Un Estado inteligente es aquel que conoce la información que posee, la cuida y la usa para diseñar políticas públicas de calidad. Argentina avanzó significativamente en digitalización y automatización de trámites y procesos internos, además de consolidar una agenda de gobierno abierto. Sin embargo, aún tiene una gran deuda consigo misma en la organización y catalogación de la información que genera. Ordenar su ciclo de vida es clave para responder a las crecientes demandas ciudadanas, especialmente en las etapas iniciales de generación, captura y clasificación de datos.
Acerca de esta guía
Objetivo: mejorar los procesos de clasificación de datos y promover mejores prácticas en materia de seguridad y apertura de la información en entornos gubernamentales.
Qué vas a encontrar en esta guía: un paso a paso detallado de cómo clasificar los datos. Analizamos cómo distintos países abordaron la clasificación de datos. Nos enfocamos en la realidad argentina. Ofrecemos ejemplos concretos, ilustrando cómo se aplica la clasificación de datos en situaciones reales.
Destinatarios: la guía está dirigida principalmente a las áreas técnicas de organismos públicos que tienen responsabilidad sobre los datos y aquellas personas que ocupan puestos decisores en la gestión de datos.
¿Qué es la clasificación de datos y por qué es importante?
La clasificación de datos es una práctica administrativa necesaria para la gestión de la información. Establece procedimientos específicos sobre cómo deben tratarse los datos, quién puede procesarlos, a dónde transferirse o dónde deben almacenarse.
A través de esta, se establecen niveles de criticidad y clasificación para diferentes tipos de datos. De este modo, se pueden implementar medidas adecuadas de seguridad, privacidad, intercambio y apertura. Esto asegura que la información esté debidamente resguardada y garantiza que la información pública se maneje de manera ética y responsable.
Paso a paso para la clasificación de datos
1. Establecer una política de clasificación de datos
Una política de clasificación de datos determina los niveles de criticidad y la categorización de los datos.
2. Identificar cuáles datos deben clasificarse
Se identifican los datos a clasificar, priorizando la creación de un catálogo con metadatos para saber quién produce, quién posee y quién utiliza un determinado dato.
3. Etiquetar los datos
Se asigna un nivel de criticidad a los datos de forma manual, automática o combinada, y se asocia la etiqueta correspondiente en el catálogo.
4. Proteger los datos
Los controles de seguridad dependen del nivel de criticidad, y asignan distintas reglas de acceso, encriptación, anonimización, monitoreo de actividad y procedimientos de respuesta a incidentes.
5. Monitorear los datos y las políticas de clasificación
Para responder a posibles variaciones con el tiempo de los activos de datos, se monitorizan continuamente para actualizar las etiquetas según sea necesario y mejorar las políticas de clasificación.
Experiencias de clasificación de datos
🇧🇷 Brasil
El intercambio de datos se establece en tres niveles de confidencialidad. Aunque menciona la accesibilidad e integridad como características de los datos, estas no forman parte específica de las reglas de clasificación de datos.
🇺🇸 Estados Unidos
La E-Government Act le asigna al NIST la responsabilidad de desarrollar estándares y guías para clasificar la información según su riesgo. El objetivo es proteger la confidencialidad, integridad y disponibilidad de los datos. La ley define tres niveles de criticidad (baja, moderada y alta) según la gravedad de la pérdida de cualquiera de estos tres aspectos de seguridad. Asimismo, la clasificación de los sistemas de información, es decir de aquellos casos que no se trate de bases de datos aisladas sino más bien relacionadas, se considerarán a los valores más altos de impacto identificados en cada una de las bases.
Argentina
Las políticas de datos están alineadas con los criterios internacionales aplicados en otros países, pero no existe una asignación clara de funciones respecto a qué organismo debería encargarse de clasificar los datos o de establecer lineamientos sobre cómo hacerlo. Tampoco existe la asignación de responsabilidades mediante la creación de figuras, como el DPO (Data Protection Officer), como en el caso de Brasil. Aunque existen normas que abordan el tema, aún faltan directrices claras para su aplicación.
La clasificación de datos en la práctica
Esta sección identifica ejemplos específicos de clasificación de datos en el sector público en Argentina. En primer lugar se analiza el caso de los datos del RENAPER y en segundo la Prestación Alimentar de la Secretaría de Inclusión Social del Ministerio de Desarrollo Social de la Nación. En ambos ejemplos se aplica un esquema de clasificación evaluando algunos casos hipotéticos de los datos de estos programas.
Caso 1: Certificado de Pre-identificación (CPI) del Registro Nacional de las Personas (RENAPER)
Categoría | Subcategoría | Descripción | Criticidad |
Datos personales | Datos biométricos | Foto y huellas | Media |
Datos administrativos | Información biográfica declarada | Baja | |
Datos biométricos | Biometría facial y homonimia | Media |
Caso 2: El programa de la Prestación Alimentar
La Prestación Alimentar consiste en la transferencia de ingresos para la adquisición de alimentos de la canasta básica a beneficiarios de la Asignación Universal por Hijo (AUH). Para este ejercicio, utilizamos los datos que publica el programa a través del portal de datos abiertos del gobierno nacional.
Categoría | Subcategoría | Campo | Criticidad |
Datos personales | Datos administrativos | DNI | Media |
Sexo | Baja | ||
Edad | Baja | ||
Provincia | Baja | ||
Departamento | Baja | ||
Domicilio de la persona | Media | ||
Datos sensibles | Datos financieros | Monto de la última liquidación | Baja |
Periodos de la primera y última liquidación | Baja | ||
Información de los ingresos de la persona | Media |
La clasificación de los datos debe ser una herramienta no sólo para asegurar su protección, sino también para maximizar su valor en función de su impacto social y su potencial para ser reutilizados en la planificación de las políticas públicas. Aplicar este tipo de metodologías es un paso necesario para compartir datos que de otro modo podrían quedar aislados.
