Estamos en:
Emilio del Peso Navarro
Abogado y Licenciado en Informática
SUMARIO:
1. Introducción.
2. Dimensiones de la calidad de la información.
3. Aspectos de seguridad de la calidad de la base de datos.
3.1. Calidad del SGBD.
3.2. Calidad del modelo de datos.
3.3. Calidad de los datos.
4. Aseguramiento de la calidad de la información.
5. Conclusiones.
6. Referencias.
La sociedad de la información cada día está más presente en los comportamientos de los ciudadanosy poco a poco va extendiendo su influencia en aspectos sociales, laborales, mercantiles y culturales de aquéllos.
La información como bien jurídico se reproduce a gran velocidad y en cantidades que no era fácil predecir hace tan sólo pocas décadas.
En la actualidad la mayor parte de las empresas se enfrentan a un grave problema de "polución de datos"; en efecto, disponen de demasiados datos, debido principalmente a tres motivos:
Esta polución puede llegar a tener graves consecuencias; así, por ejemplo, Celko (1995) afirma que la mitad del coste total de implementar un almacén de datos (datawarehouse) puede deberse a una pobre calidad de datos. Nosotros también hemos señalado la importancia de conseguir una buena calidad de los datos en los datawarehouses, para que las organizaciones dejen de ser "ricas en datos pero pobres en información" (Piattini y Del Peso, 1999). El Gartner Group ha advertido también que la pobre calidad de datos ha sido una de las causas de fracaso más importantes en los proyectos de reingeniería.
Se hace por tanto imprescindible para el buen funcionamiento del Sistema de Información de la empresa abordar el tema de la calidad de los datos, para que éstos se conviertan en verdadera información y conocimiento. Las empresas deben gestionar la información como un producto importante, capitalizar el conocimiento como un activo principal y, de esta manera, sobrevivir y prosperar en la economía digital (Huang et al., 1999). Mejorando la calidad de la información se conseguirá mejorar la satisfacción de los clientes y, al mismo tiempo, la satisfacción del personal, lo que hará mejorar la empresa en su conjunto.
Desafortunadamente, hasta hace muy poco tiempo, los aspectos de la calidad se han centrado en la calidad de los programas, descuidándose el aspecto de la calidad de los datos (Sneed y Foshag, 1998). Incluso en el diseño tradicional de las bases de datos, los aspectos referidos a la calidad no se han incorporados explícitamente (Wang et al., 1993). Sí es cierto que aunque la investigación y la práctica en bases de datos tradicionalmente no han estado centradas en temas relativos a la calidad, muchas de las herramientas y técnicas desarrolladas (restricciones de integridad y teoría de la normalización, gestión de transacciones, etc.) han tenido influencia en la calidad. Nosotros opinamos que ha llegado el momento de considerar la calidad de la información como un objetivo principal a perseguir, más que como hasta ahora como un subproducto del proceso de creación y desarrollo de bases de datos.
El hecho de que la calidad de los datos no haya sido uno de los objetivos prioritarios de la investigación viene dado porque hasta épocas muy recientes las organizaciones sólo demandaban información, mucha información, pero no tenían en cuenta su calidad.
La necesidad en la actualidad de tomar decisiones en poco tiempo para poder hacer frente a la agresividad de los competidores hace necesaria esa inmediatez de la información ya trabajada y que tenga grandes dosis de veracidad.
Estamos hablando de un bien jurídico que es lo que en definitiva se ha transformado la información y por lo tanto debe ser defendida por el derecho.
Pero, como sabemos, el derecho ha estado ausente hasta hace pocos años de todo lo que tenía que ver con las tecnologías de la información y las comunicaciones y a ello han contribuido por un lado la escasa formación jurídica de los profesionales informáticos y, por otro, a los no siempre suficientes conocimientos técnicos de los especialistas en Derecho.
La dimensión entre el Derecho y la Informática en España ha sido un hecho patente hasta hace poco tiempo y esto, en cierto modo, ha sido perjudicial para el desarrollo de ésta.
En un período de tiempo relativamente corto han aparecido en nuestro país una serie de normas jurídicas relacionadas con las T.I.: Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de carácter personal (LORTAD), hoy derogada por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD); Texto Refundido de la Ley de Propiedad Intelectual, Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal; Ley 5/1998, de 6 de marzo, de Bases de Datos, así como los reglamentos que han desarrollado estas Leyes.
