Marco de gobierno de datos en los entornos de Big Data

gob_data

Por Dulcemaría Martínez Ruíz

Introducción

En el presente análisis se realizará un estudio de los principales elementos que las empresas u organizaciones que realizan el tratamiento de datos personales deberían considerar al realizar la incorporación de los elementos que componen el Marco de Gobierno Corporativo.

Es decir, para la protección de los datos personales y tomando en cuenta no solo lo establecido en las legislaciones de cada uno de los países sino también de las mejores prácticas que a nivel empresas se están implementando, se encuentra el modelo conocido como Marco de Gobierno de Datos, por medio del cual la protección de los datos personales se lleva a elementos normativos internos de las organizaciones, como lo son las políticas y procedimientos aplicables a las empresas y a sus empleados.

Big Data

Big Data es un concepto que ha cobrado relevancia desde hace varios, ya que por ejemplo en el 2006 Clive Humby  ya hablaba de que los datos eran “el nuevo petróleo”[1], es así que al igual que el petróleo, los datos han impulsado una nueva visión de derrama económica y técnica, e incluso, se nos presenta como una oportunidad para ayudar a resolver los problemas de nuestra sociedad y nuestro entorno.

Al hablar de Big Data se hace referencia al procesamiento de grandes cantidades de información, disponibles en diferentes formatos y estructuras, información de la cual gran parte está comprendida por los datos que los usuarios de internet generan, ello a través de las redes sociales, blogs, publicaciones en páginas web, mails y toda la información generada por los dispositivos móviles, GPS[2] y a través de cualquier otro dispositivo conectado a Internet.

Ahora bien, al correlacionar y contextualizar toda la información disponible en internet e incluso, al fusionarla con la información de las fuentes de acceso público, se puede interpretar y entender del comportamiento de las personas, tales como, preferencias de vestuario, diversión o alimenticias, segmentando los resultados incluso por zonas, edades u otras características. El análisis anterior por lo general se encuentra enfocado al conocimiento del mercado, preferencias y satisfacción de las necesidades de los usuarios.

Respecto al Big Data también existen algunos obstáculos y dificultades para el procesamiento de la información en las plataformas de Big Data, tales como (i) el que se necesita una gran velocidad  para manipular los datos, debido al volumen de datos manejados y es entonces cuando hablamos de la necesidad de trabajar incluso con súper computadoras para poder realizar el procesamiento de la información; (ii) el que los datos se encuentran disponibles en una gran diversidad de formatos; y (iii) la fiabilidad y confiabilidad de los datos, ya que en ciertos casos incluso es imposible determinar su veracidad.

En la actualidad y sobre todo mediante el uso de las súper computadoras y de modelos como el cómputo en la nube, lo que se está haciendo es procesar esa gran cantidad de datos disponibles en internet, para de ahí extraer parte de información, tal cual rebanadas de un gran pastel, para después enviarlas a los grandes, medianos o pequeños negocios, industrias o gobiernos.

Gobierno de datos

El gobierno de los datos es un “marco de organización que armoniza la estrategia, define objetivos y establece políticas para la información corporativa”[3], el cual engloba la elaboración de un marco normativo al interior de las organizaciones enfocado en la protección y gestión de los datos personales, abarcando por ejemplo la definición de los procesos y políticas internas que reglamenten la gestión de los datos personales.

Una vez definido el modelo de gobierno de datos, será importante el proceso de implementación, capacitación y adaptación, ya que la implementación de dicho modelo no tendrá impacto únicamente en la definición de los procesos y políticas internas, sino que se tendrá que permear a la organización e incluso en su cultura organizacional.

Es por lo anterior que se habla de generar en las organizaciones una estructura de gobierno de datos que entre otros contemple temas como la calidad, ciclo de vida de los datos, seguridad y cumplimiento legal en materia de protección de datos personales, y más aun tratándose de empresas que están en contacto, procesan o generan información mediante Big Data, ya que por los grandes volúmenes de información que manejan una adecuada gestión de los datos es indispensable.

