diumenge, 29 de maig de 2011

La confianza digital de las acampadas

Estos últimos días hemos sentido hablar de los archivos del 15-M. Dónde ubicarlos? Cómo generarlos? Qué documentos los conforman? Están ordenados y debidamente clasificados? En qué formato se encuentran? Son analógicos o principalmente digitales? Que confianza destilará todo el material compilado? Éste último punto es de especial interés para nuestro blog puesto que cuestiona parte de los sistemas actualmente utilizados para garantizar la llamada confianza digital. Del movimiento surgido se evidencian principios interesantes sobre el uso y difusión de la información digital: distribución de los contenidos en la nube y acceso libre, fácil, desde todas partes a los mismos. Uno de los muchos principios que de modo más agresivo está intentando promover otro fenómeno de nuestro tiempo como es Wikileaks y su propuesta de  Icelandic Modern Media Initiative (IMMI) en Islandia. La búsqueda de una confianza digital plena, la búsqueda del miedo de los que quieran perturbarla: todo se sabe, todo se puede saber, todo se sabrá tarde o temprano. No te escondas.

La confianza digital de estos movimientos busca la máxima libertad y acceso al contenido para que así, la voluntad de fraude pueda ser verificada casi en tiempo real. La idea también parece propia de nuestros días y podría ser descrita como utópica. Aún así existe un principio legal, del cual raramente se hace mención cuando se habla de confianza digital, que es el principio de buena fe. Si todo es correcto, no hay miedo en saber las cosas o en que existan medios que permitan saberlas. En contraposición existen otros principios legales como el del derecho a no saber, el del derecho al olvido, que sirven de contrapunto a una libertad franca y absoluta. El debate de la confianza digital, el nuevo compromiso social necesario para abordar un espacio digital abierto, colaborativo, creible, fiable, íntegro y auténtico debe iniciarse entorno a los principios básicos de las democracias occidentales. Sus defectos tienen, sin duda, pero en ellas también un ámplio consenso en la buena fe. La misma buena fe, que por otra parte, no nos permite gritar amargamente para solicitar los cambios estructurales, sino esperarlos pacientemente en una acampada, esperando el tren de Renfe o haciendo cola en la oficina de Registro de un Ayuntamiento. La buena fe y la paciencia, pero la necesidad de cambio es necesaria en nuestros tiempos.

En la búsqueda de un nuevo espacio digital abierto - Nube, en este caso, quizás es un concepto demasiado ambiguo y tenebroso -, las acampadas deberán iniciar la descubierta de esta nueva confianza digital considerando la posibilidad de ceder sus archivos, es decir, la documentación gráfica, audiovisual, en imagen y también analógica, a las instituciones de confianza oportunas. En este punto es interesante plantearse cuales serían estas instituciones? Públicas o privadas? Imparciales, científicas o implicadas en el movimiento? Simbólicas o efectivas? Esta semana en Arxifórum, una de las opciones que se planteaba para la conservación del Archivo del 15-M era el Centro Superior de Investigaciones Científicas. En mi opinión, una manera de confiar realmente en la preservación y perdurabilidad de la memoria de este movimiento debería ser confiar los documentos a los archivos históricos, públicos sin duda alguna y con mentalidad de servicio en sus principios.

La confianza digital depositada en los archivos históricos sería un verdadero cambio de mentalidad en las propuestas no solo del movimiento 15-M sino de nuestra sociedad democrática. No confiar ciegamente en la tecnología por si sola. No confiar en la cyberseguridad sin más. No confiar exclusivamente en la nube. No confiar en la firma electrónica como garantizador único de la integridad de la información ahora, pero no mañana. Un nuevo compromiso social pasa por confiar en los centros que tradicionalmente han trabajado la preservación de la memoria de las sociedades, y que está en su ideario su difusión y conocimiento. Esta posición proviene claramente de la Archivística, pero también viene sólidamente soportada por la Historia. La Diplomática en este sentido considera siempre, en última instancia, cuándo la duda acucia la credibilidad de una unidad documental, en el proceso de preservación utilizado. En este sentido, las garantías que los archivos actuales puedes presentar son una verdadera alternativa. Así lo ha creido el Archivo Histórico de Terrassa que está planteando la posibilidad de conservar todo el material digital producido por #acampadatrs. Vocación social, confianza digital y respeto por la voluntad de cambio.

