A semana passada foi importante para você e suas informações pessoais, morando ou não na UE.
O GDPR, o Regulamento Geral de Proteção de Dados que estabelece diretrizes sobre como as informações pessoais dos cidadãos da UE são coletadas e processadas, agora é oficial. É uma ótima idéia - regras uniformes sobre como suas informações são coletadas, como são armazenadas e como você pode recuperá-las há muito tempo. Houve (e continuará a haver) muita discussão sobre o que é bom, ruim e feio no RGPD, mas a maioria das pessoas que trabalha com segurança da informação concorda que os objetivos são bem-intencionados e fornecerá o tipo de proteção em que todos precisamos. século XXI.
Muitos sites populares simplesmente não estão disponíveis para visitantes europeus porque você não é compatível com o GDPR.
Os artigos individuais do RGPD, no entanto, não são tão universalmente elogiados. Tendo entrado em vigor sexta-feira, 25 de maio, já vemos consequências: o New York Daily News, o Chicago Tribune, o LA Times e outros sites de alto nível agora não estão disponíveis nos países cobertos pelas regulamentações do RGPD, porque não estavam prontos para as novas regras. Muitos outros sites e serviços on-line bombardearam os usuários com novos termos a serem aceitos, e queixas já foram registradas contra os notáveis gigantes da tecnologia Google e Facebook, porque eles não oferecem serviços gratuitos sem permitir que os usuários optem pela não coleta de dados.
Mais: o Google facilita a compreensão e o gerenciamento dos dados do usuário que ele coleta {.cta.large}
Questões como essas não são surpreendentes. Tampouco o sentimento de que os serviços baseados em nuvem perderão receita e serão forçados a aumentar os preços como resultado do RGPD, que metade dos participantes da Infosecurity Europe 2018 acha que em breve acontecerá. Eles também acham que o GDPR sufocará a inovação, pois as pequenas organizações não poderão pagar a infraestrutura necessária para estar em conformidade. Esta é uma boa discussão pelas pessoas que precisam estar discutindo. Melhor privacidade vale as horas de idas e vindas necessárias para acertar.
Mas há uma parte do RGPD que acho que fará mais mal do que bem - a regra de relatórios de 72 horas do artigo 33. Você pode ler o texto completo aqui, mas o essencial é que uma empresa que mantém a identificação pessoal dos cidadãos da UE é totalmente responsável por qualquer quebra de segurança, independentemente do motivo, e deve fornecer a divulgação completa a um comitê de supervisão em 72 horas de uma violação. Não há nada de bom nessa regra, mas duas partes levarão os provedores de serviços a encobrir violações de dados, em vez de relatá-las com responsabilidade.
O primeiro é o comitê de supervisão. Diferentes países têm maneiras diferentes de governar seus cidadãos, mas uma coisa que todos eles têm em comum é o tratamento preferencial quando se trata de criar e formar equipes de qualquer comitê oficial. Um amigo de um amigo ou aquele primo em terceiro grau que não consegue parar de pedir uma apostila são os principais candidatos a qualquer assento no comitê e, quando o objetivo principal é proteger os dados do usuário, apenas os indivíduos mais qualificados devem ser considerados. Espero que seja exatamente o que é feito aqui e que os regulamentos possam ser adaptados e aplicados por pessoas que tenham nossos melhores interesses e sejam qualificadas.
Pequenas empresas sem os recursos necessários para realizar uma investigação completa de violação podem optar por encobri-las.
Um problema maior são os relatórios forçados de 72 horas. Mesmo uma organização da Fortune 500 com equipe completa não saberá o suficiente sobre uma violação de dados para começar a registrar relatórios em uma agência governamental. Em um período tão curto, espere pouco mais do que um oficial de segurança da informação da empresa dizendo que houve uma violação e ainda não temos certeza de nenhum detalhe. Isso é pouco mais que uma perda de tempo para todos os envolvidos, e eu prefiro que esse tempo seja gasto tentando descobrir o porquê, o como, o quando e quem cercam qualquer tipo de violação de dados.
Uma empresa menor que já esteja se esforçando para cumprir a conformidade com o GDPR ficará tentada a investigar se pode conter a violação e mitigar os danos por conta própria, sem nenhum relatório. Quando você está sob pressão e falta de pessoal, um encobrimento pode parecer a opção certa.
Claramente, nunca é. Porém, sabe-se que empresas grandes e pequenas escolhem a opção errada várias vezes quando se trata de fios. Qualquer regulamentação projetada para proteger os usuários de empresas que tomam más decisões é melhor sem uma regra que os leve a fazer exatamente isso.
O relato responsável e imediato de um roubo de dados é essencial. Forçar as empresas que coletam e mantêm nossos dados a fazerem a coisa certa não é muito útil sem elas. Criar o comitê de supervisão certo, preenchido com as pessoas certas, para revisar como os arrombamentos são tratados - ou mesmo oferecer assistência quando eles acontecem - ajudaria bastante a tornar o GDPR um modelo para o resto do mundo seguir.
