Tema 4 Ética, seguridad y privacidad en SI
Objetivos del tema 4
Con este tema se pretende que los y las estudiantes sean capaces:
- Identificar las áreas críticas que generan más conflictos éticos relacionados con los sistemas de gestión de información.
- Comprender la relación entre privacidad y servicio y los conflictos que genera este dilema.
- Distinguir las principales diferencias entre el enfoque legal europeo y americano en la protección de datos personales y poder citar los aspectos más relevantes de la GDRP y las funciones de la Agencia Española de Protección de Datos.
- Identificar en qué medida son responsables las empresas de los daños causados por sus sistemas y las áreas que son especialmente sensibles a estos daños.
- Distinguir los distintos mecanismos de protección legal de la propiedad intelectual y sus ámbitos de aplicación.
- Reconocer cómo afectan los sistemas de información y las tecnologías de información a la calidad de vida de los ciudadanos generando dilemas éticos.
- Entender las bases necesarias para realizar análisis de dilemas éticos y los distintos enfoques y esquemas que podemos utilizar para tomar decisiones en ámbitos “grises”.
4.1 Introducción a los dilemas éticos en SI
Frecuentemente aparecen en los medios de comunicación casos que plantean cuestiones éticas ligadas a los sistemas de información.
Son habituales las informaciones sobre filtrado de datos de clientes de las empresas. Por ejemplo, en noviembre de 2022 Orange comunicó una filtración de datos de clientes con deudas pendientes, que se habían cedido a un tercero para el recobro, incluyendo nombre y apellidos, dirección, DNI y número de cuenta corriente. (Info en El País).
También son frecuentes las informaciones ligadas a las nuevas aplicaciones en el uso de los algoritmos. Por ejemplo, en las últimas elecciones generales danesas se había inscrito un partido liderado por una inteligencia artificial (información en La Vanguardia).
Otro ámbito importante está relacionado con el uso de los datos. Por ejemplo, tras la anulación de la legalización del aborto en EEUU y la penalización de las ayudas a la interrupción del embarazo por parte de terceros, se ha planteado la posibilidad de que se pudieran utilizar los datos de las aplicaciones de seguimiento menstrual como prueba en acusaciones por aborto en algunos estados (Noticia en El País).
Un último ejemplo tiene que ver con la propiedad de la información digital. Algunos medios han publicado que Bruce Willis había vendido los derechos para la recreación de su imagen digital (Noticia en The Telegraph) aunque el actor lo ha desmentido posteriormente (Noticia en BBC). En España, hemos visto un caso similar con la imagen de Lola Flores (anuncio, Noticia en La Vanguardia).
Las áreas más importantes en las que se generan estos conflictos pueden agruparse en cuatro grandes categorías:
El caso de las aplicaciones de seguimiento menstrual se relaciona con el área 1, la privacidad y los derechos de uso de los datos personales. El caso de Orange incumbe al ámbito 2, la seguridad de los datos personales. El caso de Bruce Willis y Lola Flores está en el ámbito 3, de propiedad intelectual. Por último, el partido político liderado por una inteligencia artificial presenta desafíos de alto impacto social (área 4).
En la primera parte de este capítulo, repasaremos los elementos más importantes en cada una de estas áreas de conflicot Además, en la última parte del capítulo se describen metodologías y reglas de análisis ético que puedan guiar la toma de decisiones en estas áreas.
4.2 Área 1. Privacidad
Las conflictos entre el derecho a la privacidad de los individuos y el creciente valor de los datos personales para la toma de decisiones de las empresas son cada vez más frecuentes y se producen de forma global. Reflejo de esta tendencia son dos frases que se escuchan frecuentemente, aunque su origen no está claro:
Los datos son el nuevo oro.
Cuando el producto es gratis, el producto eres tú.
Las empresas valoran en gran medida los datos personales de sus clientes porque estos les permiten diseñar mejores productos, poder adelantarse a los gustos y deseos de los consumidores, con ofertas personalizadas. La inteligencia artificial también ha aumentado el valor de la información y de los datos, ya que las técnicas de “machine learning” para ser efectivas, necesitan ingentes cantidades de datos de entrenamiento.
