Tema 2: Ética, seguridad y privacidad en los Sistemas de Información

# Tema 2: Ética, seguridad y privacidad en los Sistemas de Información
## ADE. 172821. Sistemas de Información
### Mónica Cortiñas
### Universidad Pública de Navarra
### Curso 2019-2020 (actualizada: 03/11/2019)

---

<div class="my-footer"><span>Sistemas de Información <u>Tema 2</u></span></div>

---
class: center, middle, remark-inverse

# Estructura

---
class: middle

# Secciones

### 2.1 Introducción
### 2.2 Derechos y obligaciones de **información**: Datos personales y privacidad
### 2.3 Derechos y obligaciones de **calidad del sistema**: Seguridad, rendición de cuentas y control
### 2.4 Derechos y obligaciones de **propiedad**: Propiedad intelectual
### 2.5 Impacto **social** y calidad de vida
### 2.6 **Análisis ético**

---
class: middle

## Objetivos de aprendizaje

### 1.- Comprender los principales **dilemas éticos** ligados a los Sistemas de Información y los principios específicos para la conducta se pueden utilizar para guiar las decisiones éticas.

### 2.- Entender por qué la tecnología de los SI e Internet imponen desafíos para la **protección de la privacidad y la propiedad intelectual**.

### 3.- Entender la importancia de los aspectos de **seguridad** ligados a los sistemas de información.

### 4.- Entender cómo afectan los sistemas de información a la **vida diaria de las personas** y cuál puede ser su impacto futuro.

---

# 1. Introducción

---
class: middle, center

# Casos notorios de dilemas éticos asociados a sistemas de información

]

## - Caso Facebook - Cambrige Analytica</b>

[más info](https://elpais.com/tag/caso_cambridge_analytica/a)

]

---

# Casos notorios de dilemas éticos asociados a sistemas de información (II)

]

## - Caso YouTube y contenidos extremos</b>

[más info](https://www.nytimes.com/2019/06/03/world/americas/youtube-pedophiles.html)

]

---

# Casos notorios de dilemas éticos asociados a sistemas de información (III)

]

## - Caso Bono social en China

[más info](https://www.wired.com/story/china-social-credit-score-system/)

]

---

# Áreas especialmente sensibles

---

# 2. Derechos y obligaciones de información: Datos personales y privacidad

---
class: middle, center

# Privacidad vs Valor de Datos personales

<em>"Los datos son el nuevo oro"</em>

]

<em>"Cuando el producto es gratis, el producto eres tú."</em>

]

---
# Los datos personales permiten individualizar

### Diseñar mejores productos, publicidad personalizada, conjuntos de elección distintos

---
class: middle, center
## También generan riesgos y preocupación para los usuarios

---
# El papel de las AAPP en este conflicto

## Papel más activo del legislador en Europa que en EEUU

- En España LOPD (1999) crea la Agencia Española de Protección de Datos

## En 2018 Europa aprueba **G**eneral **D**ata **Protection** **Regulation**

- son datos personales toda información sobre una persona física identificada o **identificable** (el interesado).

- persona física identificable es toda aquella persona cuya identidad pueda **determinarse** directa o **indirectamente**.

---
# Datos especialmente protegidos en la GDPR

.pull-left[
- Origen étnico o racial  
- Opiniones políticas  
- Convicciones religiosas  
- Afiliación sindical  
- Datos genéticos y biométricos  
- Datos de salud y vida sexual  
- Orientación sexual  
]

<img src="images/data.jpg" width="90%" />
]

---
# Aspectos más relevantes

]

- Notificación de brechas obligatoria en 72h
- Privacidad desde el diseño y privacidad por defecto
- Evaluación de impacto obligatoria
- Delegado de protección de datos
- Sanciones
- Derechos ciudadanos: 
    - Derecho al olvido
    - Derecho a la portabilidad de los datos
    - Derecho de oposición a la creación de perfiles
- Modelo "opt-in" vs modelo "opt-out"    
]

---

# Información sobre cookies

### Cookies técnicas

### Cookies de personalización

### Cookies de análisis

### Cookies de terceros

]

]

---

# La Agencia Española de Protección de Datos

https://www.aepd.es/

]

### - Encargada de supervisar la aplicación de la ley

### - Otros servicios

- Difusión de derechos y deberes: acceso, rectificación, oposición, supresión (olvido), portabilidad...

