Vaikka Brasilian yleinen tietosuojalaki (LGPD) on tullut voimaan jo niin monta vuotta sitten, monet yritykset jatkavat sääntöjen rikkomista. LGPD, joka tuli voimaan syyskuussa 2020, se luotiin suojelemaan brasilialaisten kansalaisten henkilötietoja, asetetaan selkeät säännöt siitä, miten yritysten tulee kerätä, tallentaa ja käsitellä näitä tietoja. Kuitenkin, huolimatta kuluneesta ajasta, monet yritykset ovat edistyneet vähän standardin toteuttamisessa.
Äskettäin, Kansallinen tietosuojaviranomainen (ANPD) on tehostanut valvontaa yrityksille, joilla ei ole tietosuojavastaavaa, tunnetaan myös nimellä tietosuojavastaava (DPO). DPO:n puuttuminen on yksi tärkeimmistä havaituista rikkomuksista, koska tämä ammattilainen on olennainen varmistamaan, että yritys noudattaa LGPD:tä. DPO toimii välittäjänä yrityksen ja, tietojen haltijat ja ANPD, olla vastuussa tietosuojakäytäntöjen noudattamisen valvonnasta ja ohjaamassa organisaatiota parhaista käytännöistä.
Ja nämä tiedot voivat olla vain "jäätikön huippu". Todellisuudessa, kukaan ei tiedä, kuinka monta yritystä ei ole vielä liittynyt sääntöön. Ei ole olemassa virallista yhtenäistä selvitystä, joka kokoaisi yhteen kaikkien LGPD:hen sitoutumattomien yritysten tarkat luvut. Itsenäiset tutkimukset osoittavat, että, yleisesti ottaen, prosenttiossa voi vaihdella 60%:sta 70%:iin brasilialaisista yrityksistä, erityisesti pienten ja keskikokoisten yritysten keskuudessa. Suuremmissa tapauksissa, numero on vielä suurempi, voimalla jopa 80%.
Miksi DPO:n puute tekee eron
Vuonna 2024, varmasti Brasil on ylittänyt 700 miljoonan kyberrikollisten hyökkäyksen rajan. Arvioidaan, että tapahtuu lähes 1.400 iskua minuutissa ja, selvä, yritykset ovat rikollisten pääkohteita. Rikokset kuten ransomware – missä tiedot yleensä muuttuvat "panttivangeiksi" ja että, jotta niitä ei julkaista verkossa, yritysten on maksettava valtava rahasumma, ovat tulleet tavallisiksi. Mutta kuinka kauan järjestelmä – uhrit ja vakuutusyhtiöt – kestävät tällaisen hyökkäysmäärän?
Ei ole mahdollista vastata tähän kysymykseen asianmukaisesti, vielä enemmän, kun itse uhrit lakkaavat tekemästä tarvittavia toimia tietojen suojaamiseksi. Tietoturva-asiantuntijan puute tai, joissakin tilanteissa, kunnes väitetty vastuuhenkilö alueella kerää niin monta tehtävää, että hän ei pysty suorittamaan tätä toimintoa tyydyttävästi, tilaa vielä pahempaa tilannetta.
On selvää, että vastuuhenkilön nimittäminen, itsensä, ei ratkaise kaikkia soveltuvuushaasteita, mutta se näyttää, että yritys on sitoutunut rakentamaan joukon käytäntöjä, jotka ovat yhdenmukaisia LGPD:n kanssa. samaan aikaan, tämä priorisoinnin puute heijastuu vain mahdollisiin seuraamuksiin, mutta myös todellisista turvallisuusongelmista, jotka aiheuttavat merkittävää tappiota. ANPD:n määräämät sakot ovat vain osa ongelmaa, sillä aineettomat menetykset, kuinka markkinoiden luottamus, ne voivat olla vieläkin kivuliaampia. Tässä näkymässä, tiukkuvalvonta nähdään välttämättömänä toimenpiteenä lainsäädännön noudattamisen mekanismien vahvistamiseksi ja organisaatioiden kannustamiseksi asettamaan rekisteröityjen yksityisyys keskiöön.
Palkata DPO tai ulkoistaa?
Kokopäiväisen DPO:n palkkaaminen voi olla monimutkainen tehtävä, sillä ei aina ole kysyntää tai kiinnostusta kohdistaa sisäisiä resursseja tähän kysyntään.