Por ejemplo, las capacidades para reconocer el idioma de los asistentes virtuales como Alexa o Siri dependen enormemente del volumen de datos de entrenamiento y de la evaluación de la calidad de la interpretación. Esto ha hecho que, en algunas ocasiones los grandes operadores utilicen asistentes humanos que escuchan las conversaciones para evaluar los aciertos y los errores de los asistentes, lo que ha generado gran preocupación entre los usuarios13.
Uno de los ejemplos más famosos de mal funcionamiento de los algoritmos de traducción en sus inicios fue la traducción del ruso al ingles de la frase “The spirit is willing, but the flesh is weak” (el alma lo desea, pero la carne es débil) por “The vodka is good but the flesh is rotten” (el vodka es bueno pero la carne está podrida). - Del libro “Artificial Intelligence: A modern approach” de Russell y Norvig
Las empresas monetizan los de datos de sus usuarios, por ejemplo los recogidos en cookies de navegación (e.g. prensa online), los datos de ubicación (apps móviles), datos de comportamiento de compra o el contenido generado por los propios usuarios (opiniones…) y los utilizan como producto para vender espacio publicitario personalizado, para diseñar ofertas de productos y servicios personalizados o para vender los datos a terceras partes.
Desde el punto de vista de los consumidores, por un lado valoramos el poder recibir servicios gratuitos adecuados a nuestras necesidades, pero por otro también nos preocupa el conocimiento que puede llegar a obtenerse sobre nosotros con información que circula en distintas bases de datos14.
No está claro hasta qué punto los consumidores estamos dispuestos a asumir los trade offs entre ambas alternativas o si estamos dispuestos a intercambiar privacidad por precio15.
En este contexto, la legislación internacional trata de buscar unos requisitos mínimos de obligado cumplimiento.
4.2.1 La legislación con respecto a los datos personales en el mundo, Europa y en España
La legislación con respecto al tratamiendo de los datos personales tiene más tradición en Europa que en Estados Unidos. En Europa se ha optado por un enfoque más legalista, mientras que en Estados Unidos el enfoque es más reactivo, ya que no se desarrolla tanta normativa, sino que son los tribunales de justicia los órganos que gestionan las vulneraciones de estos derechos.
En España, la creación de la Agencia Española de Protección de Datos en 1992 y la Ley Orgánica de Protección de Datos (1999) marcó un antes y un después. Sin embargo, en 2018 se produce un avance aún más importante con la aprobación del General Data Protection Regulation (GDPR) que es de obligado cumplimiento en todos los países de la unión europea desde el 25 de mayo de 2018. Según el GDPR:
son datos personales toda información sobre una persona física identificada o identificable (el interesado).
persona física identificable es toda aquella persona cuya identidad pueda determinarse directa o indirectamente.
Así, los datos que se refieran a personas con un indicador como un nombre, DNI, datos de localización o identificadores en línea como nombres de usuarios y también las características fisiológicas o genéticas quedan incluídas en esta directiva.
En la directiva se consideran como datos especialmente protegidos los referidos a:
- origen étnico o racial
- opiniones políticas
- convicciones religiosas
- afiliación sindical
- los datos genéticos y biométricos
- datos de salud y vida sexual
- orientaciones sexuales
Según de Pablos y otros (2019), entre las principales novedades que incorpora el GDPR están:
- Obligación de notificación de las brechas de seguridad a la AEPD en un máximo de 72 horas.
- Principios de privacidad desde el diseño y privacidad por defecto: la privacidad debe estar contemplada desde el principio de la idea de negocio e implementada de forma preventiva. Si el individuo no declara otra cosa, todos sus datos deben ser privados.
- Evaluaciones de impacto obligatorias cuando se vaya a hacer tratamiento de datos que suponga riesgos.
- La creación del puesto de Delegado de protección de datos obligatoria para organismos públicos y determinadas empresas.
