Még annyi évvel a Brazíliában a Általános Adatvédelmi Rendelet (LGPD) bevezetése után is, sok vállalat továbbra is megsérti a szabályt. A LGPD, 2020 szeptemberében lépett életbe, azért jött létre, hogy megvédje a brazil állampolgárok személyes adatait, világos szabályok megállapítása arról, hogyan kell a vállalatoknak gyűjteniük, információk tárolása és kezelése. Mindazonáltal, a letelt idő ellenére, sok vállalat csak keveset haladt a norma végrehajtásában
Nemrég, A Nemzeti Adatvédelmi Hatóság (ANPD) fokozta a felügyeletet azokon a vállalatokon, amelyeknek nincs adatvédelmi tisztviselőjük, más néven Adatvédelmi Tisztviselő (DPO). A DPO hiánya az egyik fő azonosított jogsértés, mivel ez a szakember elengedhetetlen ahhoz, hogy a vállalat megfeleljen a GDPR-nak. A DPO közvetítőként működik a vállalat és, az adatok tulajdonosai és az ANPD, felelős az adatvédelmi politikák betartásának nyomon követéséért és a szervezet legjobb gyakorlatairól való tájékoztatásért
És ezek az adatok csak a "jéghegy csúcsa" lehetnek. A valóságban, senki sem tudja, hány cég nem csatlakozott még a szabályhoz. Nincs egyetlen hivatalos felmérés, amely összesítené a pontos számokat az LGPD-hez nem csatlakozó vállalatokról. Független kutatások azt mutatják, hogy, általános értelemben, a százalékos arány 60% és 70% között változhat a brazil vállalatok esetében, különösen a kis- és középvállalkozások között. A nagyok esetében, a szám még nagyobb, elérheti a 80%-ot.
Miért számít a DPO hiánya
2024-ben, biztosan Brazília meghaladta a 700 millió kibertámadás számát. Azt becsülik, hogy majdnem 1 történik.400 ütés percenként és, világos, a vállalatok a bűnözők fő célpontjai. Bűncselekmények, mint a zsarolóvírus – ahol általában az adatok "túszokká" válnak és, hogy ne tegyék közzé online, a vállalatoknak hatalmas pénzösszeget kell fizetniük, rendszeressé váltak. De meddig a rendszer – az áldozatok és a biztosítók – el fogják bírni a támadások ilyen mértékű volumenét
Nincs mód arra, hogy erre a kérdésre megfelelően válaszoljunk, még inkább, amikor a sértettek maguk hagyják abba a szükséges intézkedések megtételét az információk védelme érdekében. Adatavédelmi védelemre összpontosító szakember hiányában vagy, bizonyos helyzetekben, amikor a tervezett felelős annyi feladatot halmoz fel, hogy nem képes ezt a tevékenységet kielégítően ellátni, még súlyosbítja ezt a helyzetet.
Nyilvánvaló, hogy egy felelős kijelölése, önmagában, nem oldja meg az összes megfelelőségi kihívást, de ez azt mutatja, hogy a cég elkötelezett egy olyan gyakorlatokból álló rendszer kialakítása mellett, amely összhangban van a LGPD-vel. Mindeközben, ez a prioritás hiánya nemcsak a szankciók lehetőségére hat ki, de valódi biztonsági incidensek kockázataira is, amelyek jelentős veszteséget fognak okozni. Az ANPD által alkalmazott bírságok csak a probléma egy részét képezik, mivel a nem kézzelfogható veszteségek, hogyan a piaci bizalom, még fájdalmasabbak lehetnek. Ebben a panorámában, a szigorúbb ellenőrzést szükséges lépésnek tekintik a jogszabályok betartásának mechanizmusainak megerősítésére és a szervezetek ösztönzésére, hogy a jogosultak magánéletét a középpontba helyezzék.
DPO-t alkalmazni vagy kiszervezni
Teljes munkaidős DPO alkalmazása bonyolult feladat lehet, mert nem mindig van kereslet vagy érdeklődés belső erőforrások allokálására erre a keresletre.
