¿Qué nos ha enseñado la GDPR? Hablamos de la relación de la protección de los datos personales con data quality, data governance y machine learning.
Dos años después de la aplicación de la GDPR, muchas empresas siguen sin cumplir las normas de protección de datos personales. El marco regulatorio nos ha dado una lección en materia de calidad y gobierno de datos que las compañías no pueden seguir ignorando.
En febrero de 2019 anunciábamos el inminente fin del período que la Unión Europea había concedido a las organizaciones para aplicar las pautas de cumplimiento de la nueva regulación general de protección de datos (GDPR). En otras palabras, el período de aplicación de la GDPR terminaba el 25 de mayo de 2019. En dicha entrada —'GDPR: ¿tienes una ETL? Tienes un problema'— ya comentábamos el problema que se les venía encima a las empresas que tenían contratados sistemas ETL, la mayoría de los cuales no estaban preparados para los nuevos parámetros de protección de datos personales de la GDPR. De hecho, la revista Forbes publicó en 2017 que la gran mayoría de empresas —más del 50%— no cumplían plenamente los requisitos de la GDPR.
El 28 de enero de este año, en motivo del Día Mundial de la Protección de Datos, Bismart elaboró una infografía de consejos orientados a las empresas para cumplir con la GDPR.
Asimismo, Adrian Knapp, miembro del Consejo Tecnológico de Forbes resumía en este articulo publicado en 2021 las buenas prácticas en 3 consejos:
1. Conoce tus datos: Realiza una investigación de tus activos de datos. Conoce qué datos almacena tu empresa, quién tiene acceso a ellos y si son seguros.
2. Elabora un plan: Crea flujos de trabajo internos para comprobar dónde pueden replicarse los datos fuera de la infraestructura de almacenamiento seguro de la empresa y crea políticas de datos (data managament) para prevenir futuros riesgos.
3. Disminuye la huella de tus datos, aumenta la visibilidad y reduce el riesgo. Saber exactamente qué datos se tienen y dónde se almacenan permite a los gestores de datos eliminar —sí, eliminar— los datos redundantes, obsoletos y triviales. Con menos datos en general, las empresas tienen más control sobre el acceso y limitan el riesgo de violaciones y filtraciones, reduciendo los dolores de cabeza por el cumplimiento de la normativa.
Dos años de GDPR: ¿qué hemos aprendido?
Luego de dos años de su aplicación, la GDPR y su no cumplimiento siguen siendo un tema de actualidad tras numerosas historias de fracaso protagonizadas por empresas que, a pesar de las advertencias, no estaban preparadas para el nuevo marco regulatorio. Lo más preocupante es que todo indica que la falta de cumplimiento por parte de las organizaciones poco tiene que ver con el factor sorpresa o la falta de preparación. El bufete de abogados especializado en protección de datos personales y privacidad DLA, anunciaba en enero de 2021 que en 2020 las multas de la GDPR aumentaron un 40% en comparación con los 20 meses previos; lo que nos lleva a pensar que, o bien en 2020 más empresas incumplieron la ley, o bien la Unión Europea planea endurecer progresivamente las medidas sancionadoras para asegurar el cumplimiento de la normativa.
Pero no todo ha sido malo. Estos dos años de GDPR nos han ofrecido varias lecciones que en un cuento infantil se resumirían en una moraleja muy simple: Controla la calidad de aquello con lo que trabajas. Si trabajas con materiales de mala calidad, obtendrás malos resultados.
El papel del data quality en la GDPR
Si algo nos ha dejado claro la GDPR es que el cumplimiento de las normativas o data compliance tiene más que ver con la calidad de los datos que con las malas intenciones.
Hoy en día, prácticamente todas las empresas trabajan con datos personales relativos a sus clientes, así como pueden manejar información de carácter sensible e incluso lidiar con datos personales de terceros. En este sentido, es ahora más imprescindible que nunca que las empresas asuman la responsabilidad de la información con la que trabajan, no solo asegurando de la seguridad de los datos que manejan, sino también asegurando su calidad y gobernanza.
Una de las medidas de la GDPR camina en este sentido, obligando a las compañías a corregir los datos personales inexactos o incompletos. En otras palabras validar los datos, consolidarlos y asegurarse de que son fidedignos o, lo que es lo mismo, garantizar su calidad.
