Selfs na jare van baie jare sedert die implementering van die Algemene Data Protection Wet (LGPD) in Brasilië, hou baie maatskappye aan om die regulasie nie na te kom nie. Die LGPD, wat in September 2020 in werking getree het, is geskep om die persoonlike data van Brasiliërs te beskerm deur duidelike reëls te stel oor hoe maatskappye hierdie inligting moet versamel, stoor en hanteer. Tog, alhoewel die tyd verloop het, het baie maatskappye min gevorder in die implementering van die standaard.
Onlangs het die Nasionale Toesighoudende Owerheid vir Data-Beskerming (ANPD) die toesig oor maatskappye wat nie 'n data-beampte het nie, ook bekend as Data Protection Officer (DPO), verskerp. Die gebrek aan 'n DPO is een van die hoofoortredings wat geïdentifiseer is, aangesien hierdie professionele persoon noodsaaklik is om te verseker dat die maatskappy in ooreenstemming met die LGPD is. Die DPO dien as 'n tussenganger tussen die maatskappy, die data-eienaars en die ANPD, en is verantwoordelik vir die monitering van die nakoming van data-beskermingsbeleid en om die organisasie te adviseer oor die beste praktyke.
En hierdie data kan net die top van die ysberg wees. In werklikheid weet niemand wat die aantal maatskappye is wat nog nie aan die norm voldoen nie. Daar is geen enkele amptelike opgawe wat die presiese syfers van alle maatskappye wat nie aan die LGPD voldoen nie, konsolideer. Onafhanklike navorsings dui daarop dat die persentasie oor die algemeen tussen 60% en 70% van Brasiliëse maatskappye kan wees, veral onder klein en mediumgrootte ondernemings. In die geval van grootmense is die getal nog groter, en kan dit tot 80% bereik.
Waarom die gebrek aan 'n DPO 'n verskil maak
In 2024, Brazil likely surpassed 700 million cybercriminal attacks. Daar word geskat dat daar byna 1.400 bedrog per minuut plaasvind en, natuurlik, is die maatskappye die hoofdoelwitte van die misdadigers. Misdaad soos ransomware – waarin data gewoonlik "gyselaars" word en wat, om nie aanlyn gepubliseer te word nie, die maatskappye 'n groot finansiële bedrag moet betaal – het alledaags geword. Maar tot wanneer gaan die stelsel – die slagoffers en die versekeraars – die groot volume van aanvalle verdra?
Daar is geen manier om hierdie vraag op 'n geskikte wyse te beantwoord nie, veral wanneer die slagoffers self ophou om die nodige stappe te neem om die inligting te beskerm. Die gebrek aan 'n professionele persoon wat op data-beskerming fokus, of in sommige situasies, wanneer die vermeende verantwoordelike vir die afdeling soveel take opneem dat hulle nie hierdie aktiwiteit op 'n bevredigende wyse kan uitvoer nie, vererger hierdie situasie nog verder.
Dit is duidelik dat die aanwysing van 'n verantwoordelike op sigself nie al die uitdagings van voldoening oplos nie, maar dit wys dat die maatskappy daartoe verbind is om 'n stel praktyke te struktureer wat in lyn is met die LGPD. Intussen weerspieël hierdie gebrek aan prioritisering nie net in die moontlikheid van sanksies nie, maar ook in werklike risiko's van veiligheidsincidenten, wat 'n beduidende verlies sal veroorsaak. Die boetes wat deur die ANPD toegepas word, is net 'n deel van die probleem, aangesien onmeetbare verliese, soos die markvertroue, selfs meer pynlik kan wees. In hierdie prentjie word die strengste toesig gesien as 'n noodsaaklike aksie om die nakomingsmeganismes van die wet te versterk en organisasies aan te moedig om die privaatheid van die eienaars in die gesig te hou.
Huur 'n DPO of kontrakteer uit?
Om 'n DPO voltyds aan te stel, kan 'n moeilike taak wees, omdat daar nie altyd 'n vraag of belangstelling is om interne hulpbronne vir hierdie behoefte toe te wy nie.
