Archivo de la categoría: Sin categoría

¿Se pueden aceptar con un solo clic las cookies de todas las web con Google Analytics?

Posted on by
1

Esta mañana, al realizar una búsqueda en Google, ha aparecido en la zona previa a los resultados de la búsqueda un banner de aceptación de las cookies de Google. No recuerdo haberlo visto antes, por lo que desconozco el tiempo que lleva usándolo. Al hacer clic en el enlace “Más información” aparece el texto en el que Google explica cómo utiliza las cookies y dirige a varias páginas en las que el usuario puede ampliar la información.

En la página en la que explica los tipos de cookies que utiliza Google aparece una tabla en la que se relacionan las siguientes finalidades en el uso de las cookies por parte de Google:

  1. Preferencias
  2. Seguridad
  3. Procesos
  4. Publicidad
  5. Estado de la sesión
  6. Google Analytics

En el apartado correspondiente a Google Analytics explica que “Google Analytics es una herramienta gratuita de análisis web de Google que principalmente permite que los propietarios de sitios web conozcan cómo interactúan los usuarios con su sitio web. Asimismo, habilita cookies en el dominio del sitio en el que te encuentras y utiliza un conjunto de cookies denominadas “__utma” y “__utmz” para recopilar información de forma anónima y elaborar informes de tendencias de sitios web sin identificar a usuarios individuales”.

La lectura de esta explicación, unida a la frase del banner de aceptación de las cookies de Google, que dice: “Al utilizar nuestros servicios, aceptas el uso que hacemos de las cookies” permite que se planteen las siguientes cuestiones:

  1. ¿Está Google solicitando la aceptación de las cookies de Google Analytics para todos los sitios web que utilicen este servicio?
  2. ¿Sería válido un consentimiento dado a Google en relación a cookies instaladas a través de sitios web administrados por otras personas físicas o jurídicas que no han obtenido el consentimiento directo del usuario?
  3. ¿Se extiende este consentimiento a las cookies que se generen en navegadores y ordenadores distintos al utilizado en la aceptación si en el momento de aceptar la política de cookies de Google estaba abierta la sesión de mi cuenta en Google?

Desde el punto de vista de la LSSI, el artículo 22 no da una respuesta negativa a estas tres preguntas, aunque parece excesivo concentrar tantos consentimientos en un solo clic. Desde el punto de vista operativo podría ser una opción para exonerar a los administradores de sitios web que sólo utilizan esta cookie de solicitar el consentimiento de sus usuarios. Pero ello no es posible, ya que no se puede garantizar que todos los usuarios de un sitio web hayan hecho clic previamente en el banner de Google.

Desde el punto de vista de la LOPD, a la que el mismo artículo se remite, tendríamos que analizar la naturaleza de la relación entre Google y sus clientes. En mi opinión, Google actúa como encargado del tratamiento de las empresas que contratan el servicio Google Analytics, aunque he visto algún aviso legal en el que se afirma que la empresa no accede a los datos obtenidos por Google Analytics. ¿Para qué contrata entonces este servicio?

Cierto es que Google obtiene una información valiosa con Google Analytics y que, a la vista del uso que le da, actúa como responsable del fichero. Pero en el momento en que presta el servicio a sus clientes actúa como encargado del tratamiento. Ello le permitiría recabar el consentimiento en nombre del cliente y en nombre propio, aunque no he identificado esta función en los términos y condiciones del servicio. Pensemos que Google considera que no trata datos personales y por ello no configura la relación como un encargo de tratamiento. Sin embargo, si tenemos en cuenta el artículo 22 de la LSSI y aplicamos el criterio de la AEPD sobre la disociación irreversible al conjunto de datos que Google tiene sobre un usuario, será difícil determinar que no realiza un tratamiento.

Me gustaría mucho más que las cookies tuvieran otra regulación en Europa, ya que, además de ser excesiva, está creando una carga adicional a las empresas europeas, mientras nuestros competidores en los países que nos están empezando a superar en el mercado mundial no tienen obligaciones parecidas.

Acabo estas reflexiones que me ha suscitado el banner de Google con una referencia a la vinculación del consentimiento a la identidad del usuario cuando éste mantiene una sesión abierta en su cuenta de Google al tiempo que hace clic en el banner. Normalmente, la prueba de la aceptación de una cookie, cuando el usuario ha sido informado mediante un banner, puede ser la propia existencia de la cookie en el ordenador del usuario. Siempre claro, que la entrada de la cookie en el ordenador esté condicionada a la previa aceptación de la misma haciendo clic en el banner. Este consentimiento sólo vale para el navegador utilizado al hacer clic. Sin embargo, si el usuario está “logueado”, Google podría asociar el consentimiento a la cuenta del usuario. No parece que sea ésta la intención de Google cuando afirma que la información recogida por las cookies no contiene datos que permitan determinar la identidad del usuario.

Además, ello sería fácil de comprobar, ya que, como las cookies de Google también se utilizan para adaptar la publicidad al perfil del usuario, sólo tenemos que comparar los anuncios que aparecen cuando la sesión está abierta y cerrada.

 

Marketing y Legal, una historia de amor

Posted on by
1

Me llamo Valentín. Soy consejero matrimonial. En mis 26 años de profesión he salvado muchos matrimonios pero el caso que recuerdo con más cariño es el de una pareja que visitó mi consulta en más de mil ocasiones. Se llamaban Marketing y Legal.

En cada sesión tratábamos los mismos problemas. Marketing siempre había visto a Legal como un obstáculo para su carrera profesional. El objetivo de Marketing era hacer crecer el negocio e invertía todos sus recursos en campañas que desbordaban ingenio y creatividad. Su peor pesadilla era que la máxima manifestación de su inspiración fuese anulada o mutilada por Legal.

