La pregunta «¿De quién son los datos?» siempre ha sido de difícil respuesta. En el contexto del Reglamento General de Protección de Datos (RGPD), hay ciertas preguntas que cobran una importancia cada vez mayor, como por ejemplo:

  • ¿Los datos son del interesado o de la organización?
  • Dentro de la organización, ¿cómo se asigna la titularidad?
  • ¿La titularidad debería ser concentrada o colaborativa?

Hace poco celebramos un webinar a petición, Medidas prácticas para cumplir el RGPD, centrado en un exhaustivo plan de 16 medidas para ayudar a las organizaciones a prepararse para dar cumplimiento al RGPD.

Estas son las dos primeras medidas del plan: crear políticas y controles y una taxonomía de datos. Asignar los titulares de los datos es la tercera medida.

Descargar Cómo confirmar titulares de datos [RGPD, Medida 3] ahora
Ver ahora

¿En qué consiste la titularidad de los datos?

La titularidad de los datos se refiere a la asignación explícita de titulares para cada elemento de datos de la taxonomía. Los titulares de datos son personas o equipos que toman decisiones, como quién tiene derecho a acceder o editar datos y cómo se utilizan. Los titulares no tienen por qué operar con sus datos todos los días, pero se ocupan de supervisar y proteger un ámbito de datos.

En el contexto del RGPD, los titulares de datos son los responsables de la calidad, integridad y protección de su espacio de datos.

Los titulares de datos pueden tener en su responsabilidad directa la resolución de incidencias relativas a los datos o delegar dichas tareas a administradores de datos. Estos administradores trabajan con datos a diario garantizando su exactitud, la ausencia de duplicados y la consolidación en una única versión de la verdad.

Por ejemplo, el número de contacto, la dirección y el correo electrónico del cliente podrían ser distintos según el sistema. El administrador de datos también puede elegir extraer la dirección del sistema de pedidos, el número móvil del sistema de ventas y el correo electrónico del sistema de marketing.

El término «titularidad de los datos» se suele confundir con la propiedad legal de los datos, que según establece el RGPD sigue siendo del interesado. No obstante, en este artículo el contexto de la titularidad se refiere a la organización y, por lo tanto, el titular es quien rinde cuentas.

La importancia de asignar titulares de datos

En la mayoría de organizaciones, como los datos pasan por distintos equipos y sistemas la asignación de titulares de datos puede resultar farragoso. Sin embargo, es una medida fundamental para poder dar cumplimiento al RGPD.

A continuación enumeramos los motivos de la importancia de esta asignación:

1. Responsabilidad: la titularidad genera una responsabilidad. Como el RGPD introduce muchos controles sobre los datos de carácter personal, la asignación de responsabilidades garantiza que los datos estén continuamente controlados a efectos de cumplimiento por parte de sus titulares.

2. Definición de políticas: dado que poseen un interés personal en la integridad de sus datos, los titulares se centran en definir políticas (por ejemplo, políticas de retención o supresión) y normativas que garanticen el alineamiento de sus datos con el RGPD.

3. Creación de datos fiables: la titularidad de datos es un ingrediente clave para ganar la confianza de los clientes y lograr ventajas comerciales cuantificables. Unos datos con deficiencias podrían generar fácilmente experiencias negativas a los clientes y, en última instancia, la pérdida de esos clientes. En concreto, cuando los datos de carácter personal no se concilian en una visión completa del interesado, el cumplimento de sus derechos de acceso, como los derechos de portabilidad o el derecho al olvido, no puede lograrse totalmente.

4. Eliminar redundancias: las organizaciones se esfuerzan por disponer del marco de gobernanza adecuado de cara al RGPD, por lo que una frustración habitual suele ser la pérdida de productividad. Esta cuestión surge cuando equipos diferentes abordan el mismo problema, bien porque no se acaban de entender los datos, bien porque no saben que ese problema ya lo ha resuelto otro equipo. La titularidad federada elimina estos problemas tan sensibles.

