Una nueva plataforma de análisis de datos reduce los problemas de privacidad para los propietarios
Las violaciones de la seguridad de los datos han provocado que los consumidores se preocupen cada vez más por la seguridad de sus datos personales en los servidores en la nube. Después de la aplicación del Reglamento General de Protección de Datos (RGPD), el proyecto PAPAYA (PlAtform for PrivAcY preserving data Analytics) tiene como objetivo alcanzar un fino equilibrio entre la privacidad y el valioso análisis de datos. Su tecnología se ha empezado a probar en cinco casos de uso reales, desde la detección de arritmias cardíacas hasta el análisis sobre el uso del teléfono móvil. Melek Önen, profesora asociada en el Departamento de Seguridad Digital de EURECOM y coordinadora de PAPAYA, habla sobre los objetivos del proyecto y los logros obtenidos hasta la fecha.
¿Qué carencias en la privacidad de datos esperan resolver con este proyecto?
Melek Önen: El proyecto PAPAYA tiene como objetivo abordar los problemas de privacidad de datos que surgen cuando el análisis de datos se externaliza a servidores en la nube potentes, pero que no son de confianza. El análisis de datos puede ayudar a las partes interesadas a aprovechar los datos recopilados para obtener información relevante y tomar mejores decisiones. Por ejemplo, un organismo de salud puede usar el análisis de datos para predecir o detectar el riesgo de pandemias. El análisis de datos también puede ayudar a las sociedades mercantiles o a las empresas de comercialización en su toma de decisiones. Sin embargo, existe una cuestión esencial. A pesar de todo el valor que tienen para las entidades que los recopilan, los conjuntos de datos también contienen información muy sensible de aquellas personas cuyos datos han sido recopilados. La confidencialidad de los datos y la privacidad de los interesados están en peligro. Al adoptar un enfoque de protección de la intimidad desde el diseño, nuestro proyecto tiene como objetivo crear y desarrollar una plataforma de módulos que respeten la privacidad y protejan la privacidad de los usuarios de extremo a extremo, sin sacrificar las funcionalidades del análisis de datos.
¿Cómo explica la actual falta de medidas previas que tienen como objetivo alcanzar dicho equilibrio?
La sociedad afronta cada vez más violaciones de la seguridad de los datos que provocan daños graves. Muchas personas han perdido la confianza en las soluciones sobre seguridad de datos de las organizaciones y cada vez están más preocupadas por la seguridad de su información personal. El Reglamento General de Protección de Datos (RGPD) puede invertir esta tendencia, pero eso también implica que las empresas ahora busquen prácticas seguras para la gestión de datos. Ahora, más que nunca, existe la necesidad de análisis de datos que respeten la privacidad y que permitan a las empresas desarrollar sus operaciones sobre datos protegidos, garantizar la privacidad de sus clientes y mantener dichos datos de forma significativa y útil. Las técnicas de protección de datos habituales (especialmente las técnicas de cifrado comunes, como AES), lamentablemente no son adecuadas para este nuevo contexto, ya que evitan que los servidores de terceros funcionen mediante los datos cifrados. En cambio, los propietarios de datos primero tendrán que descargar los datos cifrados, descifrarlos y realizar las operaciones en el texto no cifrado de los datos. Eso no es posible cuando el propietario de datos no tiene recursos informáticos para realizar las operaciones en un volumen tan grande de datos, o cuando el algoritmo que debe ejecutarse pertenece a un servidor externo. Una solución sería proporcionar al servidor externo la clave para descifrar los datos, pero entonces ya no se podría garantizar la confidencialidad.
¿De qué modo su enfoque ayuda a superar todos estos problemas?
PAPAYA desarrolla tecnologías de protección de la intimidad que permiten el análisis de datos de forma protegida. Dichos análisis de datos abarcan desde sencillas operaciones estadísticas a técnicas de aprendizaje automático más sofisticadas, como las redes neuronales. Ofrecen una notable protección a las partes interesadas cuyos datos se están tratando, a la vez que otorga una herramienta a los responsables del tratamiento o los titulares de los datos. Nuestra solución está en consonancia con la protección de la intimidad desde el diseño exigida en el marco del RGPD. Además, el proyecto también desarrolla herramientas específicas que facilitan el cumplimiento de las disposiciones del RGPD y la legislación relativa a la privacidad y la protección de datos para las organizaciones que utilizan análisis de datos que respetan la privacidad. Las herramientas se centran en los derechos de las personas cuyos datos personales se están tratando, denominados «interesados» en el RGPD.
