Čak i nakon toliko godina od provedbe Općeg zakona o zaštiti podataka (LGPD) u Brazilu, mnoge tvrtke i dalje krše zakon. LGPD, koji je stupio na snagu u rujnu 2020., stvoren je s ciljem zaštite osobnih podataka brazilskih građana, uspostavljanjem jasnih pravila o tome kako tvrtke trebaju prikupljati, pohranjivati i obrađivati te podatke. Međutim, unatoč proteklom vremenu, mnoge tvrtke postigle su mali napredak u provedbi zakona.
Nacionalno tijelo za zaštitu podataka (ANPD) nedavno je pojačalo nadzor nad tvrtkama koje nemaju službenika za zaštitu podataka (DPO). Nedostatak DPO-a jedan je od glavnih utvrđenih prekršaja, jer je ovaj stručnjak ključan za osiguranje da tvrtka postupa u skladu s LGPD-om (Brazilski opći zakon o zaštiti podataka). DPO djeluje kao posrednik između tvrtke, ispitanika i ANPD-a, odgovoran za praćenje usklađenosti s politikama zaštite podataka i vođenje organizacije prema najboljim praksama.
I ovi podaci mogu biti samo "vrh ledenog brijega". U stvarnosti, nitko ne zna točan broj tvrtki koje se još nisu pridržavale zakona. Ne postoji jedinstveno službeno istraživanje koje objedinjuje točan broj svih tvrtki koje se nisu pridržavale LGPD-a (Brazilskog općeg zakona o zaštiti podataka). Neovisna istraživanja pokazuju da se, općenito gledano, postotak može razlikovati između 60% i 70% brazilskih tvrtki, posebno među malim i srednjim poduzećima. U slučaju velikih tvrtki, broj je još veći i doseže i do 80%.
Zašto nedostatak službenika za zaštitu podataka čini razliku.
Brazil će 2024. godine sigurno premašiti 700 milijuna kibernetičkih napada. Procjenjuje se da se dogodi gotovo 1400 napada u minuti, a naravno, tvrtke su glavne mete kriminalaca. Zločini poput ransomwarea – u kojima se podaci obično drže kao "taoci" i tvrtke moraju platiti ogromnu svotu novca kako bi spriječile njihovo objavljivanje na mreži – postali su uobičajeni. Ali koliko će dugo sustav – žrtve i osiguravatelji – moći izdržati takav broj napada?
Ne postoji način da se pravilno odgovori na ovo pitanje, posebno kada same žrtve ne poduzmu potrebne mjere za zaštitu svojih podataka. Nedostatak stručnjaka usmjerenog na zaštitu podataka ili, u nekim situacijama, kada osoba koja je navodno odgovorna za to područje akumulira toliko funkcija da ne može zadovoljavajuće obavljati tu aktivnost, dodatno pogoršava ovu situaciju.
Jasno je da imenovanje službenika za zaštitu podataka samo po sebi ne rješava sve izazove usklađenosti, ali pokazuje da je tvrtka predana strukturiranju skupa praksi u skladu s LGPD-om (Brazilski opći zakon o zaštiti podataka). Međutim, ovaj nedostatak prioritizacije ne odražava samo mogućnost sankcija, već i stvarne rizike sigurnosnih incidenata, koji će generirati znatne gubitke. Kazne koje primjenjuje ANPD (Nacionalno tijelo za zaštitu podataka) samo su dio problema, jer nematerijalni gubici, poput tržišnog povjerenja, mogu biti još bolniji. U tom kontekstu, intenzivniji nadzor smatra se nužnom akcijom za jačanje mehanizama usklađenosti i poticanje organizacija da daju prioritet privatnosti ispitanika.
Trebate li angažirati DPO-a ili outsourcing?
Zapošljavanje službenika za zaštitu podataka (DPO) s punim radnim vremenom može biti kompliciran zadatak jer ne postoji uvijek potražnja ili interes za dodjeljivanje internih resursa za ovu ulogu.
