El libro trata desde una perspectiva multidisciplinar (aunque eminentemente jurídica y metodológica) los desafíos que implican las redes sociales en varios ámbitos (privacidad, protección de datos, identidad electrónica…etc.), dando consejos prácticos y concretos sobre cómo abordar algunos (desde el diseño de las políticas de privacidad hasta el tratamiento de los menores, por ejemplo).

La obra es la primera que entra en detalle en este tipo de materias, y ha sido coordinada por Artemi Rallo, Director de la Agencia Española de Protección de Datos y Ricard Martinez, Coordinador del área de Estudios de la Agencia Española de Protección de Datos, en la que hemos participado varios autores del ámbito legal y tecnológico.

La estructura del capítulo que he escrito es la siguiente:

CAPÍTULO XII. Privacy by Design, construcción de redes sociales garantes de la privacidad. Javier Megias Terol.

1. La necesidad de incluir la privacidad como característica básica de una red social
1.1. Los principios de Privacy by Design
2. Diseño, construcción y operación de redes sociales respetuosas con la privacidad
2.1. El estudio de Impacto en la Privacidad (PIA)
2.2. Transparencia y control de la información por parte del usuario
2.3. Modelos de negocio y privacidad
2.4. Embeber la privacidad en el ciclo de vida del usuario de la red social
3. Medidas a considerar en el diseño de una red social garante de la privacidad
3.1. Medidas Organizativas
  3.1.1. Estructuras jerárquicas y actores relevantes
  3.1.2. Concienciación, Formación y Comunicación
3.2. Medidas Técnicas y de Seguridad
  3.2.1. Identificación
  3.2.2. Buenas prácticas de desarrollo seguro
  3.2.3. Sistemas y Redes
  3.2.4. Seguridad Física
  3.2.5. Aspectos relacionados con la trazabilidad de los usuarios
  3.2.6. Interoperabilidad y portabilidad de datos
  3.2.7. Tecnologías garantes de la Privacidad (PET)

El abstract de la obra es:

Puede afirmarse sin temor al error que ha nacido una sociedad que se desarrolla íntegramente en el mundo virtual. En ella, los individuos interactúan siguiendo en muchas ocasiones normas y pautas de conducta perfectamente homologables con las que se producen en el mundo físico. Sin embargo, en muchas otras se perfilan nuevos escenarios sociales. Ello obliga a reflexionar profundamente sobre hasta qué punto el Derecho que ordena nuestras sociedades va a ser eficaz en el universo de las redes sociales.

Nos enfrentamos a una Internet con un modelo de servicios, y por supuesto de negocio, que gira alrededor de tratamientos generalizados de datos personales. Pero, en la sociedad de la Web 2.0 este uso de la información adquiere un valor singular y cualitativo. En una red social los individuos generalmente usan su identidad real, o alguna muy similar, y generan relaciones sociales. Los comportamientos pueden analizarse, la conducta deja rastro y la publicidad y los servicios pueden personalizarse.

Se ha producido un cambio en el rol que juega el internauta. Ya no es un sujeto pasivo. Difunde información en los blogs, opina en los foros, cuelga, con o sin permiso, fotografías o grabaciones de video en los que identifica a amigos o conocidos. Su conducta puede acabar repercutiendo en los derechos de terceros.

Espero que os parezca interesante, y si os gusta, que la compréis!

Como pasa siempre que propongo esta apuesta, prácticamente nadie se decidió a apostar contra mi… Creo que esta resistencia surge porque la gran mayoría de la gente enfoca el problema mediante el siguiente proceso mental: “Habiendo 365 días al año, un grupo de 36 personas tiene aproximadamente una posibilidad de algo menos de un 10% de coincidir.. no interesa!”

Sin embargo, mi pregunta no era si a una persona determinada le coincidía el cumpleaños con cualquiera de sus compañeros del grupo, sino si a dos personas les coincidía el cumpleaños dentro del grupo…. con este escenario, el planteamiento cambia a ser “cuantos posibles pares de relaciones hay en un conjunto de 36 personas”.. y la respuesta, sorprendente,…
es que ¡más de 600!. Esto supone  que cualquiera que hubiera apostado conmigo tendría cerca de un 80% de probabilidades de ganar.

Esta apuesta se conoce como la “paradoja del cumpleaños” (realmente lo único paradójico de ello es el nombre, ya que no es una paradoja), y nos sirve para entender por qué los medios sociales funcionan bien para un tipo de colectivos y otros no, y lo intentaré utilizar de base para plantear cómo se ha llegado a su papel actual. Para ellos, nada mejor que aprovechar la apuesta para comprender los tres principios básicos asociados a las dinámicas de grupos y sus necesidades de gestión:

Los grupos son complejos, y su complejidad crece de forma exponencial con el tamaño: En un grupo de 10 personas hay 45 conexiones, pero en un grupo de 36 hay más de 600… no se pueden tratar igual. Lo importante no son las personas, sino las relaciones que se establecen entre ellas: La medida a la que realmente le debemos prestar atención es el número y tipo de las conexiones, no sólo al número de individuos que forman un grupo Tendemos a pensar de forma individual antes que como grupo: Solemos enfocar los problemas como individuo, sin contar con el grupo (ni lo que representa ni sus particularidades)