Recuerdo un día con tormenta, en el que Marketing, terriblemente irritado, se quejaba de la falta de visión de negocio de Legal, que había quitado todo el encanto a una campaña que llevaba semanas preparando, con un aviso legal que destrozaba el diseño más espectacular y costoso que había concebido la agencia. Decía que era tan iconoclasta como estampar Las Partidas de Alfonso X El Sabio en un retrato de Wyndham Lewis.

Por su parte, Legal venía a la consulta abatido. Marketing no comprendía el esfuerzo que suponía encontrar un equilibrio entre los intereses del negocio y el cumplimiento de la ley. Alguna vez Marketing se había aventurado a organizar un concurso sin informar a los participantes sobre sus derechos y habían corrido un riesgo del que Marketing nunca llegó a ser consciente.

Legal se quejaba de que Marketing siempre le pedía la revisión de las campaña el día anterior a su lanzamiento y que a veces había creado un microsite sin comunicárselo.

La situación de la pareja empeoró cuando aparecieron las redes sociales. Los plazos de preparación de las campañas se acortaron dramáticamente y Marketing alegaba que Legal no había conseguido adquirir el conocimiento necesario para comprender las cambiantes normas que regulaban las promociones en Facebook.

Después de varias sesiones, entre los tres diseñamos un protocolo que está funcionando bastante bien. Se trata de vernos periódicamente para analizar escenarios, tendencias, nuevos formatos y anticiparnos a cualquier iniciativa que Marketing o la agencia puedan tener. El objetivo es la revisión temprana y la prevalidación de campañas.

Marketing y Legal han ordenado su casa y han creado un diálogo que les ha ayudado mucho a entenderse y a trabajar en un objetivo común, que es el que siempre habían tenido, aunque los diferentes lenguajes que utilizaban daban a entender lo contrario.

Workshop sobre gestión de ataques contra la marca en redes sociales

Posted on by
Responder

Antecedentes

Uno de los principales riesgos reputacionales que las empresas asumen en la actualidad es el de sufrir un ataque contra la marca o contra alguno de sus productos en las redes sociales. El efecto multiplicador inmediato de una crítica destructiva o de una crisis reputacional mal gestionada puede influir decisivamente en la opinión y la voluntad de compra de un consumidor.

Objetivos

El objetivo básico de este curso es analizar estrategias preventivas y de defensa, aplicadas a casos prácticos, con el fin de ayudar a gestionar ataques contra la reputación de la empresa organizados desde una red social y para prevenir riesgos legales en colaboración con la Asesoría Jurídica de la empresa.

Programa

- Gestión de crisis en redes sociales
- El efecto viral negativo de un burofax
- Injurias y calumnias en foros y redes sociales
- Efectos negativos de una campaña de marketing online mal enfocada
- Efectos negativos de concursos y promociones mal planteados o mal resueltos
- Campañas virales fallidas
- Suplantación de identidad en redes sociales
- Prescriptores y detractores encubiertos
- Tipos ataques contra la empresa
- Tipos de atacantes
- Gestión del ataque con la matriz popularidad – gravedad
- La gestión de los activos intangibles en las redes sociales
- La parodia de la marca en Twitter y Facebook
- La responsabilidad del retweet
- Delitos en redes sociales
- Responsabilidad penal de la empresa
- Responsabilidad penal del Community Manager
- La prueba de la diligencia de la empresa y del Community Manager
- Recogida y tratamiento de datos personales de seguidores
- Análisis de preferencias y elaboración de perfiles
- Caso práctico 1: gestión de un ataque contra un producto
- Caso práctico 2: gestión de un boicot
- Caso práctico 3: gestión de un mensaje calumnioso

Manual de reputación 2.0

Al final del curso se entregará un manual para la gestión de ataques contra la reputación corporativa en la web 2.0 y las redes sociales.

Fecha

21 de febrero de 2013

Horario

18:00 – 21:00 (Tres horas lectivas)

Lugar

Diagonal 640 1C – Edificio Caja Madrid (delante de la Illa) Barcelona

También se pueden organizar sesiones in company o concertar sesiones individuales mediante Skype

Destinatarios

- Abogados de empresa
- Community Managers
- Departamentos de Comunicación
- Departamentos de Marketing
- Cualquier otra persona con interés en la materia

Número máximo de asistentes

El curso está limitado a 10 asistentes, con el fin de favorecer el debate y llegar a conclusiones útiles y enriquecedoras.

Recursos

- Pantalla LED HD
- Dos paredes Velleda para el análisis de los casos prácticos

Ponentes

Xavier Ribas

Gemma Escribano
Corporate Social Media Manager en Privalia

Inscripciones

Para formalizar la inscripción deberá enviarse un mensaje a anna.canadell@ribastic.com antes del 15 de febrero
Aforo limitado a 10 personas.

Precio

250 euros + IVA 21%

Certificado de asistencia

A los asistentes al curso se les entregará un certificado de asistencia para acreditar la formación recibida

Televisión, videojuegos, redes sociales y déficit de atención infantil

Posted on by
Responder

Estás en un restaurante con la carta en la mano. Tu hijo, harto de comer siempre macarrones y pollo, siente curiosidad por “la carta de los mayores” y escoge dos platos. En ese momento debes tomar una decisión, ya que si le dejas dar ese paso, es muy probable que nunca quiera volver al menú infantil.

Es posible que en la actualidad esté pasando algo parecido con la enseñanza. Los niños de hoy en día tienen acceso a un caudal de recursos culturales y lúdicos tan enorme que hace que la oferta educativa clásica pierda gran parte del atractivo que los adultos podemos ver en ella.

Los padres, pertenecientes algunos de nosotros a la generación que creció traumatizada por la muerte de la madre de Bambi :-) , hemos intentado proteger a nuestros hijos de los contenidos que puedan dañarles, y también de los excesos y las adicciones que estos nuevos recursos pueden generar. Pero es evidente que el atractivo de un videojuego, una serie de televisión o los vídeos de YouTube distan mucho de los TBOs que nosotros leíamos.

