Читать книгу Justicia digital, mercado y resolución de litigios de consumo - Fernando Esteban de la Rosa - Страница 68
III. REQUISITOS TÉCNICOS QUE DEBEN REUNIR LAS PLATAFORMAS ODR
ОглавлениеAl igual que con las herramientas TIC, las plataformas ODR también deben reunir ciertos requisitos técnicos, los que pueden establecerse en tres niveles o áreas de conocimiento bien diferenciadas e interdependientes:
a) Gestión de conflictos: por un lado, la plataforma ha de permitir al operador del conflicto aplicar todas las técnicas y herramientas para las que se ha capacitado; y, del otro lado, en relación con el diseño de la plataforma, será necesaria la participación de un “operador de conflictos” que conozca los distintos métodos de resolución de conflictos (negociación, arbitraje, conciliación, mediación, etc.) pues solo así se estaría, en principio, en posición de poder diferenciar unos de otros.
b) Informática jurídica: porque se trata de la aplicación de la informática en el Derecho y no de una mera cuestión informática, es decir, la plataforma debe orientarse a garantizar la identidad de las partes, la confidencialidad, la privacidad y la protección de datos.
c) Derecho: dada la seguridad jurídica que debe traducirse en la protección de derechos fundamentales como lo son el derecho a la intimidad y el de protección de datos personales, debiendo, además, tener siempre presente, tanto “el acceso a justicia” como “el acceso a la justicia” (cuando correspondiere).
La evidencia surgida de este estudio indica que el diseño de una Plataforma ODR debe responder no solo al RGPD de la Unión Europea y demás legislación local y conexa, sino también a los Objetivos de Desarrollo Sostenible 16 y 17 aprobados por Naciones Unidas y, por supuesto, atender a los principios de la Carta Ética Europea sobre el uso de la inteligencia artificial en los sistemas judiciales y su entorno (cuando sea pertinente): respeto de los derechos fundamentales, no discriminación, calidad y seguridad, transparencia, imparcialidad y equidad. Todo ello bajo la máxima “bajo control del usuario”.
“Las plataformas ODR’s han de producir un cambio positivo en las personas que la van a utilizar. En la parte que les toca, el diseño de la misma requiere de conocimientos específicos que deben respetar los valores propios de las metodologías de resolución de conflictos que se puedan aplicar a través de ella y, a la vez, los derechos fundamentales de las personas que las utilizan”13.
No toda tecnología es innovación, ni toda innovación es tecnología. Los dos pilares sobre los que se ha de construir una Plataforma ODR son “la facilidad de uso” y “la seguridad”.
Sin embargo, el diseño de una plataforma ODR deberá también responder a la experiencia de los distintos tipos de usuarios, enfocando en las necesidades concretas de cada uno de ellos (si pensamos en los usuarios más vulnerables, estos en su mayoría solo cuentan, y no siempre, con un teléfono móvil, por lo tanto es indispensable que la plataforma funcione en este tipo de dispositivos) obteniendo como resultado un producto útil y simple de usar, que además pueda ser utilizado en todo tipo de dispositivos.
Una consecuencia de la aplicación de la plataforma ODR, en el sistema jurídico de derecho continental, se traduce en la necesidad de brindar a la ciudadanía, profesionales e instituciones seguridad intelectual, jurídica, ética e informática14.
En su diseño se deberá tener presente que la doctrina ha señalado múltiples posibilidades de mejora de la plataforma de la UE15, respetando el espíritu del derecho europeo respecto a ella, por ejemplo: se podría haber implementado un sistema previo de negociación asistida (Esteban de la Rosa 2017a), la admisibilidad de la mediación obligatoria de consumo (Esteban de la Rosa 2017b), un sistema de alertas informativo por el cual llevar a conocimiento del consumidor la tasa de reclamos que registren determinados servicios o productos (conocido como name and shame), se podría haber establecido algún tipo de medida en relación con las múltiples reclamaciones sucesivas e idénticas (repeat players)16.
