ATGroup, como consultora líder en la aplicación del Derecho de las Nuevas Tecnologías de la Información y la Comunicación, estamos especializados en la aplicación del Reglamento (UE) de Protección de Datos y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, así como en el asesoramiento en soluciones de Firma Electrónica avanzada y proyectos de Comercio Electrónico y E-Administración.
Nuestro objetivo se centra en prestar un servicio de asesoría y consultoría jurídico - tecnológica de calidad.
El equipo humano de ATGroup está compuesto por especialistas cualificados de primera línea: Juristas especializados en las TIC, así como tecnólogos de diferentes perfiles. En ATGroup creemos en la investigación permanente para poder ofrecer a nuestros clientes las mejores y más ajustadas soluciones.
Nuestra sede central se encuentra en Barcelona. No obstante también podrás encontrarnos en Málaga, Madrid, Valencia y Murcia.
LOS ALGORITMOS QUE HACEN APRENDER A LAS MÁQUINAS, ¿TIENEN QUE SER ÉTICOS? ¿QUE PASA SI SUS DECISIONES VULNERAN DERECHOS DE PERSONAS? ¿DE QUIEN SERÁ LA RESPONSABILIDAD LEGAL Y MORAL?
En efecto, tanto administraciones públicas como empresas privadas están utilizando la inteligencia artificial (IA) para mejorar sus procesos, Ayuntamientos como el de Barcelona están aplicando el machine learning para sus procesos de atención al ciudadano y la misma Generalitat de Catalunya está utilizando el algoritmo de prevención del riesgo de reincidencia delincuencial RISCANVI, desde hace algunos años. En el mismo sentido de optimización y digitalización 4.0, numerosas empresas privadas están utilizando el Big Data para sus previsiones de incidencia de riesgo y cálculo actuarial en materia de seguros o de evaluación de solvencia patrimonial o crédito.
En todo caso, lo que hace muy pocos años nos parecían asuntos de ciencia ficción, la realidad nos esta llevando a que muchas empresas y administraciones se plantean o ya tengan en explotación algoritmos que hacen aprender a las máquinas (machine learning) y que toman decisiones de forma autónoma en base a la explotación de datos masivos.
Sin duda es un gran avance y es muy posible que el machine learning mejore muchos procesos de atención a las personas, pero esos algoritmos… ¿pueden ser discriminatorios? ¿pueden atentar contra derechos fundamentales?, ¿pueden generar perjuicios por el sesgo de sus decisiones?, en resumen, ¿Quién garantiza la neutralidad ética y legal del aprendizaje de las máquinas y de sus decisiones automatizadas?
La misma Unión Europea, consciente del problema entre otras resoluciones ha dictado la Resolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre un marco de los aspectos éticos de la inteligencia artificial, la robótica y las tecnologías conexas (2020/2012(INL).
Si los algoritmos de la IA, trabajan sin control humano y aplicando criterios estrictamente numéricos/económicos, no hay duda que en un futuro breve existirán potentes desajustes sociales y legales, haciendo prácticamente imposible por ejemplo contratar una póliza de asistencia sanitaria a partir de una determinada edad o harán prohibitivo el precio de la póliza del hogar si vives en una isla donde exista un volcán activo (p.e. La Palma), o quizás nos pondrá en la cola de petición de ayudas públicas por no pertenecer a uno de los colectivos de especial protección detectados por la máquina según su sesgo social de aprendizaje automático, e incluso en una mala aplicación de reconocimiento facial, podrían vetarnos la entrada en un local de ocio nocturno, al no ajustarse nuestro rostro a las características étnicas y raciales de los clientes que ha seleccionado la máquina.
Estas posibles injusticias, incluyendo los problemas legales que se puedan derivar, en muchas ocasiones emanan de los sesgos éticos y sociales que haya ido adquiriendo el algoritmo en el proceso de aprendizaje, que, en caso de no ser debidamente corregidos y tutorizados por humanos competentes, se corre el peligro de que afecten tanto a la reputación de la administración pública o la empresa que haya puesto en explotación la IA sin las debidas garantías éticas y legales como a los desarrolladores que han comercializado un producto no ajustado a la normativa vigente ni a la ética del cliente. Dichos incumplimientos pueden tener repercusiones reputacionales, pero también severas consecuencias económicas ya sea por reclamaciones directas de los colectivos afectados como por las posibles sanciones administrativas o judiciales que se pudieran derivar de la mala gobernanza del algoritmo.
