Las empresas se quedan atrás en el cumplimiento del RGPD: tras más de un año en vigor, solo el 28% afirma que lo cumple

Más de un año después de la entrada en vigor del Reglamento General de Protección de Datos (RGPD), un estudio del Instituto de Investigación de Capgemini señala que las empresas sobrestimaron en gran medida su preparación para la nueva normativa, pues tan solo el 28% la cumple_[1] íntegramente. Esta cifra se compara con una encuesta realizada el año pasado_[2], que ponía de manifiesto que el 78% esperaba estar preparada para el momento de su entrada en vigor en mayo de 2018. No obstante, las empresas ya están notando las ventajas de su cumplimiento: el 81% de las que operan de plena conformidad con el reglamento considera que tiene un impacto positivo en su reputación y su imagen de marca.

El estudio, titulado ‘Championing Data Protection and Privacy - a Source of Competitive Advantage in the Digital Century_[3]’, se apoya fundamentalmente en una encuesta a 1.100 directivos de grandes empresas (facturación superior a 1.000 millones de dólares) de diferentes sectores en diez países, incluyendo España. Las conclusiones ponen de manifiesto que las empresas han respondido a los nuevos requisitos de forma más lenta de la que esperaban, y destacan dificultades como la complejidad de los requisitos del reglamento, los costes de su implementación y los desafíos que plantean sus infraestructuras tecnológicas heredadas. Entretanto, un número significativo de organizaciones está invirtiendo en gran medida en protección de datos y privacidad para garantizar el cumplimiento de la normativa existente y sentar las bases de otras futuras.

Aunque ya ha pasado más de un año desde la entrada en vigor del RGPD, la posición de muchas grandes empresas en términos de cumplimiento sigue siendo incierta. El 28% de las organizaciones afirma cumplir la normativa y un 30 % señala estar "cerca de" conseguirlo, pero que siguen resolviendo de forma activa las cuestiones pendientes. La tasa de cumplimiento más elevada corresponde a EE UU (35%), seguido de Reino Unido y Alemania (en ambos, un 33%), y la más baja a España e Italia (en ambos países, un 21%) y a Suecia (18%).

Entre los obstáculos para adaptarse al RGPD, los directivos señalan la complejidad de acomodar sus sistemas heredados de TI (así lo considera el 38%) a las exigencias normativas, la complejidad de los requisitos del RGPD (36%) y el alto coste que supone (33%). No obstante, según el estudio, el cumplimiento normativo también requiere un esfuerzo significativo a lo largo del tiempo, como supone el procesamiento de las consultas de los titulares de los datos[4], que han aumentado de forma acusada. Así, en la muestra consultada, desde mayo de 2018, el 50% de las empresas estadounidenses sujetas al RGPD, el 46% de las francesas, el 45% de las neerlandesas y el 40% de las italianas han recibido más de 1.000 consultas. En España, el 32%. Adicionalmente, las empresas tienen por delante un nuevo reto: la adopción de nueva legislación en países fuera de la Unión Europea.

En el marco de los esfuerzos de las empresas por cumplir el GDPR, estas están haciendo inversiones significativas en servicios de asesoramiento profesional específicos. Para 2020, el 40% espera destinar más de un millón de dólares en consultoría legal y el 44%, en actualizaciones tecnológicas.

Media de cumplimiento con la normativa RGPD por países.

Aquellas empresas que no están adaptadas y no cumplen el reglamento están perdiendo oportunidades. De aquellas que sí lo cumplen, el 92% declara haber obtenido una ventaja competitiva, algo que solo el 28% esperaba el año pasado. La amplia mayoría de directivos de empresas que logran cumplir íntegramente el reglamento manifiesta que ha tenido un impacto positivo en la confianza de los clientes (84%), en la imagen de marca y reputación (81%) y en la motivación de los empleados (79%). Asimismo, estas empresas completamente adaptadas al GDPR señalan otros efectos positivos de segundo orden, como mejoras en los sistemas de TI (87% frente al 62% que esperaba esta ventaja en 2018), en las prácticas de ciberseguridad (91% frente al 57%) y en la transformación organizativa (89% frente al 56%).