La plataforma ODR debe eliminar la actual preocupación relativa a la acreditación de la identidad de las partes que se plantea en el momento de la presentación, tramitación y transmisión de reclamaciones toda vez que en los formularios de la plataforma RLL de la UE no se aprecia cómo se acredita y certifica la misma17.
Parafraseando a Andrés Vázquez López18, se puede decir que en el escenario práctico de las metodologías ODR, además de las exigencias normativas propias, el principio de transparencia impone unas serie de condiciones a las instituciones de mediación y a los operadores de conflictos para que la garanticen mediante la publicidad de, al menos, la normativa aplicable, la identificación del titular prestador del servicio, la identificación del operador de conflictos, identificación de los canales de acceso a los servicios disponibles, la información necesaria para la correcta utilización de la plataforma ODR y demás TIC que se utilicen.
El usuario ha de ser informado sobre:
a) Estructura de navegación en el entorno virtual de la plataforma digital y de las distintas secciones disponibles.
b) Descripción general de los procedimientos de mediación.
c) Protocolos de negociación utilizados por las instituciones o el mismo operador de conflictos.
d) Calendarios estimados de duración del procedimiento.
e) Descripción de los medios electrónicos disponibles para la realización de mediaciones por esta vía.
f) Métodos utilizados para el envío y recepción de documentos.
g) Descripción de las modalidades de comunicación electrónica utilizadas en el procedimiento.
h) Interoperabilidad de los sistemas.
i) Idiomas admitidos.
j) Esquema detallado de todas las fases del proceso empleado para la realización de mediaciones por medios electrónicos.
k) Coste del proceso ODR y sus criterios de determinación, modo de pago.
l) Información sobre la gratuidad del servicio.
m) Información sobre las consecuencias jurídicas del eventual acuerdo en relación, al menos, con la ley aplicable.
n) Posibilidad de obtención de un título ejecutivo.
o) Tribunales competentes en caso de ejecución o impugnación del acuerdo.
p) Indicación del modo de ejercer los derechos de acceso, de oposición, de rectificación y de cancelación de los datos personales.
q) Indicación del nivel de protección de datos de carácter personal.
A continuación, haré una evaluación del grado de adecuación de una plataforma ODR con las exigencias técnicas legales. Es importante tener en cuenta el posible sesgo de subjetividad en la evaluación, toda vez que se trata de la plataforma ODR Acuerdo Justo, que es un diseño propio que representa la puesta en práctica del conocimiento científico adquirido con anterioridad durante muchos años de estudio.
Se trata de la primera plataforma española creada en 2008: “Este servicio está desarrollado con la colaboración del Centro de Mediación Familiar de Catalunya del Departamento de Justicia de la Generalitat de Catalunya y tiene su sede en Barcelona” (Sanz Parrilla 2011, 449-450 y Poblet et al 2011, 943-985).
En su diseño se han tenido en cuenta la facilidad de uso y seguridad. Se han tenido en cuenta a las personas más vulnerables y la necesidad de que la plataforma funcione correctamente en dispositivos móviles. La plataforma automatiza buena parte del proceso de alta, registro y creación del expediente electrónico del proceso ODR.
Los avances técnicos permiten utilizar a la plataforma encriptaciones19 de tipo:
a. Capa de conexión segura (secure socket layer –SSL–), es un protocolo criptográfico (un conjunto de reglas a seguir relacionadas con la seguridad, aplicando criptografía) empleado para realizar conexiones seguras entre un cliente (como por ejemplo un navegador de Internet) y un servidor (como por ejemplo un ordenador visitando páginas web).
b. Seguridad de transporte (transport layer security –TLS–), equivale a decir un protocolo que proporciona cifrado de datos y autenticación de aplicaciones entre cliente-servidor, siendo muy útil y necesario sobre todo cuando se envían mensajes a través de redes inseguras, como, por ejemplo, el envío de correo electrónico.
c. Protocolo de transferencia de hipertexto (hypertext transfer protocol secure –HTTPS–), que es un protocolo de comunicación de internet que protege la integridad y la confidencialidad de los datos de los usuarios entre sus ordenadores y el sitio web. Dado que los usuarios esperan que su experiencia online sea segura y privada, la adopción del protocolo HTTPS para proteger conexiones con sitios web es la más frecuente y se reputa conocida por todos los usuarios.