Vemos que la situación va cambiando y la implantación de las Tecnologías de la Información se ve arropada por una serie de normas jurídicas que protegen al ciudadano en este mundo tecnificado.
Existen, en general, dos aspectos a tener en cuenta en la calidad de la información: la calidad de la base de datos en su conjunto y la calidad de la presentación de los datos. En efecto, es muy importante que los datos de la base de datos reflejen correctamente el mundo real, esto es, que sean precisos; pero también que se puedan entender fácilmente. La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal contempla, por lo que se refiere a los datos de carácter personal, la calidad de éstos, en su Título II a los que nos referiremos posteriormente. Por lo que se refiere a la calidad de la base de datos en su conjunto, depende de tres "calidades": la del SGBD (Sistema de Gestión de Bases de Datos) utilizado, la del modelo de datos (tanto conceptual como lógico) y la de los propios datos, véase figura 1. En este trabajo nos centraremos en los tres últimos aspectos que son los susceptibles de ser mejorados por los responsables de la creación y diseño de las bases de datos en las organizaciones, profundizando en los aspectos relacionados con la dimensión jurídica. Previamente abordaremos, en general, las diferentes dimensiones que podemos diferenciar en la información.
Figura 1
2. Dimensiones de la calidad de la información
Como sabemos, el concepto de calidad es relativo, está en los ojos del observador, por lo que podemos considerar la calidad como un concepto multidimensional, sujeta a restricciones y ligada a compromisos aceptables (Piattini et al., 1997). Así, por ejemplo, Redman (1996) señala quince características deseables en una vista de datos "ideal":
Este mismo autor considera tres tipos de dimensiones de calidad: de vistas conceptuales, de representación de los datos y de valores de datos, proponiendo para esta última cuatro dimensiones: precisión, compleción, actualidad y consistencia.
English (1999), por su parte, destaca dos tipos de cuestiones relativas a la calidad de los propios datos:
Calidad inherente, es decir la precisión de los datos, el grado en que los datos reflejan exactamente los objetos del mundo real que representan, que abarcaría: conformidad con la definición, compleción de valores, validez o conformidad con las reglas del negocio, precisión respecto a la fuente, precisión respecto a la realidad, no duplicación, accesibilidad.
Calidad pragmática, el grado en que los datos permiten a los "trabajadores del conocimiento" satisfacer los objetivos de la empresa de forma eficaz y eficiente: oportunidad, claridad contextual, integridad de derivación, usabilidad, corrección o compleción de hechos.
En Wand y Wang (1996) se analizan, desde principios ontológicos, algunas de las causas de la mala calidad de los datos debida a deficiencias en el diseño, identificando cuatro dimensiones de calidad, véase tabla 1.
Dimensión Calidad de Datos | Naturaleza de la deficiencia | Fuente de la deficiencia |
Compleción | Representación impropia: Estados del SI ausentes |
Fallo en el diseño |
No ambigüedad | Representación impropia: Varios estados del MR mapeados al mismo estado SI |
Fallo en el diseño |
Significación | Estados SI sin sentido y confusión: mapeo a estado sin sentido | Fallo en el diseño y fallo en la operación |
Corrección | Confusión: mapeo a un estado incorrecto | Fallo en la operación |
Como podemos observar, en general, apenas se dedica atención a los temas de seguridad. Una excepción en este sentido pueden ser Strong et al. (1997) que destacan una categoría específica, dentro de las cuatro que estos autores identifican:
Dentro de la categoría de accesibilidad se deben tener en cuenta no sólo los aspectos técnicos como la disponibilidad o la seguridad física o lógica, sino también la seguridad organizativa y la seguridad jurídica como exponen del Peso y Ramos (1994 y 1998).
3. Aspectos de seguridad de la calidad de la base de datos
En este apartado comentaremos algunos aspectos relativos a esta dimensión, de seguridad en sentido amplio. Para los tres componentes de la calidad de bases de datos destacados en la figura 1.
La calidad del SGBD, así como la de cualquier producto software puede ser evaluada según el modelo propuesto por el estándar internacional ISO/IEC 9126 (ISO, 1991). Como se muestra en la figura 2
Figura 2.- Modelo de un producto software, según el estándar ISO 9126.
