Čak i nakon toliko godina od implementacije Opće uredbe o zaštiti podataka (LGPD) u Brazilu, mnoge tvrtke i dalje ne poštuju normu. LGPD, koji je stupio na snagu u rujnu 2020, stvorena je s ciljem zaštite osobnih podataka brazilskih građana, uspostavljanje jasnih pravila o tome kako tvrtke trebaju prikupljati, pohranjivati i obrađivati te informacije. Međutim, unatoč proteklom vremenu, mnoge tvrtke su malo napredovale u provedbi norme.
Nedavno, Nacionalna uprava za zaštitu podataka (ANPD) pojačala je nadzor nad tvrtkama koje nemaju službenika za zaštitu podataka, također poznat kao službenik za zaštitu podataka (DPO). Nedostatak DPO-a jedna je od glavnih uočenih povreda, budući da je ovaj stručnjak ključan za osiguranje usklađenosti tvrtke s LGPD-om. DPO djeluje kao posrednik između tvrtke, nositelji podataka i ANPD, biti odgovoran za praćenje usklađenosti s politikama zaštite podataka i za usmjeravanje organizacije o najboljim praksama.
I ti podaci mogu biti samo "vrh ledenog brijega". U stvarnosti, nitko ne zna koliko je tvrtki još uvijek nije prihvatilo normu. Ne postoji jedinstvena službena procjena koja konsolidira točne brojke svih poduzeća koja se ne pridržavaju LGPD-a Nezavisna istraživanja ukazuju da, u općim uvjetima, postotak može varirati između 60% i 70% brazilskih tvrtki, posebno među malim i srednjim poduzećima. U slučaju velikih, broj je još veći, mogući do 80%.
Zašto nedostatak DPO-a čini razliku
U 2024, sigurno je da je Brazil prešao broj od 700 milijuna napada kibernetičkih kriminalaca. Procjenjuje se da se dogodi gotovo 1.400 udaraca u minuti i, naravno, tvrtke su glavne mete kriminalaca. Zločini poput ransomwarea – u kojem podaci obično postaju "taoci" i koji, da ne budu objavljeni online, tvrtke moraju platiti ogroman iznos novca, postali su postali uobičajeni. Ali do kada sistem – žrtve i osiguravajuća društva – će podržati takav volumen napada?
Nema načina da se na to pitanje odgovori na odgovarajući način, još više kada same žrtve prestanu poduzimati potrebne mjere za zaštitu informacija. Nedostatak stručnjaka fokusiranog na zaštitu podataka ili, u nekim situacijama, kada navodni odgovorni za područje akumulira toliko funkcija da ne može obavljati tu aktivnost na zadovoljavajući način, dodatno pogoršava ovu situaciju.
Naravno da je imenovanje odgovorne osobe, sama po sebi, ne rješava sve izazove prilagodbe, ali pokazuje da je kompanija posvećena uspostavljanju skupa praksi koje su u skladu sa LGPD-om. Međutim, ta nedostatak prioritizacije ne odražava se samo na mogućnost sankcija, ali i u stvarnim rizicima od sigurnosnih incidenata, koji će uzrokovati značajan gubitak. Kazne koje izriče ANPD samo su dio problema, pois as perdas intangíveis, kako povjerenje tržišta, mogu biti još bolnije. U tom kontekstu, intenzivnija kontrola se smatra potrebnom akcijom za jačanje mehanizama za sprovođenje zakona i poticanje organizacija da stave privatnost nositelja podataka u fokus.
Zapošljavanje DPO-a ili outsourcing?
Zapošljavanje DPO-a na puno radno vrijeme može biti kompliciran zadatak, jer ne postoji uvijek potražnja ili interes za alokaciju internih resursa za tu potražnju.