Si un niño se acostumbra al ritmo de las películas actuales, a la acción trepidante de un videojuego, o a las múltiples fuentes de diversión que ofrece la red, ir a clase cada mañana puede ser como volver a los macarrones y al pollo tras probar los suculentos manjares de la carta de los mayores.

Cuando el niño desconecta y deja de prestar atención puede ser por una falta de madurez, por dificultades en el aprendizaje, déficit de atención…, pero también puede deberse a un problema del formato, del contenido o del emisor de la información. Hay que analizar cada caso detenidamente para averiguarlo. Me refiero a que sería una muestra de incompetencia recetar medicamentos en la primera visita. Las causas de la pérdida de la atención en clase pueden ser muy variadas y hay que valorarlas todas en su conjunto. Existen niños con déficit de atención que no se pierden una coma en algunas asignaturas, por lo que si el grado de atención depende del interés o la motivación del niño por la materia, tal vez lo que hay que conseguir es desarrollar la habilidad, hábito, disciplina o paciencia que los adultos hemos aprendido a desarrollar para extender la atención a asuntos menos interesantes pero necesarios.

Además de los avances en el diagnóstico y el tratamiento del déficit de atención infantil, deberíamos esforzarnos todos en conseguir un mayor equilibrio entre el interés que ofrecen los recursos culturales y lúdicos que tenemos en casa y los que ofrece la escuela. Una opción es disminuir o dosificar la oferta de diversión en casa, un recurso que a veces se aplica erróneamente como castigo. Otras opción es hacer que las clases sean más atractivas e interactivas, como se defiende en el vídeo de Ericsson The future of learning, Networked Society. Si se está aplicando la gamificación en las empresas y en la relación con el cliente, supongo que alguien la estará aplicando también en la enseñanza.

Las empresas se han dado cuenta de que los trabajadores tienen dispositivos móviles más potentes, inteligentes y divertidos que los corporativos y que los nativos digitales están pidiendo el uso de herramientas colaborativas y sociales en su trabajo. Estas necesidades, unidas a las actuales políticas de ahorro, han generado la tendencia llamada BYOD (Bring your own device), que consiste en que las empresas están permitiendo el uso de smartphones y tablets personales para aplicaciones corporativas. Tal vez el camino consista en aplicar a la escuela nuevos formatos que ayuden al profesor a capturar la atención de unos niños que, para bien o para mal, tienen una estructura mental y unos hábitos e intereses distintos de los teníamos nosotros a su edad.

Según Don Tapscott, la actual es la primera generación que trabaja, juega, piensa y aprende de forma diferente a sus padres. Si el sistema educativo no se adapta a la nueva forma de aprender que los niños de hoy reclaman sin decirlo, es posible que el fracaso escolar aumente.

Todo ello sin menospreciar la posibilidad de aprovechar el contexto económico actual para recuperar los valores básicos y volver a un modelo de infancia clásica, en el sentido de menos dependiente de la tecnología y menos acelerada, que permita al niño y a sus padres saborear esta etapa efímera e irrepetible. Estas Navidades oí a un niño de 11 años decir que tenía prisa por tener 18, que se sentía como un adulto en un cuerpo de niño. ¿Ha llegado la hora de ralentizar el crecimiento cognitivo de nuestros hijos en las áreas que todavía no necesitan, para que disfruten de su infancia, o eso sería como si hubiésemos apartado al Mozart niño del clavicordio para que jugase más con la pelota?

Supongo que la respuesta está como siempre en el equilibrio. Y en este contexto surgen iniciativas realmente encomiables, como la de un profesor del colegio Pare Manyanet de Barcelona, que ha diseñado un juego de simulación empresarial en el que los niños forman grupos de cuatro componentes: un comercial, un jefe de compras, un contable y un directos de I+D+i. Cada día, estas pequeñas empresas de cuatro alumnos dedican una sesión a este juego, que les obliga a desarrollar de forma divertida habilidades relacionadas con la vida real, y con asignaturas, como las matemáticas, que tradicionalmente se han considerado menos accesibles que las otras.

Ese puede ser uno de los caminos a seguir. Seguro que hay muchos más.

Sentencia TC sobre intervención de mensajes privados del trabajador

Posted on by
2

En el BOE de ayer se publicó la Sentencia del Tribunal Constitucional de fecha 17 de diciembre de 2012, en la que se declara que no existe vulneración de los derechos a la intimidad y al secreto de las comunicaciones en la intervención empresarial de mensajes privados resultante de un hallazgo casual y que se efectúa sobre un programa instalado por el trabajador en un ordenador de uso común por todos los trabajadores.

Los puntos clave de las sentencia son los siguientes:

Hechos

1. En la empresa existía un ordenador que podía ser utilizado por todos los trabajadores.
2. El ordenador no tenía clave de acceso para acceder al disco duro e instalar programas.
3. La instalación de programas sin autorización de la empresa estaba prohibido expresamente.
4. Dos trabajadoras instalaron sin autorización de la empresa un programa de mensajería instantánea.
5. Las trabajadoras utilizaron este programa para enviar mensajes privados.
6. En estos mensajes se vertían comentarios despectivos e insultantes contra compañeros, superiores y clientes.
7. La empresa tuvo acceso a los mensajes y amonestó a las trabajadoras.
8. Las trabajadoras solicitaron la tutela de derechos fundamentales por violación de la intimidad y del secreto de las comunicaciones.

