. Recordem que el data quality mesura l'exactitud, rellevància, comprensió, actualitat i integritat de les dades, així com la satisfacció dels requisits de l'ús que se'ls hi dona. Per altra banda, l'objectiu del data governance és "garantir la integritat dels actius de dades a través de processos i procediments, estandardització de sistemes i creació de polítiques de distribució de dades consistents."
No oblidem tampoc que la posada en marxa de les polítiques de governança de dades s'emmarquen sota el paraigua del data management.
El data governance ja no és només responsabilitat del departament d'IT
Com ja s'ha mencionat, totes les companyies, especialment les més grans i internacionals, mouen grans quantiats de dades personals a través de nombrosos sistemes, softwares, aplicacions, etc. Per molts que siguin els processos pels quals passen, és crucial que les empreses tinguin identificades les ubicacions de totes les dades personals i que les mesures de control i responsabilitat designades formin part de l'ADN empresarial.
En el panorama data-centric en què ens trobem, és requisit sine qua non que tots els departaments i membres de l'equip d'una organització comprenguin les lleis de protecció de dades personals. La seguretat i qualitat d'aquestes dades ja no depenen únicament del departament d'IT, sinó que són ara responsabilitat de tots els departaments en conjunt. En definitiva, una sinergia entre la responsabilitat individual, la cultura data-driven, els processos, sistemes i tecnologies disponibles i els valors empresarials. Per tant, és fonamental que les organitzacions comptin amb un marc de data management centralitzat que permeti aplicar les polítiques de data governance a través d'un enfocament d'equip i col·laboratiu, promovent que la qualitat de les dades sigui responsabilitat de tota l'empresa.
Les tecnologies necessàries per a complir amb les normes de protecció de dades
Igual que cada vegada existeixen més tecnologies de recopilació, anàlisi i ciència de dades, el món tecnològic també ha reaccionat a les necessitats de data governance, data quality i data compliance del món del business.
Un dels recursos elementals i més utilitzats són els catàlegs de dades, mitjançant els quals les organitzacions poden fer un seguiment de les puntuacions de qualitat de les seves dades, classificar la informació sensible, monitorar la ubicació de les dades, instaurar drets d'accés i decretar restriccions d'ús.
Més enllà dels bàsics, ja existeixen tecnologies especialment dedicades al data governance com és el cas d'Azure Pureview, la nova aposta de Microsoft per ajudar als negocis a governar i controlar els seus actius de dades.
Per altra banda, cobren rellevància les tecnologies de machine learning que poden facilitar el data compliance a mesura que les normatives internacionals es tornen més complexes i els entorns de dades es diversifiquen. Els algoritmes de machine learning o aprenentatge automàtic tenen capacitats per identificar dades personals ocultes en milers de sistemes, softwares, fonts i processos de dades.
Així mateix, tecnologies innovadores com Master Data Management & Enterprise Information Integration (MDM/EII) són una solució completa per la resolució de totes les problemàtiques relacionades amb el compliment de les lleis de protecció de dades personals, el data quality i el data governance.
MDM/EII és un sistema que permet la visualització de totes les dades d'una empresa —sigui quina sigui la quantitat de fonts, sistemes, softwares o el format de les dades— en un únic indret, cosa que resol la identificació de les dades personals i el descobriment de dades ocultes o desconegudes. A banda d'això, MDM/EII està expressament dissenyat per assegurar el compliment de tots els requisits del GDPR, així com garantir la integritat i qualitat de les dades. Amb MDM/EII "les dades són exactes, completes, homogènies, sòlides i coherents amb la intenció per la qual són traspassades."
Si vols saber més sobre MDM/EII, pots descarregar el datasheet de la solució a continuació:
En conclusió, queda clar que el compliment del GDPR i les altres normes de protecció de dades personals, exigeix responsabilitzar-se de la qualitat del material amb el qual treballem: les dades. Per altra banda, això hauria de ser una preocupació intrínseca de les empreses en la seva missió per convertir-se en data-driven i aprofitar el valor de les dades per a estratègies de business intelligence.
