Despliegues on-premise: definición
Los despliegues on-premise (implementaciones locales) son un modelo de implementación de software que consiste en instalar y operar toda la solución dentro de una infraestructura controlada por el administrador de los datos. En el contexto de la anonimización de imágenes y vídeos, esto significa que la importación, el procesamiento, la generación de resultados y el registro de eventos se realizan dentro de la red de la organización, sin transferir materiales a la nube del proveedor.
Este modelo facilita el cumplimiento de los principios de integridad, confidencialidad y responsabilidad establecidos en el art. 5 del RGPD, así como de las medidas de seguridad del art. 32 y el enfoque de privacidad desde el diseño (privacy by design) del art. 25 del RGPD (Reglamento 2016/679).
En la práctica, los despliegues on-premise de Gallio PRO se aplican al procesamiento por lotes de materiales procedentes de cámaras y dispositivos fotográficos, con desenfoque automático exclusivamente de rostros y matrículas, además de la edición manual de otros objetos en el editor integrado. El software no realiza anonimización en tiempo real ni anonimización de flujos de vídeo, no detecta automáticamente logotipos, tatuajes ni placas identificativas, y los registros (logs) no contienen información sobre detecciones de rostros o matrículas ni otros datos personales.
El papel del modelo on-premise en la anonimización de imágenes y vídeo
Las implementaciones locales reducen el riesgo de divulgación no autorizada de materiales y facilitan el cumplimiento de los requisitos relativos a las transferencias internacionales de datos personales a terceros países u organizaciones internacionales (arts. 44-49 del RGPD). También permiten adaptar las políticas de retención, control de acceso y auditoría a los procedimientos internos, y minimizan la exposición de los datos originales durante el entrenamiento y la inferencia de los modelos de detección.
El deep learning es fundamental, ya que el desenfoque preciso requiere un modelo de IA capaz de detectar rostros y matrículas en fotogramas de vídeo e imágenes. Dicho modelo se entrena con conjuntos de datos etiquetados y posteriormente se utiliza en procesos de inferencia dentro del entorno on-premise para la edición automática. En Gallio PRO, la automatización se limita exclusivamente a estas dos categorías, mientras que otros elementos de la imagen pueden editarse manualmente.
Tecnologías on-premise para la anonimización
La capa de entrenamiento e inferencia utiliza redes neuronales para la detección de objetos. Para garantizar la seguridad y el cumplimiento normativo, el entorno on-premise debe asegurar el aislamiento de los procesos de cálculo, el cifrado de los datos y un control de acceso adecuado. A continuación, se resumen los componentes habituales y los estándares asociados.
Capas del despliegue on-premise y estándares asociados
Capa | Mecanismos | Estándares y referencias
|
|---|---|---|
Red | Segmentación VLAN, sin acceso a Internet para los nodos de procesamiento, TLS para el panel | RFC 5246 TLS 1.2, RFC 8446 TLS 1.3 |
Cómputo | Contenerización, aislamiento de espacios de nombres, aceleradores GPU para inferencia | CIS Controls v8, NIST SP 800-53 Rev. 5 |
Almacenamiento | Cifrado en reposo, control de retención, eliminación de archivos temporales | NIST FIPS 197 AES, NIST SP 800-38E XTS-AES |
Acceso | RBAC, MFA, registro de accesos administrativos | ISO/IEC 27001:2022, NIST SP 800-53 Rev. 5 |
Cumplimiento | Políticas de retención, EIPD (DPIA), registro de actividades | RGPD 2016/679, CEPD Directrices 3/2019 |
Parámetros y métricas clave en despliegues on-premise
Los indicadores deben definirse para evaluar tanto la calidad de la anonimización como la seguridad operativa. A continuación, se presentan métricas de ejemplo y su método de medición. Las definiciones de métricas para detección de objetos en la práctica del sector se basan en COCO/PASCAL y en las medidas IoU y mAP (Lin et al., ECCV 2014).
