Mesa de diálogo “Elaboración de la Estrategia Nacional de Datos"

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

Subgrupo 3, ejes temáticos: marco de referencia, normativo y regulatorio. Seguridad y protección de datos

  • Moderadora: Lylian Massarino, URCDP 
  • Relator: Martín Rovira, Agesic 
  • Participaron 11 (once) personas de 8 (ocho) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.

Discusión

Agesic – Diego Rosselli (Institución pública)

Indica que ya existe una ley robusta sobre temas de datos personales que aporta a esta nueva estrategia que se quiere construir. Pero menciona que siempre se tiene la sensación que el compartir datos entre distintos organismos es muy complejo, esta temática desde Agesic se sufre mucho.
A continuación, reflexiona sobre este punto realizando la siguiente pregunta al grupo ¿Las personas se sienten seguras porque los organismos no pueden compartir datos personales de los ciudadanos? ¿Esto no es trancar un trámite y hacer gastar más dinero del necesario? ¿El ciudadano lo tiene que dar dos veces o tantas veces como organismo lo necesite? Capaz que se puede mejorar este aspecto para que exista más interoperabilidad de datos personales. Aunque hay un decreto para favorecer este tema, pero no funciona muy bien por temas de seguridad y celos de la propiedad de los datos. Indica que se debe trabajar en profundizar el marco de interoperabilidad de datos personales para que sea más ágil para que se comuniquen los organismos.
Propone avanzar sobre el tema de contar con una oficina de Datos en cada Organismo. Pero hay que definir si son todos los organismos que deben tener esto, ¿son todos los sujetos obligados? Menciona que esta idea no sea tomada en cuenta por los gobiernos si está mal definida. Hay que definir bien la granularidad, tal vez no es una oficina por cada organismo, sino asignar roles específicos en los mismos.

Para finalizar, prioriza los siguientes puntos:

  • Aplicar, difundir y/o mejorar el marco normativo de interoperabilidad entre los organismos.
  • Plan de implementación para el marco normativo de interoperabilidad.

AEU - Elisabeth Bouvier (Asociación independiente)

Inicia su intervención hablando sobre el marco para el tema de datos personales, indicando que la finalidad para la que se van a utilizar los datos de la ciudadanía está solucionada en el principio de que Ley 18.331. No es necesario variar, solo aplicarla.  Tal vez más regulación no es necesaria para manejar una estrategia nacional de datos, ya está más que completa en los distintos grupos o tipos de datos.

AEU - Javier Wortman (Asociación independiente)

Menciona que la Ley uruguaya 19.670, es un gran marco estilo europeo por sus estándares. Propone profundizar en nuestros estándares usando el camino de estándares internacionales para que se adapten a nuestros modelos (transferencia de datos, profundizar en la búsqueda del estándar planteado por la protección de datos). Reflexiona sobre el tema de infraestructura en los organismos realizando la siguiente pregunta al grupo; ¿Tenemos la infraestructura necesaria para obligar a todos los organismos a que cumplan este nuevo marco y estrategia?
Menciona que como uno de los primeros pasos deberá ser que las normas actuales nacionales deben ser auditadas para luego aplicar mecanismos de sanciones a quienes no lo cumplan. Y muchas veces no hay infraestructura para controlar, y muchos violan las normas porque no hay sanciones.

BCU - Carla Facal (Institución pública)

Al iniciar su intervención formula las siguientes consultas ¿Qué tipo de datos vamos a trabajar? Ya existe normativa de datos personales, ¿Que más datos se van a trabajar, se van a clasificar?
Menciona que una buena idea para iniciar, antes de crear oficinas de datos en los distintos organismos, es definir delegados de datos mientras se institucionaliza la idea de una oficina de datos, como lo aplica el marco de ciberseguridad. Para esto se debe definir un perfil técnico mínimo para estas personas referentes en datos por cada organismo.