Descargar A 16 Step Data Governance Plan for GDPR Compliance ahora
Leer ahora

Cómo identificar a los titulares de datos: Tres preguntas a formular

La introducción obligatoria de la función de delegado de protección de datos (DPO, en inglés) por el RGPD en la mayoría de organizaciones da pie en realidad a la existencia de un titular de datos maestros. Todos los elementos de una taxonomía de datos requieren un titular particular, sin embargo, y es poco probable que un único delegado de protección de datos sea capaz de asumir dicha responsabilidad a tan gran escala. Además, esto podría generar un problema de seguridad. Es necesario delegar y segregar responsabilidades.

Conviene formular las preguntas adecuadas. Una vez tengan respuesta estas preguntas, debería quedar más claro quién es el titular de los datos:

1. ¿Quién se ve más afectado por la veracidad de los datos?

Pensemos en una operación solicitada por un cliente en un banco de inversión. El cliente habla con el comercial, que tramita la orden. Luego esa orden se transfiere al equipo de traders, que efectúan la operación bursátil en concreto. Al final de la jornada, el equipo de operaciones concilia dichas operaciones y resuelve las discrepancias.

En este caso, ¿quién se ve afectado si la información de la transacción es incorrecta? Puede que todos. Pero ¿quién se ve más afectado?

2. ¿Quién está autorizado para decidir cuál será el próximo paso?

En este ejemplo, el equipo comercial debe contarle al cliente el problema, lo que pone en jaque su confianza. El equipo de conciliación tiene la responsabilidad de resolver los problemas que surgen por una operación con una transacción incorrecta. El equipo técnico aborda las repercusiones informáticas de la transacción incorrecta.

No obstante, el equipo de traders es el que debe asumir la titularidad y volver a tramitar la transacción con la información correcta. La función principal del equipo de traders se ve afectada por el error de suscripción. También es el equipo que ostenta la máxima autoridad a la hora de decidir cambios.

A lo mejor los equipos de conciliación y técnico ya saben cuál es el problema, pero no ostentan la autoridad para tomar la decisión. Puede que hagan las veces de administradores de datos y al final acaben aplicando el cambio, pero en esta situación el equipo de traders es el titular de los datos de la transacción.

3. ¿De quién son los atributos de datos relacionados?

Pensemos en esta cuestión: En este ejemplo, una operación de trading se asocia a un cliente. ¿De quién es la información del cliente? El cliente está vinculado a la operación, pero es evidente que el equipo de traders no son los titulares de la información sobre el cliente. Es más probable que sea una atribución del equipo comercial.

El flujo de datos dentro de una empresa es complejo; repitiendo este proceso para cada elemento, las empresas dilucidan el uso que se da a sus datos. Analizando atributos relacionados y sus titularidades, y siguiendo la cadena de análisis, uno se forma una visión de conjunto sobre la titularidad de los datos. Una vez asignado el titular, resulta más sencillo exigir el cumplimiento del RGPD.

Usar Talend para asignar la titularidad

Talend Metadata Manager ayuda a catalogar los titulares y los administradores de los datos de las categorías y subcategorías identificadas en la medida 2 y a asignar sus funciones y flujos de trabajo relacionados.

Talend Data Stewardship atribuye esos titulares y administradores a flujos de trabajo con controles de acceso seguros, auditables y por función para hacer efectivos los procesos en autoservicio. Algunos ejemplos de dichos procesos son: arbitraje de datos, resolución de errores o aprobación de normas de datos, como verá más abajo.

titulares de datos

Figura 1: Asignación de funciones para el arbitraje colaborativo, la resolución de errores y la fusión/agrupación de campañas en Talend Data Stewardship

Próximas medidas para cumplir con el RGPD

Una vez asignada la titularidad, llega el importante paso de identificar conjuntos y elementos de datos críticos.

Para consultar las 16 medidas de cumplimiento del RGPD en su totalidad, no se pierda el webinar a petición: Medidas prácticas para cumplir el RGPD. El vídeo habla sobre esta información, además de la creación de normas y controles, la identificación de conjuntos de datos críticos, linaje de datos y mucho más.