- Servicios a empresas: Asesoría en la aplicación: Programa Facilita 2.0

]
---

# 3. Derechos y obligaciones de calidad del sistema: seguridad, rendición de cuentas y control

---
# Responsabilidad legal de las personas jurídicas

- Ley Orgánica 1/**2015** de Responsabilidad Penal de las Personas Jurídicas
- No solo los individuos sino también las personas jurídicas tienen responsabilidad
- Funciones indelegables
- Obligación de prevención: programas de *compliance*
- Delitos del ámbito empresarial

]

[Ejemplos](http://rgpdblog.com/irrumpen-dos-nuevas-sentencias-en-el-top-10-por-responsabilidad-penal-de-las-personas-juridicas/)

]
---
# Áreas que presentan retos en seguridad

### - Gestión de acceso y la identidad

### - Puesto de trabajo, aplicaciones y datos

### - Sistemas y en la red

]

]

---
# Gestión de acceso y la identidad

### Problemas de seguridad que se producen por suplantación de identidad y/o robo de credenciales de acceso al sistema.

### Para minimizar los riesgos en la gestión de acceso a la información se debe:

- Realizar auditorías periódicas de riesgos técnicos, análisis de vulnerabilidades, auditoría de contraseñas, de sistemas y de ficheros.

- Establecer sistemas seguros, fiables y actualizados de control de acceso y autentificación, certificados digitales, firma electrónica

- Establecer sistemas para el cumplimiento de los requisitos legales al respecto: borrado de información, requisitos para el acceso, destrucción documental segura

---
# Puesto de trabajo, aplicaciones y datos

### - Gestión de la información dentro de la organización y por las personas que trabajan en ella, a través del manejo de aplicaciones y datos.

### - Necesario incorporar:

- Herramientas antifraude: anti-phising, anti-spam...
- Herramientas anti-malware: anti-virus, anti-adware y anti-spyware
- Sistemas de gestión de la seguridad de la información (SGSI)
- Herramientas de contingencia y seguridad
- Herramientas de seguridad en dispositivos móviles

---
# Sistemas y red

### - Necesario incorporar:

- Inteligencia de seguridad: establecer la política que permita la monitorización y el establecimiento de informes periódicos de eventos sensibles en cuanto a seguridad en el sistema.
- Prevención de posibilidades de fuga de contenidos: sistemas de cifrado de información, gestión del ciclo de vida de la información, control de contenidos confidenciales.
- Protección de las comunicaciones: cortafuegos, VPN, gestión y control de ancho de banda, seguridad en redes inalámbricas.

---
# Dos preguntas importantes

### - ¿Cuándo un sistema es seguro? el software perfecto no existe

### - ¿Quién es responsable cuando hay un fallo de software? bienes vs servicios, ¿qué se considera un fallo?

- Ejemplo coche autónomo

- [Inteligencia Artificial para Europa](https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A52018DC0237)
---

# 4. Derechos y obligaciones de propiedad: Propiedad intelectual

---
# Información digital

## Altos costes de reproducción, bajos costes de reproducción
]

]

---
# Tipos de protección

### - Secreto comercial

### - Derechos de autor

### - Propiedad Industrial

---
# Secreto comercial

- Información confidencial en las relaciones profesionales

- Legislación sobre defensa de la competencia afacta sobre todo a los empleados

- Responsabilidad también si se recogen claúsulas de confidencialidad

]

]

---
# Derechos de autor

- Derechos morales y de explotación por las creaciones propias
- Legislación y jurisprudencia compleja

