BRECHA 005 – Ataque mediante SQL injection

En esta quinta entrega de GDPR Brechas analizamos una resolución de la AEPD relativa a un ciberataque mediante SQL injection para obtener las credenciales de acceso a un sitio web dedicado a la cocina. Mediante este ataque consiguieron acceso al servidor. Este sitio web tenía 137.725 usuarios, cuyos datos quedaron comprometidos en el ciberataque.

Puedes ver el vídeo completo de esta brecha y descargar el PDF con la ficha del caso analizado, así como participar en el debate con tu opinión sobre el incidente, las medidas aplicadas por la empresa y el contenido de la resolución en: https://www.campus-ribas.com/p/brechas-de-seguridad

GDPR Brechas es un espacio para el análisis de las brechas de seguridad que han sido objeto de resolución por las autoridades de control. 

ACCESO AL PROYECTO GDPR BRECHAS

Te invito a participar en el proyecto accediendo a la sección GDPR Brechas en Campus Ribas:

https://www.campus-ribas.com/p/brechas-de-seguridad

En dicha sección podrás ver los vídeos explicativos del proyecto y de cada uno de los casos que se vayan publicando.

También podrás descargar la ficha de cada caso en formato PDF.

En el apartado de comentarios podrás manifestar tu opinión sobre cada caso y sobre cada resolución.

Número de obligaciones del RGPD que guardan relación con las medidas jurídicas y con las medidas de seguridad

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

El RGPD tiene 99 artículos, de los que:

  • 44 contienen obligaciones de contenido jurídico.
  • 5 contienen obligaciones relativas a medidas técnicas que pueden incuir medidas de seguridad (Artículos 5, 17, 24, 25 y 28)
  • 3 contienen obligaciones específicas en materia de seguridad (Artículos 32, 33 y 34)
  • Los restantes artículos tienen un contenido general y directrices para los estados y las autoridades de control

Si miramos la proporción entre las dos disciplinas, de los 44 artículos que contienen obligaciones:

  • El 84% contiene obligaciones de contenido jurídico
  • El 10% contiene obligaciones en materia de medidas técnicas
  • El 6% contiene obligaciones específicas en materia de seguridad

Si relacionamos las obligaciones contenidas en estos 44 artículos y las agrupamos por conceptos, el resultado es el siguiente:

  1. Principios relativos al tratamiento (Artículo 5)
  2. Licitud del tratamiento (Artículo 6)
  3. Condiciones para el consentimiento (Artículo 7)
  4. Consentimiento de menores (Artículo 8)
  5. Categorías especiales de datos (Artículo 9)
  6. Datos relativos a condenas e infracciones penales (Artículo 10)
  7. Tratamientos que no requieren identificación (Artículo 11)
  8. Ejercicio de derechos del interesado (Artículo 12)
  9. Información al interesado en la obtención directa (Artículo 13)
  10. Información al interesado en la obtención indirecta (Artículo 14)
  11. Derecho de acceso del interesado (Artículo 15)
  12. Derecho de rectificación (Artículo 16)
  13. Derecho de supresión (Artículo 17)
  14. Derecho a la limitación del tratamiento (Artículo 18)
  15. Notificación de las acciones relativas a los derechos anteriores (Artículo 19)
  16. Derecho a la portabilidad de los datos (Artículo 20)
  17. Derecho de oposición (Artículo 21)
  18. Decisiones individuales automatizadas y elaboración de perfiles (Artículo 22)
  19. Limitaciones (Artículo 23)
  20. Responsabilidad del responsable del tratamiento (Artículo 24)
  21. Protección de datos desde el el diseño y por defecto (Artículo 25)
  22. Corresponsables del tratamiento (Artículo 26)
  23. Representantes en la Unión Europea (Artículo 27)
  24. Encargado del tratamiento (Artículo 28)
  25. Tratamiento bajo la autoridad del responsable o del encargado (Artículo 29)
  26. Registro de las actividades de tratamiento (Artículo 30)
  27. Cooperación con la autoridad nacional (Artículo 31)
  28. Seguridad del tratamiento (Artículo 32)
  29. Notificación de una violación de la seguridad a la autoridad de control (Artículo 33)
  30. Comunicación de una violación de la seguridad al interesado (Artículo 34)
  31. Evaluación de impacto (Artículo 35)
  32. Consulta previa (Artículo 36)
  33. Designación del Delegado de Protección de Datos (Artículo 37)
  34. Posición del Delegado de Protección de Datos (Artículo 38)
  35. Funciones del Delegado de Protección de Datos (Artículo 39)
  36. Códigos de conducta (Artículo 40)
  37. Supervisión de los códigos de conducta (Artículo 41)
  38. Certificación (Artículo 42)
  39. Principio general de las transferencias a terceros países (Artículo 44)
  40. Transferencias basadas en una decisión de adecuación (Artículo 45)
  41. Transferencias mediante garantías adecuadas (Artículo 46)
  42. Normas corporativas vinculantes (Artículo 47)
  43. Transferencias no autorizadas por el Derecho de la Unión (Artículo 48)
  44. Excepciones para situaciones específicas (Artículo 49)

La distribución de las obligaciones relativas a estos artículos es la representada en el siguiente gráfico:

El artículo 35 del RGPD distribuye el alcance mínimo de la evaluación de impacto en cuatro apartados de contenido jurídico y cita las medidas de seguridad como uno de los cuatro grupos de medidas a aplicar para afrontar los riesgos identificados en la evaluación de impacto.

