Selfs na na jare na die implementering van die Algemene Wet op Gegevensbeskerming (LGPD) in Brasilië, baie maatskappye hou aan om die regulasie te oortree. Die LGPD, wat in September 2020 in werking getree het, is geskep met die doel om die persoonlike data van Brasiliaanse burgers te beskerm, die duidelike reëls vasstel oor hoe maatskappye data moet versamel, inligting stoor en hanteer. Togtans, ten spyte van die verbygaande tyd, baie maatskappye het min gevorder in die implementering van die norma.
Onlangs, Die Nasionale Owerheid vir Gegevensbeskerming (ANPD) het die toesig oor maatskappye wat nie 'n data-beskermer het nie, verskerp, ook bekend as Data Protection Officer (DPO). Die gebrek aan 'n DPO is een van die hoof oortredings wat geïdentifiseer is, aangesien hierdie professionele persoon noodsaaklik is om te verseker dat die maatskappy aan die LGPD voldoen. Die DPO tree op as 'n intermediêre tussen die maatskappy, die databesitters en die ANPD, as verantwoordelikheid om die nakoming van databesermingsbeleide te monitor en die organisasie oor die beste praktyke te lei.
En hierdie data kan net die "punt van die ysberg" wees. In werklikheid, niemand weet wat die aantal maatskappye is wat nog nie aan die norm voldoen het. Daar is geen enkele amptelike opname wat die presiese syfers van alle maatskappye wat nie aan die LGPD voldoen nie, konsolideer Nie-onafhanklike navorsing dui aan dat, in algemene terme, die persentasie kan tussen 60% en 70% van die Brasiliaanse maatskappye wissel, veralik tussen die klein en medium ondernemings. In die geval van die grootes, die getal is selfs groter, kan tot 80% bereik.
Waarom die gebrek aan 'n DPO 'n verskil maak
In 2024, verseker het Brasilië die aantal van 700 miljoen aanvalle van kuberkriminele oorgesteek. Daar word geskat dat daar byna 1 plaasvind.400 slae per minuut en, duidelik, maatskappye is die hoof teikens van misdadigers. Misdade soos ransomware – waar data gewoonlik "gyselaars" word en wat, sodat nie aanlyn gepubliseer word, die maatskappye moet 'n enorme finansiële bedrag betaal, het het alledaags geword. Maar tot wanneer die stelsel – die slagoffers en die versekeringsmaatskappye – sal gaan ondersteun so 'n groot volume van aanvalle?
Daar is geen manier om hierdie vraag op 'n gepaste manier te beantwoord, nog meer wanneer die slagoffers self ophou om die nodige stappe te neem om die inligting te beskerm. Die gebrek aan 'n professionele persoon wat op databeskerming gefokus is of, in sommige situasies, wanneer die vermeende verantwoordelike vir die area soveel funksies opneem dat hy nie in staat is om daardie aktiwiteit bevredigend uit te voer nie, verer hierdie situasie verder.
Dit is duidelik dat die aanstelling van 'n verantwoordelike persoon, op sigself, los nie al die uitdagings van geskiktheid, maar dit wys dat die maatskappy toegewy is om 'n stel praktyke te struktureer wat ooreenstem met die LGPD. intussen, hierdie gebrek aan prioritisering weerspieël nie net in die moontlikheid van sanksies, maar ook in werklike risiko's van veiligheidsvoorvalle, wat 'n aansienlike verlies sal veroorsaak. Die boetes wat deur die ANPD opgelê word, is net 'n deel van die probleem, want die ontasbare verliese, hoe die markvertroue, kan selfs nog meer pynlik wees. In hierdie panorama, die intensiewe toesig word gesien as 'n noodsaaklike aksie om die meganismes van wetstoepassing te versterk en organisasies aan te moedig om die privaatheid van die betrokke persone op die agenda te plaas.
Huur 'n DPO of uitkontrakteer?
Om 'n DPO in voltydse diens aan te stel kan 'n ingewikkelde taak wees, want daar is nie altyd 'n vraag of belangstelling om interne hulpbronne aan hierdie vraag toe te ken.
