Towards Viewpoint-centric Artifact-based Regulatory Requirements Engineering for Compliance by Design

Este artículo presenta el modelo de artefactos AM4RRE como una propuesta para integrar la ingeniería de requisitos regulatorios en el ciclo de vida del desarrollo de software, con el objetivo de lograr un cumplimiento normativo sistemático y basado en el diseño que aborde la complejidad de la coordinación entre múltiples perspectivas.

Lo esencial

Imagina que construir un software es como construir un rascacielos.

Hace años, los arquitectos y constructores solo se preocupaban por que el edificio no se cayera y fuera bonito. Pero hoy, hay miles de nuevas leyes (regulaciones) sobre cómo debe ser ese edificio: "debe tener ventanas anti-alarma", "los ascensores deben ser accesibles para sillas de ruedas", "no puede haber fugas de datos personales".

El problema es que los constructores (ingenieros de software) hablan un idioma técnico, y los abogados hablan un idioma legal lleno de palabras complejas. A menudo, los constructores intentan cumplir estas leyes "al vuelo" o de forma desordenada, lo que lleva a errores costosos o a edificios ilegales.

Este paper es el trabajo de tesis doctoral de Oleksandr Kosenkov, quien quiere solucionar este caos. Aquí te explico su idea usando una analogía sencilla:

1. El Problema: Dos idiomas que no se entienden

Actualmente, cuando una empresa quiere cumplir la ley (por ejemplo, la ley de protección de datos), suele hacerlo de dos formas equivocadas:

• Opción A: Contratan a un abogado al final del proyecto para que revise si todo está bien (como si un inspector viniera cuando el edificio ya está terminado).
• Opción B: Intentan seguir la ley, pero lo hacen de forma desordenada, sin un plan claro, creando "parches" que no encajan con el diseño original.

El autor dice: "¡No! Necesitamos integrar la ley desde el primer día, desde el plano inicial. Esto se llama 'Cumplimiento por Diseño'".

2. La Solución: El "Mapa de Tesoros" (AM4RRE)

Para unir a los abogados y a los ingenieros, el autor ha creado un modelo llamado AM4RRE. Imagina que este modelo es un mapa de tesoros o un manual de instrucciones universal que todos pueden entender, sin importar si son abogados o ingenieros.

En lugar de decirles qué actividades hacer (como "reunirse el lunes"), el modelo les dice qué información (artefactos) deben crear y cómo conectarla.

El mapa tiene 5 partes clave:

1. Quién es quién (Roles): Define quién hace qué (el abogado, el experto en el tema, el ingeniero de requisitos, el arquitecto de software).
2. Qué queremos lograr (Objetivos): ¿Qué busca el abogado? ¿Qué busca el ingeniero?
3. El contexto (Por qué): ¿Qué leyes aplican? ¿Qué desafíos tenemos?
4. El cuándo (Hitos): ¿En qué momento del proyecto se debe hacer cada cosa?
5. El contenido (Qué escribimos): Aquí está la magia. Define exactamente qué debe escribir cada persona.
   • El abogado escribe la "Especificación Legal" (ej: "El usuario debe poder borrar sus datos").
   • El ingeniero escribe la "Especificación de Software" (ej: "Crear un botón de 'Borrar Cuenta' en la base de datos").
   • El truco: El modelo asegura que lo que el abogado pide se conecte perfectamente con lo que el ingeniero construye.

3. La "Traducción" (Ajuste del Modelo)

El modelo no es rígido. Funciona como un adaptador de enchufes universal.

• Adaptación por Ley (T1): Si la ley cambia (por ejemplo, de una ley de privacidad a una de accesibilidad), el modelo se ajusta para traducir los conceptos de esa ley específica.
• Adaptación por Proyecto (T2): Conecta los conceptos legales con los técnicos. Por ejemplo, si la ley habla de "Sujeto de Datos", el modelo le dice al ingeniero: "Eso es lo mismo que tu 'Usuario Registrado' en el sistema". Así evitan duplicar trabajo o malentendidos.
• Adaptación por Metas (T3): Si la empresa quiere priorizar ciertas cosas, el modelo ayuda a enfocarse en lo importante.

