Bahkan setelah bertahun-tahun sejak penerapan Undang-Undang Perlindungan Data Umum (LGPD) di Brazil, banyak perusahaan terus gagal mematuhi aturan tersebut. LGPD, yang mulai berlaku pada September 2020, dibuat dengan tujuan melindungi data pribadi warga negara Brasil, menetapkan aturan yang jelas tentang bagaimana perusahaan harus mengumpulkan, menyimpan, dan memproses informasi ini. Akan tetapi, meskipun waktu telah berlalu, banyak perusahaan yang hanya membuat sedikit kemajuan dalam penerapan standar tersebut.
Baru-baru ini, Otoritas Perlindungan Data Nasional (ANPD) telah mengintensifkan pemantauannya terhadap perusahaan yang tidak memiliki manajer data, yang juga dikenal sebagai Petugas Perlindungan Data (DPO). Tidak adanya DPO merupakan salah satu pelanggaran utama yang teridentifikasi, karena profesional ini penting untuk memastikan bahwa perusahaan mematuhi LGPD. DPO bertindak sebagai perantara antara perusahaan, subjek data, dan ANPD, yang bertanggung jawab untuk memantau kepatuhan terhadap kebijakan perlindungan data dan membimbing organisasi tentang praktik terbaik.
Dan data ini mungkin hanya “puncak gunung es”. Kenyataannya, tidak seorang pun tahu berapa banyak perusahaan yang belum mengadopsi standar tersebut. Tidak ada satu pun survei resmi yang mengkonsolidasikan jumlah pasti semua perusahaan yang tidak mematuhi LGPD. Riset independen menunjukkan bahwa, secara umum, persentasenya dapat bervariasi antara 60% dan 70% dari perusahaan Brasil, terutama di antara perusahaan kecil dan menengah. Dalam kasus perusahaan besar, jumlahnya bahkan lebih tinggi, mencapai 80%.
Mengapa tidak adanya DPO membuat perbedaan
Pada tahun 2024, Brasil pasti akan melampaui jumlah 700 juta serangan kejahatan dunia maya. Diperkirakan hampir 1.400 penipuan terjadi setiap menit dan, tentu saja, perusahaan merupakan target utama para penjahat. Kejahatan seperti ransomware – di mana data sering kali disandera dan perusahaan harus membayar sejumlah besar uang untuk mencegah data tersebut dipublikasikan secara daring – telah menjadi hal yang biasa. Namun, berapa lama sistem – para korban dan pihak asuransi – mampu menahan serangan sebanyak itu?
Tidak ada cara untuk menjawab pertanyaan ini dengan tepat, terutama ketika korban sendiri gagal mengambil tindakan yang diperlukan untuk melindungi informasi. Kurangnya profesional yang berfokus pada perlindungan data atau, dalam beberapa situasi, ketika orang yang seharusnya bertanggung jawab atas area tersebut memiliki begitu banyak fungsi sehingga ia tidak dapat menjalankan aktivitas ini dengan memuaskan, membuat situasi ini menjadi semakin buruk.
Tentu saja, menunjuk seseorang yang bertanggung jawab tidak dengan sendirinya menyelesaikan semua tantangan kepatuhan, tetapi hal itu menunjukkan bahwa perusahaan berkomitmen untuk menyusun serangkaian praktik yang konsisten dengan LGPD. Namun, kurangnya prioritas ini tidak hanya mencerminkan kemungkinan sanksi, tetapi juga risiko nyata terjadinya insiden keamanan, yang akan menimbulkan kerugian besar. Denda yang dijatuhkan oleh ANPD hanyalah sebagian dari masalah, karena kerugian yang tidak berwujud, seperti kepercayaan pasar, bisa lebih menyakitkan. Dalam skenario ini, pemantauan yang lebih intensif dipandang sebagai tindakan yang diperlukan untuk memperkuat mekanisme kepatuhan terhadap undang-undang dan mendorong organisasi untuk memasukkan privasi subjek data dalam agenda.
Mempekerjakan DPO atau melakukan outsourcing?
Mempekerjakan DPO penuh waktu dapat menjadi tugas yang rumit, karena tidak selalu ada permintaan atau minat untuk mengalokasikan sumber daya internal untuk permintaan ini.