El estudio pone de manifiesto una marcada brecha en términos de adopción de tecnología entre las empresas conformes y las rezagadas. Las sociedades que cumplen el RGPD, en comparación con aquellas que no, muestran una mayor propensión a utilizar plataformas en la nube (84% frente al 73%), la encriptación o cifrado de datos (70% frente al 55%), la automatización robótica de procesos (35% frente al 27%) y el almacenamiento/conservación industrializada de datos (20% frente al 15%).

Por otra parte, mientras el 82% de las empresas que cumplen el reglamento señalan haber tomado medidas para garantizar que sus diferentes proveedores tecnológicos cumplen los requisitos normativos sobre la privacidad de datos, solo lo afirma el 63% de las que no lo cumplen. Además, la mayoría (61%) de aquellas conformes también audita a sus subcontratistas en relación con el cumplimiento de la legislación de protección de datos, en comparación con el 48% de las que no lo son.

La gráfica muestra cómo ha impactado RGPD en diferentes áreas de las compañías.

Las organizaciones deben contar con la mentalidad adecuada a la hora de abordar la protección de datos y la privacidad, y lo más adecuado es que adopten un enfoque proactivo, en lugar de considerarlas únicamente desde el prisma del cumplimiento. “El RGPD es algo que no se termina nunca. Es un asunto en el que es necesario trabajar de forma continua”, comenta Michaela Angonius, vicepresidenta y responsable de la división de Normativa y Privacidad de Telia Company. “Empezamos con la concienciación interna mucho antes de que se aprobara la ley, ya que preveíamos que este sería uno de los mayores proyectos de cumplimiento que emprenderíamos en la historia de la empresa”.

“Este estudio subraya tanto los desafíos de las empresas para cumplir el RGPD como las grandes oportunidades que brinda a aquellas que lo hacen”, señala Zhiwei Jiang, CEO de Insights & Data de Capgemini a nivel mundial. “Es evidente que muchos directivos fueron demasiado ambiciosos con sus expectativas del año pasado y ahora se han dado cuenta de la magnitud de la inversión y el cambio organizativo necesario para llegar a cumplir el reglamento: desde la implementación de tecnologías avanzadas que respaldan la protección de datos hasta inculcar la importancia de esta materia a los empleados. Sin embargo, las empresas tienen que reconocer las ventajas de cumplir el reglamento, que superan las expectativas, como la mayor confianza y satisfacción del cliente, la motivación reforzada de los empleados, la mejora de la reputación y el impacto positivo en los ingresos. Estas ventajas deberían animar a todas las organizaciones a llegar al cumplimiento total”.

Para más información, acceda aquí al informe completo.

Metodología de investigación

Para la realización del estudio se encuestó a 1.100 miembros de la alta dirección de empresas de ocho sectores diferentes (seguros, banca, productos de consumo, servicios básicos, telecomunicaciones, servicios públicos, asistencia sanitaria y sector minorista) en diez países (sedes en Francia, Alemania, Italia, Países Bajos, Noruega, España, Suecia, Reino Unido, Estados Unidos y la India) y una facturación superior a los 1.000 millones de dólares. La encuesta se llevó a cabo el pasado mes de junio 2019. Capgemini también realizó entrevistas en profundidad a expertos de la industria para abordar el estado y el impacto actual de las normativas en materia de protección de datos.

[1] Cumplimiento se refiere a la evaluación que hacen las empresas encuestadas sobre su pleno cumplimento con los requisitos del RGPD.

[2] Informe de mayo de 2018 del Instituto de Investigación de Capgemini, Seizing the GDPR Advantage: From mandate to high-value opportunity (título traducido: Aprovechando las ventajas de GDPR, de la obligatoriedad a la oportunidad).

[3] Título traducido: La defensa de la protección de datos y la privacidad: una fuente de ventaja competitiva en la era digital.

[4] En el contexto del estudio, el “titular de los datos” es cualquier individuo cuyos datos personales son procesados por una empresa.