Fundamentos de la denegación del amparo

1. No hay vulneración del derecho a la intimidad.
2. Las trabajadoras realizaron actos dispositivos que eliminaron la privacidad de sus conversaciones.
3. Al incluirlos en un ordenador de uso común, las conversaciones podían ser leídas por cualquier otro usuario.
4. La empresa tuvo conocimiento de los mensajes a través de otro trabajador que los encontró casualmente.
5. Respecto al secreto de las comunicaciones, se reitera el poder de vigilancia y control de la empresa
6. Esta facultad está establecida en el artículo 20 del Estatuto de los Trabajadores.
7. Corresponde a cada empresa fijar las condiciones de uso de los medios informáticos asignados a los trabajadores.
8. Estas condiciones se plasman en normas de uso que deben ser cumplidas por los trabajadores.
9. En dichas normas había una prohibición expresa de instalar programas de ordenador no autorizados.
10. No existía una tolerancia a la instalación de programas ni al uso personal del ordenador.
11. No podía existir una expectativa razonable de confidencialidad derivada del uso del programa instalado.
12. El programa era de acceso abierto y estaba instalado en un ordenador de uso común por todos los usuarios.
13. La intervención empresarial se dirige a constatar el incumplimiento de las trabajadoras.

Conclusiones y recomendaciones

1. La existencia de ordenadores de uso común supone un riesgo para la empresa y dificulta la trazabilidad de las infracciones.
2. También puede producirse un incumplimiento de las medidas de seguridad establecidas en el Reglamento de la LOPD.
3. La existencia de normas de uso es clave para posibilitar el control de los recursos TIC asignados a los trabajadores.
4. Estas normas deben estar actualizadas y extenderse a smartphones y tablets corporativos y a las aplicaciones BYOD.
5. La tolerancia en el incumplimiento de estas normas puede generar una expectativa razonable de intimidad.
6. Antes de la intervención debe aplicarse un protocolo en el que se valore la proporcionalidad de la intervención.

Acceso a la Sentencia del Tribunal Constitucional

Comentarios a la sentencia del Tribunal Supremo de 27 de septiembre de 2007

Las contradicciones de Kim Dotcom

Posted on by
4

La publicación de los Términos y Condiciones de la plataforma MEGA, ayer por la tarde permite comprobar que existen ciertas contradicciones entre lo que la plataforma ofrece en su publicidad y lo que realmente es. A continuación se apuntan algunas de estas contradicciones.

Privacidad

MEGA se presenta como la compañía de la privacidad, y en toda la campaña previa se ha dado a entender que la actividad del usuario quedaría protegida frente a cualquier investigación policial, pero en su política de privacidad establece que conserva la dirección IP del usuario, los logs de las comunicaciones, los datos de tráfico y los datos de registro, y que estos datos pueden ser transmitidos a las autoridades que lo requieran.

El almacenamiento más seguro del mundo

Frente a la promesa de seguridad y privacidad surge la amenaza de ser la plataforma vás vigilada del mundo. Si alguien quiere guardar un secreto, MEGA puede ser el peor lugar del mundo para esconderlo, ya que, al ser un sucesor de Megaupload, lo más probable es que esté monitorizado por EEUU. Por otro lado, la seguridad de MEGA depende de la clave maestra del usuario. Si ésta no es suficientemente robusta puede ser desvelada en un ataque de diccionario.

Trazabilidad

Se espera que MEGA aporte la solución definitiva para evitar la trazabilidad de las descargas directas, pero todo parece indicar que el nuevo sistema va dirigido a la creación de redes de confianza y al intercambio de ficheros entre conocidos. En el momento en que un fichero privado se haga público para permitir la descarga directa de desconocidos, además de dejar de ser privado, se abrirá la posibilidad de conocer el contenido del fichero, el identificador del fichero en el sistema y el identificador del propietario o administrador del mismo.

Denuncia de presuntas infracciones

Frente a las garantías de impunidad ofrecidas, la plataforma ofrece un formulario de denuncia de contenidos ilícitos. En la práctica el protocolo es tan oneroso para el denunciante que puede disuadirle de llegar hasta el final, pero si es voluntarioso, puede conseguir la eliminación del contenido supuestamente infractor. Entre los requisitos que debe cumplir el denunciante destaca la exigencia de firma física o electrónica del propietario del copyright o de una persona autorizada para actuar en su nombre.

Protocolo de eliminación de contenidos

MEGA se reserva el derecho a eliminar cualquier contenido supuestamente infractor sin previo aviso, a su discreción y sin ningún tipo de responsabilidad hacia el usuario. También cancelará la cuenta del usuario si se determina que es reincidente.

Contenidos inaccesibles

Según MEGA, el usuario tendrá el control absoluto sobre las personas que podrán acceder de forma cifrada y confidencial a sus carpetas compartidas, de manera que ningún otro usuario, incluido MEGA, podrá participar en las comunicaciones confidenciales ni acceder a los contenidos cifrados. ¿Cómo podrá borrarlos entonces?

Jurisdicción competente en las antípodas

Aunque técnicamente se cumple la promesa de la accesibilidad, jurídicamente no se cumple en absoluto. En caso de reclamación, el usuario debe presentar su demanda ante los tribunales de Nueva Zelanda y aceptar la aplicación de las leyes del país. Algo parecido, pero bastante más oneroso que el célebre “a reclamar a Melilla”.

Arbitrariedad

El sistema puede borrar automáticamente un fichero cuando sea idéntico a otro alojado por otro usuario en el sistema.

El nuevo canon digital

Posted on by
Responder

El BOE de hoy publica el RD 1657/2012, de 7 de diciembre, por el que se regula el procedimiento de pago de la compensación equitativa por copia privada con cargo a los Presupuestos Generales del Estado.

A continuación se resumen algunos aspectos del nuevo canon.

