Gobernar datos no es crear un comité ni comprar un catálogo. Es asignar quién decide definiciones, calidad, acceso, conservación y uso de cada dominio. Una pyme puede empezar con clientes, productos, proveedores y finanzas, aplicar reglas medibles y resolver incidencias donde se originan.
Objetivos
- Una definición por dato crítico.
- Calidad suficiente para la decisión.
- Acceso por necesidad.
- Trazabilidad.
- Cumplimiento.
- Reutilización controlada.
- Menor dependencia de las personas.
La AEPD conecta el gobierno del dato con la responsabilidad proactiva y los principios del RGPD.
Alcance por dominios
No conviene empezar por toda la empresa. Es preferible priorizar:
- Cliente.
- Producto/servicio.
- Proveedor.
- Empleado.
- Financiero.
- Operación.
Cada dominio tiene un propietario de negocio (data owner) y un steward operativo.
Roles
| Rol | Responsabilidad |
|---|---|
| Patrocinador | Prioridad y recursos |
| Data owner | Definición, acceso y calidad |
| Data steward | Reglas e incidencias |
| Custodio IT | Plataforma y seguridad |
| DPO | Privacidad y derechos |
| Usuario | Uso correcto y reporte |
No hace falta crear todos estos cargos como puestos nuevos; sí asignar las funciones a personas concretas.
Glosario
Cada término crítico debe incluir:
- Definición.
- Fórmula.
- Fuente.
- Propietario.
- Frecuencia.
- Ámbito.
- Sinónimos prohibidos.
- Ejemplo.
«Cliente activo» debe significar lo mismo en el ERP, el CRM y el BI, o bien explicar las diferencias entre sistemas.
Catálogo mínimo
Una hoja controlada puede contener:
- Conjunto/tabla.
- Descripción.
- Sistema.
- Propietario.
- Sensibilidad.
- Base/finalidad.
- Calidad.
- Conservación.
- Usuarios.
- Linaje.
- Incidencias.
La herramienta se elige después de definir el proceso, no antes.
Calidad
Dimensiones que conviene controlar:
- Completitud.
- Exactitud.
- Unicidad.
- Consistencia.
- Vigencia.
- Validez.
- Trazabilidad.
Cada regla tiene un umbral y una acción asociada. Por ejemplo: NIF válido igual o superior al 99 %, duplicados por debajo del 0,5 %, direcciones revisadas cada dos años.
La calidad se corrige en origen, no únicamente en el informe de BI.
Gestión de incidencias
El ticket de dato registra:
- Dominio.
- Regla fallida.
- Registros afectados.
- Impacto.
- Causa.
- Corrección.
- Prevención.
- Propietario.
- Fecha.
Se mide la reincidencia de cada tipo de incidencia.
Acceso
El acceso se otorga por rol y finalidad, con aprobación del propietario del dato. Se establecen revisiones periódicas, segregación de funciones y baja automática cuando cambia la situación del usuario.
El acceso técnico posible no implica autorización. Las exportaciones y las copias locales también se gobiernan.
Privacidad
Para los datos personales hay que considerar:
- Finalidad y base jurídica.
- Minimización.
- Exactitud.
- Conservación.
- Derechos.
- Seguridad.
- Transferencias.
- Encargados del tratamiento.
El DPO asesora, pero el propietario del dato sigue siendo responsable del proceso.
Ciclo de vida
- Creación/recogida.
- Validación.
- Uso.
- Compartición.
- Archivo/bloqueo.
- Supresión.
Cada fase tiene sus propios controles. No se conserva todo «por si sirve para un análisis futuro».
Datos maestros
Se define el golden record y las reglas de matching. Para clientes, por ejemplo:
- Identificador.
- Nombre.
- NIF.
- Contacto.
- Estado.
- Fuente.
- Fecha.
Las fusiones de registros requieren trazabilidad y posibilidad de reversión.
Linaje
Para los KPI y los datos críticos debe conocerse:
- Origen.
- Transformaciones.
- Destino.
- Responsable.
- Versión.
Esto permite corregir errores y auditar el dato con garantías.
Proveedores y compartición
Antes de compartir datos con terceros conviene revisar:
- Propósito.
- Datos mínimos necesarios.
- Rol de cada parte.
- Contrato.
- Seguridad.
- País de destino.
- Plazo.
- Devolución de los datos.
La Data Governance Act regula ámbitos específicos de la compartición de datos y busca confianza y disponibilidad, pero no sustituye al RGPD ni al gobierno interno del dato.
Gobierno para la IA
Los sistemas que utilizan datos para generar resultados necesitan datos con procedencia, calidad, permisos y límites claros. El inventario debe vincular cada modelo o sistema con los conjuntos de datos que utiliza. Si un dato cambia, debe poder identificarse a qué modelos e informes afecta ese cambio.
Métricas
- Dominios con propietario asignado.
- Elementos catalogados.
- Reglas activas.
- Incidencias y tiempo de cierre.
- Duplicados.
- Accesos revisados.
- Datos sin plazo de conservación definido.
- Informes con definición común.
No basta con medir la cantidad de metadatos generados.
Comité ligero
Reunión mensual de 45 minutos con este orden del día:
- Incidencias críticas.
- Definiciones pendientes.
- Accesos excepcionales.
- Proyectos nuevos.
- Métricas.
- Decisiones y responsables.
Plan de 90 días
Días 1 a 30
Dominios, propietarios, glosario y datos críticos.
Días 31 a 60
Reglas, catálogo, accesos y ciclo de vida.
Días 61 a 90
Incidencias, métricas, gobierno para la IA y mejora continua.
Errores frecuentes
- Empezar por la herramienta.
- Cubrir toda la empresa desde el inicio.
- Hacer responsable solo a IT.
- No definir los términos.
- Limpiar los datos solo en los informes.
- No fijar umbrales.
- Dar acceso por comodidad.
- No gobernar las exportaciones.
- Conservar los datos indefinidamente.
- Tener un comité sin decisiones.
Checklist
- Dominios priorizados.
- Propietarios y stewards asignados.
- Glosario elaborado.
- Catálogo mínimo.
- Reglas y umbrales definidos.
- Gestión de incidencias.
- Accesos revisados.
- Ciclo de vida controlado.
- Privacidad integrada.
- Métricas y comité en marcha.
Preguntas frecuentes
¿Hace falta un CDO?
No necesariamente. Sí hace falta patrocinio y propietarios de dominio.
¿El gobierno del dato es lo mismo que el RGPD?
No. Es un concepto más amplio, pero debe integrar los principios y las obligaciones de protección de datos.
¿Qué herramienta hay que usar?
Conviene empezar con el mínimo que permita tomar decisiones, mantener la trazabilidad y ejercer el control; la herramienta se escala cuando el volumen lo justifica.
Fuentes consultadas
- AEPD: gobernanza y política de protección de datos.
- AEPD: principios y responsabilidad proactiva.
- Comisión Europea: Data Governance Act.
- Guía práctica de la Data Governance Act.
Summum Consultoría puede diseñar los roles, el glosario, la calidad y el gobierno del dato compatible con el RGPD y con los sistemas de IA de la empresa.