Métricas de calidad y seguridad
Métrica | Definición | Método de medición | Referencia
|
|---|---|---|---|
Recall de detección de rostros/matrículas | TP / (TP + FN) para un umbral IoU determinado | Anotaciones de referencia frente a detecciones del modelo | COCO evaluation, Lin et al. 2014 |
Precisión de detección | TP / (TP + FP) | Igual que arriba | COCO evaluation, Lin et al. 2014 |
mAP | Precisión media (AP) promediada en distintos umbrales IoU | Agregación de AP para las clases: rostro, matrícula | COCO evaluation, Lin et al. 2014 |
Eficacia de la anonimización | 1 − porcentaje de instancias no anonimizadas | Revisión de muestras por QA o aprendizaje activo | CEPD 3/2019 - riesgos del videovigilancia |
Latencia de procesamiento | Tiempo de procesamiento por fotograma o archivo | Medición end-to-end por lote | Buenas prácticas de ingeniería |
Seguridad en reposo | Algoritmo y modo de cifrado de datos | Verificación de configuración XTS-AES-256 | NIST FIPS 197, SP 800-38E |
Seguridad en tránsito | Nivel TLS y conjuntos de cifrado | Escaneos de configuración TLS | RFC 8446, RFC 5246 |
Retención y eliminación | Cumplimiento de la política de retención | Pruebas de eliminación de archivos temporales | ISO/IEC 27001:2022 |
En el caso de Gallio PRO, debe tenerse en cuenta adicionalmente que el sistema no enmascara siluetas completas, no funciona en modo tiempo real y no genera registros de detecciones que contengan datos personales. Por tanto, las métricas de auditoría se limitan exclusivamente a eventos administrativos y operativos.
Retos y limitaciones del modelo on-premise
Las implementaciones locales requieren la gestión del ciclo de vida del software, controladores GPU y parches de seguridad. El procesamiento de alto rendimiento puede exigir aceleradores dedicados. Es necesario garantizar una adecuada gestión de claves, control de acceso y separación entre datos de prueba y de producción. Entre las limitaciones se encuentran la ausencia de anonimización de flujos de vídeo y la falta de detección automática de otros objetos distintos de rostros y matrículas, lo que implica la necesidad de edición manual.
Casos de uso
El modelo on-premise resulta especialmente adecuado para la anonimización de materiales destinados a portales de transparencia, respuestas a solicitudes de acceso a información pública, entrega de pruebas procesales, formación de personal y proyectos de investigación y desarrollo en los que los materiales originales no pueden salir de la red de la entidad. En sectores públicos y regulados, facilita la realización de la EIPD (Evaluación de Impacto relativa a la Protección de Datos) y reduce los riesgos asociados a transferencias internacionales y obligaciones contractuales.
Referencias normativas
A continuación, se enumeran las principales fuentes que definen los requisitos legales y técnicos aplicables a los despliegues on-premise para la anonimización de materiales visuales.
- RGPD 2016/679 - arts. 5, 25, 32, 44-49: https://eur-lex.europa.eu/eli/reg/2016/679/oj
- CEPD, Directrices 3/2019 sobre el tratamiento de datos personales mediante dispositivos de vídeo (versión final 29.01.2020): https://edpb.europa.eu
- ISO/IEC 27001:2022 - Sistemas de gestión de la seguridad de la información: https://www.iso.org/standard/82875.html
- NIST SP 800-53 Rev. 5 (2020) - Security and Privacy Controls: https://csrc.nist.gov/publications
- CIS Controls v8 (2021) - Center for Internet Security: https://www.cisecurity.org/controls/v8
- NIST FIPS 197 (2001) - Advanced Encryption Standard (AES): https://csrc.nist.gov/publications/detail/fips/197/final
- NIST SP 800-38E (2010) - Recommendation for XTS-AES: https://csrc.nist.gov/publications/detail/sp/800-38e/final
- RFC 8446 (2018) - The Transport Layer Security (TLS) Protocol Version 1.3: https://www.rfc-editor.org/rfc/rfc8446
- RFC 5246 (2008) - The TLS Protocol Version 1.2: https://www.rfc-editor.org/rfc/rfc5246
- Lin et al., 2014 - Microsoft COCO: Common Objects in Context (definiciones mAP/IoU): https://arxiv.org/abs/1405.0312
En la práctica nacional, las autoridades de protección de datos y el CEPD indican que las matrículas pueden constituir datos personales cuando permiten identificar a una persona física. No obstante, en la jurisprudencia existen posturas divergentes según el contexto específico. Ante la falta de uniformidad, la anonimización de matrículas constituye un enfoque operativo prudente.