U tom smislu, outsourcing je istaknut kao rješenje za tvrtke koje žele učinkovito poštovati zakonodavstvo, ali nemaju veliku strukturu ili resurse za održavanje multidisciplinarnog tima usmjerenog na zaštitu podataka. Pribjegavanjem specijaliziranom pružatelju usluga, tvrtka dobiva pristup stručnjacima koji imaju više iskustva u rješavanju zahtjeva LGPD-a (Brazilski opći zakon o zaštiti podataka) u različitim tržišnim sektorima. Nadalje, s vanjskom odgovornom stranom, tvrtka počinje promatrati zaštitu podataka kao nešto integrirano u svoju strategiju, umjesto kao jednokratni problem kojem se posvećuje pozornost samo kada stigne obavijest ili kada dođe do kršenja podataka.
To doprinosi stvaranju robusnih procesa bez potrebe za velikim ulaganjima u zapošljavanje, obuku i zadržavanje talenata. Outsourcing službenika za zaštitu podataka nadilazi puko imenovanje vanjskog stručnjaka. Pružatelj usluga obično nudi kontinuirano savjetovanje, provođenje aktivnosti mapiranja i analize rizika, pomoć u razvoju internih politika, provođenje timske obuke i praćenje razvoja zakonodavstva i ANPD propisa.
Nadalje, prednost je imati tim koji već ima iskustva u praktičnim slučajevima, što smanjuje krivulju učenja i pomaže u sprječavanju incidenata koji bi mogli dovesti do kazni ili narušavanja ugleda.
Koliko daleko se proteže odgovornost vanjskog DPO-a?
Važno je naglasiti da outsourcing ne oslobađa organizaciju od njezinih zakonskih odgovornosti. Ideja je da tvrtka održava svoju predanost osiguravanju sigurnosti podataka koje prikuplja i obrađuje, budući da brazilski zakon jasno daje do znanja da odgovornost za incidente ne pada isključivo na službenika za zaštitu podataka, već na instituciju u cjelini.
Outsourcing pruža stručnu podršku koja razumije potrebne korake kako bi organizacija bila u skladu s LGPD-om (Brazilski opći zakon o zaštiti podataka). Praksa delegiranja ove vrste zadatka vanjskom partneru već je usvojena u drugim zemljama gdje je zaštita podataka postala ključna točka u upravljanju rizicima i korporativnom upravljanju. Europska unija, na primjer, Općom uredbom o zaštiti podataka (GDPR) zahtijeva od mnogih tvrtki da imenuju službenika za zaštitu podataka. Tamo se nekoliko tvrtki odlučilo za outsourcing ove usluge zapošljavanjem specijaliziranih konzultantskih tvrtki, donoseći stručnost "interno" bez potrebe za stvaranjem cijelog odjela za to.
Prema zakonodavstvu, nadzornik mora imati autonomiju prijavljivati propuste i predlagati poboljšanja, a neke međunarodne smjernice sugeriraju da stručnjak treba biti slobodan od unutarnjih pritisaka koji ograničavaju njegove nadzorne kapacitete. Konzultantske tvrtke koje nude ovu uslugu razvijaju ugovore i metodologije rada koje osiguravaju ovu vrstu neovisnosti, održavajući transparentnu komunikaciju s menadžerima i uspostavljajući jasne kriterije upravljanja.
Ovaj mehanizam štiti i tvrtku i samog stručnjaka, kojem je potrebna sloboda da ukaže na ranjivosti čak i ako je to protivno ustaljenim praksama unutar određenog sektora ili odjela.
Povećana kontrola od strane ANPD-a (Nacionalnog tijela za zaštitu podataka) znak je da klima tolerancije ustupa mjesto čvršćem stavu, a oni koji odluče da se sada ne pozabave ovim problemom mogli bi se suočiti s ozbiljnijim posljedicama u ne tako dalekoj budućnosti.
Za tvrtke koje traže sigurniji put, outsourcing je izbor koji može uravnotežiti troškove, učinkovitost i pouzdanost. S ovom vrstom partnerstva moguće je ispraviti nedostatke u internom okruženju i strukturirati rutinu usklađenosti koja će zaštititi tvrtku od sankcija i rizika povezanih s nedostatkom transparentnosti i sigurnosti u vezi s osobnim podacima za koje je odgovorna.
