Anche dopo tanti anni dall'implementazione della Legge Generale sulla Protezione dei Dati (LGPD) in Brasile, molte aziende continuano a non rispettare la norma. La LGPD, che è entrato in vigore a settembre 2020, è stata creata con l'obiettivo di proteggere i dati personali dei cittadini brasiliani, stabilendo regole chiare su come le aziende devono raccogliere, memorizzare e trattare queste informazioni. Tuttavia, nonostante il tempo trascorso, molte aziende hanno fatto pochi progressi nell'implementazione della norma.
Recentemente, L'Autorità Nazionale per la Protezione dei Dati (ANPD) ha intensificato i controlli sulle aziende che non hanno un responsabile dei dati, noto anche come Data Protection Officer (DPO). La mancanza di un DPO è una delle principali infrazioni identificate, poiché questo professionista è essenziale per garantire che l'azienda sia conforme al GDPR. Il DPO agisce come un intermediario tra l'azienda, i titolari dei dati e l'ANPD, essendo responsabile per monitorare il rispetto delle politiche di protezione dei dati e per orientare l'organizzazione sulle migliori pratiche.
E questi dati possono essere solo la "punta dell'iceberg". In realtà, nessuno sa qual è il numero di aziende che non hanno ancora aderito alla norma. Non esiste un'unica indagine ufficiale che consolidi i numeri esatti di tutte le aziende non conformi al GDPR Ricerche indipendenti indicano che, in termini generali, la percentuale può variare tra il 60% e il 70% delle aziende brasiliane, specialmente tra quelle di piccole e medie dimensioni. Nel caso delle grandi, il numero è ancora più grande, potendo arrivare all'80%.
Perché la mancanza di un DPO fa la differenza
Nel 2024, sicuramente il Brasile ha superato il numero di 700 milioni di attacchi da parte di cybercriminali. Si stima che si verifichino quasi 1.400 colpi al minuto e, chiaro, le aziende sono i principali obiettivi dei criminali. Crimini come il ransomware – in cui generalmente i dati diventano "ostaggi" e che, affinché non vengano pubblicati online, le aziende devono pagare una enorme somma di denaro, sono diventati comuni. Ma fino a quando il sistema – le vittime e le assicurazioni – sopporteranno un volume così grande di attacchi?
Non c'è modo di rispondere a questa domanda in modo appropriato, ancora di più quando le stesse vittime smettono di adottare le misure necessarie per la protezione delle informazioni. La mancanza di un professionista focalizzato sulla protezione dei dati o, in alcune situazioni, quando il presunto responsabile dell'area accumula così tante funzioni che non riesce a svolgere questa attività in modo soddisfacente, aggrava ulteriormente questa situazione.
È chiaro che la designazione di un responsabile, da solo, non risolve tutte le sfide di adeguamento, ma mostra che l'azienda è impegnata a strutturare un insieme di pratiche coerenti con il GDPR. Nel frattempo, questa mancanza di priorità non si riflette solo nella possibilità di sanzioni, ma anche in rischi reali di incidenti di sicurezza, che porteranno a una perdita considerevole. Le multe applicabili dall'ANPD sono solo una parte del problema, poiché le perdite intangibili, come la fiducia del mercato, possono essere ancora più dolorose. In questo panorama, la vigilanza più intensa è vista come un'azione necessaria per rafforzare i meccanismi di conformità alla legislazione e incoraggiare le organizzazioni a mettere in primo piano la privacy dei titolari.
Assumere un DPO o esternalizzare?
Assumere un DPO a tempo pieno può essere un compito complicato, perché non sempre c'è la domanda o l'interesse a allocare risorse interne per questa domanda.
In questo senso, l'esternalizzazione è stata indicata come una soluzione per le aziende che desiderano rispettare la legislazione in modo efficace, ma non dispongono di una grande struttura o di risorse per mantenere un team multidisciplinare dedicato alla protezione dei dati. Quando si ricorre a un fornitore di servizi specializzato, l'azienda guadagna accesso a professionisti con maggiore esperienza per gestire i requisiti del GDPR in diversi settori di mercato. Inoltre, con un responsabile esterno l'azienda inizia a considerare la protezione dei dati come qualcosa di integrato nella strategia, invece di un problema puntuale che riceve attenzione solo quando arriva una notifica o quando si verifica una fuga.
Questo contribuisce alla creazione di processi robusti senza la necessità di un investimento ingente nel reclutamento, formazione e retention dei talenti. L'esternalizzazione del responsabile dei dati va oltre la semplice nomina di una persona esterna. Il fornitore di solito offre consulenza continua, realizzando attività di mappatura e analisi del rischio, aiutando nella redazione di politiche interne, conducendo corsi di formazione per i team e seguendo l'evoluzione della legislazione e delle normative dell'ANPD.
Inoltre, c'è il vantaggio di avere un team che ha già esperienza in casi pratici, ciò che riduce la curva di apprendimento e aiuta a prevenire incidenti che potrebbero generare multe o danni alla reputazione.
Quanto è estesa la responsabilità del DPO esternalizzato?
È importante sottolineare che l'esternalizzazione non esonera l'organizzazione dalle sue responsabilità legali. L'idea è che l'azienda mantenga l'impegno di garantire la sicurezza dei dati che raccoglie e tratta, poiché la legislazione brasiliana chiarisce che la responsabilità per gli incidenti non ricade solo sul responsabile, ma sull'istituzione nel suo complesso.
Ciò che l'esternalizzazione fa è offrire un supporto professionale, che comprende i percorsi necessari per mantenere l'organizzazione in linea con il GDPR. La pratica di delegare questo tipo di compito a un partner esterno è già adottata in altri paesi, dove la protezione dei dati è diventata un punto critico di gestione dei rischi e governance aziendale. L'Unione Europea, per esempio, con il Regolamento Generale sulla Protezione dei Dati, richiede che molte aziende nominino un responsabile della protezione dei dati. Là, diverse aziende hanno scelto di esternalizzare il servizio con l'assunzione di consulenze specializzate, portando acompetenzaper "dentro di casa", senza dover creare un intero dipartimento per questo.
Il responsabile, secondo la legislazione, deve avere autonomia per segnalare difetti e propor miglioramenti, e parte delle linee guida internazionali suggerisce che il professionista debba essere libero da pressioni interne che limitino la sua capacità di vigilanza. Le consulenze che offrono questo servizio sviluppano contratti e metodologie di lavoro che garantiscono questo tipo di indipendenza, mantenendo una comunicazione trasparente con i gestori e stabilendo criteri chiari di governance.
Questo meccanismo protegge sia l'azienda che il professionista stesso, che deve avere la libertà di segnalare vulnerabilità anche se questo va contro pratiche consolidate all'interno di un determinato settore o dipartimento.
L'intensificazione dei controlli da parte dell'ANPD è un segnale che lo scenario di tolleranza sta cedendo il posto a un atteggiamento più fermo, e chi sceglierà di non affrontare questo problema ora potrebbe affrontare conseguenze più gravi in un futuro non molto lontano.
Per le aziende che desiderano un percorso più sicuro, l'outsourcing è una scelta in grado di bilanciare i costi, efficienza e affidabilità. Con questo tipo di partnership, è possibile colmare le lacune nell'ambiente interno e strutturare una routine di compliance che proteggerà l'azienda sia dalle sanzioni che dai rischi associati alla mancanza di trasparenza e di sicurezza riguardo ai dati personali di cui è responsabile.
