El Informe Menlo es un informe publicado por la Dirección de Ciencia y Tecnología del Departamento de Seguridad Nacional de los EE. UU. , División de Seguridad Cibernética , que describe un marco ético para la investigación que involucra tecnologías de la información y las comunicaciones (TIC). [1]
El informe de 17 páginas [2] se publicó el 3 de agosto de 2012. Al año siguiente, el Departamento de Seguridad Nacional publicó un informe complementario de 33 páginas [3] que incluye estudios de casos que ilustran cómo se pueden aplicar los principios.
El Informe Menlo adaptó los principios originales del Informe Belmont (Respeto a las Personas, Beneficencia y Justicia) al contexto de la investigación y el desarrollo en materia de ciberseguridad , y agregó un cuarto principio: “Respeto a la Ley y al Interés Público”. [4]
El Informe Menlo se creó en el marco de un proceso informal y de base que fue catalizado por las cuestiones éticas planteadas en la investigación sobre seguridad informática en el ámbito de las TIC . Los debates en conferencias y en el discurso público expusieron una creciente conciencia de los debates éticos en la investigación sobre seguridad informática, incluidas cuestiones que las autoridades de supervisión existentes (por ejemplo, las Juntas de Revisión Institucional ) podrían haber ignorado o determinado que estaban fuera de su ámbito de competencia. El Informe Menlo es el documento central que surge de la serie de reuniones de grupos de trabajo que abordaron estas cuestiones en un intento de prevenir los daños de la investigación y galvanizar a la comunidad en torno a principios y aplicaciones éticos comunes.
Este informe propone un marco de directrices éticas para la investigación en seguridad informática y de la información , basado en los principios establecidos en el Informe Belmont de 1979 , una guía seminal para la investigación ética en las ciencias biomédicas y del comportamiento . El Informe Menlo describe cómo se pueden aplicar los tres principios del informe Belmont en campos relacionados con la investigación sobre o que involucran tecnologías de la información y la comunicación. La investigación en TIC plantea nuevos desafíos resultantes de las interacciones entre los seres humanos y las tecnologías de las comunicaciones. En particular, los contextos de investigación de TIC actuales se enfrentan a entornos de red conectados ubicuamente , superpuestos con regímenes legales y normas sociales variados y a menudo discordantes.
El Informe Menlo propone la aplicación de estos principios a la investigación sobre seguridad de los sistemas de información , aunque los investigadores esperan que el marco propuesto sea relevante para otras disciplinas, incluidas aquellas a las que se dirige el informe Belmont pero que ahora operan en contextos más complejos e interconectados. El Informe Menlo detalla cuatro principios éticos básicos, tres de los cuales figuran en el Informe Belmont original.
Tiene un principio adicional: el respeto a la ley y al interés público. El informe explica cada uno de ellos en el contexto de la investigación sobre las TIC.
El Informe Menlo intenta resumir un conjunto de principios básicos para orientar la identificación y resolución de los problemas éticos que surgen en la investigación sobre las TIC o que las involucran . El informe considera que las TIC se han integrado cada vez más en la vida cotidiana individual y colectiva y afectan nuestras interacciones sociales.
Considera que los desafíos que plantea la evaluación de riesgos del Tribunal Penal Internacional para Rwanda se derivan de estos tres factores:
- Las relaciones investigador-sujeto, que tienden a estar desconectadas, dispersas e intermediadas por la tecnología.
- La proliferación de fuentes de datos y análisis, que pueden aumentar el riesgo de manera incalculable.
- Y la superposición inherente entre investigación y operaciones.
Para aplicar adecuadamente cualquiera de los principios en el complejo entorno de la investigación en TIC, se considera que primero es necesario realizar un análisis sistemático y exhaustivo de las partes interesadas.
Las directrices propuestas para la evaluación ética de la investigación en TIC son las siguientes:
Para aplicar adecuadamente los cuatro principios es necesario realizar primero un análisis de las partes interesadas . Es importante realizar un análisis exhaustivo de las partes interesadas para identificar: la(s) entidad(es) correcta(s) a la(s) que se debe solicitar el consentimiento informado; la(s) parte(s) que soporta(n) las cargas o se enfrentan a los riesgos de la investigación; la(s) parte(s) que se beneficiarán de la actividad de investigación; y la(s) parte(s) que son fundamentales para la mitigación en caso de que los riesgos elegidos se hagan realidad.
