Gobernanza de datos en sectores regulados

La gobernanza de datos abarca las políticas, los procesos y las funciones que una organización implementa para garantizar una gestión de datos segura, fiable y de alta calidad. En los sectores regulados, la gobernanza de datos se ve muy influida por la necesidad de cumplir con las leyes y normativas externas específicas de ese sector, lo que se conoce como cumplimiento normativo en materia de datos.

Un marco de gobernanza de datos bien estructurado y pensado, junto con una estrategia de implementación, son fundamentales para cualquier empresa que valore la eficiencia, la facilidad de uso y la seguridad de sus datos. La gobernanza de datos es esencial para que las empresas modernas garanticen que toda la organización esté alineada en cuanto a la recopilación, el uso, el almacenamiento y la eliminación de datos. También pone los datos fiables en manos de los profesionales que más los necesitan.

En sectores altamente regulados, como el financiero, el sanitario y los servicios públicos, la creación de un marco de gobernanza de datos plantea el reto adicional de garantizar que las políticas y los procesos cumplan con la normativa legal. El incumplimiento de estos requisitos puede dar lugar a infracciones en la recopilación y el uso de datos confidenciales, además de dejar los sistemas vulnerables a ataques maliciosos. No incorporar las normas de cumplimiento de datos en los planes de gobernanza de datos también puede acarrear sanciones graves.

En este artículo, repasaremos algunas de las normativas más comunes que afectan a las prácticas de datos en sectores altamente regulados, los equipos responsables de mantener el cumplimiento mediante la gobernanza de datos y cómo la tecnología facilita el cumplimiento normativo en materia de datos.

¿Qué es la gobernanza de datos normativos?

La gobernanza normativa de los datos se refiere a cómo el cumplimiento normativo influye en los planes generales de gobernanza de los datos. La gobernanza de los datos supervisa casi todos los aspectos del uso de los datos dentro de una organización, lo que ayuda a garantizar que todos los usuarios de datos cumplan con las leyes y normativas. Estos requisitos legales externos suelen ser más estrictos que las políticas internas y son la fuerza motriz que garantiza que los datos confidenciales se recopilen, almacenen y eliminen de acuerdo con las normas y regulaciones.

Si cualquier persona de la organización incumple una normativa sobre datos, toda la empresa puede correr el riesgo de incurrir en una infracción, lo que puede acarrear multas y sanciones. La gobernanza normativa de los datos garantiza que toda la organización trabaje para cumplir las políticas. Mantener el cumplimiento normativo es solo una de las formas en que las organizaciones de sectores regulados pueden lograrun crecimiento sostenible a través de la gobernanza de datos.

¿Qué se considera una industria regulada?

En esencia, una industria regulada se refiere a cualquier sector en el que las empresas deben cumplir con las normas y reglamentos establecidos por el gobierno. Ciertas empresas tienen procesos específicos que podrían poner en riesgo los datos públicos o de los consumidores. Esto suele implicar el riesgo de exposición o robo de datos personales, lo que puede comprometer la privacidad o la seguridad financiera de los consumidores.

Por ejemplo, el sector de los servicios financieros está muy regulado porque la divulgación no autorizada del número de cuenta bancaria de una persona puede hacerla vulnerable a los delincuentes que roban dinero de su cuenta. Este tipo de divulgación de datos puede poner en peligro la seguridad financiera del titular de la cuenta. Del mismo modo, en el sector sanitario, la divulgación de los datos de un paciente puede afectar a su seguridad al exponerlo al robo de identidad, mientras que la divulgación de su historial médico puede comprometer su privacidad y afectar potencialmente a futuros tratamientos.

Normativa común sobre cumplimiento de datos

Las transacciones financieras y la información médica son dos de los tipos de datos más regulados, pero otros sectores también necesitan proteger los datos personales para cumplir con el creciente número de leyes y normativas que regulan la privacidad digital.

