Cómo coser un linaje de datos [RGPD, Medida 11]

El Reglamento General de Protección de Datos (RGPD), presentado por la Unión Europea, entró en vigor el 25 de mayo de 2018. Con la aprobación del RGPD, las organizaciones deben prestar atención al linaje de datos de sus interesados (como clientes actuales y futuros, y empleados) y entender/rastrear el flujo de datos personales en sus sistemas.

Hace poco en Talend celebramos un webinar a petición, Medidas prácticas para cumplir el RGPD, centrado en un exhaustivo plan de 16 medidas para hacer efectivo un programa de gobernanza de datos compatible con la conformidad con el RGPD.

La medida 11 de este plan consiste en coser el linaje de los datos. Para consultar cuáles son las diez primeras medidas, eche un vistazo a los enlaces de la barra lateral.

Watch Practical Steps to GDPR Compliance now.
Watch Now

La perspectiva del RGPD sobre el linaje de datos

El linaje de datos es el proceso de comprensión del flujo de datos: dónde se originaron los datos, por qué sistemas han transitado y dónde han acabado. En aras de mayor claridad, se suele representar visualmente.

Comprendiendo su linaje, las organizaciones pueden hacer un seguimiento inequívoco de los pormenores en los cambios de datos (como quién efectuó el cambio, qué se actualizó, cuándo sucedió y qué sistema se utilizó), generando una mayor confianza en la calidad de datos de la organización.

Gracias a esos conocimientos las organizaciones pueden garantizar que los datos confidenciales tan solo circulen por sistemas que dispongan de técnicas de protección de datos como la anonimización o la seudonimización. También pueden estar más preparadas para realizar informes normativos. Esos son los motivos por los que el linaje de datos es considerado como un aspecto crucial por el RGPD.

Registrar las actividades de tratamiento

El artículo 30 del RGPD exige a las organizaciones que conserven un registro de actividades de tratamiento. Estos requisitos de registro se extienden también a los encargados que tratan datos por cuenta de una organización.

Este registro debe incorporar:

  • Una descripción de las categorías de datos personales.
  • Una descripción de las categorías de destinatarios de datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
  • Las transferencias de datos personales a un tercer país o una organización internacional.

El derecho al olvido

El artículo 17 del RGPD otorga a los interesados el derecho de supresión, conocido habitualmente como el «derecho al olvido». Esto significa que las organizaciones deben implantar funcionalidades que supriman completamente los datos personales de un cliente de su almacenamiento. Para ello, la primera obligación consiste en conocer todos los sistemas que posean datos del cliente.

Derecho al acceso y la portabilidad de los datos

El artículo 20 del RGPD proporciona el derecho a la portabilidad de datos de los interesados (p. ej., los clientes pueden solicitar todos sus datos en un formato de lectura mecánica). A continuación pueden utilizar dichos datos a título informativo o trasladarlos a otra plataforma. Una vez más, el linaje de datos resulta fundamental para prestar este servicio al cliente.

Cómo rastrear un linaje de datos

Para cumplir la exigencia del linaje de datos recogida en el RGPD, las organizaciones deben fijar los siguientes requisitos:

Una vez aseguradas estas medidas esenciales, los equipos de gobernanza de datos deberán reforzar las capacidades de gestión de metadatos y de linaje de datos para dar cumplimiento a este artículo del RGPD.

Usar Talend para el linaje de datos

Talend Metadata Manager es compatible con el linaje de datos en múltiples plataformas, como Hadoop o NoSQL. Dado que el panorama completo de datos queda definido en el gestor de metadatos, los flujos y dependencias de datos se presentan al usuario de forma gráfica y automatizada.

En el ejemplo de la figura 1, si bien los datos de consentimiento explícito se emplean tanto en el sistema de CRM como el de MDM, el gestor de metadatos muestra sin lugar a dudas que la primera vez que se recogió el consentimiento explícito fue en el sistema de CRM.

linaje de datos

Figura 1: Talend Metadata Manager genera una visión completa de los datos críticos, como los consentimientos explícitos, para identificar y hacer un seguimiento en todo momento el origen y el destino de los datos.

Talend Big Data Platform también se integra con Apache Atlas y Cloudera Navigator para facilitar el linaje de los flujos de datos en un data lake. En un entorno complejo de big data con múltiples fuentes de información, esta prestación resulta de utilidad para aislar posibles incidencias.

Próximos pasos en el linaje de datos

El rastreo del linaje de datos no solo es relevante para las aplicaciones de producción, sino para otros entornos, como las pruebas o las copias de seguridad. No solo los utilizan las organizaciones, sino también en los casos en los que datos de la UE viajan a otros países o se envían a proveedores. El RGPD también es de aplicación para empresas no sitas en la UE, siempre que sus interesados estén localizados en la UE. Debido a este requisito, es necesario abordar el linaje de datos desde una perspectiva global, y las herramientas de Talend pueden serle de gran utilidad.

La próxima medida del exhaustivo plan de 16 medidas de Talend consiste en administrar los modelos analíticos.

Para obtener más información y consultar las 16 medidas en su totalidad, no se pierda el webinar a petición: Medidas prácticas para cumplir el RGPD. El vídeo aporta información sobre la creación de normas y controles, la identificación de titulares de datos y elementos de datos críticos, la realización de evaluaciones de riesgo, la mejora de la calidad de datos y mucho más.

| Last Updated: agosto 12th, 2019