La calidad de los datos, pues, es ineludible para cumplir con la GDPR y es que, sin controles exhaustivos de la calidad de los datos, localizar y resolver inexactitudes en torno a los datos personales resulta imposible. Los procesos de data quality, asimismo, deben complementarse con iniciativas de data governance. Es decir, las empresas deben hacer un cambio de visión en relación con las políticas y actividades relacionadas con los datos, dejando de entenderlas como tareas aisladas para integrar por completo sus esfuerzos de data governance y data quality.
En este blog también hemos reflexionado previamente sobre la estrecha relación entre el data quality y el data governance, siendo una necesaria para que exista la otra. Recordamos que, el data quality mide la exactitud, relevancia, comprensión, actualidad e integridad de los datos, así como la satisfacción de los requerimientos del uso que se les da. Por su lado, el objetivo del data governance es "garantizar la integridad de los activos de datos a través de procesos y procedimientos, estandarización de sistemas y creación de políticas de distribución de datos consistentes."
No olvidemos tampoco que la puesta en marcha de las políticas de gobierno de datos se envuelven bajo el paraguas del data management.
El data governance ya no es solamente responsabilidad del departamento de IT
Como ya se ha mencionado, todas las compañías, especialmente las más grandes e internacionales, mueven grandes cantidades de datos personales a través de numerosos sistemas, softwares, aplicaciones, etc. Por muchos que sean los procesos por los que pasan los datos, es crucial que las empresas tengan identificadas las ubicaciones de todos los datos personales y que las medidas de control y responsabilidad designadas formen parte del ADN empresarial.
En el panorama data-centric en el que nos encontramos, es requisito sine qua non que todos los departamentos y miembros del equipo de una organización comprendan las leyes de protección de datos personales. La seguridad y calidad de estos datos ya no dependen solo del departamento de IT, si no que es ahora cometido de todos los departamentos en su conjunto. En definitiva, una sinergia entre la responsabilidad personal, la cultura data-driven, los procesos, sistemas y tecnologías empleados, y los valores empresariales. Por lo tanto, es fundamental que las organizaciones dispongan de un marco de data management centralizado que permita llevar a cabo las políticas de data governance mediante un enfoque de equipo y colaborativo, promoviendo que la calidad de los datos sea responsabilidad de toda la empresa en conjunto.
Las tecnologías necesarias para cumplir las normas de protección de datos
Igual que cada vez son más las tecnologías de recopilación, análisis y ciencia de datos, el mundo tecnológico también ha reaccionado a las necesidades de data governance, data quality y data compliance del mundo del business.
Uno de los recursos elementales y más usados son los catálogos de datos, mediante los cuales las organizaciones pueden hacer un seguimiento de las puntuaciones de calidad de sus datos, clasificar la información sensible, monitorizar la ubicación de los datos, instaurar derechos de acceso y decretar restricciones de uso.
Más allá de los básicos, ya existen tecnologías especialmente dedicadas al data governance como es el caso de Azure Pureview, la nueva apuesta de Microsoft para ayudar a los negocios a gobernar y controlar sus activos de datos.
Por otro lado, cobran relevancia las tecnologías de machine learning que pueden facilitar el data compliance a medida que las normativas internacionales se vuelven más complejas y los entornos de datos se extienden. Los algoritmos de machine learning o aprendizaje automático tienen capacidades para identificar datos personales ocultos en miles de sistemas, softwares fuentes y procesos de datos.
Asimismo, tecnologías innovadoras como Master Data Management & Enterprise Information Integration (MDM/EII) ejercen de solución completa para la resolución de todas las problemáticas relacionadas con el cumplimiento de las leyes de protección de datos personales, data quality y data governance.
MDM/EII es un sistema que permite la visualización de todos los datos de una empresa —sea cual sea la cantidad de fuentes, sistemas, softwares y el formato de los datos— en un solo lugar, cosa que resuelve la identificación de los datos personales y el descubrimiento de datos ocultos o desconocidos. Además, MDM/EII está expresamente diseñado para asegurar el cumplimiento de todos los requisitos de la GDPR, así como garantizar la integridad y calidad de los datos. Con MDM/EII "los datos son exactos, completos, homogéneos, sólidos y coherentes con la intención para la que son traspasados."
Si quieres descubrir más sobre MDM/EII puedes descargar el datasheet de la solución a continuación:
En conclusión, queda claro que el cumplimiento de la GDPR y demás normas de protección de datos personales pasa por responsabilizarse de la calidad del material con el que trabajamos: los datos. Algo que, por otro lado, debería ser una preocupación intrínseca de las empresas en su misión por convertirse en data-driven y aprovechar el valor de los datos para estrategias de business intelligence.