4. ¿Qué sigue? (El Futuro)

El autor ya ha creado este "mapa" y ha probado partes de él con expertos. Ahora, el siguiente paso es probarlo en la vida real.
Quiere ver si, usando este modelo (y herramientas sencillas como listas de verificación o plantillas), los equipos de trabajo pueden construir software que cumpla la ley de forma natural, sin dolor de cabeza y sin tener que rehacer todo al final.

En resumen

Este paper propone dejar de tratar las leyes como un obstáculo que aparece al final del camino. En su lugar, propone un sistema de traducción y planificación (el modelo AM4RRE) que permite a abogados e ingenieros trabajar juntos desde el principio, asegurando que el software sea legal, seguro y útil desde su primer boceto.

Es como pasar de intentar arreglar un coche mientras se conduce, a tener un manual de instrucciones claro que te dice cómo construir el coche para que nunca se averíe.

Resumen técnico

Resumen Técnico: Ingeniería de Requisitos Regulatorios Centrada en Artefactos y Perspectivas

1. El Problema

La integración de la Ingeniería de Requisitos Regulatorios (RE) en los procesos de desarrollo de software (SDLC) para lograr un "cumplimiento por diseño" (compliance by design) representa un desafío crítico y creciente. A pesar de la proliferación de nuevas regulaciones, la industria del software sigue enfrentando dificultades para integrar estos requisitos de manera sistemática, dependiendo a menudo de enfoques ad-hoc o procesos regulatorios aislados.

Los autores identifican cinco características distintivas que complican la integración:

1. Consistencia y Complejidad: Los métodos basados en procesos son insuficientes para garantizar la consistencia, completitud y corrección en entornos ágiles dinámicos.
2. Naturaleza Reactiva: Los requisitos regulatorios suelen ser una "reflexión tardía" (afterthought), generados después de que existen especificaciones iniciales del sistema, lo que obliga a iteraciones costosas.
3. Impacto Cruzado: Los requisitos regulatorios impactan y a menudo requieren la revisión de requisitos no regulatorios, creando bucles de iteración complejos.
4. Doble Espacio (Problema/Solución): Las regulaciones contienen demandas tanto del espacio del problema como de la solución, que deben ser gestionadas por roles diferentes (jurídicos vs. ingenieros) y mantenidas consistentes.
5. Fricción entre Perspectivas: La interacción entre expertos legales e ingenieros es difícil debido a la brecha de conocimiento, objetivos conflictivos y la complejidad de traducir conceptos legales a especificaciones técnicas.

Actualmente, existe una comprensión empírica limitada sobre cómo coordinar estas perspectivas de manera efectiva sin imponer cargas adicionales al equipo de desarrollo.

2. Metodología

El estudio sigue un enfoque de investigación doctoral basado en la Ingeniería de Requisitos Basada en Artefactos, utilizando una metodología mixta que combina revisiones sistemáticas de literatura con investigación empírica (entrevistas, grupos focales y estudios de caso).

El trabajo se estructura en torno a tres preguntas de investigación (RQ):

• RQ1: ¿Cuáles son los desafíos de la RE regulatoria y los enfoques de privacidad por diseño en la literatura? (Estudio de mapeo sistemático y revisiones de literatura).
• RQ2: ¿Cómo se implementa la RE regulatoria en la práctica y qué métodos se requieren? (Cinco estudios empíricos con expertos legales, ingenieros y profesionales de la privacidad).
• RQ3: ¿Cómo puede contribuir la coordinación entre perspectivas a la RE regulatoria? (Síntesis y propuesta de un modelo conceptual).

El núcleo de la solución propuesta es el Modelo de Artefactos para la Ingeniería de Requisitos Regulatorios (AM4RRE), diseñado para coordinar diferentes perspectivas (legal, de negocio, de requisitos y de arquitectura) a través de la gestión de artefactos y sus relaciones, en lugar de seguir un flujo de actividades rígido.