Las leyes de privacidad en Europa son especialmente estrictas, por lo que las organizaciones que operan en esa parte del mundo necesitan una gobernanza de datos normativa especialmente segura. Estas son algunas de las normativas más comunes que afectan a las empresas que operan en EE. UU. y a nivel mundial:

Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)

Aunque la HIPAA lleva ya bastante tiempo en vigor como para que las mejores prácticas en materia de asistencia sanitaria y seguros médicos se hayan convertido en la norma, esta ley sigue teniendo un impacto significativo en las operaciones diarias de estas empresas. La HIPAA garantiza que las organizaciones de seguros y asistencia sanitaria restrinjan el acceso a los datos médicos y de los pacientes, poniéndolos a disposición únicamente de los proveedores, los pacientes y las entidades autorizadas por estos.

El control de acceso interno y externo es fundamental para cumplir con esta ley de cumplimiento de datos. Las plataformas de datos del sector sanitario son increíblemente seguras, y los pacientes firman formularios de autorización HIPAA para que solo las personas autorizadas puedan acceder a su información. La seguridad, la conservación y la eliminación son otras áreas críticas del cumplimiento de la gobernanza de datos que ayudan a garantizar la confidencialidad del historial médico y los datos de los pacientes.

Reglamento general de protección de datos (RGPD)

La Unión Europea (UE) creó el RGPD, pero todas las empresas que trabajan con clientes y empresas ubicadas en el Espacio Económico Europeo deben cumplirlo. Esto incluye a los países miembros de la UE, Islandia, Liechtenstein y Noruega.

Esta ley de privacidad de la información se creó para minimizar la cantidad de datos recopilados por las organizaciones que operan en la UE, y también establece requisitos estrictos sobre cómo las empresas deben gestionar las violaciones de datos. La ley reduce el lenguaje ambiguo que utilizaban anteriormente las empresas para referirse a la recopilación de datos y garantiza que las personas y los consumidores comprendan que se está recopilando su información y cómo se utiliza.

El RGPD es una de las leyes de gobernanza de datos de mayor alcance y afecta a casi todos los aspectos de un plan de gobernanza de datos. Incluso los profesionales del marketing y la publicidad deben tener en cuenta una serie de consideraciones especiales para garantizar el cumplimiento de las prácticas en materia de datos personales, y deben informar a los clientes de los cambios en la recopilación y el uso de los datos. Además, el lenguaje jurídico, como los derechos de supresión y transferencia de datos personales, implica que el plan de gobernanza de datos reglamentario necesita un equipo que gestione las solicitudes de información.

Ley de Privacidad del Consumidor de California (CCPA)

Junto con la Ley de Derechos de Privacidad de California, la CCPA es el mejor ejemplo de cómo California tiene algunas de las leyes de privacidad de datos más estrictas del país. Esta ley exige a las organizaciones informar a los californianos qué datos personales se recopilan y si se venden. Impide las represalias cuando los consumidores ejercen los siguientes derechos de privacidad:

• El derecho a acceder a los datos personales recopilados.
• Rechazar la venta de sus datos.
• Solicitar la destrucción de los datos personales recopilados.

Los datos sanitarios y financieros no están protegidos por la CCPA. En su lugar, este tipo de datos están protegidos por la HIPAA y la Ley Gramm-Leach-Bliley. La legislación CCPA impulsó la creación e implementación de preferencias de cookies y funciones de «gestión de preferencias de privacidad» incorporadas en la mayoría de los sitios web.

Con la CCPA, los californianos deben ser informados cada vez que se actualicen o modifiquen las políticas de privacidad de una empresa. Esto significa que los responsables de la privacidad de los datos deben ser proactivos ante cualquier cambio organizativo relacionado con los datos personales.

Ley Gramm-Leach-Bliley (GLBA)

El objetivo original de la GLBA era regular las empresas que ofrecen cualquier combinación de banca de inversión, banca comercial, intermediación de valores y seguros. Sin embargo, uno de los legados más duraderos de esta ley se centra en la privacidad de los clientes de las instituciones financieras.

Exige a las organizaciones que proporcionen a las personas avisos de privacidad cuando se convierten en clientes y, a partir de entonces, una vez al año. Las organizaciones también deben informar a los clientes de sus derechos en virtud de la Ley de Informes Crediticios Justos, en particular de su derecho a negarse a que su información se comparta con terceros no afiliados.

