Даже спустя tantos anos с момента внедрения Закона о защите персональных данных (LGPD) в Бразилии, многие компании продолжают нарушать норму. LGPD, который вступил в силу в сентябре 2020 года, была создана с целью защиты персональных данных граждан Бразилии, установление четких правил о том, как компании должны собирать, хранить и обрабатывать эту информацию. Тем не менее, несмотря на прошедшее время, многие компании мало продвинулись в реализации нормы.
Недавно, Национальный орган по защите данных (ANPD) усилил контроль над компаниями, у которых нет ответственного за данные, также известный как Офицер по защите данных (DPO). Отсутствие DPO является одним из основных выявленных нарушений, так как этот специалист необходим для обеспечения соответствия компании требованиям ЛГПД. DPO выступает в роли посредника между компанией, субъекты данных и ANPD, будучи ответственным за мониторинг соблюдения политик защиты данных и за консультирование организации по лучшим практикам.
И эти данные могут быть лишь "верхушкой айсберга". На самом деле, никто не знает, сколько компаний еще не присоединились к норме. Нет единого официального отчета, который бы консолидировал точные цифры всех компаний, не соблюдающих LGPD. Независимые исследования показывают, что, в общем смысле, процент может варьироваться от 60% до 70% бразильских компаний, особенно среди малых и средних предприятий. В случае больших, число еще больше, может достигать 80%.
Почему отсутствие DPO имеет значение
В 2024 году, безусловно, Бразилия превысила число 700 миллионов атак киберпреступников. Считается, что происходит почти 1.400 ударов в минуту и, ясно, компании являются главными целями преступников. Преступления, такие как программное обеспечение-вымогатель – в котором данные обычно становятся "заложниками" и что, чтобы они не были опубликованы в интернете, компании должны выплатить огромную сумму денег, стали обыденными. Но до каких пор система – жертвы и страховые компании – будут выдерживать такой объем атак?
Невозможно ответить на этот вопрос должным образом, тем более когда сами жертвы перестают предпринимать необходимые меры для защиты информации. Отсутствие специалиста, сосредоточенного на защите данных или, в некоторых ситуациях, когда предполагаемый ответственный за область накапливает столько функций, что не может выполнять эту деятельность удовлетворительно, это еще больше усугубляет ситуацию.
Очевидно, что назначение ответственного, сам по себе, не решает все задачи соответствия, но показывает, что компания стремится структурировать набор практик, соответствующих LGPD. Тем временем, это отсутствие приоритизации отражается не только на возможности санкций, но также в реальные риски инцидентов безопасности, которые приведут к значительным убыткам. Штрафы, применяемые ANPD, являются лишь частью проблемы, поскольку нематериальные потери, как доверие рынка, могут быть еще более болезненными. В этом контексте, более интенсивный контроль рассматривается как необходимая мера для укрепления механизмов соблюдения законодательства и побуждения организаций ставить на повестку дня вопросы конфиденциальности субъектов данных.
Нанять DPO или аутсорсинг?
Нанять DPO на полный рабочий день может быть сложной задачей, поскольку не всегда существует спрос или интерес в выделении внутренних ресурсов для этого запроса.
В этом смысле, аутсорсинг рассматривается как решение для компаний, которые хотят эффективно соблюдать законодательство, но не располагают большой структурой или ресурсами для поддержания многопрофильной команды, ориентированной на защиту данных. Когда обращаются к специализированному поставщику услуг, компания получает доступ к специалистам с большим опытом работы для решения требований ЛГПД в различных секторах рынка. Кроме того, с внешним ответственным лицо компания начинает рассматривать защиту данных как нечто, интегрированное в стратегию, вместо того чтобы быть точечной проблемой, которая получает внимание только когда приходит уведомление или происходит утечка.
Это способствует созданию надежных процессов без необходимости значительных вложений в набор персонала, обучение и удержание талантов. Аутсорсинг ответственного за данные выходит за рамки простого назначения внешнего человека. Поставщик обычно предоставляет постоянные консультации, проведение мероприятий по картированию и анализу рисков, помощь в разработке внутренних политик, проводя тренинги для команд и отслеживая развитие законодательства и норм ANPD.
Кроме того, есть преимущество в том, что есть команда, которая уже имеет опыт в практических случаях, что снижает кривую обучения и помогает предотвратить инциденты, которые могут привести к штрафам или ущербу репутации.
Насколько обширны обязанности внешнего DPO?
Важно подчеркнуть, что аутсорсинг не освобождает организацию от ее юридических обязательств. Идея заключается в том, что компания сохраняет обязательство обеспечивать безопасность данных, которые она собирает и обрабатывает, поскольку бразильское законодательство ясно указывает, что ответственность за инциденты не лежит только на ответственном лице, но о учреждении в целом.
Что аутсорсинг делает, так это предлагает профессиональную поддержку, который понимает необходимые пути для поддержания организации в соответствии с LGPD. Практика делегирования такого рода задач внешнему партнеру уже применяется в других странах, где защита данных стала критической точкой управления рисками и корпоративным управлением. Европейский Союз, например, с Общим регламентом по защите данных, требует, чтобы многие компании назначили ответственного за защиту данных. Там, разные компании выбрали аутсорсинг услуг, наняв специализированные консалтинговые компании, принося кэкспертизадля "внутри дома", не создавая для этого целый отдел.
Ответственный, в соответствии с законодательством, необходимо иметь автономию для сообщения о сбоях и предложения улучшений, и часть международных директив предполагает, что специалист должен быть свободен от внутренних давлений, которые ограничивают его способность к контролю. Консультационные компании, предлагающие эту услугу, разрабатывают контракты и методологии работы, которые обеспечивают этот тип независимости, поддерживая прозрачное общение с руководителями и устанавливая четкие критерии управления.
Этот механизм защищает как компанию, так и самого профессионала, что необходимо иметь свободу указывать на уязвимости, даже если это противоречит устоявшимся практикам в определенном секторе или департаменте.
Усиление контроля ANPD является признаком того, что ситуация терпимости уступает место более жесткой позиции, и те, кто решит не заниматься этой проблемой сейчас, могут столкнуться с более серьезными последствиями в недалеком будущем.
Для компаний, которые хотят более безопасный путь, а аутсорсинг — это выбор, способный сбалансировать затраты, эффективность и надежность. С таким типом партнерства, возможно исправить недостатки во внутренней среде и структурировать рутину соблюдения норм, которая защитит компанию как от санкций, так и от рисков, связанных с отсутствием прозрачности и безопасности в отношении персональных данных, находящихся под ее ответственностью.
