Por: Rodolfo Guerrero Martínez (México).
“Los procesos de compliance representan un vehículo fundamental para la transformación de la dinámica social, que da apertura a una debida tutela de los derechos humanos en las herramientas de gestión empresarial y gubernamental”.
Guerrero Martínez, Rodolfo.
Dentro de las 10 principales tendencias tecnológicas estratégicas de Garther (1) para el año 2023 encontramos (I) Sistema Inmunitario digital; (II) Observabilidad aplicada; (III) Gestión de la confianza, el riesgo y la seguridad de la IA (AI TRISM); (IV) Plataformas industriales en nube; (V) Ingeniería de plataformas; (VI) Realización del valor inalámbrico; (VII) SuperApps; (VIII) IA adaptativa; (IX) Metaverso; y (X) Tecnología sostenible.
Tras lo descrito, las tecnologías de la información y la comunicación crean un reto mayúsculo para el ámbito empresarial y gubernamental, que obliga a la aplicación del compliance digital, que definimos como el conjunto de estrategias, programas y políticas de la empresa que tienen como objetivo el mitigar riesgos tecnológicos.
A continuación compartimos algunas situaciones y retos a considerar:
(1) La confidencialidad en el teletrabajo
Recientemente en el marco jurídico mexicano fue publicada la norma oficial mexicana (NOM) 037-STPS-2023 en el Diario Oficial de la Federación –que entrará en vigor seis meses después de su publicación-, la cual versa sobre el teletrabajo, de las condiciones de seguridad y salud en el trabajo. En ese orden, mencionamos ciertas disposiciones que destacan como que (2):
- Los empleadores deberán cumplir con obligaciones como proveer a las personas trabajadas de las herramientas necesarias para su desempeño, incluyendo silla ergonómica, aditamentos ergonómicos en caso de ser necesario, y todo lo necesario para el trabajo.
- Los empleadores también deberán sufragar el pago proporcional del consumo del internet, del consumo de la energía eléctrica; la computadora, tableta, teléfono celular inteligente, impresora, y la tinta de éstas, que pudieran utilizar para realizar el Teletrabajo.
- Se define y reconoce el derecho a la desconexión como un elemento fundamental bajo esta modalidad, lo que significa que se debe cumplir con los tiempos de la jornada laboral y no participar en reuniones o hacer uso de equipos de cómputo o similares en vacaciones, permisos y licencias.
Precisamente, en nuestro objeto de estudio, el compliance digital viene ampliar las responsabilidades sobre ámbitos tales como la seguridad de la información y la protección de datos personales. Esto debido a que, puede comprometer las bases de datos de la empresa u oficina de gobierno donde labore el trabajador o empleado.
Ante lo mencionado en el párrafo precedente, la práctica del “Bring your own Device (BYOD)” o el llevar su propio dispositivo a casa, se convierte en un caso de riesgo, debido al desconocimiento de los trabajadores para tener una conexión segura a la internet a través de sus dispositivos digitales. Justamente, es prioritario establecer políticas de movilidad empresarial para que dicho proceso sea exitoso, algunos puntos son:
- Asegurar y definir el derecho de acceso y seguridad de datos.
- Establecer consideraciones financieras y de gestión.
- Tener en cuenta al usuario, y asegurarse que el trabajador se corresponsabiliza en la protección y cuidado de los datos.
- Crear flujos de trabajo sencillos para el empleado, para poder compaginar tecnología tradicional con su dispositivo personal
- Establecer un planteamiento de negocio a futuro, creando protocolos de actuación y planes de continuidad.
- Pensar cómo adaptar a los objetores que pueda haber dentro de la empresa de esta adaptación tecnológica.
Cabe resaltar que, las obligaciones que tiene el patrón hacia las personas trabajadoras bajo la modalidad de teletrabajo es contar con un listado del equipo de cómputo y ergonómico, en este rubro se nos precisa una breve pero importante nota sobre la confidencialidad de los datos contenidos en dicho listado.
(2) Gestión y seguridad de la identidad
La gestión y la seguridad de identidad representan una problemática, porque la información de identificación personal necesita tener acceso controlado para proteger contra usurpación de identidad, pues solo se requiere de un hacker o ciberdelincuente para infiltrase a cualquier base de datos y robar su identificación biométrica. A continuación señalaremos diversos problemas de los rasgos biométricos (3):
- Son únicos, permanentes e irrevocables.
- Públicos y de obtención sencilla.
- Replicables con facilidad.
- No se pueden denegar.
- Pueden ser usurpados por medios fuera del control del propietario y – la
información extraída de un rasgo biométrico deberá ser almacenada en
algún tipo de base de datos, lo cual propicia no solo el robo físico, sino
que compromete el lugar con ingeniera inversa o expone la seguridad de
un servidor o base de datos. - Los sistemas presentan un área de ataque más amplia. Los atentados
podrán ser en áreas tan discrepantes como: la audiovisual, en la medicina,
mecánica, química, electrónica e incluso en la física aplicada.
(3) Tratamiento que integre la inteligencia artificial
En marco actual del bloque exponencial de tecnologías de la información y comunicación, debemos considerar un caso como la adecuación al Reglamento General de Datos de la Unión Europea o también denominado GDPR de tratamientos que incorporen inteligencia artificial (febrero, 2022) y los requisitos para auditorias de tratamientos que incluyan inteligencia artificial (febrero, 2021).
La base legal del tratamiento dispone la necesidad de tratar datos para la ejecución de un contrato o para la aplicación de medidas precontractuales, del interés legítimo y del consentimiento, contemplando el retiro posterior del consentimiento no afectará al tratamiento realizado hasta ese momento, a su vez carece de efecto retroactivo con relación a resultados previamente obtenidos. Sin embargo, existen excepciones como la protección de intereses vitales, razones de interés público y cumplimento de obligaciones legales determinados en una norma de la unión europea o de los Estados miembros.
