Selbst nach so vielen Jahren seit der Einführung des Allgemeinen Datenschutzgesetzes (LGPD) in Brasilien, Viele Unternehmen halten sich weiterhin nicht an die Vorschrift. Die LGPD, die im September 2020 in Kraft trat, wurde mit dem Ziel geschaffen, die persönlichen Daten der brasilianischen Bürger zu schützen, klare Regeln festlegen, wie Unternehmen Daten sammeln sollen, speichern und verarbeiten diese Informationen. Jedoch, trotz der verstrichenen Zeit, Viele Unternehmen haben bei der Umsetzung der Norm nur geringe Fortschritte gemacht.
Kürzlich, Die Nationale Datenschutzbehörde (ANPD) hat die Überwachung von Unternehmen, die keinen Datenschutzbeauftragten haben, verstärkt, auch bekannt als Datenschutzbeauftragter (DSB). Das Fehlen eines DPO ist eine der Hauptverletzungen, die identifiziert wurden, da dieser Fachmann entscheidend ist, um sicherzustellen, dass das Unternehmen die DSGVO einhält. Der DPO fungiert als Vermittler zwischen dem Unternehmen, die Dateninhaber und die ANPD, verantwortlich für die Überwachung der Einhaltung der Datenschutzrichtlinien und für die Beratung der Organisation über bewährte Praktiken.
Und diese Daten könnten nur die "Spitze des Eisbergs" sein. In der Realität, niemand weiß, wie viele Unternehmen die Norm noch nicht übernommen haben. Es gibt keine offizielle Erhebung, die die genauen Zahlen aller Unternehmen, die nicht der LGPD angehören, konsolidiert. Unabhängige Umfragen zeigen, dass, im Allgemeinen, Der Prozentsatz kann zwischen 60% und 70% der brasilianischen Unternehmen variieren, insbesondere zwischen kleinen und mittleren Unternehmen. Im Falle der Großen, die Zahl ist noch größer, kann bis zu 80% erreichen.
Warum das Fehlen eines Datenschutzbeauftragten einen Unterschied macht
Im Jahr 2024, sicherlich hat Brasilien die Zahl von 700 Millionen Angriffen von Cyberkriminellen überschritten. Es wird geschätzt, dass fast 1 auftreten.400 Schläge pro Minute und, klar, Unternehmen sind die Hauptziele von Kriminellen. Verbrechen wie Ransomware – in dem die Daten normalerweise zu "Geiseln" werden und die, damit sie nicht online veröffentlicht werden, Die Unternehmen müssen eine enorme Geldsumme zahlen, wurden alltäglich. Aber bis wann das System – die Opfer und die Versicherungen – werden ein solches Volumen an Angriffen standhalten?
Es gibt keine angemessene Möglichkeit, diese Frage zu beantworten, noch mehr, wenn die eigenen Opfer die notwendigen Maßnahmen zum Schutz der Informationen nicht ergreifen. Das Fehlen eines Fachmanns, der sich auf den Datenschutz konzentriert oder, in einigen Situationen, wenn der vermeintliche Verantwortliche für den Bereich so viele Funktionen ansammelt, dass er diese Tätigkeit nicht zufriedenstellend ausführen kann, verschärft diese Situation noch weiter.
Es ist klar, dass die Ernennung eines Beauftragten, von selbst, löst nicht alle Anpassungsherausforderungen, zeigt jedoch, dass das Unternehmen bestrebt ist, eine Reihe von Praktiken zu strukturieren, die mit der DSGVO übereinstimmen. Inzwischen, dieser Mangel an Priorisierung spiegelt sich nicht nur in der Möglichkeit von Sanktionen wider, sondern auch in realen Risiken von Sicherheitsvorfällen, die einen erheblichen Verlust verursachen werden. Die von der ANPD verhängten Bußgelder sind nur ein Teil des Problems, denn die immateriellen Verluste, wie das Vertrauen des Marktes, können noch schmerzhafter sein. In diesem Panorama, Die intensivere Überwachung wird als notwendige Maßnahme angesehen, um die Mechanismen zur Einhaltung der Gesetzgebung zu stärken und die Organisationen zu ermutigen, die Privatsphäre der Betroffenen in den Vordergrund zu stellen.
Einen DSB einstellen oder auslagern?
Die Einstellung eines DPO in Vollzeit kann eine komplizierte Aufgabe sein, denn es gibt nicht immer die Nachfrage oder das Interesse, interne Ressourcen für diese Nachfrage bereitzustellen.