Una última pregunta, que en realidad es un "pero" a la propuesta. Están los archivos históricos actuales preparados para la preservación digital del patrimonio documental que se está generando en este formato? Las dudas en este sentido son más que razonables. Aun así, es evidente que la viabilidad de los archivos históricos debe pasar por su decidida expansión en la gestión y preservación de activos digitales que permitan conservar la memoria de nuestros tiempos. Quien no haya empezado aún, que lo haga. Es un movimiento inexorable.

dimarts, 24 de maig de 2011

La deriva de la autenticidad documental

En distintos posts hemos hablado de los requisitos necesarios para constatar la autenticidad documental, la autenticidad de tipo diplomático, que es diversa de la autenticidad jurídica o de la verdad histórica. Para resumir de qué se trata diremos que para delimitar la autenticidad documental debemos constatar primero el origen y procedencia del documento, la identidad de las personas participantes en su elaboración y producción, y la demostración de la integridad de su forma física pero sobretodo intelectual. Origen, identidad y integridad son los elementos fundamentales para demostrar la autenticidad documental, y desde un punto de vista estrictamente diplomático la constatación cierta de "todos" estos elementos permite confiar en la autenticidad del documento. Este sistema es inherente a la existencia de documentos puesto que estos son el registro de la acción jurídica documentada. El sistema goza de una salud inestable con el reto digital pero de una tradición de más de dos mil años.

Con fenómenos como el de Wikileaks, que hemos analizado frecuentemente en este blog, nos damos cuenta de la existencia de una deriva peligrosa en la constatación de la autenticidad. Una deriva propia de la adaptación de nuestras sociedades al reto digital y todas sus incongruencias y temores. Una deriva que requerirá un nuevo consenso o contrato social por el simple hecho que el sistema de certeza jurídica basada en documentos empieza a sufrir, a pesar de la sólida tradición de origen romano. Esta deriva se observa a partir de las siguientes circunstancias:

1.- Origen anónimo: En el caso Wikileaks, la mayoría de documentos filtrados, sobretodo aquellos que deben ser nuevamente representados por estar en bases de datos, no permiten constatar en ningún momento el origen de los mismos. Este origen, además, pervive en el anonimato por la estricta política de seguridad y de confidencialidad que Wikileaks aplica (aunque en algunos casos, por ejemplo el de Bradley Manning, no se haya podido proteger). Esta política no es exclusiva de Wikileaks ni un fenomeno nuevo. Está incluso en el código deontológico del propio periodismo tradicional: proteger el origen de la información. La autenticidad documental de la documentación administrativa, con los nuevos canales de comunicación, puede sufrir esta banalización de sus principios ciertos fundamentados en la forma y en la constatación, como decimos, del origen del mismo. Otro perjuicio provocado por la imposibilidad de reconocer el origen del documento es para la investigación histórica y la descripción archivística: no origen, no posibilidad de reconocer la procedencia, no posibilidad de aplicar el método histórico de análisi. Este método deberá ser transformado o repensado.


2.- Identidades incompletas: No permiten constatar, en segundo lugar la identidad de sus productores, como mucho la del firmante de los documentos en copia simple con representación parecida a la del original en papel o en pdf. Es el caso de los llamados GITMO files, por ejemplo. El firmante, aun así, solo aparece como un nombre que debería ser contrastable con la realidad, elemento que necesitaría de tiempo, pero en ningún caso es deducible la participación de otras personas en la elaboración y gestión de los documentos. Este punto es relevante: las responsabilidades no son exclusivas de la/s persona/s que validan el documento con su firma. Podrían ser imputables a otras personas participantes.

