El dilema ético y legal de los algoritmos explicado a través del coche conectado

Escribo este post después de leer un artículo que condensa las conversaciones que todos los abogados que nos dedicamos al mundo de las nuevas tecnologías comentamos cada vez que sale la ocasión: los coches conectados y la responsabilidad en el caso de accidentes. 

La responsabilidad civil es un campo del derecho apasionante. En realidad todo se reduce a establecer lo que llamamos un “nexo causal” e tal manera que sepamos quién fue el responsable (y en qué medida) de que se produjera el daño. El caso es que esto que puede parecer muy sencillo no siempre es fácil. Imaginemos un accidente de coche en el que hemos alquilado un coche con el que hemos tenido un accidente: nos hemos chocado contra otro coche. ¿Quién es el responsable? La pregunta es importante porque el responsable es el que paga. ¿Es responsable el conductor? ¿El conductor de delante por frenar bruscamente? ¿O la casa de alquiler de coches porque nos ha dado un coche con las ruedas en mal estado que no ha frenado bien porque estaba lloviendo? No es tan sencillo definir qué es lo que realmente ha causado el accidente y/o en qué medida ha influido. 

Pensemos ahora en los coches conectados sin conductor. El conductor va dentro y ha pagado el coche pero ¿de quién es la culpa si hay un accidente? No hay nada para que se hable de un tema como que haya pasta de por medio y aquí las aseguradoras se juegan mucha pasta. 

Lo que viene a plantear el artículo es que un coche programado para conducirse sólo tendrá que tomar decisiones. ¿Quién se hace responsable de esas decisiones? El título de artículo al que me refiero ejemplifica claramente de qué estamos hablando “¿Debería tu coche autónomo matarte si así salva la vida de más personas?”

Vamos a poner las cartas sobre la mesa: esto se trata de los algoritmos definirás las decisiones (y las consecuencias) ante eventos que antes eran aleatorios o que se decidían de manera instintiva. Vamos que es muy probable que en el futuro tengamos que cambiar la expresión “he tenido un accidente” por “el algoritmo de conflictos de mi coche se activó”. 

¿Quién decide cómo configurar el algoritmo de toma de decisiones? ¿El legislador? ¿El fabricante del coche? ¿El conductor? Y esa configuración ¿qué límites tiene? ¿Quién define qué margen de configuración tiene un conductor? Debemos reconocer que existen infinidad de variables. No las voy a enunciar porque están en el artículo pero si debemos tener claro que tenemos ante nosotros infinidad de retos:

• Los Gobiernos: es muy posible que algunas leyes requieran adaptarse a un mundo basado en datos pero hay muchos principios básicos que ya existen, lo que es necesario es dotar a los organismos de control con personal y medios para auditar algoritmos.
• Las empresas: los programas de desarrollo de nuevos productos deben valorar el impacto en compliance de los algoritmos que se desarrollan y, por tanto, establecer los controles internos adecuados
• Los ciudadanos: no sólo está en su mano configurar un dispositivo si no elegir si comprarlo/usarlo o no y, sobretodo, ser exigente con las empresas que los ponen en el mercado. 

La realidad es que en el futuro no quedará más remedio que trabajar en grupos multidisciplinares en los que, además, todos sepamos un poquito de algoritmos. De hecho, y ya termino, tengo una cosa clarísima: el futuro es de quién controle los algoritmos. Los programas de educación deben fortalecer la enseñanza de las matemáticas y la filosofía si queremos que el futuro esté en manos de personas realmente preparadas para ello.

Cookies, User-ID e Identity Vault: el futuro está por decidir

Las cookies nacieron para identificar las sesiones de los usuarios en las webs en un contexto en el que cada usuario accedía con suerte a un dispositivo (un PC para toda la familia). Sin embargo el contexto actual es muy diferente: cada usuario maneja fácilmente de 3 a 4 dispositivos con lo que las cookies no permiten identificar al usuario como único. Para esto nace el User-ID. Si no sabéis qué es Miguel Ángel Acera lo explica muy bien en su blog. 

Este post no va de qué es el User-ID si no de algunos aspectos prácticos que resultan esenciales para que la cosa funcione. Las ventajas del User-ID son innegables: el sitio web puede componer un perfil mucho más realista y completo sobre el usuario y, en consecuencia, ofrecer soluciones e interacciones mucho más ajustadas a lo que el usuario busca. Sin embargo para que esto sea posible hay que conseguir no sólo que el usuario se registre en la web si no que navegue registrado. Hay que reconocer que la solución no es tan sencilla. 

