ブラジルで一般データ保護法(LGPD)が施行されてから何年も経った今でも, 多くの企業が規則を守らないままでいる. LGPD, 2020年9月に施行された, ブラジル市民の個人データを保護することを目的として作成されました, 企業がデータを収集する方法について明確なルールを定める, 情報を保存し、処理する. しかし, 経過した時間にもかかわらず, 多くの企業は規範の実施においてあまり進展していない.
最近, 国家データ保護機関(ANPD)は、データ保護責任者を持たない企業に対する監視を強化した, データ保護責任者(DPO)としても知られています. DPOの不在は、特定された主要な違反の一つです, この専門家は、企業がLGPDに準拠していることを保証するために不可欠です. DPOは企業と中間者として機能します, データの主体とANPD, データ保護ポリシーの遵守を監視し、組織に最良の実践について指導する責任を負っている.
これらのデータは「氷山の一角」に過ぎないかもしれない. 実際に, 誰もまだ規則に従っていない企業の数を知りません. LGPDに未参加のすべての企業の正確な数字を統合する公式な調査は存在しない 独立した調査によると, 一般的に, 割合はブラジルの企業の60%から70%の間で変動する可能性があります, 特に小規模および中規模の企業の間で. 大きな場合には, 数字はさらに大きい, 80%に達する可能性がある.
DPOの不在がなぜ問題となるのか
2024年に, ブラジルは確実にサイバー犯罪者による攻撃の数が7億を超えた. ほぼ1が発生すると推定されています.1分間に400回の打撃と, もちろん, 企業は犯罪者の主要な標的です. ランサムウェアのような犯罪 – 一般的にデータが「人質」となる状況であり, オンラインで公開されないように, 企業は巨額の金額を支払う必要があります, 一般的になった. しかし、システムはいつまで続くのか – 被害者と保険会社 – そのような大規模な攻撃に耐えることができる?
この質問に適切に答える方法はありません, さらに、被害者自身が情報保護のために必要な行動を取らなくなるときはなおさらです. データ保護に特化した専門家が不足しているため, いくつかの状況で, その分野の責任者とされる人があまりにも多くの役割を抱えすぎて、その活動を満足に遂行できないとき, この状況をさらに悪化させる.
担当者の指定は明らかです, それ自体で, すべての適合の課題を解決するわけではない, しかし、企業がLGPDに沿った一貫した実践のセットを構築することに尽力していることを示しています. その間, この優先順位の欠如は、制裁の可能性だけに影響を与えるわけではない, しかし、実際のセキュリティインシデントのリスクにも関係しています, かなりの損失を生むことになる. ANPDによって適用される罰金は問題の一部に過ぎない, 無形の損失として, 市場の信頼性として, さらに痛みを伴うことがあります. この状況で, より厳格な監視は、法令遵守のメカニズムを強化し、組織が権利者のプライバシーを重視するよう促すために必要な行動と見なされている.
DPOを雇うか外部委託するか?
フルタイムのDPOを雇うことは複雑な作業になることがあります, 内部リソースをその需要に割り当てることに対する需要や関心が常にあるわけではない.
この意味で, アウトソーシングは、法律を効果的に遵守したい企業にとっての解決策として指摘されています, しかし、データ保護に特化した多職種チームを維持するための大規模な構造やリソースは持っていない. 専門のサービスプロバイダーに依頼する場合, 企業は市場のさまざまなセクターでLGPDの要件に対処するためのより多くの経験を持つ専門家へのアクセスを得る. さらに, 外部の責任者とともに、企業はデータ保護を戦略に統合されたものとして捉えるようになる, 通知が届いたときや漏洩が発生したときだけ注目される局所的な問題の代わりに.
これは、大規模な採用投資を必要とせずに堅牢なプロセスを構築することに貢献します, 人材の育成と定着. データ担当者の外部委託は、単に外部の人を指名することを超えています. 提供者は通常、継続的なコンサルティングを提供します, リスクのマッピングと分析活動を実施する, 内部政策の策定を支援する, チームのトレーニングを実施し、ANPDの法律および規制の進展を追跡する.
さらに, 実務経験のあるチームがいることの利点がある, 学習曲線を減少させ、罰金や評判の損失を引き起こす可能性のあるインシデントを防ぐのに役立つもの.
アウトソーシングされた DPO の責任はどこまで及ぶのでしょうか?
アウトソーシングは、組織の法的責任を免除するものではないことを強調することが重要です. 企業は収集し処理するデータの安全性を確保するというコミットメントを維持することが重要です, ブラジルの法律は、事故に対する責任が担当者だけに帰属するわけではないことを明確に示しています, しかし、全体としての機関について.
アウトソーシングが行うのは、専門的なサポートを提供することです, LGPDに沿って組織を維持するために必要な道筋を理解している. この種のタスクを外部のパートナーに委任する実践は、他の国でもすでに採用されています, データ保護がリスク管理とコーポレートガバナンスの重要なポイントとなった場所. 欧州連合, 例えば, 一般データ保護規則に従って, 多くの企業にデータ保護責任者を任命することを要求している. そこ, さまざまな企業が専門コンサルティング会社を雇うことでサービスの外部委託を選択しました, 持ってきている専門知識家の中で, それをするために全く新しい部門を作る必要はない.
担当者, 法律に従って, 失敗を報告し、改善を提案するための自律性が必要です, 国際的な指針の一部は、専門家が監視能力を制限する内部の圧力から解放されているべきであることを示唆している. このサービスを提供するコンサルティング会社は、この種の独立性を保証する契約や作業方法論を開発しています, 管理者との透明なコミュニケーションを維持し、明確なガバナンス基準を確立する.
このメカニズムは、企業と専門家自身の両方を保護します, 特定のセクターや部門内の確立された慣行に反しても、脆弱性を指摘する自由を持つ必要がある.
ANPDの監視強化は、寛容な状況がより厳格な姿勢に取って代わる兆しである, この問題に今対処しないことを選ぶ人は、あまり遠くない未来により重い結果に直面する可能性があります.
安全な道を望む企業のために, アウトソーシングはコストを均衡させる選択肢です, 効率性と信頼性. この種のパートナーシップで, 内部環境のギャップを修正し、企業を制裁や個人データの透明性と安全性の欠如に関連するリスクから保護するコンプライアンスのルーチンを構築することは可能です.