El consentimiento informado garantiza que los sujetos de investigación que corren riesgo por su participación en la investigación comprendan la investigación propuesta, el propósito por el cual se les pide que participen en la investigación, los beneficios previstos de la investigación y los riesgos de la participación del sujeto en esa investigación. Luego, tienen la libertad de elegir si aceptan o rechazan la participación. Estos riesgos pueden implicar la identificación en los datos de la investigación, pero pueden extenderse a otros posibles daños.
La evaluación de los posibles daños que puede causar una investigación implica considerar los riesgos relacionados con la información y los sistemas de información en su conjunto. Los daños centrados en la información surgen de la violación de los requisitos de confidencialidad , disponibilidad e integridad de los datos. Esto también incluye la infracción de derechos e intereses relacionados con la privacidad y la reputación, y el bienestar psicológico , financiero y físico. Algunos datos personales son más sensibles que otros. La información muy sensible incluye los identificadores emitidos por el gobierno, como el Seguro Social , el permiso de conducir, los números de cuenta financiera y de atención médica, y los registros biométricos . Una combinación de datos personales suele ser más sensible que una sola pieza de información personal.
La investigación básica suele tener beneficios a largo plazo para la sociedad a través del avance del conocimiento científico. La investigación aplicada generalmente tiene beneficios visibles de inmediato. Las mejoras operativas incluyen algoritmos de búsqueda mejorados , nuevas técnicas de colas y nuevas capacidades de interfaz de usuario .
El principio de equilibrio entre riesgos y beneficios implica sopesar las cargas de la investigación y los riesgos de daño a las partes interesadas (directas o indirectas) frente a los beneficios que se derivarán para la sociedad en general como resultado de la actividad de investigación. La aplicación de este principio es quizás la más complicada debido a las características del ICTR. Esto nos obliga a revisar las directrices existentes sobre diseño de investigación y evaluación ética.
Pueden surgir circunstancias en las que se produzcan daños importantes a pesar de los intentos de prevenir o minimizar los riesgos, y se requieran medidas adicionales para mitigarlos. Los investigadores de las TIC deben tener (a) un plan de respuesta para daños razonablemente previsibles y (b) un plan de contingencia general para riesgos de baja probabilidad y alto impacto.
El informe considera que la investigación debe diseñarse y llevarse a cabo de manera equitativa entre las partes interesadas, distribuyendo los beneficios y las cargas de la investigación. La investigación dirigida a las TIC en sí puede basarse en la explotación de un atributo (por ejemplo, económicamente desfavorecido ) de las personas que no está relacionado con el propósito de la investigación. Por lo tanto, puede facilitar la selección arbitraria por terceros . Por otro lado, la opacidad y los desafíos de atribución asociados con las TIC pueden facilitar inherentemente la selección imparcial en todas las investigaciones, ya que a menudo es impracticable incluso discernir esos atributos.
La aplicación del respeto por la ley y el interés público a través del cumplimiento garantiza que los investigadores actúen con la debida diligencia legal. Si bien la ética puede estar implícitamente incorporada en muchas leyes establecidas, puede extenderse más allá de esas restricciones y abordar obligaciones relacionadas con la reputación y el bienestar individual, por ejemplo.
La transparencia es una aplicación del respeto por la ley y el interés público que puede alentar la evaluación y la implementación de la rendición de cuentas . La rendición de cuentas garantiza que los investigadores se comporten de manera responsable y, en última instancia, galvaniza la confianza en el ICTR. La rendición de cuentas basada en la transparencia ayuda a los investigadores, las entidades de supervisión y otras partes interesadas a evitar conjeturas e inferencias incorrectas sobre si, cuándo y cómo se están abordando los principios éticos. La transparencia puede exponer tensiones éticas, como el interés del investigador en promover la apertura y la reproducibilidad en lugar de retener los resultados de la investigación con el fin de proteger a una población vulnerable.
El Informe complementario [3] es un complemento del Informe Menlo que detalla los principios y aplicaciones con más detalle e ilustra su implementación en estudios de casos reales y sintéticos. Su objetivo es beneficiar a la sociedad, mostrando el potencial de daño a los seres humanos (directo o indirecto) y ayudando a los investigadores a comprender y prevenir o minimizar estos riesgos en el ciclo de vida de su investigación.
Este artículo incorpora material de dominio público de sitios web o documentos del Departamento de Seguridad Nacional de los Estados Unidos . E. Kenneally y D. Dittrich, "The Menlo Report: Ethical Principles Guiding Information and Communication Technology Research", Tech. Report., Departamento de Seguridad Nacional de los Estados Unidos, agosto de 2012.