Esta anécdota me sirve para empezar a hablar de los grupos (sean de empleados, de clubes sociales o de equipos de futbol), de que éstos se organizan de forma diferente según su tamaño, y de cómo los medios sociales e Internet han revolucionado su gestión. Una de las principales ideas que quiero transmitir es que, llegado un punto donde la complejidad obliga a dar un salto, lo que funciona para un tamaño de grupo deja de ser válido para el siguiente, o dicho de otra forma:

MAS ES DIFERENTE

EL ESCENARIO “SENCILLO”

Antes de hablar de grupos complejos, empresas o plataformas sociales, debemos empezar por el principio: el escenario de organización de un grupo pequeño, que todavía es capaz de tomar una decisión con acuerdo universal, es decir, en la que todos los miembros de un grupo se ponen de acuerdo. Para grupos pequeños (normalmente hasta aproximadamente 10 personas) este enfoque es factible, ya que a pesar de ser complejo, es posible conseguir acuerdos entre todos.

Desde este prisma por primera vez comenzamos a entender por qué los textos de management clásicos dicen que el tamaño óptimo para gestionar un grupo es de 10 personas… a partir de este punto, aumenta demasiado la complejidad de gestión intrínseca derivada de poner de acuerdo a tantas personas

¿PARA QUE EXISTEN LAS EMPRESAS?

Ronal Coase en el año 1937 se hizo esta pregunta, ya que en principio los mercados deberían ser un entorno suficiente para que aquel que necesite contratar una tarea encuentre a suficientes personas para llevarla a cabo a cambio de una contraprestación (la clásica visión Keynesiana de la oferta y la demanda)… 

Coase entendió que, para hacer tareas sencillas o que implican a poca gente, éste es el enfoque perfecto (de hecho, la base de trabajo de los freelance/autónomos)… pero imagina por un momento que el gobierno decide subcontratar la construcción de una linea del tren AVE a miles de autónomos, y que para tomar decisiones, los miles de autónomos deberían ponerse de acuerdo (sudor frio corre por mi espalda)

Con este escenario, Coase llegó a la conclusión de que cuanto más compleja es una tarea, mayor es el número de “acuerdos potenciales” que deben ser negociados. Los costes de transacción, como los denominó, incluyen desde las reuniones, toma de decisiones hasta los aspectos burocráticos del trabajo (todo lo que no es ejecución pura).

Bajo esta óptica, las empresas surgen como medio para simplificar la comunicación entre las personas que deben realizar una tarea y reducir los costes de transacción (pudiendo, por tanto, dedicarse sus empleados más tiempo a la ejecución)

En sus primeros tiempos las empresas adoptaron para organizarse el formato grupo, en el que se hacia depender a un grupo de gente de uno o varios supervisores…

DE LOS GRUPOS A LAS JERARQUIAS

¿Pero que hacer cuando una empresa debe enfrentarse a tareas de alta complejidad? A mitad del siglo 18 las grandes compañías que operaban los ferrocarriles en Estados Unidos, como Western Railroad, comenzaron a enfrentarse a una tarea realmente compleja: gestionar aproximadamente 12 trenes diarios que se cruzaban en diferentes horarios en una única vía, que cruzaban de este a oeste el país (era demasiado caro tener dos entonces). Los diferentes zonas de la via eran gestionadas por grupos diferentes, a los que les costaba ponerse de acuerdo, lo que estaba haciendo que la rentabilidad del negocio cayera en picado (a diferencia de lo que sucedía con las competencia formada por compañias pequeñas, más ágiles y rentables – cosa que no ha cambiado…). Tras un choque de ferrocarriles bastante sonado se decidió implantar una estructura jerárquica (no era la primera vez, la Compañía de las Indias Orientales ya las usaba) y establecer lo que hoy conocemos como Empresa “tradicional” (separación de la comunicación entre niveles, reporting…etc.)…. ¡y básicamente no han cambiado nada las estructuras de gestión desde entonces! Las empresas, a raíz de esta filosofía, pasaron a convertir la auto conservación y supervivencia de las estructuras jerárquicas en principio número 1, relegando la tarea original a segundo (o incluso tercer) puesto, y olvidando la labor de organización para las que habían sido creadas… Lo cual tiene que ver mucho con la visión equivocada (en mi opinión, claro) que se tiene a la hora de liderar, tal como comentábamos hace algún tiempo.

LOS LÍMITES Y EL NACIMIENTO DEL ESPACIO PARA LOS SOCIAL MEDIA

Coase descubrió que, a partir de un determinado tamaño de empresa, los costes de gestión crecían de forma exponencial (consecuencia de lo visto anteriormente), y se llegaba un punto a partir del cual los dichos costes de gestión se comían rápidamente los beneficios, lo que imposibilitaba en la práctica el crecer más.

