fernandosaenz.com

Creando Negocio mediante la explotación de datos en activos/procesos industriales


Bienvenido/a,

No te voy a mentir, esto es un blog técnico, aunque no trata sobre tecnologías específicas. Expongo la motivación que hay detrás del diseño de cada sistema, y sus resultados. No voy a darte una explicación técnica de cada tecnología que diseño o utilizo. No vamos a "ver las tripas".

En estos últimos doce años, en los que he ejercido de gerente, he podido ver cómo la explotación inteligente de datos mejora de forma notable los resultados en diferentes ámbitos de la empresa. En este blog comparto esas experiencias, explicadas de forma resumida pero clara.

fernandosaenz.com
En la mayoría de posts verás que incluyo una ficha que encabeza la lectura, y que ofrece una visión instantánea de lo que encontrarás si decides continuar. La mayoría de artículos los podrás leer en 3-4 minutos de tu tiempo.

Busco ofrecer un formato de micro-posts que giren en torno a la búsqueda de valor añadido buceando en datos crudos. Y siempre orientados a la divulgación de las experiencias que he vivido en esta obsesión que tengo por aplicar tecnología, a veces sencilla pero suficiente, en cada ámbito de la empresa.

Espero que lo disfrutes tanto como yo.

- Fernando Sáenz -
septiembre 10, 2020

Error 4/5 – No atender adecuadamente los aspectos legales

En el artículo de hoy vamos a repasar algunos aspectos legales que conviene tener en cuenta al adentrarse en la digitalización de procesos industriales, especialmente cuando se prevé el uso de tecnologías relacionadas con las comunicaciones, almacenamiento y/o procesamiento externo. En anteriores artículos hemos tratado temas de aplicación eminentemente técnica u organizativa. Veamos ahora qué dice la ley sobre estas actividades, y qué normativa aplica (o no) a cada caso.

Información confidencial

Se trata de toda aquella información que debe ser protegida de su acceso por personas no autorizadas. Su carácter confidencial puede deberse a muchos motivos, pero, enfocando esta definición en el marco de digitalización industrial, habitualmente son tres:

  1. Es información crítica para nuestro negocio, la competencia podría aprovecharla en su favor o nuestro perjuicio
  2. Nos hemos comprometido con otros a mantener el secreto de la información
  3. Está protegida por las leyes vigentes

En cualquiera de los tres casos, debemos aplicar las medidas oportunas para evitar que ninguna persona no autorizada pueda llegar hasta dicha información. Esto incluye cualquier tipo de información, desde documentos físicos hasta sistemas de almacenamiento informático. En este artículo nos centraremos en el contexto que aplica a los entornos digitales.

Confidencialidad en casos de información compartida

Se suele regular a través de un contrato privado entre las partes, que se obligan a mantener una actitud de secreto hacia los datos confidenciales provistos por la otra parte firmante. Lo más común es un NDA (Non Disclosure Agreement) o similar. Estos contratos pueden o no estar impuestos por normativa, y el contenido de los mismos puede incluir o no obligaciones contempladas en la legislación vigente. Así, un NDA establece las reglas que aplicarán a la relación entre las partes en lo referente a la no divulgación de cierta información, y puede incluir condiciones recogidas en la legislación vigente, además de condiciones privadas negociadas por ambas partes.

Su uso es muy habitual cuando dos o más personas físicas o jurídicas comienzan una relación, estableciendo así un marco de confianza legal para poder compartir información sensible relevante para la relación que se va a iniciar. Además, este tipo de contratos se suele firmar para dejar constancia de la forma en la que las partes compartirán información que sí esté regulada por normativa, como sucede con el caso de los datos de carácter personal.

RGPD (GDPR) y AEPD

Aunque el objetivo de este artículo no es entrar en detalle en el ámbito de la protección de datos, sus agentes y normativas, veamos brevemente dos figuras que nos interesa conocer.

El Reglamento General de Protección de Datos, que entró en vigor en 2018, es la normativa europea que establece las pautas a seguir en lo relativo al tratamiento de los datos de carácter personal. El Parlamento Europeo regula y designa a las Autoridades de Control, siendo en el caso de España la AEPD (Agencia Española de Protección de Datos). Se trata de la autoridad pública independiente encargada de velar por la privacidad y la protección de datos de los ciudadanos.

Datos de carácter personal

La legislación española establece que se trata de “cualquier información concerniente a personas físicas identificadas o identificables”. Además, el RGPD clasifica los diferentes tipos de datos de carácter personal en dos categorías; “datos sensibles” y “datos no sensibles”. Para la aplicación de esta clasificación, el RGPD presenta una lista concreta sobre lo que se consideran datos sensibles: origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos tratados únicamente para identificar a un individuo, datos relativos a la salud y datos relativos a la vida sexual u orientación sexual de una persona. El resto de datos de carácter personal son considerados no sensibles. No olvidemos que todo dato de carácter personal está protegidos por el reglamento, si bien los datos clasificados como sensibles deberán ser protegidos especialmente.

Industria Digital, datos confidenciales y datos de carácter personal

Volvamos a nuestro escenario de Digitalización Industrial. Los sistemas digitales recopilan datos provenientes de máquinas, que pueden incluir estados de máquina, lecturas provenientes de sensores (temperaturas, velocidades, aceleraciones, presencia…), o incluso en ocasiones cierta información relacionada con las personas (turno, código de operario…). Además, esa información es procesada en varios niveles, habitualmente incluyendo un procesamiento on-premises (procesamiento local, Edge Computing, Fog Computing…) y off-premises (Datacenter, Cloud…). Todo ello supone gestión de información confidencial, y muchas veces también información de carácter personal (por tanto regulada para su tratamiento).