El artículo 37 del RGPD establece que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39, que son de naturaleza jurídica y organizativa.

El proyecto de Ley relativo a la nueva LOPD sólo contiene obligaciones relacionadas con las medidas de seguridad tangencialmente en los artículos 8 y 9 al hablar de los tratamientos amparados por una ley, en la Disposición adicional primera, relativa a las medidas de seguridad en el ámbito del sector público y en la Disposición adicional desimosegunda, al hablar del tratamiento de datos relacionados con incidentes de seguridad por parte de los equipos de respuesta a incidentes (CERT y CSIRT).

Acceso a las conclusiones del análisis

30 años de especialización

En abril de 2017 se cumplirán 30 años desde que decidí especializarme en Derecho Informático.

En este vídeo explico lo que pasó en 1987 y lo que va a pasar en 2017.

El primer acto de celebración de este 30 aniversario será el desayuno de trabajo que tendrá lugar el 12 de enero sobre la nueva ISO 37001 y los controles destinados a prevenir la corrupción en el seno de una empresa mediante el uso de una aplicación informática que ayude a gestionarlos dentro de un sistema anticorrupción..

Desde este blog seguiremos informando de las iniciativas y los actos previstos para 2017, entre los que destaca el lanzamiento de la nueva versión de nuestra aplicación Compliance 3.0.

 

 

Un nuevo paso para la aprobación del Reglamento UE de Protección de Datos a final de año

El Consejo de Justicia de la UE, formado por los ministros de Justicia e Interior de la Unión Europea, llegó ayer en Luxemburgo a un acuerdo en ciertas materias que acercan las posiciones y permiten mantener la planificación inicial de aprobar el Reglamento a finales de año.

Las materias en las que hubo acuerdo son las siguientes:

1. Régimen de la transferencia de datos a terceros países o en el seno de organizaciones internacionales.

2. Aspectos relativos al ámbito territorial, que incluyen la aplicación de las obligaciones del Reglamento a todas las empresas que operen en el Mercado Único Europeo, aunque no sean europeas.

3. Definición del concepto Binding Corporate Rules.

4. Definición del concepto organizaciones internacionales.

Se debatieron también aspectos relativos al principio one-stop-shop, que incluye la posibilidad de que una empresa se dirija a una única autoridad nacional de protección de datos para negociar cuestiones relativas a su actuación en todo el Mercado Único Europeo. Este punto no está exento de polémica, ya que las empresas podrían dirigirse sistemáticamente a las autoridades nacionales menos exigentes en detrimento de las “Rottweiler authorities”. Este debate ha quedado aplazado para próximas reuniones.

En la actualidad hay tres puntos que actúan como aceleradores del proceso y que permiten pronosticar nuevos avances en la reunión del Consejo de la UE prevista para los días 26 y 27 de este mes.

Estos tres puntos son:

1. El caso Snowden y los escándalos de espionaje de EEUU
2. La sentencia del TJUE relativa al derecho al olvido
3. El mercado único digital

La comisaria europea de Justicia, Viviane Reding, principal impulsora de esta iniciativa legislativa, hizo ayer especial énfasis en la necesidad de que la UE apruebe el Reglamento lo antes posible y afirmó que, con los acuerdos alcanzados, esta aprobación estaba más próxima.

La reunión del Consejo de la UE de finales de este mes también permitirá ver la posición de Inglaterra y la influencia en ella de EEUU. Está previsto que la normativa norteamericana vaya alineándose progresivamente a la europea en materia de protección de datos y alejándose de la amenaza de suspensión de los acuerdos Safe Harbor originada tras los escándalos de espionaje.

Nuevo Máster IT+IP de ESADE

El próximo mes de octubre se iniciará el nuevo Máster en Derecho de las TIC, Redes Sociales y Propiedad Intelectual de ESADE (IT+IP) en cuya dirección tengo el honor de participar.

Esta nueva responsabilidad es doblemente satisfactoria. En primer lugar porque supone una gran oportunidad para transmitir el conocimiento adquirido en los 27 años de especialización en esta materia, actualizado con el apasionante estudio de las redes sociales.

En segundo lugar porque dirigí la primera edición de este máster en 1998 y poder impartirlo de nuevo con el nivel actual de interés, experiencia, herramientas tecnológicas y salidas profesionales supone un gran reto.

Mi principal compromiso va a ser transmitir la experiencia práctica adquirida por dos despachos como el de Mario Sol Muntañola y el mío al plan de estudios, con una metodología basada en el estudio del caso, sin olvidar el rigor académico que sirva de fundamento teórico a los escenarios reales que los alumnos del máster van a estudiar.

Invito a conocer el contenido del máster en la página web de ESADE.

Tras 17 años de espionaje en Internet, ¿de qué nos sorprendemos?

“En el pasado, si el Gobierno quería violar la intimidad de los ciudadanos corrientes, tenía que gastar sus recursos en interceptar, abrir al vapor y leer el correo y escuchar, grabar y transcribir las conversaciones telefónicas. Eso era como pescar con caña, de uno en uno. Por el contrario, los mensajes de e-mail son más fáciles de interceptar y se pueden escanear a gran escala, buscando palabras interesantes. Esto es como pescar con red, existiendo una diferencia orwelliana cuantitativa y cualitativa para la salud de la democracia”.

