Limitación de finalidad Cumplimiento con OpenAI

Jun 20, 2023
Share

Usted registra un dispositivo IoT, se suscribe a un servicio de video bajo demanda o planifica un viaje. Estas actividades recopilan datos. información de identificación personalAlgunas de estas actividades, como registrar el dispositivo IoT, utilizan los datos que se le proporcionan para generar más información sobre tus movimientos, frecuencia cardíaca y calorías quemadas. Los datos recién generados se vinculan contigo, un individuo único e identificable.

Como individuo, es posible que te preguntes cuándo se deja de recopilar información sobre ti. Como parte de una organización, es posible que te preguntes cómo se puede utilizar esta información para brindar un mejor servicio a tus clientes. Si no se controla, los datos pueden acumularse sin una fecha límite definida. Quien acceda a ellos puede utilizarlos para infinidad de propósitos.

Pero existen límites para controlar cómo se recopilan y utilizan los datos. Estos límites se expresan a través del principio de "limitación de la finalidad".

Antecedentes sobre la limitación de propósitos

Limitación de la finalidad es el principio de que la información personal identificable (PII) recopilada para un propósito determinado no puede ser utilizada para un propósito diferente. Este principio también se conoce como “propósito comercialY, como muchos principios recogidos en las leyes, ha sido objeto de diferentes interpretaciones por parte de quienes lo definen.

También hay excepciones. Según Artículo 5 del RGPD(1)(b), el procesamiento posterior de la información de identificación personal (IIP) puede permitirse cuando el motivo no sea “incompatible con los fines iniciales” y para “fines de archivo de interés público”. El RGPD no es la única ley que ofrece alternativas o intenta definir este principio. La limitación de la finalidad se encuentra en numerosas leyes, marcos y estándares de privacidad de datos, si bien la redacción exacta y la interpretación del principio varían:

  • Reglamento General de Protección de Datos (RGPD) - La información de identificación personal debe recopilarse para fines específicos, explícitos y legítimos, y no debe procesarse posteriormente de una manera incompatible con esos fines.
  • NIST Marco de privacidad: las organizaciones deben identificar los fines para los que recopilan y utilizan la información de identificación personal (PII).
  • Comisión Federal de Comercio (FTC) Ley, Sección 5: las organizaciones deben divulgar sus prácticas de recopilación de datos, incluidos los fines para los que recopilan y utilizan la información de identificación personal (PII).

Plataforma de seguridad de datos impulsada por IA de Cyera para comprender el propósito

Capturar la recopilación de datos y el propósito de uso nunca ha sido tan fácil. Al incorporar Integración de Azure OpenAI en la plataforma de seguridad de datos de Cyera.Analizamos automáticamente el acceso de los usuarios y revelamos el propósito de ciertos tipos de usuarios.

En lo que respecta al control de acceso, ver la lista de usuarios que pueden acceder a los datos es un buen comienzo. Pero al observar nombres de usuario como "Usuario de marketing", ¿sabe realmente quiénes son y por qué acceden a los datos?

Distinguimos entre usuarios de marketing, ya sean humanos o máquinas. Al analizar a una máquina, describimos el propósito de su acceso. Esto es posible porque las máquinas prestan servicios en la nube que nuestro modelo de OpenAI captura y describe en un lenguaje comprensible para los humanos.

Aquí hay algunos ejemplos de cómo describimos los propósitos de los usuarios de máquinas para acceder a los datos:

  • El objetivo del servicio EU-OLM es gestionar y personalizar los sistemas de gestión del aprendizaje en línea en la región de la UE.
  • La finalidad de Dynamics-powerbi es crear y administrar informes y paneles de Power BI.
  • La finalidad del usuario de marketing es generar y distribuir folletos de la empresa.
  • El objetivo del servicio Microsoft365 es gestionar y personalizar las aplicaciones de Microsoft Dynamics 365 en la región de la UE.
  • El propósito de Geo-service es brindar servicios de cartografía y análisis geográfico.
Representación visual de los riesgos y salvaguardias relacionados con el uso y el cumplimiento de los datos de OpenAI.

Cyera te permite analizar los metadatos de los usuarios sin necesidad de iniciar sesión en tus distintas cuentas en la nube para obtener esta información. Además, su finalidad es fácilmente comprensible para prácticamente cualquier persona, sin necesidad de recurrir a un técnico para interpretar por qué el usuario accede a los datos.

Conclusión

A medida que aumenta el volumen de datos personales recopilados, resulta aún más importante respetar el principio de limitación de la finalidad. La plataforma de seguridad de datos con IA de Cyera puede ayudarle a cumplir con los requisitos de limitación de la finalidad analizando el acceso de los usuarios y revelando la finalidad en determinadas circunstancias.

Cyera adopta un enfoque de seguridad centrado en los datos, evaluando la exposición de sus datos tanto en reposo como en uso y aplicando múltiples capas de defensa. Gracias a que Cyera aplica un contexto de datos profundo e integral a todo su entorno de datos, somos la única solución que permite a los equipos de seguridad saber dónde se encuentran sus datos, qué los expone a riesgos y tomar medidas inmediatas para corregir las vulnerabilidades y garantizar el cumplimiento normativo sin interrumpir las operaciones comerciales.

Para obtener más información sobre cómo el modelo de plataforma de seguridad de datos con tecnología de IA de Cyera puede ayudarle a obtener información más valiosa con facilidad, Programa una demostración hoy.

Share