Pero ¿cómo se evita el sesgo ético negativo o incluso ilegal en el proceso de machine learnig?, no es fácil, pero lo que esta claro es que hoy por hoy se necesita una tutoría humana de la máquina, y no basta con una gestión puramente técnica, hará falta un equipo multidisciplinar de expertos que valoren y corrijan el proceso, consiguiendo que el algoritmo final puesto en explotación tenga un sesgo ético-social adecuado y sobre todo que cumpla fielmente con la legalidad vigente en cada momento.
En este sentido, desde ATGROUP proponemos la creación de los COMITÉS ETICOS IA en todas las empresas e instituciones que desarrollen y/o apliquen la IA en su operativa, ya sean meros desarrolladores o usuarios finales de dichos algoritmos.
La doctrina propone como elementos transversales en dichos comités la participación de expertos en ética digital, la inclusión de los representantes de los colectivos afectados, la participación de los representantes de los trabajadores, la participación de expertos externos independientes, la aplicación de políticas eficaces de transparencia y comunicación, etc.
Los desarrolladores podrán proponer el COMITÉ ETICO IA, como un valor añadido a sus servicios y aplicaciones, garantizando un resultado conforme a las especificaciones éticas y legales que espera el cliente.
En el caso de organizaciones que explotan ya los algoritmos de la IA, el COMITÉ ETICO IA, es la herramienta de gestión de incidencias y resolución de conflictos, tanto éticos, operativos como legales.
En resumen, el COMITÉ ÉTICO IA tendrá como funciones la gobernanza ética de los algoritmos que se apliquen o desarrollen en la institución. Es evidente que este comité deberá estar estrechamente coordinado con los otros garantes de cumplimiento normativo como son la figura del delegado de Protección de Datos y el Oficial de cumplimiento normativo (Compliance Officer) en su caso.
Si estáis explotando algoritmos de IA o tenéis proyectado escalar del 3.0 al mundo 4.0, no dudéis en contactar con nosotros, donde os asesoraremos gustosamente sobre los requisitos y necesidades a cubrir.
ANTERIORES CIBERATAQUES PROCEDENTES PRESUNTAMENTE DE RUSIA HAN DEJADO FUERA DE SERVICIO ADMINISTRACIONES PUBLICAS MUY DESTACADAS, COMO ES EL SEPE, AYUNTAMIENTOS Y UNIVERSIDADES.
SE ESPERA QUE CON LAS SEVERAS SANCIONES ECONOMICAS Y PERSONALES ADOPTADAS POR OCCIDENTE CONTRA RUSIA Y SUS OLIGARCAS, LOS CIBERATAQUES SE INCREMENTARÁN NOTORIAMENTE.
En los últimos días diferentes medios de comunicación han difundido noticias donde se expone la recomendación que ha difundido el CCN para que se aumenten de forma significativa las medidas de ciberseguridad en administraciones e instituciones, ya que es muy posible que se aumenten los ataques a estas organizaciones.
En efecto, las severas medidas económicas que se han adoptado como sanciones se prevé que tengan un gran impacto en la economía rusa, e incluso las medidas personales contra ciertos oligarcas hace más que previsible la posibilidad de “intentar devolver el golpe” con ciber ataques de diverso tipo e intensidad en los sectores estratégicos de todos los países que estén el sector occidental, especialmente los que pertenecen a la OTAN.
En principio, está bastante claro que se están aplicando sanciones insólitas a Rusia (p.e. la expulsión del sistema bancario SWIFT), que a buen seguro van a tener una fuerte consecuencia en la economía y la competitividad de sus empresas y banca. Por tanto, está prácticamente asegurado que uno de los objetivos de Rusia será el complicar la economía y la administración de los países de la OTAN, y más si es de forma “oscura”, oculta o más o menos impune y en muchos casos con un alto beneficio económico por los rescates de datos o fraudes como el del “hombre interpuesto” que tendrán que pagar las empresas occidentales víctimas de los ciber ataques.