Para finalizar, prioriza los siguientes puntos:

  • Estructura o área de datos en organismos.
  • Delegado de datos en general a nivel organismo.
  • Creación de oficina u órgano de contralor y sanción del marco de datos, o agregarle la competencia a Agesic, como el marco de ciberseguridad.

BCU - Valeria Emanueli (Institución pública)

Menciona que es bueno poder compartir datos personales entre los organismos, pero que se debe tener unos requerimientos mínimos específicos por parte de Agesic para poder realizar este intercambio.

Prioriza los siguientes puntos:

  • Modelo de madurez de los datos de referencia.
  • Definir una línea base de modelos de seguridad.

Ceibal - Diego Ruso (Academia)

Inicia su intervención mencionando que se podría elaborar un marco de referencia de datos en el Estado al estilo DAMA, y adaptarlo al marco de ciberseguridad actual. También menciona que se pueden generar en segundo término marcos más específicos para distintos tipos de datos. Debe existir un objetivo estratégico a nivel institucional para que estas tareas de datos que puedan tener personal, oficina y presupuesto asignado de forma oficial para dedicarle a esto y que no recaiga en tareas secundarias del personal.
Para finalizar, prioriza la creación de un marco de referencia a nivel general.

MIDES - Javier Chiossi (Institución pública)

Indica que se necesita más personal y más recursos (económicos y humanos) para tratar el tema de datos en los distintos organismos. Además hay que capacitar a los recursos actuales y analizar la asignación de tareas de forma oficial ya que hay muchos en este tema actualmente, pero trabajando en muchos temas al mismo tiempo. Propone incorporar este tema en rendiciones de cuentas a nivel del Estado.

MIDES - Verónica Martínez (Institución pública)

Indica que falta sistematización de toda la normativa vigente, el marco que tenemos es bueno, pero hay que sistematizarlo para interoperar entre todos los tipos de datos que tiene el Estado. A continuación, menciona la importancia de la formación a nivel funcionarios que manejan datos, pero no solo formación tecnológica sino también y principalmente formación de normativas de datos. Indica que la estrategia debe comenzar en la definición de más recursos económicos y personales que estén asociados a esta estrategia nacional de datos. Regulación existe, y es buena, pero hay que revisarla siempre, con lo que tenemos actualmente se puede empezar a trabajar.
Tal vez sea necesario la creación de una normativa específica para ordenar y agrupar todos estos temas planteados, directivas, definir obligatoriedad de que tengan oficinas en materias de datos, pero no mucho más, y poder auditar y sancionar a los organismos que no cumplan con esta normativa.
Luego se debe realizar un relevamiento de cómo funcionan todos los organismos en tema de datos, como funcionan y como trabajan sobre ellos. Puede existir un área que en los hechos trabaje sobre estos temas, pero no tienen una regulación y una estructura orgánica oficial. Comenta que esta es la situación en MIDES. Si estuviera como un cometido institucional funcionaría mucho mejor.

Para finalizar, prioriza los siguientes puntos:

  • Construir un texto ordenado sistematizado del marco normativo
  • Asignación de presupuesto.
  • Y la construcción de un marco normativo de referencia basado en estándares internacionales.

Movistar - Facundo Payssé (Institución privada)

Indica que se debe ir por la estandarización internacional, ya que es muy importante mantener estándares mínimos internacionales con el objetivo de mejorar la interoperabilidad de los datos. Hace hincapié sobre que es importante poder estar todos conectados a nivel de datos en general.

Prioriza solicitar la certificación de las normas internacionales (normas ISO) a los organismos, en materia de datos, o que el organismo que regule también certifique para aquellos que no cumplen con estándares internacionales o procesos internos sólidos que protejan la seguridad de la información.

UAIP - Graciela Romero (Institución pública)

Inicia su intervención mencionando que se debe mejorar la interoperabilidad de los datos entre los organismos, porque la ley de datos personales es de la más robusta. Capaz que este problema de la mala comunicación de datos entre los distintos organismos se puede mejorar con una directriz especifica. Una directriz de cómo aplicar la ley de protección de datos, para que no existan estos problemas y celos entre los organismos. Porque por más que la información tenga datos personales son datos del sistema.