Descifrar una encriptación de este tipo solo podría hacerse mediante el cálculo por fuerza bruta, que consiste en la introducción de todas las variables posibles en un mensaje hasta que aparezca la correcta. Descifrar una llave de 128 bits, mediante el cálculo por fuerza bruta, le llevaría al atacante emplear un tiempo mínimo de 149.745.258.842.898 años20.
Para fortalecer la seguridad se ha elevado mediante, el uso de inteligencia artificial, la identificación de las personas y sus firmas electrónicas en las actas y acuerdos de mediación al nivel multifactor21, conforme al Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que transpone la Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior (PSD2).
Entre la serie de ventajas que proporciona utilizar la plataforma ODR Acuerdo Justo se encuentra; en primer lugar, que sea nativa en idioma castellano –hecho que merece ser destacado porque es la única que hay en el mercado–, en segundo lugar, la combinación de uso de sistemas sincrónicos y asincrónicos que garantizan la firma electrónica en la plataforma, así como la firma biométrica certificada notarialmente en línea conforme al Reglamento eIDAS, la LMACM y la más reciente LRDASEC.
Se decidió que el inicio de sesión fuera en modo cifrado de extremo a extremo, se maneja con las APIs de Cisco Webex Meetings. La contraseña se pasa a través de HTTPS con el certificado creado por LetsEncrypt para el sitio web. Además, no se almacena en el servidor, solo se almacena en las cookies para refrescar el token, proporcionando así una experiencia fluida de la plataforma para el usuario. La contraseña se envía utilizando el cifrado AES 256.
El framework bajo el que está programada la plataforma, se basan en el estándar ES2015 de Javascript (ES6), que es el estándar actual de los navegadores modernos.
La tabla de la base de datos MySQL está protegida con un nombre de usuario y contraseña, alojados en Google Cloud Server. El plano de control del Compute Engine expone su API a través de GFE, por lo que aprovecha las características de seguridad de la infraestructura, como la protección de denegación de servicio (DoS) y el soporte SSL/TLS administrado de forma centralizada. Los clientes pueden obtener protecciones similares para las aplicaciones que se ejecutan en sus máquinas virtuales de Compute Engine al optar por utilizar el servicio opcional Google Cloud Load Balancer, que se basa en el GFE y puede mitigar muchos tipos de ataques DoS.
La autenticación del usuario final a la API del plano de control de Compute Engine se realiza a través del servicio de identidad centralizado de Google que proporciona características de seguridad como la detección de secuestro. La autorización se realiza utilizando el servicio central de Cloud IAM.
Cada máquina virtual (VM) se ejecuta con una instancia de servicio de administrador de máquina virtual (VMM) asociada. La infraestructura proporciona estos servicios con dos identidades. Una de ellas es utilizada por la instancia de servicio de VMM para sus propias llamadas y la otra se utiliza para las llamadas que la VMM hace en nombre de la VM del cliente. Esto le permite a la plataforma segmentar aún más la confianza depositada en las llamadas provenientes de la VMM.
Los discos persistentes de Compute Engine se cifran en reposo utilizando claves protegidas por el sistema de administración de claves de infraestructura central. Esto permite la rotación automatizada y una auditoría central del acceso a estas claves.
Se accede al Compute Engine usando SSH desde la plataforma en la nube de Google y, finalmente, la plataforma usa el tráfico del servidor Nginx Open Source para controlar y filtrar el tráfico al servidor, permitiendo solo conexiones del tipo https.
