La semana pasada fue importante para usted y su información personal, ya sea que viva o no en la UE.
El RGPD, el Reglamento general de protección de datos que establece pautas sobre cómo se recopila y procesa la información personal de los ciudadanos de la UE, ahora es oficial. Es una gran idea: las reglas uniformes sobre cómo se recopila su información, cómo se almacena y cómo puede recuperarla, están muy atrasados. Ha habido (y seguirá habiendo) mucha discusión sobre lo que es bueno, malo y feo sobre el RGPD, pero la mayoría de las personas que trabajan en seguridad de la información están de acuerdo en que los objetivos son bien intencionados y proporcionarán el tipo de protección que todos necesitamos en el siglo 21.
Muchos sitios web populares simplemente no están disponibles para los visitantes europeos porque no cumple con GDPR.
Sin embargo, los artículos individuales de GDPR no son tan elogiados universalmente. Desde que entró en vigencia el viernes 25 de mayo, ya vemos consecuencias: el New York Daily News, Chicago Tribune, LA Times y otros sitios web de alto perfil ahora no están disponibles en países cubiertos por las regulaciones GDPR porque no estaban listos para las nuevas reglas. Muchos otros sitios web y servicios en línea han bombardeado a los usuarios con nuevos términos para aceptar, y ya se han presentado quejas contra los gigantes tecnológicos notables Google y Facebook porque no ofrecen servicios gratuitos sin permitir a los usuarios optar por la recopilación de datos.
Más: Google está facilitando la comprensión y la gestión de los datos del usuario que recopila {.cta.large}
Cuestiones como estas no son sorprendentes. Tampoco lo es el sentimiento de que los servicios basados en la nube perderán ingresos y se verán obligados a aumentar los precios como resultado de GDPR, que la mitad de los asistentes a Infosecurity Europe 2018 creen que pronto sucederá. También sienten que GDPR sofocará la innovación ya que las pequeñas organizaciones no podrán permitirse la infraestructura necesaria para cumplir. Esta es una buena discusión por parte de las personas que necesitan discutirlo. Una mejor privacidad vale las horas de ida y vuelta necesarias para hacerlo bien.
Pero hay una parte de GDPR que creo que va a hacer más daño que bien: la regla de informe de 72 horas del artículo 33. Puede leer el texto completo aquí, pero lo esencial es que una empresa que mantiene la identificación personal de los ciudadanos de la UE es totalmente responsable de cualquier violación de seguridad, sin importar el motivo, y debe proporcionar una divulgación completa a un comité de supervisión dentro de las 72 horas de una violación No hay nada bueno en esta regla, pero dos partes llevarán a los proveedores de servicios a ocultar las violaciones de datos en lugar de informarlas de manera responsable.
El primero es el comité de supervisión. Los diferentes países tienen diferentes formas de gobernar a sus ciudadanos, pero una cosa que todos tienen en común es el trato preferencial a la hora de crear y contratar cualquier comité oficial. Un amigo de un amigo o ese primo tercero que no puede dejar de pedir un folleto son los principales candidatos para cualquier puesto en el comité, y cuando el objetivo principal es proteger los datos del usuario, solo deben considerarse las personas más calificadas. Esperemos que eso sea exactamente lo que se hace aquí y que las regulaciones puedan ser adaptadas y aplicadas por personas que tengan nuestros mejores intereses en el corazón y que estén calificadas.
Las pequeñas empresas sin los recursos necesarios para realizar una investigación completa de incumplimiento pueden optar por cubrirlas.
Un problema mayor es el informe forzado de 72 horas. Incluso una organización Fortune 500 con personal completo no va a saber lo suficiente sobre una violación de datos para comenzar a presentar informes con una agencia gubernamental. Dado tan poco tiempo, espere poco más que el oficial de seguridad de la información de una compañía que dice que hubo una violación y aún no estamos seguros de ningún detalle. Eso es poco más que una pérdida de tiempo para todos los involucrados, y prefiero dedicar ese tiempo a tratar de averiguar por qué, cómo, cuándo y quién rodea cualquier tipo de violación de datos.
Una compañía más pequeña que ya esté luchando por cumplir con el cumplimiento de GDPR se verá tentada a investigar si puede contener la violación y mitigar los daños por sí misma sin ningún informe. Cuando estás bajo presión y con poco personal, un encubrimiento puede sonar como la opción correcta.
Claramente, nunca lo es. Sin embargo, se sabe que las empresas grandes y pequeñas eligen la opción incorrecta una y otra vez cuando se trata del cable. Cualquier regulación diseñada para proteger a los usuarios de las compañías que toman malas decisiones es mejor sin una regla que pueda empujarlos a hacer precisamente eso.
La presentación de informes responsable y rápida de un robo de datos es imprescindible. Obligar a las compañías que cosechan y mantienen nuestros datos a hacer lo correcto no es de mucha utilidad sin ellos. Crear el comité de supervisión adecuado con las personas adecuadas para revisar cómo se tratan los robos, o incluso ofrecer asistencia cuando suceden, contribuiría en gran medida a hacer del GDPR una plantilla para que el resto del mundo lo siga.