Este límite se denomina limite superior de Coase, y las respuestas habituales para evitarlo  pasan por aplanar la organización (lo que disminuye los niveles de reporting pero introduce más costes de transacción dentro de cada nivel, al tener más gente) o en introducir mayor autonomía o incluso separación entre las áreas (incluso con un pequeño punto de caos, táctica que General Electric domina a la perfección y causante en parte de que sea una de las pocas compañías que perduran en el Forbes 100). La otra alternativa, vigente todavía, pasa por reducir los costes de transacción (mejoras de calidad, eficiencia, lean management, gestión por procesos, ERP… prácticamente todas las iniciativas de los últimos años van encaminadas a este punto!)

Otra de las reflexiones de R.Coase, que paso a llamarse límite inferior de Coase, era que:

Las actividades cuyo coste de transacción es superior a los potenciales incentivos simplemente no suceden

Esto incluye actividades cuyo beneficio por separado era pequeño, pero que necesitaban establecer una estructura “clásica de gestión”, es decir, era “más caro el collar que el perro”. En este concepto podemos englobar la gran mayoría de negocios de hoy en día que explotan “la larga cola”.

… hasta hoy! La pregunta que surge en el nuevo escenario es: “Qué pasaría si los costes de transacción no se redujeran… sino que se desplomaran“?

INTERNET Y LAS PLATAFORMAS SOCIALES: EL FIN DE LOS LÍMITES

A raíz del advenimiento de Internet y de las plataformas sociales han surgido cientos de actividades que antes era imposible abordar y que ahora podemos gracias a una tecnología social que democratiza la comunicación (elemento, como hemos visto clave en los grupos) y que permite un nuevo mundo de aproximaciones completamente diferentes de gestión, lo que permite operar tanto por debajo de los límites inferiores de Coase como por arriba de los superiores:

• Límite INFERIOR de Coase: Internet permite eliminar en gran parte costes de gestión “tradicional”, dado que éstos son gestionados por plataformas online, y abordar negocios que serían imposible plantear de otra forma. Por ejemplo, el periodismo amateur era una actividad restringida y de gestión imposible… y sin embargo en los últimos tiempos la información más detallada, actualizada y cercana no surge ya de los medios tradicionales, sino a través de medios sociales gestionados y autoorganizados mediante plataformas.

• Limite SUPERIOR de Coase: Ya son muchas las empresas “virtuales” que utilizan Internet como medio de organizarse, la nube como centro de recursos y plataformas y políticas de autoorganización como credo (hablaremos más adelante de ellas..), o las iniciativas de crowdsourcing.

NOTA: Si te ha parecido interesante el tema, te recomiendo leer el magnífico ""Here Comes Everybody: The power of organizing without organizations" de Clay Shirky.

UPDATE (14/07/2010): Amalio Rey hizo hace unos meses un estupendo análisis de estos costes transaccionales, y de cómo las redes, aunque sufren también de los mismos, pueden potencialmente operar por encima del límite superior… y os recomiendo su blog, del que soy fiel seguidor desde hace tiempo.

UPDATE (16/09/2010): En el Wallstreet Journal (WSJ) han publicado un artículo absolutamente maravilloso que se alinea mucho con lo expuesto aqui: “El fin de la gestión empresarial como la conocemos” Espero que os guste.

¿QUE OPINAS? ¿QUE OTROS EJEMPLOS DE NEGOCIOS QUE EVITAN LOS LIMITES DE COASE CONOCES?

Este cambio de enfoque, que resumiré brevemente, tiene que ver con algunos nuevos factores importantes, y que replantea no sólo el papel de las tecnologías que dan soporte a los procesos de salud sino cómo la Sociedad en conjunto percibe los servicios sanitarios que debería estar recibiendo.

Por mencionar algunos:

• Movilidad de la población: Es un hecho que altera la visión tradicional en la que una sanidad con competencias descentralizadas operaba como un modelo cuasi estanco en cada Comunidad. Los servicios de salud “del futuro” deben poder compartir información de forma estándar y transparente, no sólo entre distintas comunidades autónomas sino incluso entre Países (España, como destino turístico por excelencia, debe mostrar especial interés en este punto)

• Pacientes mas (in)formados: Una gran parte de los pacientes tienen acceso a mucha más información sobre enfermedades, tratamientos, reacciones adversas…etc., a través de Internet. Sería poco astuto no aprovechar esta tendencia para plantear modelos moderados por los servicios de salud que exploten este interés.

• Presión en los costes: No se puede decir que se trate de un punto nuevo, pero la búsqueda de una mejor eficiencia en el uso de los recursos pasa por eliminar costes, que idealmente no deben impactar en la calidad del servicio ofrecido al ciudadano. Para ello una de las vías más claras pasa por la optimización de procesos asistenciales mediante las tecnologías de información (desde la HCE (Historia Clínica Electrónica), la Telemedicina o enfoques de eHealth)

• Personalización: Cada vez resulta más anacrónico el que cada interacción con un servicio asistencial comience sin apenas información sobre el paciente. Dada la cantidad de información que existe del mismo, éste debería recibir sólo la información que le resulte de aplicación (desde calendarios de vacunas hasta acceso a información online de salud de interés para el paciente)

• Salud centrada en el paciente: Existe una clara tendencia a intentar desplazar el foco desde el hospital (como centro de la salud) al paciente, y que éste deba acudir al hospital menos y mejorar su calidad de vida (y de paso, disminuir costes fijos)

• Envejecimiento de la población y aumento de enfermedades crónicas: Una de las principales presiones en costes para las administraciones publicas es la relacionada con enfermos crónicos y tercera edad. Gran parte de los nuevos planteamientos en salud van enfocados a mejorar la experiencia y calidad de vida de estos grupos mientras intentan optimizar los procesos asistenciales.