Estas palabras forman parte de la declaración de Phil Zimmermann ante el Subcomité de Política Económica, Comercio y Medio Ambiente de la Cámara de Representantes de los EEUU, el 26 de junio de 1996. Este subcomité lo estaba investigando por un supuesto incumplimiento de la ley que prohibía exportar software de cifrado con una longitud de clave superior a lo que EEUU consideraba descifrable. Fue uno de los primeros casos en los que se evidenció el potencial de la red como soporte de información que podía ser obtenida fácilmente para cualquier interés estratégico del gobierno norteamericano.

Phil Zimmermann había desarrollado el programa Pretty Good Privacy (PGP) que frustraba  la opción del ciberespionaje en tres sentidos:

  1. Permitía ajustar la longitud de la clave hasta cifras de 1.024 bits, 2.048 bits y superiores, que en 1996 eran prácticamente indescrifrables.
  2. Utilizaba clave asimétrica, lo cual impedía utilizar técnicas de análisis criptográfico basado en la recuperación de la clave oculta en el propio mensaje cifrado.
  3. No tenía puertas traseras, lo que impedía descrifrar los mensajes si no se disponía de la clave privada.

La normativa que regula la exportación de tecnología de doble uso (civil y militar) establece en todos los países miembros del Acuerdo de Wassenaar un control sobre la exportación de algoritmos de cifrado y cualquier tecnología que los utilice. En España, la lista de productos y tecnologías de doble uso ha sido actualizada recientemente mediante la Orden ECC/705/2013, de 26 de abril (PDF), que incluye los procedimientos de cifrado en el apartado e) del subartículo 11.a.

En EEUU este control hizo que la versión internacional de programas tan populares en 1996 como Netscape, no pudiesen utilizar claves de más de 64 bits el protocolo SSL. Ello hacía que la visualización del candado en el navegador, que indicaba que estábamos visitando un servidor seguro (https) fuese una mera ilusión. De hecho, ya se decía por aquel entonces que la seguridad era un estado de la mente. Posteriormente se establecieron excepciones que permitieron, por ejemplo, utilizar claves de 128 bits en servidores de banca electrónica extranjeros.

En 1.999, aunque posiblemente fue antes, el control gubernamental llegó a los sistemas operativos. En el caso de Windows, existen evidencias de que en ese año se introdujo una puerta trasera en el sistema operativo que permitía el acceso al contenido de cualquier ordenador que lo tuviera instalado. El propio Phil Zimmerman tuvo que publicar un comunicado en el que desmentía los rumores de que su programa PGP tenía una puerta trasera.

Posteriormente se tendría conocimiento de la existencia de COFEE (Computer Online Forensic Evidence Extractor), una utilidad que supuestamente permitía el acceso a ordenadores con Windows a través de una puerta trasera. Aunque no lo he visto realmente en ningún concurso público, hace años que existe la tesis de que los gobiernos que adquieren sistemas operativos norteamericanos exigen y reciben una versión diferente a la que utilizan las empresas. La versión gubernamental estaría desprovista de puertas traseras. Un ejemplo a analizar es el de Google Apps for Government, destinado a la administración pública norteamericana. En el apartado relativo a la seguridad establece como principal garantía, y en negrita: “Your data belongs to you”, de lo que podría interpretarse que, si no eres un organismo público norteamericano, los datos no te pertenecen, en el sentido de que pueden ser espiados ;-).

La distribución de software de base y de cifrado con puertas traseras, unido al desarrollo de sistemas avanzados de interceptación de comunicaciones es uno de los fundamentos de la llamada red Echelon, siempre asociada a la teoría de la conspiración y claro antecedente de PRISM.

Con este historial de espionaje, no entiendo la sorpresa causada por la constatación de unos hechos que eran de dominio público. Me imagino que la novedad reside en el carácter irrefutable de las pruebas actuales y en el alcance y la intensidad del espionaje.

Baudelaire decía que la astucia más perfecta del diablo consiste en convencernos de que no existe, pero es mucho más astuto el que abiertamente, sin ocultar su existencia:

  1. te vende una casa que tiene una puerta trasera abierta para que pueda entrar cuando quiera (sistema operativo),
  2. te vende cerraduras avanzadas para que tengas una falsa sensación de seguridad y se queda una copia de la llave (sistemas de cifrado),
  3. te vende un sistema de comunicaciones que está bajo su control (Internet), y, para completar la operación,
  4. te deja un estante en su caja fuerte para que guardes en ella todos tus datos, (cloud computing), de manera que ya no necesita la puerta trasera ni la copia de la llave para acceder a los datos.

Y todos seguimos religiosamente los pasos 1, 2, 3 y 4, porque cada uno fue una moda en su tiempo que había que seguir para no quedarse fuera del primer mundo, hasta conseguir que la astucia descrita por Baudelaire quedase en un juego de niños. Y encima pagando.

Por suerte, estamos hablando de big data, con todas sus consecuencias y dificultades, por lo que, en vez de ocultar la información con cifrado desarrollado por los mismos que nos espían, tal vez es mejor que aprendamos que la mejor forma de esconder una aguja es en un pajar. Pero EEUU también es uno de los países que más ha aprendido a gestionar grandes volúmenes de datos no estructurados.

Al final, si sabemos que el gran hermano pesca con red, como decía Phil Zimmermann, sólo nos quedará la opción de obligarle a desempolvar la caña. Pero como no se trata de volver a utilizar palomas mensajeras ni de escribir cartas a mano, supongo que tendremos que acostumbrarnos a que, en los concursos públicos multimillonarios que convocan algunos países emergentes, las empresas españolas tengan que competir con empresas norteamericanas que además de tecnología y producto, tendrán información, mucha información.