La realidad es que en un entorno como el actual en el que hemos pasado de muchos usuarios manejando un solo dispositivo a un extremo totalmente opuesto en el que un solo usuario maneja varios dispositivos las cookies no ofrecen una imagen real de los usuarios que tiene una web. Sin embargo a falta de otra solución mejor el reto al que nos enfrenta las soluciones User-ID es, ¿cómo convencer al usuario de que navegue registrado? Cada vez que he estado presente en una discusión de este tipo al final siempre sale a reducir el recurso fácil: ofrecer al usuario un descuento por navegar registrado. De hecho Meliá por ejemplo hace esto: ofrece mejores precios a los miembros de su “Club” (para acceder al Club únicamente hay que estar registrado). Es una solución, sí, pero ¿es una buena solución?

Por un lado los usuarios necesitan disponer de una manera más sencilla para registrarse. Incluir la opción de registrarse con las credenciales de Google o Facebook es una opción pero quizás sea el momento de comenzar a pensar en otras vías que pongan el control en manos del usuario de una manera más transparente. En este sentido echo de menos iniciativas europeas de identity vault que por un lado hagan más fácil para los usuarios controlar dónde está registrado, quién tiene sus datos y para qué y que, por otro lado, permita a los sitios web no depender de terceros con un interés comercial propio sobre esos datos. 

En la iniciativa del #DigitalSingleMarket para Europa no se sientan bases para trabajar en este sentido y, sin embargo, creo que es completamente necesario establecer unas bases para que este tipo de servicios puedan florecer en Europa porque sencillamente, haría el mundo más fácil para todos:

• Las empresas podrían contar con un modo de registro fácil para los usuarios que no dependiera de compañías como Google o Facebook que, además, recogen datos para sí mismas y que en cualquier momento pueden competir en el mismo mercado.
• Los usuarios tendría un mayor y mejor control sobre sus datos, con quién los han compartido y para qué. Y además tendrían, de una vez por todas, una manera sencilla de registrarse. 
• Los Gobiernos podrían, en caso de necesitar una investigación forense sobre cualquier aspecto –criminal, de competencia o lo que sea-, podrían contar con un único “depósito” de información que a su vez estaría sujeto a las garantías de privacidad europeas. 

Y sin embargo hablamos de un #DigitalSingleMarket sin tocar este tema. Desastre provocado por la falta de conocimiento de la realidad del negocio digital.

Trackeo de empleados en la red corporativa: una necesidad para la seguridad

A estas alturas de la película nadie pone en duda la necesidad de respetar la privacidad de los empleados de una empresa. ¡Faltaría más! Sin embargo tampoco tiene sentido ignorar que  cada vez son más frecuentes los ataques “user-based” en los que un hacker roba credenciales de acceso de un empleado, de proveedores con bajos niveles de seguridad o incluso teniendo un cómplice que ya está dentro. ¿Para qué romper las barreras de seguridad si puedes encontrar una puerta mal cerrada por la que colarte?

El acceso utilizando las credenciales de un empleado sucede de dos maneras: o las credenciales se roban o tenemos un empleado extremadamente descontento. Lo cierto es que los fallos de seguridad en los que existen fugas de datos se producen en un 82% de los casos  por el error de un empleado (intencionado o no). Este dato es escalofriante y nos obliga a enfrentarnos al hecho de que la monitorización de la seguridad basada en credenciales de paso permite rastrear los accesos y garantizar que quién accedió tenía permiso para hacerlo sin embargo los hackers que obtienen credenciales de empleados de bajo rango son capaces de encontrar vías de paso una vez dentro del sistema. Por tanto si confiamos la monitorización de nuestra seguridad únicamente a los viejos sistemas estaremos ignorando la realidad.

La pregunta que debemos hacernos es cómo adaptar la monitorización de la seguridad a esta nueva realidad. La respuesta, en realidad, es extremadamente sencilla: analítica de perfiles. Comparar la actividad de un usuario contra su perfil, la descripción de su puesto de trabajo, patrones de uso y cualquier otra información de inteligencia automatizada a nuestro alcance permitirá detectar uso fraudulento de credenciales de paso.  Esto no supone más que añadirle una nueva capa de usos a los datos que ya existen. Será necesario establecer nuevos KPI, analizar datos, establecer indicadores, crear perfiles detallados de uso y, cómo no, comunicarlo adecuadamente a los empleados.

Añadir una capa de inteligencia analítica a los datos de acceso de nuestros empleados no sólo es una exigencia de seguridad en el entorno actual si no la mejor manera de poder auditarnos, asegurar las actividades de compliance, proteger a los empleados y a la empresa de reclamaciones por actividades que realmente ha llevado a cabo un hacker  y llevar a cabo un política proactiva de respuesta ante incidentes de seguridad.

