Gobernar el dato es el conjunto de responsables, normas y procesos que deciden cómo se crea, se nombra, se almacena, se clasifica, se corrige, se protege y se comparte la información de tu empresa a lo largo de toda su vida.
Conviene separar dos conceptos que a menudo se confunden. La gestión del dato es la parte técnica: las bases de datos, las copias de seguridad, las integraciones entre sistemas. La gobernanza es la capa de decisiones que va por encima: quién es responsable de cada dato, con qué reglas se usa y quién responde cuando algo está mal. La gestión ejecuta. La gobernanza decide y rinde cuentas.
En la práctica, gobernar el dato es responder con claridad a unas preguntas que casi ninguna pyme tiene resueltas. Qué datos maneja la empresa y dónde están. Quién es el dueño de cada conjunto de datos importante. Quién puede acceder a qué. Si esa información es correcta y está al día. De dónde ha salido cada dato. Cuánto tiempo hay que conservarlo.
Cuando no hay respuesta a esas preguntas, el problema no se ve, pero está. Un ejemplo que se repite: la ficha del cliente. Comercial la actualiza en el CRM, administración la mantiene en el ERP y marketing tiene su propia hoja de cálculo. Nadie es el responsable oficial. Cada sistema evoluciona por su cuenta y, al cabo de un año, tienes tres versiones del mismo cliente que ya no coinciden. Eso no es un fallo informático. Es una falta de gobierno.
Hasta hace poco, unos datos desordenados eran un incordio que se sufría en silencio. La IA generativa ha cambiado eso por tres motivos muy concretos.
El primero es cómo funciona la IA que usas en el día a día. Herramientas como Microsoft 365 Copilot no tienen una base propia con «las respuestas». Construyen cada respuesta a partir de la información de tu empresa, buscando en tiempo real todo aquello a lo que la persona que pregunta ya tiene acceso: correos, documentos de SharePoint, archivos de OneDrive, conversaciones de Teams. Y aquí está el detalle importante. Copilot no crea un problema de permisos nuevo. Hace visible, y al instante, el que ya tenías. Si una carpeta con las nóminas llevaba años compartida de más y nadie lo había notado, basta con que alguien le pregunte por los sueldos para que aparezca. La herramienta no ha hecho nada malo. Ha mostrado un archivo al que esa persona ya podía llegar.
El segundo motivo es la calidad. Una IA que razona sobre datos malos produce respuestas malas, y lo hace con un aplomo que despista. Si tu CRM está lleno de duplicados y registros de hace tres años, un agente que trabaje sobre él te dará conclusiones equivocadas sin avisarte de nada. Un analista humano fruncía el ceño ante una cifra rara. El modelo, no. Te la sirve con total seguridad.
El tercero es normativo. El RGPD ya te obliga a saber qué haces con los datos personales y a poder justificarlo. El Reglamento europeo de IA añade obligaciones de documentación y trazabilidad para los sistemas de más riesgo. Sus plazos van por fases, y las obligaciones de alto riesgo se han aplazado a diciembre de 2027, pero la dirección es inequívoca. Y la directiva NIS2 sube el nivel de seguridad exigible a muchos sectores. En los tres casos, la exigencia de fondo es la misma: tienes que saber qué datos tienes, quién accede a ellos y por qué tu sistema hizo lo que hizo.
La consecuencia de negocio es directa. El retorno de tu inversión en IA está limitado por la calidad de tus datos y por la higiene de tus permisos. Saltarte esta parte no te ahorra trabajo. Solo lo aplaza y lo encarece.
Una base de datos fiable no se consigue con una herramienta mágica. Se construye trabajando cinco frentes. Estos son, en lenguaje llano, los que de verdad importan.
La calidad del dato se mide en seis dimensiones concretas, y vale la pena conocerlas porque te dan un vocabulario para señalar dónde está el fallo:
Para saber cómo estás, se hace un perfilado de datos (data profiling), que consiste en analizar tus tablas y medir estas dimensiones: cuántos campos vacíos hay, cuántos duplicados, cuántos formatos raros. Casi siempre el resultado sorprende, y para mal. La consecuencia es que cada decisión que tomes sobre esos datos, y cada automatización que montes encima, hereda esos errores y los repite a escala.
Gartner estima que la mala calidad de los datos cuesta a una organización una media de 12,9 millones de dólares al año. Es una cifra de gran empresa, pero el mecanismo que la genera (duplicados, campos vacíos, información caducada) es idéntico en una pyme. Solo cambia la escala.
No puedes gobernar lo que no ves. El inventario responde a una pregunta básica que muchas empresas no saben contestar: qué datos tenemos y dónde están. El catálogo va un paso más allá y añade el significado: qué quiere decir cada campo, quién lo mantiene y de dónde viene. A esa información sobre los datos se le llama metadatos (datos que describen otros datos). Sin catálogo pasa lo de siempre: «cliente activo» significa una cosa en ventas y otra distinta en facturación, y cuando cruzas los dos informes no cuadran. Tener un catálogo te ahorra discusiones estériles y acelera cualquier proyecto de analítica o de IA, porque todos parten de la misma definición.