Ebben az értelemben, a kiszervezés hatékony megoldásnak bizonyul a jogszabályok betartására törekvő vállalatok számára, de nem rendelkeznek nagy struktúrával vagy erőforrásokkal, hogy fenntartsanak egy multidiszciplináris csapatot az adatok védelme érdekében. Amikor egy szakosodott szolgáltatóhoz fordulunk, a cég hozzáférést nyer olyan szakemberekhez, akik tapasztaltabbak a LGPD követelményeinek kezelésében a piacon különböző szektorokban. Ezenkívül, egy külső felelőssel a cég a személyes adatok védelmét a stratégia szerves részének tekinti, nem egy olyan pontbeli problémáról van szó, amely csak akkor kap figyelmet, amikor érkezik egy értesítés vagy amikor valamilyen szivárgás történik.
Ez hozzájárul a robusztus folyamatok létrehozásához anélkül, hogy jelentős beruházásra lenne szükség a toborzásban, tehetségek képzése és megtartása. Az adatkezelő kiszervezése túlmutat azon, hogy egyszerűen kinevezünk egy külső személyt. A szolgáltató általában folyamatos tanácsadást nyújt, térképezési és kockázatelemzési tevékenységek végzése, segítve a belső politikák kidolgozásában, képzések lebonyolítása a csapatok számára és a jogszabályok, valamint az ANPD előírásainak fejlődésének nyomon követése.
Ezenkívül, előny, hogy egy olyan csapat áll rendelkezésre, amely már tapasztalatot szerzett gyakorlati esetekben, mi csökkenti a tanulási görbét és segít megelőzni azokat az incidenst, amelyek bírságokat vagy hírnévkárosodást okozhatnak.
Meddig terjed a harmadik fél DPO felelőssége
Fontos hangsúlyozni, hogy a kiszervezés nem mentesíti a szervezetet jogi felelősségei alól. Az ötlet az, hogy a cég fenntartja az elkötelezettségét az általa gyűjtött és kezelt adatok biztonságának garantálására, mert a braziliai jogszabályok világossá teszik, hogy az incidensekért való felelősség nem csupán a megbízottat terheli, de a intézmény egészéről.
Amit a kiszervezés tesz, az egy professzionális támogatást kínál, aki érti azokat az utakat, amelyek szükségesek a szervezet LGPD-vel összhangban tartásához. Ez a gyakorlat, hogy ilyen típusú feladatokat külső partnerre bíznak, már más országokban is elterjedt, ahol az adatvédelem a kockázatkezelés és a vállalati irányítás kritikus pontjává vált. Európai Unió, például, az Általános Adatvédelmi Rendelettel, megköveteli, hogy sok vállalat nevezzzen ki adatvédelmi felelőst. Ott, különböző cégek a szolgáltatás kiszervezése mellett döntöttek, szakosodott tanácsadók alkalmazásával, hozzáadva aszakértelembent a házban, anélkül, hogy egy egész osztályt kellene létrehozni ehhez.
A megbízott, a jogszabályoknak megfelelően, autonómiával kell rendelkeznie a hibák jelentésére és a fejlesztések javaslatára, és a nemzetközi irányelvek egy része azt javasolja, hogy a szakembernek mentesnek kell lennie a belső nyomásoktól, amelyek korlátozzák ellenőrzési képességét. Azok a tanácsadók, akik ezt a szolgáltatást kínálják, olyan szerződéseket és munkamódszereket dolgoznak ki, amelyek biztosítják ezt a fajta függetlenséget, átlátható kommunikációt fenntartva a vezetőkkel és világos irányelveket megállapítva a kormányzásra.
Ez a mechanizmus védi mind a vállalatot, mind a szakembert, hogy szabadon jelezheti a sebezhetőségeket, még akkor is, ha ez ellentétes a meghatározott szektor vagy osztály bevett gyakorlataival.
Az ANPD ellenőrzésének fokozása azt jelzi, hogy a tolerancia helyét egy határozottabb hozzáállás veszi át, e quem optar por não tratar desse problema agora poderá enfrentar consequências mais pesadas em um futuro não muito distante.
A vállalatok számára, amelyek biztonságosabb utat keresnek, a kiszervezés egy olyan választás, amely képes egyensúlyba hozni a költségeket, hatékonyság és megbízhatóság. Ezzel a fajta partnerséggel, lehetséges kijavítani a belső környezet hiányosságait és olyan megfelelőségi rutint kialakítani, amely megvédi a vállalatot mind a szankcióktól, mind a személyes adatokkal kapcsolatos átláthatóság és biztonság hiányából adódó kockázatoktól, amelyek a felelőssége alatt állnak
