Zelfs na jaren na de implementatie van de Algemene Wet Gegevensbescherming (LGPD) in Brazilië, veel bedrijven blijven de norm overtreden. De LGPD, die in september 2020 van kracht werd, is opgericht met het doel de persoonlijke gegevens van Braziliaanse burgers te beschermen, heldere regels vaststellen over hoe bedrijven gegevens moeten verzamelen, opslagen en verwerken van deze informatie. Echter, ondanks de verstreken tijd, veel bedrijven hebben weinig vooruitgang geboekt bij de implementatie van de norm.
Recentelijk, De Nationale Autoriteit Gegevensbescherming (ANPD) heeft de controle op bedrijven die geen gegevensverantwoordelijke hebben, verscherpt, ook bekend als Data Protection Officer (DPO). Het ontbreken van een DPO is een van de belangrijkste vastgestelde overtredingen, aangezien deze professional essentieel is om ervoor te zorgen dat het bedrijf voldoet aan de AVG. De DPO funge als een tussenpersoon tussen het bedrijf, de gegevenssubjecten en de ANPD, verantwoordelijk voor het toezicht op de naleving van de gegevensbeschermingsbeleid en voor het adviseren van de organisatie over de beste praktijken.
En deze gegevens kunnen slechts de "top van de ijsberg" zijn. In werkelijkheid, niemand weet hoeveel bedrijven nog niet aan de norm hebben voldaan. Er is geen officiële, unieke inventarisatie die de exacte cijfers van alle bedrijven die niet voldoen aan de LGPD consolideert Onafhankelijke onderzoeken wijzen erop dat, in algemene termen, het percentage kan variëren tussen 60% en 70% van de Braziliaanse bedrijven, bijzonder tussen de kleine en middelgrote bedrijven. In het geval van de grote, het nummer is nog groter, tot 80% kunnen bereiken.
Waarom het ontbreken van een DPO een verschil maakt
In 2024, zeker heeft Brazilië het aantal van 700 miljoen aanvallen door cybercriminelen overschreden. Er wordt geschat dat er bijna 1 plaatsvinden.400 slagen per minuut en, duidelijk, bedrijven zijn de belangrijkste doelwitten van criminelen. Misdrijven zoals ransomware – waarbij de gegevens doorgaans "gijzelaars" worden en dat, om niet online gepubliceerd te worden, de bedrijven moeten een enorm bedrag betalen, zijn gebruikelijk geworden. Maar tot wanneer het systeem – de slachtoffers en de verzekeraars – zullen een dergelijk volume aan aanvallen kunnen weerstaan?
Er is geen manier om deze vraag op een geschikte manier te beantwoorden, nog meer wanneer de slachtoffers zelf de nodige maatregelen om de informatie te beschermen niet nemen. Het gebrek aan een professional die zich richt op gegevensbescherming of, in sommige situaties, wanneer de veronderstelde verantwoordelijke voor het gebied zoveel taken accumuleert dat hij deze activiteit niet op een bevredigende manier kan uitvoeren, verergert deze situatie nog verder.
Het is duidelijk dat de aanwijzing van een verantwoordelijke, op zichzelf, lost niet alle geschiktheid uitdagingen op, maar het toont aan dat het bedrijf zich inzet om een reeks praktijken te structureren die in overeenstemming zijn met de AVG. ondertussen, deze gebrek aan prioritering weerspiegelt zich niet alleen in de mogelijkheid van sancties, maar ook in reële risico's van beveiligingsincidenten, die een aanzienlijke schade zullen veroorzaken. De boetes die door de ANPD worden opgelegd, zijn slechts een deel van het probleem, want de immateriële verliezen, hoe het vertrouwen van de markt, kunnen nog pijnlijker zijn. In dit panorama, de intensievere controle wordt gezien als een noodzakelijke actie om de mechanismen voor naleving van de wetgeving te versterken en organisaties aan te moedigen de privacy van de betrokkenen op de agenda te zetten.
Een DPO inhuren of uitbesteden?
Een fulltime DPO aannemen kan een ingewikkelde taak zijn, want er is niet altijd vraag of interesse om interne middelen voor deze vraag in te zetten.
