¡Feliz año nuevo, malditas y malditos! Traemos una nueva edición de nuestro consultorio tecnológico para que empieces el año con buen pie en el mundo digital. Las cuestiones de hoy son las siguientes: ¿cómo de seguro es lo de llevar el certificado COVID en llaveros o camisetas? ¿Hay alguna manera de ‘denunciar’ un algoritmo? Y ya puestos, ¿es lo mismo hablar de algoritmos que de inteligencia artificial?
Arrancamos 2022 aprovechando para recordaros que podéis mandarnos vuestras preguntas y las iremos respondiendo en los siguientes consultorios: mandadnos un correo electrónico a [email protected], un mensaje a nuestro Twitter o a Facebook, o a través de este sencillo formulario. ¡Empezamos!
¿Es seguro eso de llevar nuestro certificado COVID en llaveros, camisetas u otros productos?
La presentación del certificado COVID para disfrutar de algunos lugares de ocio se ha vuelto obligatoria en varias comunidades autónomas que recogemos en nuestro consultorio pandémico, en Maldita.es. A raíz de ello, circulan muchos intentos de plasmar los datos que recoge este documento oficial en objetos de nuestro día a día, como llaveros, pegatinas, collares e incluso camisetas. ¿Piensas que es una gran idea? Todo lo contrario, te explicamos por qué.
El certificado COVID es un archivo único que contiene datos referentes a tu salud. Los tuyos y los de nadie más. Son datos sanitarios sobre tu estado de vacunación que están ligados a tu nombre y tu fecha de nacimiento y que por tanto te identifican directamente. Importa que sean datos sobre nuestra salud porque el Reglamento General de Protección de Datos (RGPD) los clasifica como “sensibles” y “especiales”. Es decir, que hay que tener un extra de cuidado con ellos y directamente prohíbe su uso si no es en un caso muy justificado.
¿Es por tanto buena idea imprimir esos datos tan sensibles en una camiseta? Va a ser que no, teniendo en cuenta que hay formatos digitales más seguros para portar los propios datos y el código QR. “Hay que tener en cuenta que en el QR del certificado está la siguiente información: nombre del titular, fecha de nacimiento, fecha de emisión, información relevante sobre la vacuna, prueba diagnóstica o recuperación y un identificador único”, señala Paula González, jefa de auditoría en GMV y maldita que nos ha prestado sus superpoderes.
“En este caso aparte de la información identificativa de carácter personal (PII), como nombre y fecha de nacimiento, hay que tener en cuenta que también se está exponiendo información personal de tipo médico (PHI) como la vacuna que nos han puesto (o si se trata de un certificado de recuperación por ejemplo), fecha de la misma, etc.”, añade. Con este tipo de certificado una persona podría saber que has pasado el COVID-19, por poner otro ejemplo.
Llegados a este punto, podríamos pensar que no importa que un desconocido sepa si estamos o no vacunados. Sin embargo, tratar tan a la ligera estos datos puede llevar a la suplantación de nuestra identidad o a la venta de esos datos a partes interesadas. ¿Qué pueden hacer luego con ellos? Por ejemplo, diseñar campañas de phishing con nuestra información de forma tan precisa que hagan que caigamos en la trampa. Sabemos que a través de estos casos no solo pueden robar nuestros datos o nuestras credenciales bancarias, sino instalar programas maliciosos en nuestros dispositivos.
“En caso de pérdida del llavero, por ejemplo, estamos dando a terceros información sensible nuestra que puede ser, si cae en manos equivocadas, utilizada de forma fraudulenta o utilizada por otras personas para intentar acceder a lugares cerrados con nuestros propios datos”, recuerda a Maldita.es Jorge Campanillas, abogado especializado en protección de datos.
Campanillas señala otro punto importante, y es el tratamiento que va a hacer de esos datos el propio vendedor del merchandising de COVID: “Desde el punto de vista del empresario que realiza estos productos, según como los realice, solicite la información, la trate, almacene, etc., tiene que ser consciente del cumplimiento normativo en materia de protección de datos que, además pueden ser considerados de categoría especial por la información que contienen”. ¿Cómo asegura el vendedor que va a cuidar nuestros datos de vacunación?
