Procesamiento on‑premise: definición
Procesamiento on‑premise (también denominado on‑premises processing; en español: procesamiento local de datos) es la ejecución de operaciones sobre datos dentro de una infraestructura propiedad de la organización y bajo su control, sin transferirlos de forma permanente a la nube pública. En el contexto de la anonimización de imágenes y vídeos, implica realizar la detección, clasificación y enmascaramiento de rostros y matrículas en servidores locales, a menudo en redes aisladas de Internet.
El enfoque local facilita el cumplimiento de los principios de minimización, integridad y confidencialidad del tratamiento establecidos en el art. 5.1.c y f del RGPD, así como de las medidas técnicas del art. 32 del RGPD. Reduce la superficie de transferencia de datos, simplifica el control de accesos y ayuda a cumplir los requisitos de residencia y soberanía de los datos.
El papel del procesamiento on‑premise en la anonimización de imágenes y vídeo
La anonimización de material visual requiere detectar objetos sensibles y distorsionarlos de forma irreversible. En la práctica, se utilizan redes neuronales profundas entrenadas con conjuntos de datos etiquetados y posteriormente empleadas para la inferencia en el proceso de enmascaramiento. El entrenamiento de modelos suele realizarse fuera del entorno del cliente, mientras que la inferencia y toda la cadena de procesamiento pueden ejecutarse on‑premise, garantizando que los datos originales no abandonen la infraestructura controlada.
En soluciones como Gallio PRO, el difuminado automático se aplica a rostros y matrículas. El sistema no difumina siluetas completas ni realiza anonimización en tiempo real o sobre flujos de vídeo en streaming. Otros elementos de la imagen, como logotipos, tatuajes, identificadores o contenidos de pantallas, pueden difuminarse manualmente en el editor. El software no almacena registros que contengan imágenes u otros datos personales; en particular, no debe registrar en los logs operativos metadatos que permitan identificar a personas.
Tecnologías y arquitectura on‑premise
La implementación del procesamiento on‑premise para la anonimización se centra en una arquitectura coherente de cómputo, almacenamiento y seguridad. A continuación, se presentan los componentes y prácticas de despliegue más habituales:
- Capa de cómputo: servidores con GPU para la inferencia de modelos de aprendizaje profundo; alternativamente, CPU con aceleración SIMD. Contenerización (por ejemplo, Docker) y orquestación en entornos aislados.
- Capa de datos: almacenamiento local de archivos u objetos con cifrado en reposo (por ejemplo, AES‑256; selección de longitud de clave y periodos de uso conforme a NIST SP 800‑57), control de retención y versionado.
- Seguridad en tránsito: TLS 1.2 o 1.3 conforme a RFC 5246 y RFC 8446 para el tráfico interno, con restricciones de acceso mediante listas ACL y segmentación de red.
- Identidad y acceso: integración con AD/LDAP, principio de mínimo privilegio y separación de roles entre operadores y administradores.
- Ciclo de vida de ML: recepción de modelos firmados para inferencia, validación de integridad, actualizaciones offline controladas y pruebas de regresión de calidad de detección antes del despliegue.
- Trazabilidad operativa: auditoría de acciones administrativas sin recopilar contenido de imágenes ni metadatos identificativos.
Parámetros y métricas clave (anonimización on‑premise)
La evaluación de una solución de anonimización on‑premise debe considerar tanto la calidad de la detección como las propiedades operativas. La siguiente tabla resume las métricas principales y su verificación.