Lo que tampoco se nos puede escapar es que el punto más crítico de todo esto es llevar a cabo una comunicación efectiva que logre explicar a los empleados que se llevará a cabo una monitorización exhaustiva del uso que hagan de los recursos de la empresa (la cosa puede complicarse si además estamos en una empresa con políticas Bring Your Own Device –BYOD- o Corporated Owned Personally Enabled –COPE-).  El consejo es el mismo de siempre: transparencia y honestidad. 

Debemos tener no sólo una política interna que explique absolutamente todo esto si no que la misma debe explicarse y ponerse de manifiesto durante el proceso de selección, debe ser firmada y aceptada por nuestros empleados a los que se les debe dar formación que les permita detectar situaciones potenciales de riesgo. Y por supuesto esos datos únicamente se podrán emplear para realizar análisis de seguridad. En definitiva, siempre debe existir un equilibrio pero las nuevas situaciones requieren un nuevo enfoque. Hoy una seguridad corporativa realmente efectiva debe incluir la analítica como una herramienta más.

Y tú, ¿cocinas o imprimes?

Lo confieso: la primera vez que oí hablar de impresión 3D no lo vi nada claro. Aunque tardé muy poco (una cerveza aproximadamente) en pensar sobre qué traía consigo la impresión 3D y me vine arriba pero de eso hablaremos otro día. El caso es que la impresión 3D se sumó rápidamente a mi lista de intereses y en poco tiempo la impresión de comida pasó a interesarme muchísimo. Vaya por delante que se me ocurren algunas (bueno en realidad se me ocurren muchísimas) cuestiones legales sobre este tipo de innovaciones pero este post no va de eso. Prometido.

Lo cierto es que si a uno le preguntan si se comería una pizza impresa la primera reacción es decir que no. Claro que, bien mirado, ¿por qué no? He llegado a la conclusión de que la culpa es de esa cosa llamada neurolingüística: no asociamos “impresión” con “comida” y cuando tratamos de relacionar ambos conceptos chirrían porque “impresión” suena a artificial. El caso es que por otro lado tampoco puede ser mucho peor que calentar la leche con microondas, ¿no?

En el último TEDxMadrid escuché una charla sobre esto de la comida impresa que avivó mi interés por el asunto y he estado leyendo sobre ello desde entonces. Ahí os la dejo por si a alguien le interesa verla:

A lo que iba: se abren numerosos interrogantes sobre cómo todo esto va a cambiar nuestra vida en los próximos años pero lo cierto es que va a hacerlo. No creo que vayamos a imprimir toda la comida porque tampoco tiene sentido para todos (yo por ejemplo carezco de microondas, he llegado a la conclusión de que no me aporta nada) pero sí es verdad que tiene muy interesantes aplicaciones. Ahí van algunos ejemplos:

• Apasionados de la cocina que quieran incorporar detalles a sus platos que, por sus propios medios, serían muy complicados si no existiera la posibilidad de imprimir comida
• Hay muchas personas que no saben cocinar y para ellos la impresión de comida ofrece la oportunidad más sana de comer que la comida precocinada
• Personas con alergias alimentarias que quieran incorporar sus propios ingredientes a determinados platos
• La posibilidad de usar cápsulas de comida puede facilitar el consumo de determinados alimentos (estoy pensando en los frescos) sin el engorro de que se caduquen. Aunque ya no serían tan frescos pero es una opción.
• Igualmente las cápsulas de comida son una opción de llevar alimento allí donde es complicado (misiones espaciales o misiones en la Antártida por ejemplo)

La realidad es que a día de hoy podemos encontrar en el mercado los primeros modelos. De momento los hay de varios tipos (desde los que funcionan con cápsulas de comida deshidratada hasta los que funcionan poniéndoles tú mismo la comida en los cargadores). Los precios empiezan en los 1000€ (vamos, lo que viene costando a día de hoy una Thermomix). Hay una muy interesante (Foodini – el nombre el total, ¿no me digáis que no?) creada por españoles que, lamentablemente, no han encontrado en España ni el apoyo ni el entorno adecuados para desarrollar aquí el proyecto y lo están haciendo en Estados unidos.

¿Qué quiero decir con todo esto? El mundo está cambiando porque los que estamos en él estamos cambiando. La manera en la que vivimos, en qué gastamos el tiempo, cómo nos comunicamos, cómo aprendemos, cómo compartimos lo que sabemos, cómo nos informamos… todo, cualquier cosa… todo está en un proceso de renovación, la manera en que preparamos al comida también. En este proceso de cambio necesitamos con urgencia que el entorno normativo que haga posible que el talento desarrolle la innovación en España y en Europa para que la innovación genere riqueza y crecimiento aquí. No sé si el entorno normativo cambiará, en cualquier caso de lo que estoy segura es de que no tardaremos mucho en plantearnos si vamos a cocinar o a imprimir nuestra comida desde una app mientras vamos para casa. Al tiempo.

