Cumplimiento del principio de limitación de finalidad con OpenAI

Te registras un dispositivo IoT, te suscribes a un servicio de video bajo demanda o haces arreglos de viaje. Estas actividades recopilan información de identificación personal. Algunas de estas actividades, como registrar el dispositivo IoT, utilizan los datos con los que ha sido alimentado para generar más datos sobre tus movimientos, tu ritmo cardíaco y las calorías quemadas. Los datos recién generados luego se vinculan contigo, una sola persona identificable.

Como individuo, podrías preguntarte: ¿cuándo deja de recopilarse información sobre ti? Como parte de una organización, podrías preguntarte: ¿cómo puede utilizarse esta información para servir mejor a tus clientes? Si no se controla, los datos pueden seguir acumulándose sin una fecha de finalización definida. Puede ser utilizada por quien tenga acceso a ella por una infinidad de razones.

Pero existen límites para controlar cómo se recopilan y utilizan los datos. Estos límites se expresan mediante el principio de "limitación de propósito".

Antecedentes sobre la limitación de propósito

Limitación de propósito es el principio de que la PII recopilada para un propósito dado no puede usarse para un propósito diferente. El principio también se conoce como “propósito comercial”. Y, como muchos principios escritos en las leyes, ha sido objeto de diferentes interpretaciones por parte de quienes lo definen.

También hay excepciones. Según el Artículo 5 del RGPD(1)(b), el tratamiento ulterior de la PII puede permitirse cuando el motivo no sea “incompatible con los fines iniciales” y para “fines de archivo en interés público”. El RGPD no es la única ley que ofrece soluciones alternativas o intenta definir el principio. La limitación de la finalidad se encuentra en muchas leyes, marcos y normas de privacidad de datos, aunque el lenguaje exacto y la interpretación del principio varían:

• Reglamento General de Protección de Datos (GDPR) - La PII debe recopilarse con fines específicos, explícitos y legítimos, y no procesarse posteriormente de una manera incompatible con esos fines.
• NIST Marco de Privacidad: las organizaciones deben identificar los fines de la recopilación y uso de la PII.
• Ley de la Comisión Federal de Comercio (FTC), Sección 5: las organizaciones deben revelar sus prácticas de recopilación de datos, incluidos los fines para los que recopilan y usan PII.

Plataforma de Seguridad de Datos con IA de Cyera para Entender el Propósito 

Capturar la recopilación de datos y el propósito de uso nunca ha sido tan fácil. Al incorporar Azure OpenAI en la Plataforma de Seguridad de Datos de Cyera, analizamos automáticamente el acceso de los usuarios y mostramos el propósito para ciertos tipos de usuarios. 

Cuando se trata de monitorear el acceso, ver la lista de usuarios que pueden acceder a los datos es un comienzo. Pero cuando ves nombres de usuario como “Marketing-user”, ¿realmente sabes quiénes son y por qué están accediendo a los datos?

Distinguimos si el “usuario de Marketing” es un usuario humano real o un usuario de máquina. Al analizar un usuario de máquina, describimos el propósito del acceso. Esto es posible porque los usuarios de máquina brindan servicios dentro de la nube que nuestro modelo de OpenAI captura y describe en un lenguaje comprensible para humanos.

Aquí hay algunos ejemplos de cómo describimos los propósitos de los usuarios máquina para acceder a los datos:

• El propósito de EU-OLM-service es gestionar y personalizar sistemas de administración de aprendizaje en línea en la región de la UE.
• El propósito de Dynamics-powerbi es crear y administrar informes y paneles de Power BI.
• El propósito del usuario de marketing es generar y distribuir folletos de la empresa.
• El servicio Microsoft365 tiene como propósito gestionar y personalizar las aplicaciones de Microsoft Dynamics 365 en la región de la UE.
• El propósito del servicio geoespacial es ofrecer servicios de mapeo y análisis geográfico. 

Cyera te permite analizar metadatos sobre los usuarios sin tener que iniciar sesión en tus distintas cuentas en la nube para obtener esta información. Los propósitos también se entienden fácilmente por casi cualquier persona, sin tener que recurrir a un recurso técnico para interpretar por qué el usuario de máquina está accediendo a los datos.

Conclusión 

A medida que aumenta el volumen de recolección de PII, es aún más importante adherirse al principio de limitación de finalidad. La Plataforma de Seguridad de Datos impulsada por IA de Cyera puede ayudarle a cumplir con los requisitos de limitación de finalidad al analizar el acceso de los usuarios y revelar la finalidad en determinadas circunstancias.

Cyera adopta un enfoque centrado en los datos para la seguridad, evaluando la exposición de tus datos en reposo y en uso y aplicando múltiples capas de defensa. Debido a que Cyera aplica un contexto profundo de los datos de manera holística en todo tu panorama de información, somos la única solución que puede capacitar a los equipos de seguridad para saber dónde están sus datos, qué los expone a riesgos y tomar medidas inmediatas para remediar las exposiciones y asegurar el cumplimiento sin interrumpir el negocio.

Para obtener más información sobre cómo el modelo de la Plataforma de Seguridad de Datos impulsada por IA de Cyera puede ayudarte a obtener mejores insights con facilidad, programa una demostración hoy.