- Fuerte régimen de sanciones (hasta el 4% de la facturación anual o 20 millones de euros).
- Nuevos derechos de los ciudadanos como el derecho al olvido, portabilidad de los datos y la oposición a la creación de perfiles.
Esta regulación se incorpora al ordenamiento jurídico en España en la nueva LOPD: Ley Orgánica de Protección de Datos y de Garantías de Derechos Digitales, de diciembre de 2018.
Es importante señalar que, según esta legislación, no es posible generar ficheros de información de usuarios sin información expresa al respecto y consentimiento informado. Es decir, se cambia desde un modelo “opt-out”, por el que se podía, por ejemplo, recopilar direcciones de correo electrónico y dar la posibilidad al usuario de darse de baja de la base de datos a un modelo tipo “opt-in”, en el que es necesario pedir permiso explícito para incorporar esa información, informando al usuario del uso que se va a hacer de ella.
Otra implicación del cambio legal es la prohibición de incorporar cookies en ninguna página web sin informar de forma detallada sobre el tipo de cookies que se utilizan y sus fines y sin que el consumidor de su consentimiento.
4.2.2 La Agencia Española de Protección de Datos
La Agencia Española de Protección de Datos16 es la encargada de supervisar la aplicación de la nueva LOPD.
Además de velar por el cumplimiento de la normativa, la AEPD ofrece otros servicios como:
- La difusión de información sobre los derechos y deberes de los consumidores:
- Derecho de acceso
- Derecho de rectificación
- Derecho de oposición
- Derecho de supresión (“al olvido”)
- Derecho a la limitación del tratamiento
- Derecho a la portabilidad
- Derecho a no ser objeto de decisiones individuales automatizadas
- Derecho de información
- Derechos Schengen
- Servicios a empresas: Guías para implementar los distintos aspectos, como el Programa Facilita 2.0 para facilitar el cumplimiento de la LOPD a las pequeñas y medianas empresas sin datos de riesgo.
4.3 Area 2. Seguridad
Las empresas tienen la obligación de velar por la seguridad de sus sistemas de información, especialmente en lo que se refiere a la seguridad de los datos personales que almacenan pero en general en todas las áreas que puedan causar daño a los usuarios.
En este sentido es especialmente importante la Ley Orgánica 1/2015 de Responsabilidad Penal de las Personas Jurídicas17 que establece la obligatoriedad de tener un sistema de compliance que asegure que la empresa hace todo lo que está en su mano para prevenir la comisión de delitos.
Esta modificación responde a directivas de la Unión Europea que la sugerían como deseable. Se debe a la necesidad de involucrar a socios y altos directivos en la prevención de comportamientos delictivos en el seno de la empresa.
Se trata así de motivar a la empresa para que se autorregule y que los denominados códigos de conducta, compliance programs, programas éticos, etc, dejen de ser meramente un maquillaje de cara a la galería y se conviertan en verdaderos instrumentos de la prevención de delitos en el seno de la empresa.
Esta legislación no afecta a todos los delitos, solo algunos más propios del ámbito empresarial. Además, se establece que los administradores tienen una obligación de control y de establecer mecanismos para evitarlo que es indelegable en terceros.
En el ámbito de los sistemas de información, podemos distinguir áreas especialmente relevantes como:
- Seguridad en la gestión de acceso e identidad
- Seguridad en el puesto de trabajo y las aplicaciones y los datos
- Seguridad en los sistemas y en la red
Es necesario analizar los riesgos que se están generando en cada una de estas áreas para poder tomar las medidas preventivas necesarias.
4.3.1 Seguridad en la gestión de acceso y la identidad:
La seguridad en el acceso a la información dentro de los sistemas en uno de los mayores retos en el diseño de los sistemas de información. Son notorios algunos ejemplos del impacto que puede tener una brecha en el acceso a la información, especialmente en el sector financiero18, de salud19 o en las administración públicas20.
Para minimizar los riesgos en la gestión de acceso a la información se debe:
- Realizar auditorías periódicas de riesgos técnicos, análisis de vulnerabilidades, auditoría de contraseñas, de sistemas y de ficheros.
