גם לאחר tantos שנים מאז יישום חוק הגנת הפרטיות בברזיל, רבות מהחברות ממשיכות להפר את התקנה. ה-LGPD, שנכנס לתוקף בספטמבר 2020, נוצרה במטרה להגן על הנתונים האישיים של האזרחים הברזילאים, קביעת כללים ברורים כיצד חברות צריכות לאסוף, לאחסן ולטפל במידע הזה. עם זאת, למרות הזמן שחלף, רבות מהחברות התקדמו מעט ביישום התקן.
לאחרונה, הרשות הלאומית להגנת נתונים (ANPD) הגברה את הפיקוח על חברות שאין להן ממונה על נתונים, גם ידוע כקצין הגנת נתונים (DPO). היעדר DPO הוא אחת ההפרות העיקריות שזוהו, מאחר שהמקצוען הזה חיוני להבטיח שהחברה תהיה בתיאום עם ה-LGPD. הממונה על הגנת המידע פועל כמתווך בין החברה, המחזיקים בנתונים וה-ANPD, אחראי על ניטור יישום מדיניות הגנת המידע ועל הכוונת הארגון לגבי הפרקטיקות הטובות ביותר.
והנתונים הללו יכולים להיות רק "קצה הקרחון". במציאות, אף אחד לא יודע מהו מספר החברות שעדיין לא הצטרפו לתקנה. אין נתון רשמי אחד שמרכז את המספרים המדויקים של כל החברות שאינן מצייתות ל-LGPD מחקרים עצמאיים מצביעים על כך ש, במונחים כלליים, האחוז יכול לנוע בין 60% ל-70% מהחברות הברזילאיות, במיוחד בין העסקים הקטנים והבינוניים. במקרה של הגדולים, המספר גדול עוד יותר, יכול להגיע ל-80%.
למה חוסר בממונה על הגנת המידע עושה הבדל
ב-2024, בהחלט ברזיל חצתה את המספר של 700 מיליון התקפות של פושעי סייבר. מוערך שכמעט 1 יתרחשו.400 מכות בדקה ו, ברור, החברות הן המטרות העיקריות של הפושעים. פשעי כופר – לאיזה בדרך כלל הנתונים הופכים ל"חטופים" ושה, כדי שלא יתפרסמו באינטרנט, החברות צריכות לשלם סכום כספי עצום, הפכו לשגרתיים. אבל עד מתי המערכת – הקורבנות והביטוחים – יוכלו לתמוך בנפח כזה של התקפות?
אין דרך לענות על השאלה הזו בצורה מתאימה, עוד יותר כאשר הקורבנות עצמם מפסיקים לנקוט בפעולות הנדרשות להגנה על המידע. חסרונו של מקצוען המתמקד בהגנת נתונים או, בכמה מצבים, כאשר האדם המיועד לתפקיד מצטבר עליו כל כך הרבה תפקידים שהוא לא מצליח לבצע את המשימה הזו בצורה מספקת, מחמיר עוד יותר את המצב הזה.
ברור שהמינוי של אחראי, בעצמו, לא פותר את כל האתגרים של ההתאמה, אבל זה מראה שהחברה מחויבת לבנות סט של פרקטיקות תואמות ל-LGPD. בינתיים, חוסר העדפה הזה לא משקף רק אפשרות של סנקציות, אבל גם בסיכונים אמיתיים של תקריות אבטחה, שיגרמו להפסד ניכר. הקנסות שהטילה ה-ANPD הם רק חלק מהבעיה, כי ההפסדים הבלתי מוחשיים, כיצד האמון בשוק, יכולות להיות אפילו יותר כואבות. במבט הזה, הפיקוח המוגבר נתפס כצעד הכרחי לחיזוק המנגנונים לאכיפת החקיקה ולעודד את הארגונים לשים את פרטיות בעלי המידע על סדר היום.
לשכור DPO או להאציל?
שכירת DPO במשרה מלאה יכולה להיות משימה מסובכת, כי לא תמיד יש את הביקוש או העניין להקצות משאבים פנימיים לביקוש הזה.
