Hace poco más de tres años a estas alturas estábamos todos hablando del nuevo reglamento europeo en protección de datos que se implantaría en España de la mano de una directriz europea. La famosa GDPR llegaba para actualizar y endurecer los parámetros de la normativa que teníamos hasta entonces en este ámbito. Pero ¿Ha cambiado algo en todo este tiempo? ¿Qué se ha conseguido con esta ya no tan nueva norma?
El 25 de mayo de 2018 se formalizó la entrada en vigor de la GDPR que llevaba ya aplicada desde 2016. Desde ese momento, empresas, organizaciones, organismos e instituciones públicas debían estar plenamente adaptadas a esta normativa.
Sin embargo, 36 meses después la puesta en marcha real, una de las legislación más estricta del mundo en materia de privacidad y seguridad no ha mostrado la efectividad esperada. Pese al quebradero de cabeza que supuso inicialmente la adaptación, la oportunidad de negocio de la que tanto se habló para adaptarse y el bombo que se dio a las primeras multas y brechas informadas, poco ha cambiado.
Se supone que las empresas tienen que informar de brechas en sus bases de datos a la autoridad pertinente en 72 horas desde que el ataque es descubierto, pero un estudio de CrowdStrike revela que tres de cada diez empresas que ha sido víctima de un ciberataque no lo hacen.
Sorprende que casi la mitad de las empresas europeas (43%) crea que puede ser objetivo de un ciberataque y, sin embargo, siga ignorando sus obligaciones para informar de los ataques, subestimando las capacidades de los cibercriminales. De hecho, poco más de la mitad (55%) se considera preparada ante un evento de seguridad, y sólo un 34% cuenta con protocolos específicos en caso de ser atacada.
Aún así, una de cada cinco empresas considera que es una norma necesaria. Un tercio cree que, gracias al nuevo reglamento, los datos de los europeos están más protegidos y una importante mayoría (58%) afirma que ahora están más preparadas ante una ciberintrusión (de hecho hasta un 28% de organizaciones confirma que gracias a la aplicación del reglamento pudo minimizar los efectos de ataques sufridos). Lo que sigue llamando la atención es que un 8% de las empresas cree que ese reglamento no les afecta y dos de cada diez ni siquiera saben si tienen que cumplirlo.
Pero si nos enfocamos a las cifras de negocio que ha traído la GDPR podemos envidenciar que son muchas. Esta nueva normativa obligó a muchas empresas, realmente a todas, a revisar sus parámetros de almacenamiento y gestión de los datos para adecuarse.
Una situación que hizo que los días posteriores de la implantación definitiva de la norma tuviéramos una avalancha de comunicaciones de diferentes empresas pidiendo consentimiento expreso para seguir teniendo nuestros datos personales. Ahí, todos los servicios relacionados con la gestión de datos y comunicaciones florecieron.
También se vieron muchos movimientos de actualización de términos en determinados servicios y contratos que hasta ahora se manejaban de otra manera. En este sentido, el negocio de regtech o dicho llanamiento, soluciones que permiten la adopción de la normativa vigente tuvieron su momento dulce. Un mercado que, según datos de Juniper Research, podría suponer 127.000 millones de dólares en 2024 a nivel global.