Millorar la participació: dades obertes i transparència

De fa anys que es diu que la política es professionalitza i s’allunya de la ciutadania, i els escàndols continuats de corrupció han portat a la necessitat de netejar la seva imatge de cercle tancat i viciat, d’obrir-la al comú de la ciutadania, buscant noves eines de participació.

Nous moviments polítics, més oberts i participatius que els anteriors, més flexibles, no fan sinó accelerar aquesta necessitat i això, alhora, acaba provocant la redacció de lleis sobre transparència i participació que obliguen els governs a dotar-se de determinades d’eines per acomplir aquests objectius.

Així, ens trobem que surten portals de transparència, indicadors de diferents tipus i portals i eines de participació, fins i tot arribem a trobar registres de grups d’interès* (lobbies): moltes i diferents eines per millorar l’accés a la informació i la participació per part de la pròpia Administració.

Però son aquestes eines les adequades? El debat va més enllà de l’eina en si mateixa, com apunta Carlos J. Gil a La democracia no representativa no es representativa i explica molt bé Versvs a Los límites de la participación**:

  • el concepte d’una democràcia participativa és funcional?
  • com podem tenir una imatge representativa de tothom en determinades assemblees?

Sembla molt, molt difícil, i no tothom podrà o voldrà anar sempre a tot, o participar en tot: la gent acostumem a moure’ns per motius determinats i no sempre altruistes, i de vegades no tenim interès o el coneixement necessari en alguns temes, o bé la profunditat i les conseqüències del que cal analitzar se’ns escapa: pot la saviesa del grup ser correcta en qualsevol cas? Sembla que no quan el grup és molt gran i els punts de coneixement son diversos i dispersos (on no hi ha un criteri comú), i això ens portaria a que el resultat no sempre podria ser el més correcte ni el més beneficiós per al grup sencer, això és, la societat…

Ara per ara, tenim més informació (portals open data) i hi ha eines i plataformes creades per grups de ciutadans/activistes que permeten aquest control (els OCM, per exemple), però tothom l’exercirà? De veritat tothom voldrà ser un científic de dades? Segurament no.

Les iniciatives de participació han de ser-hi, però el temps i la maduració de la societat ens indicaran fins a quin punt son útils. El que no hem de perdre de vista, però, és l’apoderament real de determinades minories (grups d’activistes, ciutadans conscienciats) que poden, aquests si, ser generadors d’opinió: es tracta de crear o cuidar el teixit social que permeti aquests grups independents, que enriqueixen el debat i per tant estenen el debat polític més enllà de les administracions. I les eines per aquest apoderament son, en gran mesura:

  1. els portals d’open data amb dades d’interès real, amb etiquetats comuns i mateixes unitats de mesura, comparables, agregables, que permetin l’anàlisi independent de tercers.
  2. els portals de transparència on es pengi la informació més textual, els indicadors, actes, no s’agrupi el comú de la informació generada per l’administració de torn.
  3. unes polítiques documentals i arxivístiques comunes, amb sintaxis estandarditzdes, que permetin una ordenació amb un llenguatge comú de la informació dels punts anteriors.

Els portals de participació i les iniciatives de participació seran útils (ni que sigui orientativament) i tindran èxit en tant es cuidin els anteriors punts, perquè aleshores podrà créixer el número i la qualitat de la opinió (la formació) dels participants.


(*) Registre que és voluntari i sotmès a monitorització i control una vegada t’hi inscrius.
(**) Links via Arnau Fuentes a Recull d’enllaços, nº 9.

De la web ideal a la web real

Un breu i explicatiu resum de perquè la web no és l’ideal que en tenim d’ella:

The idea of a global web pub­lic wholly in­de­pen­dent of state sov­er­eignty was to a great ex­tent an il­lu­sion of the early web in­dus­try, a sub­cul­tural hubris that posited the geek pub­lic as a van­guard of every­one on the planet: today Palo Alto, to­mor­row the world. Once the com­mer­cial logic of mar­ket seg­men­ta­tion, prin­ci­pally through the economics of mar­ket­ing, en­tered the pic­ture, the uni­ver­sal pub­lic gave way to the re­al­ity of con­sumer pref­er­ences, which have their own, dis­tinctly non-uni­ver­sal logic.