Todos estos factores van a tener/tienen un impacto muy importante en todo lo relacionado con la seguridad de la información, la gestión de la continuidad, la privacidad o la protección de datos de carácter personal, y plantean algunos desafíos bastante interesantes.

Seguridad de la Información

A mi juicio, este va a ser uno de los puntos clave de la credibilidad de los sistemas de información sanitarios (HIS) en particular y de todo el concepto de Salud 2.0 en particular. La confianza de los ciudadanos en que este tipo de sistemas estén adecuadamente construidos, y que protejan su información será una de las claves de la adopción….

Y creo que la clave no será solo la seguridad, sino la confianza, o percepción de la seguridad… Ya se están construyendo sistemas de este estilo: Por ejemplo, en algunos sistemas asistenciales el nombre del paciente introducidos no sólo se captura, se almacena y transmite apropiadamente (SEGURIDAD REAL), sino que al teclearlo inmediatamente cada digito se convierte en un asterisco (SEGURIDAD PERCIBIDA).  Este punto tiene mucho que ver con el hecho de que los pacientes, que comparten información muy sensible con el médico (determinadas enfermedades tienen una dimensión social), miran la pantalla mientras éste teclea, y así “sienten” que el sistema es seguro.

Existen además diversas disciplinas tradicionales en el mundo de la gestión de seguridad, como el análisis de riesgos, que pueden ser aprovechadas en escenarios de salud para mejorar la planificación… Por ejemplo, en el proceso de atención a un paciente, se pueden identificar:

1. Amenazas (elementos externos al proceso de atención) que pueden suceder, su probabilidad e impacto potencial si suceden.
2. También pueden identificarse los activos involucrados (los profesionales sanitarios, pacientes, información, material…etc)
3. Vulnerabilidades (o debilidades internas al proceso de atención), como pueda ser la falta de experiencia del facultativo en un periodo vacacional

Con todos estos factores es posible calcular el riesgo, y lo que es más importante, hacer una planificación que permita mitigar ese riesgo introduciendo medidas de protección. Se que es un escenario complicado y que conste que lo menciono sin ningún tipo de valoración …pero ¿no sería interesante aplicar esta disciplina a alguno de los desgraciados incidentes que han desembocado en fallecimientos, acaecidos por la inexperiencia del personal médico que se encargaba de la atención? Como es habitual, no se trata de “redescubrir la rueda”, sino más bien de sistematizar la identificación de posibles riesgos.

En lo tocante a la visión “clásica” de la seguridad de la información, desde el 12 de Junio de 2008 afortunadamente se puede recurrir a la normativa internacional “ISO 27999:2008 - Health informatics – Information security management in health using ISO/IEC 27002” Esta norma define un conjunto de controles y directrices de buenas prácticas para la Gestión de la Salud y la seguridad de la información para organizaciones sanitarias y otros custodios de la información sanitaria.  Es interesante tener en cuenta que la norma se enfoca en garantizar un mínimo nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de información personal de salud.

La norma se apoya en el catálogo de controles ISO 27002, pero plantea las particularidades de este tipo de entornos, con lo que es bastante aprovechable. En cualquier caso, os animo a leerla con un espíritu crítico, planteando la utilidad real en cada Organización (como todos los marcos más o menos genéricos)… especialmente cierto dada la complejidad de estandarizar procesos (“no hay enfermedades, sino enfermos”)

Otro de los puntos que requieren especial atención es la seguridad de la información mientras sea transmitida, dado que en los nuevos planteamientos de salud 2.0, se considera factible que el paciente utilice una importante cantidad de canales, que van desde el SMS/MMS, chat, redes sociales, teléfono, fax, videoconferencia o incluso telemedicina “al uso” (con dispositivos de monitorización específicos)…. Tantos canales suponen un autentico desafío para la seguridad de las redes sanitarias del futuro, que deberá ser suficientemente adaptable para tomar decisiones en base a las capacidades de cada uno de estos canales.

Además, existe otra categoría que se deriva de la interrelación de sistemas complejos (interoperabilidad), donde van a existir un gran numero de intersecciones en los que se deberán tomar decisiones que pueden afectar a la protección de la información de pacientes o facultativos. En este sentido, es muy recomendable incluir como factor en todos los posibles diseños de arquitectura interoperable la seguridad y protección resultante de la información.

El uso de las ontologías parece ser una de las mejoras formas de resolver la complejidad asociada al uso de diversos canales y sistemas, en los que dependiendo de diversos factores ser deberá poder decidir si es aceptable transmitir una información u otra…

Privacidad y protección de datos

Sin duda el área por excelencia en la que la mayoría de los ciudadanos piensa (pensamos) en cuanto se trata de desafíos del entorno de salud…. y no es para menos, ya que la complejidad de los procesos de salud, la cantidad de actores que intervienen en ellos y la normativa aplicable hacen que esta cuestión esté merecidamente en el candelero….