En la legislación mexicana incluso ya se contempla el que los responsables puedan allegarse de estos modelos de gobierno de dato para el cumplimiento de las obligaciones a su cargo, ya que se establece que el responsable podrá valerse de estándares, mejores prácticas internacionales, políticas corporativas, esquemas de autorregulación o cualquier otro mecanismo adecuado para tales fines.[4]

Calidad de los datos

Dentro de las organizaciones y como parte de los puntos de control de las políticas y procesos que se establezcan dentro de los modelos de gobierno de datos, se deberán contemplar los riesgos que implican factores como los registros manuales de los datos, errores humanos, flujo de información entre departamentos, errores en procesos o incluso en los mismos sistemas, ello incluso cuando hablemos de entornos controlados donde las cantidades de datos o el flujo de los mismos sea muy poco.

Pero si este tipo de errores los trasladamos a entornos globales de información como lo es el uso de herramientas de Big Data que utilizan como fuente de información los datos generados o circulantes en plataformas web y dispositivos móviles, los errores se pueden disparar exponencialmente, no solo por los errores que se pueden dar al interior de la organización sino también por lo complicado que es saber si tales datos son confiables o verídicos.

En pro de que el uso de los datos utilizados mediante Big Data sean lo más confiables posibles, existen algunos modelos que ofrecen técnicas para mejorar la calidad de los datos como por ejemplo, el perfilamiento, estandarización, mapeo, categorización o anonimización de los datos.

Al principio la implementación de estos modelos podría ser vista por las empresas como muy costosa, pero en realizad a la larga se convierte en una ventaja, ya que al utilizar las técnicas de Big Data se busca el que los equipos de marketing o ventas puedan realizar por ejemplo campañas dirigidas a sus clientes de una forma más efectiva, pero si partimos del hecho de que muchos de los datos pueden ser falsos, en realidad los esfuerzos empleados no obtendrán resultados certeros.

Por el contrario, si se emplean las suficientes medidas que permitan eliminar datos inexactos, incompletos o no estandarizados, aunque la muestra sea menor el resultado será más exacto. Es decir, al final lo importante no es tener más y más datos personales sino que los mismos sean de calidad.

El velar por la calidad de los datos personales no solo es importante para lograr la satisfacción de las preferencias de los clientes, para eficientar la labor de los departamentos de ventas y de mercadotécnica, o incluso para mejorar el procesamiento de los datos en las áreas de tecnologías de la información, sino que también es importante para el cumplimiento de las disposiciones legales aplicables en materia de protección de datos personales.

Siendo por ejemplo el caso de la legislación mexicana en la materia y la Directiva 95/46/CE, que establecen como obligación para los responsables el dar cumplimiento y garantizar el Principio de Calidad de los Datos Personales, por medio del cual los datos deberán[5]:

(i)     Sean exactos, completos, pertinentes, correctos y actualizados.

(ii)    Si los datos personales son proporcionados por el titular, se presume que se cumple con la calidad en los datos, hasta que se manifieste o acredite lo contrario.

Estableciéndose además el que el responsable adoptará los mecanismos que sean necesarios para cumplir con los dos puntos anteriores, aún y cuando la información no se obtenga directamente del titular.

Es por ello que al ser un problema el que el Big Data no pueda garantizar que los datos sean veraces, que mejor que dentro del modelo de gobierno de datos de las empresas se empleen técnicas que nos ayuden a deputar los datos para quedarnos únicamente con los datos que cumplan con el Principio de Calidad.

Ciclo de vida de los datos

En un modelo de gobierno de datos es elemental el considerar el ciclo de vida de los datos o Livecycle management, ello sobre todo para las organizaciones que procesan datos mediante plataformas de Big Data, ya que como se ha mencionado, los volúmenes de información que procesan son muy grandes.

Dentro del ciclo de vida de los datos se deben considerar tanto aspectos técnicos como el volumen, velocidad y complejidad, así como aspectos legales que tienen que ver con la creación, almacenamiento, tratamiento, transferencia, remisión, archivado definitivo o destrucción de los datos personales, así como las finalidades del tratamiento de dichos datos.