- Establecer sistemas seguros, fiables y actualizados de control de acceso y autentificación, certificados digitales, firma electrónica …
- Establecer sistemas para el cumplimiento de los requisitos legales al respecto: borrado de información, requisitos para el acceso, destrucción documental segura…
4.3.2 Seguridad en el puesto de trabajo y las aplicaciones y los datos
La seguridad en el puesto de trabajo tiene que ver con la gestión de la información dentro de la propia organización y por las personas que trabajan en ella, a través del manejo de aplicaciones y datos. Muchas de las crisis en sistemas de información tienen que ver con fallos internos y no con ataques externos21.
Para prevenir este tipo de situaciones, además de los aspectos ya mencionados es importante incorporar:
- Herramientas antifraude: entre estas herramientas están las medidas anti-phising (correos fraudulentos que pretenden robar credenciales de acceso), anti-spam y las herramientas de filtrado de navegación que limitan el acceso a determinados sitios web desde la red corporativa.
- Herramientas anti-malware: las más habituales son los sistemas anti-virus, anti-adware y anti-spyware.
- Sistemas de gestión de la seguridad de la información (SGSI): estos sistemas se incorporan en ocasiones dentre de los sistemas de gestión de calidad de la organización y pueden estar sujetas o no a evaluaciones externas, como en el caso de la norma ISO/IEX 27001.
- Herramientas de contingencia y seguridad: entre estas se puede destacar la política referida a copias de seguridad y respaldo, herramientas de virtualización y cómo se implementan soluciones en cloud.
- Herramientas de seguridad en dispositivos móviles: por último es necesario tener en cuenta cómo va a afectar el hecho de que los empleados accedan a la red y aplicaciones corporativas desde dispositivos móviles que están fuera de las medidas de seguridad de la empresa para equipos fijos.
4.3.3 Seguridad en los sistemas y en la red
Por último, la seguridad puede verse comprometida por fallos de funcionamiento o errores de diseño en el propio sistema o en la red de comunicaciones22. Para prevenirlo, además de los elementos anteriores es necesario diseñar:
- Inteligencia de seguridad: establecer la política que permita la monitorización y el establecimiento de informes periódicos de eventos sensibles en cuanto a seguridad en el sistema.
- Prevención de posibilidades de fuga de contenidos: sistemas de cifrado de información, gestión del ciclo de vida de la información, control de contenidos confidenciales.
- Protección de las comunicaciones: cortafuegos, VPN, gestión y control de ancho de banda, seguridad en redes inalámbricas.
En general, la responsabilidad ante los fallos en calidad de los sistemas y en cuanto al impacto de estos sistemas en la calidad de vida de los ciudadanos, tiene que ver con la respuesta a la pregunta de cuál es el nivel aceptable, desde un sentido tecnológico, de calidad de un sistema. El software perfecto es económicamente inviable. Así pues, ¿hasta cuándo deben seguir haciendo pruebas? Por ejemplo, ¿quién se hace responsable de los daños que provoca un algoritmo de inteligencia artificial?¿se puede considerar al fabricante de un coche autónomo responsable de los daños que pueda provocar?23. La Unión Europea y otros organismos trabajan en directivas de desarrollo de esta normativa con iniciativas como “Una Inteligencia Artificial para Europa” pero los desafíos en este ámbito avanzan en general más rápido que las soluciones.
Normalmente los problemas de calidad provienen de en general de bugs o errores de software24, de fallos de hardware25, pero en muchas ocasiones simplemente de la mala calidad de los datos de entrada26.
4.4 Área 3. Propiedad intelectual
Otras desafío importante en sistemas de información son los aspectos ligados a la protección de la propiedad intelectual. Como veíamos en el primer capítulo, la propia naturaleza de la información digital implica que su coste de producción es alto, pero los costes de reproducción son bajos, por lo que van a existir incentivos para la copia no autorizada.
