Þrátt fyrir að mörg ár séu liðin frá innleiðingu almennu persónuverndarlaga (LGPD) í Brasilíu, margar fyrirtæki halda áfram að brjóta regluna. LGPD, semptember 2020, var stofnað með það að markmiði að vernda persónuupplýsingar brasilískra borgara, að setja skýrar reglur um hvernig fyrirtæki skulu safna, geyma og meðhöndla þessar upplýsingar. Engu skiptir máli, þrátt fyrir liðinn tíma, margar fyrirtæki hafa aðeins farið lítið fram í innleiðingu reglunnar.
Nýlega, Þjóðaröryggisstofnunin (ANPD) hefur aukið eftirlit með fyrirtækjum sem hafa ekki gögn ábyrgðarmann, einnig þekktur sem persónuverndarsérfræðingur (DPO). Skortur á DPO er ein af helstu brotum sem greindust, þar sem þessi fagmaður er nauðsynlegur til að tryggja að fyrirtækið sé í samræmi við LGPD. DPO starfa sem milliliður milli fyrirtækisins, gagnahafarar og ANPD, vera ábyrgð á að fylgjast með framkvæmd persónuverndarstefnunnar og leiðbeina stofnuninni um bestu venjur.
Og þessir gögn geta aðeins verið „toppurinn á ísjakanum“. Í rauninni, enginn veit ekki hversu margar fyrirtæki hafa enn ekki tekið upp regluna. Ekki er til neinn opinber skýrsla sem samþættir nákvæm tölur um allar fyrirtæki sem fylgja ekki LGPD Óháðar rannsóknir benda til þess að, í heildina litið, hlutfallið getur verið á milli 60% og 70% af brasilískum fyrirtækjum, sérstaklega meðal smá og meðalstórra fyrirtækja. Í tilfelli stórra, talanum er enn stærra, geta allt að 80%.
Hvers vegna skortur á DPO skiptir máli
Árið 2024, vissulega hefur Brasilía farið yfir 700 milljónir árása frá netglæpamönnum. Áætlað er að gerist næstum 1.400 högg á mínútu og, augljós, fyrirtækin eru aðalmarkmið glæpamanna. Brott eins og ransomware – í því sem gögnin verða yfirleitt "gísl" og að, til að þau séu ekki birt á netinu, fyrirtækin þurfa að greiða gríðarlega fjárhæð, urðu algengir. Enn hvað lengi kerfið – þolendur og tryggingarfélögin – munuðu þola slíka árásar magn?
Það er ekki hægt að svara þessari spurningu á viðeigandi hátt, enn meira þegar sjálfar fórnarlömbin hætta að grípa til nauðsynlegra aðgerða til að vernda upplýsingarnar. Skortur á sérfræðingi sem einbeitir sér að gagnavernd eða, í nokkrum aðstæðum, þegar hinn áætlaði ábyrgðarmaður á sviðinu safnar saman svo mörgum verkefnum að hann getur ekki sinnt þessari starfsemi á fullnægjandi hátt, versar enn meira þessa aðstæður.
Auðvitað er tilnefning á ábyrgðarmanni, eina sjálf, leysir ekki öll aðlögunartengd vandamál, en sýnir að fyrirtækið er skuldbundið til að byggja upp safn af aðferðum sem eru í samræmi við LGPD. Þó að, þessi skortur á forgangsröðun endurspeglar ekki aðeins möguleika á refsingu, en einnig raunverulegum áhættum á öryggisatvikum, sem að munu valda verulegu tapi. Sektin semjafluttan sem ANPD beitir eru aðeins hluti af vandamálinu, því að óáþreifanlegu tapin, eins og traust markaðarins, geta enn frekar sárar. Í þessu samhengi, stærri eftirlit er litið á sem nauðsynleg aðgerð til að styrkja framkvæmd laganna og hvetja stofnanir til að setja einkalíf eigenda í forgang.
Að ráða DPO eða útvista?
Að ráða DPO í fullu starfi getur verið flókið verkefni, því að það er ekki alltaf eftirspurn eða áhugi á að úthluta innri auðlindum til þessarar eftirspurnar.
