miércoles, 3 de mayo de 2023

User and Entity Behavior Analytics

Fuente de la imagen. mvc archivo propio
Apunta la AEPD[1] que en los últimos años se ha generalizado el uso de técnicas denominadas “User and Entity Behavior Analytics” (UEBA), que tienen multitud de aplicaciones con un objetivo en común: registrar el comportamiento de los usuarios en el pasado, modelar este comportamiento en el presente y, si es posible, predecir cuál será en el futuro. Por ejemplo, las técnicas de UEBA utilizadas en los servicios de Internet recopilan cantidades masivas de datos de usuarios o entidades y casi siempre aplican técnicas de aprendizaje automático o inteligencia artificial para generar modelos de comportamiento. Los usuarios son siempre personas, las entidades pueden ser animales, vehículos, dispositivos móviles, sensores, etc. Advierte la AEPD que las soluciones de UEBA pueden ser muy intrusivas, ya que procesan datos personales de forma rutinaria y crean perfiles de comportamiento que permiten identificar, categorizar y actuar sobre los usuarios. Estas técnicas rara vez incorporan estrategias típicas de protección de datos por diseño y por defecto. 

Por ejemplo, no se suele aplicar el principio de minimización, ya que estas soluciones tienen como principio recopilar y procesar toda la información posible sobre las actuaciones del individuo en el entorno digital, por si pueden servir en algún momento. Por la misma razón, no se suelen aplicar técnicas de generalización o de menor granularidad, ya que buscan asociar datos de la máxima precisión a un usuario y, de esta forma, identificar el perfil de usuario para clasificarlo, por ejemplo, en lo que el sistema considera comportamientos sospechosos. La anonimización[2], seudonimización[3] y agregación de datos también se descartan a menudo en ausencia de estrategias de privacidad específicas para el aprendizaje automático o la inteligencia artificial. En el tratamiento de datos personales es de obligado cumplimiento los principios establecidos en el RGPD, incluido el principio de transparencia. 

En muchos casos no se informa a los usuarios de que se están utilizando este tipo de técnicas, la profundidad del tratamiento[4], ni el impacto potencial que puede tener una violación de datos. La conservación de los datos deberá estar limitada en el tiempo a la consecución de los fines perseguidos por el tratamiento de datos. El cumplimiento de este principio de conservación debe analizarse antes de iniciar dicho tratamiento. Asimismo, se deberán garantizar los derechos de los usuarios cuyos datos estén siendo tratados, incluido el derecho de acceso, rectificación y, en su caso, el derecho de oposición. Además, en un gran número de aplicaciones los proveedores de las soluciones que realizan el tratamiento UEBA no se encuentran en el EEE[5], lo que puede implicar que se produzcan transferencias internacionales de datos personales, que sólo pueden realizarse si se cumplen las garantías establecidas en el RGPD. reunió. 

Como en cualquier tratamiento de datos personales, los riesgos para los derechos y libertades de las personas deben gestionarse adecuadamente y, en los casos en que el tratamiento pueda considerarse de alto riesgo, es obligatoria una evaluación de impacto de la protección de datos. En particular, el artículo 35.3.a del RGPD establece que la evaluación de impacto en materia de protección de datos será obligatoria en los casos en que exista una evaluación sistemática y exhaustiva de aspectos personales relativos a personas físicas que se base en un tratamiento automatizado, incluida la elaboración de perfiles, y en la que se fundan decisiones que produzcan efectos jurídicos en la persona física o que de igual forma la afecten significativamente. Es decir, cuál es el marco de tratamiento de las técnicas UEBA. Fuente de la imagen: mvc archivo propio.
____________________________
[1] Fuente: Agencia Española de Protección de Datos. UEBA and data protection. 2023.
[2] La anonimización consiste en la conversión de datos personales en datos que no se pueden utilizar para identificar a ningún individuo. La anonimización hay que considerarla como un proceso basado en el riesgo, que incluye tanto la aplicación de técnicas de anonimización como salvaguardas para evitar la reidentificación.
[3] La seudonimización se refiere a la sustitución de datos de identificación por valores inventados. También se conoce como codificación. Los seudónimos pueden ser irreversibles cuando los valores originales se eliminan correctamente y la seudonimización se realiza de una manera no repetible. También pueden ser reversibles (por el propietario de los datos originales) cuando los valores originales se guardan de forma segura, pero se pueden recuperar y vincular al seudónimo en caso de que surja la necesidad (Fuente: AEPD).
[4] Por ejemplo, si es diestro o zurdo, sus rutinas o hábitos, su estado de ánimo o salud, sus perfiles o categorizaciones, etc. (Fuente: AEPD).
[5] Espacio Económico Europeo.