In diesem Sinne, Die Outsourcing wird als eine Lösung für Unternehmen angesehen, die die Gesetzgebung effektiv einhalten möchten, aber sie verfügen nicht über eine große Struktur oder Ressourcen, um ein multidisziplinäres Team zum Schutz von Daten aufrechtzuerhalten. Wenn man einen spezialisierten Dienstleister in Anspruch nimmt, das Unternehmen erhält Zugang zu Fachleuten mit mehr Erfahrung im Umgang mit den Anforderungen der DSGVO in verschiedenen Marktsektoren. Außerdem, mit einem externen Verantwortlichen beginnt das Unternehmen, den Datenschutz als etwas Integriertes in die Strategie zu betrachten, statt eines punktuellen Problems, das nur Aufmerksamkeit erhält, wenn eine Benachrichtigung eintrifft oder wenn ein Leck auftritt.
Das trägt zur Schaffung robuster Prozesse bei, ohne dass eine umfangreiche Investition in die Rekrutierung erforderlich ist, Schulung und Bindung von Talenten. Die Auslagerung des Datenschutzbeauftragten geht über die bloße Benennung einer externen Person hinaus. Der Dienstleister bietet in der Regel kontinuierliche Beratung an, Durchführung von Mapping- und Risikoanalysen, unterstützend bei der Erstellung interner Richtlinien, Schulungen für die Teams durchführen und die Entwicklung der Gesetzgebung und der Vorschriften der ANPD verfolgen.
Außerdem, es gibt den Vorteil, auf ein Team zurückgreifen zu können, das bereits Erfahrung mit praktischen Fällen hat, was die Lernkurve reduziert und hilft, Vorfälle zu verhindern, die Geldstrafen oder Schäden am Ruf verursachen könnten.
Wie weit reicht die Verantwortung des ausgelagerten DSB?
Es ist wichtig zu betonen, dass die Outsourcing nicht die Organisation von ihren rechtlichen Verpflichtungen befreit. Die Idee ist, dass das Unternehmen das Engagement aufrechterhält, die Sicherheit der gesammelten und verarbeiteten Daten zu gewährleisten, denn die brasilianische Gesetzgebung macht deutlich, dass die Verantwortung für Vorfälle nicht nur beim Verantwortlichen liegt, aber über die Institution als Ganzes.
Was die Outsourcing macht, ist, eine professionalisierte Unterstützung anzubieten, der die notwendigen Wege versteht, um die Organisation im Einklang mit der DSGVO zu halten. Die Praxis, solche Aufgaben an einen externen Partner zu delegieren, wird bereits in anderen Ländern angewendet, wo der Datenschutz zu einem kritischen Punkt des Risikomanagements und der Unternehmensführung geworden ist. Die Europäische Union, zum Beispiel, mit der Datenschutz-Grundverordnung, fordert, dass viele Unternehmen einen Datenschutzbeauftragten benennen. Dort, verschiedene Unternehmen haben sich für die Auslagerung des Dienstes durch die Beauftragung von spezialisierten Beratungsunternehmen entschieden, bring theSachverstandfür "drinnen", ohne dafür eine ganze Abteilung schaffen zu müssen.
Der Beauftragte, gemäß der Gesetzgebung, man muss die Autonomie haben, um Fehler zu melden und Verbesserungen vorzuschlagen, und ein Teil der internationalen Richtlinien legt nahe, dass der Fachmann frei von internen Druck sein sollte, der seine Fähigkeit zur Überwachung einschränkt. Die Beratungsunternehmen, die diesen Service anbieten, entwickeln Verträge und Arbeitsmethoden, die diese Art von Unabhängigkeit gewährleisten, eine transparente Kommunikation mit den Managern aufrechterhalten und klare Governance-Kriterien festlegen.
Dieser Mechanismus schützt sowohl das Unternehmen als auch den Fachmann selbst, dass man die Freiheit haben muss, Schwachstellen anzuzeigen, auch wenn dies gegen etablierte Praktiken in einem bestimmten Sektor oder einer Abteilung verstößt.
Die Intensivierung der Aufsicht durch die ANPD ist ein Zeichen dafür, dass das Szenario der Toleranz einer entschlosseneren Haltung Platz macht, und wer sich entscheidet, dieses Problem jetzt nicht anzugehen, könnte in naher Zukunft schwerwiegendere Konsequenzen erleben.
Für Unternehmen, die einen sichereren Weg suchen, Outsourcing ist eine Wahl, die in der Lage ist, Kosten auszugleichen, Effizienz und Zuverlässigkeit. Mit dieser Art von Partnerschaft, Es ist möglich, Lücken im internen Umfeld zu schließen und eine Compliance-Routine zu strukturieren, die das Unternehmen sowohl vor Sanktionen als auch vor den Risiken schützt, die mit mangelnder Transparenz und Sicherheit in Bezug auf die personenbezogenen Daten, die in seiner Verantwortung liegen, verbunden sind.
