Aunque GDPR es un buen primer paso, no puede ni debe ser el último, porque se queda corto. El legislador debe aprobar leyes adicionales que también sancionen las medidas de seguridad inadecuadas. Únicamente castigar la mala conducta al informar de una brecha de datos es por tanto comparable a castigar al ladrón de un banco, no por el robo en sí, sino por ir a demasiada velocidad durante su huída.
Además, GDPR ofrece a los cibercriminales nuevos vectores de ataques, ya que pueden aprovecharse de la incertidumbre de muchos empleados y empresas, especialmente en la recta final de su implementación. Se han observado campañas dirigidas de phishing sobre el cumplimiento normativo de GDPR y continuarán aumentando en número en el futuro cercano.
Sentimos curiosidad acerca de como la UE trata con estados miembros que intentan socavar GDPR a través de la aprobación por parte de estos estados de claúsulas flexibles. Es ilustrativo el ejemplo de Austria, donde la legislación nacional debilita el reglamento hasta tal punto que incluso si se viola GDPR muchas compañías no se enfrentan a sanciones o son tan mínimas que no tienen nada que temer. Después de todo, ¿qué sentido tiene una regulación europea que puede ser tan castrada por un estado sin consecuencias? No es posible que el artífice de la norma tenga interés en formar enclaves donde los criminales encuentren un lugar seguro para poder eludir legalmente las disposiciones de la Unión Europea.
Si (
No(