La normativa legal al respecto es amplia y depende del tipo de protección. Podemos distinguir:
Secreto comercial: es información confidencial, información que no se desea que conozca la competencia, p.e. los detalles del código de un determinado software. En general, la legislación prevé la protección de este tipo de secreto en las leyes de defensa de la competencia, impidiendo por ejemplo, que trabajadores de una empresa puedan trasladar la información recogida mientras trabajaban en una empresa a un nuevo empleador en el sector. Así mismo, el secreto comercial también queda recogido en el código penal en los casos en los que se ha firmado un contrato de confidencialidad. Desde marzo de 2019 existe una nueva normativa legal al respecto27.
Derechos de autor: Este tipo de derechos se refieren a derechos morales y de explotación por las creaciones propias. La legislación también es abundante y compleja, al igual que la jurisprudencia. Por ejemplo, en el caso de las descargas ilegales, en algún caso se ha considerado un derecho a la copia privada, mientras en otros se ha apreciado ánimo de lucro e incluso se ha obligado a la operadora a identificar a los usuarios mediante la IP28.
Propiedad Industrial: protege tanto las patentes como las marcas. Las patentes protegen el monopolio exclusivo sobre las ideas detrás de una invención durante un determinado tiempo si se cumplen las condiciones para poder proteger la idea. Las marcas registran los elementos visuales asociados a una determinada empresa. La Oficina Española de Patentes y Marcas gestiona ambos tipos de propiedad.
En este ámbito en los últimos años han cobrado relevancia los movimientos por el Software Libre y las licencias Creative Commons.
4.6 Análisis ético
Para analizar la toma de decisiones éticas en las organizaciones en una sociedad de la información, partimos de unos conceptos básicos que son de mínimos que deben ser compartidos en el conjunto de esa sociedad:
- Responsabilidad: Los individuos, organizaciones e instituciones aceptan los costes y deberes potenciales de sus decisiones. Se comparte la idea de que las acciones (de la empresa, de sus administradores…) pueden tener consecuencias que hay que asumir.
- Rendición de cuentas: Existen mecanismos para atribuir a alguien las acciones. Por ejemplo, la necesidad de presentar cuentas anuales es una rendición de cuentas de las empresas o los informes sobre el cumplimiento de la ley de protección de datos o sobre compliance.
- “Debido proceso”: Las normas se conocen y se comprenden y existen mecanismos de apelación para que se apliquen. Los principios anteriores están generalizados, se conoce cuál es el camino para invocar la responsabilidad legal y cuál debe ser el proceso.
En este contexto, para analizar una posible decisión que presente problemas éticos, el primer paso es analizar la situación siguiendo los siguientes pasos:
- Identificar los hechos: Quién hace qué, cuándo y cómo. A veces esto simplemente aclara la situación. Si hay distintas partes involucradas, se les puede pedir que se pongan de acuerdo sobre los hechos.
- Definir dilema y valores involucrados: Cuáles son los valores en conflicto. Normalmente cuando hay un conflicto es porque se contraponen distintos intereses.
- Identificar participantes: Qué grupos y qué demandan: quién puede verse afectado por la decisión, qué necesita.
- Opciones posibles: Qué posibilidades razonables existen.
- Consecuencias: Consecuencias potenciales de las opciones: qué pasaría si siempre tomáramos esta decisión: por ejemplo, podemos presentar distintos precios en la web a distintos consumidores: ¿podríamos mantener esto siempre?
Siguiendo a Laudon y Laudon (2014) algunas reglas útiles en contextos en los que un determinado problema no se ha abordado en la legalidad o en los códigos éticos de la empresa son:
- Ley de oro: “Trata a los demás como te gustaría que te trataran a ti”
- Imperativo Categórico de Kant: “Si una acción no es correcta para todos, no es correcta para nadie”
- Regla del cambio de Descartes: “Si una acción no se puede hacer repetidamente, no se debe hacer de ningún modo”
- Principio Utilitarista: “Lo correcto es tomar la acción que tiene un mayor valor agregado”
- Principio de Aversión al Riesgo: “Lo correcto es tomar la acción que produzca el menor daño o con el menor daño potencial”
- Principio de “no hay comida gratis”: Suponer que todos los bienes tangibles o intangibles le pertenecen a alguien más o tienen un coste asociado.
