Las organizaciones del Reino Unido aún no cumplen con el RGPD, según un informe de referencia

El análisis de más de 60 organizaciones muestra brechas generalizadas en privacidad por diseño, responsabilidad y derechos de los interesados ​​en múltiples sectores.

Según un nuevo estudio, las organizaciones del Reino Unido continúan mostrando debilidades significativas en las prácticas básicas de protección de datos, particularmente en la privacidad desde el diseño y la responsabilidad.

El Informe de referencia del RGPD 2025, publicado por GRC Solutions, analiza datos de evaluación de brechas del RGPD de más de 60 organizaciones en ocho sectores.

A pesar de que el Reglamento General de Protección de Datos entró en su octavo año de aplicación, se descubrió que muchas organizaciones permanecían en un nivel de garantía “limitado” o “en desarrollo” en áreas de control clave.

El informe evalúa el desempeño en nueve áreas de control del RGPD, incluida la gobernanza, la gestión de riesgos, la madurez del sistema de gestión de la información, las funciones y responsabilidades definidas, la implementación del sistema de gestión de la información personal (PIMS) y los derechos de los interesados.

Las empresas de tecnología superan a otros sectores, respaldadas por la adopción generalizada de ISO 27001 e ISO 27701, experiencia interna y funciones establecidas de privacidad y cumplimiento.

Sin embargo, incluso en este sector, la privacidad por diseño sigue estando en el rango “en desarrollo”, lo que sugiere una dificultad constante para incorporar la protección de datos en los sistemas y productos en la etapa de diseño.

La construcción y la manufactura se encuentran entre los niveles más bajos de madurez del RGPD. Las organizaciones de construcción obtienen buenos resultados en gobernanza y gestión de riesgos, pero obtienen malos resultados en privacidad por diseño, PIMS y derechos de los interesados. El sector manufacturero registra la puntuación más baja del sector en el informe, con un 3,9 sobre 10 para los derechos de los interesados.

Los sectores fuertemente regulados también muestran brechas. En finanzas, las responsabilidades del RGPD a menudo se absorben en funciones de cumplimiento más amplias, lo que resulta en puntuaciones débiles en privacidad desde el diseño, PIMS y capacitación, a pesar de un desempeño más sólido en la gestión de riesgos y los derechos de los interesados. Y las organizaciones del sector de la salud muestran puntuaciones bajas en cuanto al alcance del cumplimiento, a menudo relacionadas con una gestión de contratos deficiente y una diligencia debida limitada hacia terceros.

Según los hallazgos, la hostelería, el comercio minorista y las organizaciones públicas y sin fines de lucro también continúan luchando. El desempeño en hotelería y comercio minorista se describe como altamente variable, mientras que el sector público y sin fines de lucro registra algunas de las puntuaciones más bajas en el informe en cuanto a madurez del sistema de gestión de la información.

Casi un tercio (30 por ciento) de las organizaciones benéficas del Reino Unido sufrieron un ciberataque el año pasado, según la Encuesta sobre violaciones de seguridad cibernética del gobierno del Reino Unido de 2025, añade el informe.

En todos los sectores, el informe identifica tres debilidades recurrentes: falta de responsabilidad formal y rendición de cuentas por las actividades del RGPD, capacitación y concientización insuficientes, y programas PIMS mal implementados o inexistentes.

Louise Brooks, jefa de consultoría de privacidad de GRC Solutions, dijo: “A menudo falta la debida diligencia con terceros, lo que significa que las organizaciones tienen garantías limitadas de que los datos personales a los que accedan esos socios se manejarán de forma segura.

“Hacer esto bien aclara las funciones y responsabilidades, reduce la probabilidad de incidentes y violaciones de datos personales y protege a las organizaciones de la responsabilidad”.

Y añadió: “Cuando los recursos son limitados, a menudo vemos que las organizaciones recortan primero los presupuestos de cumplimiento, pero esto es miope. La protección de datos y el cumplimiento de la seguridad de la información nunca han sido más importantes”.

LEER MÁS: ‘Abrir la caja negra: por qué la ciberseguridad impulsada por IA todavía necesita ojos humanos’. A medida que se aceleran las amenazas de phishing, la siguiente etapa de la defensa requiere sistemas transparentes, toma de decisiones responsable e inteligencia artificial que se fortalezca continuamente mediante la verificación humana.

¿Tiene noticias para compartir o experiencia para contribuir? El europeo acoge con agrado las opiniones de líderes empresariales y especialistas del sector. Póngase en contacto con nuestro equipo editorial para obtener más información.

Imagen principal: Element5 Digital/Pexels