La sección de la GLBA que más se relaciona con la gobernanza de datos es la Norma de Salvaguardias, que exige a las organizaciones del sector financiero presentar planes de seguridad de la información en los que se detalle su estrategia de gobernanza. Una enmienda de 2021 a la GLBA detalla los nuevos requisitos de control de seguridad que deben cumplir los responsables de la gobernanza de datos. La enmienda responsabiliza a los consejos de administración en caso de incumplimiento.

El papel de la inteligencia artificial y el aprendizaje automático en el cumplimiento normativo y la gobernanza de datos

La inteligencia artificial y el aprendizaje automático han facilitado la vida de muchos profesionales de los datos. Sus ventajas pueden aplicarse de manera similar a la gobernanza de datos normativos en sectores altamente regulados. A continuación se indican algunas formas en que las herramientas que aprovechan la inteligencia artificial y el aprendizaje automático pueden ayudar a los planes de gobernanza de datos de los sectores regulados:

• Automatización:cuandouna organización recopila grandes cantidades de datos transaccionales o personales sujetos a cumplimiento normativo, garantizar que se respeten todas las leyes y normativas puede resultar agotador y llevar mucho tiempo. Sin embargo, con sistemas y plataformas de datos mejorados con IA, las organizaciones pueden implementar normas de cumplimiento y aplicarlas sin problemas en grandes conjuntos de datos. La IA y el aprendizaje automático también pueden analizar el uso y el almacenamiento de datos de una organización para determinar si las partes interesadas están siguiendo todas las normas de cumplimiento del plan de gobernanza de datos específico del sector.
• Mejora de la seguridad: Además de analizar cómo se utilizan los datos dentro de la organización, la IA también puede analizar los patrones de acceso para detectar signos de posibles amenazas y ataques. En las grandes empresas, revisar los registros es una tarea que requiere mucho tiempo y es ineficaz, pero las organizaciones pueden instalar herramientas de IA de calidad para detectar comportamientos sospechosos y enviar alertas. Dado que los delitos y ataques cibernéticos son cada vez más sofisticados, se puede enseñar al aprendizaje automático a detectar automáticamente nuevos indicadores de amenazas e incorporarlos al análisis de patrones de acceso.
• Mantenimiento de la calidad:Algunasleyes de cumplimiento de datos, como la HIPAA, exigen a las empresas mantener un determinado nivel de calidad o precisión de los datos. La IA puede revisar grandes conjuntos de datos para detectar información faltante o inconsistencias e incluso corregir datos inexactos. A continuación, el aprendizaje automático puede analizar patrones de datos inconsistentes e identificar los procesos o sistemas responsables de los datos faltantes para que las organizaciones puedan realizar mejoras.

Uso de Actian para la gobernanza de datos normativos

En sectores altamente regulados, es necesario analizar y supervisar los procedimientos de gobernanza de datos para garantizar que las empresas no sufran sanciones severas por incumplimiento. Actian Data Intelligence Platform respalda los procedimientos de gobernanza y cumplimiento como parte de una estrategia de gestión de datos.

Con la supervisión de la calidad de los datos y la observabilidad de los datos de Actian, las organizaciones reciben automáticamente información y alertas cuando la precisión de los datos cae por debajo de un estándar establecido. Para obtener más información sobre cómo crear un plan de gobernanza integral que garantice el cumplimiento sin ralentizar la innovación, consulte más artículos sobre la gobernanza de datos.

Acerca de Actian Corporation

Actian permite a las empresas gestionar y gobernar con confianza los datos a escala, agilizando los entornos de datos complejos y acelerando la entrega de datos listos para la IA. El enfoque de inteligencia de datos de Actian combina el descubrimiento de datos, la gestión de metadatos y la gobernanza federada para permitir un uso más inteligente de los datos y mejorar el cumplimiento. Con capacidades intuitivas de autoservicio, los usuarios empresariales y técnicos pueden encontrar, comprender y confiar en los activos de datos en entornos en la nube, híbridos y locales. Actian ofrece soluciones flexibles de gestión de datos a 42 millones de usuarios en empresas de Fortune 100 y otras empresas de todo el mundo, al tiempo que mantiene una puntuación de satisfacción del cliente del 95%.