Las empresas destinarán menos presupuesto a privacidad en 2026, según ISACA

El 44% de los profesionales de privacidad en Europa afirman que sus equipos están infrafinanciados, mientras que más de la mitad (54%) espera que los presupuestos de privacidad se reduzcan aún más en 2026. Y todo ello, en un contexto de crecientes riesgos para las empresas de la UE, según el estudio State of Privacy 2025, realizado por ISACA.

En una región con uno de los entornos regulatorios de privacidad más maduros del mundo, la falta de inversión ya está teniendo consecuencias tangibles. Casi cuatro de cada diez (39%) profesionales del ámbito legal relacionados con la privacidad y más de la mitad (51%) de los puestos técnicos de privacidad en Europa informan de falta de personal en las empresas. Por su parte, más de una cuarta parte (26%) de los profesionales cree que su organización probablemente sufrirá una brecha de privacidad significativa en el próximo año.

Sin embargo, esto sigue pasando desapercibido para la mayoría de los directivos. Más de una cuarta parte (26%) de los encuestados europeos afirma que su junta directiva no está priorizando adecuadamente la privacidad, incluso cuando los riesgos continúan intensificándose.

Chris Dimitriadis, director de Estrategia Global de ISACA, afirmó que “a los equipos de privacidad se les está pidiendo que gestionen más riesgos con menos recursos y la presión para los trabajadores empieza a hacerse evidente. A medida que las organizaciones adoptan nuevas tecnologías a gran velocidad, el volumen y la complejidad de las obligaciones en materia de protección de datos crecen en paralelo, pero muchos equipos siguen operando sin el personal, la financiación o la formación necesarios para mantenerse al día”.

Además, señaló que “cuando los consejos de administración subestiman esta disciplina, subestiman a su vez un pilar fundamental de la confianza digital. Una sola brecha de información puede erosionar años de valor de la marca, dañar las relaciones con los clientes o desencadenar consecuencias regulatorias significativas. Priorizar estos principios no es simplemente un requisito de cumplimiento normativo; es un imperativo empresarial”.

Más riesgos que nunca relacionados con la privacidad

Estas presiones se intensifican en un momento en el que los riesgos se aceleran. Casi la mitad (49%) de los profesionales afirma que la gestión de los riesgos asociados a las nuevas tecnologías es un obstáculo importante para sus programas de privacidad. El impacto humano es igualmente contundente: el 67% señala que su trabajo es ahora más estresante que hace cinco años; alrededor del 68% de los encuestados lo asocian a la velocidad vertiginosa del cambio tecnológico y un 64% a los retos de cumplimiento normativo, como factores clave.

Además, la complejidad regulatoria agrava estos desafíos. Más de una quinta parte (22%) de los profesionales en Europa afirma que su organización tiene dificultades para identificar y comprender sus obligaciones legales, mientras que más de la mitad (51%) señala la complejidad de las leyes y normativas internacionales como una barrera clave. Por otro lado, prácticamente ningún profesional tiene plena confianza en que las empresas estén preparadas para afrontar los desafíos futuros en esta materia: solo el 8% de los encuestados se declara completamente confiado en la capacidad de su organización para cumplir con las nuevas y emergentes leyes de privacidad.

Mientras que la regulación ayuda a elevar estos debates a los niveles de los consejos directivos, un enfoque limitado exclusivamente al cumplimiento deja a las organizaciones expuestas. La verdadera resiliencia exige que los consejos de administración lo vean como una prioridad estratégica y ética.

Dimitriadis continúa: “Estas brechas ponen de relieve una realidad crítica: la protección de los datos personales no puede reforzarse únicamente mediante controles o listas de verificación, ni siquiera con la ayuda de la IA. Requiere una inversión sostenida en las personas, la gobernanza y la cultura, y eso comienza desde la capa más alta de una organización”.

Mayor seguridad orientada a los datos

En este sentido, señaló que “los consejos de administración deben tratar esta materia como un motor estratégico de confianza, resiliencia y ventaja competitiva. Cuando las organizaciones dotan a sus equipos de las competencias, los recursos y la autoridad que necesitan, no solo reducen riesgos, sino que preparan su negocio para la próxima ola de cambios regulatorios y tecnológicos”.

A pesar de todo lo anterior, muchas organizaciones están dando pasos positivos: el 79% de las compañías europeas utiliza un marco o una normativa, siendo el RGPD el más común, para guiar sus programas internos. Y la mayoría aplica controles como la seguridad de los datos (71%) y el cifrado (73%).

La protección de los datos personales no puede reforzarse solo con controles o listas de verificación, ni siquiera con la ayuda de la IA

Sin embargo, solo el 64% de las organizaciones europeas cuenta con un plan formal de respuesta a incidentes, lo que deja a más de un tercio sin preparación para responder eficazmente a situaciones críticas. La retención también es una preocupación creciente: el 34% informa de dificultades para retener a profesionales cualificados y el 45% señala la falta de formación como un factor clave que contribuye a los fallos en esta materia.

A medida que los riesgos siguen aumentando, ISACA advierte de que no invertir ahora podría provocar que las organizaciones sean cada vez más vulnerables en los próximos años.