Por Mark Molyneux, Field CTO en Europa de Commvault
El Día de la Privacidad de los Datos suele traer consigo los recordatorios habituales: actualizar las políticas, renovar el lenguaje de consentimiento y formar al personal en estrategias de seguridad y resiliencia. Se trata de pasos importantes, pero son, cada vez más, simplemente la base. En 2026, la pregunta que los líderes a nivel directivo también deberían plantearse es: ¿podemos demostrar que controlamos los datos personales y mantener la confianza a pesar de las interrupciones, ya sean debidas a intrusiones, configuraciones erróneas, errores internos o incidentes con proveedores?
En todo el sector, la dirección es clara: las organizaciones están pasando de la intención a la evidencia. Gartner predice que, para 202, más del 40 % de las violaciones de datos relacionadas con la IA serán causadas por un uso transfronterizo inadecuado de GenAI. IDC espera igualmente que, para 2028, el 85 % de los productos de datos incluyan una lista de materiales de datos, en la que se documente cómo se recopilaron los datos y cómo se obtuvo el consentimiento.
Este enfoque «basado en pruebas» también se refleja claramente en Europa y es obligatorio, entre otras cosas, en los requisitos normativos del RGPD, la NIS2 y la DORA. Estos exigen a las empresas que demuestren que cuentan con medidas técnicas y organizativas adecuadas para el acceso a los datos y la gestión de riesgos, y que proporcionen una protección especial a sus sistemas críticos, como los servicios de directorio. Es esencial registrar quién está autorizado a acceder a los sistemas críticos y qué funciones y permisos existen. Ambos conjuntos de normas exigen explícitamente que las cuentas de administrador y de servicio se protejan por separado y que las acciones de dichas cuentas privilegiadas se registren por separado. En pocas palabras, la preparación de la privacidad para estos conjuntos de datos depende de la capacidad operativa: contención, validación y restauración segura, no solo de la política.
Aquí es donde convergen la privacidad y la resiliencia. Cuando se trata de datos personales, los incidentes se convierten en eventos de confianza. Las organizaciones son juzgadas por su capacidad para responder con decisión y restaurar las operaciones con confianza. Una forma práctica de avanzar es definir las prioridades críticas para la confianza: los datos, los sistemas y los procesos que debes proteger y restaurar primero bajo presión. Los planes y los objetivos por sí solos no son suficientes. El factor diferenciador es la capacidad de recuperación probada, con derechos de decisión claros y flujos de trabajo probados que restauran de forma limpia y rápida.
La identidad es una línea divisoria en materia de privacidad. En los entornos de nube, las identidades comprometidas suelen ser la vía más rápida para acceder a datos confidenciales. La resiliencia significa detectar tempranamente los accesos anormales, limitar el radio de impacto y recuperarse con confianza cuando se eluden los controles de identidad.
Por eso es fundamental una recuperación limpia. En el caso del ransomware o de las brechas con origen en la identidad, el riesgo es restaurar lo incorrecto en el momento incorrecto sin validar la integridad. Las organizaciones maduras dan prioridad al aislamiento, el análisis forense y la verificación, además de la repetibilidad, para poder restaurar los servicios críticos y reducir al mismo tiempo el riesgo de reinfección, datos corruptos o exposición repetida.
El Día de la Privacidad de los Datos es un momento útil para poner a prueba la preparación. Si mañana se produjera un incidente con los datos, ¿podrías contener el impacto, restaurar de forma limpia y demostrar el control con confianza? Las organizaciones que tratan la capacidad de recuperación como una función de privacidad protegen la confianza al reanudar de forma segura y demostrar qué se ha visto afectado, qué se ha restaurado y qué es seguro.
