Selfs ná soveel jare sedert die implementering van die Algemene Databeskermingswet (LGPD) in Brasilië, versuim baie maatskappye om aan die reël te voldoen. Die LGPD, wat in September 2020 in werking getree het, is geskep met die doel om die persoonlike data van Brasiliaanse burgers te beskerm, om duidelike reëls daar te stel oor hoe maatskappye hierdie inligting moet versamel, berg en verwerk. Ten spyte van die tyd wat verby is, het baie maatskappye egter min vordering gemaak met die implementering van die standaard.
Onlangs het die Nasionale Databeskermingsowerheid (ANPD) sy monitering van maatskappye wat nie 'n databestuurder het nie, ook bekend as 'n Databeskermingsbeampte (DPO) verskerp. Die gebrek aan 'n DPO is een van die hoofoortredings wat geïdentifiseer is, aangesien hierdie professionele persoon noodsaaklik is om te verseker dat die maatskappy aan die LGPD voldoen. Die DPO tree op as 'n tussenganger tussen die maatskappy, datasubjekte en die ANPD, wat verantwoordelik is vir die monitering van voldoening aan databeskermingsbeleide en om die organisasie te lei oor beste praktyke.
En hierdie data is dalk net die “punt van die ysberg”. In werklikheid weet niemand hoeveel maatskappye nog nie die standaard aanvaar het nie. Daar is geen enkele amptelike opname wat die presiese getalle konsolideer van alle maatskappye wat nie aan LGPD voldoen nie. In die geval van groot maatskappye is die getal selfs hoër en bereik 80%.
Waarom die gebrek aan 'n DPO 'n verskil maak
In 2024 sal Brasilië sekerlik die getal van 700 miljoen kuberkriminele aanvalle oortref. Daar word beraam dat byna 1 400 swendelary elke minuut voorkom en natuurlik is maatskappye die hoofteikens vir misdadigers. Misdade soos losprysware – waarin data dikwels “gyselaar” gehou word en maatskappye ’n groot som geld moet betaal om te verhoed dat dit aanlyn gepubliseer word – het alledaags geword. Maar hoe lank sal die stelsel – slagoffers en versekeraars – so ’n volume aanvalle kan weerstaan?
Daar is geen manier om hierdie vraag gepas te beantwoord nie, veral wanneer die slagoffers self nie die nodige stappe doen om die inligting te beskerm nie. Die gebrek aan 'n professionele persoon wat gefokus is op databeskerming of, in sommige situasies, wanneer die persoon wat kwansuis verantwoordelik is vir die gebied soveel funksies ophoop dat hy of sy nie in staat is om hierdie aktiwiteit bevredigend uit te voer nie, maak hierdie situasie nog erger.
Natuurlik los die aanwys van 'n persoon in beheer op sigself nie al die uitdagings van voldoening op nie, maar dit wys dat die maatskappy daartoe verbind is om 'n stel praktyke te struktureer wat ooreenstem met die LGPD. Hierdie gebrek aan prioritisering weerspieël egter nie net die moontlikheid van sanksies nie, maar ook die werklike risiko van veiligheidsvoorvalle, wat aansienlike verliese sal genereer. Boetes wat deur die ANPD opgelê word, is slegs deel van die probleem, aangesien ontasbare verliese, soos markvertroue, selfs meer pynlik kan wees. In hierdie scenario word meer intensiewe monitering gesien as 'n noodsaaklike aksie om meganismes vir die nakoming van wetgewing te versterk en organisasies aan te moedig om datasubjekte se privaatheid op die agenda te plaas.
Huur 'n DPO of kontrakteer uit?
Die aanstelling van 'n voltydse DPO kan 'n ingewikkelde taak wees, aangesien daar nie altyd 'n vraag of belangstelling is om interne hulpbronne aan hierdie vraag toe te wys nie.
