El 44% dels professionals de la privadesa a Europa afirmen que els seus equips estan infrafinançats, mentre que més de la meitat (54 %) espera que els pressupostos de privadesa es redueixin encara més el 2026. I tot això, en un context de riscos creixents per a les empreses de la UE, segons l’estudi State of Privacy 2025, elaborat per l’ISACA (Information Systems Audit and Control Association).

En una regió amb un dels entorns reguladors de privadesa més madurs del món, la manca d’inversió ja té conseqüències tangibles. Gairebé quatre de cada deu (39 %) professionals de l’àmbit legal relacionats amb la privadesa i més de la meitat (51 %) dels llocs tècnics de privadesa a Europa informen de la manca de personal a les empreses. Per altra banda, més d’una quarta part (26 %) dels professionals creu que la seva organització probablement patirà una bretxa de privadesa significativa l’any vinent.

Tanmateix, això segueix passant desapercebut per a la majoria dels directius. Més d’una quarta part (26 %) dels enquestats europeus afirma que la seva junta directiva no està prioritzant adequadament la privadesa, fins i tot quan els riscos continuen intensificant-se.

Chris Dimitriadis, director d’Estratègia Global de l’ISACA, ha afirmat que «als equips de privadesa se’ls està demanant que gestionin més riscos amb menys recursos i la pressió per als treballadors comença a fer-se evident. A mesura que les organitzacions adopten noves tecnologies a gran velocitat, el volum i la complexitat de les obligacions en matèria de protecció de dades creixen en paral·lel, però molts equips segueixen operant sense el personal, el finançament.»

A més, ha assenyalat que «quan els consells d’administració subestimen aquesta disciplina, subestimen alhora un pilar fonamental de la confiança digital. Una sola bretxa d’informació pot erosionar anys de valor de la marca, danyar les relacions amb els clients o desencadenar conseqüències regulatòries significatives. Prioritzar aquests principis no és simplement un requisit de compliment normatiu.»

Més riscos que mai relacionats amb la privadesa

Aquestes pressions s’intensifiquen en un moment en el qual s’acceleren els riscos. Gairebé la meitat (49 %) dels professionals afirma que la gestió dels riscos associats a les noves tecnologies és un obstacle important per als seus programes de privadesa. L’impacte humà és igualment contundent: el 67 % assenyala que el seu treball ara és més estressant que fa cinc anys; al voltant del 68 % dels enquestats l’associen a la velocitat vertiginosa del canvi tecnològic i un 64 % als reptes de compliment normatiu, com a factors clau.

A més, la complexitat regulatòria agreuja aquests desafiaments. Més d’una cinquena part (22 %) dels professionals a Europa afirma que la seva organització té dificultats per identificar i comprendre les obligacions legals, mentre que més de la meitat (51 %) assenyala la complexitat de les lleis i normatives internacionals com una barrera clau. D’altra banda, pràcticament cap professional no té plena confiança en el fet que les empreses estiguin preparades per afrontar els desafiaments futurs en aquesta matèria: només el 8 % dels enquestats es declara completament confiat en la capacitat de la seva organització per complir les lleis de privadesa noves i emergents.

Mentre que la regulació ajuda a elevar aquests debats als nivells dels consells directius, un enfocament limitat exclusivament al compliment deixa les organitzacions exposades. La veritable resiliència exigeix ​​que els consells d’administració ho vegin com una prioritat estratègica i ètica.

Dimitriadis continua: «Aquestes bretxes posen en relleu una realitat crítica: la protecció de les dades personals no es pot reforçar únicament mitjançant controls o llistes de verificació, ni tan sols amb l’ajuda de la IA. Requereix una inversió sostinguda per a les persones, la governança i la cultura, i això comença des de la capa més alta d’una organització.»

Major seguretat orientada a les dades

En aquest sentit, ha assenyalat que «els consells d’administració han de tractar aquesta matèria com un motor estratègic de confiança, resiliència i avantatge competitiu. Quan les organitzacions doten els seus equips de les competències, els recursos i l’autoritat que necessiten, no només redueixen riscos, sinó que preparen el negoci per a l’onada següent de canvis reguladors i tecnològics.»

Malgrat tot això, moltes organitzacions estan fent passos positius: el 79 % de les companyies europees fa servir un marc o una normativa, sent el RGPD el més comú, per guiar els seus programes interns. I la majoria aplica controls com ara la seguretat de les dades (71 %) i el xifratge (73 %).

Tot i això, només el 64 % de les organitzacions europees compta amb un pla formal de resposta a incidents, cosa que deixa més d’un terç sense preparació per respondre eficaçment a situacions crítiques. La retenció també és una preocupació creixent: el 34 % informa de dificultats per retenir professionals qualificats i el 45 % assenyala la manca de formació com un factor clau que contribueix a les fallades en aquesta matèria.

A mesura que els riscos continuen augmentant, l’ISACA adverteix que no invertir ara podria provocar que les organitzacions siguin cada cop més vulnerables en els anys vinents.