Marco estratégico y operativo que asegura que la información de una organización sea confiable, segura y utilizada de manera eficiente para la toma de decisiones.

Contenidos mostrar

Descripción

En la era digital, las organizaciones no sufren por falta de datos, sino por el exceso de información desorganizada. La gobernanza de datos viene a resolver la incetidumbre que podría derivarse de una situación así de caótica. Se trata de un proceso continuo que alinea a las personas, los procesos y la tecnología para transformar los datos crudos en un activo empresarial estratégico.

Los tres pilares

La gobernanza de datos se sostiene sobre tres pilares fundamentales:

  • Las personas (roles y responsabilidades): Define quién es la persona o grupo «propietario» de ciertos datos, quién los custodia y quién tiene autorización para consultarlos o modificarlos.

  • Los procesos (reglas y estándares): Establece los protocolos sobre cómo se capturan, almacenan y eliminan los datos, garantizando que su calidad sea óptima (que no haya duplicados ni errores).

  • La tecnología: Las plataformas que facilitan el control, la seguridad y el seguimiento del ciclo de vida de la información.

Importancia para las organizaciones

Para las organizaciones actuales, adoptar una cultura de gobernanza de datos es una necesidad competitiva por tres razones esenciales:

  1. Confianza en las decisiones: Cuando los datos están gobernados, la dirección de la empresa puede confiar ciegamente en los reportes financieros o comerciales, reduciendo el margen de error humano.

  2. Cumplimiento legal y seguridad: En un entorno con normativas estrictas de privacidad (como el RGPD), saber exactamente dónde residen los datos sensibles evita sanciones millonarias y protege la reputación institucional.

  3. Eficiencia operativa: Evita que diferentes departamentos trabajen con versiones distintas de la «realidad», unificando el lenguaje interno de la organización.

Marcos regulatorios

Marco europeo de gobernanza de datos

La Unión Europea ha construido un sistema normativo que busca crear un mercado único digital donde la información fluya de manera segura, ética y justa entre ciudadania, empresas y administraciones públicas. El marco regulatorio europeo en materia de datos está centrado en los derechos de la ciudadania, la libre competencia y la soberanía tecnológica. Este modelo se articula a través de varias leyes interconectadas que toda organización debe conocer para diseñar su estrategia de gobernanza.

Este andamiaje legal se sostiene sobre diferentes normas que abordan el dato desde perspectivas complementarias: la privacidad, el valor comercial, las plataformas tecnológicas y la inteligencia artificial.

Aprobado en 2016 y plenamente consolidado, el RGPD es la piedra angular de la gobernanza de datos en Europa.

Enfoque

Regula estrictamente los datos personales (cualquier información que permita identificar a un individuo).

Impacto en la gobernanza

Obliga a las organizaciones a saber exactamente qué datos personales tienen, dónde están almacenados, con qué justificación legal los procesan (consentimiento, contratos) y cómo garantizan los derechos de los usuarios (como el derecho al olvido o a la portabilidad).

Esta normativa diseña las estructuras operativas y los mecanismos para facilitar el intercambio voluntario de información.

Enfoque

Crear confianza para compartir datos tanto personales como no personales (industriales, comerciales).

Impacto en gobernanza

Regula la aparición de los «intermediarios de datos» (empresas neutrales que conectan a quienes tienen datos con quienes los necesitan) y fomenta el altruismo de datos, permitiendo que ciudadanos y empresas donen su información de forma segura para fines de interés general, como la investigación médica.

Esta normativa equilibra la balanza comercial, enfocándose en el valor económico de la información.

Enfoque

Regular quién puede acceder y beneficiarse de los datos generados por el internet de las cosas (dispositivos conectados, electrodomésticos inteligentes o maquinaria industrial).

Impacto en gobernanza

Obliga a los fabricantes de tecnologías conectadas a diseñar sus productos de forma que las personas usuarias puedan acceder fácilmente a los datos que ellas mismas generan y transferirlos a terceros proveedores (por ejemplo, para que un taller independiente repare un coche conectado), rompiendo así los monopolios de información.

Aunque se enfoca en el software y los algoritmos, tiene un impacto transversal directo en la gobernanza de la información.

Enfoque

Mitigar los riesgos del uso de la IA según una clasificación por niveles de peligro.