U tom smislu, outsourcing se navodi kao rješenje za tvrtke koje žele učinkovito ispuniti zakonodavne obveze, ali nemaju veliku strukturu ili resurse za održavanje multidisciplinarnog tima usmjerenog na zaštitu podataka. Kada se obraća specijaliziranom pružatelju usluga, tvrtka dobiva pristup stručnjacima koji imaju više iskustva u upravljanju zahtjevima LGPD-a u različitim sektorima tržišta. Osim toga, s vanjskim odgovornim osoba tvrtka počinje gledati na zaštitu podataka kao na nešto integrirano u strategiju, um um problem koji se ne rješava samo kada dođe obavijest ili kada dođe do curenja.
To doprinosi stvaranju robusnih procesa bez potrebe za velikim ulaganjem u zapošljavanje, obuka i zadržavanje talenata. Outsourcing povjerenika za podatke ide dalje od jednostavnog imenovanja osobe izvana. Pružatelj obično pruža kontinuirano savjetovanje, provođenje aktivnosti mapiranja i analize rizika, pomažući u izradi unutarnjih politika, provodeći obuke za timove i prateći evoluciju zakonodavstva i propisa ANPD.
Osim toga, ima prednost imati tim koji već ima iskustva u praktičnim slučajevima, što smanjuje krivulju učenja i pomaže u sprječavanju incidenata koji bi mogli uzrokovati kazne ili štetu reputaciji.
Dokle ide odgovornost vanjskog DPO-a
Važno je istaknuti da outsourcing ne oslobađa organizaciju njenih zakonskih obaveza. Ideja je da tvrtka zadrži obvezu osigurati sigurnost podataka koje prikuplja i obrađuje, jer je brazilska legislativa jasno naglašava da odgovornost za incidente ne leži samo na zaduženoj osobi, ali o instituciji kao cjelini.
Što outsourcing radi je pružanje profesionalne podrške, koji razumije potrebne putove za održavanje organizacije u skladu s LGPD-om. Praksa delegiranja ove vrste zadatka vanjskom partneru već se primjenjuje u drugim zemljama, gdje je zaštita podataka postala kritična točka upravljanja rizicima i korporativnog upravljanja. Europska unija, na primjer, s Općom uredbom o zaštiti podataka, traži da mnoge tvrtke imenuju službenika za zaštitu podataka. Tamo, različite tvrtke odlučile su se za vanjske usluge angažiranjem specijaliziranih konzultantskih tvrtki, donoseći nastručnostza "unutar kuće", bez potrebe za stvaranjem cijelog odjela za to.
Nadležna osoba, prema zakonu, mora imati autonomiju za prijavu grešaka i predlaganje poboljšanja, i dio je da međunarodne smjernice sugeriraju da profesionalac treba biti slobodan od unutarnjih pritisaka koji ograničavaju njegovu sposobnost nadzora. Konzultantske tvrtke koje nude ovu uslugu razvijaju ugovore i metodologije rada koje osiguravaju ovu vrstu neovisnosti, održavajući transparentnu komunikaciju s menadžerima i uspostavljajući jasne kriterije upravljanja.
Ovaj mehanizam štiti i kompaniju i samog profesionalca, da treba imati slobodu ukazivati na ranjivosti čak i ako to ide protiv ustaljenih praksi unutar određenog sektora ili odjela.
Intenziviranje nadzora ANPD-a znak je da se scenarij tolerancije ustupa mjesto čvršćem stavu, i tko se odluči ne baviti ovim problemom sada može se suočiti s težim posljedicama u ne tako dalekoj budućnosti.
Za tvrtke koje žele sigurniji put, outsourcing je izbor koji može uravnotežiti troškove, efikasnost i pouzdanost. S ovim tipom partnerstva, moguće je ispraviti praznine u unutarnjem okruženju i strukturirati rutinu usklađenosti koja će zaštititi tvrtku od sankcija kao i od rizika povezanih s nedostatkom transparentnosti i sigurnosti u vezi s osobnim podacima koji su pod njenom odgovornošću.