]

[artículo en Xataka](https://www.xataka.com/legislacion-y-derechos/caso-euskaltel-se-extiende-toda-espana-amenazas-carta-pidiendo-dinero-para-evitar-ir-a-juicio-descargas-p2p)
]
---

# 5. Impacto social y calidad de vida

---
# Otras áreas importantes

### - Balance de poder consumidores/empresas/plataformas
### - Velocidad del cambio y necesidad de adaptación continua, con aparición de la brecha digital
### - La existencia de límites cada día más difusos entre la vida familiar/profesional
### - Dependencia y vulnerabilidad de los sistemas
### - El impacto en empleo con los cambios en las demandas profesionales

---
# Balance de poder consumidores/empresas/plataformas

[Ejemplo INE](https://www.eleconomista.es/economia/noticias/10167522/10/19/El-INE-usara-los-movimientos-de-nuestros-telefonos-moviles-para-elaborar-un-nuevo-estudio.html)

---
# Velocidad del cambio y necesidad de adaptación continua

### - Aparición de la brecha digital: ¿qué sucede con los que no pueden adaptarse?

]

<a href="https://www.lavanguardia.com/vida/junior-report/20190509/462140060359/brecha-digital-desigualdad-acceso-internet.html" target="_blank">la vanguardia</a>

]

---
# Límites difusos entre vida familiar/profesional

### - Derecho a la desconexión digital - LOPD

---
# Dependencia y vulnerabilidad de los sistemas

- [Apagón Tenerife](https://elpais.com/politica/2019/09/29/actualidad/1569764208_489586.html)

---
# Impacto en empleo. Ejemplos:

- Controlador de tráfico con drones
- Diseñadores de impresión 3D en moda
- Analista de autotransporte
- Contextualistas de datos
- Cosechadores de agua
- Especialistas en avatares
- Terapeutas y cirujanos de aumento de memoria

[Randstad](https://www.randstad.es/tendencias360/como-sera-el-futuro-del-empleo-en-2030/)

]
.pull-right[

<img src="images/randstad.jpg" width="90%" />
]
---

# 6. Análisis ético

---
# Conceptos básicos

### - Responsabilidad
### - Rendición de cuentas
### - Responsabilidad legal
### - “Debido proceso”

---
# Pasos en el análisis ético

<tr><td style="text-align:left; background-color:rgba(71,71,71,0.9);color:white">1. Identificar los hechos</td><td>Quién hace qué, cuándo y cómo</td></tr>

<tr><td style="text-align:left; background-color:rgba(71,71,71,0.9);color:white">2. Definir dilema y valores involucrados</td><td>Cuáles son los valores en conflicto</td></tr>

<tr><td style="text-align:left; background-color:rgba(71,71,71,0.9);color:white">3. Identificar participantes</td><td>Qué grupos y qué demandan</td></tr>
<tr><td style="text-align:left; background-color:rgba(71,71,71,0.9);color:white">4. Opciones posibles</td><td>Qué posibilidades razonables existen</td></tr>
<tr><td style="text-align:left; background-color:rgba(71,71,71,0.9);color:white">5. Consecuencias</td><td>Consecuencias potenciales de las opciones</td></tr>
</table>

Ejemplo: [Facebook y Cambridge Anaytica](https://www.xataka.com/legislacion-y-derechos/que-ha-pasado-con-facebook-del-caso-cambridge-analytica-al-resto-de-polemicas-mas-recientes)

