Vaikka kuinka monta vuotta on kulunut Brasilian yleisestä tietosuojalaista (LGPD) voimaantulosta, monet yritykset noudattavat edelleen sääntöä väärin. LGPD, joka tuli voimaan syyskuussa 2020, luotiin suojelemaan brasilialaisten kansalaisten henkilötietoja ja asettamaan selkeät säännöt siitä, miten yritysten tulisi kerätä, tallentaa ja käsitellä näitä tietoja. Huolimatta kuluneesta ajasta, monet yritykset ovat edistyneet vähän standardin käyttöönotossa.
Äskettäin Kansallinen tietosuojaviranomainen (ANPD) on tehostanut valvontaa yrityksissä, joilla ei ole tietosuojavastaavaa, tunnetaan myös nimellä Data Protection Officer (DPO). Yksityisyyden suojaavan henkilön (DPO) puuttuminen on yksi tärkeimmistä havaitsemista rikkomuksista, koska tämä ammattilainen on välttämätön varmistaakseen, että yritys noudattaa LGPD:tä. DPO toimii välittäjänä yrityksen, tietojen omistajien ja ANPD:n välillä, ja on vastuussa tietosuojakäytäntöjen noudattamisen valvonnasta sekä organisaation ohjaamisesta parhaiden käytäntöjen noudattamisessa.
Ja nämä tiedot voivat olla vain jäävuoren huippu. Itse asiassa kukaan ei tiedä, kuinka monta yritystä ei ole vielä ottanut standardia käyttöön. Ei ole yhtenäistä virallista selvitystä, joka kokoaisi kaikkien LGPD:hen liittymättömien yritysten tarkat luvut. Riippumattomat tutkimukset osoittavat, että yleisesti ottaen osuus voi vaihdella 60 %:sta 70 %:iin brasilialaisista yrityksistä, erityisesti pienissä ja keskisuurissa yrityksissä. Suuremmissa tapauksissa luku on vielä suurempi, jopa 80 %.
Miksi DPO:n puute tekee eron
Vuonna 2024 Brasil on todennäköisesti ylittänyt 700 miljoonan kyberrikollisten hyökkäyksen rajan. Arvioidaan, että tapahtuu lähes 1 400 huijausta minuutissa, ja tietenkin yritykset ovat rikollisten pääkohteita. Rikokset kuten ransomware – jossa tiedot yleensä joutuvat "vankeuteen" ja joita varten yritysten on maksettava suuri rahasumma, jotta niitä ei julkaista verkossa – ovat tulleet arkipäiväisiksi. Mutta kuinka kauan järjestelmä – uhrit ja vakuutusyhtiöt – kestävät näin suuren hyökkäysmäärän?
Ei voi vastata tähän kysymykseen asianmukaisesti, varsinkaan kun itse uhrit eivät ryhdy tarvittaviin toimenpiteisiin tietojen suojelemiseksi. Puuttuminen tietosuojasta vastaavasta ammattilaisesta tai joissakin tilanteissa, kun oletettu vastuuhenkilö kerää niin paljon tehtäviä, ettei hän pysty suorittamaan tätä toimintaa tyydyttävästi, pahentaa tätä tilannetta entisestään.
On selvää, että vastuuhenkilön nimeäminen ei yksin ratkaise kaikkia vaatimustenmukaisuuden haasteita, mutta se osoittaa, että yritys on sitoutunut rakentamaan joukkoa käytäntöjä, jotka ovat yhdenmukaisia tietosuojalain kanssa. Samaan aikaan tämä priorisoinnin puute ei vaikuta vain mahdollisuuksiin rangaistuksiin, vaan myös todellisiin turvallisuusriskeihin, jotka aiheuttavat huomattavia vahinkoja. ANPD:n soveltamat sakot ovat vain osa ongelmaa, sillä aineettomat menetykset, kuten markkinan luottamus, voivat olla vieläkin kivuliaampia. Tässä tilanteessa tiukempi valvonta nähdään tarpeellisena toimenpiteenä lainsäädännön noudattamisen varmistamiseksi ja organisaatioiden kannustamiseksi asettamaan rekisteröityjen yksityisyyden etusijalle.
Palkkaako DPO:n vai ulkoistetaanko?
Täysipäiväisen DPO:n palkkaaminen voi olla haastavaa, sillä ei aina ole kysyntää tai kiinnostusta kohdentaa sisäisiä resursseja tähän tarpeeseen.
