Tudi po toliko letih od uvedbe Splošne uredbe o varstvu podatkov (LGPD) v Braziliji, mnoga podjetja še naprej kršijo predpis. LGPD, ki je začel veljati septembra 2020, je bila ustvarjena z namenom zaščititi osebne podatke brazilskih državljanov, določanje jasnih pravil o tem, kako naj podjetja zbirajo, shraniti in obdelati te informacije. Vendar, kljub preteku časa, mnoge podjetja so napredovala malo pri izvajanju norme.
Nedavno, Nacionalna avtoriteta za zaščito podatkov (ANPD) je okrepila nadzor nad podjetji, ki nimajo pooblaščene osebe za varstvo podatkov, tudi znan kot pooblaščena oseba za varstvo podatkov (DPO). Pomanjkanje DPO je ena glavnih ugotovljenih kršitev, ker je ta strokovnjak ključnega pomena za zagotavljanje skladnosti podjetja z LGPD. DPO deluje kot posrednik med podjetjem, nosilci podatkov in ANPD, biti odgovoren za spremljanje spoštovanja politik varstva podatkov in za usmerjanje organizacije glede najboljših praks.
In ti podatki so lahko le "vrh ledene gore". V resnici, noben ne ve, koliko podjetij še ni sprejelo standarda. Ni obstaja uradna enotna raziskava, ki bi združila natančne številke vseh podjetij, ki se ne držijo LGPD Neodvisne raziskave kažejo, da, na splošnem, delež lahko variira med 60% in 70% brazilskih podjetij, še posebej med malimi in srednje velikimi podjetji. V primeru velikih, številka je še večja, lahko doseže 80%.
Zakaj pomanjkanje DPO vpliva na razliko
V letu 2024, zanesljivo je, da je Brazil presegel število 700 milijonov napadov kibernetskih kriminalcev. Ocenjuje se, da se zgodi skoraj 1.400 udarcev na minuto in, seveda, podjetja so glavne tarče kriminalcev. Zločini, kot je ransomware – v katerem podatki običajno postanejo "talci" in da, da ne bodo objavljeni na spletu, podjetja morajo plačati ogromno finančno vsoto, so postali postali. Ampak do kdaj bo sistem – žrtve in zavarovalnice – bodo prenašati tako velik obseg napadov?
Ni načina, da bi na to vprašanje ustrezno odgovorili, še posebej, ko same žrtve prenehajo sprejemati potrebne ukrepe za zaščito informacij. Pomanjkanje strokovnjaka, osredotočenega na zaščito podatkov ali, v nekaterih situacijah, ko je domnevni odgovorni za področje naložen toliko nalog, da te dejavnosti ne more opravljati zadovoljivo, še še poslabša to situacijo.
Seveda, da je imenovanje odgovorne osebe, samo po sebi, ne rešuje vseh izzivov prilagoditve, ampak kaže, da se podjetje trudi oblikovati niz praks, ki so v skladu z LGPD. medtem ko, ta pomanjkanje prioritet ne odraža le na možnostih sankcij, ampak tudi v resničnih tveganjih varnostnih incidentov, ki bodo povzročili znatno izgubo. Kazni, ki jih naloži ANPD, so le del problema, sajti, ker so neopredeljene izgube, kako zaupanje trga, lahko so še bolj boleče. V tem kontekstu, intenzivna kontrola se vidi kao neophodna akcija za jačanje mehanizama za sprovođenje zakonodavstva i podsticanje organizacija da stave privatnost nosilaca na dnevni red.
Najeti DPO ali zunanje izvajanje?
Zaposlitev DPO na polni delovni čas je lahko zapletena naloga, sajd ne vedno ni povpraševanja ali interesa po dodelitvi notranjih virov za to povpraševanje.
