En el contexto de economía digital que estamos viviendo y con los rápidos cambios generados por la transformación digital de las organizaciones es importante tomar en cuenta diversas acciones que se deben ejecutar para gestionar de manera efectiva el gobierno de los datos. El primer paso que se debe generar es el definir e implementar los procedimientos adecuados para la gestión.  Algunas buenas prácticas se basan en una implementación periódica que contemple, por ejemplo, minimizar la recopilación de datos, eliminar datos obsoletos o disponer de avisos informativos. En el mismo sentido, resulta fundamental mantener una documentación formal (por ejemplo, la política de protección de datos), debidamente aprobada por el comité de dirección, comunicada a todo el personal e instando a su cumplimiento mediante medidas efectivas.  Igualmente, la actualización de las políticas y los procedimientos tan pronto como se identifica una mejora posible constituyen una práctica de enorme valor para la organización.

Las acciones anteriores permitirán sentar las bases para una gobernanza de datos en la organización, para ello se deben identificar competencias relacionadas con protección de datos dentro de la organización (p. ej.: departamento legal, seguridad de la información y de auditoría). Se identifica una persona a cargo de las cuestiones relativas a la protección de datos, a cargo en particular de las interacciones con las personas interesadas, lo anterior se suma a la necesidad de asignar recursos para una correcta gestión e implementación en la organización.

No se puede dejar de lado el Gestionar los riesgos de seguridad, se deben establecer medidas básicas de seguridad (por ejemplo: autorizaciones, seguridad de los puestos de trabajo, etc.) sobre estos puntos la capacitación y concientización toman un rol muy relevante más aún hoy en un contexto de teletrabajo.

Los puntos de referencia son utilizados para seleccionar e implementar medidas de seguridad (por ejemplo: guías, autoridades de control, políticas de protección de datos, política de seguridad interna, etc.). La confidencialidad, la integridad y la disponibilidad de los datos en una organización requiere de controles en los contratos con los proveedores de servicios informáticos exigiendo los debidos resguardos cuando corresponda (certificaciones, seguros, etc.).

La protección de datos se ha de sustentar en las actividades realizadas por cada organización (gobernanza, gestión de registros, control legal, formación, gestión de la seguridad etc.). Sin embargo, estas actividades no existen en todas las empresas y no siempre se gestionan de forma homogénea (informal, descrita, generalizada, etc.).

La existencia de un comité de gobierno de datos contribuirá a alinear esta materia con los objetivos estratégicos de la organización. Si su composición involucra a miembros de varias áreas (TI, legal, riegos, etc.)  incluidos algunos de la más alta jerarquía, constituirá, este comité, una excelente instancia para que las áreas dialoguen entre sí y se escalen temas relevantes, resolviendo, por ejemplo, problemas de recursos o financiación con una mirada interdisciplinaria.

Aportará un gran valor a la organización preparar un modelo basado en la ISO/IEC 21827, conocido como modelo de madurez, que cuantifica el rigor y la formalidad con que se realizan las actividades relacionadas con la gestión de la protección de datos en una organización. Los niveles de madurez tienen un carácter acumulativo, por lo que si una organización se encuentra en un nivel 5, debe haber implementado los requisitos de niveles previos.

Un buen plan en gobierno de datos nos permitirá definir claramente acciones como las que hemos indicado, nos permite tener riesgos detectados y generar planes de acción que pueden ser implementados anualmente. La gobernanza de los datos debiera ser concebida como una tarea continua, que conlleva, desde un enfoque de riesgos, un adecuado monitoreo de las vulnerabilidades y la consecuente generación de medidas preventivas y correctoras orientadas a acotar futuros incidentes, muy especialmente en materia de ciberseguridad.