Í þessu samhengi, úthýsing hefur verið bent á sem lausn fyrir fyrirtæki sem vilja uppfylla löggjöfina á árangursríkan hátt, en þó að þau hafi ekki aðgang að mikilli uppbyggingu eða auðlindum til að viðhalda fjölbreyttu teymi sem einbeitt er að gagnavernd. Þegar leitað er til sérfræðings í þjónustu, fyrirtækið fær aðgang að fagfólki sem hefur meiri reynslu af því að takast á við kröfur LGPD í mismunandi geirum markaðarins. Auk þess, með ytri ábyrgðaraðila fer fyrirtækið að líta á gagnavernd sem eitthvað sem er samþætt í stefnu sinni, í stað þess að vera tímabundið vandamál sem aðeins fær athygli þegar tilkynning berst eða þegar leka kemur upp.
Þetta stuðlar að því að skapa trausta ferla án þess að krafist sé mikils fjárfestingar í ráðningu, þjálfun og varðveisla hæfileika. Úthýsing á gögnum fer lengra en að einfaldlega skipa útlending til að vera ábyrgur. Veitan er venjulega að veita stöðuga ráðgjöf, framkvæma kortlagningu og áhættugreiningu, aðstoða við gerð innri stefna, leiða þjálfanir fyrir teymið og fylgjast með þróun laganna og reglugerða ANPD.
Auk þess, það er kostur að hafa teymi sem hefur þegar reynslu af raunverulegum tilfellum, hvað minnkar námsferilinn og hjálpar til við að koma í veg fyrir atvik sem gætu leitt til sektar eða skaða á orðspori.
Hversu langt nær ábyrgð útvistaðs DPO?
Það er mikilvægt að undirstrika að úthýsing frelsar ekki stofnunina frá lagalegum ábyrgðum sínum. Hugmyndin er að fyrirtækið haldi áfram að tryggja öryggi þeirra gagna sem það safnar og vinnur með, því að brasílíska löggjöfin gerir það ljóst að ábyrgðin á atvikum hvílir ekki aðeins á ábyrgðarmanni, en meira um stofnuninni í heild sinni.
Það sem úthýsingin gerir er að bjóða upp á faglegan stuðning, sem að skilur leiðirnar sem nauðsynlegar eru til að halda skipulaginu í samræmi við LGPD. Aðferðin við að fela þessa tegund verkefna ytri samstarfsaðila er þegar notuð í öðrum löndum, þar sem gögnin eru orðin mikilvægur þáttur í áhættustjórnun og fyrirtækjaskipulagi. Evrópusambandið, til dæmis, með almennum reglugerðum um persónuvernd, krefst að mörg fyrirtæki tilnefni persónuverndarfulltrúa. Þar, margar fyrirtæki valdu að útvista þjónustunni með ráðgjafarfyrirtækja sem sérhæfa sig, færir tilsérfræðiþekkinguinnanhúss, án þess að þurfa að stofna heila deild fyrir það.
Vörðurinn, samkvæmt lögum, þarf að hafa sjálfstæði til að tilkynna galla og leggja til umbætur, og hluti alþjóðlegra leiðbeininga bendir til þess að fagfólk eigi að vera laust við innri þrýsting sem takmarkar getu þess til að hafa eftirlit. Sérfræðingarnir sem bjóða þessa þjónustu þróa samninga og vinnuaðferðir sem tryggja þessa tegund sjálfstæðis, halda skýra samskiptum við stjórnendur og setja skýr viðmið um stjórnun.
Þetta kerfi verndar bæði fyrirtækið og fagmanninn sjálfan, að þurfa að hafa frelsi til að benda á veikleika jafnvel þótt það gangi gegn staðlaðri framkvæmd innan ákveðins geira eða deildar.
A aukning á eftirliti ANPD er merki um að umhverfið fyrir þolinmæði er að víkja fyrir fastari afstöðu, og hver sem velur að takast á við þetta vandamál núna gæti þurft að takast á við alvarlegri afleiðingar á ekki of fjarlægum tíma.
Fyrir fyrirtæki sem vilja öruggari leið, úthýsing er val sem getur jafnað kostnað, skilavirkni og áreiðanleiki. Með þessum tegund samstarfs, það er mögulegt að laga skörð í innra umhverfi og skipuleggja regluverk sem mun vernda fyrirtækið bæði gegn refsingu og hættum tengdum skorti á gegnsæi og öryggi varðandi persónuupplýsingar sem það ber ábyrgð á.
