Tened en cuenta que las opiniones que expreso en TICMALION las hago exclusivamente a título personal, y solo pueden ser utilizadas indicando la fuente.

viernes, 20 de abril de 2012

El aprendiz de “voyeur”


La verdad es que sigo sin pillarle ritmo a esto de mantener un blog, admiro sinceramente a aquellos que son capaces de mantener gordo y sano a su blog, pero bueno, al fin y al cabo soy un aprendiz en esto, y precisamente de aprendices va la cosa.

Resulta obvio que aplicar las TIC al marketing, y en general a la actividad comercial, especialmente cuando hablamos de las herramientas en línea, permite mucho más juego que métodos más tradicionales, y a unos costes que nada tienen que ver con las grandes campañas publicitarias en los medios tradicionales.

Pero yo no voy a escribir sobre eso, ya que ni tengo conocimientos ni experiencia para ello, pero si que me atrevo con una cuestión, que aunque en estos momentos tal vez no sea un tema de moda me apetece ponerme en plan visionario: “voy a hablar de digital signage” y privacidad”; aviso con antelación, así si alguien ha llegado hasta aquí, y no le interesa el tema solo habrá perdido un poco de tiempo leyendo los 3 primeros párrafos.

Hace unos meses me llegó un mensaje de correo electrónico de un colega de la agencia de protección de datos Griega (no me pongo en plan exótico, es que fue así), que empezaba con al siguiente frase: “I would like to ask you to inform me about the status in your countries regarding audience measurement and digital signage systems”.

Reconozco que lo primero que hice fue irme a “Google”, a buscar que era eso del “digital signage” (dime ignorante, pero también sincero), total que una cosa llevó a la otra, es decir, de “Google” a “Wikipedia” y de la “Viqui” a gente que sabía mucho del tema, un proceso al que más de uno debe estar habituado, ¿no?, ¿o soy el único?.

Pero a lo que iba, me documenté sobre el tema para acabar dándole una respuesta del tipo: “por aquí, poca cosa” (no literalmente claro), ya que hice mis averiguaciones y me puse a pensar en clave de privacidad (como no), me ha parecido de interés tratar el tema, o al menos compartir algunas reflexiones.

Lo cierto es que lo que me ha motivado a escribir sobre ello fue encontrarme hace unas semanas, en diferentes estaciones de tren y en aeropuertos, tanto de Madrid como de Barcelona (por supuesto deben de estar en más ciudades) vallas publicitarias estáticas y digitales, en las que aparecía un anuncio que reproduzco parcialmente con la fotografía que le hice con mi móvil.

Debo hacer otra confesión, como que me veo poco lo que yo leí inicialmente fue “Si te ven, estás viendo”, y me dije, pero que brutos, ya esta aquí el “digital signage” con la cámara incorporada, conectado a la red y encima vendiendo la idea de que si alguien esta mirando el cartel ellos pueden estar viendo al que ve la publicidad, pero hasta donde vamos a llegar.

Por suerte cuando estuve más cerca puede leer correctamente: “Si te ven, estás vendido”. No entraré a analizar el contenido del mensaje, no es el objeto, pero da que pensar, en fin vamos ya al grano.

En una primera aproximación, muy simple, el “digital signage” no es otra cosa que una valla publicitaria, pero dado que el soporte es una pantalla se puede proporcionar información dinámica, o dicho de otro modo, no tiene que ir un señor con una escalera y un cubo a cambiar el anuncio.

Por tanto se utilizan contenidos digitales presentados en pantallas grandes (de las, aunque quieras, no te caben delante del sofá de casa), que se sitúan en centros comerciales, paradas de autobús, andenes, aeropuertos, en definitiva espacios públicos o privados por los cuales “circulan” personas a les que se quiere dirigir algún tipo de mensaje o información (puede ser comercial o no), y en todo caso aprovechando las prestaciones  multimedia del soporte digital.

La señalización digital (que seria más o menos la traducción del “digital signage”) va avanzando como mecanismo muy efectivo para hacer llegar mensajes e información masivamente al público y, en principio, de manera indiscriminada; ahora bien, la integración con otras tecnologías facilita tanto la presentación personalizada  de contenidos, como la interacción con los destinatarios de esos contenidos, por lo que algunas cuestiones relacionadas con la privacidad pueden entrar en zona de riesgo.