Como ya se ha mencionado, el principal eje de confianza sobre el que se debe trabajar es la expectativa de privacidad de los ciudadanos. Para regularla, además de la archiconocida Ley de Protección de Datos de Carácter Personal (y el “reciente” R.D. 1720/2007) existen otras normativas específicas que deben ser contempladas, como la Ley de Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación clínica, y que plantean un escenario complejo…

Los datos personales de los pacientes deben ser tratados por un número alto de profesionales con intereses diferentes, lo que causa que muchas veces los objetivos de privacidad y protección de la información sean divergentes: Existen diversos grupos de presión que actúan en sentidos opuestos (desde asociaciones de enfermos a colegios profesionales pasando por administraciones…etc)

Por ejemplo, nadie cuestionamos el uso de nuestros datos en la atención clínica, pero resulta que además estos mismos datos luego deben ser procesados por diversos grupos con necesidades diferentes, en los que resulta complejo conciliar todos los roles:

• Áreas de Salud Pública, que deben tratar datos anonimizados y convenientemente ofuscados… lo que en ciertos momentos no es útil, ya que la base sobre la que trabajan es la calidad del dato (“si en un dato anonimizado se descubre en un varón una enfermedad que solo tiene incidencia en las mujeres… ¿cómo puedo contactar con el centro originador para que lo revise?”)
• Epidemiología, con foco en el tratamiento de brotes, problemática idéntica a Salud Pública (suelen ser un subconjunto) pero con una presión temporal importante en caso de pandemias, algo que tristemente resulta de actualidad con la Gripe A.
• Administración,  focalizado en los aspectos de gestión administrativa de la atención recibida.
• Grupos de investigación, debiendo existir un consentimiento previo y una completa anonimización de datos personales.

Aún así, los procesos de anonimizacion o desnaturalización de los datos, si no son llevados a cabo apropiadamente (lo que sucede en un número sorprendentemente alto de ocasiones) pueden permitir el uso de técnicas de reidentificación de los pacientes o personal facultativo incluido en los ficheros, como comentaba ayer Enrique Dans en su blog.

En cualquier caso, sigue resultando totalmente vigente la necesidad de una concienciación de la necesidad de cumplir a rajatabla las medias de seguridad, tanto legales como establecidas por la organización. El otro día un experto del entorno de la salud comentaba al respecto:

La seguridad y la protección de datos personales […en el entorno de la sanidad…] se toma (por los profesionales de las TIC) como un valor adicional (atributo) de las cosas que hay que hacer, o sea del trabajo “real”.

La ley (y los riesgos) va por delante del sentir de la sociedad española y las organizaciones tienen un grado de madurez mejorable”.

El ultimo punto que deberá ser tenido en cuenta es el derivado de los servicios enfocados a crear colectivos o comunidades en las que pacientes y facultativos colaboren vía Internet, donde la privacidad deberá ser introducida como requisito del sistema (su funcionamiento sería similar al de redes sociales, con los desafíos que esto plantea)

Continuidad del Negocio

Existen dos vertientes interesantes sobre las que plantear los desafíos asociados a la continuidad de las operaciones en caso de desastres relacionados con el sector salud:

• Es menos habitual de lo que sería previsible que agentes en la cadena de prestación de servicios de salud (hospitales, centros de salud…etc) dispongan de un  Plan de Continuidad. Es importante, dada la creciente complejidad y dependencia de los sistemas de TI por parte de éstos, que se definan planes y medidas de protección que permitan operar sobre mínimos ante la ocurrencia de un desastre que inhabilite total o parcialmente un proceso.… Esto puede ser desde que haya una pérdida de conectividad hasta que un piquete bloquee la entrada al hospital o que éste se sature por un accidente global. En estos escenarios deben existir mecanismos (planificados con anterioridad, no improvisados) que definan los pasos a seguir (derivar pacientes a hospitales de la zona, p.ejemplo) y cómo restablecer un nivel mínimo de servicio.

• En lo tocante a otras Organizaciones y empresas, la Gripe A ha abierto los ojos sobre el escenario que en poco tiempo una cantidad importante de la plantilla (un 60% !) pueda ser afectada por la pandemia y se encuentre de baja, o que se considere que la sede de la empresa es zona de riesgo y se cierre en una cuarentena. En estos casos, las empresas deberán activar procesos secundarios (por ejemplo, teletrabajo) para permitir mantener un mínimo de servicio, y no abriendo con éste proceso vulnerabilidades… (Javier Cao amplia en su blog el tema en este estupendo post)

Estas ideas son sólo algunas de las situaciones que se me ocurre vamos a tener que plantear los profesionales de las TI de la Salud en un plazo corto/medio, pero estoy seguro que hay muchas mas… ¿cuales piensas tu que faltan? ¿Que importancia relativa tienen?

En concreto, abordé de forma algo más práctica dos enfoques complementarios a la Innovación centrada en el usuario, el crowdsourcing y cómo implicar al usuario y/o cliente en nuestros procesos de innovación a través de lo que se ha dado en llamar customer feedback 2.0.

