Un reciente estudio de Forrester nos desvela unas claves muy interesantes sobre los aspectos del RGPD cuya implementación está costando más a las empresas. Las encuestas en las que se apoya el estudio, titulado “Security Through Simplicity” y encargado por Microsoft, se realizaron entre agosto y septiembre de 2018.

El estudio, que se basa en las respuestas de 481 responsables de seguridad informática, deja claro que la adaptación al RGPD fue minoritaria en 2018 -más de la mitad confesaron no estar adaptadas- y no es descabellado inferir que todavía hoy quedan muchas organizaciones sin adaptarse a la nueva legislación. No en vano, estos datos son de hace unos pocos meses.

Las conclusiones del informe revelan que más de la mitad de los encuestados declararon que sus organizaciones no habían llevado a cabo los siguientes pasos de la adaptación al RGPD:

  • Comprobar que los encargados de tratamiento ofrecen garantías suficientes para realizar un tratamiento de datos (62% no lo han hecho):
    El RGPD estipula que el responsable de tratamiento debe asegurarse de que cualquier proveedor contratado al que se le vayan a ceder datos personales debe ser convenientemente seleccionado teniendo en cuenta su reputación y las garantías que ofrece.
  • Nombrar un DPO (60% no lo han hecho):
    Si una organización cumple con los requisitos para nombrar un DPO, debe hacerlo.
  • Recoger pruebas de que la organización está adaptada al RGPD (59% no lo han hecho):
    La cuestión, si las autoridades pidiesen pruebas a una organización de que su adaptación al RGPD ¿podría proporcionarlas inmediatamente? Si la respuesta es negativa, se está contraviniendo el RGPD.
  • Implementar el principio de privacidad por diseño (57% no lo han hecho):
    Cada vez que se adopta una nueva tecnología o se diseña un nuevo proceso ¿se tiene en cuenta la privacidad y la protección de datos? Esto también es un requerimiento del RGPD.
  • Formar al personal sobre los requerimientos del RGPD (57% no lo han hecho):
    Todos aquellos empleados que tratan datos personales deben estar al tanto de sus obligaciones, para ello la formación es fundamental.
  • Dedicar una partida presupuestaria a la adaptación al RGPD (56% no lo han hecho):
    Esto supone que la mayor parte de las organizaciones no considera que la adaptación al RGPD vaya a requerir una asignación de recursos, algo que no es cierto para la mayor parte.
  • Preparar un plan de respuesta en 72 horas ante una brecha de seguridad para cumplir con el deber de notificar (55% no lo han hecho):
    No tener un plan en marcha para esta eventualidad, expone a la organización a posibles multas en caso de que se dé una brecha de seguridad y no se comunique dentro del plazo establecido.

El estudio, que aborda varios aspectos más allá del RGPD, termina con la recomendación por parte de Forrester -una de las principales agencias de investigación de mercados de EE. UU.- de que las empresas adopten el principio de seguridad y privacidad por diseño en sus operaciones. Asimismo, recomienda seleccionar con atención las soluciones de seguridad y los proveedores y no utilizar