El dilema ético y legal de los algoritmos explicado a través del coche conectado

Escribo este post después de leer un artículo que condensa las conversaciones que todos los abogados que nos dedicamos al mundo de las nuevas tecnologías comentamos cada vez que sale la ocasión: los coches conectados y la responsabilidad en el caso de accidentes. 

La responsabilidad civil es un campo del derecho apasionante. En realidad todo se reduce a establecer lo que llamamos un “nexo causal” e tal manera que sepamos quién fue el responsable (y en qué medida) de que se produjera el daño. El caso es que esto que puede parecer muy sencillo no siempre es fácil. Imaginemos un accidente de coche en el que hemos alquilado un coche con el que hemos tenido un accidente: nos hemos chocado contra otro coche. ¿Quién es el responsable? La pregunta es importante porque el responsable es el que paga. ¿Es responsable el conductor? ¿El conductor de delante por frenar bruscamente? ¿O la casa de alquiler de coches porque nos ha dado un coche con las ruedas en mal estado que no ha frenado bien porque estaba lloviendo? No es tan sencillo definir qué es lo que realmente ha causado el accidente y/o en qué medida ha influido. 

Pensemos ahora en los coches conectados sin conductor. El conductor va dentro y ha pagado el coche pero ¿de quién es la culpa si hay un accidente? No hay nada para que se hable de un tema como que haya pasta de por medio y aquí las aseguradoras se juegan mucha pasta. 

Lo que viene a plantear el artículo es que un coche programado para conducirse sólo tendrá que tomar decisiones. ¿Quién se hace responsable de esas decisiones? El título de artículo al que me refiero ejemplifica claramente de qué estamos hablando “¿Debería tu coche autónomo matarte si así salva la vida de más personas?”

Vamos a poner las cartas sobre la mesa: esto se trata de los algoritmos definirás las decisiones (y las consecuencias) ante eventos que antes eran aleatorios o que se decidían de manera instintiva. Vamos que es muy probable que en el futuro tengamos que cambiar la expresión “he tenido un accidente” por “el algoritmo de conflictos de mi coche se activó”. 

¿Quién decide cómo configurar el algoritmo de toma de decisiones? ¿El legislador? ¿El fabricante del coche? ¿El conductor? Y esa configuración ¿qué límites tiene? ¿Quién define qué margen de configuración tiene un conductor? Debemos reconocer que existen infinidad de variables. No las voy a enunciar porque están en el artículo pero si debemos tener claro que tenemos ante nosotros infinidad de retos:

• Los Gobiernos: es muy posible que algunas leyes requieran adaptarse a un mundo basado en datos pero hay muchos principios básicos que ya existen, lo que es necesario es dotar a los organismos de control con personal y medios para auditar algoritmos.
• Las empresas: los programas de desarrollo de nuevos productos deben valorar el impacto en compliance de los algoritmos que se desarrollan y, por tanto, establecer los controles internos adecuados
• Los ciudadanos: no sólo está en su mano configurar un dispositivo si no elegir si comprarlo/usarlo o no y, sobretodo, ser exigente con las empresas que los ponen en el mercado. 

La realidad es que en el futuro no quedará más remedio que trabajar en grupos multidisciplinares en los que, además, todos sepamos un poquito de algoritmos. De hecho, y ya termino, tengo una cosa clarísima: el futuro es de quién controle los algoritmos. Los programas de educación deben fortalecer la enseñanza de las matemáticas y la filosofía si queremos que el futuro esté en manos de personas realmente preparadas para ello.

Cookies, User-ID e Identity Vault: el futuro está por decidir

Las cookies nacieron para identificar las sesiones de los usuarios en las webs en un contexto en el que cada usuario accedía con suerte a un dispositivo (un PC para toda la familia). Sin embargo el contexto actual es muy diferente: cada usuario maneja fácilmente de 3 a 4 dispositivos con lo que las cookies no permiten identificar al usuario como único. Para esto nace el User-ID. Si no sabéis qué es Miguel Ángel Acera lo explica muy bien en su blog. 

Este post no va de qué es el User-ID si no de algunos aspectos prácticos que resultan esenciales para que la cosa funcione. Las ventajas del User-ID son innegables: el sitio web puede componer un perfil mucho más realista y completo sobre el usuario y, en consecuencia, ofrecer soluciones e interacciones mucho más ajustadas a lo que el usuario busca. Sin embargo para que esto sea posible hay que conseguir no sólo que el usuario se registre en la web si no que navegue registrado. Hay que reconocer que la solución no es tan sencilla. 

La realidad es que en un entorno como el actual en el que hemos pasado de muchos usuarios manejando un solo dispositivo a un extremo totalmente opuesto en el que un solo usuario maneja varios dispositivos las cookies no ofrecen una imagen real de los usuarios que tiene una web. Sin embargo a falta de otra solución mejor el reto al que nos enfrenta las soluciones User-ID es, ¿cómo convencer al usuario de que navegue registrado? Cada vez que he estado presente en una discusión de este tipo al final siempre sale a reducir el recurso fácil: ofrecer al usuario un descuento por navegar registrado. De hecho Meliá por ejemplo hace esto: ofrece mejores precios a los miembros de su “Club” (para acceder al Club únicamente hay que estar registrado). Es una solución, sí, pero ¿es una buena solución?

