La Unión Europea es una de las regiones del mundo que más ha avanzado en la regulación de la privacidad, pero la falta de la financiación por parte de las empresas en el área de la ciberseguridad las expone a brechas ante el aumento de los riesgos, como se expone en el estudio 'State of Privacy 2025', realizado por ISACA.
El 44 por ciento de los profesionales de privacidad en Europa afirma que sus equipos están infrafinanciados, mientras que más de la mitad (54%) espera que los presupuestos de privacidad se reduzcan aún más en 2026.
Y todo ello, en un contexto de crecientes riesgos para las empresas de la Unión Europea, según el estudio 'State of Privacy 2025', que recoge las declaraciones de 1.854 profesionales de todo el mundo que trabajan en el ámbito de la privacidad, de los cuales 485 se encuentran en Europa.
En una región con uno de los entornos regulatorios de privacidad más maduros del mundo, la falta de inversión ya está teniendo consecuencias tangibles. Casi cuatro de cada diez (39%) profesionales del ámbito legal relacionados con la privacidad y más de la mitad (51%) de los puestos técnicos de privacidad en Europa informan de falta de personal en las empresas.
Por su parte, más de una cuarta parte (26%) de los profesionales de privacidad cree que su organización probablemente sufrirá una brecha de privacidad significativa en el próximo año.
Sin embargo, esto sigue pasando desapercibido para la mayoría de los directivos. Más de una cuarta parte (26%) de los encuestados europeos afirma que su junta directiva no está priorizando adecuadamente la privacidad, incluso cuando los riesgos continúan intensificándose.
"A medida que las organizaciones adoptan nuevas tecnologías a gran velocidad, el volumen y la complejidad de las obligaciones en materia de privacidad crecen en paralelo, pero muchos equipos siguen operando sin el personal, la financiación o la formación necesarios para mantenerse al día", ha señalado el director de Estrategia Global de ISACA, Chris Dimitriadis.
Además, señaló que "cuando los consejos de administración subestiman la privacidad, subestiman a su vez un pilar fundamental de la confianza digital. Una sola brecha de privacidad puede erosionar años de valor de la marca, dañar las relaciones con los clientes o desencadenar consecuencias regulatorias significativas".
AUMENTO DE LOS RIESGOS
Estas presiones se intensifican en un momento en el que los riesgos se aceleran. Casi la mitad (49%) de los profesionales afirma que la gestión de los riesgos asociados a las nuevas tecnologías es un obstáculo importante para sus programas de privacidad.
El impacto humano es igualmente contundente: el 67 por ciento señala que su trabajo es ahora más estresante que hace cinco años; alrededor del 68 por ciento de los encuestados lo asocian a la velocidad vertiginosa a la que se produce el cambio tecnológico y un 64 por ciento a los retos de cumplimiento normativo, como factores clave.
COMPLEJIDAD REGULATORIA
Además, la complejidad regulatoria agrava estos desafíos. Más de una quinta parte (22%) de los profesionales de la privacidad en Europa afirma que su organización tiene dificultades para identificar y comprender sus obligaciones en materia de privacidad, mientras que más de la mitad (51%) señala la complejidad de las leyes y normativas internacionales como una barrera clave.
Por otro lado, prácticamente ningún profesional confía en que las empresas estén preparadas para afrontar los desafíos futuros en esta materia: solo el 8 por ciento de los encuestados se declara completamente confiado en la capacidad de su organización para cumplir con las nuevas y emergentes leyes de privacidad.
Mientras que la regulación ayuda a elevar los debates sobre la privacidad a niveles de los consejos directivos (un 44% de los profesionales afirman que su consejo considera el programa de privacidad como impulsado por el cumplimiento normativo), un enfoque limitado exclusivamente al cumplimiento deja a las organizaciones expuestas.
A pesar de todo lo anterior, muchas organizaciones están dando pasos positivos: el 79 por ciento de las compañías europeas utiliza un marco o una normativa, siendo el RGPD el más común, para guiar su programa de privacidad. Y la mayoría aplica controles como la seguridad de los datos (71%) y el cifrado (73%).
Sin embargo, solo el 64 por ciento de las organizaciones europeas cuenta con un plan formal de respuesta a incidentes como parte de sus controles de privacidad, lo que deja a más de un tercio sin preparación para responder eficazmente a incidentes de privacidad.
La retención también es una preocupación creciente: el 34 por ciento informa de dificultades para retener a profesionales cualificados en privacidad y el 45 por ciento señala la falta de formación como un factor clave que contribuye a los fallos en materia de privacidad.
