Por:
Facundo Malaureille Peltzer
En la actualidad hablar de datos personales es mucho más común que hace algunos años. Y si nos referimos a las empresas y los Estados aún más.
Las personas han venido tomando conciencia de la importancia de cuidar los datos personales y no “regalarlos”por ahí.
No hay que perder de vista que cuando se habla de datos personales se está hablando -en definitiva- de las personas.
No obstante ello, es llamativo que aún los países no hayan podido ponerse de acuerdo en un régimen global de tratamiento de datos personales.
Muchos países y bloques económicos vienen trabajando hace años (Convenio de Cibercriminalidad de Budapest 2001) en distintos protocolos, reformas legales internas, concientización, etc para luchar en forma conjunta contra el Cibercrimen[1].
Sin embargo en el área de los Datos Personales falta aún mucho por hacer, y más desde que en Julio de 2020 se ha caído el Acuerdo de “Privacy Shield” que permitía a empresas norteamericanas tratar datos de europeos cumpliendo determinados estándares.
El Tribunal de Justicia de la Unión Europea intervino en el caso llamado Schrems II y resolvió la suspensión de los intercambios de datos entre los bloques europeos/norteamericano[2].
Por esta razón y varias más es tan importante el status que goza la República Argentina y que casi no es valorado por los gobernantes y directivos de empresas: Argentina es para Europa territorio friendly con “legislación adecuada”[3].
Esto explica que muchas empresas de origen europeo hagan “tratamiento de datos” de europeos en territorio argentino.
Ahora bien si en la República Argentina no se avanza en una pronta reforma de su ley 25.326 de “Protección de Datos Personales” acorde con el RGPD (Reglamento General de Protección de Datos Personales) vigente en Europa desde el 25 de Mayo de 2018 es muy probable que no pueda lucir más esa cucarda internacional, y esto no sólo implica perder reconocimiento internacional, si no tambien fuentes de trabajo porque esas empresas europeas mudarán sus tareas de tratamiento de datos a otros paises de la región que vienen avanzando a pasos sostenidos (Brasil, Uruguay, Chile).
En aquellos países y empresas donde sí se valoran y cuidan los datos personales ya sea de sus propios empleados, proveedores y clientes se escuchan nuevos vientos: los vientos del Gobierno de Datos o Data Governance.
El Data Governance es asimilable al Corporate Governance en lo que a manejo y gobierno corporativo se refiere. De modo que se puede afirmar que es el “manejo de los datos personales con debida diligencia”.
El Data Governance implica una visión muy clara y definida de la estrategia de la organización: los datos ya no son sólo un activo, si que forman parte de la estrategia organizacional.
Se puede hablar asi de empresas “Data Driven” que son aquellas en donde las decisiones empresariales están avaladas por la información obtenida de la enorme cantidad de análisis de datos.
Los datos están ahí al alcance, y cuanto mejor se haga la “analytica” -siempre dentro de los límites legales- mejores decisiones se tomarán, y sin dudas será una de las ventajas competitivas de una organización -pública o privada- frente a los ciudadanos o la competencia.
Entonces, qué implica tener el Gobierno de los Datos?
Usando las palabras de Jim Stovall cuando habló de integridad se puede decir que es “ejercer el adecuado gobierno de los datos sin que nadie esté mirando”.
Una de las instituciones de mayor jerarquía y prestigio en el mundo sobre la materia -la Agencia de Protección de Datos de España- publicó un documento el 2 de septiembre del corriente donde dice que: “El gobierno de datos es el proceso por el que se definen políticas y procedimientos para garantizar una gestión de datos proactiva y efectiva”[4].
Sin dudas la adopción de un marco de gobierno de datos ayuda a la organización porque además permite la colaboración de todos niveles de la misma- nivel estratégico, táctico y operativo- para gestionar datos de toda la entidad, y proporciona la capacidad para alinear los datos con los objetivos corporativos.
Es decir que convierte a una empresa en “data driven”.
Ejercer el gobierno de los datos genera sin dudas un gran valor para la empresa, pero ese no ha de ser el único objetivo de la gobernanza de los datos.
De modo que: “La gobernanza de datos facilita el marco de trabajo apropiado para establecer dichas políticas, integrándolas en la organización de forma que se lleve a cabo una gestión y un control eficaz y pertinente, favoreciendo el cumplimiento del RGPD”[5].
Es apropiado decir que todo proceso que busca el “gobierno de datos” debería comenzar con la Evaluación de Impacto en Protección de Datos Personales (“EIPD”).
Sería como el conocido “mapa de riesgo” en la práctica del Compliance.
Se puede definir entonces a la EIPD como “el proceso que las organizaciones deben efectuar para identificar y tratar los riesgos que puedan producir sus actividades habituales, sus nuevos proyectos o sus políticas corporativas cuando involucran el tratamiento de datos personales”[6].
La EIPD no es necesariamente un proceso complejo e injustificadamente oneroso, ni debe ser, tampoco, idéntico para todas las organizaciones.
Es el “traje a medida” que la organización necesita para encarar su proyecto o sus negocios, y por lo tanto debe ser único y aplicable a ella.
De modo que la EIPD es un proceso de identificación y minimización de riesgos a la vez que tiene como objetivo dar cumplimiento con las normas vigentes en materia de protección de datos personales.
Es un proceso que debe ser documentado y presentado en todas las instancias que la normativa requiera ante la autoridad de control para evidenciar las acciones y los resultados alcanzados.
La práctica indica que intervienen recursos internos y/o externos y que en la mayoría de las veces registran las acciones y decisiones que se toman las que a su vez permiten la auditoría o control posterior.
A veces hasta es recomendable la publicación de los resultados de la EIPD para evidenciar el buen gobierno de los datos y la debida diligencia que la organización está empleando.
Dicho todo esto sería oportuno analizar:
1) cuáles serían los objetivos de la Gobernanza de Datos en una organización?
2) cuáles serían los factores críticos de éxito en la Gobernanza de Datos?
Los mismos serán tratados en una 2da entrega.
Conclusión:
Por lo visto hasta acá se puede decir que los datos personales forman parte de los activos de las organizaciones y gobiernos, su uso diario es incesante y las perspectivas de mediano y largo plazo marcan una curva cada vez mayor en ese sentido.
Entonces aquellas empresas y países que ejerzan un buen “gobierno de datos” serán sin dudas los que se destacarán y generarán gran valor para sus stake-holders.
De modo que ya no hay excusas para mirar al costado. El compromiso de las organizaciones con el Gobierno y el Tratamiento de los Datos Personales es una obligación ineludible en estos tiempos.
El camino del Data Governance se ha iniciado. A seguir trabajando que hay mucho más por hacer…
01-10-2020
Facundo Malaureille Peltzer
[1] https://www.oas.org/juridico/english/cyb_pry_convenio.pdf
[2] https://edpb.europa.eu/news/news/2020/european-data-protection-board-publishes-faq-document-cjeu-judgment-c-31118-schrems_es
[3] https://ec.europa.eu/transparency/regdoc/rep/3/2003/ES/3-2003-1731-ES-F1-1.Pdf
[4] https://www.aepd.es/es/prensa-y-comunicacion/blog/gobernanza-y-politica-de-proteccion-de-datos
[5] Ídem 1.
[6] https://www.gub.uy/unidad-reguladora-control-datos-personales/comunicacion/publicaciones/guia-evaluacion-impacto-proteccion-datos