Tässä mielessä, ulkoistaminen on nähty ratkaisuna yrityksille, jotka haluavat noudattaa lainsäädäntöä tehokkaasti, mutta heillä ei ole suurta rakennetta tai resursseja ylläpitää monialaista tiimiä, joka keskittyy tietosuojan suojaamiseen. Kun käytetään erikoistunutta palveluntarjoajaa, yritys saa pääsyn ammattilaisiin, joilla on enemmän kokemusta LGPD-vaatimusten käsittelemisestä eri markkinasektoreilla. Lisäksi, ulkopuolisen vastuuhenkilön kanssa yritys alkaa pitää tietosuojan suojaamista osana strategiaa, sen sijaan, että se olisi tilapäinen ongelma, joka saa huomiota vain, kun ilmoitus saapuu tai kun vuoto tapahtuu.
Tämä edistää vahvojen prosessien luomista ilman, että rekrytointiin tarvitaan suurta investointia, koulutus ja lahjakkuuksien säilyttäminen. Tietojen vastuuhenkilön ulkoistaminen menee pidemmälle kuin pelkästään ulkopuolisen henkilön nimeäminen. Palveluntarjoaja tarjoaa yleensä jatkuvaa konsultointia, suorittamalla kartoitus- ja riskianalyysitoimintoja, avustamalla sisäisten politiikkojen laatimisessa, kouluttamalla tiimejä ja seuraamalla lainsäädännön ja ANPD:n sääntöjen kehitystä.
Lisäksi, on etu, että käytössä on tiimi, jolla on kokemusta käytännön tapauksista, mikä vähentää oppimiskäyrää ja auttaa estämään tapahtumia, jotka voisivat aiheuttaa sakkoja tai vahinkoa maineelle.
Mihin asti ulkoistetun DPO:n vastuu ulottuu
On tärkeää korostaa, että ulkoistaminen ei vapauta organisaatiota sen laillisista vastuista. Ajatuksena on, että yritys pitää kiinni sitoumuksestaan varmistaa keräämiensä ja käsittelemänsä tietojen turvallisuus, sillä brasilialainen lainsäädäntö tekee selväksi, että vastuu tapahtumista ei ole vain vastuuhenkilön harteilla, mutta koko instituutiosta.
Mitä ulkoistaminen tekee, on tarjota ammattimaista tukea, joka ymmärtää tarvittavat polut organisaation pitämiseksi linjassa LGPD:n kanssa. Tämän tyyppisten tehtävien delegoiminen ulkopuoliselle kumppanille on jo käytössä muissa maissa, missä tietosuojasta on tullut kriittinen ris management ja yrityshallinta. Euroopan unioni, esimerkiksi, yleinen tietosuoja-asetus, vaatii monia yrityksiä nimeämään tietosuojavastaavan. Siellä, useat yritykset ovat valinneet ulkoistaa palvelun palkkaamalla erikoistuneita konsulttiyrityksiä, tuoden senasiantuntemussisällä talossa, ilman että tarvitsee luoda koko osasto tätä varten.
Vastaava, lain mukaan, täytyy olla autonomia raportoida virheitä ja ehdottaa parannuksia, ja kansainväliset ohjeet ehdottavat, että ammattilaisen tulisi olla vapaa sisäisistä paineista, jotka rajoittavat hänen valvontakykyään. Konsultointiyritykset, jotka tarjoavat tätä palvelua, laativat sopimuksia ja työmenetelmiä, jotka varmistavat tämän tyyppisen itsenäisyyden, ylläpitämällä avointa viestintää johtajien kanssa ja asettamalla selkeät hallintokriteerit.
Tämä mekanismi suojaa sekä yritystä että itse ammattilaista, että on tarpeen olla vapautta ilmoittaa haavoittuvuuksista, vaikka se menisi ristiriitaan vakiintuneiden käytäntöjen kanssa tietyssä sektorissa tai osastolla.
ANPD:n valvonnan tehostaminen on merkki siitä, että suvaitsevaisuuden aikakausi on väistymässä tiukemman asenteen tieltä, ja ne, joka valitsee olla käsittelemättä tätä ongelmaa nyt, voi kohdata vakavampia seurauksia ei kovin kaukaisessa tulevaisuudessa.
Yrityksille, jotka haluavat turvallisemman polun, ulkoistaminen on valinta, joka voi tasapainottaa kustannuksia, tehokkuus ja luotettavuus. Tämän tyyppisellä kumppanuudella, on mahdollista korjata puutteita sisäisessä ympäristössä ja rakentaa compliance-rutiini, joka suojaa yritystä sekä sanktioilta että riskeiltä, jotka liittyvät läpinäkyvyyden ja tietoturvan puutteeseen henkilötiedoissa, jotka ovat sen vastuulla.
