Чак и након толико година од имплементације Закона о општој заштити података (LGPD) у Бразилу, mnoge kompanije i dalje ne poštuju pravilo. LGPD, koji je stupio na snagu u septembru 2020., stvorena je s ciljem zaštite ličnih podataka brazilskih građana, uspostavljajući jasna pravila o tome kako kompanije treba da prikupljaju, čuvati i obrađivati te informacije. Međutim, uprkos proteklom vremenu, mnoge kompanije su malo napredovale u implementaciji norme.
Nedavno, Nacionalna uprava za zaštitu podataka (ANPD) je pojačala nadzor nad kompanijama koje nemaju zaduženog za podatke, takođe poznat kao službenik za zaštitu podataka (DPO). Nedostatak DPO-a je jedno od glavnih prekršaja koji su identifikovani, pošto je ovaj profesionalac ključan za osiguranje da kompanija bude u skladu sa LGPD. DPO deluje kao posrednik između kompanije, nositelji podataka i ANPD, biti odgovoran za praćenje poštovanja politika zaštite podataka i za vođenje organizacije o najboljim praksama.
I ovi podaci mogu biti samo "vrh sante leda". U stvarnosti, niko ne zna koliko je preduzeća još uvek nije pristupilo normi. Не постоји званични извештај који консолидује тачне бројеве свих компанија које се не придржавају ЛГПД-а. Независна истраживања указују да, uopšteno rečeno, procenat može varirati između 60% i 70% brazilskih preduzeća, posebno među malim i srednjim preduzećima. U slučaju velikih, broj je još veći, mogući do 80%.
Zašto nedostatak DPO-a pravi razliku
U 2024, sigurno je Brazil prešao broj od 700 miliona napada kibernetičkih kriminalaca. Procene se da se dogodi skoro 1.400 udaraca u minuti i, jasno, preduzeća su glavne mete kriminalaca. Zločini poput ransomware-a – u kojem podaci obično postaju "taoci" i koji, da ne bi bili objavljeni na mreži, preduzeća moraju platiti ogromnu finansijsku sumu, su postali uobičajeni. Али до када ће систем – žrtve i osiguravajuće kompanije – ће поднети такав обим напада?
Нема начина да се одговори на ово питање на одговарајући начин, još više kada same žrtve prestanu da preduzimaju potrebne mere za zaštitu informacija. Nedostatak stručnjaka fokusiranog na zaštitu podataka ili, u nekim situacijama, kada navodni odgovorni za oblast akumulira toliko funkcija da ne može da obavlja tu aktivnost na zadovoljavajući način, još više pogoršava ovu situaciju.
Naravno da je imenovanje odgovornog lica, sama po sebi, ne rešava sve izazove prilagođavanja, ali pokazuje da je kompanija posvećena uspostavljanju skupa praksi koje su u skladu sa LGPD. Međutim, ova nedostatak prioritizacije ne odražava se samo na mogućnost sankcija, ali i u stvarnim rizicima od bezbednosnih incidenata, koji će izazvati značajan gubitak. Kazne koje izriče ANPD su samo deo problema, jer je nematerijalne gubitke, kako je poverenje tržišta, mogu biti još bolnije. U ovom panoramu, intenzivnija kontrola se smatra neophodnom akcijom za jačanje mehanizama sprovođenja zakona i podsticanje organizacija da stave privatnost nosilaca podataka u fokus.
Zaposliti DPO ili outsourcovati?
Zapošljavanje DPO-a na puno radno vreme može biti komplikovan zadatak, jer ne postoji uvek potražnja ili interes za alokaciju unutrašnjih resursa za tu potražnju.
U tom smislu, outsourcing se smatra rešenjem za kompanije koje žele da efikasno ispune zakonske obaveze, ali nemaju veliku strukturu ili resurse za održavanje multidisciplinarnog tima usmjerenog na zaštitu podataka. Kada se obraća specijalizovanom pružaocu usluga, kompanija dobija pristup profesionalcima koji imaju više iskustva u radu sa zahtevima LGPD-a u različitim sektorima tržišta. Pored toga, sa spoljnim odgovornim, kompanija počinje da gleda na zaštitu podataka kao na nešto integrisano u strategiju, um um problem koji se rešava samo kada dođe obaveštenje ili kada dođe do curenja.
To doprinosi stvaranju robusnih procesa bez potrebe za velikim ulaganjem u zapošljavanje, obuka i zadržavanje talenata. Outsourcing odgovornika za podatke ide dalje od jednostavnog imenovanja osobe izvan organizacije. Pružalac obično pruža kontinuirano savetovanje, sprovođenje aktivnosti mapiranja i analize rizika, pomažući u izradi unutrašnjih politika, sprovodjenje obuka za timove i praćenje razvoja zakonodavstva i propisa ANPD.
Pored toga, ima prednost imati tim koji već ima iskustvo u praktičnim slučajevima, šta smanjuje krivu učenja i pomaže u sprečavanju incidenata koji bi mogli izazvati kazne ili štetu reputaciji.
Dokle ide odgovornost eksternog DPO-a
Važno je naglasiti da outsourcing ne oslobađa organizaciju njenih pravnih obaveza. Ideja je da kompanija zadrži obavezu da obezbedi sigurnost podataka koje prikuplja i obrađuje, jer je brazilski zakon jasno ukazuje da odgovornost za incidente ne leži samo na zaduženom, ali o instituciji kao celini.
Šta outsourcing radi je pružanje profesionalne podrške, koji razume potrebne puteve za održavanje organizacije u skladu sa LGPD. Praksa delegiranja ove vrste zadatka spoljnjem partneru već se primenjuje u drugim zemljama, gde je zaštita podataka postala kritična tačka upravljanja rizicima i korporativnog upravljanja. Evropska unija, на пример, sa sa Opšti propis o zaštiti podataka, zahteva da mnoge kompanije imenuju službenika za zaštitu podataka. Тамо, različite kompanije su se odlučile za outsourcing usluga angažovanjem specijalizovanih konsultantskih firmi, donoseći nastručnostза "унутар куће", bez potrebe da se stvara ceo odeljenje za to.
Nadležnik, u skladu sa zakonodavstvom, mora imati autonomiju da prijavi greške i predloži poboljšanja, i deo međunarodnih smernica sugeriše da profesionalac treba da bude slobodan od unutrašnjih pritisaka koji ograničavaju njegovu sposobnost nadzora. Konsultacije koje nude ovu uslugu razvijaju ugovore i metodologije rada koje osiguravaju ovu vrstu nezavisnosti, održavajući transparentnu komunikaciju sa menadžerima i uspostavljajući jasne kriterijume upravljanja.
Ovaj mehanizam štiti kako kompaniju tako i samog profesionalca, da treba imati slobodu da ukazuje na ranjivosti čak i ako to ide protiv ustaljenih praksi unutar određenog sektora ili odeljenja.
Intenziviranje nadzora ANPD-a je znak da je scena tolerancije ustupila mesto čvršćem stavu, i ko odluči da ne reši ovaj problem sada, može se suočiti sa težim posledicama u ne tako dalekoj budućnosti.
Za kompanije koje žele sigurniji put, outsourcing je izbor koji može izbalansirati troškove, efikasnost i pouzdanost. Sa tom vrstom partnerstva, moguće je ispraviti praznine u unutrašnjem okruženju i strukturirati rutinu usklađenosti koja će zaštititi kompaniju kako od sankcija, tako i od rizika povezanih sa nedostatkom transparentnosti i sigurnosti u vezi sa ličnim podacima koji su pod njenom odgovornošću.