En cualquier caso, la lectura positiva de las noticias de las últimas semanas, es que si tengo que comentar algo confidencial con un cliente, voy a intentar mantener una reunión presencial con él. Así recuperaremos el contacto personal que se había distanciado con el correo electrónico.

Escribir a mano, verse cara a cara… suena raro que lo diga yo, apasionado “early adopter” de cualquier tecnología, pero ya hace tiempo que estamos hablando de volver a lo básico y esta es una buena excusa.

ACTUALIZACIÓN 16/07/2013: El Kremlin recupera la máquina de escribir como herramienta de inteligencia. Parece que la tendencia de evitar el uso de las nuevas tecnologías, y especialmente de Internet, para dificultar el ciberespionaje está calando. Las autoridades rusas han firmado ya la compra de máquinas de escribir eléctricas por valor de 15.000 dólares con el fin de utilizar el papel como soporte y medio de transmisión de información confidencial.

ACTUALIZACIÓN 28/09/2020: Se filtra el código fuente de Windows XP. En caso de confirmarse, es una buena oportunidad para verificar si tiene puertas traseras.

La exención de la responsabilidad penal corporativa en la futura reforma del Código Penal

El anteproyecto de reforma del Código Penal elaborado por el Ministerio de Justicia detalla los requisitos que deben cumplir los modelos de prevención y control (Corporate defense) para que las empresas queden exentas de responsabilidad penal.

El texto recoge y desarrolla el criterio manifestado en la Circular 1/2011 de la Fiscalía General del Estado en relación al llamado “makeup compliance”, representado por protocolos escritos y modelos teóricos que se limitan a describir los sistemas de control y prevención de delitos diseñados, y en muchos casos no aplicados, por las empresas para eludir la responsabilidad penal.

REQUISITOS PARA LA EXENCIÓN DE RESPONSABILIDAD PENAL

La empresa podrá quedar exenta de responsabilidad si prueba que se dan las siguientes circunstancias:

1. Disponer de un modelo de organización y gestión adoptado por el órgano de administración

2. Que incluya medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza que los cometidos

3. El modelo de prevención y control debe haber sido ejecutado con eficacia

4. Antes de la comisión del delito

5. Debe existir una supervisión del funcionamiento y del cumplimiento del modelo de prevención

6. Asignada a un órgano de la empresa con poderes autónomos de iniciativa y control

7. El autor del delitos tiene que haber eludido de forma fraudulenta las medidas de control

8. No tiene que haberse producido una omisión o un control insuficiente por parte del órgano de supervisión. Se confirma por lo tanto nuestro criterio de que la tolerancia equivale a la derogación del control

9. Si estos requisitos sólo pueden ser acreditados parcialmente, ello será valorado a los efectos de atenuación de la pena, pero no habrá exención de la responsabilidad penal. Se refuerza por lo tanto la necesidad de disponer de medios de prueba que acrediten la efectiva aplicación de las medidas de prevención y control.

REQUISITOS DE LOS MODELOS DE PREVENCIÓN

Los modelos de prevención y control dirigidos a prevenir los delitos de los representantes legales y de los directivos deberán cumplir los siguientes requisitos:

1. Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

2. Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.

3. Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

4. Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.

5. Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

Los modelos de prevención y control dirigidos a prevenir los delitos de los trabajadores deberán cumplir los siguientes requisitos:

1. Las medidas de prevención y control deberán:

  • Estar adaptadas al tamaño de la empresa
  • Estar adaptadas al tipo de actividades que se llevan a cabo
  • Garantizar el desarrollo de la actividad empresarial conforme a la Ley
  • Permitir la detección rápida y prevención de situaciones de riesgo

2. El funcionamiento eficaz del modelo de prevención requerirá:

  • Una verificación periódica del mismo
  • Una modificación cuando se produzcan infracciones relevantes de sus disposiciones
  • Una actualización cuando se produzcan cambios relevantes en la organización, en la estructura de control o en la actividad desarrollada
  • Un sistema disciplinario que sancione adecuadamente las infracciones de las medidas de control y organización establecidas en el modelo de prevención

CONCLUSIONES

Si la reforma prevista del Código Penal mantiene este texto se habrá producido una ampliación clara de los requisitos exigidos para la exención de la responsabilidad penal de las empresas y será necesaria una actividad de recopilación y conservación de evidencias orientada a acreditar la eficacia de las medidas de prevención y control en la práctica.

Presentación en vídeo sobre la Guía de Cookies

Vídeo de 35 minutos relativo a la Guía sobre el uso de cookies publicada en mayo de 2013 por la Agencia Española de Protección de Datos y las asociaciones aDigital, Autocontrol e IAB.

Se recomienda ver el vídeo en resolución 1.080 y a pantalla completa tras hacer clic en el icono de YouTube.

La responsabilidad del retweet

Imaginemos un campo de fútbol con miles de personas insultando a un árbitro con las más graves injurias que se puedan imaginar. Ahora imaginemos que desaparecen todos y se queda absolutamente solo el que más gritaba. Lo más probable es que deje de gritar.

¿Qué ha ocurrido?, que mientras se sentía protegido por la masa, no tenía ningún reparo en acordarse de toda la familia del árbitro, pero en el momento en que se convierte en un sujeto único, identificable y desprotegido esa sensación de impunidad desaparece.