In hierdie sin, die uitkontraktering word beskou as 'n oplossing vir maatskappye wat die wetgewing effektief wil nakom, maar hulle beskik nie oor 'n groot struktuur of hulpbronne om 'n multidissiplinêre span te handhaaf wat op databeskerming gefokus is nie. Wanneer 'n spesialiseerde diensverskaffer ingeroep word, die maatskappy kry toegang tot professionele persone wat meer ervaring het om die vereistes van die LGPD in verskillende sektore van die mark te hanteer. Boonop, met 'n eksterne verantwoordelike begin die maatskappy om data-beskerming as iets te beskou wat geïntegreer is in die strategie, in plaas van 'n spesifieke probleem wat net aandag kry wanneer 'n kennisgewing kom of wanneer daar 'n lekkasie plaasvind.
Dit dra by tot die skep van robuuste prosesse sonder dat 'n groot belegging in werwing nodig is, opleiding en behoud van talente. Die uitkontraktering van die data-owerheid gaan verder as om net 'n buitepersoon aan te stel. Die verskaffer bied gewoonlik deurlopende konsultasie aan, uitvoerende aktiwiteite van kartering en risiko-analise, helping in the development of internal policies, leiding van opleiding vir die spanne en die ontwikkeling van die wetgewing en regulasies van die ANPD volg.
Boonop, daar is die voordeel om te kan staatmaak op 'n span wat reeds ervaring het in praktiese gevalle, wat die leerkurwe verminder en help om voorvalle te voorkom wat boetes of skade aan reputasie kan veroorsaak.
Hoe ver strek die uitgekontrakteerde DPO se verantwoordelikheid?
Dit is belangrik om te beklemtoon dat uitkontraktering die organisasie nie van sy wettige verantwoordelikhede vrystel nie. Die idee is dat die maatskappy die verbintenis handhaaf om die veiligheid van die data wat dit versamel en verwerk te waarborg, want die Brasilia wetgewing maak dit duidelik dat die verantwoordelikheid vir voorvalle nie net op die persoon wat verantwoordelik is, val, maar oor die instelling as 'n geheel.
Wat die uitkontraktering doen, is om 'n professionele ondersteuning te bied, wat die nodige paaie verstaan om die organisasie in lyn met die POPI-wet te hou. Die prakty om sulke take aan 'n eksterne vennoot te delegeer, word reeds in ander lande aangeneem, waar data-beskerming 'n kritieke punt van risiko-bestuur en korporatiewe bestuur geword het. Die Europese Unie, byvoorbeeld, met die Algemene Regulasie op Gegevensbeskerming, vereis dat baie maatskappye 'n databeskermingsbeampte moet aanstel. Daar, verske maatskappye het gekies om die diens uit te kontrakteer deur spesialiseerde konsultasies aan te stel, bring thekundigheidbinne in die huis, sonder nodig om 'n hele departement daarvoor te skep.
Die verantwoordelike persoon, volgens die wetgewing, jy moet outonomie hê om foute te rapporteer en verbeterings voor te stel, en 'n deel van die internasionale riglyne stel voor dat die professionele persoon vry moet wees van interne druk wat sy of haar toesighoudende vermoë beperk. Die konsultasies wat hierdie diens bied, ontwikkel kontrakte en werkmetodes wat hierdie tipe onafhanklikheid verseker, deur 'n deursigtige kommunikasie met die bestuurders te handhaaf en duidelike kriteria vir bestuur te vestig.
Hierdie meganisme beskerm sowel die maatskappy as die professionele persoon self, wat die vryheid moet hê om kwesbaarhede aan te dui selfs al gaan dit teen gevestigde praktyke binne 'n bepaalde sektor of departement.
Die intensivering van die toesig van die ANPD is 'n teken dat die toneel van verdraagsaamheid plek maak vir 'n meer ferm houding, en wie kies om hierdie probleem nou nie aan te spreek nie, mag in 'n nie te verre toekoms swakker gevolge ondervind.
Vir vir die maatskappye wat 'n veiliger pad wil hê, die uitkontraktering is 'n keuse wat in staat is om koste te balanseer, doeltreffendheid en betroubaarheid. Met hierdie tipe vennootskap, dit is moontlik om leemtes in die interne omgewing te herstel en 'n nakomingsroetine te struktureer wat die maatskappy sal beskerm teen sowel as sankies as die risiko's wat verband hou met 'n gebrek aan deursigtigheid en sekuriteit rakende die persoonlike data wat onder sy verantwoordelikheid is.