Por un lado los usuarios necesitan disponer de una manera más sencilla para registrarse. Incluir la opción de registrarse con las credenciales de Google o Facebook es una opción pero quizás sea el momento de comenzar a pensar en otras vías que pongan el control en manos del usuario de una manera más transparente. En este sentido echo de menos iniciativas europeas de identity vault que por un lado hagan más fácil para los usuarios controlar dónde está registrado, quién tiene sus datos y para qué y que, por otro lado, permita a los sitios web no depender de terceros con un interés comercial propio sobre esos datos. 

En la iniciativa del #DigitalSingleMarket para Europa no se sientan bases para trabajar en este sentido y, sin embargo, creo que es completamente necesario establecer unas bases para que este tipo de servicios puedan florecer en Europa porque sencillamente, haría el mundo más fácil para todos:

• Las empresas podrían contar con un modo de registro fácil para los usuarios que no dependiera de compañías como Google o Facebook que, además, recogen datos para sí mismas y que en cualquier momento pueden competir en el mismo mercado.
• Los usuarios tendría un mayor y mejor control sobre sus datos, con quién los han compartido y para qué. Y además tendrían, de una vez por todas, una manera sencilla de registrarse. 
• Los Gobiernos podrían, en caso de necesitar una investigación forense sobre cualquier aspecto –criminal, de competencia o lo que sea-, podrían contar con un único “depósito” de información que a su vez estaría sujeto a las garantías de privacidad europeas. 

Y sin embargo hablamos de un #DigitalSingleMarket sin tocar este tema. Desastre provocado por la falta de conocimiento de la realidad del negocio digital.

Trackeo de empleados en la red corporativa: una necesidad para la seguridad

A estas alturas de la película nadie pone en duda la necesidad de respetar la privacidad de los empleados de una empresa. ¡Faltaría más! Sin embargo tampoco tiene sentido ignorar que  cada vez son más frecuentes los ataques “user-based” en los que un hacker roba credenciales de acceso de un empleado, de proveedores con bajos niveles de seguridad o incluso teniendo un cómplice que ya está dentro. ¿Para qué romper las barreras de seguridad si puedes encontrar una puerta mal cerrada por la que colarte?

El acceso utilizando las credenciales de un empleado sucede de dos maneras: o las credenciales se roban o tenemos un empleado extremadamente descontento. Lo cierto es que los fallos de seguridad en los que existen fugas de datos se producen en un 82% de los casos  por el error de un empleado (intencionado o no). Este dato es escalofriante y nos obliga a enfrentarnos al hecho de que la monitorización de la seguridad basada en credenciales de paso permite rastrear los accesos y garantizar que quién accedió tenía permiso para hacerlo sin embargo los hackers que obtienen credenciales de empleados de bajo rango son capaces de encontrar vías de paso una vez dentro del sistema. Por tanto si confiamos la monitorización de nuestra seguridad únicamente a los viejos sistemas estaremos ignorando la realidad.

La pregunta que debemos hacernos es cómo adaptar la monitorización de la seguridad a esta nueva realidad. La respuesta, en realidad, es extremadamente sencilla: analítica de perfiles. Comparar la actividad de un usuario contra su perfil, la descripción de su puesto de trabajo, patrones de uso y cualquier otra información de inteligencia automatizada a nuestro alcance permitirá detectar uso fraudulento de credenciales de paso.  Esto no supone más que añadirle una nueva capa de usos a los datos que ya existen. Será necesario establecer nuevos KPI, analizar datos, establecer indicadores, crear perfiles detallados de uso y, cómo no, comunicarlo adecuadamente a los empleados.

Añadir una capa de inteligencia analítica a los datos de acceso de nuestros empleados no sólo es una exigencia de seguridad en el entorno actual si no la mejor manera de poder auditarnos, asegurar las actividades de compliance, proteger a los empleados y a la empresa de reclamaciones por actividades que realmente ha llevado a cabo un hacker  y llevar a cabo un política proactiva de respuesta ante incidentes de seguridad.

Lo que tampoco se nos puede escapar es que el punto más crítico de todo esto es llevar a cabo una comunicación efectiva que logre explicar a los empleados que se llevará a cabo una monitorización exhaustiva del uso que hagan de los recursos de la empresa (la cosa puede complicarse si además estamos en una empresa con políticas Bring Your Own Device –BYOD- o Corporated Owned Personally Enabled –COPE-).  El consejo es el mismo de siempre: transparencia y honestidad. 

Debemos tener no sólo una política interna que explique absolutamente todo esto si no que la misma debe explicarse y ponerse de manifiesto durante el proceso de selección, debe ser firmada y aceptada por nuestros empleados a los que se les debe dar formación que les permita detectar situaciones potenciales de riesgo. Y por supuesto esos datos únicamente se podrán emplear para realizar análisis de seguridad. En definitiva, siempre debe existir un equilibrio pero las nuevas situaciones requieren un nuevo enfoque. Hoy una seguridad corporativa realmente efectiva debe incluir la analítica como una herramienta más.