Cuando estamos ante un tweet, con toda la libertad del mundo para hacer clic en “retweet”, podemos tener varias motivaciones para hacerlo. Una puede ser la solidaridad o la afinidad con la idea que transmite el mensaje y en ese momento tenemos la oportunidad de participar en la conversación y la capacidad para expresarnos libremente, apoyando esa idea. Pero el retweet también puede ser un acto mimético, una simple gamberrada en la que el reemisor sólo pretende unirse a otras personas que están haciendo lo mismo en ese momento, o incluso un acto de cobardía, al sentirse protegido entre la masa, como en el campo de fútbol.

Según un reciente estudio, un porcentaje importante de los tweets son retuiteados sin leerlos, es decir sin hacer clic en el enlace que contienen y sin conocer a fondo el texto o contenido al que se refieren.

El acto de retuitear no debe ser automático e irreflexivo, ya que puede tener consecuencias para el emisor, para el receptor y para la persona que resulte perjudicada por la difusión del mensaje. Hay que tener en cuenta los distintos niveles de participación en un eventual delito: autor, cómplice, colaborador necesario…

En el Código Penal existe el tipo agravado de delito masa, que va referido a ciertos supuestos en los que existe una pluralidad de afectados por un mismo acto. Las nuevas tecnologías han hecho posible que se produzca el efecto inverso: que los actos de muchas personas perjudiquen gravemente a una sola persona.

¿Cómo debe actuarse en estos casos? Por el principio de intervención mínima tal vez no parezca lógico pensar que el legislador haya querido atribuir responsabilidad penal a un acto ilícito de escasa gravedad cometido simultánea o secuencialmente por miles de personas. Además, un espacio de escasos segundos entre la recepción y el reenvío del tweet sería una prueba de que no llegó a verse el contenido al que hacía referencia. Aunque también podría tratarse de un contenido viral cuya existencia se conocía por otros medios. En cualquier caso, el efecto acumulativo de miles de retweets encadenados puede ser devastador para la víctima. Y ello merece una reflexión.

En Inglaterra, Lord Alistair McAlpine, ex tesorero del Partido Conservador, se ha querellado contra más de 10.000 usuarios de Twitter por haber tuiteado o retuiteado mensajes calumniosos contra su persona. La indemnización solicitada es proporcional al número de seguidores de cada cuenta, llegando hasta un máximo de 45.000 euros. ¿Es ese el camino?

Entiendo que son escenarios nuevos a los que tendremos que ir adaptándonos, pero lo que está claro es que, antes de participar en la difusión de un mensaje, el usuario de Twitter, y cualquier usuario que participe en una conversación en Internet, debe reflexionar sobre las consecuencias de ese acto y sobre sus posibles responsabilidades.

Big data: sondeos, predicciones y responsabilidades

Sorprende que en EEUU, con 230 millones de electores, un hombre solo: el matemático Nate Silver, predijese el partido ganador en cada uno de los cincuenta estados del país con una exactitud sin precedentes y que ayer, con un censo electoral de 5 millones hubiese tanto despiste. Silver utilizó un modelo estadístico que no se explica en ningún manual, basado en regresiones lineales y en conocimientos políticos realmente escasos. Tanto él como las empresas de sondeos que utilizan métodos más clásicos tienen algo en común: todos se enfrentan a un volumen intratable de datos informáticos al que denominamos “big data”. En este artículo voy a analizar los riesgos jurídicos que se asocian a él.

1. Del análisis a la parálisis

Phillip Thorpe, responsable de la Financial Services Authority (FSA), el organismo encargado de la regulación del sistema financiero británico, dijo en 2001, en referencia a los paraísos fiscales, que: “si uno quiere esconder una aguja, el mejor sitio para hacerlo es un pajar, y los mercados británicos son como un inmenso pajar”. Thorpe estaba describiendo una de las principales características del big data: la enorme dificultad que implica obtener los datos que se buscan en un inmenso almacén de información dispersa y no desestructurada. La eterna diferencia entre información y conocimiento.

Una buena estrategia de ocultación es guardar el objeto a proteger entre una gran cantidad de objetos iguales. En la historia de las guerras el suministro de información errónea al enemigo ha coexistido y a veces ha sido superado por la creación de un exceso de información. En algunos casos, la saturación de información en el bando aliado ha tenido su origen en sus propias fuentes, es decir, en la obtención de un volumen tal de información del enemigo desde múltiples canales que dificulta o incluso imposibilita su análisis. En la práctica, el resultado es parecido al de ser abatido por “fuego amigo”.

Este efecto de bloqueo o de ocultación no intencionada de la información clave lo vimos al inicio de la primera Guerra del Golfo con el basto volumen de datos suministrados por los Awacs y los radares de tierra, y en la lucha antiterrorista mundial, que no consiguió impedir el ataque a las torres gemelas a pesar de disponer de información suficiente para aproximarse a la amenaza de forma más precisa.

Los problemas que generan los grandes conjuntos de datos se asocian habitualmente a la captura, el almacenamiento, el acceso, la búsqueda, la explotación, la visualización, el análisis y la obtención de conclusiones o resultados útiles. Todo parece indicar que la mayor dificultad está en la capa de inteligencia, donde la cantidad debe convertirse en calidad, y la información en conocimiento útil, en lugar provocar saturación y bloqueo.

