Especificación formal de un modelo de consentimiento para el control de acceso a datos personales.

Abstract

En 2018, en el proyecto de grado “Formalización y validación de consentimiento para el control de acceso a datos personales”, se propuso un modelo semiformal de control de acceso denominado PCA-RBAC (Purpose and Consent Aware RBAC), que extiende el modelo de control de acceso basado en roles (RBAC) incorporando nociones de propósito y consentimiento. PCA-RBAC se desarrolló en base a requerimientos extraídos de la Ley 18.331 de Protección de Datos Personales, promulgada en Uruguay en 2008. Dicho modelo les permite a las personas otorgar diferentes consentimientos según el tipo de datos, garantizando que éstos sean respetados cuando se accede a su información personal. Por otra parte, en la tesina de grado de la Universidad de Rosario (Argentina) “Especificación Formal del Modelo RBAC en el Cálculo de Construcciones Inductivas” (2008) se realizó una especificación formal del modelo RBAC utilizando el asistente de pruebas Coq y el Cálculo de Construcciones Inductivas. Este trabajo se motivó por el hecho de que el National Institute of Standards and Technology (NIST), que previamente estandarizó el modelo, no llevó a cabo ningún análisis sobre su corrección ni sobre sus propiedades. En el presente proyecto de grado, siguiendo la metodología aplicada en el trabajo anterior, se especifica formalmente el modelo PCA-RBAC. Se define su estructura y especifica un estado del sistema junto con una serie de comandos, para evaluar su comportamiento ante determinadas acciones. Además, se realiza un análisis formal de algunas propiedades esenciales de seguridad del modelo; en particular, que no se permita el acceso a información sensible si no se cumplen los requisitos necesarios en cuanto a propósito y consentimiento. La especificación del sistema como una máquina de estados resulta fundamental para estudiar sus propiedades rigurosamente.