Las recomendaciones, no por ya conocidas restan efectividad a la prevención y la respuesta ante posibles ciberataques:
SI DOY MI IDENTIDAD A QUIEN NO DEBO, LAS CONSECUENCIAS PUEDEN SER MUY DOLOROSAS, EN ALGUNOS CASOS PUEDE SIGNIFICAR EL INICIO DE LAS PESADILLAS, DE ESAS QUE NO PARECEN QUE SE ACABEN NUNCA...
En los últimos meses nos estamos encontrando con un preocupante aumento de las consultas que recibimos en el despacho sobre robos de identidad de clientes y conocidos.
La realidad es que la digitalización de servicios bancarios y de medios de pago a supuesto una gran oportunidad para los amigos de lo ajeno, generando nuevos modus operendis para cometer delitos de los de siempre como son las estafas y fraudes.
Todos en un momento de descuido hemos bajado la guardia y hemos entregado una documentación o una información a un tercero que le presuponemos formalidad y garantía, pero que no hemos contrastado, ya sea en temas de comercio electrónico, la compraventa de vehículos o inmuebles o incluso la candidatura a algún puesto de trabajo.
Existen innumerables ocasiones en las cuales entregamos nuestra copia de DNI y el resto de los datos personales sin demasiadas o ninguna pregunta. Por suerte, en la mayoría de las ocasiones se tratan de operadores honestos y la aportación de documentación no tienen más trascendencia que el buen fin de la operación. Pero en alguna ocasión la cosa se puede complicar, especialmente si nuestros datos y nuestra documentación cae en manos de los profesiones de la suplantación.
En efecto, estos profesionales son especialistas en simular entornos digitales de operadores con garantías, haciéndose pasar por empresas reconocidas, por terceros identificados, etc. Todo ello con el fin de generar confianza y obtener aquello tan preciado que andan buscando: nuestra identidad.
Pero ¿para qué sirve mi identidad? ¿qué pueden hacer con ella? , históricamente hay un tipo de fraude muy conocido que consistía en solicitar créditos personales en base a un DNI robado o “distraído” , normalmente no solían ser créditos bancarios sino créditos al consumo tramitados por financieras, que históricamente no han sido tan puntillosas con la identificación de su cliente final como la banca, confiando en el gestor del crédito (normalmente el vendedor del bien comprado fraudulentamente) fuera diligente y comprobará que su cliente correspondía con la documentación aportada.
La realidad era que la pobre víctima recibía una notificación que estaba en una lista de morosos y tenia un montón de créditos pendientes por consumo de cosas que ni conocía ni había comprado.
En la actualidad, este tipo de fraude se sigue dando, pero corregido y aumentado con l irrupción del comercio electrónico, tanto B2C como B2B. Es decir, entre empresas y entre empresas y particulares. Por ejemplo, hemos detectado que algún comprador de una conocida web de venta de segunda mano solicita antes de realizar el pago que se le envíe copia del DNI del vendedor “como garantía” del dinero que va a ingresar…es evidente que se trata de una posible trampa ya que existen métodos más sencillos y seguros de garantizar el cobro en la misma aplicación.
En resumidas cuentas, nuestras recomendaciones para evitar este tipo de situaciones son:
LAS DUE DILIGENCE PREVIAS A UNA FUSIÓN O ADQUISICIÓN NO SIEMPRE CONTEMPLAN EL CUMPLIMIENTO DEL RGPD Y DICHA OMISIÓN PUEDE COMPORTAR CARGAS OCULTAS Y RESPONSABILIDADES AL AUDITOR.
En estos tiempos tan convulsos estamos viendo como gran número de compañías van cambiando de manos, ya sea por compras de fondos de inversión o por compra de otras empresas del sector e incluso por fusiones entre compañías afines o complementarias.
En todo caso, es muy habitual que de forma previa a la compra o transmisión de la empresa ofertada se realice una auditoría de Diligencia Debida o due diligence.
