Sólo el 50% de las empresas están "muy preparadas" para cumplir con la legislación sobre privacidad de datos
La ciberseguridad es la principal preocupación en materia de privacidad de datos para las empresas de todo el mundo, a medida que la IA y la biometría entran cada vez más en la ecuación de la ley de privacidad de datos.
- Bruselas aprueba el nuevo marco de transferencia de datos con Estados Unidos
- “Europa debe impulsar la cultura de la privacidad en las organizaciones por convicción y no por miedo a la sanción”
- El 50% de CIO reconoce que la soberanía de datos y el cumplimiento normativo pesan en sus decisiones de TI
- Cinco formas de unir la seguridad y el cumplimiento
Sólo alrededor de la mitad de los ejecutivos de empresas se sienten "muy preparados" para cumplir los requisitos normativos sobre privacidad de datos en Estados Unidos, Reino Unido y la Unión Europea (UE). Así se desprende del informe Womble Bond Dickinson 2023 Global Data Privacy Law Survey Report, elaborado a partir de las respuestas de más de 200 ejecutivos del Reino Unido y Estados Unidos. La encuesta reveló que sólo el 34% de todos los encuestados ha realizado un mapeo de datos y comprende las prácticas de datos en su organización, lo que sugiere que incluso aquellos que se sienten suficientemente preparados para cumplir con las leyes de privacidad de datos pueden no estar tan equipados como piensan. Mientras tanto, la ciberseguridad es la principal preocupación en materia de privacidad de datos entre los encuestados.
Los resultados llegan en un momento en que 2023 se perfila como un año histórico para la privacidad de los datos a ambos lados del Atlántico. En Estados Unidos, pronto entrarán o habrán entrado en vigor cuatro nuevas leyes estatales. California está ampliando sus ya estrictos requisitos, y otros estados han promulgado o propuesto su propia legislación sobre privacidad. Al otro lado del charco, la Comisión Europea finalizó su aprobación del Marco de Privacidad de Datos UE-EE.UU, mientras continúan las negociaciones en torno a otros acuerdos globales, como los celebrados entre la UE y un Reino Unido post-Brexit.
Las empresas británicas, más preparadas que las estadounidenses
Los encuestados británicos se sienten más preparados que sus homólogos estadounidenses en relación con el cumplimiento de los requisitos de privacidad de datos. De las empresas con sede en el Reino Unido, el 59% están muy preparadas para el Reglamento Global de Protección de Datos (GDPR) en el Reino Unido y la UE, así como para la Ley de Protección de Datos de 2018 (DPA), mientras que el 49% de las empresas con sede en Estados Unidos están muy preparadas para cumplir con las leyes de privacidad de datos de los estados de Estados Unidos, un porcentaje inferior al 59% de la encuesta del año pasado. Curiosamente, los ejecutivos de las empresas con sede en Estados Unidos se sienten mejor preparados para cumplir con las leyes europeas de protección de datos (44%) que los de las organizaciones con sede en el Reino Unido sobre el cumplimiento de las leyes estadounidenses (40%). Según el informe, esto se debe probablemente a que el GDPR está más consolidado en el Reino Unido y la UE, así como la DPA en el Reino Unido, en comparación con la legislación estadounidense, más reciente y aún incipiente.
Los encuestados británicos también se sienten más cómodos con el impacto de las normativas sobre privacidad en su capacidad para llevar a cabo negocios transfronterizos, ya que el 40% afirma que, aunque estas normativas añaden costes adicionales, son manejables. Esta cifra contrasta con el 35% de los encuestados estadounidenses.
Falta un mapeo de datos
La encuesta sugiere que quienes creen estar muy preparados para cumplir la legislación sobre privacidad de datos pueden no estarlo tanto como creen. Aunque el 70% afirma haber designado a un gestor o responsable interno del proyecto y el 58% imparte formación periódica al personal sobre la privacidad de los datos y el cumplimiento de la normativa, menos de la mitad del total de encuestados ha tomado las siguientes medidas: contratar a un asesor jurídico externo (42%), participar en un grupo de homólogos para mantenerse al día de los cambios (40%) o crear un grupo de trabajo/asesor de supervisión para hacer un seguimiento de los cambios en la legislación sobre privacidad (35%).
Es más, sólo el 34% ha realizado un mapeo de datos y comprende las prácticas de datos en toda la organización. "El mapeo de datos -saber qué datos tiene y dónde viven- es fundamental para cualquier estrategia eficaz de privacidad de datos y ciberseguridad", escribió Tara Cho, socia, presidenta del equipo de Privacidad y Ciberseguridad de Womble Bond Dickinson y colaboradora del informe. Aunque muchas empresas pueden adoptar medidas de cara al exterior, como colocar un aviso de cookies en su sitio web o actualizar las políticas de privacidad, sigue siendo necesario establecer requisitos internos para que los requisitos de cumplimiento sean realmente operativos, añadió Cho.
Mantenerse al día de los cambios en la legislación sobre privacidad de datos representa el mayor reto
Mantenerse al día de los cambios en la legislación sobre privacidad de datos representa el mayor reto para los encuestados. Los obstáculos incluyen el seguimiento del estado de la legislación y las diferencias entre las leyes estatales en EE.UU. (59%), así como la adaptación a los nuevos/cambiantes requisitos en Europa (55%). Los problemas presupuestarios (52% en EE.UU., 45% en el Reino Unido), la falta de personal (42% en EE.UU., 39% en el Reino Unido), los problemas de aprobación por parte de la dirección (30% en EE.UU., 23% en el Reino Unido) y la falta de liderazgo (21% en EE.UU., 10% en el Reino Unido) son otros de los retos que afectan a la privacidad de los datos. Comprender los datos que posee la organización es también un reto clave para ambos grupos, lo que coincide con la falta de progreso de las organizaciones en el mapeo de datos, según el informe.