1. Beneficiarios

  • Autores
  • Editores
  • Productores
  • Intérpretes o ejecutantes
  • El derecho al canon sigue siendo irrenunciable para los autores, intérpretes y ejecutantes

2. Obras

  • Libros
  • Fonogramas
  • Videogramas
  • Siguen excluidos los programas de ordenador y las bases de datos electrónicas

3. Cálculo del canon

La cuantía de la compensación se calculará sobre la base del perjuicio efectivamente causado a los titulares de los derechos de propiedad intelectual como consecuencia de la reproducción por personas físicas, en cualquier soporte, a partir de obras ya divulgadas a las que haya accedido legalmente.

Para la estimación de este perjuicio deberán tenerse en cuenta, entre otros, los siguientes criterios objetivos:

  • La estimación del número de copias realizadas
  • El impacto de la copia privada sobre la venta de ejemplares de las obras
  • El precio medio de la unidad de cada modalidad reproducida
  • El porcentaje del precio de la copia original que va destinado a remunerar los derechos de propiedad intelectual
  • La vigencia de los derechos de propiedad intelectual
  • El diferente perjuicio del establecimiento del límite de copia privada según, entre otros criterios, el carácter digital o analógico de las reproducciones efectuadas
  • La disponibilidad y aplicación de medidas tecnológicas de protección

4. Asignación

La compensación equitativa por copia privada se hará efectiva a través de las entidades de gestión de derechos de propiedad intelectual, que actuarán como perceptores de la compensación, recibiendo los importes correspondientes durante el ejercicio presupuestario en el que se haya determinado la cuantía, para su distribución y reparto a los titulares beneficiarios de aquélla.

5. Reparto

El reparto de los importes abonados con cargo a los presupuestos del Ministerio de Educación, Cultura y Deporte en concepto de compensación equitativa por copia privada entre los titulares beneficiarios se realizará de conformidad con el artículo 154 del texto refundido de la Ley de Propiedad Intelectual.

Según este artículo, el reparto de los derechos recaudados se efectuará equitativamente entre los titulares de las obras o producciones utilizadas, con arreglo a un sistema predeterminado en los estatutos de las entidades de gestión y que excluya la arbitrariedad. Las entidades de gestión deberán reservar a los titulares una participación en los derechos recaudados proporcional a la utilización de sus obras.

6. Auditoría

La palabra “auditoría” sigue sin aparecer en la normativa reguladora del canon, a pesar de tener éste su origen en los Presupuestos Generales del Estado.

Big data: sondeos, predicciones y responsabilidades

Posted on by
Responder

Sorprende que en EEUU, con 230 millones de electores, un hombre solo: el matemático Nate Silver, predijese el partido ganador en cada uno de los cincuenta estados del país con una exactitud sin precedentes y que ayer, con un censo electoral de 5 millones hubiese tanto despiste. Silver utilizó un modelo estadístico que no se explica en ningún manual, basado en regresiones lineales y en conocimientos políticos realmente escasos. Tanto él como las empresas de sondeos que utilizan métodos más clásicos tienen algo en común: todos se enfrentan a un volumen intratable de datos informáticos al que denominamos “big data”. En este artículo voy a analizar los riesgos jurídicos que se asocian a él.

1. Del análisis a la parálisis

Phillip Thorpe, responsable de la Financial Services Authority (FSA), el organismo encargado de la regulación del sistema financiero británico, dijo en 2001, en referencia a los paraísos fiscales, que: “si uno quiere esconder una aguja, el mejor sitio para hacerlo es un pajar, y los mercados británicos son como un inmenso pajar”. Thorpe estaba describiendo una de las principales características del big data: la enorme dificultad que implica obtener los datos que se buscan en un inmenso almacén de información dispersa y no desestructurada. La eterna diferencia entre información y conocimiento.

Una buena estrategia de ocultación es guardar el objeto a proteger entre una gran cantidad de objetos iguales. En la historia de las guerras el suministro de información errónea al enemigo ha coexistido y a veces ha sido superado por la creación de un exceso de información. En algunos casos, la saturación de información en el bando aliado ha tenido su origen en sus propias fuentes, es decir, en la obtención de un volumen tal de información del enemigo desde múltiples canales que dificulta o incluso imposibilita su análisis. En la práctica, el resultado es parecido al de ser abatido por “fuego amigo”.

Este efecto de bloqueo o de ocultación no intencionada de la información clave lo vimos al inicio de la primera Guerra del Golfo con el basto volumen de datos suministrados por los Awacs y los radares de tierra, y en la lucha antiterrorista mundial, que no consiguió impedir el ataque a las torres gemelas a pesar de disponer de información suficiente para aproximarse a la amenaza de forma más precisa.

Los problemas que generan los grandes conjuntos de datos se asocian habitualmente a la captura, el almacenamiento, el acceso, la búsqueda, la explotación, la visualización, el análisis y la obtención de conclusiones o resultados útiles. Todo parece indicar que la mayor dificultad está en la capa de inteligencia, donde la cantidad debe convertirse en calidad, y la información en conocimiento útil, en lugar provocar saturación y bloqueo.

2. Prevención de incumplimientos contractuales

La primera consecuencia jurídica de la gestión de grandes bloques de datos sería justamente el incumplimiento del objetivo final esperado en el momento de la contratación del servicio. La alerta tardía de un fenómeno meteorológico adverso o de un terremoto ha provocado reclamaciones contra los servicios públicos o privados a los que se había confiado el análisis de los datos existentes para suministrar una alerta temprana y ayudar a prevenir este tipo de catástrofes naturales.

Recientemente, un tribunal de la ciudad italiana de L’Aquila ha condenado por homicidio imprudente a seis científicos y a un funcionario gubernamental por no haber alertado del terremoto que en 2009 costó la vida a 300 personas. En otro orden de valores, no son pocos los que han establecido paralelismos entre la responsabilidad de los servicios de prevención de catástrofes y la de las agencias de calificación por los daños producidos por sus ratings y previsiones erróneas, también basadas en el análisis de grandes volúmenes de información.

