即使在巴西实施通用数据保护法(LGPD)多年之后, 许多公司仍然未遵守规定. LGPD, 于2020年9月生效, 旨在保护巴西公民个人数据的法律被制定, 建立关于企业如何收集数据的明确规则, 存储和处理这些信息. 然而, 尽管时间已经过去, 许多公司在实施标准方面进展甚微.
最近, 国家数据保护局(ANPD)加强了对没有数据负责人公司的监管, 也称为数据保护官(DPO). 缺乏数据保护官是识别出的主要违规行为之一, 因为这个专业人员对确保公司遵守LGPD至关重要. DPO充当公司与之间的中介, 数据主体和ANPD, 负责监测数据保护政策的执行并指导组织最佳实践.
这些数据可能只是“冰山一角”. 实际上, 没有人知道还有多少公司尚未遵守该规范. 没有一个官方的统一统计来整合所有不遵守LGPD的公司的确切数字 独立研究表明, 一般来说, 百分比可能在60%到70%之间的巴西公司, 特别是在小型和中型企业之间. 在大型的情况下, 数字还要更大, 可以达到80%.
为什么缺乏 DPO 会产生影响
在2024年, 巴西的网络犯罪攻击次数肯定超过了7亿次. 估计发生近1.每分钟400次 удар, 当然, 企业是犯罪分子的主要目标. 勒索软件等犯罪 – 在这种情况下,数据通常成为“人质”,并且, 以免在线发布, 企业需要支付一笔巨额资金, 变得司空见惯. 但系统要到什么时候 – 受害者和保险公司 – 将承受如此大规模的攻击?
没有办法恰当地回答这个问题, 尤其是当受害者自己不采取必要措施来保护信息时. 缺乏专注于数据保护的专业人员或, 在某些情况下, 当所谓的责任人承担了太多职能,以至于无法令人满意地履行该活动, 进一步加剧了这种情况.
当然,指定一名负责人, 单独, 并不能解决所有的适应挑战, 但这表明公司致力于建立一套与LGPD一致的实践. 与此同时, 这种缺乏优先级的情况不仅反映在可能的制裁上, 但也存在实际的安全事件风险, 将造成相当大的损失. ANPD施加的罚款只是问题的一部分, 因为无形损失, 市场信心如何, 可能会更加痛苦. 在这种背景下, 更严格的监管被视为加强法律遵守机制和鼓励组织将个人隐私置于议程上的必要行动.
雇佣数据保护官还是外包?
聘请全职数据保护官可能是一项复杂的任务, 因为并不总是有需求或兴趣将内部资源分配给这一需求.
在这个意义上, 外包被认为是希望有效遵守法律的公司的一个解决方案, 但他们没有足够的结构或资源来维持一个专注于数据保护的多学科团队. 当寻求专业服务提供商时, 公司获得了接触更有经验的专业人士的机会,以应对市场不同领域的LGPD要求. 此外, 通过外部负责人,公司开始将数据保护视为与战略相结合的内容, 而不是一个只在收到通知或发生泄漏时才引起注意的局部问题.
这有助于创建强大的流程,而无需在招聘上进行大量投资, 人才培训与留用. 数据负责人的外包不仅仅是简单地指定一个外部人员. 服务提供者通常提供持续的咨询, 进行风险映射和分析活动, 协助制定内部政策, 进行团队培训并跟踪ANPD的立法和规范的发展.
此外, 有一个优势是拥有一支已经在实际案例中积累经验的团队, 减少学习曲线并帮助防止可能导致罚款或声誉损害的事件的因素.
外包DPO的责任范围有多大?
重要的是要强调,外包并不免除组织的法律责任. 公司的想法是保持承诺,确保其收集和处理的数据的安全性, 因为巴西立法明确规定,事件的责任不仅仅落在负责人身上, 但关于整个机构.
外包所做的是提供专业化的支持, 了解保持组织与LGPD一致所需的路径. 将此类任务委托给外部合作伙伴的做法在其他国家已经被采纳, 数据保护已成为风险管理和公司治理的关键点. 欧盟, 例如, 与通用数据保护条例, 要求许多公司指定数据保护负责人. 那里, 多家公司选择通过聘请专业咨询公司来外包服务, 带来专业知识在“家里”, 无需为此创建整个部门.
负责人, 根据法律, 需要有自主权来报告故障和提出改进建议, 国际指导方针的一部分建议专业人员应当摆脱内部压力,以免限制其监督能力. 提供此服务的咨询公司制定合同和工作方法,以确保这种独立性, 与管理者保持透明的沟通,并建立明确的治理标准.
这个机制既保护公司,也保护专业人士, 需要有自由指出脆弱性,即使这与特定行业或部门内的既定实践相悖.
ANPD加强监管的强化是一个信号,表明宽容的局面正在让位于更坚定的态度, 而选择现在不处理这个问题的人可能在不久的将来面临更严重的后果.
对于希望走更安全道路的公司, 外包是一种能够平衡成本的选择, 效率和可靠性. 通过这种类型的合作, 可以修复内部环境中的漏洞,并建立一个合规程序,以保护公司免受制裁以及与缺乏透明度和安全性相关的个人数据风险.
