De acuerdo a The Data Governance Institute (DGI), una definición corta de gobernabilidad de datos (GD) sería: “El ejercicio de toma de decisiones y de autoridad sobre los aspectos relacionados a la información”. El propio TDGI nos proporciona una definición más amplia: “Un sistema sobre toma de decisiones y responsabilidades para los procesos relacionados con la información, ejecutado de acuerdo con modelos determinados que describen quién puede tomar qué acciones con qué información y cuándo, bajo qué circunstancias y con qué métodos”. Es decir, que la GD se refiere a quién, cómo, cuándo y dónde se utiliza la información y el ejercicio de los sistemas relacionados. Esto así, resulta fácil comprender que la GD busca ser el centro del proceso de control y gestión de la información en las organizaciones.
Debido al rol que juega la información en los mercados, lo anterior pudiera pasar inadvertido como un elemento más de las organizaciones modernas. Todos estamos de acuerdo en la importancia de la información, la cual alcanza niveles inimaginables en la medida que avanza -a pasos agigantados- la era de la digitalización, la inteligencia artificial y la inteligencia de datos o big data. Sin embargo, lo que convierte a la GD en tema fundamental de las organizaciones es que, precisamente cuando la información tiene mayor relevancia y constituye uno de los activos más preciados de las organizaciones, su regulación y protección, en ciernes, han alcanzado niveles únicos.
A través de la GD se busca dotar a las organizaciones de sistemas internos que sean conscientes del uso de la información y de sus titulares, de quiénes la manejan (data stakeholders) y para qué y cómo se utiliza o podría utilizarse, creando a su vez una clara estructura de gestión (con responsables identificados) y asegurando que los procesos se ejecuten con el debido cumplimiento de las regulaciones y requerimientos (internos o externos) aplicables. De acuerdo con el TDGI, algunos de los principales objetivos de la GD buscan: i) mejorar la toma de decisiones; ii) reducir los riesgos o fricciones operativas; iii) proteger las necesidades de los data stakeholders (quienes usan la información dentro de la organización); iv) capacitar a la administración sobre los aspectos centrales del manejo de información; v) establecer estándares y procesos; vi) reducir costos y aumentar la efectividad a través de esfuerzos comunes; y, vii) asegurar la transparencia de los procesos. Dependiendo del ámbito y naturaleza de cada organización, otros rasgos de la GD pueden ser esenciales.
Como se observa, el acceso y uso de la información en sus diferentes formas tiene una relevancia transversal en las organizaciones. Es precisamente allí donde la GD y el gobierno corporativo (GC) logran una estrecha vinculación.
Al tenor de lo anterior, en el ámbito de las entidades financieras la relevancia de la GD es evidente. En este sentido, el Reglamento de Gobierno Corporativo para entidades de intermediación financiera adoptado por la Junta Monetaria (2015) establece que “el Marco de Gobierno Corporativo de las entidades de intermediación financiera debe contar con un efectivo sistema de información gerencial que asegure un adecuado procesamiento y almacenamiento de información, para una efectiva y oportuna toma de decisiones, así como una fluida comunicación a través de toda la entidad de intermediación financiera y, una oportuna rendición de informes y reportes a la Superintendencia de Bancos y al Banco Central, en los formatos y plazos establecidos en la normativa legal vigente” (artículo 5.i). Por su lado, el Reglamento de Gobierno Corporativo para participantes del mercado de valores adoptado por el Consejo Nacional del Mercado de Valores (2019) indica que una de las informaciones que deben citarse como parte del compromiso de GC en el código de GC de los diferentes participantes corresponde a las políticas sobre revelación de información y comunicación (artículo 6.6.d). En pocas palabras, la gestión de la información forma parte del sistema de GC.
Una de las tendencias actuales en el ámbito de la GD toca el aspecto institucional o de organización interna. Normativas recientes en materia de protección de datos, como lo es el Reglamento General de Protección de Datos de la Unión Europea (RGPDUE), enfatizan de manera particular en la obligación de establecer estructuras a lo interno de las organizaciones para asumir las tareas de gestión y seguridad de la información. En este contexto, el RGPDUE, para el caso de entidades que gestionan de manera significativa datos personales, exige la designación de un ejecutivo denominado “encargado de tratamiento”, quien a su vez es el responsable de ejecutar el análisis de riesgo en base a una evaluación de impacto de datos personales (EIDP).
Más allá del ámbito de los datos personales, en organizaciones que manejan amplia información o que sus operaciones dependen o se relacionan con el análisis y uso masivo de información, la tendencia es a la designación del denominado Jefe de Datos o CDO (Chief Data Officer). En un análisis de Deloitte, se citan otras figuras internas que se encuentran en implementación en las diferentes entidades y que se relacionan al uso o manejo de información (Chief Information Officer, Chief Digital Officer, Chief Analytics Officer). Para el caso de las entidades de intermediación financiera, el Reglamento de Seguridad Cibernética de la Información aprobado por la Junta Monetaria (2018) es una muestra de pasos en materia de gestión y seguridad de la información. Esta norma incluye, para el ámbito de su competencia, la designación del Oficial de Seguridad Cibernética y de la Información.
Las organizaciones, y en particular las entidades financieras, llevan a cabo sus funciones con enorme dependencia de información propia y de terceros. Estas generan información producto de la ejecución de sus operaciones, a la vez que reciben información de terceros clientes, proveedores, partes interesadas y el mercado -parte de esta con carácter de datos personales. La información en sí misma es vital para la construcción de estrategias, planes de negocios y operativos y la gestión integral de riesgos. Al mismo tiempo, es sobre el sistema de información que se sostiene gran parte del modelo de supervisión y cumplimiento regulatorio existente. Sin duda, la gestión de la información, en tanto activo relevante para todas las partes en juego, se sustenta y depende de buenas prácticas de GC que permitan una administración segura, responsable, transparente, efectiva y en cumplimiento con las reglas vinculantes. En la era de la información la GD se construye en torno a un robusto GC.