Custodia del dato

Cuando digitalizamos los datos de un proceso y los albergamos en un entorno digital provisto por un tercero, debemos determinar contractualmente a quién pertenecen esos datos (habitualmente a la empresa que ejecuta el proceso, sea o no dueña de las máquinas), su grado de confidencialidad, y en qué obligaciones incurre la parte encargada de su custodia. Aunque este hecho resulta muy evidente al utilizar tecnologías off-premises (ej. Cloud), también hay que tenerlo en cuenta para dispositivos de procesamiento digital on-premises (ej. procesamietno local, Edge, Fog…). ¿Quién será el responsable de garantizar la confidencialidad, integridad y disponibilidad de esa información? ¿Qué medidas adoptará?

Análisis y explotación

Además de la custodia, en los proyectos de Industria Digital siempre surge la misma cuestión. ¿Quién tiene el derecho a analizar esos datos? ¿Y quién puede explotar los resultados que se obtengan de dichos análisis? Son muchos los actores que forman parte del ecosistema de la digitalización industrial, desde los OEMs (fabricantes de máquinas), plantas, talleres, empresas mantenedoras, ingenierías… todos ellos pueden aportar valor a la explotación de los datos, y por eso cada uno de ellos quiere poder hacerlo.

Por ejemplo, un escenario habitual se da cuando un OEM vende una máquina con capacidad de conexión a su entorno de análisis. En el momento de la venta, la máquina deberá entregarse con un contrato que especifique que el OEM realizará ciertos trabajos de análisis sobre los datos recopilados, cuáles serán esos datos, cuáles serán los trabajos de análisis, y cuál será su finalidad. Queda en manos del cliente decidir aceptar o no las condiciones, sopesando las ventajas que le ofrezca el OEM contra los inconvenientes que perciba respecto a compartir cierta información operativa de su máquina. En este ejemplo, un contrato de prestación de servicios (incluso aunque no se cobren) facilita mucho la definición del acuerdo legal para poder trabajar con los datos del cliente. Cada escenario tiene una solución legal, simplemente hay que tenerlo en cuenta y trabajarlo.

Datos de carácter personal en la Industria Digital

No sería difícil para alguien con poca experiencia caer en la trampa de pensar que el RGPD no aplica en este tipo de proyectos, dado que toda la información recopilada es principalmente de procesos y máquinas, y además ya se vela por la confidencialidad de dicha información a través de un contrato privado entre las partes. Pero cuidado, recordemos la definición con la que iniciábamos el bloque de “dato de carácter personal”. Basta con que un sistema recoja el nombre o número de trabajador de un operario para que nos encontremos ante un escenario en el que aplica el RGPD. Es más, cualquier sistema digital que sea gestionado a través de cuentas de usuario requiere la identificación de los mismos, típicamente a través de su correo electrónico, nombre de usuario y nombre completo, todos ellos datos de carácter personal. Incluso cualquier sistema al que una persona pudiera llegar a conectarse desde su casa, o con un teléfono móvil, estaría ya sujeto a aplicación de RGPD dado que la dirección IP está considerada un dato de carácter personal tanto en cuanto podría permitir (seguramente con la necesaria colaboración del proveedor de servicios) llegar a identificar a una persona concreta. Hay que apuntar que esto depende del uso que se le dé al dato, por ejemplo registrar direcciones IP para tareas de gestión de redes y análisis de tráfico en general no está sujeto a regulación, pero mantener un registro de accesos de un usuario sí lo está.

Cómo proteger la información digital

En este punto tenemos claro que debemos proteger la información digital, bien por su confidencialidad, o bien porque esté sujeta a normativa que así lo especifica. ¿Por dónde empezamos?

Lo primero es tener un buen diseño arquitectónico para la solución digital que se está utilizando. Un diseño improvisado o poco estudiado expondrá múltiples fisuras y hará muy compleja la aplicación de políticas de Ciberseguridad adecuadas, tal y como vimos en el artículo “Una tecnología inadecuada puede hacer inviable tu estrategia 4.0”.

Un buen diseño permite controlar bien la localización de los datos y la fiabilidad de los sistemas que los custodian. Esto incluye a los sistemas de Hot Storage, Warm Storage y Cold Storage, además de los sistemas de backups.

Seguidamente hay establecer un sistema de permisos que parta de la restricción por defecto. Nadie puede acceder a los datos salvo aquellas personas específicamente autorizadas. Además, conviene mantener un registro de accesos y manipulaciones de datos que pueda identificar qué usuario realizó qué acción, sobre qué datos, y cuándo.

Es imprescindible además implantar medidas de Ciberseguridad adecuadas, tal y como vimos en el artículo “Error 3/5 – No prestar suficiente atención a la Ciberseguridad industrial”.


En este artículo hemos visto que los aspectos legales en el tratamiento de la información, especialmente la digitalizada, pueden ser en ocasiones complejos. No conviene dejar crecer un proyecto de digitalización sin haber realizado un estudio adecuado sobre las obligaciones en las que podría incurrirse por mandato de la normativa vigente, y las repercusiones legales en caso de no poder cumplirlas.

La semana que viene veremos cuál es el error 5/5, y por qué está impidiendo que muchos proyectos de Transformación Digital no estén logrando pasar del proyecto 4.0 «factible» al Negocio Digitalizado Viable y Rentable.


Si quieres saber si tu estrategia no solo es «factible» sino también viable y rentable, te recomiendo que solicites nuestro cuestionario «del 4.0 al 4.1» de 20 preguntas que te servirá para obtener nuestro diagnóstico inicial sin coste, que estoy seguro te ayudará a determinar si estás tomando las decisiones adecuadas.

gestión # , ,
Compartir: / / /