Cómo administrar modelos analíticos [RGPD, Medida 12]

El Reglamento General de Protección de Datos (RGPD), presentado por la Unión Europea, entró en vigor el 25 de mayo de 2018. Con la aprobación del RGPD, las organizaciones deben administrar sus modelos analíticos para garantizar que no interfieran con los derechos de interesados como los clientes actuales y futuros o empleados.

Hace poco Talend celebró un webinar a petición, Medidas prácticas para cumplir el RGPD, centrado en un exhaustivo plan de 16 medidas para hacer efectivo un programa de gobernanza de datos compatible con la conformidad con el RGPD.

La medida 12 de este plan se basa en administrar modelos analíticos. Para consultar cuáles son las once primeras medidas, eche un vistazo a los enlaces de la barra lateral.

Watch Practical Steps to GDPR Compliance now.
Watch Now

La perspectiva del RGPD sobre los modelos analíticos

Los modelos analíticos se alimentan de perfiles de clientes para predecir futuros patrones de conducta. Como estos modelos utilizan datos personales para sus computaciones, gana importancia la necesidad de evaluar el uso que dan a esos datos y si ponen en riesgo la confidencialidad de los interesados.

Toma de decisiones y elaboración de perfiles automatizados

El artículo 22 del RGPD trata sobre la toma de decisiones individuales automatizada, incluida la elaboración de perfiles. Según este artículo, el interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en su persona.

Esto implica que el interesado debe proporcionar su consentimiento explícito, acordando formar parte de cualquier elaboración de perfiles por parte de una organización, a menos que se haga con fines corporativos legítimos, como la investigación de un posible empleado que tenga antecedentes penales.

Otro caso práctico sería una empresa que utilizara un modelo analítico para calcular automáticamente el pago de primas. Si la empresa asegura que los datos están totalmente protegidos con técnicas como la anonimización, que no revelen la identidad del individuo, entonces no es necesario el consentimiento explícito. No obstante, si la empresa introduce determinadas características identificatorias en el cálculo del modelo analítico, sí se requiere el consentimiento expreso del empleado. Por lo tanto, el artículo puede interpretarse como una incentivación para las empresas para fijar mejores normas de enmascaramiento de datos.

Según las normativas de confidencialidad, como el considerando 71, las organizaciones deben revelar si el tratamiento es automatizado y los resultados deben ponerse a disposición de los interesados («derecho a recibir una explicación»).

Tratamiento e impacto desiguales

El artículo 9 del RGPD exige que asesoramiento y cumplimiento jurídico deberán autorizar el uso de categorías especiales, como el origen étnico o racial, las opiniones políticas, la orientación sexual, etc. Cuando una empresa toma una decisión empleando uno de estos campos de categorías especiales, puede considerarse un hecho discriminatorio y, por lo tanto, la autorización es obligatoria para confirmar que dicho campo es absolutamente necesario para el tratamiento.

De todos modos, podrían darse situaciones en las que la empresa no desee discriminar (tratamiento desigual), pero se genere un sesgo como consecuencia accidental (impacto desigual).

Por ejemplo, pongamos que un banco utiliza códigos postales en sus modelos analíticos para ofrecer crédito a sus clientes. El uso de códigos postales puede generar un impacto desigual si el banco excluye determinados códigos que contengan una cantidad significativa de población minoritaria residente.

Cómo administrar modelos analíticos

Hasta la fecha los modelos analíticos utilizados en una organización han sido una caja negra, sin poder observar la lógica que orienta sus decisiones. Estos modelos ya no pueden esconderse bajo la excusa de la complejidad. Por ejemplo, si un banco rechaza un préstamo hipotecario a un posible cliente, el motivo debe comunicarse claramente.

He aquí algunas estrategias que las empresas pueden utilizar para administrar sus modelos analíticos:

  • Crear controles a través de un equipo de gobernanza de datos para que todos los modelos deban autorizarse por parte de asesoramiento y cumplimiento antes de pasar a producción.
  • Establecer una gobernanza focalizada para los modelos analíticos que aborde las propensiones de riesgo y marketing.
  • Diseñar y realizar pruebas de modelos predictivos exhaustivamente para evitar situaciones de impacto desigual.
  • Elaborar un inventario de modelos para evaluar el impacto si se añaden nuevos elementos de datos o se modifican los existentes.
  • Facilitar la comunicación entre los equipos de analítica de datos, gobernanza, asesoramiento y cumplimiento jurídicos.

Los equipos de gobernanza de datos pueden crear un inventario de modelos con Talend Metadata Manager, que incluye el nombre del modelo, su titular, las variables de entrada y salida, la metodología del modelo, la fecha de creación y la prueba de autorización por parte de asesoramiento y cumplimiento jurídicos. Como el gestor de metadatos ya tiene el paisaje de datos definido, pasa a ser un marco ideal para integrar el inventario de modelos.

Próximos pasos de la administración de modelos analíticos

El reto de la administración de modelos analíticos es que exige la colaboración de equipos desiguales, como ciencia de datos (estratégico) con asesoramiento y cumplimiento (operativo). Para que esta colaboración funcione correctamente, las organizaciones deben realizar un cambio fundamental de mentalidad y priorizar la confidencialidad de los datos personales por delante de otros criterios de la toma de decisiones.

La próxima medida del exhaustivo plan de 16 medidas para asegurar el cumplimiento del RGPD de Talend consiste en gestionar la informática de usuario final.

Para obtener más información y consultar las 16 medidas en su totalidad, no se pierda el webinar a petición: Medidas prácticas para cumplir el RGPD. El vídeo aporta información sobre la creación de normas y controles, la identificación de titulares de datos y elementos de datos cruciales, la realización de evaluaciones de riesgo, la mejora de la calidad de datos y mucho más.

| Last Updated: agosto 12th, 2019