Este es el frente que más se olvida y el que más silenciosamente hace daño. Cada conjunto de datos importante necesita un dueño (data owner), una persona del negocio que responde de que ese dato esté bien, y a menudo un responsable operativo (data steward) que lo mantiene en el día a día. Cuando la ficha de clientes no es de nadie, su calidad se degrada sola, porque corregirla no es tarea de nadie. Asignar responsables no cuesta dinero. Cuesta decidir. Y es, probablemente, la medida con mejor relación entre esfuerzo y resultado de toda esta lista.
Clasificar es etiquetar cada dato según su sensibilidad: público, interno, confidencial o restringido. Sobre esa clasificación se aplica el principio de mínimo privilegio, que significa que cada persona accede solo a lo que necesita para su trabajo, y a nada más. La mayoría de las fugas internas no vienen de un ataque sofisticado, sino de un permiso mal puesto que llevaba años ahí. Clasificar bien y ajustar accesos marca la diferencia entre un incidente contenido y una filtración de la que te enteras por un cliente. Esta es la parte que más conecta con el trabajo de ciberseguridad, porque acceso y seguridad son la misma conversación.
La trazabilidad, o linaje del dato (data lineage), es el registro de dónde nació un dato, cómo se transformó por el camino y quién lo ha tocado. Es lo que te permite responder cuando un cliente, un auditor o un regulador te pregunta «¿por qué tu sistema decidió esto?». Sin trazabilidad, tu respuesta es una suposición. Con ella, abres el registro y lo demuestras. Un ejemplo: una cifra en el panel de dirección que puedes seguir hasta el sistema y el momento exactos en que se generó. La trazabilidad es lo que convierte «creo que fue así» en «aquí está el expediente», y cada vez es más una exigencia legal, no un lujo.
Si tu empresa trabaja con Microsoft 365, buena parte de este trabajo se hace con herramientas que ya tienes o que están a un paso. Vale la pena aterrizarlo, porque aquí se nota la diferencia entre hablar de gobernanza y hacerla.
Todo empieza por los permisos, porque Copilot solo puede mostrar lo que la persona ya podía abrir. Por eso el primer paso siempre es ordenar accesos en SharePoint, OneDrive y Teams antes de encender nada.
La pieza central es Microsoft Purview, la capa de gobernanza y cumplimiento integrada en Microsoft 365. Con ella puedes:
Por el lado de la identidad, Microsoft Entra ID te permite asignar accesos por rol y revisar de forma periódica quién puede llegar a los datos de finanzas, RR. HH. o dirección. Una nota sobre licencias, porque aquí es fácil equivocarse: los controles básicos de Purview vienen con planes tipo E3, los avanzados (como el etiquetado automático) requieren E5, y Copilot es un complemento aparte que se suma a tu plan. Conviene confirmar qué tienes contratado antes de dar por hecho ninguna función. Si quieres montar todo esto con criterio, es justo lo que hacemos en los proyectos de adopción de IA y Microsoft 365.
No hace falta un proyecto de un año ni un comité interminable. Este orden funciona y da resultados visibles desde la primera fase.
Fase 1. Inventario y clasificación. Averigua qué datos tienes, dónde están y cómo de sensibles son. Lanza una evaluación de exceso de permisos para saber por dónde sangras.
Fase 2. Permisos. Corrige primero lo más grave: quita los accesos abiertos «a todo el mundo» de los sitios sensibles y aplica el mínimo privilegio.
Fase 3. Propiedad y calidad. Pon un responsable con nombre a tus datos críticos y limpia los tres o cuatro conjuntos que más usas (clientes, facturación) antes de automatizar nada sobre ellos.
Fase 4. Controles y trazabilidad. Activa el etiquetado de confidencialidad, las políticas DLP en simulación y el registro de auditoría.
Fase 5. Escala la IA con red. Ahora sí, enciende Copilot o los agentes, empezando por el equipo de IT para detectar sorpresas, y vigila el uso con los paneles de Purview.
Cada fase reduce riesgo y aumenta el valor de lo que despliegues después. No es trabajo perdido antes de la IA. Es la parte de la IA que decide si funciona.
| Frente | Pregunta que resuelve | Primer paso práctico |
|---|---|---|
| Calidad | ¿El dato es correcto y está al día? | Perfilar y deduplicar los datos críticos |
| Inventario | ¿Qué datos tengo y qué significan? | Catalogar las fuentes principales |
| Propiedad | ¿Quién responde de cada dato? | Asignar un dueño por conjunto |
| Clasificación | ¿Quién puede acceder a qué? | Etiquetar por sensibilidad y ajustar permisos |
| Trazabilidad | ¿Puedo demostrar de dónde salió? | Activar el registro de auditoría |
Antes de invertir en más IA, invierte en unos datos en los que puedas confiar. La herramienta más potente del mercado no arregla una base de datos que miente, pero sí multiplica sus errores. Si no sabes en qué punto está tu empresa, empieza por ahí: te ayudamos a evaluar el estado de tus datos y tus permisos antes de que amplíes tu inversión en IA. Solicita un diagnóstico de datos.