El experto ha recordado que uno de los principales factores para cumplir con la normativa es definir e implantar un Sistema de Gestión de la Privacidad como soporte al modelo de gobierno que esté orientado a los procesos de tratamiento de datos y con un enfoque basado en los riesgos de privacidad.

Sin embargo, según los datos de la encuesta 'Sabor del Mes' del IAI, el 61% de las empresas no cuenta con un sistema completo que garantice el mantenimiento y mejora continua de la implantación del Reglamento. Por otro lado, el 46% de las empresas lo tienen definido pero trabaja para implantarlo, mientras que un 15% aún tiene pendiente definirlo e implantarlo.

Este hecho es consecuencia en parte, según González Melgar, "de que hayan confluido a lo largo de este año la adecuación al RGPD y la aparición de la Ley Orgánica 3/2018 de Protección de Datos, que complementa cómo llevar a cabo su tratamiento en sistemas específicos, lo que hace que se realicen nuevas labores de adecuación".

Según González Melgar, un año después de la entrada en vigor del Reglamento también se ha observado la conveniencia de concienciar sobre cultura del riesgo, "porque hemos identificado que el Data Protection Officer (DPO), que tiene que velar por el cumplimiento de la normativa, ha hecho un sobreesfuerzo para implantar las medidas de adecuación al RGPD y, en cierta forma, ha perdido su imparcialidad como elemento de monitorización como segunda línea de defensa que es lo que podría inhabilitarle en el ejercicio de sus funciones".