GDPR es una gran cosa por una mala idea. Abordar las preocupaciones de privacidad y traer más información a los usuarios es desde hace mucho tiempo, pero la regla de notificación de 72 horas podría hacer más daño que bien.

La semana pasada fue importante para usted y su información personal, o no vives en la UE.

GDPR, el Reglamento General de protección de datos que establece las directrices sobre cómo datos de ciudadanos de la UE es recogido y procesada, ahora es oficial. Es una gran idea — uniforme de reglas sobre cómo su información es recopilada, cómo se almacena y cómo usted puede recuperarlo, son desde hace mucho tiempo. Allí ha sido (y seguirá siendo) un montón de discusión sobre lo que es bueno, malo y feo sobre GDPR, pero la mayoría de la gente que trabajo en seguridad de la información están de acuerdo que los objetivos son bien intencionados y proporcionarán el tipo de protección que todos necesitamos en el siglo XXI.

Un montón de sitios web populares no son disponibles para los visitantes europeos porque no estás GDPR obediente.

Los artículos individuales de GDPR, sin embargo, no son tan universalmente elogiados. Después de haber pasado en vigor el viernes, 25 de mayo, ya vemos fallout: el New York Daily News, Chicago Tribune, L.A. Times y otros sitios web de alto perfil ahora no están disponibles en los países cubrieron por las regulaciones GDPR porque no estaban preparados para las nuevas reglas. Muchos otros sitios web y servicios en línea han bombardeado los usuarios con nuevos términos para aceptar, y ya se han presentado quejascontra gigantes de notable tecnología Google y Facebook ya que no ofrecen gratis servicios sin permitir a los usuarios optar por datos colección.

Más: Google lo que es más fácil de entender y administrar los datos de usuario recoge

Temas como estos no son sorprendentes. Tampoco es el sentimiento que servicios en la nube se pierden ingresos y ser forzado a subir los precios como resultado GDPR, que creo que la mitad de los asistentes de Infosecurity Europa 2018 pronto estar pasando. También sienten que GDPR se inhiben la innovación como pequeñas organizaciones no podrá permitirse la infraestructura necesaria para cumplir las normas. Esta es una discusión buena por las personas que necesitan para estar debatiendo sobre él. Mayor privacidad es necesario vale la pena las horas de idas y venidas a hacer las cosas bien.

Pero hay una parte de GDPR que creo que va a hacer más daño que bien, regla notificación de 72 horas del artículo 33. Usted puede leer el texto completo aquí, pero lo esencial de él es que una empresa que mantiene la identificación personal de los ciudadanos de la UE es plenamente responsable de cualquier violación de seguridad, no importa la razón y debe proporcionar información completa a un Comité de supervisión dentro de 72 horas de una violación. No hay nada bueno de esta regla, pero dos partes van a llevar a los proveedores de servicios, encubriendo las violaciones de datos en lugar de denunciarlos responsablemente.

La primera es la Comisión de control. Diferentes países tienen diferentes formas de gobernar a sus ciudadanos, pero una cosa tienen en común es un trato preferencial a la hora de crear y cualquier Comité oficial de personal. Un amigo de un amigo o eso tercer primo que no puede dejar de pedir una limosna son primer deben considerarse candidatos para cualquier asiento de la Comisión, y cuando el objetivo principal es proteger los datos de usuario, sólo los individuos más calificados. Esperemos que sea exactamente cuál es hecho aquí y regulaciones pueden ser adaptadas y aplicadas por personas que tienen nuestros mejores intereses en el corazón y están calificados.

Empresas pequeñas sin los recursos necesarios para hacer una investigación de incumplimiento completo pueden optar por cubrir para arriba.

Un problema más grande es la divulgación obligada de 72 horas. Incluso una organización con personal de servicio del Fortune 500 no va a saber lo suficiente sobre una brecha de datos para iniciar la presentación de informes con una agencia del gobierno. Dado un tiempo tan corto, esperar poco más que el oficial de seguridad de información de la empresa diciendo que hubo un incumplimiento y no estamos todavía seguros de los datos. Es poco más que una pérdida de tiempo para todos los involucrados, y sería algo ese tiempo gastado tratando de averiguar el por qué, el cómo, el cuando y que alrededor de cualquier tipo de violación de datos.

Una compañía pequeña que ya puede estar luchando para cumplir con las normas GDPR estarán tentada a investigar si puede contener el incumplimiento y mitigar los daños por su cuenta sin ningún informe. Cuando estás bajo presión y falta de personal, un encubrimiento puede sonar como la mejor opción.

Es evidente, que no es. Pero las empresas grandes y pequeñas se han sabido elegir la opción equivocada y otra vez cuando se trata del cable. Cualquier reglamento diseñado para proteger a los usuarios de las empresas tomar decisiones pobres es mejor sin una regla que puede obligarlos a hacer precisamente eso.

Responsable y pronta denuncia de un robo de datos es una necesidad. Obligando a las empresas que cosechan y mantienen nuestros datos para hacer lo correcto no es de mucha utilidad sin él. Crear el Comité de supervisión derecha llena de las personas a revisar cómo son tratados los robos — o incluso ofreciendo ayuda cuando ocurren — sería recorrer un largo camino para hacer GDPR una plantilla para el resto del mundo a seguir