¿Cómo funciona exactamente su plataforma?
El marco de PAPAYA gira en torno a dos grupos principales de componentes. Primero, los componentes de la plataforma que funcionarán en el servidor en la nube que no es de confianza. Después, los componentes del cliente que funcionarán en un entorno de confianza del cliente (como un teléfono inteligente). La plataforma reagrupa los módulos de análisis de datos que respetan la privacidad para las operaciones siguientes: clasificación de redes neuronales, formación de redes neuronales colaborativas, agrupamiento del recorrido y estadísticas básicas. En un nivel superior, los clientes de la plataforma —es decir, las partes interesadas— envían sus consultas para realizar el análisis de datos solicitado de forma que se respete la privacidad y reciben el resultado correspondiente sin filtrar ningún tipo de información sensible de carácter privado. Este marco también incluye un conjunto de herramientas para el interesado. Ofrece herramientas versátiles para la protección de la intimidad desde el diseño por parte de los clientes de la plataforma para los interesados cuyos datos personales se tratan en sus servicios. Por ejemplo, los interesados pueden recibir más información sobre el servicio subyacente de análisis de datos que respeta la privacidad o sobre la divulgación de sus datos.
¿Podría dar algunos ejemplos concretos de casos de uso?
PAPAYA define cinco casos de uso, cada uno de ellos se centra en diferentes entornos. Un caso de uso se centra en aplicaciones sanitarias (liderado por MediaClinics Italia, una pyme italiana) y consiste en la detección de arritmias cardíacas de forma que se respete la privacidad. En el marco de este caso de uso, se recopilan los datos sensibles relativos a la salud de un paciente en forma de electrocardiogramas (ECG). La plataforma PAPAYA detecta las arritmias mediante las redes neuronales, sin tener que acceder a esos ECG. Otro caso de uso se centra en los operadores de telecomunicaciones (liderado por Orange, la empresa de telecomunicaciones francesa) y ayuda a las partes interesadas a extraer patrones de movilidad mediante algunos algoritmos de agrupamiento del recorrido, todo ello sin identificar el recorrido de cada persona.
¿Cuál diría que son los logros más importantes del proyecto hasta la fecha?
El proyecto ha desarrollado versiones que respetan la privacidad de un grupo de cuatro análisis, en concreto redes neuronales (clasificación y formación colaborativa), agrupamiento del recorrido, cómputo y estadísticas básicas. Estos módulos utilizan diferentes herramientas criptográficas avanzadas, como el cifrado homomórfico, la privacidad diferencial o el cifrado funcional. Además, se han desarrollado varias interfaces de usuario (IU) a fin de mejorar la transparencia para los interesados y otras partes interesadas. Entre ellos, una extensión de la herramienta de evaluación de impacto sobre la vida privada (PIA, por sus siglas en inglés) de la Comisión Nacional de la Informática y de las Libertades (CNIL, por sus siglas en francés), que ayuda a las partes interesadas de PAPAYA a evaluar el impacto del análisis que respeta la privacidad en cuanto a los objetivos de seguridad y privacidad. Además, la herramienta es mucho más transparente para los interesados. Nuestras IU explican cómo funciona el análisis que respeta la privacidad de PAPAYA, y cómo nuestra herramienta sobre privacidad tiene en cuenta los derechos y las preferencias de privacidad de los interesados.
¿Qué queda por lograr?
Ahora, el proyecto se encuentra en la fase de validación. Nuestro objetivo es instalar prototipos que demuestren los cinco casos de uso, así como producir una guía de la plataforma que ayude a los usuarios a utilizarla fácilmente.
Palabras clave
PAPAYA, análisis de datos, nube, RGPD, arritmia, telecomunicaciones