I problemi più frequenti con DLP I attualmente sono relativi a ciò che può effettivamente recuperare. Spesso questo già omette connessioni crittografate come HTTPS (a meno che i certificati SSL non vengano utilizzati per implementare un MiTM).
Inoltre ci sono alcuni problemi legali nella maggior parte dei paesi europei per quanto riguarda la privacy e la proporzionalità della raccolta dei dati, che è uno dei motivi principali per cui i DLP non stanno vendendo realmente laggiù.
Esistono alcune linee guida rigorose sul recupero e l'elaborazione dei dati nell'UE:
- Le persone con dati di avviso dovrebbero essere avvisate quando i loro dati sono in corso
raccolti;
- Scopo-dati dovrebbero essere usati solo per lo scopo dichiarato e non per
qualsiasi altro scopo;
- I dati di consenso non dovrebbero essere divulgati senza i dati dell'interessato
consenso;
- I dati raccolti dalla sicurezza dovrebbero essere protetti da qualsiasi potenziale
abusi;
- Divulgazione dei dati personali soggetti dovrebbero essere informati su chi sta raccogliendo
i loro dati;
- Le persone con accesso ai dati dovrebbero poter accedere ai propri dati e fare
correzioni a qualsiasi dato impreciso; e
- Responsabilità dei dati-soggetti dovrebbero avere un metodo a loro disposizione
per ritenere i collezionisti di dati responsabili di seguire quanto sopra
principi.
In confronto agli Stati Uniti, ad esempio, se un dipendente europeo ha una cartella sul suo computer intitolata "personale", anche su un computer aziendale, i dati all'interno di questa cartella potrebbero non essere accessibili. Anche la definizione di personale è stata mantenuta abbastanza ampia consentendo un'ampia interpretazione. E i dati personali non possono essere elaborati a meno che non siano soddisfatte determinate condizioni:
- Trasparenza (gli oggetti devono sempre essere notificati quali dati vengono elaborati)
- Scopo legittimo
- Proporzionalità (Quando i dati personali sensibili (possono essere: credenze religiose, opinioni politiche, salute, orientamento sessuale, razza, appartenenza a organizzazioni passate) vengono elaborati, si applicano ulteriori restrizioni.)
- I dati stessi possono anche non essere inviati ad altri paesi al di fuori di
l'Unione europea, a meno che non siano soddisfatte determinate condizioni
Violare (anche accidentalmente) una delle regole di cui sopra ti renderà legalmente responsabile e può causare molto danno alla tua azienda. Quindi una macchina che raccoglie quasi tutto ciò che passa sulla tua rete (e che decrittografa i flussi SSL) è un rischio reale se qualcosa va storto con i dati raccolti o se qualcuno decide di fare un picco in esso, poiché la tua azienda sarà ritenuta responsabile per esso.