Según datos de IDC, el 85% de los datos que manejan las compañías son oscuros. Esto es, información generada por los propios sistemas de la que, en muchas ocasiones, las empresas no saben que disponen. Un coste de oportunidad para detectar ‘insights’ jugosos y una posible infracción del Reglamento General de Protección de Datos.
Cuando el Reglamento General de Protección de Datos (RGPD) entró en vigor hace casi un año un gran número de compañías se puso manos a la obra para adecuar sus políticas de privacidad a las requeridas por la nueva norma. Ello implicaba, entre otras cosas, pedir permiso a los usuarios para realizar tal gestión e informar de manera adecuada sobre la utilidad de tales datos.
Aunque no siempre una empresa es consciente del gran volumen de datos personales que puede llegar a poseer. O que ya posee. Es lo que se denomina ‘dark data’, aquella información de la que una compañía no tenía constancia y que genera los sistemas que emplea la misma en internet.
De acuerdo con Emilio Castellote, analista de IDC Research España, antes de la entrada en vigor de la RGPD, el 85% de los datos que manejaban las empresas eran datos oscuros. Un porcentaje elevado que puso en evidencia lo necesario que resultaba una nueva normativa en torno al tratamiento de los datos personales.
La información calificada como oscura está relacionada con los denominados logs, los registros de las acciones que ocurren en un determinado sistema y que un programa o máquina (véase, un servidor) guarda de forma automática. Para Javier Echeverría, data business development de Prodware, la existencia de estos datos desconocidos cuenta con una serie de costes. De almacenamiento, de máquinas y de oportunidad, ya que si tienen valor, no se están explotando.
“Respecto a los riesgos, todos los asociados a que no sepas que tienes ahí todos los datos. No tienen seguridad y puede ser información expuesta al exterior porque no está cifrada o encriptada”, explica a IPMARK Echeverría. A lo que se sumaría el posible incumplimiento de la normativa.
Consecuencias legales del dark data
“Lo que se le pide a la empresa desde el punto de vista del Reglamento de Protección de Datos es que tenga una responsabilidad proactiva en el tratamiento”, señala por su parte Leandro Núñez, abogado experto en protección de datos de Audens. “¿Qué quiere decir esto? Que tiene que ser capaz de detectar los tratamientos de datos que realiza, tanto los que realiza de manera voluntaria como los que no”.
Pero de acuerdo con el analista de IDC detectar este tipo de información se alza como un reto. “El gran problema de los datos oscuros no estriba tanto en si se pueden o se deben eliminar, más bien en la dificultad de identificar qué información existe fuera del catálogo de la organización, quién gestiona dicha información, de qué tipo se trata y quién debe acceder a la misma”, subraya.
Y una vez descubiertos se pueden bien eliminar bien aprovechar. “Hay empresas que son conscientes de que tienen este ‘dark data’ en su repositorio, máquinas o entorno cloud. Si no los van a explotar hacen borrados periódicos y seguros”, señala el experto de Prodware.
Aunque, de acuerdo con Núñez, lo que una compañía no debería saltarse es el tratamiento de los datos descubiertos. Según explica el abogado, la empresa debe documentar su existencia, informar y plantear medidas adecuadas para su protección. Y “si no los necesitas, [hay que] dejar de tratar esos datos y configurar el programa para que no los almacene”.
En cuanto a las responsabilidades jurídicas que podría traer para una compañía la presencia de información sensible en un entorno oscuro, Núñez asegura que si una empresa “ha hecho los deberes” en materia de protección de datos, las sanciones serían leves y, por tanto, las posibles multas, bajas.
