แม้จะผ่านไปหลายปีตั้งแต่การบังคับใช้กฎหมายคุ้มครองข้อมูลทั่วไป (LGPD) ในบราซิล, หลายบริษัทยังคงไม่ปฏิบัติตามกฎระเบียบ. LGPD, ซึ่งมีผลบังคับใช้ตั้งแต่เดือนกันยายน 2020, ถูกสร้างขึ้นเพื่อปกป้องข้อมูลส่วนบุคคลของพลเมืองบราซิล, การกำหนดกฎเกณฑ์ที่ชัดเจนเกี่ยวกับวิธีที่บริษัทต่างๆ ควรเก็บข้อมูล, จัดเก็บและจัดการข้อมูลเหล่านี้. อย่างไรก็ตาม, แม้เวลาจะผ่านไป, หลายบริษัทก้าวหน้าเพียงเล็กน้อยในการนำมาตรฐานไปใช้.
เมื่อเร็วๆ นี้, หน่วยงานคุ้มครองข้อมูลแห่งชาติ (ANPD) ได้เพิ่มความเข้มงวดในการตรวจสอบบริษัทที่ไม่มีผู้รับผิดชอบด้านข้อมูล, ที่รู้จักกันในชื่อเจ้าหน้าที่คุ้มครองข้อมูล (DPO). การขาด DPO เป็นหนึ่งในการละเมิดหลักที่ถูกระบุ, เนื่องจากมืออาชีพนี้มีความสำคัญต่อการรับประกันว่าบริษัทจะปฏิบัติตามกฎหมาย LGPD. DPO ทำหน้าที่เป็นตัวกลางระหว่างบริษัท, เจ้าของข้อมูลและ ANPD, มีหน้าที่รับผิดชอบในการตรวจสอบการปฏิบัติตามนโยบายการปกป้องข้อมูลและให้คำแนะนำแก่หน่วยงานเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุด.
และข้อมูลเหล่านี้อาจเป็นเพียง "ยอดภูเขาน้ำแข็ง" เท่านั้น. ในความเป็นจริง, ไม่มีใครรู้ว่ามีจำนวนบริษัทเท่าไหร่ที่ยังไม่ได้เข้าร่วมมาตรฐาน. ไม่มีการสำรวจอย่างเป็นทางการที่รวมตัวเลขที่แน่นอนของบริษัทที่ไม่ปฏิบัติตาม LGPD การวิจัยอิสระชี้ให้เห็นว่า, โดยทั่วไป, เปอร์เซ็นต์อาจแตกต่างกันระหว่าง 60% ถึง 70% ของบริษัทบราซิล, โดยเฉพาะอย่างยิ่งระหว่างธุรกิจขนาดเล็กและขนาดกลาง. ในกรณีของผู้ใหญ่, หมายเลขนั้นยังใหญ่กว่าเดิม, สามารถถึง 80%.
ทำไมการขาด DPO ถึงมีความสำคัญ
ในปี 2024, บราซิลน่าจะมีจำนวนการโจมตีจากอาชญากรไซเบอร์เกิน 700 ล้านครั้ง. คาดว่าจะเกิดขึ้นเกือบ 1.400 ครั้งต่อนาที และ, ชัดเจน, บริษัทต่างๆ เป็นเป้าหมายหลักของอาชญากร. อาชญากรรมเช่นแรนซัมแวร์ – ไม่มีคุณสมบัติที่ข้อมูลมักจะกลายเป็น "ตัวประกัน" และที่, เพื่อไม่ให้เผยแพร่ทางออนไลน์, บริษัทต่างๆ จำเป็นต้องจ่ายเงินจำนวนมหาศาล, กลายเป็นเรื่องปกติ. แต่จนถึงเมื่อไหร่ระบบ – เหยื่อและบริษัทประกันภัย – จะรองรับปริมาณการโจมตีขนาดนี้ได้?
ไม่มีวิธีการตอบคำถามนี้อย่างเหมาะสม, ยิ่งไปกว่านั้นเมื่อเหยื่อเองไม่ดำเนินการตามที่จำเป็นเพื่อปกป้องข้อมูล. การขาดแคลนผู้เชี่ยวชาญที่มุ่งเน้นการปกป้องข้อมูลหรือ, ในบางสถานการณ์, เมื่อผู้ที่ถูกกล่าวหาว่าเป็นผู้รับผิดชอบในด้านนั้นมีหน้าที่มากเกินไปจนไม่สามารถทำกิจกรรมนั้นได้อย่างน่าพอใจ, ทำให้สถานการณ์นี้แย่ลงไปอีก.
