Skip to content

Instantly share code, notes, and snippets.

@mroman42

mroman42/UGRApp.md

Forked from agarciamontoro/UGRApp.md
Last active September 8, 2017 13:52
Show Gist options
  • Star 0 You must be signed in to star a gist
  • Fork 0 You must be signed in to fork a gist
  • Save mroman42/be6d3c1dc0aadc1e4611ec6fd0c53e59 to your computer and use it in GitHub Desktop.
Save mroman42/be6d3c1dc0aadc1e4611ec6fd0c53e59 to your computer and use it in GitHub Desktop.
Download ZIP
UGRApp: propuestas de mejora y solicitud de información
Raw
UGRApp.md

UGRApp: propuestas de mejora y solicitud de información

Introducción

La Universidad de Granada (UGR) lleva unos meses publicitando su nueva aplicación oficial: la UGRApp. Esta aplicación permite el acceso a la Tarjeta Universitaria Inteligente (TUI) en su versión digital, consulta de las calificaciones, el listado de asignaturas, los horarios de clases, el menú de los comedores universitarios, el catálogo de la biblioteca, realizar trámites administrativos... en definitiva, pretende funcionar como intermediaria entre el alumnado y la Universidad.

Tras los primeros anuncios de la aplicación por parte de la UGR, un grupo de miembros de la comunidad universitaria granadina decidió analizar la aplicación para verificar que era segura. En este primer análisis se detectaron varios problemas. Tras debatir los pasos a seguir para frenar los peligros que esta aplicación crea, y después de estar en contacto con D. José Ángel Ibáñez Zapata ---Director de Comunicación de la UGR---, que se ofreció como intermediario ante el equipo de gobierno de la UGR ---Rectora, vicerrectores y delegado de la Rectora para la Universidad Digital, entre otros---, se ha decidido redactar este documento para alertar sobre los peligros que conlleva el uso de la aplicación, solicitar información que no nos ha sido posible encontrar y sugerir mejoras para la aplicación.

Peligros generados por UGRApp

La situación actual de la aplicación UGRApp genera una serie de peligros para los usuarios y usuarias finales que podemos sintetizar en los siguientes tres grupos.

Cesión de datos a terceros

El núcleo de la aplicación fue desarrollado por el Banco Santander ---una entidad privada con intereses comerciales que potencialmente entran en conflicto con los intereses universitarios--- tras ganar el concurso público organizado en el marco del Proyecto App CRUE. En particular, el desarrollo fue llevado a cabo a través de UNIVERSIA, cuyas condiciones legales explicitan que el desarrollo ---aparentemente gratuito para sus clientes, en este caso la UGR--- de sus aplicaciones se sufragará con los datos que vende a empresas de publicidad.

Aunque en el documento Condiciones legales y permisos se especifica que "Banco Santander no puede utilizar tales datos para fines distintos a los de prestar el servicio acordado y siempre bajo las instrucciones de la Universidad" y que "Este procedimiento de cesión de datos no está implementado aún en la versión actual de la App CRUE (y por tanto, tampoco en la UGRApp a fecha de 7 de Septiembre de 2017) y, por tanto, en este momento no se realiza cesión de datos a terceros de ningún tipo desde la aplicación", más tarde se especifica que "Se comunicará en el momento en que esté activo."

Estos hechos confirman que UGRApp tiene en sus planes implementar funcionalidades que permitan ceder datos del alumnado de la UGR a terceros, quienes podrán comerciar con ellos a través de publicidad, promociones o cualquier tipo de actividad comercial.

Licencia del código de la aplicación

El código fuente de la aplicación no es libre ---ver Propiedad y naturaleza del código fuente en el documento Condiciones legales y permisos---. Esto conlleva varios problemas:

  • La seguridad de la aplicación y el uso que esta hace de los datos con los que trabaja no pueden ser auditados por la comunidad universitaria con las garantías necesarias.
  • El conjunto de usuarios y usuarias está obligado a confiar en el equipo de desarrollo de la aplicación, sin la posibilidad de contrastar la poca información que existe sobre sus funcionalidades. Si el Banco Santander o la UGR incumplen cualquier acuerdo que se haga, es imposible saberlo sin tener acceso al código fuente. En particular, no existe forma de saber si el Banco Santander o la UGR deciden ceder los datos del alumnado a terceros sin comunicarlo.
  • No se puede contribuir al desarrollo de la aplicación para su adaptación a las necesidades del alumnado.

Publicidad de entidades privadas

La aplicación contiene una serie de funcionalidades que se pueden encontrar en la llamada Área comercial, "constituida por las pestañas o secciones de retos, ventajas, mi bolsillo y mi futuro" (ver las Condiciones legales y permisos en la página oficial de la UGR). Esta área contiene publicidad de terceros y ofertará "servicios financieros del Banco Santader" (consultar el documento Pasos para la puesta en marcha de la App Crue en una universidad)

Estos hechos confirman que UGRApp sirve como soporte para publicidad de entidades privadas que intentan sacar beneficios de una aplicación oficial cuyos objetivos deberían ser única y exclusivamente académicos.

Solicitud de información

Tras hacer un trabajo de investigación minucioso, el grupo de miembros de la comunidad universitaria preocupado por el desarrollo de UGRApp redactó una serie de preguntas cuyas respuestas no se encontraron en los documentos que se consultaron. El equipo de gobierno de la UGR debería contestar a todas ellas con las referencias necesarias.

