El Estudio de Madurez RGPD 2024 impulsado por ISMS Forum se ha consolidado como una herramienta clave para que las organizaciones evalúen su grado de madurez en privacidad, contrasten su desempeño con las mejores prácticas del mercado y analicen la evolución del marco regulatorio. Para Álvaro Medina, experto en Protección del Dato e Inteligencia Artificial en Mapfre, este tipo de iniciativas aportan un valor diferencial al permitir una visión comparativa y estratégica del cumplimiento.

En su opinión, “informes como los que se publican desde el Observatorio de la Privacidad de ISMS Forum, son una herramienta muy útil para contrastar nuestro desempeño en materia de privacidad con las mejores prácticas del sector y con la evolución del marco regulatorio”. Participar en este análisis, añade, “nos permite identificar tendencias, retos comunes y enfoques innovadores adoptados por otras organizaciones, lo que refuerza nuestra capacidad para anticipar riesgos y adecuar nuestras estrategias de cumplimiento”.

Medina subraya que el estudio no solo complementa las evaluaciones internas, sino que también actúa como un mecanismo de validación externa. “El estudio aporta una visión comparativa que confirma que las iniciativas que estamos impulsando, tanto en privacidad como en protección de datos y uso responsable de la inteligencia artificial, están alineadas con estándares avanzados del mercado”, afirma. Todo ello, remarca, refuerza el compromiso con la protección de los datos de clientes, empleados y colaboradores, una prioridad estratégica en organizaciones intensivas en el uso de información personal.

Desde una perspectiva de madurez organizativa, Medina destaca que avanzar en privacidad exige un enfoque integral. “Lograr un nivel de madurez sólido requiere un enfoque integral que combine tecnología, procesos robustos y, sobre todo, cultura corporativa”, señala. Entre los elementos clave identifica una gobernanza clara, procesos estandarizados a lo largo de todo el ciclo de vida del dato, formación continua y una colaboración transversal efectiva entre negocio, tecnología, datos, inteligencia artificial, seguridad y privacidad. Este enfoque, explica, multiplica la capacidad de prevenir incidentes y de reaccionar de forma adecuada, asumiendo que “el riesgo cero no existe y cualquier organización es susceptible de sufrir algún incidente”.

En un entorno marcado por la creciente convergencia entre privacidad e inteligencia artificial, Medina considera que esta evolución es natural y exige un enfoque coherente. “Las organizaciones deben incorporar principios de privacidad desde el diseño en el desarrollo y uso de sistemas de IA, garantizando transparencia, explicabilidad y proporcionalidad”, apunta. Recuerda además que los reguladores de protección de datos ya venían publicando guías específicas para identificar riesgos en estos sistemas, por lo que resulta clave, con la entrada en vigor del Reglamento de Inteligencia Artificial (RIA), “no duplicar estructuras dentro de la organización y aprovechar al máximo todas las sinergias posibles que hay entre el cumplimiento del RGPD y del RIA”.

La tecnología desempeña, en este contexto, un papel decisivo. Medina destaca que “no hay duda de que la tecnología será un aliado imprescindible para optimizar al máximo las funciones del DPO y las áreas de privacidad y protección de datos”. La automatización de procesos como la gestión de riesgos, los consentimientos o la incorporación de la privacidad desde el diseño permitirá, según explica, que el DPO evolucione hacia un rol más estratégico, dedicando más tiempo al análisis, la recomendación y la supervisión con una visión orientada a la alta dirección.

Respecto a la gobernanza del Reglamento Europeo de Inteligencia Artificial (EU IA Act), Medina insiste en que la clave está en la coherencia interna. “La decisión sobre quién debe asumir la responsabilidad del cumplimiento debe partir de una reflexión interna sobre las sinergias existentes dentro de cada compañía”, afirma. En sectores intensivos en datos personales, considera lógico que las áreas de privacidad y protección de datos lideren también el cumplimiento del RIA, mientras que en otros entornos la responsabilidad puede recaer en áreas más técnicas. En cualquier caso, concluye, “la clave no es solo decidir quién será el responsable, sino hacerlo desde una perspectiva de eficiencia, sinergia y coherencia interna”.

Finalmente, Medina pone en valor el papel del Observatorio de Privacidad y de los grupos de trabajo de ISMS Forum como espacios de intercambio y generación de conocimiento. “Colaborar en iniciativas como el desarrollo del Observatorio nos ofrece la oportunidad de compartir nuestra experiencia y conocer cómo otras organizaciones están abordando los retos del cumplimiento normativo”, destaca. De cara al futuro, identifica como prioritarias las temáticas como “las Privacy Enhancing Technologies (PETs), las Privacy Preserving Techniques (PPTs) y las Data Clean Rooms (DCRs)”, fundamentales para abordar los retos que plantea la descentralización de los datos y garantizar un tratamiento seguro y respetuoso con la privacidad en entornos de inteligencia artificial, subrayando la necesidad de un enfoque cada vez más especializado y multidisciplinar para seguir aportando valor al sector.

En este contexto, ISMS Forum avanza ya el próximo hito de esta iniciativa. El próximo 12 de febrero, durante la XVIII edición del Foro de la Privacidad del Data Privacy Institute, se presentará el nuevo Estudio de Madurez RGPD 2025, una cita de referencia para los profesionales de la privacidad y la protección de datos, en la que se analizarán las principales tendencias, retos y niveles de madurez de las organizaciones ante un entorno regulatorio cada vez más exigente. Una oportunidad clave para anticipar riesgos, compartir mejores prácticas y seguir impulsando la evolución estratégica de la función de privacidad. Os esperamos.

Accede al Estudio de Madurez RGPD 2024