Selv efter så mange år siden implementeringen af den Generelle Lov om Databeskyttelse (LGPD) i Brasilien, mange virksomheder fortsætter med at overtræde normen. LGPD, der trådte i kraft i september 2020, blev oprettet med det formål at beskytte de personlige data for de brasilianske borgere, etablering af klare regler for, hvordan virksomheder skal indsamle, opbevare og behandle disse oplysninger. Imidlertid, på trods af den tid der er gået, mange virksomheder er kun kommet lidt frem i implementeringen af normen.
For nylig, Den Nationale Databeskyttelsesmyndighed (ANPD) har intensiveret tilsynet med virksomheder, der ikke har en databeskyttelsesansvarlig, også kendt som Data Protection Officer (DPO). Manglen på en DPO er en af de vigtigste overtrædelser, der er identificeret, da dette professionelle er afgørende for at sikre, at virksomheden overholder LGPD. DPO'en fungerer som en mellemmand mellem virksomheden, dataejernes rettigheder og ANPD, ansvarlig for at overvåge overholdelsen af databeskyttelsespolitikkerne og for at vejlede organisationen om bedste praksis.
Og disse data kan være kun "toppen af isbjerget". I virkeligheden, ingen ved, hvor mange virksomheder der stadig ikke har tilsluttet sig normen. Der er ikke en officiel opgørelse, der samler de nøjagtige tal for alle virksomheder, der ikke overholder LGPD Uafhængige undersøgelser viser, at, generelt set, procentdelen kan variere mellem 60% og 70% af de brasilianske virksomheder, især blandt små og mellemstore virksomheder. I tilfælde af de store, tallet er endnu større, kan nå op til 80%.
Hvorfor manglen på en DPO gør en forskel
I 2024, sikkert har Brasilien overskredet antallet af 700 millioner angreb fra cyberkriminelle. Det estimeres, at der sker næsten 1.400 slag pr. minut og, klart, virksomhederne er de primære mål for kriminelle. Forbrydelser som ransomware – hvor dataene generelt bliver "gidsler" og at, for at de ikke bliver offentliggjort online, virksomhederne skal betale et enormt beløb, blev almindelige. Men indtil hvornår systemet – ofrene og forsikringsselskaberne – vil støtte en så stor mængde angreb?
Der er ikke nogen måde at besvare dette spørgsmål på en passende måde, endnu mere når selve ofrene undlader at tage de nødvendige skridt for at beskytte oplysningerne. Manglen på en professionel med fokus på databeskyttelse eller, i nogle situationer, når den påståede ansvarlige for området har så mange funktioner, at vedkommende ikke kan udføre denne opgave tilfredsstillende, forværrer endnu mere denne situation.
Det er klart, at udnævnelsen af en ansvarlig, for sig selv, løser ikke alle tilpasningsudfordringer, men viser, at virksomheden er engageret i at strukturere et sæt af praksisser, der er i overensstemmelse med LGPD. Imidlertid, denne mangel på prioritering afspejler sig ikke kun i muligheden for sanktioner, men også i reelle risici for sikkerhedshændelser, som vil medføre et betydeligt tab. De bøder, der pålægges af ANPD, er kun en del af problemet, for de de intangible tabt, hvordan markedets tillid, kan være endnu mere smertefulde. I dette panorama, den mest intensive kontrol betragtes som en nødvendig handling for at styrke mekanismerne til overholdelse af lovgivningen og opmuntre organisationer til at sætte ejerskabernes privatliv på dagsordenen.
Ansætte en DPO eller outsource?
At ansætte en DPO på fuld tid kan være en kompliceret opgave, for der ikke altid efterspørgslen eller interessen for at allokere interne ressourcer til denne efterspørgsel.
I denne forstand, outsourcing er blevet peget på som en løsning for virksomheder, der ønsker at overholde lovgivningen effektivt, men de har ikke en stor struktur eller ressourcer til at opretholde et tværfagligt team fokuseret på databeskyttelse. Når man henvender sig til en specialiseret tjenesteudbyder, virksomheden får adgang til fagfolk, der har mere erfaring med at håndtere kravene i LGPD i forskellige sektorer af markedet. Derudover, med en en ekstern ansvarlig begynder virksomheden at betragte databeskyttelse som noget integreret i strategien, i stedet for et punktproblem der kun får opmærksomhed når der kommer en meddelelse eller når der sker et læk.
Dette bidrager til oprettelsen af robuste processer uden at det er nødvendigt med en stor investering i rekruttering, træning og fastholdelse af talenter. Outsourcing af personen, der er ansvarlig for data, går ud over blot at udpege en ekstern person. Leverandøren plejer at yde løbende rådgivning, udføre kortlægnings- og risikanalyseaktiviteter, hjælp med udarbejdelse af interne politikker, gennemfører træning for teams og følger udviklingen af lovgivningen og ANPD's forskrifter.
Derudover, der er fordelen ved at have et team, der allerede har erfaring med praktiske sager, hvad reducerer læringskurven og hjælper med at forhindre hændelser, der kunne medføre bøder eller skade på omdømmet.
Hvor langt rækker den outsourcede DPO's ansvar?
Det er vigtigt at understrege, at outsourcing ikke fritager organisationen for dens juridiske ansvar. Ideen er, at virksomheden opretholder forpligtelsen til at sikre de data, den indsamler og behandler, for lovgivningen i Brasilien gør det klart, at ansvaret for hændelser ikke kun hviler på den ansvarlige, men om institutionen som helhed.
Hvad outsourcing gør, er at tilbyde en professionel støtte, der forstår de nødvendige veje for at holde organisationen i overensstemmelse med LGPD. Praksis med at delegere denne type opgave til en ekstern partner er allerede vedtaget i andre lande, hvor databeskyttelse er blevet et kritisk punkt for risikostyring og virksomhedsledelse. Den Europæiske Union, for eksempel, med den Generelle Databeskyttelsesforordning, kræver, at mange virksomheder udpeger en databeskyttelsesansvarlig. Der, forskellige virksomheder har valgt at outsource tjenesten ved at ansætte specialiserede konsulentfirmaer, bring theekspertisetil "inde i huset", uden at skulle oprette en hel afdeling til det.
Den ansvarlige, i henhold til lovgivningen, skal have autonomi til at rapportere fejl og foreslå forbedringer, og dele af internationale retningslinjer antyder, at fagpersonen skal være fri for interne pres, der begrænser deres evne til at føre tilsyn. De konsulentfirmaer, der tilbyder denne service, udvikler kontrakter og arbejdsmetoder, der sikrer denne type uafhængighed, opretholdelse af en gennemsigtig kommunikation med lederne og etablering af klare governancekriterier.
Denne mekanisme beskytter både virksomheden og den enkelte professionel, at have the freedom to point out vulnerabilities even if it goes against established practices within a certain sector or department.
Intensiveringen af ANPD's tilsyn er et tegn på, at scenariet med tolerance giver plads til en mere fast holdning, og den, der vælger ikke at tage fat på dette problem nu, kan stå over for mere alvorlige konsekvenser i en ikke alt for fjern fremtid.
For virksomheder, der ønsker en sikrere vej, outsourcing er et valg, der kan balancere omkostninger, effektivitet og pålidelighed. Med denne type partnerskab, det er muligt at rette op på mangler i det interne miljø og strukturere en compliance-rutine, der vil beskytte virksomheden mod både sanktioner og de risici, der er forbundet med mangel på gennemsigtighed og sikkerhed vedrørende de personlige data, der er under dens ansvar.