ชัดเจนว่าการแต่งตั้งผู้รับผิดชอบ, เพียงแค่ตัวเอง, ไม่สามารถแก้ไขความท้าทายด้านความเหมาะสมทั้งหมดได้, แต่แสดงให้เห็นว่าบริษัทมีความมุ่งมั่นในการจัดระเบียบชุดของแนวปฏิบัติที่สอดคล้องกับ LGPD. ในระหว่างนี้, การขาดความสำคัญนี้ไม่เพียงแต่สะท้อนถึงความเป็นไปได้ของการลงโทษ, แต่ยังมีความเสี่ยงที่แท้จริงจากเหตุการณ์ด้านความปลอดภัย, ซึ่งจะก่อให้เกิดความเสียหายอย่างมาก. ค่าปรับที่กำหนดโดย ANPD เป็นเพียงส่วนหนึ่งของปัญหา, เพราะการสูญเสียที่ไม่สามารถสัมผัสได้, ความเชื่อมั่นของตลาด, อาจจะเจ็บปวดมากขึ้นอีก. ในภาพรวมนี้, การตรวจสอบที่เข้มงวดมากขึ้นถูกมองว่าเป็นการกระทำที่จำเป็นเพื่อเสริมสร้างกลไกการปฏิบัติตามกฎหมายและกระตุ้นให้องค์กรต่างๆ ให้ความสำคัญกับความเป็นส่วนตัวของเจ้าของข้อมูล.
จ้าง DPO หรือจ้างภายนอก?
การจ้าง DPO แบบเต็มเวลาอาจเป็นงานที่ซับซ้อน, เพราะไม่เสมอไปที่มีความต้องการหรือความสนใจในการจัดสรรทรัพยากรภายในสำหรับความต้องการนี้.
ในแง่นี้, การจ้างงานภายนอกถูกชี้ให้เห็นว่าเป็นทางออกสำหรับบริษัทที่ต้องการปฏิบัติตามกฎหมายอย่างมีประสิทธิภาพ, แต่ไม่มีโครงสร้างขนาดใหญ่หรือทรัพยากรในการรักษาทีมที่มีความหลากหลายซึ่งมุ่งเน้นไปที่การปกป้องข้อมูล. เมื่อมีการขอความช่วยเหลือจากผู้ให้บริการที่เชี่ยวชาญ, บริษัทจะเข้าถึงผู้เชี่ยวชาญที่มีประสบการณ์มากขึ้นในการจัดการกับข้อกำหนดของ LGPD ในภาคส่วนต่างๆ ของตลาด. นอกจากนี้, ด้วยการมีผู้รับผิดชอบภายนอก บริษัทจึงเริ่มมองว่าการปกป้องข้อมูลเป็นสิ่งที่บูรณาการเข้ากับกลยุทธ์, แทนที่จะเป็นปัญหาชั่วคราวที่ได้รับความสนใจเฉพาะเมื่อมีการแจ้งเตือนหรือเมื่อเกิดการรั่วไหล.
สิ่งนี้ช่วยในการสร้างกระบวนการที่แข็งแกร่งโดยไม่จำเป็นต้องมีการลงทุนจำนวนมากในด้านการสรรหา, การฝึกอบรมและการรักษาพนักงานที่มีความสามารถ. การจ้างงานผู้รับผิดชอบข้อมูลจากภายนอกนั้นเกินกว่าการตั้งชื่อบุคคลจากภายนอกเพียงอย่างเดียว. ผู้ให้บริการมักจะให้คำปรึกษาอย่างต่อเนื่อง, ดำเนินกิจกรรมการทำแผนที่และการวิเคราะห์ความเสี่ยง, ช่วยในการจัดทำนโยบายภายใน, การจัดฝึกอบรมสำหรับทีมงานและติดตามความก้าวหน้าของกฎหมายและระเบียบข้อบังคับของ ANPD.
นอกจากนี้, มีข้อดีในการมีทีมงานที่มีประสบการณ์ในกรณีปฏิบัติจริง, สิ่งที่ช่วยลดเส้นโค้งการเรียนรู้และช่วยป้องกันเหตุการณ์ที่อาจก่อให้เกิดค่าปรับหรือความเสียหายต่อชื่อเสียง.