3.- Integridad sólo presunta: No permiten constatar en definitiva la integridad del original. Se trata en la mayoría de casos de copias simples fragmentarias, "tratadas" como es el caso de los Diary Diggs y los War Logs. La integridad de la forma física y, sobretodo, de la forma intelectual de la copia en confrontación a un posible original es como mucho presunta y debería ser verificable con métodos realmente potentes. No considerar la posibilidad de confiar en la integridad documental implica la realidad de documentos realizados con poco atino, de baja calidad, insuficientemente pertinentes e imperfectos. La contingencia de los errores pasará a dominar la producción documental. La debilidad de la integridad dará lugar, cada vez más, a documentos electrónicos débiles en cuanto a su forma intelectual. La multiformidad de las representaciones vía web acabarán por ningunear la propia forma, de modo que la confianza en estas nuevas realidades necesitará de otro tipo de compromisos. La solución europea de la firma electrónica es sólo una de las soluciones posibles y es demasiado parecida a las soluciones tradicionales. Es un modelo antiguo.

Que queda ante la incapacidad de reconocer un origen, de solamente conocer una parte de la identidad de los validadores y de la presencia de una integridad presunta y débil? Que el presunto productor del documento no ponga en duda la autenticidad de los documentos. Cuando Hillary Clinton o el Pentágono no dudaron de la credibilidad de los documentos filtrados, sino que simplemente se limitaron a denunciar su difusión, implícitamente confirmaron la autenticidad de los documentos. Esperar este tipo de constataciones de autenticidad a posteriori, basada en comentarios, opiniones, declaraciones públicas o simples actos testimoniales, necesitará, como hemos planteado al principio, de un nuevo compromiso social.

Este nuevo compromiso deberá confiar en la transmisión segura de datos, en la integridad presunta de las representaciones documentales, en la determinación de origenes robustos (por ejemplo, la disposición de los datos y los documentos en repositorios de confianza), en nuevas personas físicas o jurídicas que certifiquen con sus peritages la autenticidad y fiabilidad de datos y documentos. Hay que seguir pensando en ello porque, aunque dos mil años de derecho romano son muchos, la debilidad del documento electrónico requiere de nuevas estructuras de certeza y confianza.

diumenge, 15 de maig de 2011

ENIgmas [1]: NTI de documento electrónico

Después de la publicación de algunos borradores de Normas Técnicas de Interoperabilidad proponemos cuestionar algunas de las propuestas presentadas. No hay duda que todo esfuerzo homogeneizador es encomiable, el reto en este caso es serio, pero aun así quedan demasiadas dudas como para que confiemos plenamente en estas normas. La primera prueba de las dificultades es que las normativas han sido publicadas como borradores, y no ha sido posible que nazcan como original de obligado cumplimento. Esta naturaleza plantea en realidad un problema de fondo: quizás lo que se requiere es un marco inspirador, pero soluciones menos complejas y más dinámicas que las que se quieren proponer.

Nuestra intención es analizar cada una de las NTI publicadas desde un punto de vista diplomático, orientado a favorecer la aplicación de criterios archivísticos y con la finalidad de potenciar la necesidad de conservación a largo plazo de muchos de los documentos que se generarán según estas directrices. Para empezar analizaremos en este post la propuesta de norma técnica sobre el documento electrónico.

1.- El documento electrónico existirá si dispone de tres componentes: contenido, firma electrónica y unos metadatos mínimos obligatorios. El contenido viene definido como conjunto de datos (no interpretados) o información del documento (datos ya interpretados). Según la NTI la firma electrónica solo se aplicará "en su caso". Los metadatos vendrán definidos al final de la NTI (los analizamos en el punto 10 de nuestro post).

2.- Sólo serán considerados documentos electrónicos objeto de aplicación de esta NTI los documentos administrativos electrónicos y cualquier otro documento electrónico susceptible de forma parte de un expediente electrónico. Dudas al respecto:

i) Hay documentos NO administrativos que formen parte de un expediente electrónico?
ii) Qué hay que hacer con los documentos administrativos electrónicos que NO forman parte de un expediente? Léase una resolución, un decreto, un dictámen, una memoria, ... Quizás deberemos crear expedientes para todo, aunque el documento sea una unidad documental simple?
iii) Unos y otros documentos "llevarán asociada siempre almenos una firma electrónica". Entonces cuando se habla de "en su caso", se habla de la posibilidad de documentos sin firma o simplemente era un recurso retórico innecesario?