Como podemos ver en la figura, diferentes factores de la calidad del SGBD afectar a la calidad de la información. Así, por ejemplo, la eficiencia, y especialmente el tiempo de respuesta influirá en la calidad de la presentación. Por lo que respecta a la seguridad, la encontramos como un subfactor de la funcionalidad, y es quizás el más relacionado con la dimensión jurídica de la calidad de las bases de datos.
A este respecto, cabe recordar la existencia de los SGBD "seguros" o multinivel que permiten implementar un control obligatorio de acceso (conocido por las siglas inglesas MAC, Mandatory Access Control) frente al habitual control discrecional (DAC, Discretionary Access Control), Piattini (1995). Ya existen desde hace algunos años varios productos (como Secure Sybase, Trusted ORACLE o Trusted Informix), que facilitan la clasificación de los datos en distintos niveles de seguridad (secreto, confidencial, no clasificado, etc.) y que garantizan una mayor seguridad de los mismos. Otro medio útil para asegurar esta confidencialidad lo constituyen las posibilidades de cifrado que ofrece el SGBD.
Por otro lado, no hay que olvidarse de los mecanismos de recuperación que poseen los SGBD para asegurar la disponibilidad de los datos, ante caídas del sistema, fallos del disco, etc. como son el fichero diario (log), las copias de seguridad, la duplicación de bases de datos, etc.
Algunos de estos mecanismos ofrecen interesantes variaciones en los nuevos SGBD orientados a objetos. Recomendamos al lector interesado acudir a obras como Barry (1996) en las que se ofrece un estudio comparativo detallado de las diferentes características de este tipo de sistemas.
3.2. Calidad del modelo de datos
Este uno de los aspectos más descuidados dentro de la calidad del software en la actualidad, ya que casi todos los esfuerzos realizados en el campo de la Ingeniería del Software se han centrado tradicionalmente en asegurar la calidad de los programas y aplicaciones, pero no de la base de datos.
La calidad del modelo de datos se ha resuelto tradicionalmente en base a "listas" de características deseables, normalmente contradictorias e insuficientes, que debía seguir el diseñador. Muy recientemente se han propuesto algunos interesantes marcos de referencia para el aseguramiento de la calidad de los modelos de datos, cuyo análisis puede encontrarse en Piattini et al. (1999).
Por lo que respecta al modelado de los requisitos de seguridad, los más interesantes desde el punto de vista jurídico; cabe destacar las propuestas pioneras realizadas por Smith (1990) y (1991) acerca de la extensión del modelo E/R (entidad/interrelación) de Chen, que contemplaba además de restricciones semánticas, otras restricciones de seguridad. O las más recientes de Marks et al. (1996) en la que se propone extender el lenguaje UML (Unified Modelling Language), que ha sido aprobado el año pasado como estándar para el modelado orientado a objetos y que empieza a estar cada día más difundido.
En Castano et al. (1995) se propone una metodología de diseño para bases de datos que, siguiendo las fases tradicionales de diseño conceptual, diseño lógico y diseño físico, permite crear los correspondientes modelos de seguridad. En la figura 3 se resume la metodología propuesta por estos autores.
Figura 3.- Diseño de seguridad en bases de datos, Castano et al. (1995)
Desafortunadamente existen pocas propuestas que contemplen la calidad de los datos como factor fundamental en el proceso de diseño. Los trabajos de Wang et al. (1993) y (1995) constituyen una excepción en este sentido. Estos autores proponen una metodología que complementa a las tradicionales metodologías de diseño de bases de datos. En la primera etapa, además de crear el esquema conceptual, por ejemplo, utilizando el modelo entidad/interrelación, se deberían identificar los requisitos de calidad y los atributos candidatos; determinando, a continuación, la "vista de parámetros de calidad" así, a cada elemento del esquema conceptual se le puede asociar un parámetro de calidad. Por ejemplo, en una base de datos académica, que almacene información sobre los alumnos matriculados en los cursos se podría asociar la precisión, la oportunidad y el coste a diferentes elementos de datos. Posteriormente, en una segunda etapa, véase figura 4, se objetivan los parámetros subjetivos añadiendo etiquetas a los atributos del esquema conceptual (el método de recogida, para conocer la precisión de los datos, y la edad de la información, para estimar la oportunidad, etc.). Por último, se integran las diferentes vistas de datos.