ความรับผิดชอบของ DPO ที่จ้างจากภายนอกไปถึงไหน
เป็นสิ่งสำคัญที่จะต้องเน้นว่าการจ้างงานภายนอกไม่ได้ทำให้องค์กรพ้นจากความรับผิดชอบทางกฎหมาย. แนวคิดคือบริษัทจะต้องรักษาความมุ่งมั่นในการรับประกันความปลอดภัยของข้อมูลที่เก็บรวบรวมและจัดการ, เพราะกฎหมายบราซิลชี้ให้เห็นว่าความรับผิดชอบต่อเหตุการณ์ไม่ได้อยู่เพียงแค่ที่ผู้รับผิดชอบ, แต่เกี่ยวกับสถาบันโดยรวม.
สิ่งที่การจ้างงานภายนอกทำคือการเสนอการสนับสนุนที่เป็นมืออาชีพ, ที่เข้าใจเส้นทางที่จำเป็นในการรักษาองค์กรให้สอดคล้องกับ LGPD. การมอบหมายงานประเภทนี้ให้กับพันธมิตรภายนอกได้ถูกนำมาใช้ในประเทศอื่น ๆ แล้ว, ที่ซึ่งการปกป้องข้อมูลกลายเป็นจุดสำคัญของการจัดการความเสี่ยงและการกำกับดูแลกิจการ. สหภาพยุโรป, ตัวอย่างเช่น, ตามระเบียบทั่วไปว่าด้วยการคุ้มครองข้อมูล, กำหนดให้บริษัทหลายแห่งต้องแต่งตั้งเจ้าหน้าที่ปกป้องข้อมูล. ที่นั่น, หลายบริษัทเลือกที่จะจ้างบริการจากบริษัทที่ปรึกษาที่มีความเชี่ยวชาญ, นำมาให้ความเชี่ยวชาญในบ้าน, โดยไม่ต้องสร้างแผนกทั้งหมดเพื่อสิ่งนี้.
ผู้รับผิดชอบ, ตามกฎหมาย, ต้องมีความเป็นอิสระในการรายงานข้อบกพร่องและเสนอแนวทางปรับปรุง, และส่วนหนึ่งของแนวทางระหว่างประเทศแนะนำว่ามืออาชีพควรปราศจากแรงกดดันภายในที่จำกัดความสามารถในการตรวจสอบของเขา. ที่ปรึกษาที่ให้บริการนี้พัฒนาสัญญาและระเบียบวิธีการทำงานที่รับประกันความเป็นอิสระประเภทนี้, การรักษาการสื่อสารที่โปร่งใสกับผู้จัดการและการกำหนดเกณฑ์การบริหารจัดการที่ชัดเจน.
กลไกนี้ปกป้องทั้งบริษัทและตัวมืออาชีพเอง, ที่ต้องมีเสรีภาพในการชี้ให้เห็นถึงช่องโหว่แม้ว่าสิ่งนี้จะขัดแย้งกับแนวปฏิบัติที่เป็นที่ยอมรับในภาคส่วนหรือแผนกใดแผนกหนึ่ง.
การเพิ่มความเข้มงวดในการตรวจสอบของ ANPD เป็นสัญญาณว่าบรรยากาศของการอดทนกำลังเปลี่ยนไปสู่ท่าทีที่เข้มงวดมากขึ้น, และผู้ที่เลือกที่จะไม่จัดการกับปัญหานี้ในตอนนี้อาจเผชิญกับผลกระทบที่รุนแรงมากขึ้นในอนาคตอันใกล้.
สำหรับบริษัทที่ต้องการเส้นทางที่ปลอดภัยมากขึ้น, การจ้างงานภายนอกเป็นทางเลือกที่สามารถสร้างความสมดุลด้านค่าใช้จ่าย, ประสิทธิภาพและความเชื่อถือได้. ด้วยประเภทของความร่วมมือนี้, สามารถแก้ไขช่องว่างในสภาพแวดล้อมภายในและจัดโครงสร้างกิจวัตรการปฏิบัติตามกฎระเบียบที่จะปกป้องบริษัทจากทั้งการลงโทษและความเสี่ยงที่เกี่ยวข้องกับการขาดความโปร่งใสและความปลอดภัยเกี่ยวกับข้อมูลส่วนบุคคลที่อยู่ภายใต้ความรับผิดชอบของตน.
