Por Eve Maler, Forge Rock y Joni Brennan, Iniciativa Kantara

Los paradigmas actuales para la privacidad de notificación y consentimiento, han comenzado a fallar de forma considerable y como lo han demostrado las encuestas recientes a los consumidores y los reportes de prensa, la gente ha comenzado a percatarse de ello. La ingeniería de la privacidad aspira a ser un arte, pero le es difícil salir del atolladero del cumplimiento.

Entre al Acceso Gestionado por el Usuario (UMA). UMA es un estándar industrial desarrollado por la Iniciativa Kantara mediante un proceso público abierto. Gracias a la contribución e implementación de expertos industriales, UMA ahora es una Recomendación de la Iniciativa Kantara versión 1.0. La Recomendación es la forma más alta posible de reconocimiento en esa organización.

Cómo funciona UMA

Los servicios en línea habilitados con UMA le proporcionan a los individuos un punto unificado de control para autorizar quién tiene acceso y a qué en sus datos personales en línea – tales como las direcciones de correo electrónico, números de teléfono, contenido como son las fotos, y los servicios, por ejemplo Twitter y registros electrónicos de salud – con independencia de dónde residen en línea esos recursos.

UMA está construido sobre OAuth V2.0 y OpenID Connect. Esas son las tecnologías que posibilitan los campos de diálogo para consentimiento como “¿Quiere usted permitir que sus datos de identidad se compartan desde Facebook o Twitter con esta aplicación?” que aparecen en muchos sitios web y aplicaciones móviles.

El equipo de tareas de Ingeniería de Identidad estandarizó OAuth 2 en 2012, y la Fundación OpenID aprobó la especificación OpenID Connect dos años después. Para esos grupos, UMA adiciona dos elementos esenciales que modifican las reglas del juego de la privacidad: la gestión de consentimiento asincrónico y consentimiento centralizado. Juntos, los tres estándares conforman un poderoso trío de tecnologías ligeras y facilitadoras que están resolviendo problemas actuales en la identidad y el acceso.

UMA en un mundo conectado de personas, servicios y ahora también dispositivos

La identidad digital ha pasado a ser de una autenticación y autorización basada en un perímetro y empresa, a un entorno sin fronteras en el que los usuarios aprovechan su presencia en línea para acceder a un número cada vez mayor de recursos y servicios. Los recursos ya no siguen estando basados meramente en software, ni tampoco en forma virtual. Cada vez más esos recursos incluyen dispositivos conectados a Internet que operan con datos personales sensibles.

Este mundo nuevo incluye una creciente diversificación de dispositivos, desde ordenadores y móviles hasta objetos vestibles, automatización del hogar, y mucho más. Estos componentes de una nueva generación de datos incrementan la necesidad de que las personas tengan control sobre los elementos de su identidad en línea. UMA tiene una situación ideal para servir a esta creciente necesidad de protección para la privacidad personal.

Los jefes de información tienen que lidiar con las “Cuatro P” de este mundo conectado de una forma nueva:

• Potencial– El mundo conectado de Internet de los Objetos (IoT) presenta una significativa oportunidad para la conexión entre las personas, las organizaciones y los objetos. Para valorar ese potencial, en tanto se minimizan los riesgos, los directores de informática deberán tener una clara comprensión sobre el desarrollo de la tecnología, los servicios y la política.
• Patrones – La adopción de dispositivos IoT tiene un efecto colateral en que revela interesantes patrones de datos que pueden ser útiles para los usuarios, los negocios y los gobiernos. Lamentablemente, esos patrones también pueden ser útiles para los delincuentes. Piense en productos como Google’s Nest o Belkin WeMo que contienen ajustes para su uso. Cuando se supervisa el uso a través del tiempo, un patrón puede revelar cuándo una persona está en su casa y cuándo está de vacaciones.
• Privacidad– La obtención y uso de datos generalizados sin la debida transparencia, responsabilidad y participación del usuario, pueden ser muy preocupantes. Los usuarios pueden sentir que no son respetados y pueden sentir temor en utilizar una nueva tecnología. Los negocios y gobiernos puede que no conozcan como proteger apropiadamente sus datos.
• Personas – Las personas que utilizan aplicaciones y dispositivos habilitados con sensores están generando los datos que se consideran como el combustible para generar oportunidades y riesgos asociados con la adopción de IoT.

Casos de uso para un mundo conectado

Existen numerosos beneficios en la adopción de UMA en los diferentes entornos digitales.

La tecnología proporciona flexibilidad en la vinculación de un usuario con un dispositivo y con la correspondiente cuenta de servicio en nube. Esto es esencial en el mundo moderno de arquitectura SaaS, servicios web dispersos y la creciente Internet de los Objetos.

Adicionalmente, la centralización de los controles hace que UMA resulte de fácil empleo para los consumidores. Los usuarios pueden especificar qué compartir entre las aplicaciones y dispositivos que realmente utilizan, así como con terceros. Por último, UMA provee un nivel de prueba de futuro si fuera preciso obtener protecciones de otro órgano a causa de cambios en las regulaciones u otras modificaciones en el mercado.

El Grupo de Trabajo de Acceso Gestionado por el Usuario ha publicado casos de uso acerca de la gestión para compartir datos personales en escenarios que incluyen: atención de salud, recursos humanos, finanzas, medios de comunicación, ciudadanía, círculos académicos, y más aún. Al dar solución para un importante escenario tecnológico emergente, UMA aborda los temas de la autorización y gestión de los recursos de datos, lo cual será crítico para hacer posible la participación de los usuarios en un mundo conectado de Internet de los Objetos.