De hecho John Anderton ya ha sido objeto de ese tipo de publicidad personalizada basada en “carteles digitales”, ¿que no sabéis quién es el Sr. Anderton? (aquí he pillado a más de uno, no hace falta que vayáis al “Google” que ahora os digo quien es), es un nombre de ficción, el del protagonista del film “Minority Report”, al que en una de las escenas de la película una serie de pantallas publicitarias se le personalizan, ofreciéndole una cerveza “Guinness” dirigiéndose a él por su nombre, o le recuerdan que es usuario de la tarjeta “American Express” desde el año 2037, y todo eso gracias a la lectura de su iris, que permite que sea identificado al acceder a un centro comercial. Por si alguien no ha visto la película o no recuerda la escena aquí va un enlace

No estamos demasiado lejos de esa situación, esas pantallas publicitarias empiezan a incorporar cámaras que captan a las personas que pasan o se detienen delante de ellas, ya sea porque les ha seducido alguno de sus contenidos, o simplemente porque no tienen nada mejor que hacer en ese momento; en estos momentos el uso de esas cámaras está muy orientado a medir la audiencia, es decir, en que horarios hay más afluencia de personas, que anuncios llaman más la atención, incluso pueden llegar a determinar el sexo o grupos de edad, e incluso que efectos causan los contenidos visualizados (si sonríen, gritan, se asombran o muestran indiferencia, por ejemplo).

En un futuro, no demasiado lejano tecnológicamente hablando, el uso coordinado de los sistemas de reconocimiento facial, los sistemas biométricos, la tecnología RFID insertada de manera invisible en la ropa u objetos personales, el control a través de los medios de pago (tarjetas y teléfonos inteligentes) y el geoposicionamiento, por citar tecnologías más que conocidas, pueden llevarnos a un escenario en el que difícilmente podremos preservar nuestro anonimato en aquellos espacios públicos o privados en los que estén presentes todo ese tipo de dispositivos. Todo ello sin olvidar el posible uso con finalidades de seguridad pública (delitos contra las personas, actos vandálicos, etc.).

Los carteles digitales están evolucionando a gran velocidad, uno de los elementos principales de esta evolución tiene que ver con la interacción con sus potenciales “usuarios”, de manera que proponen pequeños juegos para incentivar que las personas se acerquen y se interesen por sus contenidos, por ejemplo estando atentos a la aparición de un determinado objeto en pantalla, que debe ser fotografiado con el móvil para despues dirigirse a un establecimiento comercial determinado, donde al presentar la fotografía les hacen un obsequio o descuento, por descontado técnicas orientadas a la venta, pero que desde el punto de vista técnico nada obstaculiza otros usos.

Precisamente esos usos son los que deben obligar a estar atentos a los legisladores y autoridades, una atención que no debe dirigirse tanto a las tecnologías en si mismas, como a los posibles usos coordinados de ellas, aquí los conceptos de finalidad y de tratamiento leal, previstos en las normas en materia de protección de datos de carácter personal pueden llegar a tener una gran relevancia para garantizar, a pesar de todo, un nivel aceptable en cuanto al derecho a la autodeterminación informativa.

En un contexto de sociedad de la información y del conocimiento, donde las futuras generaciones aprenden y conviven diariamente con las más variadas tecnologías, existe el riesgo de que esta cotidianeidad digital impida valorar que ciertas prácticas y usos pueden ser perjudiciales para los derechos individuales, e incluso colectivos; tenemos evidentes indicios de esa impasible aceptación: el caso de las redes sociales o de una herramienta tan útil como Google. Obviamente se trata de fenómenos imparables y que aportan muchos elementos positivos y de avance, pero que no pueden pretender que no les sean de aplicación los principios y obligaciones derivados del derecho fundamental a la protección de los datos personales, que si bien ciertamente deben ser adaptados a los retos que proponen las tecnologías y su convergencia, no es menos cierto que algunas prácticas no deben aceptarse a cualquier precio.

jueves, 1 de marzo de 2012

Reforma de la protección de datos: de los formalismos a la gestión

Ha pasado mucho tiempo desde mi primera entrada en “TICMALION”, en mi defensa solo puedo alegar que desde entonces ha llovido poco; aunque en estos meses si que han pasado cosas de interés, al menos para aquellos que nos dedicamos intensivamente al derecho a la protección de datos personales.

El pasado 25 de enero se hacía público el primer borrador oficial de la propuesta de reglamento europeo de protección de datos -versión resumida del título-, aquí http://ec.europa.eu/justice/newsroom/data-protection/ toda la información que al respecto va publicando la Comisión Europea.

El documento no ha sido ajeno a algo muy vinculado a la seguridad de la información, la fuga de información, aunque en este caso no de carácter personal, y ni tan solo privilegiada, pero si con cierto sabor a “WikiLeaks”, ya que en diciembre de 2011 “Statewatch” filtró un borrador.