En cuanto a los requisitos que deben cumplirse para las auditorias de tratamientos que integren inteligencia artificial, en ese orden de ideas, la Agencia Española de Protección de Datos publicó una guía sobre el tema el 12 de enero del año 2020 (4). En dicho documento se establecen diversos controles: (I) Inventariar el algoritmo auditarlo; (II) identificar las responsabilidades; (III) cumplir con el principio de transparencia; analizar el principio de proporcionalidad como el idoneidad, proporcionalidad y necesidad del tratamiento, y su debido caso, desempeñar una evaluación de impacto; (IV) analizar los límites de la recogida y conservación de datos; (V) identificar la arquitectura básica del componente IA, entre otros.
(4) Auditorias algorítmicas
Las auditorias en el ámbito del compliance son fundamentales para garantizar el cumplimiento de las normas en las esferas contable, legal, fiscal y legal tanto de forma interna como externa en los países en donde tenga operación una organización. Ahora bien, en el compliance digital, debemos procurar en principio, la protección de los activos informacionales, no obstante también, realizar el análisis sobre la aplicación de los algoritmos en los ámbitos ya referidos.
Dentro del ámbito de cumplimiento algorítmico, debemos hacer una auditoria de esta clase, que nos permita evaluar un sistema automatizado de toma o soporte de decisiones (ADS) y su proceso de desarrollo, que incluya su diseño y los datos utilizados para el entrar un sistema.
Los propósitos que permite verificar las autorías algorítmicas no solo en las compañías sino además en los organismos públicos son (5):
- Respetar el derecho de los ciudadanos a saber con qué sistemas se encuentran interactuando en sus vidas, enumerando y describiendo públicamente los ADS que afectan significativamente a personas y comunidades.
- Fortalecer la capacidad interna de los organismos públicos de evaluar los sistemas que construyen o adquieren, y facilitar que obtengan una mayor experiencia en estas tareas. Esto para que logren anticipar los problemas que puedan surgir de situaciones indeseadas, entre ellas la asignación incorrecta de beneficios o las violaciones al debido proceso, por mencionar solo dos.
- Garantizar una mayor responsabilidad en el uso de los ADS diseñando un método útil y continuo para que terceros revisen y evalúen estos sistemas; así como garantizar que la ciudadanía tenga derecho de réplica para impugnar el uso de un determinado sistema.
El hecho de desarrollarlas facilita apreciar la criticidad de los sistemas, es decir, en la importancia y riesgo de los ADS en su diseño e implementación. En el riesgo comprendemos aquellos errores que se produzcan hacia la población involucrada, por ejemplo sobre la toma de decisión de la libertad de un imputado o la asignación de recursos para finales sociales. Con respecto al daño, localizamos tres elementos: (I) la probabilidad de que ocurra el daño; (II) la profundidad del impacto; y (III) la distribución del error.
Conclusión General
Ante la amplia variedad de fenómenos sociales y de trasformación digital, resulta obligado un programa de cumplimiento normativo en aras de garantizar y tutelar derechos humanos de cada persona en el sector público y privado. Es responsabilidad de cada integrante de los poderes del estado como de los líderes de empresa el crear marcos preventivos, respetuosos a la ley y que empoderen a cada integrante de la denominada cadena de valor.
En el contexto de la disrupción digital, el compliance exhorta hacia un enfoque de gestión de riesgos del uso fraudulento de los sistemas expertos, de los recursos electrónicos de un sector como el corporativo, sobre las necesidades contractuales de control y seguimiento, así también a una armonización entre las normas nacionales e internacionales en materia de protección de datos personales.
Fuentes de consulta
(1) 10 principales tendencias tecnológicas estratégicas de Garther. Véase en: https://t.ly/JDfs
(2) NOM-037-STPS-2023, teletrabajo-condiciones de seguridad y salud en el trabajo. Véase en: https://t.ly/a2jjP
(3) RODRÍGUEZ, ANTONIO. La problemática de la biometría como método de
autenticación. INCIBE, 2013. Véase en: https://t.ly/NH-G
(4) Guía sobre los requisitos para auditorias de tratamientos que incluyan inteligencia artificial (IA). Agencia Española de Protección de datos, 2020. Véase en: https://t.ly/kLzh
(5) Auditoría algorítmica para sistemas de toma o soporte de decisiones, (BID, 2022). Véase en: https://t.ly/KeLK
***
Rodolfo Guerrero es abogado por la Benemérita Universidad de Guadalajara y maestro en derecho con orientación en materia Constitucional y administrativo por la misma casa de estudios. Es Socio Fundador y Representante Legal de la Sociedad Civil Coffee Law “Dr. Jorge Fernández Ruiz”. Socio fundador de la Academia Mexicana de Derecho “Juan Velásquez” A.C. Titular de la Comisión de Legaltech del Ilustre y Nacional Colegio de Abogados de México A.C. Capítulo Occidente. Vicepresidente de la Academia Mexicana
- Líder indígena, Huni Kuin, ONU,biopiratería, Australia, edad mínima, redes sociales - noviembre 25, 2024
- NCC Radio Ciencia – Emisión 286 – 25/11/2024 al 01/12/2024 – Encuentran altos niveles de metales pesados en aves marinas de Galápagos - noviembre 25, 2024
- NCC Radio Tecnología – Emisión 286 – 25/11/2024 al 01/12/2024 – Árbol robot con inteligencia artificial: una propuesta desde Bucaramanga - noviembre 25, 2024