Quién es el responsable del cumplimiento de GDPR

  • Normativa

El Reglamento General de Protección de Datos de la Unión Europea está en la agenda de todas las empresas, pero sigue habiendo incertidumbre y confusión en torno a diferentes ámbitos, uno de ellos es sobre quién es el responsable de su cumplimiento dentro de la empresa.

Seis meses. Ése es el tiempo que tienen las organizaciones para adaptarse a la nueva normativa europea de privacidad de datos.

En un reciente estudio de Trend Micro, apuntaba la confusión suscitada por GDPR en diferentes ámbitos.

También puedes leer...

Tratando con el Ransomware

Directrices para el Data Protection Office (DPO)

Cinco pasos para hacer del Data Masking una realidad

Lagunas de conocimiento en Ciberseguridad

Cómo cuantificar el valor de un CAS

Uno de ellos es quién debe garantizar su cumplimiento. Según la firma, llama la atención también que las empresas en España no están seguras de quién debería hacerse cargo de garantizar el cumplimiento de la regulación. De los encuestados, el 22% cree que el CEO debe ser responsable de liderar el cumplimiento de GDPR, mientras que el 12% de los participantes considera que debe ser el CISO y su equipo de seguridad los que deberían tomar la iniciativa.

Sin embargo, solo el 12% de esas organizaciones cuenta realmente con un alto ejecutivo involucrado en el proceso de GDPR, lo que marca una diferencia de 9 puntos por debajo de la media (21%) con respecto al resto de países estudiados: EE.UU., Reino Unido, Francia, Italia, España, Países Bajos, Alemania, Polonia, Suecia, Austria y Suiza.

En el caso de la mayoría de las empresas españolas, el 66% tiene al departamento de TI liderando este proceso, mientras que solo el 19% tiene a un miembro de la junta directiva involucrado.

"A tan solo escasos seis meses de que entre en vigor, el GDPR debería ser la mayor preocupación de los consejos de dirección. Pero las conclusiones que se extraen de este estudio sugieren que todavía se trata de un proyecto faraónico en los consejos de administración. Si las organizaciones no toman en serio el reglamento, podrían estar expuestas una multa que supone una parte importante de los ingresos globales. Ahora, la tarea de los directivos de nivel C es ver el GDPR como una cuestión más de negocio que de un problema de seguridad, antes de que llegue a esa etapa”, señala David Sancho, responsable de investigación  de Trend Micro para la región de Iberia.

Este directivo advierte de que prepararse para GDPR supone una tarea tremenda que abarca desde invertir en tecnologías innovadoras y de última generación hasta implementar políticas de notificación y protección de datos. “Pero esta preparación no servirá de nada si las empresas no entienden a qué datos se aplica esta ley y qué partes son las responsables. En este sentido, todavía hay una brecha educativa en toda la industria y es necesario abordarla, y eso que España es el país que más esfuerzos y recursos ha destinado a la formación y concienciación de los empleados (56%) de todos los participantes en el estudio a nivel mundial”, indica.

Con amenazas que llegan a diario bajo diferentes tipos y formas, las organizaciones no solo carecen de experiencia y conocimiento para combatirlas, sino que también se necesita tecnología inter-generacional, y GDPR establece que las empresas deben implementar tecnologías de vanguardia para combatir los riesgos a los que se enfrentan. En este sentido, de todos los países participantes en esta investigación,” España es el que lidera la implementación de nuevas políticas de protección de datos (46%), así como de tecnologías avanzadas para identificar intrusos en las redes como medida de precaución (45%), situándose once puntos por encima de la media mundial. Por su parte, el 35% ha optado por desplegar tecnologías de cifrado y el 34% ha invertido en soluciones de prevención de fugas de datos (DLP)”, apunta Trend Micro.