Conformidade com Limitação de Finalidade da OpenAI

Você registra um dispositivo IoT, assina um serviço de vídeo sob demanda ou organiza uma viagem. Essas atividades coletam informações de identificação pessoal. Algumas dessas atividades, como o registro do dispositivo IoT, utilizam os dados que foram fornecidos para gerar mais dados sobre seus movimentos, frequência cardíaca e calorias queimadas. Os dados recém-gerados então se vinculam a você, um único indivíduo identificável.

Como indivíduo, você pode se perguntar quando a coleta de informações sobre você para? Como parte de uma organização, você pode se perguntar como essas informações podem ser utilizadas para melhor atender seus clientes? Se não for controlado, os dados podem continuar a se acumular sem uma data de término definida. Eles podem ser usados por uma infinidade de razões por quem quer que tenha acesso a eles.

Mas existem salvaguardas para controlar como os dados são coletados e usados. Essas salvaguardas são expressas por meio do princípio da "limitação de finalidade".

Contexto sobre Limitação de Finalidade

Limitação de finalidade é o princípio de que as informações pessoalmente identificáveis coletadas para uma determinada finalidade não podem ser usadas para uma finalidade diferente. O princípio também é conhecido como "finalidade comercial". E como muitos princípios escritos nas leis, ele tem sido sujeito a diferentes interpretações daqueles que o definem.

Também existem exceções. De acordo com o Artigo 5 do GDPR(1)(b), o processamento adicional de PII pode ser permitido quando o motivo não for "incompatível com as finalidades iniciais" e para "fins de arquivamento de interesse público". O GDPR não é a única lei que fornece alternativas ou tenta definir o princípio. A limitação de finalidade é encontrada em muitas leis, estruturas e padrões de privacidade de dados, embora a linguagem exata e a interpretação do princípio variem:

• Regulamento Geral de Proteção de Dados (GDPR) - As informações pessoais identificáveis devem ser coletadas para fins específicos, explícitos e legítimos e não processadas posteriormente de maneira incompatível com esses fins.
• NIST Privacy Framework - as organizações devem identificar as finalidades para coletar e usar PII.
• Lei da Comissão Federal de Comércio (FTC), Seção 5 - as organizações devem divulgar suas práticas de coleta de dados, incluindo as finalidades para as quais coletam e usam PII.

Plataforma de Segurança de Dados com IA da Cyera para Entender a Finalidade

Capturar a finalidade da coleta e uso de dados nunca foi tão fácil. Ao incorporar o Azure OpenAI à Plataforma de Segurança de Dados da Cyera, analisamos automaticamente o acesso do usuário e identificamos a finalidade para determinados tipos de usuários.

Quando se trata de monitorar o acesso, ver a lista de usuários que podem acessar os dados é um começo. Mas quando você olha para os nomes de usuário como "Marketing-user", você realmente sabe quem eles são e por que estão acessando os dados?

Distinguimos se o "Usuário de marketing" é um usuário humano real ou um usuário de máquina. Ao analisar um usuário de máquina, descrevemos a finalidade do acesso. Isso é possível porque os usuários de máquina fornecem serviços dentro da nuvem que nosso modelo OpenAI captura e descreve em linguagem legível por humanos.

Aqui estão alguns exemplos de como descrevemos as finalidades de usuários de máquina para acessar dados:

• O objetivo do serviço EU-OLM é gerenciar e personalizar sistemas de gestão de aprendizagem online na região da UE.
• O objetivo do Dynamics-powerbi é criar e gerenciar relatórios e dashboards do Power BI.
• O objetivo do usuário de marketing é gerar e distribuir folhetos da empresa.
• O objetivo do serviço Microsoft365 é gerenciar e personalizar aplicativos do Microsoft Dynamics 365 na região da UE.
• O objetivo do serviço geográfico é fornecer serviços de mapeamento e análise geográfica.

A Cyera permite que você analise metadados sobre os usuários sem precisar fazer login em suas diferentes contas de nuvem para recuperar essas informações. Os propósitos também são facilmente compreendidos por praticamente qualquer pessoa, sem a necessidade de envolver um recurso técnico para interpretar por que o usuário de máquina está acessando os dados.

Conclusão

À medida que o volume de coleta de PII cresce, é ainda mais importante aderir ao princípio da limitação de finalidade. A Plataforma de Segurança de Dados com tecnologia de IA da Cyera pode ajudá-lo a cumprir os requisitos de limitação de finalidade analisando o acesso do usuário e identificando a finalidade em determinadas circunstâncias.

A Cyera adota uma abordagem centrada em dados para segurança, avaliando a exposição de seus dados em repouso e em uso e aplicando múltiplas camadas de defesa. Como a Cyera aplica um contexto profundo de dados de forma holística em toda a sua paisagem de dados, somos a única solução que pode capacitar as equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e tomar ações imediatas para remediar exposições e garantir a conformidade sem interromper os negócios.

Para saber mais sobre como o modelo de Plataforma de Segurança de Dados com IA da Cyera pode ajudá-lo a obter insights mais profundos com facilidade, agende uma demonstração hoje.