In deze zin, outsourcing wordt aangeduid als een oplossing voor bedrijven die de wetgeving effectief willen naleven, maar beschikken niet over een grote structuur of middelen om een multidisciplinair team voor gegevensbescherming te onderhouden. Wanneer men een gespecialiseerde dienstverlener inschakelt, het bedrijf krijgt toegang tot professionals met meer ervaring in het omgaan met de vereisten van de LGPD in verschillende sectoren van de markt. Bovendien, met een externe verantwoordelijke begint het bedrijf gegevensbescherming te beschouwen als iets dat geïntegreerd is in de strategie, in plaats van een tijdelijk probleem dat alleen aandacht krijgt wanneer er een melding komt of wanneer er een lek optreedt.
Dit draagt bij aan de creatie van robuuste processen zonder dat er een grote investering in werving nodig is, opleiding en behoud van talenten. De uitbesteding van de gegevensverantwoordelijke gaat verder dan alleen het aanstellen van een externe persoon. De aanbieder biedt doorgaans doorlopende consultancy aan, uitvoeren van mapping- en risicoanalyse-activiteiten, helpen bij het opstellen van interne beleidsmaatregelen, het geven van trainingen aan de teams en het volgen van de evolutie van de wetgeving en de richtlijnen van de ANPD.
Bovendien, er is het voordeel dat men kan rekenen op een team dat al ervaring heeft met praktische gevallen, wat de leercurve verkort en helpt om incidenten te voorkomen die boetes of reputatieschade kunnen veroorzaken.
Tot waar reikt de verantwoordelijkheid van de externe DPO
Het is belangrijk op te merken dat uitbesteding de organisatie niet vrijstelt van haar wettelijke verantwoordelijkheden. Het idee is dat het bedrijf de verplichting behoudt om de veiligheid van de gegevens die het verzamelt en verwerkt te waarborgen, want de Braziliaanse wetgeving maakt duidelijk dat de verantwoordelijkheid voor incidenten niet alleen bij de verantwoordelijke ligt, meer over de instelling als geheel.
Wat outsourcing doet, is het bieden van professionele ondersteuning, die de wegen begrijpt die nodig zijn om de organisatie in overeenstemming met de AVG te houden. De praktijk om dit soort taken aan een externe partner te delegeren wordt al in andere landen toegepast, waar gegevensbescherming een kritiek punt is geworden in risicobeheer en corporate governance. De Europese Unie, bijvoorbeeld, met de Algemene Verordening Gegevensbescherming, vereist dat veel bedrijven een functionaris voor gegevensbescherming aanstellen. Daar, diverse bedrijven hebben gekozen voor de uitbesteding van de dienst door gespecialiseerde adviesbureaus in te huren, brengend deexpertisevoor "binnenhuis", zonder een hele afdeling daarvoor te hoeven oprichten.
De verantwoordelijke, volgens de wetgeving, je moet autonomie hebben om fouten te rapporteren en verbeteringen voor te stellen, en een deel van de internationale richtlijnen suggereert dat de professional vrij moet zijn van interne druk die zijn controlecapaciteit beperkt. De adviesbureaus die deze dienst aanbieden, ontwikkelen contracten en werkmethoden die dit soort onafhankelijkheid waarborgen, het handhaven van transparante communicatie met de managers en het vaststellen van duidelijke governancecriteria.
Dit mechanisme beschermt zowel het bedrijf als de professional zelf, die de vrijheid moet hebben om kwetsbaarheden aan te geven, ook al gaat dit tegen gevestigde praktijken binnen een bepaalde sector of afdeling.
De intensivering van de controle door de ANPD is een teken dat het scenario van tolerantie plaatsmaakt voor een striktere houding, en wie ervoor kiest om dit probleem nu niet aan te pakken, kan in de niet al te verre toekomst zwaardere gevolgen ondervinden.
Voor bedrijven die een veiligere weg willen, outsourcing is a choice that can balance cost, efficiëntie en betrouwbaarheid. Met dit soort samenwerking, het is mogelijk om hiaten in de interne omgeving te corrigeren en een compliance-routine op te zetten die het bedrijf zal beschermen tegen zowel sancties als de risico's die gepaard gaan met een gebrek aan transparantie en veiligheid met betrekking tot de persoonlijke gegevens die onder zijn verantwoordelijkheid vallen.
