Nawet po tylu latach od wdrożenia Ogólnego Rozporządzenia o Ochronie Danych (LGPD) w Brazylii, wiele firm nadal nie przestrzega normy. LGPD, które weszło w życie we wrześniu 2020, została stworzona w celu ochrony danych osobowych obywateli brazylijskich, ustalając jasne zasady dotyczące tego, jak firmy powinny zbierać, przechowywać i przetwarzać te informacje. Jednakże, pomimo upływu czasu, wiele firm poczyniło niewielkie postępy w wdrażaniu normy.
Ostatnio, Krajowa Autorność Ochrony Danych (ANPD) zaostrzyła nadzór nad firmami, które nie mają inspektora danych, znany również jako Inspektor Ochrony Danych (DPO). Brak DPO jest jednym z głównych zidentyfikowanych naruszeń, ponieważ ten profesjonalista jest niezbędny do zapewnienia, że firma przestrzega LGPD. DPO działa jako pośrednik między firmą, podmioty danych i ANPD, będąc odpowiedzialnym za monitorowanie przestrzegania polityk ochrony danych oraz za doradzanie organizacji w zakresie najlepszych praktyk.
A te dane dane mogą być tylko „czubkiem góry lodowej”. W rzeczywistości, nikt nie wie, ile firm jeszcze nie przystąpiło do normy. Nie ma jednego oficjalnego badania, które konsolidowałoby dokładne liczby wszystkich firm, które nie przestrzegają LGPD. Niezależne badania wskazują, że, w ogólnych zarysach, procentowy udział może wynosić od 60% do 70% firm brazylijskich, szczególnie wśród małych i średnich przedsiębiorstw. W przypadku dużych, liczba jest jeszcze większa, mogąc osiągnąć 80%.
Dlaczego brak DPO ma znaczenie
W 2024, z pewnością Brazylia przekroczyła liczbę 700 milionów ataków cyberprzestępców. Szacuje się, że występuje prawie 1.400 uderzeń na minutę i, jasne, firmy są głównymi celami przestępców. Przestępstwa takie jak ransomware – w którym dane zazwyczaj stają się "zakładnikami" i że, aby nie były publikowane online, firmy muszą zapłacić ogromną sumę pieniędzy, stały się powszechne. Ale do kiedy system – ofiary i ubezpieczyciele – będą w stanie wytrzymać tak dużą liczbę ataków?
Nie ma sposobu, aby odpowiedzieć na to pytanie w odpowiedni sposób, tym bardziej, gdy same ofiary przestają podejmować niezbędne działania w celu ochrony informacji. Brak profesjonalisty skoncentrowanego na ochronie danych lub, w niektórych sytuacjach, gdy rzekomy odpowiedzialny za obszar gromadzi tak wiele funkcji, że nie jest w stanie wykonywać tej działalności w sposób satysfakcjonujący, jeszcze bardziej pogarsza tę sytuację.
Oczywiście, że wyznaczenie osoby odpowiedzialnej, samo w sobie, nie rozwiązuje wszystkich wyzwań związanych z dostosowaniem, ale jednak pokazuje, że firma jest zaangażowana w ustrukturyzowanie zestawu praktyk zgodnych z RODO. Tymczasem, ta brak priorytetyzacji nie wpływa tylko na możliwość sankcji, ale także w rzeczywistych ryzykach incydentów bezpieczeństwa, które spowodują znaczne straty. Nałożone kary przez ANPD to tylko część problemu, ponieważ straty niematerialne, jak zaufanie rynku, mogą być jeszcze bardziej bolesne. W tym kontekście, intensywniejsza kontrola jest postrzegana jako działanie konieczne do wzmocnienia mechanizmów przestrzegania przepisów prawnych i zachęcania organizacji do stawiania prywatności podmiotów na pierwszym miejscu.
Zatrudnić DPO czy zlecić na zewnątrz?
Zatrudnienie pełnoetatowego DPO może być skomplikowanym zadaniem, bo ponieważ nie zawsze istnieje zapotrzebowanie lub zainteresowanie alokowaniem zasobów wewnętrznych na to zapotrzebowanie.
