Incluso tantos años desde la implementación de la Ley General de Protección de Datos (LGPD) en Brasil, muchas empresas continúan incumpliendo la norma. La LGPD, que entró en vigor en septiembre de 2020, fue creada con el objetivo de proteger los datos personales de los ciudadanos brasileños, estableciendo reglas claras sobre cómo las empresas deben recopilar, almacenar y tratar esta información. Sin embargo, a pesar del tiempo transcurrido, muchas empresas han avanzado poco en la implementación de la norma.
Recientemente, la Autoridad Nacional de Protección de Datos (ANPD) ha intensificado la supervisión sobre las empresas que no tienen un encargado de datos, también conocido como Delegado de Protección de Datos (DPD). La falta de un DPO es una de las principales infracciones identificadas, ya que este profesional es esencial para garantizar que la empresa esté en conformidad con la LGPD. El DPO actúa como un intermediario entre la empresa, los titulares de los datos y la ANPD, siendo responsable de monitorear el cumplimiento de las políticas de protección de datos y de orientar a la organización sobre las mejores prácticas.
Y esos datos pueden ser solo la "punta del iceberg". En realidad, nadie sabe cuántas empresas aún no han adoptado la norma. No hay un levantamiento oficial único que consolide los números exactos de todas las empresas no adherentes a la LGPD Investigaciones independientes indican que, en términos generales, el porcentaje puede variar entre el 60% y el 70% de las empresas brasileñas, especialmente entre las de pequeño y mediano tamaño. En el caso de los grandes, el número es aún mayor, pudiendo llegar al 80%.
Por qué la falta de un DPO marca la diferencia
En 2024, seguramente Brasil ha superado el número de 700 millones de ataques de cibercriminales. Se estima que ocurran casi 1.400 golpes por minuto y, claro, las empresas son los principales objetivos de los criminales. Crímenes como el ransomware – en el cual generalmente los datos se convierten en "rehenes" y que, para que no sean publicados en línea, las empresas necesitan pagar una enorme suma financiera, se volvieron comunes. Pero ¿hasta cuándo el sistema – las víctimas y las aseguradoras – van a soportar tal volumen de ataques?
No hay forma de responder a esta pregunta de manera apropiada, aún más cuando las propias víctimas dejan de tomar las acciones necesarias para la protección de la información. La falta de un profesional enfocado en la protección de datos o, en algunas situaciones, cuando el supuesto responsable del área acumula tantas funciones que no puede desempeñar esta actividad de forma satisfactoria, agrava aún más esta situación.
Es claro que la designación de un encargado, por sí solo, no resuelve todos los desafíos de adecuación, pero muestra que la empresa está comprometida en estructurar un conjunto de prácticas coherentes con la LGPD. Mientras tanto, esa falta de priorización no solo refleja en la posibilidad de sanciones, sino también en riesgos reales de incidentes de seguridad, que van a generar un perjuicio considerable. Las multas aplicables por la ANPD son solo una parte del problema, pues las pérdidas intangibles, como la confianza del mercado, pueden ser aún más dolorosas. En este panorama, la fiscalización más intensa se ve como una acción necesaria para reforzar los mecanismos de cumplimiento de la legislación e incentivar a las organizaciones a poner la privacidad de los titulares en la agenda.
Contratar un DPO o externalizar?
Contratar un DPO a tiempo completo puede ser una tarea complicada, pues no siempre hay la demanda o interés en asignar recursos internos para esa demanda.
En este sentido, la externalización ha sido señalada como una solución para las empresas que desean cumplir con la legislación de manera efectiva, pero no disponen de una gran estructura ni de recursos para mantener un equipo multidisciplinario enfocado en la protección de datos. Cuando se recurre a un prestador de servicios especializado, la empresa gana acceso a profesionales que tienen más experiencia para manejar los requisitos de la LGPD en diferentes sectores del mercado. Además de eso, con un responsable externo la empresa comienza a considerar la protección de datos como algo integrado a la estrategia, en lugar de un problema puntual que solo recibe atención cuando llega una notificación o cuando ocurre alguna filtración.
Esto contribuye a la creación de procesos robustos sin que sea necesario una inversión voluminoso en reclutamiento, formación y retención de talentos. La externalización del encargado de datos va más allá de simplemente nombrar a una persona externa. El proveedor suele ofrecer consultoría continua, realizando actividades de mapeo y análisis de riesgo, ayudando en la elaboración de políticas internas, conduciendo entrenamientos para los equipos y siguiendo la evolución de la legislación y de las normativas de la ANPD.
Además de eso, hay la ventaja de contar con un equipo que ya tiene experiencia en casos prácticos, lo que reduce la curva de aprendizaje y ayuda a prevenir incidentes que podrían generar multas o daños a la reputación.
¿Hasta dónde llega la responsabilidad del DPO externalizado?
Es importante destacar que la externalización no exime a la organización de sus responsabilidades legales. La idea es que la empresa mantenga el compromiso de garantizar la seguridad de los datos que recopila y trata, pues la legislación brasileña deja claro que la responsabilidad sobre incidentes no recae solo en el encargado, pero sobre la institución en su conjunto.
Lo que la externalización hace es ofrecer un soporte profesionalizado, que entiende los caminos necesarios para mantener la organización en línea con la LGPD. La práctica de delegar este tipo de tarea a un socio externo ya se adopta en otros países, donde la protección de datos se ha convertido en un punto crítico de gestión de riesgos y gobernanza corporativa. La Unión Europea, por ejemplo, con el Reglamento General de Protección de Datos, exige que muchas empresas nombren a un encargado de protección de datos. Allí, diversas empresas optaron por la externalización del servicio con la contratación de consultorías especializadas, trayendo apericiapara "dentro de casa", sin necesidad de crear todo un departamento para eso.
El encargado, de acuerdo con la legislación, necesita tener autonomía para reportar fallos y proponer mejoras, y parte de las directrices internacionales sugiere que el profesional debe estar libre de presiones internas que limiten su capacidad de supervisión. Las consultorías que ofrecen este servicio desarrollan contratos y metodologías de trabajo que aseguran este tipo de independencia, manteniendo una comunicación transparente con los gestores y estableciendo criterios claros de gobernanza.
Este mecanismo protege tanto a la empresa como al propio profesional, que necesita tener la libertad de señalar vulnerabilidades incluso si eso va en contra de prácticas consolidadas dentro de determinado sector o departamento.
La intensificación de la supervisión de la ANPD es una señal de que el escenario de tolerancia está dando lugar a una postura más firme, y quien opte por no abordar este problema ahora podrá enfrentar consecuencias más graves en un futuro no muy lejano.
Para las empresas que desean un camino más seguro, la externalización es una opción capaz de equilibrar costos, eficiencia y confiabilidad. Con este tipo de asociación, es posible corregir lagunas en el ambiente interno y estructurar una rutina de cumplimiento que protegerá a la empresa tanto de las sanciones como de los riesgos asociados a la falta de transparencia y de seguridad en relación con los datos personales que están bajo su responsabilidad.