Dalam hal ini, outsourcing telah disorot sebagai solusi bagi perusahaan yang ingin mematuhi perundang-undangan secara efektif, tetapi tidak memiliki struktur atau sumber daya yang besar untuk mempertahankan tim multidisiplin yang berfokus pada perlindungan data. Ketika menggunakan penyedia layanan khusus, perusahaan memperoleh akses ke profesional yang memiliki lebih banyak pengalaman dalam menangani persyaratan LGPD di berbagai sektor pasar. Lebih jauh lagi, dengan adanya penanggung jawab eksternal, perusahaan mulai memandang perlindungan data sebagai sesuatu yang terintegrasi ke dalam strategi, bukan sebagai masalah satu kali yang hanya mendapat perhatian saat pemberitahuan tiba atau saat terjadi kebocoran.
Hal ini berkontribusi pada terciptanya proses yang kuat tanpa memerlukan investasi besar dalam perekrutan, pelatihan, dan mempertahankan bakat. Pengalihdayaan petugas data bukan hanya sekadar penunjukan orang luar. Penyedia biasanya memberikan konsultasi berkelanjutan, melaksanakan kegiatan pemetaan dan analisis risiko, membantu dalam pengembangan kebijakan internal, melaksanakan pelatihan untuk tim dan memantau evolusi undang-undang dan peraturan ANPD.
Lebih jauh lagi, ada keuntungan memiliki tim yang sudah memiliki pengalaman dalam kasus-kasus praktis, yang mengurangi kurva pembelajaran dan membantu mencegah insiden yang dapat menimbulkan denda atau kerusakan reputasi.
Sejauh mana tanggung jawab DPO yang dialihdayakan?
Penting untuk digarisbawahi bahwa outsourcing tidak membebaskan organisasi dari tanggung jawab hukumnya. Idenya adalah bahwa perusahaan tersebut mempertahankan komitmennya untuk menjamin keamanan data yang dikumpulkannya dan diprosesnya, karena undang-undang Brasil menjelaskan dengan jelas bahwa tanggung jawab atas insiden tidak hanya dibebankan kepada orang yang bertanggung jawab, tetapi juga kepada lembaga secara keseluruhan.
Yang dilakukan outsourcing adalah menawarkan dukungan profesional, yang memahami jalur yang diperlukan untuk menjaga organisasi tetap sejalan dengan LGPD. Praktik mendelegasikan tugas jenis ini kepada mitra eksternal telah diadopsi di negara lain, di mana perlindungan data telah menjadi titik penting manajemen risiko dan tata kelola perusahaan. Uni Eropa, misalnya, dengan Peraturan Perlindungan Data Umum, mengharuskan banyak perusahaan untuk menunjuk petugas perlindungan data. Di sana, beberapa perusahaan memilih untuk melakukan outsourcing layanan dengan mempekerjakan konsultan khusus, sehinggakeahlianuntuk “in-house”, tanpa harus membuat seluruh departemen untuk ini.
Orang yang bertanggung jawab, menurut undang-undang, harus memiliki otonomi untuk melaporkan kegagalan dan mengusulkan perbaikan, dan bagian dari pedoman internasional menyarankan bahwa profesional harus bebas dari tekanan internal yang membatasi kapasitas inspeksi mereka. Perusahaan konsultan yang menawarkan layanan ini mengembangkan kontrak dan metodologi kerja yang memastikan jenis independensi ini, menjaga komunikasi yang transparan dengan manajer dan menetapkan kriteria tata kelola yang jelas.
Mekanisme ini melindungi perusahaan dan profesional, yang perlu memiliki kebebasan untuk menunjukkan kerentanan bahkan jika hal ini bertentangan dengan praktik terpadu dalam sektor atau departemen tertentu.
Meningkatnya pengawasan ANPD merupakan tanda bahwa skenario toleransi mulai memberi jalan kepada sikap yang lebih tegas, dan mereka yang memilih untuk tidak mengatasi masalah ini sekarang mungkin akan menghadapi konsekuensi yang lebih berat dalam waktu yang tidak terlalu lama.
Bagi perusahaan yang menginginkan jalur yang lebih aman, outsourcing merupakan pilihan yang mampu menyeimbangkan biaya, efisiensi, dan keandalan. Dengan jenis kemitraan ini, adalah mungkin untuk memperbaiki kesenjangan dalam lingkungan internal dan menyusun rutinitas kepatuhan yang akan melindungi perusahaan dari sanksi dan risiko yang terkait dengan kurangnya transparansi dan keamanan sehubungan dengan data pribadi yang menjadi tanggung jawabnya.