W tym sensie, outsourcing jest wskazywane jako rozwiązanie dla firm, które chcą skutecznie przestrzegać przepisów prawnych, ale nie dysponują dużą strukturą ani zasobami do utrzymania zespołu multidyscyplinarnego skoncentrowanego na ochronie danych. Kiedy korzysta się z usług specjalisty, firma zyskuje dostęp do profesjonalistów, którzy mają większe doświadczenie w radzeniu sobie z wymaganiami LGPD w różnych sektorach rynku. Ponadto, z zewnętrznym odpowiedzialnym firma zaczyna postrzegać ochronę danych jako coś zintegrowanego z strategią, zamiast punktowego problemu, który otrzymuje uwagę tylko wtedy, gdy pojawia się powiadomienie lub gdy występuje jakieś wyciek.
To przyczynia się do tworzenia solidnych procesów bez konieczności dużych inwestycji w rekrutację, szkolenie i zatrzymywanie talentów. Outsourcing inspektora danych wykracza poza proste mianowanie osoby z zewnątrz. Dostawca zazwyczaj oferuje ciągłe doradztwo, realizowanie działań związanych z mapowaniem i analizą ryzyka, pomagając w opracowywaniu polityk wewnętrznych, prowadzenie szkoleń dla zespołów i monitorowanie postępów w zakresie legislacji oraz norm ANPD.
Ponadto, jest zaleta posiadania zespołu, który ma już doświadczenie w praktycznych przypadkach, co to zmniejsza krzywą uczenia się i pomaga zapobiegać incydentom, które mogłyby prowadzić do kar lub szkód dla reputacji.
Do jak daleko sięga odpowiedzialność zewnętrznego DPO
Ważne jest, aby podkreślić, że outsourcing nie zwalnia organizacji z jej odpowiedzialności prawnych. Pomysł polega na tym, aby firma utrzymała zobowiązanie do zapewnienia bezpieczeństwa danych, które zbiera i przetwarza, ponieważ brazylijskie prawo jasno wskazuje, że odpowiedzialność za incydenty nie spoczywa tylko na osobie odpowiedzialnej, ale jednak o instytucji jako całości.
Co to, co robi outsourcing, to oferowanie profesjonalnego wsparcia, które rozumie niezbędne kroki, aby utrzymać organizację w zgodzie z RODO. Praktyka delegowania tego typu zadań zewnętrznemu partnerowi jest już stosowana w innych krajach, gdzie ochrona danych stała się kluczowym punktem zarządzania ryzykiem i ładem korporacyjnym. Unia Europejska, na przykład, z Ogólnym Rozporządzeniem o Ochronie Danych, wymaga, aby wiele firm wyznaczyło inspektora ochrony danych. Tam, różne firmy zdecydowały się na outsourcing usług poprzez zatrudnienie wyspecjalizowanych firm doradczych, przynosząc doekspertyzado wewnątrz domu, bez potrzeby tworzenia całego działu do tego.
Zarządca, zgodnie z ustawodawstwem, musi mieć autonomię do zgłaszania usterek i proponowania ulepszeń, i część międzynarodowych wytycznych sugeruje, że profesjonalista powinien być wolny od wewnętrznych presji, które ograniczają jego zdolność do nadzoru. Konsultacje, które oferują tę usługę, opracowują umowy i metodologie pracy, które zapewniają tego rodzaju niezależność, utrzymując przejrzystą komunikację z menedżerami i ustalając jasne kryteria zarządzania.
Ten mechanizm chroni zarówno firmę, jak i samego profesjonalistę, że musi mieć wolność wskazywania na luki, nawet jeśli stoi to w sprzeczności z ustalonymi praktykami w danym sektorze lub dziale.
Zwiększenie nadzoru ANPD jest sygnałem, że scenariusz tolerancji ustępuje miejsca bardziej stanowczemu podejściu, a ci, kto zdecyduje się nie zająć tym problemem teraz, może w niedalekiej przyszłości napotkać poważniejsze konsekwencje.
Dla firm, które pragną bezpieczniejszej drogi, outsourcing to wybór, który może zrównoważyć koszty, efektywność i niezawodność. Z takim rodzajem partnerstwa, można naprawić luki w środowisku wewnętrznym i zorganizować rutynę zgodności, która ochroni firmę zarówno przed sankcjami, jak i ryzykiem związanym z brakiem przejrzystości oraz bezpieczeństwa w odniesieniu do danych osobowych, które są pod jej odpowiedzialnością.