Podemos aplicar estas reglas para tratar de valorar las distintas opciones posibles.
Bibliografía recomendada para el tema 4
- Heredero de Pablos Heredero, Carmen; López Hermoso Agius,José Joaquín; Martín-Romo Romero, Santiago; Medina Salgado, Sonia. 2019. Organización y transformación de los sistemas de información en la empresa, ESIC Capítulo 7.
- Rainer, R. K. y Prince, B. 2018. Introduction to Information Systems. Wiley. Capítulo 3, Capítulo 4.
- Laudon, K. y Laudon, J.P. 2014. Sistemas de Información Gerencial, 14ed. Pearson. Capítulo 4, Capítulo 8.
- Kroenke, D.M. and Boyle, R.J. 2017. Experiencing MIS, Pearson. Capítulo 10.
- Wallace, P. 2015. Introduction to Information Systems, 2nd ed. Pearson. Capítulo 10.
- Valacich, J. Schneider, C. 2018. Information Systems Today, 8th ed. Pearson, Capítulo 10.
Noticias: “Miles de empleados de Amazon escuchan tus conversaciones con Alexa: https://edition.cnn.com/2019/04/11/tech/amazon-alexa-listening/index.html”↩︎
Ver ejemplo: El mejor adivino de la historia: https://www.youtube.com/watch?v=Rqynz6ThtAA↩︎
Ejemplo: https://www.theatlantic.com/technology/archive/2016/01/the-convenience-surveillance-tradeoff/423891/ ; https://www.pewinternet.org/2016/01/14/privacy-and-information-sharing/↩︎
Más info: https://www.cremadescalvosotelo.com/noticias-legales/la-exigencia-de-responsabilidad-penal-las-personas-juridicas-y-las-medidas-de↩︎
Ejemplo Capital One: https://www.capitalone.com/facts2019/↩︎
Varios ejemplos https://healthitsecurity.com/news/the-10-biggest-healthcare-data-breaches-of-2019-so-far↩︎
Varios ejemplos https://digitalguardian.com/blog/top-10-biggest-us-government-data-breaches-all-time↩︎
Ejemplos: https://www.abc.es/sociedad/abci-filtraron-examenes-selectividad-universidad-extremadura-201806100141_noticia.html, https://www.lasexta.com/programas/al-rojo-vivo/noticias/el-error-de-la-audiencia-de-navarra-que-permitio-la-filtracion-de-los-datos-de-la-victima-de-la-manada_201805075af028570cf22726410405d3.html↩︎
Ejemplos: https://www.trecebits.com/2019/08/07/twitter-reconoce-haber-filtrado-por-error-datos-personales-a-los-anunciantes/, https://elandroidelibre.elespanol.com/2018/10/google-filtro-datos-usuarios-error-google-plus.html↩︎
Ejemplo: https://www.xataka.com/vehiculos/tercer-accidente-fatal-tesla-revela-diferencia-coche-totalmente-autonomo-conductor-debe-estar-alerta↩︎
Algunos ejemplos: https://elpais.com/tecnologia/2016/07/25/actualidad/1469448442_766054.html↩︎
e.g. Samsung Galaxy Fold: https://www.abc.es/tecnologia/moviles/telefonia/abci-samsumg-reconoce-estuvo-cerca-lanzar-galaxy-fold-antes-tiempo-201907021818_noticia.html↩︎
https://www.neoteo.com/patente-null-para-no-pagar-infracciones/↩︎
https://www.eleconomista.es/opinion-legal/noticias/9758960/03/19/Un-analisis-de-la-nueva-normativa-que-regula-los-secretos-profesionales.html↩︎
Ejemplo: El caso Euskaltel: https://www.xataka.com/legislacion-y-derechos/caso-euskaltel-se-extiende-toda-espana-amenazas-carta-pidiendo-dinero-para-evitar-ir-a-juicio-descargas-p2p↩︎