En la legislación mexicana por ejemplo, se establece que los plazos de conservación de los datos personales no deberán exceder de los que sean necesarios para el cumplimiento de las finalidades del tratamiento, ello tomando en cuenta la legislación aplicable en casos especiales como los datos financieros, de salud, contables, fiscales e históricos, los cuales por sus características y particularidades suelen tener plazos de conservación especiales (normas sectoriales).[6]

Seguridad

Como se analizó en el apartado de calidad de los datos, existen diversos riesgos que pueden poner en peligro la seguridad, la confidencialidad e incluso la privacidad de los datos,  es así que la seguridad no solo debe estar contemplada en las plataformas y elementos de las tecnologías de la información y comunicaciones, ya que agentes diversos como el descuido de una persona o por el mal acondicionamiento y seguridad de las instalaciones, también se pueden poner en riesgo los datos personales.

Es por ello que adicional a las medidas de seguridad técnicas, se deben implementar también las administrativas y las físicas, entre las que destacan:

(i)     La capacitación, actualización y concienciación de las personas que intervienen en temas de seguridad y protección de datos al interior de la organización.

Esto se puede realizar mediante programas de capacitación, ya que incluso, al realizar tales capacitaciones de manera periódica se evita el que por cambios o rotación de personal lo impartido quede en el olvido o que las nuevas personas no tengan los conocimientos necesarios.

(ii)    El empleo de técnicas de anonimización[7], mediante las cuales se logra que los datos personales no puedan ser asociados con su titular, es decir, después de aplicar una técnica de anonimización deberá ser irreversible el ligar a un dato con su titular.

Ahora bien, considerando que los procesos de anonimización pueden llegar a ser muy costosos, lo ideal es que se encuentre un balance entre los esfuerzos de anonimización y los costos, y que además se consideren las fuentes de donde se obtuvieron los datos, es decir, los datos obtenidos de fuentes de acceso público no requerirán los mismos estándares que los datos que fueron obtenidos directamente de los titulares, ni tampoco se podrá aplicar la misma técnica a un dato sensible de uno que no lo sea.

En el balance antes referido se debe cuidar el que por ejemplo no se caiga en técnicas de anonimización tan simples como el eliminar parte de los datos de una persona, ya que ello no garantiza el que no va a poder ser identificada, por ejemplo en el caso de los datos genéticos, con un solo dato se puede llegar a identificar a una persona.

(iii)   Se deberá realizar el análisis de brecha que consiste detectar la diferencia entre las medidas de seguridad existentes y las faltantes que resulten necesarias para la protección de los datos personales.[8]

La importancia de este análisis de brecha es no solo se quede en la detección de los elementos faltantes, sino que se realice un plan de trabajo que permita su implementación en la organización, precisamente para subsanar las deficiencias detectadas.

(iv)   Se deberá contemplar el procedimiento y las acciones a realizar en caso de sufrir vulneraciones a la seguridad, para lo cual por ejemplo, en la legislación mexicana en materia de protección de datos personales en posesión de los particulares se establece[9]:

–        Se entiende como vulneración a la seguridad de datos personales la pérdida, destrucción, robo, extravío, copia, uso, acceso, tratamiento, daño, alteración o modificación no autorizados.

–        Cuando el responsable detecte vulneraciones de seguridad, informará al titular cuales fueron las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales (Informe sobre Vulneraciones).

–        El informe sobre Vulneraciones se realizará en cuanto se confirme que ocurrió la vulneración y se hayan tomado las acciones para detonar la revisión exhaustiva de la magnitud de la afectación.

Esto con la finalidad de que los titulares afectados puedan tomar las medidas adecuadas para proteger sus datos e información con ellos relacionada.

–        El responsable deberá analizar las medidas que correspondan para que la vulneración detectada no vuelva a ocurrir.

Garantizar la protección de los menores

Los datos personales de los menores de edad deben de tener una protección y tratamientos especiales, es así que las empresas pueden establecer lineamientos en donde se estipule si existe o no la necesidad de recopilar datos de menores de edad, los límites o rangos de edad de los menores respecto de los cuales se recopilen datos, así como los productos y servicios a los que tendrán acceso, lo anterior ayudará a su vez a la definición de las finalidades del tratamiento de los datos.

Una vez definidos los casos en los que será procedente la recopilación de datos de menores de edad, se tomarán medidas para:

(i)     Informar en el Aviso de Privacidad sobre la recopilación de los datos de los menores y sobre las finalidades de su tratamiento.