Dado que era un ambiente relajado, entre amigos y en el que se disculpan los patinazos, decidí innovar y preparar una presentación “diferente” utilizando Prezi. Llevaba ya algún tiempo queriendo utilizar esta forma tan diferente de presentar, y no había encontrado todavía la ocasión donde “tirarme a la piscina”… a continuación podéis ver el resultado:

(Para verla mejor, os recomiendo que lo hagáis a pantalla completa pulsando en la esquina inferior derecha, opción “FullScreen”. Para los usuarios de Internet Explorer, parece que tienen algún tipo de problema con la visualización con algunas versiones de este navegador)

Tengo intención de hacer un post monográfico sobre “crowdsourcing” en los próximos dias, ya que creo que se trata de un planteamiento que puede ser diferencial en la conyuntura actual (aunque no es para todos)..

¿Pensais que este tipo de enfoques tiene sentido en la gran mayoría de las empresas? ¿Como se podría abordar?

Por eso, me parece importante matizar que cuando hablamos de apertura y transparencia lo hacemos desde el sentido común y la responsabilidad: es perfectamente lícito que en determinados entornos TODO sea visible, pero en las empresas no es así, desde mi punto de vista. El criterio que deberíamos aplicar es que la información a revelar sea pertinente, es decir, que sirva a los objetivos y que no sea excesiva…  Aunque no perdamos de vista que el fin último de intentar ser mas transparentes es facilitar las conversaciones.

Aun así, hay experimentos que arrojan conclusiones sorprendentes sobre el efecto de revelar información “confidencial”: No recuerdo el enlace, pero hace no mucho leí sobre una compañía que había puesto la información completa de nóminas (tras acordarlo con los trabajadores) a disposición interna de todo el mundo….  y curiosamente no hubo ningún problema o sorpresa, sino que sirvió de acicate para aumentar la competitividad sana…y además, muchos de los empleados declararon que ya sabían parte de la información. ¿Como puede ser esto? ¿Espionaje industrial? ¿Hackers? ¿el MI6?…. no, algo mucho más indiscreto: charlas de pasillo, cafés…etc. No tiene mucho sentido obsesionarnos con la confidencialidad cuando realmente se trata de información que oficiosamente es semipública…. siguiendo este hilo de pensamiento, ¿no resultaría más práctico poner a disposición de las personas de forma proactiva esta información, pero canalizada apropiadamente?…

La idea que pretendo transmitir es que, a mi juicio, en las empresas se trabaja con un nivel de confidencialidad respecto a determinadas cosas excesivo, y que puede ser muy beneficioso proporcionar esa información de forma controlada utilizando el magnífico canal de la empresa 2.0. Mas allá de los beneficios de marketing, hay unos cuantos más que se me ocurren a bote pronto, tanto objetivos como subjetivos:

• Desde un punto de vista interno, es importante conseguir el compromiso de los trabajadores. Para ello no hay nada más útil que entiendan la situación real de la empresa, los éxitos (y fracasos) de la misma… No olvidemos que, si estamos todos navegando en el mismo barco, a todos los pasajeros les gustaría saber hacia donde van, cómo pensamos llegar allí… etc. Hablamos de nuevos contratos ganados y perdidos, situación real de la empresa, comités…etc.

• Nuestros clientes perciben mejor el valor de los productos o servicios que ofrecemos desde una perspectiva más personal. Además, ya que con este enfoque no sólo debemos informar sino convencer, debemos involucrar a los clientes en determinadas tomas de decisiones… actualmente hay dos términos muy en boga, el prosumidor (utilizado por primera vez en “La tercera ola”) y el fansumer, y ambos términos tratan de la implicación de los clientes en nuestros productos o servicios…y ¿como lo vamos a conseguir si no comunicamos de forma más transparente?. Al final, la realidad es que nuestra empresa está compuesta por personas que son las autenticas protagonistas…. y si las dejamos expresarse (blogs o tweets corporativos..) posiblemente nuestros clientes lo aprecien. En este sentido, una de las empresas que más respeto me merecen es Encamina, que tienen una postura muy proactiva en el medio 2.0…

• Proveedores y potenciales aliados, ya que al ofrecerles mayor información sobre la nuestra organización, nuestras labores, y entorno les permitimos conocernos mejor y decidir si tiene sentido o no la colaboración, por ejemplo, en que áreas…etc. Ya hemos hablado en algún otro post sobre la importancia de que estas figuras aporten autentico valor a nuestra organización… y ¿como lo van a hacer si no les permitimos entender dónde y cómo pueden hacerlo?