3.- El contenido es el mensaje. La firma es la estrategia de validación y de protección de la autenticidad y la integridad del documento. Los metadatos serán solamente elementos descriptivos. En este tercer caso, con que función? Describir solamente aquella información que ni el mensaje ni la firma y sus metadatos pueden aportar a los efectos de dotar de confianza el documento electrónico. Si esto es así la falsa presunción que ronda entre muchos expertos del tema de que los metadatos son meros descriptores se invalida. Los metadatos, tal como se prevén en esta norma quieren consolidar tanto la autenticidad y la fiabilidad del propio documento. Los metadatos, en el caso que la normativa quiera revisarse o replantearse serán la base de las mejoras de la NTI.

4.- Dicho esto es importante hacer notar que la NTI prevé que se puedan asignar metadatos complementarios para atender necesidades específicas (no definidas en esta NTI, sino en una aún no publicada: la de Política de gestión de documentos electrónicos), y también que cada órgano de la Administración o cualquier otra entidad de derecho público pueda implementar en su propio ámbito de actuación metadatos para el tratamiento y gestión de nivel interno de los documentos electrónicos. Léase pues que la ISO 23081 o la lista de metadatos de la Moreq 2 servirán solo para el uso interno de los documentos electrónicos, almenos en España. Ciertamente poco alentador, vista la materia gris gastada en estos temas últimamente y poco alentador a los efectos de potenciar una preservación a largo plazo de documentos electrónicos. Cierto es que el objetivo de la NTI es la interoperabilidad y deja en manos de cada Administración o Entidad de Derecho Público la necesidad de considerar la preservación y gestión de sus datos. Poco alentador por quedarse fuera de la normativa. Aun así también la NTI obliga a mantener de manera permanente las relaciones entre el documento y sus metadatos en el interno del órgano o entidad. Esto, evidentemente, presupone organización, gestión y preservación documental. Y así el aliento, almenos, aparece por alguna parte. Lógicamente no sabemos como esto debe desarrollarse técnicamente.

5.- Cuando la NTI explica que los metadatos "no serán modificados en ninguna fase posterior del procedimiento administrativo a excepción de modificaciones necesarias para la corrección de errores u omisiones en el valor inicialmente asignado" implica la posibilidad de ampliar información en los metadatos relativa a los usos que se han hecho del documento, de quién ha accedido a su información, de cuantas veces se han implementado nuevos datos, de cualquier otra información que permita la consolidación de una entidad intelectual de plena confianza? O se refiere a dejar la típica puerta abierta a modificar los errores contingentes de la recopilación de datos, los errores de tecleado, los errores humanos (y sus malicias), la falta de tiempo en rellenar los metadatos no automatizados, etc? La respuesta parece retórica. La excepción presupone la incapacidad de las administraciones de resolver el error contingente. No hay medidas válidas?

6.- En cuanto a los formatos que se usarán para codificar el contenido no hay aún respuesta. Hay que esperar a la NTI de Catálogo de estándares. No es un problema baladí. Sin esta otra norma la NTI del documento electrónico se queda coja. El peligro de escoger formatos no adaptados a la NTI es claro. Cierta incongruencia en el orden de presentación de los borradores? Se trata de ganar tiempo? Indecisión?

7.- La NTI hace referencia a la necesidad que todo documento electrónico objeto de intercambio deberá contener contenido, firma/s y metadatos obligatorios. Los tres componentes se aglutinarán en un objecto digital en XML según la estructura presentada en la misma NTI. Se aceptará que si hay acuerdos puntuales entre administraciones, la estructura pueda ser diferente. Nace pues un espacio de desarrollo de estas estructuras. En este punto es extraño cuando la NTI habla de los asientos registrales y su intercambio. En este caso se habla del asiento registral como un "mensaje de datos de intercambio" con documentos electrónicos adjuntos. Es evidente que hay asientos con documentos aportados por los ciudadanos en formato electrónico o digitalizados por la oficina de Registro, pero llamar al asiento registral un "mensaje de datos" no es en realidad llamarle también documento electrónico? En que formato distinto a un objeto digital en XML se presentarán para que sean creibles? Un fichero CSV? La NTI no da respuesta.