In hierdie sin is uitkontraktering uitgelig as 'n oplossing vir maatskappye wat doeltreffend aan wetgewing wil voldoen, maar nie 'n groot struktuur of hulpbronne het om 'n multidissiplinêre span te handhaaf wat op databeskerming gefokus is nie. Wanneer 'n gespesialiseerde diensverskaffer gebruik word, kry die maatskappy toegang tot professionele persone wat meer ondervinding het in die hantering van LGPD-vereistes in verskillende marksektore. Verder, met 'n eksterne persoon in beheer, begin die maatskappy databeskerming beskou as iets wat in die strategie geïntegreer is, eerder as 'n eenmalige probleem wat eers aandag kry wanneer 'n kennisgewing opdaag of wanneer 'n lekkasie plaasvind.
Dit dra by tot die skepping van robuuste prosesse sonder die behoefte aan 'n groot belegging in die werwing, opleiding en behoud van talent. Die uitkontraktering van die databeampte gaan verder as om bloot 'n buitepersoon aan te stel. Die verskaffer verskaf gewoonlik deurlopende konsultasie, voer risikokartering en ontledingsaktiwiteite uit, help met die ontwikkeling van interne beleide, voer opleiding vir spanne en monitering van die evolusie van ANPD-wetgewing en -regulasies.
Verder is daar die voordeel om 'n span te hê wat reeds ondervinding het in praktiese gevalle, wat die leerkurwe verminder en help om voorvalle te voorkom wat boetes of skade aan reputasie kan oplewer.
Hoe ver strek die uitgekontrakteerde DPO se verantwoordelikheid?
Dit is belangrik om te beklemtoon dat uitkontraktering nie die organisasie vrystel van sy wetlike verantwoordelikhede nie. Die idee is dat die maatskappy sy verbintenis tot die waarborg van die sekuriteit van die data wat hy insamel en verwerk, handhaaf, aangesien Brasiliaanse wetgewing dit duidelik maak dat verantwoordelikheid vir voorvalle nie net op die persoon in beheer val nie, maar op die instelling as geheel.
Wat uitkontraktering doen, is om professionele ondersteuning te bied, wat die nodige paaie verstaan om die organisasie in lyn met die LGPD te hou. Die praktyk om hierdie tipe take aan 'n eksterne vennoot te delegeer word reeds in ander lande aanvaar, waar databeskerming 'n kritieke punt van risikobestuur en korporatiewe bestuur geword het. Die Europese Unie, byvoorbeeld, met die Algemene Databeskermingsregulasie, vereis dat baie maatskappye 'n databeskermingsbeampte moet aanstel. Daar het verskeie maatskappye gekies om die diens uit te kontrakteer deur gespesialiseerde konsultante te huur, wat diekundigheidvir “in-huis”, sonder om ’n hele afdeling hiervoor te skep.
Die persoon in beheer moet, volgens die wetgewing, outonomie hê om mislukkings aan te meld en verbeterings voor te stel, en deel van die internasionale riglyne stel voor dat die professionele persoon vry moet wees van interne druk wat hul inspeksievermoë beperk. Konsultasiefirmas wat hierdie diens bied, ontwikkel kontrakte en werksmetodologieë wat hierdie tipe onafhanklikheid verseker, deursigtige kommunikasie met bestuurders handhaaf en duidelike bestuurskriteria daarstel.
Hierdie meganisme beskerm beide die maatskappy en die professionele persoon, wat die vryheid moet hê om kwesbaarhede aan te dui, selfs al is dit in stryd met gekonsolideerde praktyke binne 'n gegewe sektor of departement.
Die verskerping van ANPD se toesig is 'n teken dat die scenario van verdraagsaamheid besig is om plek te maak vir 'n fermer standpunt, en diegene wat kies om nie nou hierdie probleem aan te spreek nie, kan in die nie te verre toekoms swaarder gevolge in die gesig staar.
Vir maatskappye wat 'n veiliger pad wil hê, is uitkontraktering 'n keuse wat koste, doeltreffendheid en betroubaarheid kan balanseer. Met hierdie tipe vennootskap is dit moontlik om gapings in die interne omgewing reg te stel en 'n nakomingsroetine te struktureer wat die maatskappy sal beskerm teen beide sanksies en risiko's wat verband hou met die gebrek aan deursigtigheid en sekuriteit met betrekking tot die persoonlike data onder sy verantwoordelikheid.