3. Contribuciones Clave

La principal contribución del artículo es la propuesta y síntesis del AM4RRE, un modelo conceptual que extiende el Artefact Model for Domain-independent Requirements Engineering (AMDiRE) para incluir la perspectiva legal.

Componentes del AM4RRE:
El modelo se estructura en cinco componentes (C1-C5) que definen roles, objetivos, contexto, hitos y contenido:

• C1 Modelo de Roles: Define responsabilidades (experto legal, experto de dominio, ingeniero de requisitos, arquitecto de software).
• C2 Modelo de Objetivos: Especifica las metas de cada rol.
• C3 Contexto del Proyecto: Incluye desafíos y actividades.
• C4 Modelo de Hitos: Establece la secuencia de especificación.
• C5 Modelo de Contenido (Núcleo): Define los artefactos específicos:
  • Especificación Legal: Basada en conceptos legales abstractos concretizados.
  • Especificación de Contexto de Software, Requisitos y Sistema.

Mecanismo de Coordinación (Tailoring):
El modelo introduce un proceso de adaptación (tailoring) para conectar la perspectiva legal con la ingeniería:

1. Adaptación Específica de la Regulación (T1): Anotación del texto legal para identificar instancias de conceptos legales y crear un modelo de contenido legal específico.
2. Adaptación Específica del Contenido (T2): Establecimiento de relaciones entre conceptos legales y conceptos de ingeniería (ej. vincular "sujeto legal" con "stakeholder" en el contexto del sistema). Esto evita la duplicación de requisitos y asegura la consistencia semántica.
3. Adaptación Impulsada por Objetivos (T3): Selección de elementos de contenido basados en los objetivos organizacionales (opcional).

4. Resultados

Los resultados de los estudios preliminares y la síntesis del modelo incluyen:

• Identificación de Desafíos: Se confirmaron los desafíos de la brecha de conocimiento entre abogados e ingenieros y la necesidad de procesos iterativos. Se halló que la mayoría de las empresas utilizan procesos regulatorios aislados.
• Validación de Conceptos Legales: En estudios con expertos legales, se validó que es posible concretizar normas abstractas en requisitos específicos mediante la identificación de conceptos legales centrales (contexto legal y demandas legales).
• Aplicabilidad del Modelo: La validación preliminar con profesionales de la privacidad mostró que el enfoque de asignar instancias de conceptos legales a niveles de requisitos y sistema es viable para capturar conocimiento legal y mantener la trazabilidad.
• Priorización de Características: Se identificó que las tres características más importantes para los métodos de RE en privacidad por diseño son: la captura de conocimiento del dominio legal, la transparencia de las especificaciones y la trazabilidad.

5. Significado e Impacto

Este trabajo es significativo porque:

• Cambia el Paradigma: Propone pasar de enfoques basados en actividades (qué hacer y cuándo) a enfoques basados en artefactos (qué especificar y cómo se relaciona), lo cual es más adecuado para la complejidad y variabilidad de las regulaciones.
• Facilita el Cumplimiento por Diseño: Al integrar la perspectiva legal directamente en los artefactos de ingeniería desde el inicio, permite un cumplimiento verificable y demostrable a lo largo del SDLC, reduciendo la necesidad de rework costoso.
• Puente Interdisciplinario: Ofrece un marco estructurado para la comunicación entre expertos legales y de ingeniería, mitigando la ambigüedad y los conflictos de objetivos mediante la definición explícita de relaciones semánticas entre conceptos.
• Futuro de la Investigación: El artículo establece una hoja de ruta para la validación final del AM4RRE mediante experimentos con profesionales, utilizando plantillas y listas de verificación para operacionalizar el modelo en entornos reales.

En conclusión, el artículo presenta un avance teórico y práctico crucial para superar la fragmentación actual en la gestión de requisitos regulatorios, ofreciendo un modelo unificado que asegura la coherencia entre la intención legal y la implementación técnica.