---
# Reglas de análisis

<tr><td style="text-align:left;">1. Regla <b>dorada</b></td><td><em>"Trata a los demás como te gustaría que te trataran a ti"</em></td></tr>
<tr><td style="text-align:left;">2. Imperativo Categórico de <b>Kant</b></td><td><em>"Si una acción no es correcta para todos, no es correcta para nadie"</em></td></tr>
<tr><td style="text-align:left;">3. Regla del cambio de <b>Descartes</b></td><td><em>"Si una acción no se puede hacer repetidamente, no se debe hacer de ningún modo"</em></td></tr>
<tr><td style="text-align:left;">4. Principio <b>Utilitarista</b></td><td><em>"Lo correcto es tomar la acción con el valor agregado mayor"</em></td></tr>
<tr><td style="text-align:left;">5. Principio de <b>Aversión al Riesgo</b></td><td><em>"Lo correcto es tomar la acción que produzca el menor daño o con el menor daño potencial"</em></td></tr>
<tr><td style="text-align:left;">6. Principio de <b>"no hay comida gratis"</b></td><td><em>"Suponer que todos los bienes tangibles o intangibles le pertenecen a alguien más"</em></td></tr>

</table>

---

# Otras Reglas: Asociaciones profesionales. ESOMAR

- Actuar conforme a la **legalidad local**.
- No perjudicar la **reputación** de la investigación de mercados.
- Aplicar una conducta ética especialmente cuidadosa cuando trabajen con **niños y adolescentes**.
- Respetar los **derechos** de los entrevistados.
- Velar porque nunca se utilicen con **fines distintos** los datos recogidos para una investigación.
- Asegurar la **honradez, profesionalidad, transparencia y objetividad** de los trabajos realizados.
- Actuar con acuerdo a la **libre competencia**.

[ESOMAR](https://www.esomar.org/uploads/public/knowledge-and-standards/codes-and-guidelines/ICCESOMAR_Code_Spanish_.pdf)

---

# Otras Reglas: Asociaciones profesionales. Computers Ethics Institute

- I. No usarás una computadora para **dañar** a otras personas  
- II. No **interferirás** con el de trabajo en computadora de otras personas  
- III. No te inmiscuirás en los **archivos informáticos** de otras personas  
- IV. No usarás una computadora para **robar**  
- V. No utilizarás un ordenador para dar **falso testimonio**  
- VI. No copiarás o utilizarás **software registrado** por el que no hayas pagado  
- VII. No utilizarás los recursos informáticos de otras personas **sin autorización** o compensación adecuada  
- VIII. No te apropiarás de la **producción intelectual** de otras personas   
- IX  Piensa en las consecuencias **sociales** del programa que estés escribiendo o del sistema que estés diseñando  
- X. Utiliza una computadora de manera que se garantice siempre la **consideración y el respeto** para tus semejantes

[CPSR](http://cpsr.org/issues/ethics/cei/)

---

# Otras reglas (i)

- Cada vez más las organizaciones desarrollan sus popios códigos éticos, como parte de sus políticas RSC y también en parte como consecuencia de los programas de *compliance*.

- Ejemplo [Inditex](https://www.inditex.com/documents/10279/241584/C%C3%B3digo+de+Conducta+y+Pr%C3%A1cticas+Responsables/c74a0a88-e824-4e18-97fd-06fd2753570c): Principios generales:

- Todas las operaciones de Inditex se desarrollarán bajo un prisma ético y responsable.
  - El cumplimiento de la legislación vigente en cada país es presupuesto necesario del presente Código.  
  - El comportamiento de los empleados de Inditex se ajustará al espíritu y a la letra de este Código de Conducta y Prácticas Responsables.  
  - Todas las personas, físicas y jurídicas, que mantengan de forma directa o indirecta cualquier relación laboral, económica, social y/o industrial con Inditex, recibirán un trato justo y digno.  
  - Todas las actividades de Inditex se realizarán de la manera más respetuosa con el medioambiente, favoreciendo la conservación de la biodiversidad y la gestión sostenible de los recursos naturales.  
  
---
class: middle

# Secciones

---

background-image: url("images/logoblanco.png")
background-size: 100px
background-position: 90% 5%

# Final del tema

<a href="https://b.socrative.com/teacher/" target="_blank">
  <button class="btn btn-final">
    <span class="buttoninner"><i class="fas fa-question-circle"></i> Test en Socrative</a> </span>
  </button>
</a>