Gobierno del dato para pymes: roles y controles

·

Gobernar datos no es crear un comité ni comprar un catálogo. Es asignar quién decide definiciones, calidad, acceso, conservación y uso de cada dominio. Una pyme puede empezar con clientes, productos, proveedores y finanzas, aplicar reglas medibles y resolver incidencias donde se originan.

Objetivos

La AEPD conecta el gobierno del dato con la responsabilidad proactiva y los principios del RGPD.

Alcance por dominios

No conviene empezar por toda la empresa. Es preferible priorizar:

Cada dominio tiene un propietario de negocio (data owner) y un steward operativo.

Roles

RolResponsabilidad
PatrocinadorPrioridad y recursos
Data ownerDefinición, acceso y calidad
Data stewardReglas e incidencias
Custodio ITPlataforma y seguridad
DPOPrivacidad y derechos
UsuarioUso correcto y reporte

No hace falta crear todos estos cargos como puestos nuevos; sí asignar las funciones a personas concretas.

Glosario

Cada término crítico debe incluir:

«Cliente activo» debe significar lo mismo en el ERP, el CRM y el BI, o bien explicar las diferencias entre sistemas.

Catálogo mínimo

Una hoja controlada puede contener:

La herramienta se elige después de definir el proceso, no antes.

Calidad

Dimensiones que conviene controlar:

Cada regla tiene un umbral y una acción asociada. Por ejemplo: NIF válido igual o superior al 99 %, duplicados por debajo del 0,5 %, direcciones revisadas cada dos años.

La calidad se corrige en origen, no únicamente en el informe de BI.

Gestión de incidencias

El ticket de dato registra:

Se mide la reincidencia de cada tipo de incidencia.

Acceso

El acceso se otorga por rol y finalidad, con aprobación del propietario del dato. Se establecen revisiones periódicas, segregación de funciones y baja automática cuando cambia la situación del usuario.

El acceso técnico posible no implica autorización. Las exportaciones y las copias locales también se gobiernan.

Privacidad

Para los datos personales hay que considerar:

El DPO asesora, pero el propietario del dato sigue siendo responsable del proceso.

Ciclo de vida

  1. Creación/recogida.
  2. Validación.
  3. Uso.
  4. Compartición.
  5. Archivo/bloqueo.
  6. Supresión.

Cada fase tiene sus propios controles. No se conserva todo «por si sirve para un análisis futuro».

Datos maestros

Se define el golden record y las reglas de matching. Para clientes, por ejemplo:

Las fusiones de registros requieren trazabilidad y posibilidad de reversión.

Linaje

Para los KPI y los datos críticos debe conocerse:

Esto permite corregir errores y auditar el dato con garantías.

Proveedores y compartición

Antes de compartir datos con terceros conviene revisar:

La Data Governance Act regula ámbitos específicos de la compartición de datos y busca confianza y disponibilidad, pero no sustituye al RGPD ni al gobierno interno del dato.

Gobierno para la IA

Los sistemas que utilizan datos para generar resultados necesitan datos con procedencia, calidad, permisos y límites claros. El inventario debe vincular cada modelo o sistema con los conjuntos de datos que utiliza. Si un dato cambia, debe poder identificarse a qué modelos e informes afecta ese cambio.

Métricas

No basta con medir la cantidad de metadatos generados.

Comité ligero

Reunión mensual de 45 minutos con este orden del día:

  1. Incidencias críticas.
  2. Definiciones pendientes.
  3. Accesos excepcionales.
  4. Proyectos nuevos.
  5. Métricas.
  6. Decisiones y responsables.

Plan de 90 días

Días 1 a 30

Dominios, propietarios, glosario y datos críticos.

Días 31 a 60

Reglas, catálogo, accesos y ciclo de vida.

Días 61 a 90

Incidencias, métricas, gobierno para la IA y mejora continua.

Errores frecuentes

  1. Empezar por la herramienta.
  2. Cubrir toda la empresa desde el inicio.
  3. Hacer responsable solo a IT.
  4. No definir los términos.
  5. Limpiar los datos solo en los informes.
  6. No fijar umbrales.
  7. Dar acceso por comodidad.
  8. No gobernar las exportaciones.
  9. Conservar los datos indefinidamente.
  10. Tener un comité sin decisiones.

Checklist

Preguntas frecuentes

¿Hace falta un CDO?

No necesariamente. Sí hace falta patrocinio y propietarios de dominio.

¿El gobierno del dato es lo mismo que el RGPD?

No. Es un concepto más amplio, pero debe integrar los principios y las obligaciones de protección de datos.

¿Qué herramienta hay que usar?

Conviene empezar con el mínimo que permita tomar decisiones, mantener la trazabilidad y ejercer el control; la herramienta se escala cuando el volumen lo justifica.

Fuentes consultadas

Summum Consultoría puede diseñar los roles, el glosario, la calidad y el gobierno del dato compatible con el RGPD y con los sistemas de IA de la empresa.