Figura 4. Indicadores de calidad para datos
Estos parámetros se podrían objetivar almacenando los valores de los siguientes atributos:
Si estudiamos la calidad de los datos desde el punto de vista jurídico vemos que no existe el grado de subjetividad que hemos contemplado en las líneas que preceden.
En los párrafos que vienen a continuación vamos a ceñirnos simplemente a los datos de carácter personal dada su importancia.
La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en su Considerando 25, estima que los principios de la protección tienen su expresión por una parte en las distintas obligaciones que incumben a las organizaciones que efectúan tratamiento entre las que se encuentra la calidad de los datos.
Posteriormente este Considerando se desarrolla respecto a la calidad de los datos en el artículo 6 dedicado a los Principios relativos a la calidad de los datos, correspondiendo a los responsables del tratamiento garantizar la calidad.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, de igual forma que su antecesora la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de carácter personal (LORTAD), dedica el artículo 4 del Título II, Principios de la protección de datos, a la calidad de los datos.
El punto 1 del artículo 4 señala que los datos deben ser adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
No se puede tratar cualquier dato de carácter personal sino que tienen que ser aquellos que reúnan las características señaladas.
El punto 2 de dicho artículo restringe el uso de dichos datos: no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos, no considerándose incompatible con el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
La nueva Ley ha dado aquí un gran giro pues en la LORTAD no se podían utilizar los datos si las finalidades eran distintas. El cambio de finalidades distintas por incompatibles indudablemente abre una gran vía de actuación en la práctica.
Los datos de carácter personal además, según el artículo 4.3 deberán ser exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
En el caso de que los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16 referido al derecho de rectificación y cancelación.
El punto 5 del citado artículo 4 se refiere a la cancelación de los datos cuando estos hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
Se fija una restricción de carácter temporal no permitiendo que los datos sean conservados en forma que permita la identificación del interesado durante un período de tiempo superior al que resulte necesario para los fines en base a los cuales hubieren sido recabados o registrados.
Se exceptúan aquellos datos que atendiendo a los valores históricos, estadísticos o científicos de acuerdo con su específica legislación se decida su mantenimiento íntegro.
Se establece una categoría de datos denominados especialmente protegidos referidos a ideología, religión o creencias, afiliación sindical, origen racial, salud, vida sexual, comisión de infracciones penales o administrativas que para su uso cuentan con una serie de medidas restrictivas.
4. Aseguramiento de la calidad de la información
Las organizaciones que persigan asegurar la calidad de la información, tendrán que abordar multitud de aspectos, entre los que destacamos tres: una política de calidad que establezca las obligaciones de miembro de la organización con el fin de asegurar la calidad de los datos en todas sus dimensiones; un proceso que evalúe la calidad de la información de que dispone; y una auditoría periódica del cumplimiento de la política y del proceso de evaluación.
Respecto al primer aspecto, Redman (1996) propone una política que se puede resumir en cinco apartados:
En cuanto al proceso de evaluación de la calidad, existen varias propuestas, entre las que destacamos la más reciente de English (1999), quien propone, dentro de su metodología TQdM (Total Quality data Management), los ocho pasos siguientes:
Un aspecto crítico para poder llevar a cabo este proceso de evaluación es la definición de unas métricas que sean significativas, y que permitan realmente analizar y mejorar la calidad. En Huang et al. (1999) se proponen tres tipos de métricas: subjetivas (basadas en el juicio de los usuarios de los datos), objetivas independientes de la aplicación (como la corrección) y objetivas dependientes de la aplicación (específicas para un dominio determinado). Además, se debería medir el valor de la información, tanto el producido por sistemas operacionales como los de ayuda a la toma de decisiones. La forma de medir el valor de la información en estos dos tipos de sistemas varía considerablemente. En Dué (1996) se presentan tres enfoques a la hora de medir la información para sistema de ayuda a la toma de decisiones: valor normativo, realista y subjetivo de la información.
La auditoría a realizar para comprobar la calidad de la información deberá contemplar tanto los aspectos técnicos (sobre todos los relativos al sistema de bases de datos y las aplicaciones que explotan los mismos) como los aspectos jurídicos.
