GDPR ¿UN TIGRE SIN DIENTES?
GDPR es como un tigre sin dientes. Las organizaciones solo serán penalizadas si no informan a la autoridad correspondiente en el plazo prescrito cuando suceda una brecha de datos o una filtración de datos. Después de todo, puede llevar un largo plazo de tiempo para una empresa descubrir un incidente de seguridad. Aun así, cumplirá con GDPR si informa del incidente dentro del plazo de tiempo legal después de su detección. Gran cantidad de datos pueden haber sido robados desde hace mucho tiempo o que se hayan causado otros daños. También es difícil verificar cuándo fue realmente descubierto un incidente de seguridad y si la compañía afectada no lo ha mantenido en secreto durante cierto periodo de tiempo. Sin embargo, no se le impondrá una sanción si una organización no ha tomado medidas de protección de los datos, o lo ha hecho de forma inadecuada.
Aunque GDPR es un buen primer paso, no puede ni debe ser el último, porque se queda corto. El legislador debe aprobar leyes adicionales que también sancionen las medidas de seguridad inadecuadas. Únicamente castigar la mala conducta al informar de una brecha de datos es por tanto comparable a castigar al ladrón de un banco, no por el robo en sí, sino por ir a demasiada velocidad durante su huida.
Además, GDPR ofrece a los cibercriminales nuevos vectores de ataques, ya que pueden aprovecharse de la incertidumbre de muchos empleados y empresas, especialmente en la recta final de su implementación. Se han observado campañas dirigidas de phishing sobre el cumplimiento normativo de GDPR y continuarán aumentando en número en el futuro cercano.
Sentimos curiosidad acerca de como la UE trata con estados miembros que intentan socavar GDPR a través de la aprobación por parte de estos estados de claúsulas flexibles. Es ilustrativo el ejemplo de Austria, donde la legislación nacional debilita el reglamento hasta tal punto que incluso si se viola GDPR muchas compañías no se enfrentan a sanciones o son tan mínimas que no tienen nada que temer. Después de todo, ¿qué sentido tiene una regulación europea que puede ser tan castrada por un estado sin consecuencias? No es posible que el artífice de la norma tenga interés en formar enclaves donde los criminales encuentren un lugar seguro para poder eludir legalmente las disposiciones de la Unión Europea.
Vesku Turtia, country manager de FireEye para España
