Meskipun setelah bertahun-tahun sejak penerapan Undang-Undang Perlindungan Data Umum (LGPD) di Brasil, banyak perusahaan terus melanggar norma. LGPD, yang mulai berlaku pada September 2020, dibuat dengan tujuan melindungi data pribadi warga negara Brasil, menetapkan aturan yang jelas tentang bagaimana perusahaan harus mengumpulkan, menyimpan dan mengolah informasi ini. Namun, meskipun waktu yang telah berlalu, banyak perusahaan maju sedikit dalam penerapan norma.
Baru-baru ini, Otoritas Nasional Perlindungan Data (ANPD) telah meningkatkan pengawasan terhadap perusahaan yang tidak memiliki petugas data, juga dikenal sebagai Pejabat Perlindungan Data (DPO). Ketiadaan DPO adalah salah satu pelanggaran utama yang teridentifikasi, karena profesional ini sangat penting untuk memastikan bahwa perusahaan mematuhi LGPD. DPO bertindak sebagai perantara antara perusahaan, pemilik data dan ANPD, bertanggung jawab untuk memantau kepatuhan terhadap kebijakan perlindungan data dan untuk memberikan arahan kepada organisasi tentang praktik terbaik.
Dan data ini mungkin hanya "puncak gunung es". Sebenarnya, tidak ada yang tahu berapa banyak perusahaan yang belum mematuhi norma tersebut. Tidak ada survei resmi tunggal yang mengkonsolidasikan angka pasti dari semua perusahaan yang tidak mematuhi LGPD Penelitian independen menunjukkan bahwa, secara umum, persentase dapat bervariasi antara 60% dan 70% dari perusahaan Brasil, terutama di antara yang kecil dan menengah. Dalam hal yang besar, angka itu bahkan lebih besar, dapat mencapai 80%.
Mengapa tidak adanya DPO membuat perbedaan
Pada tahun 2024, pasti Brasil telah melampaui jumlah 700 juta serangan oleh penjahat siber. Diperkirakan terjadi hampir 1.400 pukulan per menit dan, jelas, perusahaan adalah target utama para para penjahat. Kejahatan seperti ransomware – di mana biasanya data menjadi "sandera" dan bahwa, agar agar tidak dipublikasikan secara online, perusahaan harus membayar sejumlah besar uang, menjadi hal yang biasa. Tapi sampai kapan sistem – korban dan perusahaan asuransi – akan mendukung volume serangan sebesar itu?
Tidak ada cara untuk menjawab pertanyaan ini dengan cara yang tepat, apalagi ketika para korban itu sendiri berhenti mengambil tindakan yang diperlukan untuk melindungi informasi. Kurangnya seorang profesional yang fokus pada perlindungan data atau, dalam beberapa situasi, ketika orang yang diduga bertanggung jawab atas area tersebut mengumpulkan begitu banyak fungsi sehingga tidak dapat menjalankan aktivitas ini dengan memuaskan, memperburuk situasi ini lebih lanjut.
Tentu saja penunjukan seorang penanggung jawab, dengan sendirinya, tidak menyelesaikan semua tantangan kesesuaian, tetapi menunjukkan bahwa perusahaan berkomitmen untuk menyusun serangkaian praktik yang sesuai dengan LGPD. Sementara, kekurangan prioritas ini tidak hanya berdampak pada kemungkinan sanksi, tetapi juga dalam risiko nyata insiden keamanan, yang akan menghasilkan kerugian yang cukup besar. Denda yang diterapkan oleh ANPD hanyalah sebagian dari masalah, karena kerugian tidak berwujud, bagaimana kepercayaan pasar, bisa menjadi lebih menyakitkan lagi. Dalam panorama ini, pengawasan yang lebih intensif dipandang sebagai tindakan yang diperlukan untuk memperkuat mekanisme kepatuhan terhadap peraturan dan mendorong organisasi untuk menempatkan privasi pemilik di agenda.
Mengontrak DPO atau mengalihdayakan?
Merekrut DPO penuh waktu bisa menjadi tugas yang rumit, karena tidak selalu ada permintaan atau minat untuk mengalokasikan sumber daya internal untuk permintaan ini.