• Nuestros accionistas y la sociedad en general, ya que son capaces ahora de conocer de forma mucho más cercana el día a día de la empresa, su posición en el mercado, prácticas de RSC.. etc, lo que dota a la gestión de una altísima transparencia (este es uno de los puntos que más inquietud causan, dado que debe ser cuidado de forma exquisita)

Las fronteras de las empresas poco a poco se van volviendo más porosas, y sin duda esta es una de las decisiones más complejas que debe tomar la organización… pero sin duda una de las más beneficiosas en el largo plazo. Es parecido al rechazo innato que sentimos los inmigrantes digitales la primera vez que oímos hablar de twitter, facebook y demás… y hoy en día es ampliamente aceptado que con una adecuada estrategia son herramientas tremendamente provechosas. (como muestra un botón, Twitter publicó hace unos días la guía de cómo puede ser usado este servicio por parte de las empresas)

La diferencia de cómo afrontará la empresa el proceso de apertura lo encontramos en la autentica piedra angular de la Empresa 2.0, algo que ni se mide ni se puede “tocar” pero que es completamente “palpable”: LA CULTURA. Este factor es responsable en un 80% (a mi juicio, claro) del éxito o fracaso de la transición a la Empresa 2.0, y es uno de los puntos más complejos sobre los que actuar… pero NO IMPOSIBLE. Hay varias palancas que iremos tratando en sucesivos post.

Por otro lado, y aunque no tiene una relación directa con el concepto de la Empresa 2.0, hace algunos días una persona muy interesante con quien trabajo me contó una historia muy interesante sobre los efectos de la transparencia:

En una comunidad autónoma de cuyo nombre no quiero acordarme el gasto farmacéutico se encontraba disparado (¿en cual no?), y desde la alta dirección de salud se trataba de incentivar el uso de los medicamentos genéricos… con escaso éxito. Un directivo innovador y bastante transgresor tomó la decisión de publicar (internamente) el gasto de todos los médicos en medicamentos en una lista interna, ordenada de mayor a menor… y el efecto fue que el gasto farmacéutico disminuyó de forma muy importante…

El único problema que tuvo este enfoque es que, aunque globalmente disminuyó de forma importante el gasto, se dio un caso paradójico: los médicos que gastaban por debajo de la media aumentaron su gasto, en lugar de mantenerlo… esta es una de las pocas perversiones derivadas de la apertura, la regresión a la media…. aunque creo que es un ejemplo claramente positivo de cómo la apertura es un factor crítico de éxito en el camino a la empresa 2.0.

“El conocimiento no es poder… el compartirlo si”

El Gobierno de las TI es una parte integral del Gobierno Corporativo, e implica alinear los procesos y recursos de TI con los objetivos de la Organización.  Este punto, que resulta sencillo de incluir en cualquier definición de objetivos, es el autentico núcleo de una estrategia de TI con éxito…. porque no se debe olvidar que el sentido y la razón de ser de las TI en la mayoría de las empresas es aportar valor al negocio de la compañía, y no solo darle soporte.

Y en la definición anterior, la clave es “alinear“. Si recordamos nuestra época de estudiantes, existía un concepto que dejaba muy claro el sentido de esta palabra: la resultante de fuerzas. Este término, expresado de forma sencilla, describía la dirección y fuerza global resultante al tomar como conjunto una serie de elementos dispares. En el caso de  que nos ocupa, relativo al gobierno de las TI, se refiere a hacia donde “tira” cada una de las áreas de una Organización, y habitualmente toma esta forma:

En muchos casos, lo que sucede es que el esfuerzo se difumina, dado que aunque todo el mundo funciona dando lo mejor de sí, se hace sin una guía y visión clara de qué es lo más beneficioso para la organización. Sin embargo, en un entorno donde todos empujan en la misma dirección, la fuerza resultante de de mayor magnitud y en la dirección exacta que se desea.

Tras esta definición tan gráfica, me gustaría comenzar con esta serie de post dedicados al Gobierno de la Tecnología definiéndolo y describiendo sus características más relevantes. Cuando hablamos de gobierno de TI normal:

• Alineamiento estratégico: Las TI deben diseñarse desde el principio para apoyar y soportar la estrategia de la Organización, estableciendo prioridades que enlacen claramente los planes de TI con los objetivos estratégicos de la compañía (definidos en un Balance Scorecard o Cuadro de Mando Integral, por ejemplo), identificando responsabilidades y tareas.

• Entrega de valor: Se trata de ejecutar el plan estratégico definido anteriormente, validando y demostrando que TI está efectivamente ofreciendo beneficios a la organización (y no pensando en los mundos de yupi, como a veces sucede). También habla de la optimización de compras, pero aquí desde el punto de vista estratégico, es decir, no se trata sólo de que el gasto sea óptimo, sino de validar si éste gasto es el necesario, de forma razonada (ya hablaremos de ROI, mentiras y cintas de video) .

• Gestión de Recursos: Su objetivo es la definición y gestión eficiente de los recursos de TI, lo que suele incluir aplicaciones, información, infraestructuras y por supuesto, personas (las grandes olvidadas, que trataremos de rescatar en este blog).  En este punto también se presta especial atención a algunos elementos clave, como la optimización del conocimiento y de las infraestructuras.

• Gestión de Riesgos: Las principales regulaciones obligan (legalmente) a la alta dirección a conocer el riesgo operativo al que se enfrenta la organización, y de aceptar el riesgo residual que se decidan (y afrontar las consecuencias de que éste se materialice). Este punto trata pues de la componente TIC del riesgo operativo y persigue asegurar que las TI cumplen tanto con las regulaciones y leyes aplicables como con las políticas internas vigentes, que la organización dispone del nivel oportuno de transparencia y que las responsabilidades en esta materia se encuentran asignadas y se conocen (benditas matrices RACI).