Si no nos queda otro remedio que llevar el certificado COVID en formato físico, González recomienda “llevar impreso y plastificado el QR en la cartera como si de una tarjeta de crédito se tratase que sólo se saca cuando hace falta”. El riesgo de perderlo también está ahí, pero al mismo nivel que perder la cartera con tu DNI o tu tarjeta bancaria, y no al alcance de la vista de cualquiera.
¿A quién reclamamos que un algoritmo tome una decisión errónea sobre nosotros?
Aunque no seamos del todo conscientes de ello, hay ocasiones en las que una empresa o una administración puede estar decidiendo algo que nos incumbe a través de un programa informático. La concesión de una ayuda, la renovación de un contrato, el aumento de la cuota de un seguro… Son decisiones que puede estar tomando un algoritmo en función del análisis que hace de la información que tiene sobre nosotros.
Veámoslo con ejemplos concretos: en Reino Unido se condenó a casi 40 trabajadores del servicio postal porque un programa informático determinó que estaban cometiendo fraude y robando dinero. Se equivocó. En Holanda, varios trabajadores de Uber fueron despedidos porque un algoritmo aseguró que su productividad era baja. Estos denunciaron a la empresa y el caso acabó en los tribunales.
A pesar de estos casos reales, no es lo común que una persona se entere de cuándo un algoritmo ha tomado o está tomando una decisión sobre ella. Puede tener sospechas, indicios o enterarse de ello a través de terceras personas, pero no todas las empresas u organizaciones hacen públicos los algoritmos que utilizan para cada acción y tampoco se lo comunican a sus empleados, en el caso del mundo laboral.
¿Cómo podemos enterarnos de si una empresa, partido, organización, institución, etc. está usando algoritmos para decidir algo sobre nuestra persona? ¿Y cómo podemos reclamar si ese algoritmo ha tomado una decisión errónea al respecto? En el caso de España, el primer paso es acudir a la Agencia Española de Protección de Datos (AEPD).
Gemma Galdón, directora de la consultora Éticas y especialista en auditoría de algoritmos, nos explica que el Reglamento General de Protección de Datos (RGPD) “incorpora toda una parte referente a la decisión automatizada y la explicabilidad de los algoritmos”.
Lo recoge de forma específica en al menos dos artículos: el artículo 15 sobre el derecho de acceso explica que podemos pedir a una entidad “la existencia de decisiones automatizadas, incluida la elaboración de perfiles”, así como la “lógica” por la cual funciona ese algoritmo. Es decir, que amparándonos en este derecho podemos exigir que nos digan si alguna vez un programa informático ha tomado una decisión en base a nuestros datos que nos ha terminado afectando. En el artículo enlazado te explicamos cómo ejercitar este derecho.
Por otro lado, el artículo 22 nos dice lo siguiente: “Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”. Por tanto, tenemos base legal para acogernos si queremos reclamar que un algoritmo tome una decisión sobre nosotros.
Galdón explica que en estos casos la primera instancia es la denuncia a la AEPD porque es “gratuito” y puede reclamarse teniendo “indicios” de que un programa informático ha tomado una decisión automatizada que nos afecta: “Si quisieras ir a un juzgado tendrías que tener pruebas, y sin visibilidad del algoritmo o sin haberlo ubicado no las tendrás, solo la sospecha de que se ha utilizado o de que ha funcionado mal”.
Recientemente, se ha aprobado la llamada ‘Ley Rider’, de la cual te hablamos a fondo en este artículo. Esta nueva normativa indica que las empresas deberán proporcionar información a sus empleados sobre los algoritmos que puedan afectar a su relación laboral y a la toma de decisiones. Como recuerda Galdón, esto abre otra puerta a la denuncia de un algoritmo que falla, pero en todo caso sería un “camino judicial”.
También es importante señalar que con los Presupuestos Generales del Estado destinados a 2022 se ha aprobado la creación de una Agencia Española de Supervisión de la Inteligencia Artificial, que recibirá una dotación de cinco millones de euros. Por el momento, no queda claro si presentará herramientas para la ciudadanía o si se centrará solo en la auditoría algorítmica.
En la publicación del Boletín Oficial del Estado solo se indica que llevará a cabo “medidas destinadas a la minimización de riesgos significativos sobre la seguridad y salud de las personas, así como sobre sus derechos fundamentales, que puedan derivarse del uso de sistemas de inteligencia artificial”.