En estos procedimientos judiciales se valora el volumen de datos a analizar, la variabilidad de los mismos, la previsibilidad de dicha variación y la respuesta dada ante la aparición de los primeros indicios de amenaza grave para la población.

La capacidad actual del software y el hardware para capturar, gestionar y procesar en un tiempo razonable grandes conjuntos de datos obliga a dimensionar adecuadamente los contratos de servicios en cuanto a los objetivos esperados, la fiabilidad de los resultados y las circunstancias imprevistas o inevitables que pueden dificultar el cumplimiento del contrato por la parte prestadora del servicio.

Las primeras licencias de software de los años 80 incluían una cláusula “as is” en la que se decía que el software se entregaba como estaba y que la empresa asumía cualquier riesgo derivado de los posibles errores que pudiese contener el programa. En ese momento, las metodologías de diseño, desarrollo y aseguramiento de la calidad no podían garantizar que las aplicaciones informáticas estuviesen libres de errores. Ese estado del arte se aceptó durante muchos años, hasta el punto de que un presidente norteamericano afirmó que los principales obstáculos para el progreso eran la dependencia del petróleo y los errores del software. Todavía hoy se aceptan contratos que limitan la responsabilidad del proveedor por defectos del software.

En algunos servicios basados en la gestión y el análisis de grandes conjuntos de datos es habitual que existan cláusulas de salvaguarda similares, ya que el estado del arte actual hace difícil poder garantizar los resultados esperados, en los plazos pactados y sin errores. Se supone que durante un tiempo habrá que tolerar estas cláusulas, como se aceptaron en los años 80 respecto al software y como se están aceptando en la actualidad en algunos contratos de cloud computing respecto a posibles interrupciones del servicio. Pero el objetivo debe ser que el desarrollo tecnológico permita, en unos años, alcanzar un mayor nivel de inteligencia en el análisis de los datos y asegurar una calidad y una seguridad jurídica aceptables.

Las empresas deberán identificar si su función en relación al big data es la de proveedor, cliente o ambas a la vez, con el fin de dimensionar los contratos de acuerdo con las responsabilidades derivadas de su rol.

3. Pérdida de oportunidades de negocio

En un congreso reciente sobre big data organizado por Oracle, un portavoz de esta compañía desveló que el 93% de las empresas reconoce que no están preparadas para explotar de forma útil la información existente en torno a las mismas, y que ello les está haciendo perder dinero. También declaró que el 80% de la información que una empresa necesita no está estructurada y que la mayor parte de la información sobre una empresa no la genera la propia empresa. Se refería evidentemente a los múltiples grupos de interés que generan información en Internet, y, de forma especial, en las redes sociales.

En la web 2.0 es donde se acentúan los tres principales atributos del big data: volumen, velocidad y variedad, y lo que complica su análisis ya no es tanto el volumen como la velocidad con la que la información se genera y lo variada y cambiante que ésta es.

En análisis de comentarios en foros, por ejemplo, por complejos que sean los algoritmos utilizados y los filtros de la web semántica, hay expresiones humanas que tienen un sentido equívoco para los sistemas informáticos. Hay aplicaciones sectoriales que permiten valorar frases que fuera de contexto serían interpretadas de forma opuesta al sentido que realmente tienen. Por ejemplo, para un algoritmo no especializado, la frase: “Este libro es perfecto para insomnes”, sería valorada como un comentario positivo a un producto, al asociar la palabra “perfecto” al libro. Sin embargo, un algoritmo maduro y configurado semánticamente para el sector editorial con una lista de expresiones críticas habituales entre los lectores de libros, podría detectar el matiz negativo de la frase. Ese fue el objetivo de SASI, un algoritmo desarrollado en 2010 en la Universidad Hebrea de Jerusalén que consiguió detectar el sarcasmo con una precisión del 77% en una muestra de 66.000 críticas de clientes tomada en la sección de libros de Amazon.

Este ejemplo es una simple muestra de la dificultad que supone para las empresas obtener resultados fiables de los análisis de grandes y complejos volúmenes de información para aplicaciones tan valiosas como la comprensión de las necesidades de su público objetivo y las características idóneas de un nuevo producto.

Incluir estos objetivos en un contrato de investigación semántica de mercados, por ejemplo, puede consistir en definir una aproximación, pero resulta altamente arriesgado para el proveedor aceptar una responsabilidad contractual por no haber acertado en la predicción y haber inducido al cliente a tomar decisiones erróneas.

Durante muchos años, las empresas han sabido que un porcentaje de su presupuesto de publicidad se perdía en el conjunto de sus campañas, pero no podían determinar exactamente dónde se producía la pérdida y por ello no la imputaban a sus agencias de publicidad. Los avances tecnológicos han permitido que en la actualidad se pueda conocer el retorno de cada euro que se invierte en publicidad en Internet y ello hace posible, por primera vez, reclamar objetivamente a una agencia por persistir en una estrategia publicitaria errónea.

Se supone que la tecnología llegará a un nivel en el que será posible asegurar mínimamente unos resultados determinados pero en la actualidad, en el ámbito empresarial, no es razonable imputar a un CIO la pérdida de oportunidades de negocio o de ventajas competitivas específicas por carecer de un sistema informático capaz de explotar la información disponible más allá de las actuales limitaciones. En primer lugar, porque posiblemente ese sistema no exista, y en segundo lugar, porque si existiese, las restricciones presupuestarias exigidas al departamento tal vez no permitieran adquirirlo.

