Los datos son un activo estratégico que, cuando son adecuadamente usados y de acuerdo a como la organización planea que se haga, puede generar valor, innovación y ventajas competitivas para las organizaciones. Sin embargo, también implican riesgos, responsabilidades y obligaciones legales, éticas y sociales. Por eso, es necesario que las organizaciones adopten un enfoque de gobernabilidad de los datos, es decir, un conjunto de principios, políticas y prácticas que aseguren el uso adecuado, eficiente y seguro de cada uno de los tipos de datos.
La norma UNE-ISO/IEC 38505-3 proporciona una guía práctica para los miembros del órgano de gobierno y los gestores de las organizaciones sobre la clasificación de los datos para estructurar mejor las iniciativas de gobierno del dato y los sistemas asociados. La norma establece los factores importantes que hay que tener en cuenta al desarrollar e implementar un sistema de clasificación de los datos, así como un marco de referencia y unos principios orientadores para llevarlo a cabo. El marco de clasificación de datos consta de tres fases: contexto, identificación e implementación, y se apoya en principios rectores como la simplicidad, la interoperabilidad y la protección de los datos.
¿Qué es la UNE-ISO/IEC 38505-3?
Los datos son un activo estratégico que, cuando son adecuadamente usados y de acuerdo a como la organización planea que se haga, puede generar valor, innovación y ventajas competitivas para las organizaciones. Sin embargo, también implican riesgos, responsabilidades y obligaciones legales, éticas y sociales. Por eso, es necesario que las organizaciones adopten un enfoque de gobernabilidad de los datos, es decir, un conjunto de principios, políticas y prácticas que aseguren el uso adecuado, eficiente y seguro de cada uno de los tipos de datos.
La norma UNE-ISO/IEC 38505-3 proporciona una guía práctica para los miembros del órgano de gobierno y los gestores de las organizaciones sobre la clasificación de los datos para estructurar mejor las iniciativas de gobierno del dato y los sistemas asociados. La norma establece los factores importantes que hay que tener en cuenta al desarrollar e implementar un sistema de clasificación de los datos, así como un marco de referencia y unos principios orientadores para llevarlo a cabo. El marco de clasificación de datos consta de tres fases: contexto, identificación e implementación, y se apoya en principios rectores como la simplicidad, la interoperabilidad y la protección de los datos.
La clasificación de los datos consiste en asignar un nivel de significación o sensibilidad a los datos, desde la perspectiva de la organización, que indique el potencial valor, riesgo y restricciones de los datos. De esta manera, se pueden aplicar políticas y controles diferenciados que sean proporcionados y apropiados, asegurando que los datos estén protegidos y que se utilicen solo para los fines previstos y acordes con las obligaciones de la organización.
La clasificación de los datos es un requisito fundamental para muchas actividades de gestión de los datos en una organización, como la protección de los datos, el cumplimiento normativo, el uso previsto, la calidad de los datos y la innovación. La clasificación de los datos también facilita la interoperabilidad y la equivalencia entre los distintos actores que comparten los datos, tanto dentro como fuera de la organización.
La norma UNE-ISO/IEC 38505-3 es un complemento de las normas existentes sobre el gobierno de la información y la tecnología (ISO/IEC 38500) y el los datos (UNE 0077 e ISO/IEC 38505-1). Estas normas sirven para que las organizaciones mantengan una visión de su cartera de datos, a entender el contexto, el valor, la sensibilidad y el riesgo asociados a los datos y a aplicar mecanismos efectivos y éticos, respetando los derechos y las expectativas de los interesados.