In hierdie verband word uitbesteding as 'n oplossing vir maatskappye wat die wetgewing effektief wil nakom, maar nie oor 'n groot struktuur of hulpbronne beskik om 'n multidissiplinêre span vir databeskerming te handhaaf nie. Wanneer 'n gespesialiseerde diensverskaffer geraadpleeg word, kry die maatskappy toegang tot professionele persone met meer ervaring om aan die vereistes van die LGPD in verskillende sektore van die mark te voldoen. Boonop beskou die maatskappy dat 'n eksterne verantwoordelike die beskerming van data as 'n geïntegreerde deel van die strategie, in plaas van 'n eenmalige probleem wat slegs aandag kry wanneer 'n kennisgewing ontvang word of wanneer 'n lek plaasvind.
Dit dra by tot die ontwikkeling van robuuste prosesse sonder dat daar 'n groot belegging in werwing, opleiding en behoud van talent nodig is. Die uitbesteding van die data-beheerder gaan verder as net die aanstelling van 'n buitepersoon. Die verskaffer bied gewoonlik deurlopende adviesdienste aan, deur risiko-analise en -opsporing uit te voer, te help met die ontwikkeling van interne beleid, opleiding aan die spanne te gee en die ontwikkeling van wetgewing en regulasies van die ANPD te volg.
Daarbenewens is daar die voordeel om te hê 'n span wat reeds ervaring het in praktiese gevalle, wat die leeriklus verminder en help om voorvalle te voorkom wat boetes of skade aan die reputasie kan veroorsaak.
Hoe ver strek die uitgekontrakteerde DPO se verantwoordelikheid?
Dit is belangrik om daarop te let dat uitkontraktering nie die organisasie se regsverantwoordelikhede vrywaar nie. Die idee is dat die maatskappy die verbintenis hou om die veiligheid van die data wat dit insamel en hanteer, te verseker, aangesien die Brasiliaanse wetgewing duidelik maak dat die verantwoordelikheid vir voorvalle nie net op die persoon wat daartoe aangestel is, rus nie, maar op die hele instelling.
Wat die uitbesteding doen, is om 'n professionele ondersteuning te bied wat die nodige pad verstaan om die organisasie in lyn met die LGPD te hou. Die praktyk om hierdie tipe taak aan 'n eksterne vennoot toe te ken, word reeds in ander lande toegepas, waar databeskerming 'n kritieke punt van risiko bestuur en korporatiewe governance geword het. Unie Europese, byvoorbeeld, met die Algemene Verordening Gegevensbeskerming, vereis dat baie maatskappye 'n data beskermingsbeampte aanstel. Daar het verskeie maatskappye gekies het om die diens uit te kontrakteer deur gespesialiseerde konsultasies aan te stel, wat die kundigheidbinne by die huis, sonder om 'n hele departement daarvoor te skep.
Die verantwoordelike persoon moet volgens die wetgewing die bevoegdheid hê om wanbeloftes aan te meld en verbeterings voor te stel, en sommige internasionale riglyne dui daarop dat die professionele vry moet wees van interne druk wat sy inspeksievaardigheid beperk. Die konsultasies wat hierdie diens aanbied, ontwikkel kontrakte en werkmetodologieë wat hierdie tipe onafhanklikheid verseker, deur oop kommunikasie met die bestuurders te handhaaf en duidelike governance-kriteria te stel.
Hierme beskerm beide die maatskappy en die professionele persoon self, wat die vryheid moet hê om kwesbaarhede aan te dui, selfs al gaan dit teen gevestigde praktyke binne 'n sekere sektor of departement.
Die versterking van die toesig deur die ANPD is 'n teken dat die toleransiescenario plek maak vir 'n meer vasberade houding, en wie kies om nie nou hierdie probleem aan te pak nie, kan in die toekoms swaar gevolge inhou.
Vir maatskappye wat 'n veiliger pad soek, is uitbesteeing 'n keuse wat koste, doeltreffendheid en betroubaarheid kan balanseer. Met hierdie tipe vennootskap is dit moontlik om leemtes in die interne omgewing reg te stel en 'n nakomingsroetine te struktureer wat die maatskappy sal beskerm teen sanksies sowel as die risiko's verbonde aan die gebrek aan deursigtigheid en sekuriteit rakende persoonlike data wat onder jou verantwoordelikheid is.