La Auditoría jurídicas de los Sistemas de Información ya es un hecho. Si en su momento apareció como la colaboración de los juristas a los auditores de sistemas de información para solucionar los problemas jurídicos que a éstos se les escapaban, en el momento actual la auditoría jurídica de los Sistemas de Información se plantea como el examen de la adecuación de éstos a las normas jurídicas vigentes.
En Piattini y Del Peso (1998) se exploran en profundidad todos estos aspectos.
Por último, merece la pena recordar en este apartado las cuatro cuestiones relativas a la calidad de la información que deberían formularse los directivos de TI (Miller, 1996):
Si realmente consideramos que la información constituye el activo más importante de las organizaciones, una de las primeras funciones de los profesionales de las TI debería ser asegurar la calidad de la misma. Podemos afirmar que al igual que en estos últimos años la calidad de los productos y servicios ha sido un factor esencial para el éxito de las empresas, en la próxima década lo será la calidad de la información.
Dentro de las diferentes dimensiones que se pueden distinguir en la calidad de la información, en este artículo nos hemos centrado en la dimensión jurídica, que creemos que merece una mayor atención por parte de los profesionales informáticos que entendemos que lentamente van acercándose al mundo del derecho de igual forma que los juristas cada vez ven menos lejanos conceptos como seguridad de la información o auditoría de los Sistemas de Información estando cercano el día, esperamos en que los profesionales informáticos y los profesionales del derecho puedan conversar pacíficamente sobre temas que ambos consideren comunes como solemos hacer los autores de esta ponencia.
Barry. ODBMS
Castano, et al. (1995). Database Security. Wokingham. Addison Wesley.
Celko, J. (1995). Don`t Warehouse Dirty Data. Datamation, 15 octubre, 42-52.
Del Peso, E. (2000) Ley de Protección de Datos: la nueva LORTAD. Madrid. Díaz de Santos.
Del Peso, E. y Ramos, M.A. (1999). LORTAD: Reglamento de medidas de seguridad. Madrid. Díaz de Santos.
Dué, R. T. (1996). The value of information. Information Systems Management, otoño, 68-72.
English, L. (1999). Improving Data Warehouse and Business Information Quality. John Wiley & Sons, Inc.
Huang, K-T., Lee, Y.W. y Wang, R.Y. (1999) Quality Information and Knowledge. Prentice Hall, Upper Saddle River.
ISO (1991). Software product evaluation
Marks et al. (1996)
Miller, H. (1996). The multiple dimensions of information quality. Information Systems Management, primavera, 79-82.
Orr, K. (1998). Data Quality and System Theory. Communications of the ACM, 41 (2), 66-71.
Piattini, M. (1995). Bases de datos multinivel
Piattini, M., Calvo-Manzano, J.A., Cervera, J. y Fernández, L. (1997). Análisis y diseño detallado de aplicaciones informáticas de gestión. Madrid, Ra-Ma.
Piattini, M. y Del Peso, E. (1998). Auditoría informática: Un enfoque práctico. Madrid, Ra-Ma.
Piattini, M. y Del Peso, E. (1999). Retos tecno-jurídicos de los almacenes de datos (datawarehouses) y su explotación (datamining). ABZ Méjico.
Piattini, M., Genero, M y Calero, C. (1999). Calidad de esquemas conceptuales. Novática, julio/agosto 1999.
Redman, T. C. (1996). Data Quality for the Information Age. Artech House, Boston.
Smith, J. (1990)
Smith (1991)
Sneed, H.M. y Foshag, O. (1998): Measuring Legacy Database Structures. Proc. of The European Software Measurement Conference FESMA98, Coombes, Hooft and Peeters (eds.), 199-210.
Strong, D.M., Lee, Y.W. y Wang, R.Y. (1997). Data Quality in Context. Communications of the ACM 40 (5), 103-110.
Wand, Y. y Wang, R.Y. (1996). Anchoring Data Quality Dimensions in Ontological Foundations. Communications of the ACM, 39 (11), 86-95.
Wang, R. Y., Kon, H. B. y Madnick, S. E. (1993). Data Quality Requirements Analysis and Modeling. Proc. of the 9th International Conference on Data Engineering, Viena, IEEE Computer Society, 670-677.
Wang, R.Y., Reddy, M.P. y Kon, H.B. (1995). Toward quality data: An attribute-based approach. Decision Support Systems, 13, 349-372.
© 2009 IEE Informáticos Europeos Expertos.