La setmana passada va ser important per a vosaltres i per a la vostra informació personal, viviu o no a la UE.
Ara és oficial GDPR, el Reglament general de protecció de dades que estableix directrius sobre com es recopila i processa la informació personal dels ciutadans de la UE. És una idea fantàstica: les regles uniformes sobre com es recopila la vostra informació, com s’emmagatzema i com es pot recuperar, es retarden. Hi ha hagut (i continuarà sent) moltes discussions sobre el que és bo, dolent i lleig sobre GDPR, però la majoria de les persones que treballen en seguretat de la informació estan d’acord que els objectius són ben intencionats i proporcionaran el tipus de proteccions que tots necessitem. segle XXI.
Els visitants europeus només no estan disponibles per a una gran quantitat de llocs web populars perquè no sou els GDPR.
Els articles individuals de GDPR, però, no són tan lloats de manera universal. Després d’haver entrat en vigor el divendres 25 de maig, ja veiem l’abandonament: els New York Daily News, Chicago Tribune, LA Times i altres llocs web d’alt perfil no estan disponibles en els països inclosos en la normativa GDPR perquè no estaven preparats per a les noves regles.. Molts altres llocs web i serveis en línia han bombardejat els usuaris amb nous termes per acceptar i ja s’han presentat denúncies contra gegants tecnològics notables Google i Facebook perquè no ofereixen serveis gratuïts sense permetre als usuaris optar per la recollida de dades.
Més: Google facilita la comprensió i la gestió de les dades d’usuari que recopila {.cta.large}
Aquestes qüestions no són sorprenents. Tampoc existeix el sentiment que els serveis basats en núvols perdran ingressos i es veuran obligats a apujar els preus com a resultat de GDPR, cosa que la meitat dels assistents a Infosecurity Europe 2018 creu que aviat passarà. També creuen que GDPR ofegarà la innovació, ja que les organitzacions petites no podran permetre's la infraestructura necessària perquè sigui compatible. És una bona discussió per part de les persones que necessiten discutir-ho. Una millor privadesa val la pena fer-se una estona de tornada i tornada necessària per aconseguir-ho bé.
Però hi ha una part de GDPR que crec que farà més mal que bé: la norma de 72 hores de l'article 33 de l'article 33. Podeu llegir el text complet aquí, però el que és bàsic és que una empresa que manté la identificació personal dels ciutadans de la UE és plenament responsable de qualsevol incompliment de seguretat, sigui quina sigui la raó, i ha de donar a conèixer un comitè de supervisió en un termini de 72 hores. d’un incompliment. Aquesta regla no hi ha res de bo, però dues parts permetran que els proveïdors de serveis cobreixin incompliments de dades en comptes de denunciar-los de forma responsable.
El primer és el comitè de supervisió. Els diferents països tenen diferents maneres de governar els seus ciutadans, però una cosa que tenen en comú és el tractament preferent a l’hora de crear i formar part de qualsevol comitè oficial. Un amic d’un amic o un tercer cosí que no pot deixar de demanar una fitxa són candidats principals a qualsevol lloc de comitè i, quan l’objectiu principal és protegir les dades dels usuaris, només s’han de tenir en compte les persones més qualificades. Esperem que això és exactament el que es fa aquí i que les regulacions puguin ser adaptades i aplicades per persones que tinguin el nostre millor interès i estiguin qualificades.
Les empreses petites sense els recursos necessaris per fer una investigació completa sobre incompliment poden optar per cobrir-les.
El problema més important és el reportatge forçat de 72 hores. Fins i tot una organització de Fortune 500 amb personal complet no sabrà prou informació sobre un incompliment de dades per començar a presentar informes en una agència governamental. En un termini tan curt, espereu poc més que un oficial de seguretat de la informació de la companyia dient que hi va haver una infracció i encara no estem segurs de cap detall. Això és poc més que una pèrdua de temps per a tots els implicats, i prefereixo dedicar-me a aquest temps intentant esbrinar el per què, el com, el quan i el que envolta qualsevol tipus d’incompliment de dades.
Una empresa més petita que ja pugui lluitar per complir el compliment de GDPR tindrà la temptació d’investigar si pot contenir l’incompliment i mitigar els danys pel seu compte sense cap informe. Si teniu pressió i no sotmetreu-vos, un encobriment pot semblar l'opció correcta.
És evident que mai ho és. Però les empreses grans i petites han sabut escollir una i altra vegada l'opció incorrecta quan es tracta del cable. Qualsevol regulació dissenyada per protegir els usuaris de les empreses que prenen decisions pobres és millor sense una regla que els pugui empènyer a fer-ho.
És imprescindible l’informació responsable i ràpida d’un historial de dades. Oblidar a les empreses que recullen i retenen les nostres dades a fer les coses correctes no serveix de res. La creació d’un comitè de supervisió adequat, ple de gent adequada per revisar el tractament dels incidents (o fins i tot oferir assistència quan es produeixin), tindria un llarg camí per convertir GDPR en una plantilla per a la resta del món a seguir.