8.- La NTI del documento electrónico admite la posibilidad de transferir la custodia de los documentos a otra parte que se responsabilizará de ello. No especifica qué entidad o organización deberá encargarse de adoptar esta responsabilidad. Simplemente llamándole "Archivo" la NTI le habría dado coherencia a todo el sistema y habría dado un paso adelante a años y años de inconcreción. Tampoco aquí ha habido una respuesta clara. La norma admite que "el nuevo responsable de la custodia será el encargado de conservar la autenticidad e integridad del documento electrónico". Quién estará preparado para ello? Mercado libre, terceras partes de confianza privadas, empresas de almacenamiento digital, archivos nacionales, empresa pública ... Se trata de una función demasiado evidente como para ser ambiguos en el articulado de la norma. Parece que hay dudas a dar esa responsabilidad a quién normalmente la ha asumido?

9.- Si un ciudadano solicita la reproducción de un documento administrativo electrónico, la NTI informa que se le podrá presentar una representación del contenido, de la información básica de cada una de las firmas, y la descripción y valor de los metadatos mínimos obligatorios. Porqué la información sobre la firma debe ser básica? Porqué no la completa? Porqué la representación puede ser otra que la del formato original generado? No hay aquí un espacio a la posible manipulación de la información en fase de emisión?

10. En cuanto al set de metadatos mínimos que cada documento electrónico debe disponer:

i) La versión NTI: sólo a partir de este metadato, la NTI nos informa que habrá modificaciones y versionados posteriores de la normativa!
ii) Indentificador normalizado del documento: la propuesta es nueva para esta NTI y no se acoge para nada a lo que, por ejemplo, propone la ISAD (G)...
iii) Identificador de órgano / unidad / oficina: según una codificación que se extraerá de una Directorio Común gestionado por el MPTAP. Existe ya este Directorio? Es para la Administración estatal? Acogerá a la autonómica y a la local? Como se da de alta un código? ... Es un tema muy gordo como para centralizarlo en un Directorio Común. No podrá. Habría que pensar en que cada administración tenga sus codificaciones y que estas puedan ser públicas en caso de solicitud a la vez que modificables cada vez que hay una reestructuración orgánica en cada administración.
iv) Fecha de captura: o fecha de alta del documento en el Sistema de Gestión Documental. Esta fecha corresponde a la fecha en que fue creado, a la fecha en que fue considerado original, a la fecha de firmado, ... Interesante de todos modos que la NTI presuponga la existencia de una SGD. Todo el mundo lo tiene más o menos en marcha?
v) Estado de elaboración: determinar si el documento es original, copia electrónica auténtica, copia electrónica auténtica de documento papel (en ese caso se necesitará un metadato que informe de que documento papel es o fue), copia parcial auténtica (esto que es? Un mensaje de datos incompletos? Una copia simple? Un regesto?), y el inefable "otros" (esto incluye las versiones y los borradores, o solamente todo lo que derive de un original?). La Diplomática habla de estado de la transmisión en estos casos y no de la elaboración, puesto que solo un documento elaborado puede ser original. Todo lo que deriva de ello no es una elaboración del original, sino una copia. No hay elaboración posterior.
vi) Tipo de firma: se contempla la posibilidad de incluir un valor CSV (Código Seguro de Validación) y de la definición de su generación en este metadato, de forma independiente de la firma que se utilice. La idea cumple con el principio de Corroboración que siempre hemos defendido. Pero en cambio si la firma no es de tipo CSV sino de cualquier otro formato no se exige que la información se contenga en los metadatos, imposibilitando que en un futuro la firma pueda ser extraida. A no ser que siempre contenga la información necesaria para reconstruir su base legal en metadatos rellenados en un futuro.