Ya en ese momento se empezó a analizar su contenido, y como primera referencia me quedo con los tempranos y detallados comentarios que en el número de enero de 2012 de http://datospersonales.org hizo @fjavier_sempere (entre los del ramo nos tenemos que promocionar, digo yo, nunca se sabe), por cierto muy recomendable su “Winchester 73” en http://fjaviersempere.wordpress.com/, un blog que desde luego está mucho más rollizo que el mío.

Confieso que ayer terminé de leer la propuesta de reglamento, antes de que hagáis valoraciones respecto a lo que he tardado, que conste que me he leído la exposición de motivos y los considerandos en inglés, y eso tiene su mérito, por suerte para cuando me tocaba leer la parte dispositiva ya estaba traducido al castellano.

No pretendo hacer aquí y ahora un análisis exhaustivo del contenido de la propuesta de reglamento, soy consciente de mis limitaciones, pero si que quería compartir (si es que alguien lee esto) algunas reflexiones que me ha sugerido la primera lectura del reglamento; sin más pretensiones que si lo estuviéramos comentando delante de un café, o de algo más fuerte.

Y empezaré por las conclusiones, un recurso, que algunos de los que me conocen y han tenido oportunidad de compartir mesa conmigo en eventos varios, saben que utilizo en ocasiones para romper el hielo con el auditorio, preguntad a @paGonzalez o a @eaced (hay que seguir haciendo promoción de los compañeros del ramo, igual habrá que montar una asociación).

A mi lo que de entrada me llama la atención es un evidente giro hacía la gestión de la protección de datos; es un reglamento en el que parece que por fin vamos a superar los puros formalismos en lo que respecta al tratamiento de los datos personales -si bien es cierto que veo mucho formulario suelto por el texto-, pero lo importante es que se intuye que la gestión responsable y organizada de la información personal va a ser el eje central de los tratamientos.

Parece ser que nos quedamos sin registro de protección de datos (muchos ya saben mi opinión, de hace años, al respecto), el documento de seguridad y los informes de auditoria dejarán de ser elementos decorativos, cogiendo polvo en las estanterías de los responsables de los ficheros o tratamientos, perdón, de los responsables de los tratamientos, por fin ...

La seguridad dejará de tener una orientación paternalista: “tienes que hacer copia de seguridad cada semana”, “cada uno tiene que tener su usuario y su contraseña”, “no me tires los papeles a la papelera”, “lo de la seguridad me lo pones por escrito”, etc.

El principio de seguridad queda casi intacto, pero nos vienen a decir: “hágame usted un análisis de riegos, y ya verá usted que medidas de seguridad debe implantar”. En este punto si que va a tener relevancia la familia de buenas prácticas ISO27000, o incluso para nuestro sector público la adecuación al Esquema Nacional de Seguridad.

Por cierto, hablando del sector público, el reglamento no hace diferencias ostensibles entre ficheros públicos y privados, y si, parece que las administraciones públicas también podrán ser sancionadas económicamente si cometen infracciones.

Y sobre todo, el hecho de que se prevea la existencia de un “delegado de protección de datos”, en la actual versión castellana así se le llama (personalmente a mi me suena al delegado de clase, que tiene unas ciertas connotaciones de chivato o confidente, disculpas a los que lo hayan sido en su día); a mi me dió en algún momento por llamarle coordinador de protección de datos, en cualquier caso el nombre no hace la cosa, y un poco chivato si que va a ser.

Lo importante es que alguien, con nombre y apellidos y peso en la organización, va a tener que ocuparse de que los tratamientos de datos personales realizados por empresas y sector público cumplan con las normas de protección de datos, y además va a mantener una estrecha relación con las autoridades de control y con los interesados.

Hay una cosa que me tiene intrigado, y que iremos viendo como se configura, y es la constatación de una cierta “fuerza centrípeta” -lo he tenido que buscar en la Wikipedia, que no estaba seguro del significado, vamos que la fuerza se dirige al centro-, que transpira en general el reglamento, en relación a la arquitectura de las autoridades de control en aquellos casos en que existan autoridades territoriales (autonómicas en nuestro caso), supuesto que me temo que ahora solo se da en Alemania y España.

Todo dependerá de un desarrollo legislativo que deberán llevar a cabo los estados miembros, en el que se establecerá como se distribuye ex-novo el “trabajo” entre las diferentes autoridades de control que puedan coexistir en el territorio de un estado miembro, cuestión que debe ponerse en conexión con el mecanismo de coherencia en la aplicación del reglamento.