2. Prevención de incumplimientos contractuales

La primera consecuencia jurídica de la gestión de grandes bloques de datos sería justamente el incumplimiento del objetivo final esperado en el momento de la contratación del servicio. La alerta tardía de un fenómeno meteorológico adverso o de un terremoto ha provocado reclamaciones contra los servicios públicos o privados a los que se había confiado el análisis de los datos existentes para suministrar una alerta temprana y ayudar a prevenir este tipo de catástrofes naturales.

Recientemente, un tribunal de la ciudad italiana de L’Aquila ha condenado por homicidio imprudente a seis científicos y a un funcionario gubernamental por no haber alertado del terremoto que en 2009 costó la vida a 300 personas. En otro orden de valores, no son pocos los que han establecido paralelismos entre la responsabilidad de los servicios de prevención de catástrofes y la de las agencias de calificación por los daños producidos por sus ratings y previsiones erróneas, también basadas en el análisis de grandes volúmenes de información.

En estos procedimientos judiciales se valora el volumen de datos a analizar, la variabilidad de los mismos, la previsibilidad de dicha variación y la respuesta dada ante la aparición de los primeros indicios de amenaza grave para la población.

La capacidad actual del software y el hardware para capturar, gestionar y procesar en un tiempo razonable grandes conjuntos de datos obliga a dimensionar adecuadamente los contratos de servicios en cuanto a los objetivos esperados, la fiabilidad de los resultados y las circunstancias imprevistas o inevitables que pueden dificultar el cumplimiento del contrato por la parte prestadora del servicio.

Las primeras licencias de software de los años 80 incluían una cláusula “as is” en la que se decía que el software se entregaba como estaba y que la empresa asumía cualquier riesgo derivado de los posibles errores que pudiese contener el programa. En ese momento, las metodologías de diseño, desarrollo y aseguramiento de la calidad no podían garantizar que las aplicaciones informáticas estuviesen libres de errores. Ese estado del arte se aceptó durante muchos años, hasta el punto de que un presidente norteamericano afirmó que los principales obstáculos para el progreso eran la dependencia del petróleo y los errores del software. Todavía hoy se aceptan contratos que limitan la responsabilidad del proveedor por defectos del software.

En algunos servicios basados en la gestión y el análisis de grandes conjuntos de datos es habitual que existan cláusulas de salvaguarda similares, ya que el estado del arte actual hace difícil poder garantizar los resultados esperados, en los plazos pactados y sin errores. Se supone que durante un tiempo habrá que tolerar estas cláusulas, como se aceptaron en los años 80 respecto al software y como se están aceptando en la actualidad en algunos contratos de cloud computing respecto a posibles interrupciones del servicio. Pero el objetivo debe ser que el desarrollo tecnológico permita, en unos años, alcanzar un mayor nivel de inteligencia en el análisis de los datos y asegurar una calidad y una seguridad jurídica aceptables.

Las empresas deberán identificar si su función en relación al big data es la de proveedor, cliente o ambas a la vez, con el fin de dimensionar los contratos de acuerdo con las responsabilidades derivadas de su rol.

3. Pérdida de oportunidades de negocio

En un congreso reciente sobre big data organizado por Oracle, un portavoz de esta compañía desveló que el 93% de las empresas reconoce que no están preparadas para explotar de forma útil la información existente en torno a las mismas, y que ello les está haciendo perder dinero. También declaró que el 80% de la información que una empresa necesita no está estructurada y que la mayor parte de la información sobre una empresa no la genera la propia empresa. Se refería evidentemente a los múltiples grupos de interés que generan información en Internet, y, de forma especial, en las redes sociales.

En la web 2.0 es donde se acentúan los tres principales atributos del big data: volumen, velocidad y variedad, y lo que complica su análisis ya no es tanto el volumen como la velocidad con la que la información se genera y lo variada y cambiante que ésta es.

En análisis de comentarios en foros, por ejemplo, por complejos que sean los algoritmos utilizados y los filtros de la web semántica, hay expresiones humanas que tienen un sentido equívoco para los sistemas informáticos. Hay aplicaciones sectoriales que permiten valorar frases que fuera de contexto serían interpretadas de forma opuesta al sentido que realmente tienen. Por ejemplo, para un algoritmo no especializado, la frase: “Este libro es perfecto para insomnes”, sería valorada como un comentario positivo a un producto, al asociar la palabra “perfecto” al libro. Sin embargo, un algoritmo maduro y configurado semánticamente para el sector editorial con una lista de expresiones críticas habituales entre los lectores de libros, podría detectar el matiz negativo de la frase. Ese fue el objetivo de SASI, un algoritmo desarrollado en 2010 en la Universidad Hebrea de Jerusalén que consiguió detectar el sarcasmo con una precisión del 77% en una muestra de 66.000 críticas de clientes tomada en la sección de libros de Amazon.

Este ejemplo es una simple muestra de la dificultad que supone para las empresas obtener resultados fiables de los análisis de grandes y complejos volúmenes de información para aplicaciones tan valiosas como la comprensión de las necesidades de su público objetivo y las características idóneas de un nuevo producto.

Incluir estos objetivos en un contrato de investigación semántica de mercados, por ejemplo, puede consistir en definir una aproximación, pero resulta altamente arriesgado para el proveedor aceptar una responsabilidad contractual por no haber acertado en la predicción y haber inducido al cliente a tomar decisiones erróneas.