Dalam pengertian ini, outsourcing telah dianggap sebagai solusi bagi perusahaan yang ingin mematuhi peraturan dengan efektif, tetapi tidak memiliki struktur besar atau sumber daya untuk mempertahankan tim multidisipliner yang fokus pada perlindungan data. Ketika menggunakan penyedia layanan yang spesialis, perusahaan mendapatkan akses ke profesional yang memiliki lebih banyak pengalaman untuk menangani persyaratan LGPD di berbagai sektor pasar. Selain itu, dengan seorang pihak ketiga, perusahaan mulai memandang perlindungan data sebagai sesuatu yang terintegrasi dalam strategi, alih-alih menjadi masalah yang hanya mendapat perhatian saat menerima pemberitahuan atau ketika terjadi kebocoran.
Ini berkontribusi pada penciptaan proses yang kuat tanpa perlu investasi besar dalam perekrutan, pelatihan dan retensi bakat. Outsourcing pengelola data lebih dari sekadar menunjuk seseorang dari luar. Penyedia biasanya memberikan konsultasi berkelanjutan, melakukan kegiatan pemetaan dan analisis risiko, membantu dalam penyusunan kebijakan internal, melakukan pelatihan untuk tim dan memantau perkembangan peraturan perundang-undangan dan norma ANPD.
Selain itu, ada keuntungan memiliki tim yang sudah memiliki pengalaman dalam kasus praktis, apa yang mengurangi kurva pembelajaran dan membantu mencegah insiden yang dapat menyebabkan denda atau kerusakan reputasi.
Sejauh mana tanggung jawab DPO yang dialihdayakan?
Penting untuk dicatat bahwa outsourcing tidak membebaskan organisasi dari tanggung jawab hukumnya. Ideanya adalah perusahaan menjaga komitmen untuk menjamin keamanan data yang dikumpulkan dan diproses, karena undang-undang Brasil menjelaskan bahwa tanggung jawab atas insiden tidak hanya terletak pada pengawas, tetapi tentang institusi secara keseluruhan.
Apa yang dilakukan oleh outsourcing adalah menawarkan dukungan yang profesional, yang memahami langkah-langkah yang diperlukan untuk menjaga organisasi tetap sesuai dengan LGPD. Praktik mendelegasikan jenis tugas ini kepada mitra eksternal sudah diterapkan di negara lain, di mana perlindungan data telah menjadi titik kritis dalam manajemen risiko dan tata kelola perusahaan. Uni Eropa, misalnya, dengan Peraturan Umum Perlindungan Data, mengharuskan banyak perusahaan untuk menunjuk seorang petugas perlindungan data. Di sana, berbagai perusahaan memilih untuk mengalihdayakan layanan dengan menyewa konsultan yang berspesialisasi, membawa kekeahlianuntuk "di dalam rumah", tanpa perlu membuat seluruh departemen untuk itu.
Penanggung jawab, sesuai dengan perundang-undangan, perlu memiliki otonomi untuk melaporkan kegagalan dan mengusulkan perbaikan, dan bagian dari pedoman internasional menyarankan bahwa profesional harus bebas dari tekanan internal yang membatasi kemampuan pengawasannya. Konsultasi yang menawarkan layanan ini mengembangkan kontrak dan metodologi kerja yang memastikan jenis independensi ini, mempertahankan komunikasi yang transparan dengan para pengelola dan menetapkan kriteria yang jelas untuk tata kelola.
Mekanisme ini melindungi baik perusahaan maupun profesional itu sendiri, yang perlu memiliki kebebasan untuk menunjukkan kerentanan meskipun hal itu bertentangan dengan praktik yang sudah mapan di sektor atau departemen tertentu.
Peningkatan pengawasan ANPD adalah tanda bahwa situasi toleransi sedang memberi tempat pada sikap yang lebih tegas, dan siapa yang memilih untuk tidak menangani masalah ini sekarang mungkin akan menghadapi konsekuensi yang lebih berat di masa depan yang tidak terlalu jauh.
Untuk perusahaan yang menginginkan jalur yang lebih aman, outsourcing adalah pilihan yang dapat menyeimbangkan biaya, efisiensi dan keandalan. Dengan jenis kemitraan ini, adalah mungkin untuk memperbaiki kekurangan di lingkungan internal dan menyusun rutinitas kepatuhan yang akan melindungi perusahaan dari sanksi serta risiko yang terkait dengan kurangnya transparansi dan keamanan terkait data pribadi yang berada di bawah tanggung jawabnya.