La ciberseguridad, principal preocupación en materia de privacidad de datos
La ciberseguridad y la violación de datos es la principal preocupación en materia de privacidad de datos entre los encuestados, y los ejecutivos del Reino Unido se muestran especialmente preocupados. Los encuestados del sector minorista y de servicios financieros puntúan más alto que el resto de sectores, con un 42% y un 41%, respectivamente, que seleccionan "alto nivel de preocupación".
El segundo problema en importancia para los encuestados estadounidenses son los litigios y las acciones de cumplimiento de la normativa, mientras que en el Reino Unido, el segundo puesto se divide entre la pérdida de lealtad/confianza de los clientes y el coste del cumplimiento de las leyes de privacidad. Curiosamente, a los encuestados estadounidenses les preocupa más que a sus homólogos británicos el hecho de que los datos no se utilicen plenamente para maximizar las ventas/ingresos y menos el coste del cumplimiento de la normativa.
"La privacidad es un derecho fundamental en la UE, y el GDPR y su directiva predecesora han proporcionado marcos legales de larga data para proteger esos derechos", escribió Cho. "Por el contrario, las leyes estadounidenses han sido históricamente sectoriales y reaccionarias. Por ejemplo, ¿qué sucede si se violan los datos personales? Estas nuevas leyes estatales generales de privacidad imponen requisitos proactivos, y el principal impulso es dotar a los consumidores de derechos sobre sus datos, especialmente cuando esos datos se están monetizando".
La investigación también pone de relieve una notable preocupación entre los encuestados en relación con los problemas de privacidad de los datos de geolocalización. En Estados Unidos, el 40% de los encuestados está muy preocupado por las leyes de privacidad que incluyen restricciones específicas a la recopilación y el uso de datos precisos de geolocalización de los consumidores con fines de marketing dirigido, frente al 32% en el Reino Unido. Los encuestados estadounidenses también se muestran más preocupados por la pérdida de la información que proporcionan los datos de geolocalización (35% frente al 26% de los encuestados británicos), así como de los ingresos asociados (24% frente al 22%). Los encuestados británicos, por su parte, están más preocupados por obtener el consentimiento de los consumidores (56% frente al 51% de los estadounidenses) y por definir la finalidad empresarial específica (55% frente al 50%).
La IA y la biometría entran en la ecuación de la privacidad de los datos
Las tecnologías en evolución, como la IA y la biometría, están entrando en la ecuación de la privacidad de los datos, introduciendo ambas sus propias oportunidades y retos. Las empresas están acelerando la adopción de tecnologías de IA, ya que el 22% ha empezado a utilizar este tipo de tecnología sólo en el último año, impulsadas por la creciente popularidad de la IA generativa, como ChatGPT de OpenAI.
Los encuestados citan una amplia gama de usos para la IA, con un 36% que utiliza la tecnología para generar contenidos y otro 24% que planea hacerlo en el próximo año. Sin embargo, las preocupaciones éticas (45%) y los riesgos legales (34%) son obstáculos clave para la adopción de la IA, según el informe. La normativa sobre IA está llegando a todo el mundo: la Ley de IA de la UE, cuya aprobación está prevista y que podría aplicarse a las empresas a partir de 2025, pretende ser una norma mundial. En el Reino Unido, el Gobierno ha publicado una propuesta "proinnovación" para la regulación de la IA, mientras que en EE.UU., las acciones federales pretenden avanzar en la Declaración de Derechos de la IA de la Casa Blanca.
En cuanto a la biometría, como las huellas dactilares y el reconocimiento facial, su uso ha aumentado en todo el mundo en el último año. Casi dos tercios (64%) de los encuestados estadounidenses la utilizan actualmente, frente al 59% del año pasado, y otro 225 tiene previsto hacerlo. En el Reino Unido, el 59% de las empresas utilizan datos biométricos, y otro 21% tiene previsto hacerlo. Sin embargo, según el informe, el aumento de su uso conlleva un incremento de los problemas de cumplimiento de la normativa sobre privacidad de datos. El pasado mes de octubre se produjo el primer veredicto de un jurado en una demanda colectiva de la Ley de Privacidad de la Información Biométrica (BIPA), en la que un grupo de camioneros demandó con éxito a un operador ferroviario de mercancías por su requisito de seguridad de escaneo de huellas dactilares. Según la investigación, el éxito de los demandantes podría animar a otras personas a presentar sus propias demandas.
Buenas prácticas para abordar la evolución de la legislación sobre protección de datos
El informe de Womble Bond Dickinson incluye una lista de comprobación del cumplimiento de la normativa sobre protección de datos, en la que se describen las mejores prácticas para abordar la evolución de la legislación sobre protección de datos. Entre ellas figuran las siguientes:
Designar un gestor o propietario interno del proyecto.
Establecer un equipo dedicado y multidisciplinar que incluya TI, RRHH, jurídico, cumplimiento, marketing e ingeniería.
Realizar un mapeo de datos y comprender las prácticas de datos en toda la organización.
Desarrollar plataformas y sistemas para procesar y responder a las solicitudes de derechos de privacidad de datos.
Contratar a asesores jurídicos externos para que asesoren sobre el cumplimiento.
Actualizar las políticas de privacidad de la empresa.
Establecer métricas y objetivos específicos para realizar un seguimiento de los avances en materia de cumplimiento.
Redactar o actualizar acuerdos con terceros para cumplir los nuevos requisitos de privacidad.