  1. El primero de los objetivos en el desarrollo de la AppCRUE, que se puede leer en el documento App de Universidades CRUE - Resumen del proyecto, es "crear una app móvil de universidades CRUE, colaborativa y libre". UGRApp, que surge de este proyecto, no tiene licencia libre ni se permite la colaboración directa por parte de la comunidad universitaria. ¿Por qué no se ha cumplido este objetivo?
  2. ¿Por qué el personal que gestiona el proyecto no está concienciado acerca del software libre y no entiende el valor que tiene que el proporcionado por las instituciones públicas lo sea?
  3. Según el documento Pasos para la puesta en marcha de la App Crue en una universidad, la aplicación ofrecerá "Servicios financieros del Banco Santander". ¿Por qué es necesario que en la aplicación oficial de una universidad pública se publiciten o faciliten servicios de entidades privadas? ¿Qué aporta eso a la comunidad universitaria?
  4. En el documento Pasos para la puesta en marcha de la App Crue en una universidad se lee "Esta no es una lista cerrada, sino que se podrá desarrollar cualquier otro servicio que se considere necesario tanto por una universidad, como por Crue y por el Banco Santander en su función de apoyo a las universidades, para el conjunto de todas ya que App Crue es un sistema abierto, libre y personalizable." ¿Por qué puede el Banco Santander decidir qué otros servicios incorporar a una aplicación oficial de una universidad pública?
  5. ¿Se le aplican a la UGRApp las condiciones de Universia detalladas en el documento Legal Notice Universia?
  6. En el documento Descripción funcional v0 - Resumen ejecutivo, sección "3.15. Zona financiera" se puede leer "Esta sección incluirá progresivamente la oferta de servicios financieros de Banco Santander que aporten valor y faciliten gestiones administrativas en el entorno universitario, tanto para clientes como para no clientes. En este punto se incluirán también formación en el ámbito financiero, información sobre becas, emprendimiento, ofertas de empleo etc." El alumnado de la UGR no debe ser bombardeado con publicidad de una entidad privada como es el Banco Santander, ¿por qué se hace esto?
  7. ¿Hay algún acuerdo que no se haya presentado de forma transparente entre el Santander y la CRUE?
  8. En el documento Buenas prácticas para la puesta en marcha en una universidad, sección 2, punto 1, se lee: "Firma de un convenio con el Banco Santander (o de una adenda si ya se dispone de un convenio de colaboración general) donde se regule el soporte y apoyo del Banco Santander a la implantación de la App Crue en la universidad y el compromiso necesario por parte de la universidad para su puesta en marcha." ¿Dónde podemos obtener ese convenio y/o la adenda especificada?
  9. ¿Por qué no se permite a terceros, excepto a Santander, que accedan a datos de acceso e interés público en sus aplicaciones? Lo justo sería que los datos tales como los calendarios, horarios, menús de comedores, etc. estuviesen disponibles a través de una API de libre uso en cualquier aplicación.
  10. D. José Ángel Ibáñez Zapata nos informó de que "entre las condiciones legales se establece que los datos están en un servidor de Universia pero pertenecen a la CRUE. Hay un convenio firmado por CRUE y Universia para su gestión". ¿Dónde podemos ver ese convenio?
  11. D. José Ángel Ibáñez Zapata nos informó de que "En este momento se está redactando una adenda específica que establece la no cesión a terceros de datos de la UGR". ¿Dónde podemos ver esa adenda? Además, Ibáñez añadió "Se trata de una agenda (sic) que se va a llevar en breve a CRUE a instancias de la propia UGR". ¿Significa esto que hasta ahora, con la aplicación en circulación, se permite la cesión a terceros de datos de la UGR o de usuarios de la aplicación?
  12. ¿Qué coste ha tenido para la Universidad la puesta en marcha de la aplicación, teniendo en cuenta el contrato firmado con UNIVERSIA y la adaptación y mantenimiento por parte del Área de Servicios TUI del Centro de Servicios de Informática y Redes de Comunicaciones (CSIRC)?

Sugerencias de mejora

Tras analizar los peligros generados por la UGRApp y definir las preguntas anteriormente listadas, el grupo de miembros de la comunidad universitaria preocupado por el desarrollo de UGRApp redactó una serie de sugerencias para la mejora de la aplicación; en particular:

  1. UGRApp, como aplicación oficial de una universidad pública, debería tener una licencia libre ---GPLv3 o similares--- y promover el desarrollo comunitario de la misma alojando el código en una forja que admita contribuciones de cualquier interesado. Aquí nos gustaría apelar directamente a la Rectora, Dª Pilar Aranda, que en su Programa electoral para el Rectorado de la Universidad de Granada prometía "Impulsar todas aquellas actividades dirigidas a la generación de productos y servicios útiles que operen bajo una licencia abierta (software libre)". Impulsar una aplicación privativa como aplicación oficial de la UGR entra en conflicto con esta promesa.
  2. UGRApp debería ceñirse a cuestiones académicas, prohibiendo la publicidad de entidades privadas y las promociones comerciales de cualquier tipo. Que UGRApp sirva como pasarela para beneficio de entidades privadas y promociones de servicios financieros de bancos dinamita el carácter independiente de la educación pública.
  3. UGRApp debería ser una aplicación segura que respete la privacidad de sus usuarios y usuarias. Que UGRApp tenga en sus planes ceder datos de su alumnado a terceros, en particular a entidades privadas que puedan obtener beneficio con ellos a través de publicidad, promociones o cualquier tipo de actividad comercial, viola los derechos de privacidad del alumnado.

Si la UGR no se encuentra en posición de asegurar que esas mínimas condiciones se van a cumplir al publicar la aplicación, y sabiendo que los servicios que ofrece son fácilmente accesibles desde otros medios, debería proceder a la retirada de la aplicación. Mantenerla sería contrario al compromiso con el software libre y al principio de independencia de la universidad pública.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment