Även efter så många år sedan genomförandet av den allmänna dataskyddslagen (LGPD) i Brasilien, många företag fortsätter att bryta mot normen. LGPD, som trädde i kraft i september 2020, skapades för att skydda de personliga uppgifterna för brasilianska medborgare, etablera tydliga regler för hur företag ska samla in, lagra och behandla denna information. Emellertid, trots den tid som har gått, många företag har gjort lite framsteg i genomförandet av normen.
Nyligen, Den nationella dataskyddsmyndigheten (ANPD) har intensifierat tillsynen över företag som inte har en dataskyddsombud, även känd som Data Protection Officer (DPO). Bristen på en DPO är en av de främsta överträdelserna som identifierats, eftersom denna professionell är avgörande för att säkerställa att företaget följer LGPD. DPO:n fungerar som en mellanhand mellan företaget, dataägarna och ANPD, ansvarig för att övervaka efterlevnaden av dataskyddspolicyer och för att vägleda organisationen om bästa praxis.
Och dessa data kan vara bara "toppen av isberget". I verkligheten, ingen vet hur många företag som fortfarande inte har anslutit sig till normen. Det finns ingen officiell sammanställning som konsoliderar de exakta siffrorna för alla företag som inte följer LGPD Oberoende undersökningar visar att, i allmänna termer, procentandelen kan variera mellan 60% och 70% av de brasilianska företagen, särskilt bland små och medelstora företag. I fallet med de stora, numret är ännu större, kan nå upp till 80%.
Varför bristen på en DPO gör skillnad
År 2024, säkert har Brasilien överstigit antalet 700 miljoner attacker från cyberkriminella. Det uppskattas att nästan 1 sker.400 slag per minut och, klart, företagen är de främsta målen för brottslingar. Brott som ransomware – där data vanligtvis blir "gisslan" och att, för att de inte ska publiceras online, företagen måste betala en enorm summa pengar, blev vardagliga. Men tills när systemet – offren och försäkringsbolagen – kommer att klara av en så stor volym av attacker?
Det finns inget sätt att svara på den här frågan på ett lämpligt sätt, ännu mer när de egna offren slutar vidta nödvändiga åtgärder för att skydda informationen. Brist på en professionell som fokuserar på dataskydd eller, i vissa situationer, när den påstådda ansvariga för området har så många uppgifter att hen inte kan utföra denna aktivitet på ett tillfredsställande sätt, förvärrar ännu mer denna situation.
Det är klart att utnämningen av en ansvarig, för sig själv, löser inte alla anpassningsutmaningar, men visar att företaget är engagerat i att strukturera en uppsättning av praxis som är förenliga med LGPD. Under tiden, denna brist på prioritering återspeglas inte bara i möjligheten till sanktioner, men även i verkliga risker för säkerhetsincidenter, som kommer att orsaka en betydande förlust. De böter som ANPD ålägger är bara en del av problemet, eftersom de immateriella förlusterna, hur marknadens förtroende, kan vara ännu mer smärtsamma. I denna panorama, den intensivare tillsynen ses som en nödvändig åtgärd för att stärka mekanismerna för efterlevnad av lagstiftningen och uppmuntra organisationer att sätta ägarnas integritet på agendan.
Anlita en DPO eller outsourca?
Att anställa en DPO på heltid kan vara en komplicerad uppgift, för det finns inte alltid efterfrågan eller intresse att avsätta interna resurser för denna efterfrågan.
I det här avseendet, outsourcing har pekats ut som en lösning för företag som vill följa lagstiftningen på ett effektivt sätt, men har inte tillgång till en stor struktur eller resurser för att upprätthålla ett tvärvetenskapligt team inriktat på dataskydd. När man vänder sig till en specialiserad tjänsteleverantör, företaget får tillgång till yrkesverksamma som har mer erfarenhet av att hantera kraven i LGPD inom olika marknadssektorer. Dessutom, med en en extern ansvarig börjar företaget se dataskydd som något som är integrerat i strategin, istället för ett punktproblem som bara får uppmärksamhet när en avisering kommer eller när en läcka inträffar.
Detta bidrar till skapandet av robusta processer utan att det krävs en stor investering i rekrytering, utbildning och talangbevarande. Uppdraget av dataskyddsombudet går bortom att bara utse en extern person. Leverantören brukar erbjuda kontinuerlig rådgivning, genomförande av kartläggnings- och riskanalysaktiviteter, hjälpa till med utarbetandet av interna policyer, genomföra utbildningar för teamen och följa utvecklingen av lagstiftningen och ANPD:s normer.
Dessutom, det finns en fördel med att ha ett team som redan har erfarenhet av praktiska fall, vad som minskar inlärningskurvan och hjälper till att förebygga incidenter som kan leda till böter eller skada på rykte.
Till vilken punkt sträcker sig ansvaret för den externa DPO:n
Det är viktigt att påpeka att outsourcing inte befriar organisationen från sina juridiska ansvarigheter. Idén är att företaget ska upprätthålla sitt åtagande att säkerställa säkerheten för de data som det samlar in och behandlar, för den brasilianska lagstiftningen klargör att ansvaret för incidenter inte endast faller på den ansvarige, mer om institutionen som helhet.
Vad outsourcing gör är att erbjuda ett professionellt stöd, som förstår de nödvändiga vägarna för att hålla organisationen i linje med LGPD. Praktiken att delegera den här typen av uppgift till en extern partner används redan i andra länder, där dataskydd har blivit en kritisk punkt för riskhantering och företagsstyrning. Europeiska unionen, till exempel, med den allmänna dataskyddsförordningen, kräver att många företag utser en dataskyddsombud. Där, flera företag har valt att outsourca tjänsten genom att anlita specialiserade konsultföretag, för att ta medexpertisför "inomhus", utan att behöva skapa en hel avdelning för det.
Den ansvarige, enligt lagstiftningen, måste ha autonomi för att rapportera fel och föreslå förbättringar, och delar av de internationella riktlinjerna föreslår att yrkespersonen bör vara fri från interna påtryckningar som begränsar deras tillsynsförmåga. De konsultföretag som erbjuder denna tjänst utvecklar kontrakt och arbetsmetoder som säkerställer denna typ av oberoende, genom att upprätthålla en transparent kommunikation med cheferna och fastställa tydliga kriterier för styrning.
Denna mekanism skyddar både företaget och den anställde, som behöver ha friheten att påpeka sårbarheter även om det går emot etablerade metoder inom en viss sektor eller avdelning.
Intensifieringen av ANPD:s tillsyn är ett tecken på att toleransens scenarier ger plats åt en fastare hållning, och den som väljer att inte ta itu med detta problem nu kan möta tyngre konsekvenser i en inte alltför avlägsen framtid.
För företag som önskar en säkrare väg, outsourcing är ett val som kan balansera kostnad, effektivitet och tillförlitlighet. Med den här typen av partnerskap, det är möjligt att åtgärda brister i den interna miljön och strukturera en compliance-rutin som kommer att skydda företaget både från sanktioner och från riskerna kopplade till bristande transparens och säkerhet när det gäller de personuppgifter som ligger under dess ansvar.