¿Es lo mismo hablar de ‘algoritmos’ que de ‘inteligencia artificial’? ¿Cuál es la diferencia?
Ya nos hemos acostumbrado a ver en redes sociales o en medios de comunicación las palabras ‘algoritmos’ e ‘inteligencia artificial’. “El algoritmo que hace esto”, “la inteligencia artificial que consigue lo otro”... Sin embargo, es muy habitual confundir ambos términos y llamar inteligencia artificial (IA) a lo que realmente es sólo un algoritmo.
En Maldita.es hablamos constantemente sobre estos términos: aquí puedes leer una definición sobre algoritmos en nuestro glosario, por ejemplo, y en este artículo explicamos qué relación tienen los algoritmos, la inteligencia artificial y el machine learning. En este momento, vamos a centrarnos en las diferencias entre los conceptos ‘algoritmos’ e ‘inteligencia artificial’ y por qué no se debería hablar indistintamente de ellos.
A modo de resumen, diremos que la inteligencia artificial está compuesta por algoritmos, pero no todos los algoritmos son inteligencia artificial. ¿Qué queremos decir con esto? Un algoritmo es un conjunto de instrucciones: si un ingeniero quiere que un ordenador haga una función concreta al apretar un botón, escribirá un algoritmo que indique con un lenguaje informático que “cuando se aprieta el botón, el ordenador hará la función”.
A partir de ahí, podemos decir que hay algoritmos más simples o más complejos. El algoritmo del botón puede ser simple porque indica una sola función. Un algoritmo más complejo puede ser aquel que hace clasificaciones para obtener un resultado. Si se está analizando con un programa informático las posibilidades de que una persona contraiga una enfermedad, se tendrán en cuenta muchos factores: si es hombre o mujer, su edad, si es fumadora o no, si tiene patologías previas, etc. Pero eso no tiene por qué implicar el uso de inteligencia artificial sino de una función estadística que dice que “si la operación incluye los factores ‘mujer’, ‘+40 años’, ‘fumadora’ y ‘diabética’, entonces el resultado será x”. Si cambian los factores, también puede cambiar el resultado.
Cuando hablamos de inteligencia artificial, hablamos de algoritmos que “aprenden”. Es decir, algoritmos que pueden darse órdenes a sí mismos para mejorar. En el caso de la predicción médica, usar inteligencia artificial implicaría, por ejemplo, que el programa informático no diese un resultado sólo en base a factores como la edad o el sexo, sino que hiciera su propio cálculo analizando muchos más datos e incluso casos previos que tuviesen un diagnóstico parecido.
Así, el algoritmo está aprendiendo porque hace su propia interpretación de cuál es el problema en base a los casos pasados que existen, los datos que tiene sobre el paciente, los diagnósticos de otras personas con su perfil, etc. Imagínate que el programa detectase que entre los no fumadores hay un patrón y todos terminan diagnosticados con otra enfermedad. Este hipotético programa basado en IA podría avisar de ello. Pero eso lo habrá aprendido y decidido por su parte, sin ayuda humana.
El problema se hace más grande cuando entendemos que incluso dentro del campo de las distintas aplicaciones y tipos de inteligencia artificial también se crea confusión con los términos. Carlos Santana, divulgador tecnológico en DotCSV, lo contaba hace al menos cuatro años en su canal de YouTube, al explicar las diferencias entre términos relacionados con la IA que también nos pueden sonar: machine learning, redes neuronales, big data, etc.:
Dicho todo esto, ¡tranquilos! No se espera que un usuario medio conozca al dedillo la diferencia exacta entre tipos de algoritmos o su relación con la inteligencia artificial. Los especialistas en este campo coinciden en que es muy difícil distinguir entre lo que es inteligencia artificial y lo que no. Sin embargo, tener todo esto en la cabeza nos ayuda a ser conscientes de que no todo lo que se anuncia como ‘inteligencia artificial’ tiene por qué serlo, ya que existe mucha confusión entre los términos.
Y antes de que os vayáis...
No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.
Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:
En este artículo ha colaborado con sus superpoderes la maldita Paula González, experta en ciberseguridad.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.