El objeto de dicha auditoria no es otro que dar la imagen fiel de la compañía objeto de compra y suele abarcar todas las áreas de actividad de la empresa y no sólo la financiera, como son las áreas: comercial, Propiedad Industrial, recursos humanos, prevención de riesgos laborales, operaciones, logística, producción, etc.
Por ese mismo motivo, la multitud de áreas a auditar, el equipo de trabajo que realice la due diligence y analice la situación real empresarial no puede ser exclusivamente compuesto por personal del área financiera, ya que en numerosas ocasiones la imagen financiera no corresponde con la imagen real operativa de la empresa, siendo imprescindible la participación de un equipo multidisciplinar de profesionales, con conocimientos específicos de cada área.
Consciente de esa realidad, el legislador ha establecido la obligación para un tipo de empresas de realizar un informe de situación de estados no financieros, con la idea de acreditar esos otros parámetros de gestión no cuantificables en un balance o en una cuenta de explotación al uso (p.e. Medio
Ambiente, compliance, igualdad, etc).
En materia de protección de datos, los riesgos empresariales tienen una probabilidad estadística baja, pero un impacto sobre el negocio severo, las posibles consecuencias catastróficas en caso de incidente grave o muy grave pueden comportar sanciones que pueden llegar a los 20.000.000 de euros o el 4% de la facturación mundial.
En este sentido el auditor que realice una due diligence, tendrá que identificar y valorar la existencia de conductas de riesgo en materia de protección de datos personales como son: prácticas comerciales agresivas, falta de ciberseguridad, carencia de DPD, la falta de documentación adecuada, la existencia de requerimientos de la autoridad de control competente o de clientes, etc. Todas las conductas anteriores pueden ser indicativo de la existencia de un severo problema en la gestión de la compañía.
En el caso de una compra o fusión (M&M), la probabilidad del riesgo y el impacto en el negocio tendrían que constar y cuantificar de forma clara y concreta en el informe de Diligencia Debida (Due Diligence), siendo el comprador el que determine si es de interés continuar con la adquisición o no. También en el mencionado informe se pueden proponer medidas de transferencia o aseguramiento del riesgo como puede ser la subscripción de una póliza de seguros que cubra la ciberseguridad o las posibles repercusiones en materia de protección de datos.
En todo caso, la conclusión es que una correcta auditoria de due diligence deberá identificar y valorar los riesgos en materia de protección de datos, y en su caso proponer medidas paliativas o de transferencia del riesgo, con las consiguientes repercusiones económicas en el precio de adquisición.
Finalmente, no nos cansaremos de recomendar la intervención del Delegado de Protección de Datos de la organización en toda la gestión de la auditoria de Diligencia Debida, el DPD el interlocutor natural con la autoridad de control y el profesional cualificado para asesorar y coordinar todo el proceso de respuesta a las denuncias interpuestas (art. 37 RGPD) así como para atender los requerimientos de información que el responsable de fichero les solicite dentro de sus funciones..
Os seguiremos informando.
Un saludo.
--
Jorge Ortega
El pasado martes día 9 de noviembre El Consorci de Serveis Universitaris de Catalunya (CSUC) homologó a ATGROUP como uno de sus proveedores oficiales en servicios de asesoramiento e implementación de RGPD y LOPDGDD.
El CSUC es una entidad de derecho público que agrupa a la mayor parte de las universidades catalanas, tanto públicas como privadas, para la realización de acciones conjuntas. El proceso de homologación tiene como objetivo garantizar que los servicios de los principales proveedores cuenten con un conjunto de servicios de consultoría, auditoría y soporte de naturaleza tanto técnica como jurídica, necesarios para conseguir, y mantener durante la vigencia de la contratación, la adecuación, cumplimiento de la normativa asociada al Esquema Nacional de Seguridad (ENS), ISO 27001 y al Reglamento General de Protección de Datos (RGPD), y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.
A continuación los tres servicios por los que hemos sido homologados:
LOTE 2. Servicios de Protección de Datos:
Este lote contempla aquellos servicios en materia de protección de datos que tienen como objetivo la prestación de un servicio concreto y que tienen como objetivo la realización de una tarea concreta y la entrega de un informe resultante de su ejecución.