Durante muchos años, las empresas han sabido que un porcentaje de su presupuesto de publicidad se perdía en el conjunto de sus campañas, pero no podían determinar exactamente dónde se producía la pérdida y por ello no la imputaban a sus agencias de publicidad. Los avances tecnológicos han permitido que en la actualidad se pueda conocer el retorno de cada euro que se invierte en publicidad en Internet y ello hace posible, por primera vez, reclamar objetivamente a una agencia por persistir en una estrategia publicitaria errónea.

Se supone que la tecnología llegará a un nivel en el que será posible asegurar mínimamente unos resultados determinados pero en la actualidad, en el ámbito empresarial, no es razonable imputar a un CIO la pérdida de oportunidades de negocio o de ventajas competitivas específicas por carecer de un sistema informático capaz de explotar la información disponible más allá de las actuales limitaciones. En primer lugar, porque posiblemente ese sistema no exista, y en segundo lugar, porque si existiese, las restricciones presupuestarias exigidas al departamento tal vez no permitieran adquirirlo.

En conclusión, la idea es determinar los límites marcados por el estado del arte y no generar falsas expectativas en las relaciones cliente-proveedor e interdepartamentales. Las consultoras contribuyen a alimentar la esperanza en el futuro del big data y ello justifica el crecimiento de las expectativas. Según Gartner, “el big data va a cambiar la economía, o al menos el modo en que las empresas generan ingresos”. Se trata de convertir los datos en una fuente de ingresos para las empresas. Gartner distingue entre datos estructurados, datos no estructurados, datos híbridos que son la mezcla de los dos anteriores, y datos oscuros que son los que no se utilizan, a pesar de su valor. Dar luz y rentabilidad económica a estos datos será, según Gartner, el papel del CIO y el de miles de expertos que la gestión del big data necesitará.

4. El dilema de la privacidad

Se ha hablado mucho sobre las cuestiones éticas relacionadas con la gestión masiva de datos en la medida en que éstos pueden ir referidos a personas físicas que pueden ser segmentadas en función de los perfiles, atributos y etiquetas que ellos mismos se asignen o que se generen como resultado del tratamiento informático.

Es sorprendente la frivolidad con la que los nativos digitales abordan la autosegmentación en las redes sociales. Durante la historia del marketing y de la publicidad las empresas nunca habían tenido tanta facilidad para capturar y tratar datos de clientes potenciales agrupados por comunidades con un mismo interés y con datos demográficos asociados individualmente gracias a la geolocalización y al cruce con otras bases de datos.

También es cierto que, salvo en la fórmula del marketing con permiso y los esquemas virales del “enviar a un amigo” o los botones sociales, el usuario no recibe en su buzón un mensaje publicitario directo, sino que visualiza anuncios relacionados con su perfil.

Teóricamente, para Google la identidad es irrelevante. Lo que importa es el enorme caudal de conocimiento que puede extraerse de la información capturada sobre los hábitos de las personas, aunque estos datos sean absolutamente anónimos, en el sentido de que tanto al capturarlos como al almacenarlos o analizarlos, la identidad real del usuario no es relevante. El objetivo es que cualquier usuario que haya demostrado interés por algo visualice anuncios sobre dicha área de interés en los sitios web que visite. Y para ello no es necesario saber quién es ni cómo se llama.

Sin embargo, llega un momento en que el conjunto de datos disponibles de una persona permiten conocer perfectamente su identidad y su personalidad, y es esa circunstancia la que preocupa al legislador europeo y la que le ha llevado a actualizar la normativa relativa a cookies, comunicaciones comerciales e intimidad en las telecomunicaciones.

Cuando Amazon ofrece la función: “Los clientes que compraron este libro también compraron…” puede prescindir del dato de la identidad del usuario, ya que la asociación se produce entre las etiquetas de contenido de los libros. Pero cuando envía un mensaje de correo electrónico a un usuario concreto y le dice “Amazon tienen nuevas recomendaciones para ti basadas en los ítems que has comprado anteriormente o en lo que nos has contado tú mismo” en realidad está diciendo que tiene almacenada información sobre las compras de sus usuarios y sobre los intereses demostrados por los usuarios a lo largo del tiempo. Y estos datos se van actualizando constantemente, por lo que las recomendaciones se refieren generalmente a los intereses demostrados en los últimos meses.

La cuestión que se plantea es si el verdadero producto de Amazon y de Google es el que aparece en sus tiendas o si somos nosotros, los usuarios, con nombres y apellidos. Hasta ahora podíamos confiar en que la publicidad que vemos en los banners estaba asociada a datos anónimos que se guardaban en las cookies, pero mientras navegamos, las sesiones de Facebook, Amazon y Google permanecen abiertas y nada impide relacionar los datos de las cookies y de nuestra navegación con nuestra cuenta.

Como contrapartida destaca la encomiable labor realizada por Google con el mapa de crisis interactivo sobre el huracán Sandy, con el que ayudó a los afectados a encontrar información sobre refugios, centros de alimentos o primeros auxilios, recopilando, gestionando y ofreciendo grandes volúmenes de datos sobre alertas publicar y privadas, imágenes de satélite y registro de daños.

El consentimiento para la explotación del enorme caudal de datos que los usuarios generan con su actividad online está recogido con mayor o menor detalle en las condiciones generales que se aceptan en el momento de abrir la cuenta. De hecho, Amazon permite al usuario acceder a la lista de ítems adquiridos y seleccionar aquéllos que Amazon debe excluir del tratamiento informático orientado a elaborar recomendaciones para la compra de otros ítems relacionados.