(ii)    Establecer los mecanismos mediante los cuales los padres o tutores otorgarán su  consentimiento para el tratamiento de los datos personales de los menores de edad, así como para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición de los datos personales, ello también a través de sus padres o tutores.

(iii)   Decidir si es indispensable que los datos personales de menores de edad sean tratados mediante las técnicas de Big Data, y en su caso, establecer medidas como la anonimización o depuración de los datos personales, de manera que no se causen afectaciones a los menores y se utilicen únicamente los datos que sean indispensables.

Transparencia

Entre la información que debe contener el Aviso de Privacidad, se encuentra el dar conocer las finalidades del tratamiento de los datos personales recopilados, lo que en caso de que se realice el procesamiento de información mediante las técnicas de Big Data, tal finalidad también deberá ser informada al titular.

En el Aviso de Privacidad también se informará respecto a las medidas de seguridad físicas, administrativas o técnicas que limiten el uso, acceso o divulgación no autorizada de los datos personales, así como en los casos en los que se realiza el procesamiento de información mediante Big Data se informarán sobre de las técnicas especiales utilizadas, tales la anonimización de los datos.

Siendo importante además que la información contenida en el Aviso de Privacidad y sobre toda la referente a las finalidades del tratamiento y medidas de seguridad utilizadas, sea redactada de una forma clara, sencilla y que se enfoque al tipo, grupo o sector al que van dirigidos los productos o servicios.

En los casos en los que los datos no son obtenidos directamente de su titular, conforme a la legislación mexicana en materia de protección de datos personales se establece la obligación para el responsable de que dé a conocer el Aviso de Privacidad al titular de los mismos, sin embargo, cuando el tratamiento de los datos sea exclusivamente con fines históricos, estadísticos o científicos, no será necesario dar a conocer dicho Aviso a sus titulares.[10]

Derechos de acceso, rectificación, cancelación y oposición (ARCO)

El análisis sobre el ejercicio de los derechos ARCO, lo voy a dividir en dos partes: (i) respecto de los datos personales obtenidos de fuentes de Internet en las cuales cualquier persona tiene acceso, y (ii) respecto de los datos obtenidos directamente de su titular, o cuando se obtienen de manera indirecta pero que es posible localizar al titular.

Sobre en plataformas o sistemas de Big Data alimentadas por datos personales obtenidos de fuentes de Internet accesibles a toda persona, el ejercicio de los derechos ARCO es realmente complicado ya que es complejo o imposible el saber quién es realmente el titular de los datos personales o de conocer si los datos son verdaderos.

Sería mucho más complejo el que el titular del dato identifique que organizaciones utilizaron sus datos personales mediante Big Data, y más aún cuando la información es usada con fines estadísticos.

Respecto de los datos obtenidos directamente de su titular, o de manera indirecta pero cuando es posible localizar al titular, desde el Aviso de Privacidad se deberá dar a conocer al titular de los datos que los mismos serán tratados para el procesamiento de información mediante Big Data, dando oportunidad al titular para otorgar o no su consentimiento.

Una vez obtenido el consentimiento para el tratamiento de los datos mediante Big Data, se deberá establecer el procedimiento y medidas necesarias al interior de la organización para garantizar la atención de los derechos ARCO, ello cuando exista la posibilidad de identificar al titular. Ya que respecto a datos estadísticos o datos cuya disociación se haya realizado de manera previa, no habría posibilidad de identificar a sus titulares.

Accountability o Responsabilidad

Al igual que el resto de las empresas, personas u organizaciones que recopilan, tiene acceso o tratan datos personales, quieres recopilen o procesen información mediante Big Data están obligados al cumplimiento de los principios de protección de datos personales (licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad), debiendo cumplir además con las obligaciones que conforme a la legislación les sean aplicables.

Conclusiones

Para dar cumplimiento a las obligaciones en materia de protección de datos personales es importante que las empresas u organizaciones establezcan modelos internos de Gobierno de Datos, con la finalidad de que el cumplimiento de tales obligaciones peerme a cada uno de los empleados, a su estrategia e incluso a los valores organizacionales.