V tem smislu, outsourcing se kaže kot rešitev za podjetja, ki želijo učinkovito izpolniti zakonodajo, ampak nimajo velike strukture ali virov za vzdrževanje multidisciplinarne ekipe, osredotočene na zaščito podatkov. Ko se obrnete na specializiranega ponudnika storitev, podjetje pridobi dostop do strokovnjakov, ki imajo več izkušenj pri obvladovanju zahtev LGPD v različnih sektorjih trga. Poleg tega, s s odgovornim izvan podjetja podjetje začne obravnavati zaščito podatkov kot nekaj, kar je vključeno v strategijo, namesto točke težave, ki ji je pozornost namenjena le ob prejemu obvestila ali ob pojavu puščanja.
To prispeva k ustvarjanju robustnih procesov, ne da bi bilo potrebno obsežno vlaganje v zaposlovanje, usposabljanje in zadrževanje talentov. Zunanje izvajanje naloge pooblaščenca za podatke presega zgolj imenovanje zunanje osebe. Zagotovitelj običajno nudi stalno svetovanje, izvajanje aktivnosti kartiranja in analize tveganja, pomoč pri oblikovanju notranjih politik, vodenje usposabljanj za ekipe in spremljanje razvoja zakonodaje ter predpisov ANPD.
Poleg tega, ima prednost, da imamo ekipo, ki že ima izkušnje s praktičnimi primeri, kar se zmanjša krivuljo učenja in pomaga preprečiti incidente, ki bi lahko povzročili globe ali škodo ugledu.
Dokje odgovornost zunanjega DPO sega
Pomembno je poudariti, da outsourcanje ne razbremeni organizacije njenih pravnih odgovornosti. Ideja je, da podjetje ohrani zavezo k zagotavljanju varnosti podatkov, ki jih zbira in obdeluje, sajti, da zakonodaja v Braziliji jasno določa, da odgovornost za incidente ne leži le na pooblaščeni osebi, ampak o institucijo kot celoto.
Kaj outsourcing počne, je, da ponuja profesionalno podporo, ki razume potrebne poti za ohranjanje organizacije v skladu z LGPD. Praksa delegiranja takvih zadataka vanjskom partneru već se primjenjuje u drugim zemljama, kjer je zaščita podatkov postala kritična točka upravljanja tveganj in korporativnega upravljanja. Evropska unija, na primer, s splošno uredbo o varstvu podatkov, zahteva, da mnoge podjetja imenujejo pooblaščenca za varstvo podatkov. Tam, različna podjetja so se odločila za zunanje izvajanje storitev s sklenitvijo pogodb s specializiranimi svetovalnimi podjetji, prinašajo vstrokovno znanjeza "notri hiše", brez potrebe po ustanovitvi celotnega oddelka za to.
Nadzirnik, v skladu z zakonodajo, mora imeti avtonomijo za poročanje o napakah in predlaganje izboljšav, in del smernic mednarodnih organizacij se predlaga, da mora biti strokovnjak osvobojen notranjih pritiskov, ki omejujejo njegovo sposobnost nadzora. Konzultacije, ki ponujajo to storitev, razvijajo pogodbe in delovne metodologije, ki zagotavljajo tovrstno neodvisnost, ohranjanje pregledne komunikacije z vodstvom in postavljanje jasnih meril upravljanja.
Ta mehanizem ščiti tako podjetje kot tudi samega strokovnjaka, da mora imeti svobodo opozar ranljivosti, tudi če to nasprotuje uveljavljenim praksam v določenem sektorju ali oddelku.
Intenziviranje nadzora ANPD je znak da se scenarij tolerancije umesto toga prepušta čvršćem stavu, in kdo se bo odločil, da tega problema ne bo reševal zdaj, se bo v ne tako daljni prihodnosti soočil z resnejšimi posledicami.
Za podjetja, ki si želijo varnejše poti, outsourcing je izbira, ki lahko uravnava stroške, učinkovitost in zanesljivost. S tovrstnim partnerstvom, možno je odpraviti vrzeli v notranjem okolju in oblikovati rutino skladnosti, ki bo zaščitila podjetje tako pred sankcijami kot tudi pred tveganji, povezanimi s pomanjkanjem preglednosti in varnosti glede osebnih podatkov, ki so pod njegovo odgovornostjo.
