De la protección del dato al gobierno del dato, pasando por el RGPD

Estamos en vísperas de la plena exigencia del Reglamento General de Protección de Datos (RGPD), pero ¿qué hay más allá de ese cambio de paradigma que implica la reforma del derecho a la protección de datos en Europa?

Ya sabemos que el RGPD plantea un nuevo escenario de principios, derechos y obligaciones; tras su larga elaboración, junto con sus dos años de margen desde su aprobación para su plena exigencia, nos traslada a un marco de regulación que supera el modelo formal, burocrático y puramente nominal de cumplimiento que hasta ahora se había implantado.

Ha llegado el momento de gestionar la protección de datos. Por tanto, tiene que dejar de ser algo excepcional, incómodo, metido con calzador, que pone barreras, que lo complica todo, que aparece en los proyectos de forma extemporánea. En definitiva, ya no podrá ser algo ajeno a las organizaciones, deberá formar parte se su gestión ordinaria, integrándose como una actividad más de cada organización, que debe llevarse a cabo con normalidad, como tantas otras, según unos procesos preestablecidos: así que parece que por fin nos hemos hecho mayores.

Que el RGPD incluya medidas de tipo organizativo, entre las que destacan la designación del delegado de protección de datos (cuando corresponda), los inventarios internos de tratamientos (en forma de registros de actividades de tratamiento), incluso la oportunidad de disponer de políticas de protección de datos de alto nivel, por citar algunas cuestiones, evidencian ese cambio de enfoque, y de necesidad de integrar la protección de datos en la gestión de las organizaciones.

Por supuesto, todo ello desde la perspectiva de la toma de decisiones que afecten a los tratamientos, basada en el riesgo a que puedan exponer a las personas, junto con la toma de conciencia, y el compromiso que ello conlleva, de que al tratar datos personales somos responsables de esos datos. Esto es, la famosa responsabilidad proactiva, que nos obliga a tener evidencias de que en todas las decisiones que tomamos respecto de los datos personales hemos tenido en cuenta todo lo que conlleva tal responsabilidad.

Realmente yo no quería hablar de esas cuestiones, pero necesitaba dotarme de un punto de partida en el que apoyarme para plantear algunas reflexiones sobre qué es lo que considero que hay más allá del RGPD.

Una vez hayamos asumido la gestión de los datos personales desde la perspectiva de que su uso no afecte negativamente a las personas, debemos dar un paso más para alcanzar otras metas y, si queremos aprovechar todo ese esfuerzo y que se genere algún retorno para las organizaciones, debemos movernos hacía un escenario de gobierno de los datos (“data governance”).

Por supuesto, sin una adecuada gestión de los datos personales, en base al cumplimiento de lo previsto en el RGPD, difícilmente podemos plantearnos enfocarnos hacía la mejora de la inteligencia aplicada a la actividad de las organizaciones, sean de tipo público o privado.

Me refiero a la inteligencia de negocio, entendida como un proceso estratégico que permite extraer información de los datos, de modo que a partir de esa información podamos generar conocimiento y este sea usado en la toma de decisiones más eficaces y eficientes.

De ahí que plantearse el gobierno de los datos deba ser el siguiente paso para aquellas organizaciones que quieran obtener un retorno tangible del esfuerzo hecho, y del que aún queda por hacer, puesto que este va a ser continuado, en la adecuación y cumplimiento ordinario del RGPD.

Intentando sintetizar al máximo que implica el “data governance” o “gobernanza de datos”, podemos decir que tiene que ver con la gestión integral o global de la disponibilidad de los datos, de su integridad, particularmente desde la perspectiva de su calidad, a lo que debemos añadir la usabilidad y, por supuesto, la dimensión de la seguridad, en tanto estamos ante unos activos de información valiosos para la organización.

Sin que yo tenga que hacer énfasis sobre ello, con claridad se detectan los paralelismos con el derecho a la protección de datos, y el conjunto de principios, derechos y obligaciones que lo conforman, nos faltaba la componente de gestión, a la que ahora el RGPD nos empuja, con lo que se dan las condiciones para la “tormenta perfecta”, en su significado más positivo.

Algunos de los elementos definitorios del “data governance” también nos resultarán familiares desde la perspectiva de la protección de datos, puesto que para su efectiva implantación precisará de “alguien que gobierne” las actividades que deben desarrollarse, que además  deberán sustentarse en una gestión por procesos (y todo lo que ello conlleva, en particular su diseño e implementación) y por supuesto su ejecución, que deberá incluir los controles necesarios para la verificación de su cumplimiento.

En definitiva, el RGPD abre la oportunidad a que aquellas organizaciones para las que los datos personales constituyan un activo de información valioso, de modo que puedan tener un retorno de todo el esfuerzo que implica su protección, incorporando (con la intensidad que convenga en cada caso) los elementos propios del “data governance”.

Es el momento de pensar en ello y en ir construyendo las bases, al menos a partir del 25 de mayo de 2018.

Ramón Miralles

Abogado ICAB. Director de calidad en ECIX

@RamonMiralles