במובן הזה, המיקור החוץ מצביעים עליו כעל פתרון לחברות המעוניינות לעמוד בחוק בצורה אפקטיבית, אבל אין להם מבנה גדול או משאבים לשמור על צוות רב-תחומי המוקדש להגנת נתונים. כאשר פונים לספק שירותים מיוחד, החברה מקבלת גישה למקצוענים שיש להם יותר ניסיון בהתמודדות עם דרישות ה-LGPD במגוון תחומים בשוק. בנוסף לכך, עם אחראי חיצוני החברה מתחילה לראות את הגנת המידע כמשהו משולב באסטרטגיה, במקום בעיה נקודתית שמקבלת תשומת לב רק כשמגיעה הודעה או כשמתרחשת דליפה.
זה תורם ליצירת תהליכים חזקים מבלי שיהיה צורך בהשקעה גדולה בגיוס, הכשרה ושימור כישרונות. המיקור החוץ של אחראי הנתונים חורג מעבר למינוי פשוט של אדם מבחוץ. הספק נוהג לספק ייעוץ מתמשך, ביצוע פעילויות מיפוי וניתוח סיכונים, סיוע בניתוח מדיניות פנימית, מנחה הכשרות לצוותים ומעקב אחרי התפתחות החקיקה והתקנות של ה-ANPD.
בנוסף לכך, יש יתרון בכך שיש צוות שכבר יש לו ניסיון במקרים מעשיים, מה שמפחית את עקומת הלמידה ועוזר למנוע תקריות שיכולות לגרום לקנסות או נזק למוניטין.
עד היכן מגיעה האחריות של DPO חיצוני
חשוב להדגיש שההתקשרות עם קבלני משנה אינה פוטרת את הארגון מאחריותו החוקית. הרעיון הוא שהחברה תשמור על המחויבות להבטיח את בטיחות הנתונים שהיא אוספת ומעבדת, כי החקיקה הברזילאית ברורה שהאחריות על תקריות אינה נופלת רק על הממונה, אבל על המוסד כולו.
מה שההתקשרות החיצונית עושה זה להציע תמיכה מקצועית, שמבין את הדרכים הנדרשות לשמור על הארגון בקו עם ה-LGPD. הפרקטיקה של האצלת סוג כזה של משימות לשותף חיצוני כבר מאומצת במדינות אחרות, איפה שהגנת נתונים הפכה לנקודת מפתח בניהול סיכונים ובתאגידים. האיחוד האירופי, למשל, עם תקנות הגנת המידע הכלליות, דורש מ-many חברות למנות אחראי על הגנת נתונים. שם, מספר חברות בחרו במיקור חוץ של השירות עם העסקת ייעוצים מיוחדים, מביא אתמומחיותבתוך הבית, בלי צורך ליצור מחלקה שלמה בשביל זה.
הממונה, על פי החקיקה, צריך להיות אוטונומיה לדווח על תקלות ולהציע שיפורים, וחלק מההנחיות הבינלאומיות מציע שהמקצוען צריך להיות חופשי מלחצים פנימיים המגבילים את יכולתו לפקח. היועצים המציעים שירות זה מפתחים חוזים ומתודולוגיות עבודה המבטיחות סוג זה של עצמאות, שימור תקשורת שקופה עם המנהלים והקמת קריטריונים ברורים לממשלת תאגידים.
המנגנון הזה מגן הן על החברה והן על המקצוען עצמו, שצריך להיות חופשי לציין פגיעויות גם אם זה נגד פרקטיקות מבוססות בתוך תחום או מחלקה מסוימת.
החמרת הפיקוח של ה-ANPD היא סימן לכך שסצנת הסובלנות מפנה מקום לעמדה נחרצת יותר, ומי שיבחר לא לטפל בבעיה הזו עכשיו עלול להתמודד עם השלכות כבדות יותר בעתיד לא רחוק.
לעסקים שמעוניינים בדרך בטוחה יותר, המיקור החוץ הוא בחירה שיכולה לאזן עלויות, יעילות ואמינות. עם סוג כזה של שותפות, אפשר לתקן פערים בסביבה הפנימית ולבנות שגרת ציות שתגן על החברה הן מה sanctions והן מהסיכונים הקשורים לחוסר שקיפות וביטחון לגבי הנתונים האישיים שנמצאים תחת אחריותה.