Sobre todo en casos en los que se emplean mecanismos de Big Data para procesar la información, el uso de los Modelos de Gobierno de Datos será de mucha utilidad ya que les permitirá realizar la identificación de los datos personales manejados, las finalidades de su tratamiento, así como la detección de los puntos de control o riesgo en los que se pueden tener violaciones a la seguridad, confidencialidad o protección de los datos, ello sin perderse en la inmensidad de datos procesados mediante Big Data.

Al definir los Modelos de Gobierno de Datos es indispensable que se contemple el hecho de que contar con volúmenes desmesurados de datos personales para el manejo de Big Data no garantiza resultados fiables o incluso, el costo beneficio puede ser desproporcional o excesivo.

Es mejor tener calidad en los datos aunque a muestra a procesar sea menor, pero ello brindará resultados más certeros.

Bibliografía

Baum, D. (s.f.). Información de interés para directores de informática. Recuperado el 05 de julio de 2014, de Oracle:
http://www.oracle.com/es/c-central/cio-solutions/information-matters/importance-of-data/index.html

Consejo, P. E. (24 de octubre de 1995). Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Recuperado el 05 de julio de 2014, de eur-lex.europa.:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:es:HTML

Diputados, C. d. (05 de Julio de 2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Recuperado el 13 de Enero de 2014, de Cámara de Diputados:
http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf

Diputados, C. d. (21 de Diciembre de 2011). Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Recuperado el 13 de Enero de 2014, de Cámara de Diputados:
http://www.diputados.gob.mx/LeyesBiblio/regley/Reg_LFPDPPP.pdf

Dyché, J., & Nevala, K. (2014). 5 errores del gobierno de datos que conviene evitar. Recuperado el 05 de julio de 2014, de SAS:
http://www.sas.com/offices/europe/spain/sascom/2014/Q1/gobiernodatos.pdf

Fijitsu. (2014). Supercomputers and Big Data: The Next Big Thing. Recuperado el 05 de julio de 2014, de Fujitsu:
http://www.fujitsu.com/global/solutions/business-technology/tc/videos/vawdrey-supercomputer-big-data/

Gerhardt, B., Griffin, K., & Klemann, R. (junio de 2012). Descubrir el valor en el fragmentado mundo del. Recuperado el 05 de julio de 2014, de Descubrir el valor en el fragmentado mundo del:
http://www.cisco.com/web/ES/assets/executives/pdf/Unlocking_Value_in_Big_Data_Analytics.pdf

Mars, R. d. (2012). ¿Misión imposible? Procesos de gobernanza y “big data”. Recuperado el 05 de julio de 2014, de Searchdatacenter.techtarget:
http://searchdatacenter.techtarget.com/es/cronica/Mision-imposible-Procesos-de-gobernacion-y-big-data

Party, A. 2. (10 de abril de 2014). Opinion 05/2014 on Anonymisation Techniques. Recuperado el 05 de julio de 2014, de EC.Europa:
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf

Synapsis.IT. (29 de enero de 2014). Recuperado el 05 de julio de 2014, de YouTube:
https://www.youtube.com/watch?v=mqMFMgVnRO8

[1] Gerhardt, B., Griffin, K., & Klemann, R. (junio de 2012). Descubrir el valor en el fragmentado mundo del. Recuperado el 05 de julio de 2014, de Descubrir el valor en el fragmentado mundo del: http://www.cisco.com/web/ES/assets/executives/pdf/Unlocking_Value_in_Big_Data_Analytics.pdf, p.p. 2.

[2] Global Positioning System (Sistema de Posicionamiento Global)

[3] Dyché, J., & Nevala, K. (2014). 5 errores del gobierno de datos que conviene evitar. Recuperado el 05 de julio de 2014, de SAS:
http://www.sas.com/offices/europe/spain/sascom/2014/Q1/gobiernodatos.pdf, p. 1

[4] Artículo 47 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

[5] Artículo 36 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

[6]Artículos 37, 38 y 39 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

[7] Party, A. 2. (10 de abril de 2014). Opinion 05/2014 on Anonymisation Techniques. Recuperado el 05 de julio de 2014, de EC.Europa:
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf.

[8] Artículo 61, fracciones V y VI del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

[9] Artículos 63, 64, 65 y 66 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

[10]Artículo 18 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.