Todo ello demuestra la complejidad de la gestión de un enorme volumen de datos sobre usuarios y las múltiples posibilidades de combinación y por lo tanto de error en relación al cumplimiento de la voluntad del usuario respecto a sus datos.

Cronológicamente, el ciclo de vida del consentimiento sería algo parecido a la siguiente línea de tiempo:

1. Apertura de la cuenta: el usuario da su consentimiento al tratamiento de sus datos.

2. Visualización de un libro ofrecido en la tienda: el usuario muestra su interés y el sistema lo recoge, amparado por las condiciones generales aceptadas al abrir la cuenta.

3. Wishlist: el usuario manifiesta abiertamente su interés en un libro determinado y el sistema lo recoge y lo conserva hasta que el libro es adquirido o borrado de la wishlist.

4. Compra del libro: todas las etiquetas y atributos del libro se suman al perfil del usuario y serán utilizadas para definir o redefinir las recomendaciones a realizar a partir de entonces, salvo que el usuario manifieste que ese libro debe ser excluido del proceso de definición de las recomendaciones.

5. Lectura social del libro: el usuario comparte frases subrayadas y comentarios que permiten definir elementos de su personalidad y patrones de lectura.

6. Cierre de la cuenta: el usuario es dado de baja pero sus datos y perfiles se conservan para el envío de nuevas recomendaciones, salvo que el usuario se oponga a ello.

Existen otros supuestos de recogida de datos que no están cubiertos por esta modalidad de consentimiento, ya que no existe relación contractual entre el usuario y la empresa que recopila los datos. Los supuestos más significativos de recogida sin relación contractual son las cookies de rastreo y la publicidad basada en el comportamiento, para los que la normativa europea y nacional exige un consentimiento expreso.

5. Múltiples escenarios

Hay muchos más supuestos en los que el tratamiento de grandes volúmenes de datos tendrán consecuencias jurídicas que deberán ser valoradas antes de iniciar el proceso de la información. Entre ellos cabe mencionar los siguientes:

1. Los sistemas de ayuda a la toma de decisiones empresariales basados en el tratamiento masivo de datos financieros y de mercado y en la elaboración de modelos predictivos.

2. El CRM social que permitirá a Facebook y a otras redes sociales similares crear una tienda diferente para cada uno de sus cientos de millones de usuarios, adaptada a sus gustos y a las recomendaciones de sus amigos, así como a su localización, edad, sexo y poder adquisitivo.

3. El poder creciente de las estadísticas de uso de la red o de un sitio web concreto, en el que Google Analytics marca sólo el inicio.

4. Los sistemas de captura y tratamiento masivo de datos en redes sociales para ofrecer información concreta sobre el candidato a un puesto de trabajo, a la contratación de un seguro o a la concesión de un crédito, con los consiguientes riesgos de exclusión y discriminación.

5. El análisis predictivo de la comisión de delitos en función de los patrones observados en colectivos o en individuos.

6. La conexión de patrones de conducta online y offline obtenidos de los clientes en Internet y en las tiendas presenciales.

7. El gran potencial del big data en el sector farmacéutico y en el de la salud. Por ejemplo, en la detección de interacciones y efectos secundarios de los medicamentos.

8. La elaboración de modelos predictivos basados en múltiples fuentes de información en relación a cualquier tipo de amenaza para una infraestructura crítica, derivada de riesgos naturales o del ciberterrorismo.

9. La optimización de la red de distribución eléctrica y del tráfico, de acuerdo con los patrones de consumo y uso de los vehículos por parte de los usuarios.

6. Conclusiones y recomendaciones

El tratamiento masivo de datos ofrece grandes oportunidades para las empresas y especialmente para el CIO y los departamentos que gestionan la tecnología. Los riesgos jurídicos deben ser valorados en su justa medida, es decir, no deben ser un obstáculo para la explotación de las ventajas que ofrece este recurso tecnológico, pero tampoco deben ser menospreciados.

En relación a los escenarios mencionados en este artículo, la empresa deberá identificar su posición en relación con el big data, determinando no sólo el nivel de adopción sino también si su rol es de proveedor, cliente o ambos a la vez.

Tras determinar su posición, la empresa deberá tener en cuenta en el contrato los siguientes puntos:

1. Las expectativas de ambas partes, que deberán ser valoradas desde un punto de vista realista y en función del estado del arte existente en la fecha del contrato.

2. La correcta definición de los objetivos y los resultados esperados por las partes, confirmando que las dos hablan el mismo lenguaje y que hay acuerdo en la definición del alcance.

3. La definición de los niveles de servicio.

4. Los mecanismos de control y aseguramiento de la calidad.

5. La monitorización permanente de los parámetros o indicadores que permitan conocer el nivel de cumplimiento del contrato.

6. El impacto del tratamiento de los datos en la privacidad de los usuarios afectados.

7. La definición de unas medidas de seguridad adaptadas a la dimensión de los datos a tratar.

8. La delimitación de la responsabilidad de las partes en función de las finalidades perseguidas y la complejidad de la materia y de los resultados a obtener.

9. La recogida, certificación y custodia de las evidencias electrónicas que acrediten la existencia y la efectividad de los controles, la diligencia debida y los esfuerzos realizados por las partes para cumplir sus obligaciones contractuales y normativas.

A pesar de su obviedad, estos puntos cobran especial importancia al hablar de grandes volúmenes de datos que llevan todos los parámetros a unas dimensiones donde los efectos de un error pueden ser mucho mayores: “Big data, big impact”.