Los servicios contemplados en este lote requieren de la participación de un equipo por parte del proveedor en el que se pueden requerir competencias jurídicas, técnicas o de gestión.
LOTE 3: Servicios profesionales en protección de datos:
Este lote contempla aquellos servicios en materia de protección de datos que tienen como objetivo la colaboración con los equipos de protección de datos de las universidades para el desarrollo de una actividad concreta y principalmente por parte de una persona altamente calificada de la empresa adjudicataria donde las competencias personal de la persona asignada son el elemento relevante en la ejecución de la misma.
LOTE 4: Oficina técnica de apoyo al DPD:
Este lote contempla aquellos servicios en materia de protección de datos que tienen como objetivo la prestación del servicio de oficina técnica de soporte al Delegado de Protección de Datos de cada centro.
Google está preparando el FLoC, una actualización de su famoso navegador Google Chrome en el cual no aceptarán ninguna cookie de terceros
Recientemente ha salido publicado en los medios de comunicación que Google está preparando un cambio importante en su famoso navegador CHROME que consistirá en dos elementos clave:
Primero Sólo admitirá las cookies propias de Google y no las de terceros.
Segundo Las cookies de Google utilizarán la tecnología FLoC que servirán para filtrar a los usuarios por cohortes o grupos de intereses comunes.
Sin duda, puede parecer un avance en la privacidad con respecto al actual sistema donde múltiples empresas desarrollan sus cookies (ficheros adjuntos aL navegador con funciones diversas) y generan sus propios perfiles de usuario en un sistema absolutamente descentralizado, justo al contrario del que nos propone Google, donde el futuro modelo estará totalmente controlado por el gigante de Internet sin opción a la participación de terceros en la segmentación de usuarios.
Es evidente que el actual sistema de cookies puede comportar situaciones no deseadas por el usuario y para evitar dichas situaciones la AEPD ,(entendemos nosotros que con muy buen criterio) ha exigido a todos los titulares de webs que el usuario pueda elegir qué cookies acepta o no antes de navegar en una web. De esta manera, es el usuario quien elige qué nivel de privacidad desea en la navegación dentro de una web.
Con el nuevo modelo que propone Google no tendrá sentido dicha configuración de cookies, ya que sólo serán aceptadas aquellas que el operador dominante haya desarrollado para sí mismo, y seguramente el usuario al entrar en una web sólo tendrá que atender a una pregunta binaria, es decir si acepto entrar en el sistema FLoC o no.
El Federated Learning of Cohorts (FLoC) de Google, consiste en identificar al usuario según sus gustos y actividad de navegación dentro de un grupo determinado o cohorte, asignando una ID diferenciada según intereses y perfiles. De esta manera no se tiene un individuo sino un grupo con intereses comunes con la segmentación publicitaria que pueda ser de interés en cada momento para anunciantes y agencias.
En este punto, vemos alguna luz y también alguna sombra, como elemento positivo e interesante en la mejora de la privacidad cabría destacar la no identificación del usuario final, es decir, el sistema FLoC no permite identificar uno por uno a los usuarios como ocurre ahora, sólo se permitiría saber a qué ID de cohorte pertenece, sin entrar en el anonimato absoluto, pero difuminado dentro de un grupo de interés similar. Sin duda, esta capa de ocultación, si está bien realizada puede ser una mejora respecto a la privacidad.
Como sombras, la verdad es que nos preocupa que sólo Google pueda hacer cookies de Chrome, operador dominante con más del 90% del mercado occidental, sin duda es un monopolio que va más allá de fronteras y estados, si bien es cierto que la atomización del mercado hacía más dificultoso su control y supervisión, no es menos cierto que la capacidad de coerción de las Autoridades de Control europeas es muy superior en estos operadores terceros que a la que pueden ejercer frente a los monstruos de Internet como es Google.