En la construcción de esta plataforma se ha hecho un esfuerzo notable en conseguir altos niveles de seguridad informática y jurídica. Ciñéndonos al derecho español y europeo, se puede afirmar que la normativa sobre seguridad –en todos sus niveles– está implementada en la plataforma ODR Acuerdo Justo.
“La seguridad jurídica, tecnológica, intelectual y ética es una necesidad de los ciudadanos que debemos garantizar desde los servicios públicos y privados por igual. En ella concurren la ética de la responsabilidad y de la convicción; sin embargo, la ética de la responsabilidad es irrenunciable, porque solo así vamos a lograr una justicia auténtica”. (Conforti 2020).
Como ha indicado el profesor Fernando E. de la Rosa, la legislación europea no regula exhaustivamente el desarrollo de los métodos ODR, aunque sí orienta en cuanto a su sumisión a las normas de “acceso a la justicia”.
El desarrollo legislativo ha quedado en manos de los distintos Estados Miembro, aunque en la práctica los Estados Miembro y las entidades RAL certificadas deberán acatar los condicionamientos que la UE impone por vía reglamentaria, es decir, condicionando el desarrollo de las plataformas ODR22.
Para concluir presentaré unas tablas comparativas, en primer lugar, señalaré las diferencias entre aplicaciones de videoconferencia y la plataforma ODR Acuerdo Justo.
Tabla 1. Comparativa entre Zoom, Webex (videoconferencia) y Acuerdo Justo (Plataforma ODR)[1].
| ZOOM | WEBEX | ACUERDO JUSTO |
| – | Seguridad• cifrado de extremo a extremo• protección de datos | Seguridad• cifrado de extremo a extremo• protección de datos |
| – | – | Expediente electrónico• acceso directo a audiencias• calendario• sello de tiempo• grabaciones• registro de actuaciones• informes estadísticos• notas |
| – | – | Firma electrónica• nivel 2 multifactor |
| – | – | Soporte online• por videollamada dentro de la plataforma• brindado por especialistas de reconocida experiencia |
Fuente: Conforti 2020. [1] Zoom, Webex y plataforma ODR Acuerdo Justo son marcas registradas. La tabla se ha confeccionado con información pública y disponible en Google Play Store, Apple App Store, Páginas Web de empresa, reportes de US Department of Homeland Security CISA Cyber+Infrastruture y National Security Agency USA, citados en bibliografía.
En esta segunda tabla, compararé las funcionalidades entre plataformas ODR.
Tabla 2. Comparativa entre Modria, Cybersettle y Acuerdo Justo[2].
| MODRIA | CYBERSETTLE | ACUERDO JUSTO | |
| País | EEUU | EEUU | ESPAÑA |
| Mecanismo ODR | |||
| Negociación asistida | X | ||
| Negociación automática | X | X | |
| Mediación | X | X | X |
| Arbitraje | X | X | X |
| Adjudicación | X | X | |
| Recomendación | X | X | X |
| Evaluación neutral | X | X | |
| Evaluación neutral | X | X | |
| Modelo de servicio | |||
| Tecnología propietaria | X | X | X |
| Acreditación identidad | X | ||
| Firma electrónica | X | ||
| Firma biométrica | X | ||
| Soporte sincrónico en paralelo | X | ||
| Videoconferencia encriptada extremo a extremo | X | ||
| Comunicación asíncrona | X | X | X |
| Seguridad multifactor | X | ||
| Funcionalidades | |||
| Control de flujo | X | X | X |
| Registro de casos | X | X | X |
| SAAS | X | X |
Fuente: Conforti 2020. [2] Modria23, Cybersettle24, y plataforma ODR Acuerdo Justo25 son marcas registradas. La tabla se ha confeccionado con información pública disponible en las páginas web de empresa, y en Poblet M., et al 2011, citados en bibliografía.