Impacto en gobernanza

Exige que los datos utilizados para entrenar modelos de IA (especialmente los de alto riesgo, como los de selección de personal o sanidad) cumplan con altísimos estándares de calidad. Esto implica verificar la ausencia de sesgos, asegurar la procedencia legítima de la información y mantener un registro documental exhaustivo.

Otros marcos regulatorios

La Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés) es una normativa pionera en Estados Unidos que otorga a los ciudadanos del estado el control total sobre la recopilación, el uso y la venta de sus datos personales en el entorno digital.

Aprobada en 2018 y en vigor desde el 1 de enero de 2020, la CCPA marcó un hito en la historia de la legislación de privacidad en Norteamérica. Su nacimiento respondió a una creciente preocupación social: la opacidad con la que las grandes empresas tecnológicas y los corredores de datos (data brokers) comercializaban la información privada de los usuarios sin su consentimiento explícito.

Inspirada en gran medida por el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, la CCPA busca reequilibrar la balanza de poder entre los consumidores y las corporaciones tecnológicas en la era del big data.

Los derechos del consumidor

El núcleo de la CCPA se articula en torno a cuatro derechos fundamentales que transforman al ciudadano en el «propietario» real de su huella digital:

  • Derecho a saber (transparencia): Los consumidores pueden solicitar a cualquier empresa sujeta a la ley que les revele qué datos personales específicos ha recopilado sobre ellos, de dónde los obtuvo, con qué finalidad comercial y con qué terceros los ha compartido.

  • Derecho a eliminar: Los usuarios tienen la potestad de exigir que una empresa borre la información personal que posee sobre ellos, salvo en ciertas excepciones legales (como obligaciones fiscales o de seguridad).

  • Derecho a optar por la exclusión (Opt-Out): Este es quizás el elemento más distintivo de la ley. Permite a los consumidores prohibir explícitamente a las empresas que vendan o compartan sus datos a terceros. Para facilitar esto, las páginas web deben incluir un enlace visible que diga textualmente: «No vender mi información personal».

  • Derecho a la no discriminación: Una empresa no puede negar servicios, variar la calidad de un producto ni alterar los precios a un consumidor que haya decidido ejercer sus derechos de privacidad.

Ámbito de aplicación

Un aspecto fundamental de esta regulación es su carácter extraterritorial. Esto significa que no importa si una empresa no tiene oficinas físicas en California; si hace negocios con residentes de este estado y cumple con ciertos umbrales, está obligada a acatar la ley.

Específicamente, afecta a empresas con fines de lucro que operen en California y cumplan al menos uno de estos tres requisitos:

  1. Tener unos ingresos brutos anuales superiores a 25 millones de dólares.

  2. Comprar, recibir, vender o compartir los datos personales de al menos 50.000 consumidores, hogares o dispositivos al año.

  3. Obtener el 50% o más de sus ingresos anuales de la venta de datos personales de los consumidores.

Evolución

La regulación no se ha mantenido estática. En noviembre de 2020, los votantes de California aprobaron una enmienda conocida como CPRA (Ley de Derechos de Privacidad de California), que entró plenamente en vigor en 2023.

Esta actualización funcionó como un «parche de seguridad» para la ley original, endureciendo las sanciones, creando una agencia estatal específica para vigilar su cumplimiento (la California Privacy Protection Agency) e introduciendo una categoría especial de «datos personales sensibles» (como la geolocalización exacta, el origen étnico o la orientación sexual), los cuales gozan de una protección aún más restrictiva.

Recursos adicionales

Herramientas tecnológicas

En la página de Recursos puedes consultar las fichas o reseñas de las herramientas tecnológicas líderes en materia de gobernanza de datos.

Ver herramientas

¿Está obsoleto el reglamento europeo de IA antes incluso de su aplicación plena?

Europa diseñó el AI Act pensando en plataformas digitales capaces de afectar derechos fundamentales. Pero la inteligencia artificial empieza a parecerse más a infraestructura crítica que a un producto digital. Y cuando eso ocurre, el reto ya no es solo qué reglas aplicar, sino qué tipo de gobernanza puede operar a la misma velocidad que los sistemas que intenta supervisar.

FERNANDO MALDONADO (El País Retina)

Enlaces