La segunda sombra, es la alternativa que nos da Google con su sistema FLoC a la identificación personal del usuario, el operador nos propone clasificar por grupos (cohortes en lenguaje Google) a los consumidores, de tal manera que cada usuario según su comportamiento estaría segmentado y clasificado según el patrón diseñado por Google.
Es evidente que estos patrones de conducta son de máximo interés para Google, y no precisamente por su ánimo altruista, sino para comercializar con ellos a anunciantes y publicistas con la máxima eficacia y sin competencia, ya que sólo Google tendrá acceso a dichos perfiles.
En resumen, que no es descabellado pensar que con la excusa de mejorar la privacidad de su navegador, Google de un solo movimiento elimina la posibilidad de que terceros extraigan información comercial de la navegación al no aceptar cookies de terceros y además impone el sistema monopolístico exclusivo de la segmentación de potenciales clientes mediante sus propias y únicas cookies admitidas del sistema FLoC…la verdad es que nos parece una práctica monopolística que puede perjudicar tanto a los usuarios como al resto de pequeños desarrolladores del mundo de la publicidad que verán como tienen que cambiar todos sus patrones e inversión económica, como siempre a favor del monopolio.
Es evidente que todas las autoridades de control europeas están muy al tanto de los derroteros que puede adoptar la cuestión, preocupa el seguimiento en el tiempo de usuarios, las evoluciones de consumo, la verdadera anonimización de las cohortes del sistema FLoC, el tratamiento de datos de especial protección, entre otros elementos.
En todo caso, a los usuarios nos da la sensación de la lucha de David contra Goliat, intentar controlar mediante procedimientos administrativos a los gigantes de Internet, no es una tarea fácil para ninguna autoridad de control europea ni puede tener un resultado óptimo si no hay otras medidas complementarias que fomenten la competencia y estimulen el cumplimiento normativo.
Para concluir, nos gustaría volver a plantear un deseo, ahora con más sentido que nunca, la Unión Europea, tiene que dar un paso al frente en su política de Digital, está claro que existe una política común de fronteras, financiera, de mercancías e incluso de Relaciones Exteriores, pero echamos a faltar el fomento de políticas de independencia digital similares a las que emprendió China en su día con BAIDO, ALIBABA, TACENT y XAOMI, e incluso Rusia con YANDEX, sin duda alternativas necesarias y ejemplos a seguir si pretendemos tener cierta independencia digital europea.
Veremos en unos meses por dónde evoluciona el FLoC, estaremos a la espera y os tendremos informados.
Un saludo.
ATGroup es una consultora líder en la aplicación del Derecho de las Nuevas Tecnologías de la Información y la Comunicación.
Nuestra misión se centra en prestar un servicio de asesoría y consultoría jurídico-tecnológica de calidad y especializada en el Derecho aplicado de las Nuevas Tecnologías (TIC-LAW).
ATGroup es una consultora pionera en aportar soluciones innovadoras y creativas a los problemas planteados por el Derecho aplicado a las Nuevas Tecnologías de la Información y la Comunicación en las empresas.
Estamos especializados en la Normativa de Protección de Datos, asesoramiento en soluciones de Firma electrónica avanzada y proyectos de Comercio Electrónico y E-Administración.
Sus consultores, todos con licenciatura y/o doctorado, combinan su actividad profesional con la docencia universitaria.
Como elemento vinculado al proyecto ATGroup, se encuentra BUFETE ORTEGA, despacho jurídico profesional fundado en Barcelona en 1977, siendo la segunda generación la que ostenta en la actualidad la dirección del mismo.
La función de BUFETE ORTEGA es otorgar el soporte jurídico especializado en aquellas materias o funciones que abarquen otras ramas del conocimiento jurídico diferente a los anteriores, (Derecho Administrativo, Mercantil, Penal, etc.)
Finalmente, EVIDENTIA, dirigida por el Doctor José Navarro, la cual es una marca independiente pero con estrechos lazos de colaboración y de sinergias con el resto de ATGroup, ya que su finalidad es la investigación digital y a la peritación forense del elemento informático.
Social Environment
PLAN DE IGUALDAD Más información
PLAN DE RESPONSABILIDAD SOCIAL CORPORATIVA Más información