Scott Malcomson (2016). Splinternet. OR Books

No hi haurà gossos a Internet

A Google, HTTPS, y la Internet de los muertos, Versvs reflexiona sobre el moviment de Google per prioritzar els llocs amb HTTPS en els resultats de les cerques, i les implicacions que té, que no son poques. Interessantíssim post que cal llegir.

Jo em quedo amb un pensament central:

[…] este movimiento erradica uno de los últimos componentes verdaderamente desregulados y libres de la web que conocimos.

La posició de força de Google, provinent de la quantitat d’informació que ja tenia dels seus bots, i encara més de l’ús que recopila amb els usos dels navegadors i d’Android, li permeten forçar la web en la direcció que els interessi. Indubtablement ampliar l’ús de SSL reforça la seguretat i la fiabilitat de la web, però prioritza les possibilitats de llocs de determinats tipus: comercials, corporatius, comunicatius… professionals, en una paraula. La web personal queda marginada, sigui pel pes de l’existència de SSL en l’algorisme de posicionament o, d’una manera més subtil, per veure una marca vermella davant de l’adreça del lloc (i petits canvis estètics poden comportar canvis d’hàbits molt profunds) o, senzillament, pel factor econòmic: el certificat val uns diners, i més si es EV (acabarem veient registradors de DNS que ja no venguin el domini sense SSL?).

Al final, no podrà haver-hi gossos a Internet, d’una manera o altra, sembla imposar-se la visió de Zuckerberg: una única identitat, una identitat contrastada. En aquest cas, una identitat certificada.

Què fer? Es pot usar Let’s Encrypt, com en Versvs indica, i fer-nos un certificat pel nostre lloc. O també es pot seguir essent un mateix: al cap i a la fi, la pròpia xarxa que un es teixeix creix a poc a poc, i segons el lloc, estar adalt del pagerank no és prioritari, perquè el motiu del lloc és un altre que l’econòmic o el servei públic. I es poden usar altres cercadors, tant a l’ordinador com al mòbil, que prioritzin amb altres algorismes i criteris.

Però la tendència de donar resultats en temps real, prioritzant sites certificats (això és, de fonts identificades), s’acabarà imposant, i caldria saber que no serà la única manera de trobar informació, que també es podrà buscar en els mateixos cercadors amb altres criteris més atemporals, més centrats només en contingut.

I caldrà no oblidar que una informació donada per un lloc certificat potser no és scam, ni phising, però pot ser igualment perjudicial i tendenciosa (pensem en alguns mitjans de comunicació): disminuirem la inseguretat, però no guanyarem en qualitat d’informació.

Volta de clau a la seguretat digital

El mètode més habitual per securitzar una web, una aplicació o un ordinador acostumen a ser els passwords. És el mètode de seguretat digital nadiu per defecte: es basa en alguna cosa que sabem, en el coneixement. Però per més que els guardem encriptats i en fitxers protegits o es donin consells per crear-los molt segurs, els passwords son la baula més dèbil de la cadena de la seguretat: la gent acostuma a fer-ne servir els mateixos, o no vigila gaire on els posa (phising o tècniques d’enginyeria social per aconseguir-los).

Per intentar solucionar aquests problemes la seguretat evoluciona: el reconeixement òptic, les empremtes per securitzar un dispositiu, els certificats digitals o els mètodes de login en dos passos (enviant un identificador al mòbil que després s’ha d’entrar a la web, per exemple). L’usuari (el seu comportament) no és fiable, com és, el que té, o forçar-lo a fixar l’atenció (dos passos) ja ho és més.

Ara Google, Yahoo o Microsoft comencen a provar mètodes d’identificació sense login i en un sol pas, derivant la identificació directament cap al nostre mòbil: volem entrar en un lloc, aquest ens avisa en el nostre mòbil (mitjançant una app) que validem l’entrada i ale-hop!, ja estem dins de la web al dispositiu inicial. Fàcil, molt fàcil, sembla. I segurament, a nivell general, incrementaran la seguretat (nota: un altre motiu per incrementar la seguretat dels nostres mòbils).