Parámetro | Qué mide | Método/Unidad | Observaciones
|
|---|---|---|---|
Recall en detección de rostros | Porcentaje de rostros correctamente detectados | Conjunto de prueba representativo; métricas por fotograma | Validación con datos similares a producción |
Precisión en detección de rostros | Proporción de detecciones correctas sobre el total | Matriz TP/FP; F1 como métrica combinada | Reduce el difuminado excesivo |
Recall/Precisión de matrículas | Eficacia en la detección de matrículas | Pruebas con grabaciones de tráfico | Clave en escenas dinámicas |
Latencia por fotograma | Tiempo de procesamiento por frame | ms; media, p95 | Relevante para procesamiento por lotes |
Throughput | Rendimiento de procesamiento | fps o archivos/hora | Planificación de capacidad |
Cobertura de máscara | Porcentaje del objeto cubierto por la máscara | % de superficie detectada | Minimiza riesgo de exposición |
Irreversibilidad | Resistencia a revertir la máscara | Pruebas de ataques de reconstrucción | Relacionada con la intensidad del filtro |
Uso de recursos | Consumo de GPU/CPU/RAM/IO | Perfilado del sistema | Planificación de capacidad |
Conformidad criptográfica | Robustez del cifrado en reposo y en tránsito | AES‑256, TLS 1.2/1.3 | Conforme a NIST e IETF |
RTO/RPO | Resiliencia operativa | Minutos/horas; políticas DR | Procedimientos de recuperación |
Retos y limitaciones
El modelo on‑premise incrementa el control, pero transfiere a la organización la responsabilidad total del mantenimiento y las actualizaciones. Principales riesgos a gestionar mediante procedimientos y arquitectura:
- Coste de inversión y consumo energético de la infraestructura y GPU.
- Gestión de actualizaciones de seguridad e imágenes de contenedores en redes aisladas.
- Escalabilidad por lotes ante grandes archivos de vídeo y códecs diversos.
- Deriva de modelos y necesidad de validación periódica de la calidad de detección.
- Control de logs y telemetría para evitar la conservación de datos personales.
- Cadena de suministro de modelos y bibliotecas: verificación de firmas y SBOM.
Casos de uso
El procesamiento on‑premise es preferible cuando se requiere control total del tratamiento y ausencia de transferencias a la nube. Casos habituales incluyen organismos públicos, fuerzas de seguridad y empresas industriales.
- Entrega de grabaciones de videovigilancia a terceros tras el enmascaramiento de rostros y matrículas.
- Publicación de materiales formativos internos con eliminación de la imagen de empleados.
- Análisis internos de incidentes de seguridad laboral preservando la privacidad.
- Material probatorio con necesidad de mantener la cadena de custodia e integridad.
Referencias normativas y fuentes
Los siguientes documentos constituyen la base normativa y técnica para el procesamiento on‑premise en el contexto de la protección de datos y las medidas de seguridad aplicadas a la anonimización de material visual.
Documento | Alcance | Entidad/Año
|
|---|---|---|
RGPD – Reglamento (UE) 2016/679, art. 4, art. 32, considerando 26 | Definiciones de datos personales, seguridad del tratamiento, concepto de anonimización | Parlamento Europeo y Consejo, 2016 |
EDPB Guidelines 3/2019 sobre tratamiento de datos personales mediante dispositivos de vídeo (versión final) | Directrices para sistemas de vídeo, incluidas medidas de minimización y enmascaramiento | EDPB, 2020 |
WP29 Dictamen 05/2014 sobre técnicas de anonimización | Riesgos, técnicas y pruebas de eficacia de la anonimización | Grupo de Trabajo Art. 29, 2014 |
ISO/IEC 27001:2022 | Sistemas de gestión de seguridad de la información | ISO/IEC, 2022 |
ISO/IEC 27002:2022 | Controles de seguridad de la información | ISO/IEC, 2022 |
ISO/IEC 27701:2019 | Extensión PIMS de 27001 para protección de datos personales | ISO/IEC, 2019 |
NIST SP 800‑53 Rev. 5 | Controles de seguridad para sistemas de información | NIST, 2020 |
NIST SP 800‑57 Part 1 Rev. 5 | Gestión de claves criptográficas y fortaleza de algoritmos | NIST, 2020 |
IETF RFC 8446 – TLS 1.3 | Comunicación segura en tránsito | IETF, 2018 |
IEC 62676‑4:2014 | Directrices para la aplicación de sistemas CCTV | IEC, 2014 |
Nota legal: en muchas jurisdicciones, la imagen de una persona y las matrículas pueden considerarse datos personales según el RGPD. Las obligaciones y excepciones específicas dependen de la legislación nacional y del contexto de publicación.