En conclusión, la idea es determinar los límites marcados por el estado del arte y no generar falsas expectativas en las relaciones cliente-proveedor e interdepartamentales. Las consultoras contribuyen a alimentar la esperanza en el futuro del big data y ello justifica el crecimiento de las expectativas. Según Gartner, “el big data va a cambiar la economía, o al menos el modo en que las empresas generan ingresos”. Se trata de convertir los datos en una fuente de ingresos para las empresas. Gartner distingue entre datos estructurados, datos no estructurados, datos híbridos que son la mezcla de los dos anteriores, y datos oscuros que son los que no se utilizan, a pesar de su valor. Dar luz y rentabilidad económica a estos datos será, según Gartner, el papel del CIO y el de miles de expertos que la gestión del big data necesitará.

4. El dilema de la privacidad

Se ha hablado mucho sobre las cuestiones éticas relacionadas con la gestión masiva de datos en la medida en que éstos pueden ir referidos a personas físicas que pueden ser segmentadas en función de los perfiles, atributos y etiquetas que ellos mismos se asignen o que se generen como resultado del tratamiento informático.

Es sorprendente la frivolidad con la que los nativos digitales abordan la autosegmentación en las redes sociales. Durante la historia del marketing y de la publicidad las empresas nunca habían tenido tanta facilidad para capturar y tratar datos de clientes potenciales agrupados por comunidades con un mismo interés y con datos demográficos asociados individualmente gracias a la geolocalización y al cruce con otras bases de datos.

También es cierto que, salvo en la fórmula del marketing con permiso y los esquemas virales del “enviar a un amigo” o los botones sociales, el usuario no recibe en su buzón un mensaje publicitario directo, sino que visualiza anuncios relacionados con su perfil.

Teóricamente, para Google la identidad es irrelevante. Lo que importa es el enorme caudal de conocimiento que puede extraerse de la información capturada sobre los hábitos de las personas, aunque estos datos sean absolutamente anónimos, en el sentido de que tanto al capturarlos como al almacenarlos o analizarlos, la identidad real del usuario no es relevante. El objetivo es que cualquier usuario que haya demostrado interés por algo visualice anuncios sobre dicha área de interés en los sitios web que visite. Y para ello no es necesario saber quién es ni cómo se llama.

Sin embargo, llega un momento en que el conjunto de datos disponibles de una persona permiten conocer perfectamente su identidad y su personalidad, y es esa circunstancia la que preocupa al legislador europeo y la que le ha llevado a actualizar la normativa relativa a cookies, comunicaciones comerciales e intimidad en las telecomunicaciones.

Cuando Amazon ofrece la función: “Los clientes que compraron este libro también compraron…” puede prescindir del dato de la identidad del usuario, ya que la asociación se produce entre las etiquetas de contenido de los libros. Pero cuando envía un mensaje de correo electrónico a un usuario concreto y le dice “Amazon tienen nuevas recomendaciones para ti basadas en los ítems que has comprado anteriormente o en lo que nos has contado tú mismo” en realidad está diciendo que tiene almacenada información sobre las compras de sus usuarios y sobre los intereses demostrados por los usuarios a lo largo del tiempo. Y estos datos se van actualizando constantemente, por lo que las recomendaciones se refieren generalmente a los intereses demostrados en los últimos meses.

La cuestión que se plantea es si el verdadero producto de Amazon y de Google es el que aparece en sus tiendas o si somos nosotros, los usuarios, con nombres y apellidos. Hasta ahora podíamos confiar en que la publicidad que vemos en los banners estaba asociada a datos anónimos que se guardaban en las cookies, pero mientras navegamos, las sesiones de Facebook, Amazon y Google permanecen abiertas y nada impide relacionar los datos de las cookies y de nuestra navegación con nuestra cuenta.

Como contrapartida destaca la encomiable labor realizada por Google con el mapa de crisis interactivo sobre el huracán Sandy, con el que ayudó a los afectados a encontrar información sobre refugios, centros de alimentos o primeros auxilios, recopilando, gestionando y ofreciendo grandes volúmenes de datos sobre alertas publicar y privadas, imágenes de satélite y registro de daños.

El consentimiento para la explotación del enorme caudal de datos que los usuarios generan con su actividad online está recogido con mayor o menor detalle en las condiciones generales que se aceptan en el momento de abrir la cuenta. De hecho, Amazon permite al usuario acceder a la lista de ítems adquiridos y seleccionar aquéllos que Amazon debe excluir del tratamiento informático orientado a elaborar recomendaciones para la compra de otros ítems relacionados.

Todo ello demuestra la complejidad de la gestión de un enorme volumen de datos sobre usuarios y las múltiples posibilidades de combinación y por lo tanto de error en relación al cumplimiento de la voluntad del usuario respecto a sus datos.

Cronológicamente, el ciclo de vida del consentimiento sería algo parecido a la siguiente línea de tiempo:

1. Apertura de la cuenta: el usuario da su consentimiento al tratamiento de sus datos.

2. Visualización de un libro ofrecido en la tienda: el usuario muestra su interés y el sistema lo recoge, amparado por las condiciones generales aceptadas al abrir la cuenta.

3. Wishlist: el usuario manifiesta abiertamente su interés en un libro determinado y el sistema lo recoge y lo conserva hasta que el libro es adquirido o borrado de la wishlist.

4. Compra del libro: todas las etiquetas y atributos del libro se suman al perfil del usuario y serán utilizadas para definir o redefinir las recomendaciones a realizar a partir de entonces, salvo que el usuario manifieste que ese libro debe ser excluido del proceso de definición de las recomendaciones.

5. Lectura social del libro: el usuario comparte frases subrayadas y comentarios que permiten definir elementos de su personalidad y patrones de lectura.

6. Cierre de la cuenta: el usuario es dado de baja pero sus datos y perfiles se conservan para el envío de nuevas recomendaciones, salvo que el usuario se oponga a ello.

