Anche dopo tanti anni dall'entrata in vigore della Legge generale sulla protezione dei dati (LGPD) in Brasile, molte aziende continuano a non rispettare la norma. La LGPD, entrata in vigore nel settembre 2020, è stata creata con l'obiettivo di proteggere i dati personali dei cittadini brasiliani, stabilendo regole chiare su come le aziende devono raccogliere, conservare ed elaborare tali informazioni. Tuttavia, nonostante il tempo trascorso, molte aziende hanno fatto pochi progressi nell'implementazione dello standard.
Di recente, l'Autorità nazionale per la protezione dei dati personali (ANPD) ha intensificato i controlli sulle aziende che non dispongono di un responsabile della protezione dei dati, noto anche come Data Protection Officer (DPO). Una delle principali infrazioni individuate è la mancanza del DPO, figura professionale essenziale per garantire la conformità dell'azienda alla LGPD. Il DPO funge da intermediario tra l'azienda, gli interessati e l'ANPD, avendo il compito di monitorare il rispetto delle policy in materia di protezione dei dati e di orientare l'organizzazione verso le migliori pratiche.
E questi dati potrebbero essere solo la “punta dell’iceberg”. In realtà, nessuno sa quante aziende non abbiano ancora adottato lo standard. Non esiste un singolo sondaggio ufficiale che consolidi i numeri esatti di tutte le aziende che non sono conformi alla LGPD. Ricerche indipendenti indicano che, in termini generali, la percentuale può variare tra il 60% e il 70% delle aziende brasiliane, soprattutto tra le piccole e medie imprese. Nel caso delle grandi aziende la percentuale è ancora più alta, arrivando all'80%.
Perché la mancanza di un DPO fa la differenza
Nel 2024 il Brasile supererà sicuramente i 700 milioni di attacchi informatici. Si stima che ogni minuto si verifichino circa 1.400 truffe e, naturalmente, le aziende sono i principali bersagli dei criminali. Crimini come il ransomware, in cui i dati vengono spesso tenuti “in ostaggio” e le aziende devono pagare un’enorme somma di denaro per impedirne la pubblicazione online, sono diventati all’ordine del giorno. Ma per quanto tempo il sistema, le vittime e gli assicuratori, saranno in grado di resistere a un tale volume di attacchi?
Non è possibile rispondere in modo appropriato a questa domanda, soprattutto quando le vittime stesse non adottano le misure necessarie per proteggere le informazioni. La mancanza di un professionista specializzato nella protezione dei dati o, in alcune situazioni, quando la persona presumibilmente responsabile di tale ambito accumula così tante funzioni da non essere in grado di svolgere questa attività in modo soddisfacente, peggiora ulteriormente la situazione.
Naturalmente, la designazione di una persona responsabile non risolve di per sé tutte le sfide della conformità, ma dimostra che l'azienda è impegnata a strutturare una serie di pratiche coerenti con la LGPD. Questa mancanza di priorità, tuttavia, non riflette solo la possibilità di sanzioni, ma anche il rischio reale di incidenti di sicurezza, che genereranno perdite considerevoli. Le sanzioni imposte dall'ANPD rappresentano solo una parte del problema: le perdite immateriali, come la fiducia del mercato, possono essere ancora più dolorose. In questo scenario, un monitoraggio più intenso è visto come un'azione necessaria per rafforzare i meccanismi di conformità alla legislazione e incoraggiare le organizzazioni a porre la privacy degli interessati all'ordine del giorno.
Assumere un DPO o esternalizzare?
Assumere un DPO a tempo pieno può essere un compito complicato, poiché non sempre c'è domanda o interesse nell'allocare risorse interne a questa richiesta.
In questo senso, l'outsourcing è stato evidenziato come una soluzione per le aziende che desiderano conformarsi efficacemente alla legislazione, ma non dispongono di una struttura o di risorse adeguate per mantenere un team multidisciplinare incentrato sulla protezione dei dati. Rivolgendosi a un fornitore di servizi specializzato, l'azienda ha accesso a professionisti con maggiore esperienza nel gestire i requisiti LGPD in diversi settori di mercato. Inoltre, affidandosi a una persona esterna, l'azienda inizia a considerare la protezione dei dati come qualcosa di integrato nella strategia, piuttosto che come un problema isolato a cui prestare attenzione solo quando arriva una notifica o quando si verifica una fuga di notizie.
Ciò contribuisce alla creazione di processi solidi senza la necessità di grandi investimenti nel reclutamento, nella formazione e nel mantenimento dei talenti. L'esternalizzazione del responsabile dei dati va oltre la semplice nomina di una persona esterna. Il fornitore solitamente fornisce consulenza continuativa, svolgendo attività di mappatura e analisi dei rischi, assistendo nello sviluppo di politiche interne, conducendo corsi di formazione per i team e monitorando l'evoluzione della legislazione e dei regolamenti ANPD.
Inoltre, c'è il vantaggio di avere un team che ha già esperienza in casi pratici, il che riduce la curva di apprendimento e aiuta a prevenire incidenti che potrebbero generare multe o danni alla reputazione.
Quanto è estesa la responsabilità del DPO esternalizzato?
È importante sottolineare che l'outsourcing non esonera l'organizzazione dalle sue responsabilità legali. L'idea è che l'azienda mantenga il proprio impegno nel garantire la sicurezza dei dati raccolti ed elaborati, poiché la legislazione brasiliana chiarisce che la responsabilità degli incidenti non ricade solo sulla persona responsabile, ma sull'istituzione nel suo complesso.
Ciò che fa l'outsourcing è offrire un supporto professionale, che comprende i percorsi necessari per mantenere l'organizzazione in linea con la LGPD. La prassi di delegare questo tipo di attività a un partner esterno è già adottata in altri Paesi, dove la protezione dei dati è diventata un punto critico della gestione del rischio e della governance aziendale. L'Unione Europea, ad esempio, con il Regolamento generale sulla protezione dei dati, obbliga molte aziende a nominare un responsabile della protezione dei dati. Lì, diverse aziende hanno optato per l'outsourcing del servizio assumendo consulenti specializzati, portando l'competenzaper “in-house”, senza dover creare un intero reparto dedicato.
Il responsabile, secondo la normativa, deve avere autonomia nel segnalare guasti e proporre miglioramenti, e parte delle linee guida internazionali suggeriscono che il professionista debba essere libero da pressioni interne che ne limitino la capacità ispettiva. Le società di consulenza che offrono questo servizio sviluppano contratti e metodologie di lavoro che garantiscono questo tipo di indipendenza, mantenendo una comunicazione trasparente con i manager e stabilendo chiari criteri di governance.
Questo meccanismo tutela sia l'azienda sia il professionista, che deve avere la libertà di segnalare le proprie vulnerabilità anche se ciò va contro le prassi consolidate di un determinato settore o dipartimento.
L'intensificazione dei controlli da parte dell'ANPD è un segnale che lo scenario di tolleranza sta cedendo il passo a una posizione più ferma e che coloro che scelgono di non affrontare questo problema ora potrebbero dover affrontare conseguenze più pesanti in un futuro non troppo lontano.
Per le aziende che desiderano una strada più sicura, l'outsourcing è una scelta in grado di bilanciare costi, efficienza e affidabilità. Grazie a questo tipo di partnership è possibile correggere le lacune dell'ambiente interno e strutturare una routine di conformità che tutelerà l'azienda sia dalle sanzioni sia dai rischi associati alla mancanza di trasparenza e sicurezza in relazione ai dati personali di sua responsabilità.