Ya no me queda espacio para ahondar en esta cuestión (me he autoimpuesto un máximo de palabras), pero la coyuntura influye –caso del “superregulador” del mercado-, y todo y que veo oportunidades en la reforma, no es menos cierto que también veo riesgos, pero esto ya da para otros debates. 

viernes, 4 de noviembre de 2011

¿Por qué un blog y por qué hoy?

Ya hace tiempo que me venia planteando si debía abrir mi propio blog, lo cierto es que el principal obstáculo para decidirme era no levantar demasiadas expectativas; desde luego un tanto pretencioso por mi parte pensar que tendría una audiencia pendiente de mis entradas en un blog.

Después de aproximarme hace unas pocas semanas, y de forma muy tímida, a Twitter (@RamonMiralles), me he replanteado mi postura inicial, que a parte de pretenciosa era muy inocente; la culpa de todo, incluido lo de mis primeros “gorjeos” la tiene Rodolfo (@RodolfoTesone), tal y como él dice (más o menos), debes saber que te mueve a tener presencia en la red, y debes decidir de que modo vas a estar presente.

Pues bien, me mueve la obligación de devolver a la comunidad algo del conocimiento que he adquirido en la red con los miles de páginas de información visitadas en todos estos años, y los también centenares de blogs que he consultado y que me han “desasnado” en tantos y tantos temas, detrás de los cuales hay personas que en su momento entendieron que significaba compartir en la red. Toca ya empezar a devolver algo de lo recibido, aunque sea modestamente.

Lógicamente también me mueve el hecho de querer aportar nuevos puntos de vista, y que se “lea mi voz”, como uno más. En todos estos años he visto como algunas de mis ideas y pensamientos tenían sentido, ya que eran compartidas por otros, eso te ayuda a ser humilde y no pensar que tu eres el único que tiene esa idea deslumbrante, o ese pensamiento tan profundo, y sobretodo te obliga a pensar que no estamos solos y que del contraste, de la diversidad y de la comunicación podemos obtener extraordinarios resultados.

He hecho referencia en un par de ocasiones a “todos estos años”, y es que echando la mirada atrás, cuando hace ya 16 años, en noviembre de 1995 pusimos en marcha la primera página web de la Generalitat de Catalunya, con algo tan trascendente como publicar en línea los resultados de las elecciones al Parlament de Catalunya del 19 de noviembre de aquel año, poco nos podíamos imaginar Jaume, Francesc y yo mismo, como irían evolucionando las cosas.

Desde entonces he ido cultivando por separado, o a la vez, mis conocimientos TIC y mis conocimientos jurídicos, durante mucho tiempo, tal vez demasiado, no me atreví a explicar que era un licenciado en derecho, que en su origen quería hacer oposiciones a fiscal, y que acabó siendo un informático un tanto especial.

He sido implantador, operador, programador, analista, técnico de sistemas, responsable de proyectos de desarrollo de aplicaciones, director técnico y de nuevas tecnologías, consultor TIC y de seguridad de la información, auditor de sistemas de información, y en un momento u otro siempre he tenido la oportunidad de aplicar, con mayor o menor intensidad, mi vocación por lo jurídico.

He servido en muchísimas ocasiones de intérprete entre técnicos y juristas, como hace tan solo unas horas me recordaba Rafa (@RGarciadelPoyo); debo añadir que además respetado por unos y por otros, hay que reconocerlo.

Es una gran noticia que ya empiece a tener peso un buen y preparado grupo de juristas sensibles por las tecnologías de la información y la comunicación, que van más allá y que son conscientes de los retos que supone la sociedad de la información, nos hemos encontrado algunos, no todos por descontado, hace unos pocos días en Cádiz, ENATIC ha sido el “verbo” entorno al cual ha girado esa unión de voluntades, y lo que nos va a mover a que aquello en lo que creemos y deseamos vaya a cumplirse. El efecto “TICmalion”, que ha tenido su primer resultado en la “declaración de la abogacía en la era digital”.

¿Y por qué hoy? Pues simplemente porque hoy llueve y no ha sido posible realizar las actividades extraescolares de cada viernes por la tarde, no teníamos un plan B, y estamos toda la familia en casa, cada uno dedicado a sus cosas y con una paz nada habitual, así que ese ha sido el gran momento para ponerme a escribir estas líneas.

Espero tener muchos momentos de paz y poder dedicarme a compartir lo poco que sé, así como mis opiniones no siempre correctamente alineadas, con todos aquellos que por despiste, por curiosidad o por bondad, se atrevan a leerme.