Incluso después de tantos años desde la implementación de la Ley General de Protección de Datos (LGPD) en Brasil, muchas empresas continúan sin cumplir la norma. La LGPD, que entró en vigor en septiembre de 2020, fue creada con el objetivo de proteger los datos personales de los ciudadanos brasileños, estableciendo reglas claras sobre cómo las empresas deben recopilar, almacenar y procesar esta información. Sin embargo, a pesar del tiempo transcurrido, muchas empresas han avanzado poco en la implementación de la norma.
Recientemente, la Autoridad Nacional de Protección de Datos (ANPD) ha intensificado su vigilancia sobre las empresas que no cuentan con un responsable de tratamiento de datos, también conocido como Delegado de Protección de Datos (DPD). La falta de un DPO es una de las principales infracciones identificadas, ya que este profesional es fundamental para garantizar que la empresa cumple con la LGPD. El DPO actúa como intermediario entre la empresa, los interesados y la ANPD, siendo responsable de supervisar el cumplimiento de las políticas de protección de datos y orientar a la organización sobre las mejores prácticas.
Y estos datos pueden ser sólo la “punta del iceberg”. En realidad, nadie sabe cuántas empresas aún no han adoptado el estándar. No existe una encuesta oficial que consolide la cifra exacta de empresas que no cumplen con la LGPD. Estudios independientes indican que, en general, el porcentaje puede variar entre el 60% y el 70% de las empresas brasileñas, especialmente entre las pequeñas y medianas empresas. En el caso de las grandes empresas, la cifra es aún mayor y alcanza el 80%.
Por qué la falta de un DPO marca la diferencia
En 2024, Brasil seguramente superará la cifra de 700 millones de ataques cibercriminales. Se estima que cada minuto ocurren casi 1.400 estafas y, por supuesto, las empresas son los principales objetivos de los delincuentes. Delitos como el ransomware (en los que los datos suelen quedar como “rehenes” y las empresas tienen que pagar enormes sumas de dinero para evitar que se publiquen en línea) se han vuelto habituales. Pero ¿cuánto tiempo podrá el sistema –víctimas y aseguradoras– soportar tal volumen de ataques?
No hay manera de responder adecuadamente a esta pregunta, especialmente cuando las propias víctimas no toman las medidas necesarias para proteger la información. La falta de un profesional centrado en la protección de datos o, en algunas situaciones, cuando el supuesto responsable del área acumula tantas funciones que no es capaz de realizar dicha actividad satisfactoriamente, agrava aún más esta situación.
Por supuesto, designar un responsable, en sí mismo, no resuelve todos los desafíos de cumplimiento, pero demuestra que la empresa está comprometida en estructurar un conjunto de prácticas que sean consistentes con la LGPD. Sin embargo, esta falta de priorización no sólo refleja la posibilidad de sanciones, sino también el riesgo real de incidentes de seguridad, que generarán pérdidas considerables. Las multas impuestas por la ANPD son sólo una parte del problema, ya que las pérdidas intangibles, como la confianza del mercado, pueden ser aún más dolorosas. En este escenario, un seguimiento más intenso se presenta como una acción necesaria para reforzar los mecanismos de cumplimiento de la legislación y alentar a las organizaciones a poner la privacidad de los interesados en la agenda.
¿Contratar un DPO o externalizarlo?
Contratar un DPO a tiempo completo puede ser una tarea complicada, ya que no siempre existe demanda o interés en asignar recursos internos a esta demanda.
En este sentido, el outsourcing se ha identificado como una solución para las empresas que desean cumplir con la legislación de forma efectiva, pero no disponen de una gran estructura o recursos para mantener un equipo multidisciplinar enfocado en protección de datos. Al utilizar un proveedor de servicios especializado, la empresa obtiene acceso a profesionales que tienen más experiencia en el manejo de los requisitos de la LGPD en diferentes sectores del mercado. Además, con un responsable externo, la empresa empieza a ver la protección de datos como algo integrado en la estrategia, en lugar de un problema puntual al que sólo se le presta atención cuando llega una notificación o cuando se produce una fuga.
Esto contribuye a la creación de procesos robustos sin necesidad de una gran inversión en reclutamiento, capacitación y retención de talento. La externalización del responsable de datos va más allá de simplemente nombrar a una persona externa. El proveedor generalmente brinda consultoría continua, realizando actividades de mapeo y análisis de riesgos, asistiendo en el desarrollo de políticas internas, realizando capacitaciones para equipos y monitoreando la evolución de la legislación y reglamentación de la ANPD.
Además, existe la ventaja de contar con un equipo que ya tiene experiencia en casos prácticos, lo que reduce la curva de aprendizaje y ayuda a prevenir incidentes que podrían resultar en multas o daños a la reputación.
¿Hasta dónde llega la responsabilidad del DPO externalizado?
Es importante resaltar que la subcontratación no exime a la organización de sus responsabilidades legales. La idea es que la empresa mantenga su compromiso de garantizar la seguridad de los datos que recoge y procesa, ya que la legislación brasileña deja claro que la responsabilidad por incidentes no recae únicamente en el responsable, sino en la institución como un todo.
Lo que hace el outsourcing es ofrecer soporte profesional, que entiende los caminos necesarios para mantener la organización alineada con la LGPD. La práctica de delegar este tipo de tareas a un socio externo ya está adoptada en otros países, donde la protección de datos se ha convertido en un punto crítico de la gestión de riesgos y del gobierno corporativo. La Unión Europea, por ejemplo, con el Reglamento General de Protección de Datos, exige a muchas empresas que designen un delegado de protección de datos. Allí, varias empresas optaron por externalizar el servicio contratando consultores especializados, aportando así lapericiapara “interno”, sin necesidad de crear un departamento entero para ello.
El responsable, según la legislación, debe tener autonomía para reportar fallas y proponer mejoras, y parte de las directrices internacionales sugieren que el profesional debe estar libre de presiones internas que limiten su capacidad de inspección. Las consultoras que ofrecen este servicio desarrollan contratos y metodologías de trabajo que aseguran este tipo de independencia, manteniendo una comunicación transparente con los directivos y estableciendo criterios claros de gobernanza.
Este mecanismo protege tanto a la empresa como al profesional, que necesita tener la libertad de señalar vulnerabilidades incluso si esto va en contra de prácticas consolidadas dentro de un determinado sector o departamento.
La intensificación de la supervisión de la ANPD es una señal de que el escenario de tolerancia está dando paso a una postura más firme, y quienes opten por no abordar este problema ahora pueden enfrentar consecuencias más graves en un futuro no muy lejano.
Para las empresas que desean un camino más seguro, el outsourcing es una opción capaz de equilibrar costo, eficiencia y confiabilidad. Con este tipo de alianzas es posible corregir brechas en el ambiente interno y estructurar una rutina de cumplimiento que proteja a la empresa tanto de sanciones como de riesgos asociados a la falta de transparencia y seguridad en relación a los datos personales bajo su responsabilidad.