Existen otros supuestos de recogida de datos que no están cubiertos por esta modalidad de consentimiento, ya que no existe relación contractual entre el usuario y la empresa que recopila los datos. Los supuestos más significativos de recogida sin relación contractual son las cookies de rastreo y la publicidad basada en el comportamiento, para los que la normativa europea y nacional exige un consentimiento expreso.

5. Múltiples escenarios

Hay muchos más supuestos en los que el tratamiento de grandes volúmenes de datos tendrán consecuencias jurídicas que deberán ser valoradas antes de iniciar el proceso de la información. Entre ellos cabe mencionar los siguientes:

1. Los sistemas de ayuda a la toma de decisiones empresariales basados en el tratamiento masivo de datos financieros y de mercado y en la elaboración de modelos predictivos.

2. El CRM social que permitirá a Facebook y a otras redes sociales similares crear una tienda diferente para cada uno de sus cientos de millones de usuarios, adaptada a sus gustos y a las recomendaciones de sus amigos, así como a su localización, edad, sexo y poder adquisitivo.

3. El poder creciente de las estadísticas de uso de la red o de un sitio web concreto, en el que Google Analytics marca sólo el inicio.

4. Los sistemas de captura y tratamiento masivo de datos en redes sociales para ofrecer información concreta sobre el candidato a un puesto de trabajo, a la contratación de un seguro o a la concesión de un crédito, con los consiguientes riesgos de exclusión y discriminación.

5. El análisis predictivo de la comisión de delitos en función de los patrones observados en colectivos o en individuos.

6. La conexión de patrones de conducta online y offline obtenidos de los clientes en Internet y en las tiendas presenciales.

7. El gran potencial del big data en el sector farmacéutico y en el de la salud. Por ejemplo, en la detección de interacciones y efectos secundarios de los medicamentos.

8. La elaboración de modelos predictivos basados en múltiples fuentes de información en relación a cualquier tipo de amenaza para una infraestructura crítica, derivada de riesgos naturales o del ciberterrorismo.

9. La optimización de la red de distribución eléctrica y del tráfico, de acuerdo con los patrones de consumo y uso de los vehículos por parte de los usuarios.

6. Conclusiones y recomendaciones

El tratamiento masivo de datos ofrece grandes oportunidades para las empresas y especialmente para el CIO y los departamentos que gestionan la tecnología. Los riesgos jurídicos deben ser valorados en su justa medida, es decir, no deben ser un obstáculo para la explotación de las ventajas que ofrece este recurso tecnológico, pero tampoco deben ser menospreciados.

En relación a los escenarios mencionados en este artículo, la empresa deberá identificar su posición en relación con el big data, determinando no sólo el nivel de adopción sino también si su rol es de proveedor, cliente o ambos a la vez.

Tras determinar su posición, la empresa deberá tener en cuenta en el contrato los siguientes puntos:

1. Las expectativas de ambas partes, que deberán ser valoradas desde un punto de vista realista y en función del estado del arte existente en la fecha del contrato.

2. La correcta definición de los objetivos y los resultados esperados por las partes, confirmando que las dos hablan el mismo lenguaje y que hay acuerdo en la definición del alcance.

3. La definición de los niveles de servicio.

4. Los mecanismos de control y aseguramiento de la calidad.

5. La monitorización permanente de los parámetros o indicadores que permitan conocer el nivel de cumplimiento del contrato.

6. El impacto del tratamiento de los datos en la privacidad de los usuarios afectados.

7. La definición de unas medidas de seguridad adaptadas a la dimensión de los datos a tratar.

8. La delimitación de la responsabilidad de las partes en función de las finalidades perseguidas y la complejidad de la materia y de los resultados a obtener.

9. La recogida, certificación y custodia de las evidencias electrónicas que acrediten la existencia y la efectividad de los controles, la diligencia debida y los esfuerzos realizados por las partes para cumplir sus obligaciones contractuales y normativas.

A pesar de su obviedad, estos puntos cobran especial importancia al hablar de grandes volúmenes de datos que llevan todos los parámetros a unas dimensiones donde los efectos de un error pueden ser mucho mayores: “Big data, big impact”.

Estudio sobre estrategias de control de los recursos TIC en la empresa

Posted on by
3

Según el Estudio sobre estrategias de control de los recursos TIC en la empresa, que nuestro despacho publicó ayer, el 86,5% de las empresas dispone de unas normas de uso de los recursos TIC corporativos pero sólo el 15,6% realiza un control continuado de su cumplimiento. Ello puede ser interpretado como una situación de tolerancia, equivalente en la práctica a una derogación de la norma, que puede restar eficacia al poder exculpatorio de los controles establecidos en la empresa para prevenir delitos y otras infracciones.

El estudio ha sido realizado por José R. Agustina, Profesor de Derecho Penal y Criminología UIC, Ana Alós Ramos, Abogada laboralista de Uría Menéndez y Javier Sánchez Marquiegui, Asesor Jurídico de Colt Technology Services, con la colaboración de IESE y del despacho Ribas y Asociados.

DESCARGAS:

Estudio sobre las estrategias de control de los recursos TIC en la empresa

Presentación del estudio

Nota de prensa

Inicio del proceso de selección de abogados para mi nuevo despacho

Posted on by
Responder

El proceso de selección va orientado inicialmente a la contratación de cuatro abogados (dos asociados senior y dos asociados) con una experiencia mínima de tres años en protección de datos, contratos tecnológicos, propiedad intelectual, comercio electrónico y marketing online.

Es muy importante que los candidatos hayan:

  1. Consolidado su vocación profesional
  2. Decidido especializarse en Derecho de las Tecnologías de la Información
  3. Apostado por esta rama del derecho a largo plazo

El lugar de trabajo será en la sede de Ribas y Asociados, en Diagonal 640 1C de Barcelona.

Agradeceré a los interesados que envíen su CV a xavier@ribasyasociados.com.

Muchas gracias.