¿Cómo nos repartimos los seguidores en redes sociales?

Cuando estudiábamos nociones básicas de biología en la escuela nos enseñaban aquello de que los seres vivos nacen, crecen, se reproducen y mueren. Esto mismo trasladado al mundo de la empresa es de alguna manera así: las empresas se fundan, generan negocio, en ocasiones se expanden y también en muchas ocasiones “mueren” o “mutan” bien porque cierran, se fusionan creando una entidad nueva, hacen una escisión de rama de negocio, se venden, se liquidan, cambian radicalmente de actividad o cualquier otra situación parecida. En todas esas situaciones hay una constante que se repite y que, cada vez más, resulta importantísima: ¿qué hacemos con los datos?

Se ha dicho ya hasta la saciedad pero lo diremos una vez más: los datos son un activo económico que cada vez tiene más valor para las empresas. Como activo económico además los datos son extraordinariamente curiosos:

• Pueden ser propiedad de varias empresas
• Se pueden explotar sin que se desgasten
• Se pueden copiar sin que la calidad de los datos sufran merma alguna

Los usuarios generan cada vez más datos y las empresas/organizaciones cada vez más conscientes de la importancia de esos datos para sus negocios los guardan. No pensemos sólo en las bases de datos tradicionales: ¿qué pasa con los perfiles en redes sociales?

 

Desde la aparición en escena de las redes sociales la comunicación y el marketing con los usuarios han cambiado de manera radical. Una red social bien gestionada que varios miles de seguidores reales y activos constituye un activo económico importantísimo en los tiempos que corren porque a ver, ¿cuánto vale un perfil en twitter con 12.000 seguidores activos y con un perfil de intereses concreto? No nos engañemos: mucho.

El caso es que las organizaciones tienden a no prestar la atención debida a la creación y gestión de los perfiles en redes sociales. El problema se genera cuando la empresa “muere” o “muta” porque mientras que una base de datos la puedes duplicar un perfil en redes sociales no. Cuando una empresa está por ejemplo en liquidación o se vende se da por supuesto en los procesos de due diligence que los perfiles en redes sociales son de la empresa y en más de una ocasión descubres que la cosa es mucho más complicada. Un ejemplo: 

• El perfil usa el nombre de una marca registrada a nombre de uno de los socios y no de la empresa

• No se ha firmado ningún contrato de licencia de la marca que habilite a la empresa para el uso de la marca que es propiedad del socio (aunque la marca se haya venido usando hasta ahora el problema cuando suceden estas cosas es que al no haber contrato se crea un escenario de inseguridad jurídica ¿hasta cuándo podemos seguir usando la marca?)

• Aunque el coste (nómina o factura) del Community Manager lo haya estado pagando la empresa si el perfil es coincidente con la marca ¿quién tiene derecho a reclamarlo?  

• La pregunta del millón: ¿a nombre de quién está registrado el fichero de los datos generados en las redes sociales ante la Agencia Española de Protección de Datos?

Todas esas inseguridades jurídicas son perfectamente evitables haciendo las cosas bien desde el principio y eso pasa por:

-      

• Acordar unas condiciones concretas (y por escrito) sobre los derechos y la gestión de los perfiles en redes sociales en cualquier caso y más cuando la marca que usamos no pertenece legalmente a la empresa

• Establecer unas políticas claras sobre la gestión con los Community Managers (al final son los únicos que tienen las contraseñas de acceso, entre otras cosas, y eso genera más de un quebradero de cabeza especialmente en los casos de despidos o conflictos laborales), por ejemplo:

• Qué mail se usa para el registro en las redes sociales (siempre uno corporativo)
• A nombre de quién se registra el perfil
• Qué contraseña se establece (y cuándo se cambian esas contraseñas)
• Qué descripción se pone en el perfil de la red social

Las oportunidades que nos ofrece el entorno digital son inmensas pero no están exentas de riesgos. Lo positivo es que los riesgos son controlables y más ahora que tenemos la experiencia de algunos años de gestión. Eso sí, lo que no podemos obviar es que el control de esos riesgos exige que los prevengamos y eso implica planificar el uso y la gestión de los medios y recursos que empleamos. Es una inversión que ayudará a ordenar la gestión de esos medios y que evitará quebraderos de cabeza que pueden salir muy caros (conozco casos que están terminando en juzgados para reclamar cuentas en redes sociales). 

Nunca está de más darle una vuelta a estos detalles para asegurar que los riesgos están identificados y convenientemente gestionados. Si no debemos ser conscientes de que vivimos en modo kamikaze y antes o después sufriremos las consecuencias.