En definitiva, la NTI del documento electrónico tiene bastantes enigmas tanto de intepretación como de aplicación. Nace como borrador y depende de otras NTI no publicadas aún. Continua basando la autenticidad y la integridad de los documentos en la firma electrónica (tal como las directivas y decisiones europeas exigen), pero es incapaz de dar alternativas legales más flexibles y dinámicas. Veremos como continua su implantación.

diumenge, 8 de maig de 2011

Una Diplomàtica pels documents en crisi

Em plau oferir-vos la presentació del passat 5 de maig de 2011 al XIIIè Congrés d'Arxivística de Catalunya celebrat a Lloret de Mar on van ser exposats els nous camins que la Diplomàtica clàssica i sobretot la Diplomàtica contemporània poden seguir a fi i efecte de proporcionar instruments, idees estratègiques i principis bàsics a l'Arxivística i a la Gestió de documents de natura jurídica tant de l'interior de les administracions públiques com també de les empreses privades. Espero que sigui del vostre interès i us convido vivament a opinar-ne lliurement i a exposar els vostres comentaris i crítiques.

dimarts, 3 de maig de 2011

Repensar las entidades de validación, repensar la confianza digital

En el post del pasado 24 de abril definiamos el concepto de Entidad de Validación, a la vez que describíamos las particularidades de la firma digital, el certificado digital y el perfil documental como tales. Ya advertimos en ese post que las entidades de validación son entidades que crecerán y se diversificarán por la incapacidad actual de continuar confiando en métodos que simplemente emulen principios tradicionales. Que la legislación diga que una firma electrónica tiene el mismo valor que una firma autógrafa, así lo demuestra. Esto obliga a repensar estas entidades y repensarlas implica también repensar los sistemas de validación actuales. Hay que ser creativos y pensar nuevas entidades de validación no basadas en figuras tecnológicas concretas, sino en la definición de estrategias de validación, en redes de confianza y en solidaridad entre elementos validantes.

1.- Una de ellas seria validar a partir de una Confianza manifiesta y certificada en el Sistema de gestión, preservación y difusión de la información y los documentos. Para aceptar este camino, de todos modos, deberemos conseguir un compromiso social que lo admita. No confiar en métodos como la firma y confiar en sistemas mucho más compactos. Confiar en estrategias orientadas a la producción documental y no en el documento por si sólo. Este cambio de prespectiva requeriría una adaptación legislativa que actualment no es especialmente clarividente. Soluciones a muy corto plazo y ningún planteamiento a largo plazo. Una estrategia orientada a sistemas simplicaría muchas cosas, pero es inseguro. Como inseguro es cualquier procedimiento o protocolo. Aún así el riesgo y la seguridad son vasos comunicantes que necesitan de un equilibrio que en la actualidad no se manifiesta. En realidad la opción más seguida es la del exceso de seguridad que redunda en menos accesibilidad y usabilidad.

2.- El Control de Autoridades entraria dentro de los sistemas de validación de responsabilidades y competencias. Es una estrategia que cada vez con más frecuencia se solicita que sea riguroso (pero no más privativo) a la hora de producir, gestionar y preservar documentación digital. Asegurar un buen control de autoridades significa disponer de una organización más cohesionada, de una distribución de las competencias más coherente y de garantizar una mayor fiabilidad en los productos resultantes. El control de autoridades, entendido como entidad de validación, permitiria también confiar en el sistema de gestión.

3.- La Corroboración como estrategia. Disponer de la información relativa a los sistemas de validación utilizados en el interior de los metadatos descriptivos de los documentos. Informar de esto quiere decir, a veces, redundar la información. Y esto no tiene porque ser negativo: más redundancia, más posibilidad que el mensaje llegue al receptor. En el caso de la firma electrónica por ejemplo, la información relativa a la validez y certificación de esta se puede extraer con independencia de la vigencia de la firma. Si a efectos de preservación, la firma es un inconveniente por su encriptación, se puede segregarla pero continuar disponiendo de la información necesaria sobre el período de validez y sus características en los metadatos del documento. La corroboración encuentra su manifestación en el llamado perfil documental, es decir, el conjunto de metadatos y atributos que describen y dotan de fortaleza auténtica cualquier documento electrónico.