Tässä mielessä ulkoistaminen on noussut ratkaisuksi yrityksille, jotka haluavat noudattaa lainsäädäntöä tehokkaasti, mutta eivät omaa suurta rakennetta tai resursseja monialaisen tiimin ylläpitämiseen tietojen suojaamiseksi. Kun käytetään erikoistunutta palveluntarjoajaa, yritys saa käyttöönsä ammattilaisia, joilla on enemmän kokemusta LGPD:n vaatimusten käsittelemisestä eri markkinasektoreilla. Lisäksi ulkopuolisen vastuuhenkilön kanssa yritys alkaa pitää tietosuojasta osana strategiaa sen sijaan, että se olisi vain satunnainen ongelma, johon kiinnitetään huomiota vain, kun saapuu ilmoitus tai tapahtuu vuoto.
Tämä edistää vankkojen prosessien luomista ilman suuria investointeja rekrytointiin, koulutukseen ja kykyjen säilyttämiseen. Tietosuojavastaavan ulkoistaminen tarkoittaa enemmän kuin pelkkää ulkopuolisen henkilön nimeämistä. Toimittaja tarjoaa yleensä jatkuvaa neuvontaa, suorittaen kartoitus- ja riskianalyysejä, avustaen sisäisten politiikkojen laatimisessa, järjestäen koulutuksia tiimeille ja seuraamalla lainsäädännön ja ANPD:n normien kehittymistä.
Lisäksi on etuna, että tiimillä on jo kokemusta käytännön tapauksista, mikä vähentää oppimiskäyrää ja auttaa ehkäisemään tapauksia, jotka voisivat johtaa sakkoihin tai maineen vahingoittumiseen.
Mihin asti ulkoistetun DPO:n vastuu ulottuu
On tärkeää korostaa, että ulkoistaminen ei vapauta organisaatiota sen oikeudellisista vastuistaan. Tavoitteena on, että yritys säilyttää sitoumuksensa varmistaa keräämiensä ja käsittelemäensä tietojen turvallisuus, sillä brasilialainen lainsäädäntö tekee selväksi, että vastuu tapahtumista ei ole vain vastuuhenkilöllä, vaan koko instituutiolla.
Mitä ulkoistaminen tekee, on tarjota ammatillista tukea, joka ymmärtää tarvittavat keinot organisaation pitämiseksi LGPD:n mukaisena. Tämän tyyppisten tehtävien delegointi ulkopuoliselle yhteistyökumppanille on jo käytössä muissa maissa, joissa tietojen suojaaminen on muodostunut kriittiseksi riskienhallinnan ja yritysjohtamisen kannalta. Euroopan unioni, esimerkiksi, yleisen tietosuoja-asetuksen kanssa, vaatii monia yrityksiä nimeämään tietosuojavastaavan. Siellä useat yritykset valitsivat palvelun ulkoistamisen palkkaamalla erikoistuneita konsultteja, tuoden mukanaanasiantuntemussisällä talossa, ilman tarvetta luoda koko osastoa sitä varten.
Vastaava henkilön on lain mukaan oltava itsenäinen raportoimaan puutteista ja ehdottamaan parannuksia, ja kansainväliset ohjeet ehdottavat, että ammattilaisen tulisi olla vapaa sisäisistä paineista, jotka rajoittavat hänen valvontakykyään. Neuvontapalvelut, jotka tarjoavat tämän palvelun, kehittävät sopimuksia ja työmenetelmiä, jotka varmistavat tämän tyyppisen riippumattomuuden, ylläpitävät avointa viestintää johtajien kanssa ja asettavat selkeät hallintoperiaatteet.
Tämä mekanismi suojaa sekä yritystä että itse ammattilaista, joka tarvitsee vapauden ilmoittaa haavoittuvuuksista, vaikka se menisi vastaan vakiintuneita käytäntöjä tietyllä alalla tai osastolla.
ANPD:n valvontojen tehostaminen on merkki siitä, että suvaitsevaisuuden aika on väistymässä ja tiukempi asenne on tulossa. Ne, jotka päättävät olla käsittelemättä tätä ongelmaa nyt, voivat kohdata raskaampia seurauksia lähitulevaisuudessa.
Yrityksille, jotka haluavat turvallisemman tien, ulkoistaminen on valinta, joka pystyy tasapainottamaan kustannukset, tehokkuuden ja luotettavuuden. Tämän tyyppisen yhteistyön avulla on mahdollista korjata puutteita sisäisessä ympäristössä ja rakentaa compliance-rutiini, joka suojaa yritystä sekä sanktioilta että riskeiltä, jotka liittyvät läpinäkyvyyden ja tietoturvan puutteeseen henkilötiedoissa, jotka ovat sen vastuulla.