Se debe avanzar por la creación de directrices y lineamientos técnicos para intercambiar datos personales entre organismos, que mejore la ley de datos personales. También hace mención de que hay que reforzar mucho en la capacitación y el conocimiento normativo del manejo de datos en los funcionarios técnicos que manejan datos en los distintos organismos.

Menciona que, desde la Ley de Información Pública, hay que reforzar los temas de Transparencia Activa y los Datos Abiertos. La Ley de Acceso pide que toda la información se pase a Datos Abiertos, pero hay un tema de la calidad de estos datos. Porque se deben publicar con la calidad adecuada.

A continuación, indica que falta también capacitación para traspasar todos sus datos a los datos abiertos, no solo conocimiento técnico sino conociendo los distintos temas jurídicos como datos personales.

Para finalizar propone implementar un marco para la ética de datos, esto es esencial en la IA y en datos, se debe regular para poner límites de derechos humanos y otros problemas similares. Y también brindar certificaciones por ejemplo de calidad de sus datos para motivar la estrategia.

Udelar, Facultad de Derecho - Fabrizio Messano (Academia)

Menciona que aunque la Estrategia sea solo a nivel nacional se debe intentar trabajar con otros actores internacionales. Hay que coordinar con esos grandes actores internacionales en lugar de ir trabajar el tema de gobernanza en el Estado. También menciona que se debe profundizar la capacitación a nivel de operadores privados.

Menciona que para poder coordinar todos estos temas con los distintos organismos del Estado se puede hacer realizando un texto ordenado (texto normativo) que muestre la política en general, no tiene por qué ser una nueva ley, sino un documento marco normativo que ordene todo.

En otro orden el propone eliminar la inscripción de las bases de datos, porque no tiene importancia y quita recursos a los distintos organismos y no aporta valor, además de profundizar en el análisis de otras actividades que no aporten valor y quitan recursos para otras tareas para así eliminarlas.

Indica que lo ideal es tener un área de datos en cada organismo que nuclee los distintos roles, datos personales, datos en general, etc.

Para finalizar, prioriza los siguientes puntos:

  • Crear un marco normativo
  • Capacitación en uso de datos en sus distintos tipos y a todo nivel (funcionarios del estado y la población)

Priorizacion de acciones

A nivel general se indica que, aunque inicialmente se planteó que más normativa no sería lo necesario, sino solo trabajar en más estandarización y más capacitación a los funcionarios en diferentes niveles, al final del debate se encontró la necesidad de  trabajar en una normativa para agrupar todas las acciones planteadas; recursos económicos, oficinas especializadas, capacitación, entre otros puntos y también para poder obligar a todos los organismos estar en línea con esta nueva estrategia.

Además se encuentra la necesidad de crear, inicialmente, una estructura organizacional como un delegado de datos o una oficina de datos a nivel de cada organismo.

Priorización de temas ordenados por los ejes temáticos identificados:

Eje 3 - Marco de referencia, normativo y regulatorio

  • Creación de Órgano de contralor que pueda sancionar y efectuar certificaciones en esta temática.
  • Capacitación en normativa existente.
  • Crear marco de interoperabilidad de datos personales.
  • Capacitación en uso de datos.
  • Creación de una estructura organizacional de datos a nivel de organismos.
  • Creación de delegado de datos a nivel de organismos.

Eje 4 - Seguridad y protección de datos

  • Definir línea base de niveles de seguridad para la interoperabilidad a través de la implementación del marco y sus niveles de madurez.

Temas comunes a los dos ejes

  • Presupuesto oficial asignado.
  • Texto ordenado (normativo) de todo el marco legal actual.
  • Marco de referencia basado en estándares internacionales como puede ser DAMA.
  • Estandarización y aplicación de normas ISO y DAMA.

Etiquetas

Inteligencia Artificial Herramientas para la ciudadanía Herramientas para organismos