Ara bé,: aquests nous mètodes i dispositius no seran accessibles per tothom, només per aquells que tinguin smartphones capaços d’executar les aplicacions. La resta, o qui ho vulgui, podrà seguir fent servir la identificació amb el password tradicional (fins i tot en la identificació amb doble pas no calia tenir un smartphone, només havies de poder un sms amb el pin).

El temps ens confirmarà la utilitat i la fiabilitat d’aquests mètodes.

Però es constata una tendència a basar la seguretat no en allò que sabem (els passwords), sinó en allò que som (retina, empremta dactilar) o, cada vegada més, en allò que tenim.

Una curiosa volta de clau a la seguretat digital: basar-la cada vegada més en allò que tenim, com en la seguretat de tota la vida: qui no té la clau, no entra – només que la clau sembla, cada vegada més, un smartphone.

Quo vadis, certificat?

El pal de paller de les polítiques de seguretat i identificació a la xarxa son els certificats: una criptografia robusta i el reconeixement jurídic de l’equivalència amb la signatura manuscrita fan que siguin la tecnologia ideal per a la seguretat.

Però totes aquestes bondats tecnològiques no acaben de quadrar amb la facilitat d’ús rapidesa, comodització i descuit que comporten les aplicacions, dispositius i el públic d’avui en dia, i el poc suport per part dels fabricants no ho facilita.

Per fer la correcta gestió d’un certificat t’has de personar físicament en un lloc, demostrar que ets tu (o portar uns poders, imagina’t!), després instal·lar-te’l en un o varis dispositius que usis (si es pot), tenir-ne cura i vigilar que no te’l robin i encara després, anar-lo renovant.

En un entorn empresarial/professional això té un sentit i aquestes feines es fan i amb diferents suports (certificats software, targes criptogràfiques, o amb HSMs), però ves i diga-li a un ciutadà mitjà que ha de fer això. La gran majoria faran una ganyota, uns quants ho faran i l’usaran i un grup més petit encara es molestarà en entendre el perquè de tot plegat (sense entrar en raons tècniques).

S’entén doncs la poca expansió de l’ús de certificats malgrat els anys que fa que n’hi han, malgrat les campanyes per exemple del DNIe o de l’idCAT (en diferents suports) o l’impuls a la e-Administració. El que més ha triomfat és el de FNMT, i perquè l’usa Hisenda per tal que presentis la declaració de la renda.

A tot això, suma-li que està pensat (o es molt més còmode fer-lo anar) sobre un ordinador, i encara tindràs menys ús, perquè el que es demana cada vegada més és mobilitat (telèfon o tablet), i aquí si que topem amb un mur.

Vist això, als certificats, com els coneixem fins ara, no els veig gaire futur.

Desapareixeran? No, és clar que no. A la banda servidor seguiran existint, en el mon empresarial també… però en el dia a dia dels usuaris acabaran desapareixent… de les interfícies.

Signatura biomètrica
Els seguirem trobant, però darrere de solucions portàtils com signatures biomètriques, identificacions i claus d’un sol ús enviades al mòbil, proves de coneixença (preguntes) o similars
. Totes aquestes tecnologies, que no requereixen d’anar carregant ni custodiant un certificat software o hardware, o que es basen en aparells (mòbils) que tots portem a sobre, son les que ens anirem trobant cada vegada més.

La mobilitat i per tant la comodització de les solucions allunyen cada vegada més l’usuari final de fer-se càrrec de la seva pròpia identitat amb mitjans digitals propis, i deixen aquestes proves a càrrec de tercers que seran els que generin el certificat a partir de claus d’un sol ús generades amb dades numèriques que només l’usuari pot haver produït/saber/posseir.

I els sistemes jurídics que donen validesa a tots aquests processos s’acabaran adaptant a aquestes tecnologies.

Així que seguirem tenint certificats, i usant-los, però segurament sense gairebé adonar-nos-en que ho fem.