Fuente de la imagen: mvc archivo propio |
Por ejemplo, no se suele aplicar el principio de minimización, ya que estas soluciones tienen como principio recopilar y procesar toda la información posible sobre las actuaciones del individuo en el entorno digital, por si pueden servir en algún momento. Por la misma razón, no se suelen aplicar técnicas de generalización o de menor granularidad, ya que buscan asociar datos de la máxima precisión a un usuario y, de esta forma, identificar el perfil de usuario para clasificarlo, por ejemplo, en lo que el sistema considera comportamientos sospechosos. La anonimización[4], seudonimización[5] y agregación de datos también se descartan a menudo en ausencia de estrategias de privacidad específicas para el aprendizaje automático o la inteligencia artificial. En el tratamiento de datos personales es de obligado cumplimiento los principios establecidos en el RGPD, incluido el principio de transparencia. En muchos casos no se informa a los usuarios de que se están utilizando este tipo de técnicas, la profundidad del tratamiento[6], ni el impacto potencial que puede tener una violación de datos. La conservación de los datos deberá estar limitada en el tiempo a la consecución de los fines perseguidos por el tratamiento de datos. El cumplimiento de este principio de conservación debe analizarse antes de iniciar dicho tratamiento.
Asimismo, se deberán garantizar los derechos de los usuarios cuyos datos estén siendo tratados, incluido el derecho de acceso, rectificación y, en su caso, el derecho de oposición. Además, en un gran número de aplicaciones los proveedores de las soluciones que realizan el tratamiento UEBA no se encuentran en el EEE[7], lo que puede implicar que se produzcan transferencias internacionales de datos personales, que sólo pueden realizarse si se cumplen las garantías establecidas en el RGPD. reunió. Como en cualquier tratamiento de datos personales, los riesgos para los derechos y libertades de las personas deben gestionarse adecuadamente y, en los casos en que el tratamiento pueda considerarse de alto riesgo, es obligatoria una evaluación de impacto de la protección de datos. En particular, el artículo 35.3.a del RGPD establece que la evaluación de impacto en materia de protección de datos será obligatoria en los casos en que exista una evaluación sistemática y exhaustiva de aspectos personales relativos a personas físicas que se base en un tratamiento automatizado, incluida la elaboración de perfiles, y en la que se fundan decisiones que produzcan efectos jurídicos en la persona física o que de igual forma la afecten significativamente. Es decir, cuál es el marco de tratamiento de las técnicas UEBA.
____________________________
[1] Velasco Carretero, Manuel ¿Qué es el data journey? 2023. Sitio visitado el 17/06/2023.
[2] Velasco Carretero, Manuel User and Entity Behavior Analytics. Sitio Compliance. 2023. Sitio visitado el 17/06/2023.
[3] Fuente: Agencia Española de Protección de Datos. UEBA and data protection. 2023.
[4] La anonimización consiste en la conversión de datos personales en datos que no se pueden utilizar para identificar a ningún individuo. La anonimización hay que considerarla como un proceso basado en el riesgo, que incluye tanto la aplicación de técnicas de anonimización como salvaguardas para evitar la reidentificación.
[5] La seudonimización se refiere a la sustitución de datos de identificación por valores inventados. También se conoce como codificación. Los seudónimos pueden ser irreversibles cuando los valores originales se eliminan correctamente y la seudonimización se realiza de una manera no repetible. También pueden ser reversibles (por el propietario de los datos originales) cuando los valores originales se guardan de forma segura, pero se pueden recuperar y vincular al seudónimo en caso de que surja la necesidad (Fuente: AEPD).
[6] Por ejemplo, si es diestro o zurdo, sus rutinas o hábitos, su estado de ánimo o salud, sus perfiles o categorizaciones, etc. (Fuente: AEPD).
[7] Espacio Económico Europeo.