• Medición del rendimiento: Trata de medir y conocer en todo momento el estado y grado de implementación de la estrategia o plan definido, de acuerdo a las cambiantes necesidades de la organización. Para ello se deben monitorizar de forma regular elementos como el estado de los proyectos, rendimiento de los procesos, uso de recursos y aspectos económicos o entrega del servicio (típicamente a través de la gestión del nivel de servicio y variables asociadas)… el CIO debe tener en la cabeza no sólo el planteamiento estratégico sino cual está siendo el cumplimiento del mismo en cada una de estas dimensiones, para poder responder de forma ágil a cambios en el negocio.

Existen múltiples marcos de gobierno TI, cada uno con sus luces y sombras, pero sin duda los más relevantes son CobiT (Control Objectives for Information and related Technology de ISACA), ISO/IEC 38500:2008 (Corporate governance of information technology, basado en la norma australiana AS8015)… ValIT (creado por el IT Governance Institute - ITGI) también resulta muy interesante, ya que se posiciona a más alto nivel y relaciona la entrega de valor e inversiones en TI con el gobierno corporativo.

Citando literalmente la wikipedia: “Val IT se centra en la decisión de invertir (¿estamos haciendo lo correcto?) y la realización de beneficios (¿estamos obteniendo beneficios?), mientras que COBIT está enfocado en la ejecución (¿lo estamos haciendo correctamente, y lo estamos logrando bien?).”

Existen otros marcos de gestión de TI que no trataremos hoy, que se enlazan con el gobierno de TI pero cuyo “grueso” se sitúa en un nivel más bajo y se enfocan a la gestión de determinados procesos o aspectos de la gestión de TI (ITIL, ISO 20.000, ISO 27001, ISO 27999, ISO 25999…etc.).

Ultimamente parece que las compañías estan empezando a mirar el mundo 2.0 con un poco más de cariño, y están descubriendo una herramienta muy interesante para hacer fluir las conversaciones dentro y fuera de sus muros. Uno de los principales artífices de este novedosísima concepto (!?) fue el Cluetrain Manifesto, creado en el año 1999 y cuya principal tesis era “Los mercados son conversaciones” (lectura imprescindible).

El hecho es que la iniciativa está surgiendo de algunos de los lugares organizativamente más insospechados (o no), tales como las áreas de Marketing, Recursos Humanos o incluso Operaciones. En muchas de estas situaciones, el CIO descubre que ha sido “cazado” con el paso cambiado, y que debe liderar un proyecto que no entiende muy bien.

Hay muchas formas de abordar la implantación de una estrategia 2.0 en nuestras compañías, pero creo que hay algunos elementos comunes a todas ellas, y que es importante conocer:

• La web 2.0 NO es tecnología, sino una nueva forma de comunicarse… por lo que es normal que no sea IT quien se convierta en ideólogo del proyecto (de hecho, en aquellos casos que sí lo sea, deberá conseguir el apoyo de las áreas anteriormente menciondas)

• ¿Que perfil tienen los usuarios objetivos?. Ya hablemos de nuestros clientes, de nuestros empleados o proveedores, la realidad es que si no se trata de nativos digitales, o al menos inmigrantes digitales con interés, hay grandes posibilidades de que la iniciativa no sea usada… mejor una retirada a tiempo!.

• Sin (apenas) moderación, por favor. Si queremos que se creen conversaciones, por fuerte que sea la tentación de moderarlas, debemos desistir. El tono de este tipo de interacciones debe invitar a compartir opiniones, puntos de vista o conocimientos… y para ello, no es factible que exista alguien/algo que valide cada paso que da la comunidad… ya que ésta morirá antes siquiera de nacer. Podemos practicar moderación, pero sólo a posteriori y ante violaciones flagrantes del código de comportamiento.

• Toda comunidad debe tener (al menos) un lider. Y en mi opinión, y si hablamos de comunidades dentro de las organizaciones, cada comunidad debe ser liderada por un “no-jefe”. Este alguien además no debe ser elegido por imposición divina, sino por méritos y deseo propio, y escoger “tirar del carro”. En el caso de comunidades externas, la figura del community manager es de una importancia crucial: se trata de un perfil, idealmente nativo digital, cuyo trabajo es por un lado dinamizar la comunidad externa de la empresa en la que participen clientes y/o proveedores y, por otro lado, gestionar la imagen o reputacion online de la organización.

• Estructura orientada a la comunicación. Si se pretende que las conversaciones sean dinámicas, se debe pensar muy bien que temáticas, uso y participantes debe aglutinar cada comunidad. Deben, en general, responder a las organizaciones “expontaneas” y horizontales que surgen dentro de cada organización (por ejemplo, los “desarrolladores”), evitando en general más criterios, lo cual no quita que existan otras comunidades verticales… pero no deberíamos juntarlas (por ejemplo, que resultados tendríamos si hacemos una comunidad de “desarrolladores de madrid que les gusta el deporte” ? Y si creamos cada una por separado?)