Peningkatan pengawasan ANPD menekan perusahaan ke dinding

Bahkan setelah bertahun-tahun sejak penerapan Undang-Undang Perlindungan Data Umum (LGPD) di Brasil, banyak perusahaan terus melanggar norma.LGPD, yang mulai berlaku pada September 2020, dibuat dengan tujuan melindungi data pribadi warga negara Brasil, menetapkan aturan yang jelas tentang bagaimana perusahaan harus mengumpulkan, menyimpan, dan memperlakukan informasi ini.Namun, meskipun waktu telah berlalu, banyak perusahaan hanya membuat sedikit kemajuan dalam menerapkan standar.

Baru-baru ini, Otoritas Perlindungan Data Nasional (ANPD) telah mengintensifkan pengawasan terhadap perusahaan yang tidak memiliki pengontrol data, yang juga dikenal sebagai Data Protection Officer (DPO). Kurangnya DPO adalah salah satu pelanggaran utama yang diidentifikasi, karena profesional ini sangat penting untuk memastikan bahwa perusahaan mematuhi LGPD. DPO bertindak sebagai perantara antara perusahaan, pemegang data, dan ANPD, bertanggung jawab untuk memantau kepatuhan terhadap kebijakan perlindungan data dan membimbing organisasi mengenai praktik terbaik.

Dan data ini mungkin hanya “titik gunung es”. Pada kenyataannya, tidak ada yang tahu berapa jumlah perusahaan yang belum mematuhi standar. Tidak ada survei resmi tunggal yang mengkonsolidasikan jumlah pasti semua perusahaan yang tidak mematuhi penelitian Independen LGPD menunjukkan bahwa, secara umum, persentasenya dapat bervariasi antara 60% dan 70% perusahaan Brasil, terutama di antara yang berukuran kecil dan menengah. Dalam kasus yang besar, jumlahnya bahkan lebih tinggi, dan dapat mencapai 80%.  

Mengapa kurangnya DPO membuat perbedaan

Pada tahun 2024, pasti Brasil telah melampaui jumlah 700 juta serangan cybercriminal. Diperkirakan hampir 1.400 penipuan per menit terjadi dan, tentu saja, perusahaan adalah target utama penjahat. Kejahatan seperti ransomware (di mana data biasanya menjadi 1 “ dan bahwa, agar tidak dipublikasikan secara online, perusahaan perlu membayar sejumlah besar uang, telah menjadi hal biasa. Tapi berapa lama sistem ”s korban dan asuransi '?

Tidak ada cara untuk menjawab pertanyaan ini dengan tepat, terutama ketika para korban sendiri gagal mengambil tindakan yang diperlukan untuk perlindungan informasi. Kurangnya seorang profesional yang berfokus pada perlindungan data atau, dalam beberapa situasi, ketika orang yang diduga bertanggung jawab atas area tersebut mengumpulkan begitu banyak fungsi sehingga dia tidak dapat melakukan kegiatan ini dengan memuaskan, semakin memperburuk situasi ini.  

Tentu saja, penunjukan orang yang bertanggung jawab, dengan sendirinya, tidak menyelesaikan semua tantangan kecukupan, tetapi menunjukkan bahwa perusahaan berkomitmen untuk menyusun serangkaian praktik yang konsisten dengan LGPD. Namun, kurangnya prioritas ini tidak hanya mencerminkan kemungkinan sanksi, tetapi juga risiko nyata dari insiden keamanan, yang akan menghasilkan kerusakan yang cukup besar. Denda yang berlaku oleh ANPD hanyalah sebagian dari masalah, karena kerugian tidak berwujud, seperti kepercayaan pasar, bisa lebih menyakitkan. Dalam skenario ini, pengawasan yang paling intens dipandang sebagai tindakan yang diperlukan untuk memperkuat mekanisme kepatuhan terhadap undang-undang dan mendorong organisasi untuk menempatkan privasi pemegang dalam agenda.  

Menyewa DPO atau outsourcing?

Menyewa DPO penuh waktu bisa menjadi tugas yang rumit, karena tidak selalu ada permintaan atau minat untuk mengalokasikan sumber daya internal untuk permintaan ini.  

Dalam pengertian ini, outsourcing telah ditunjukkan sebagai solusi bagi perusahaan yang ingin mematuhi undang-undang secara efektif, tetapi tidak memiliki struktur atau sumber daya yang besar untuk mempertahankan tim multidisiplin yang berfokus pada perlindungan data. Ketika penyedia layanan khusus digunakan, perusahaan memperoleh akses ke profesional yang memiliki lebih banyak pengalaman untuk menangani persyaratan LGPD di sektor pasar yang berbeda.Selain itu, dengan tanggung jawab eksternal perusahaan mulai melihat perlindungan data sebagai sesuatu yang terintegrasi ke dalam strategi, alih-alih masalah khusus yang hanya mendapat perhatian ketika pemberitahuan tiba atau ketika kebocoran terjadi.  

Hal ini berkontribusi pada penciptaan proses yang kuat tanpa memerlukan investasi besar dalam perekrutan, pelatihan, dan retensi bakat. Pengalihdayaan petugas data lebih dari sekadar menunjuk orang luar. Penyedia biasanya menyediakan konsultasi berkelanjutan, melakukan kegiatan pemetaan dan analisis risiko, membantu dalam pengembangan kebijakan internal, melakukan pelatihan untuk tim dan memantau evolusi undang-undang dan peraturan ANPD.  

Selain itu, ada keuntungan memiliki tim yang sudah memiliki pengalaman dalam kasus-kasus praktis, yang mengurangi kurva belajar dan membantu mencegah insiden yang dapat menghasilkan denda atau kerusakan reputasi.  

Seberapa jauh tanggung jawab DPO outsourcing

Penting untuk digarisbawahi bahwa outsourcing tidak membebaskan organisasi dari tanggung jawab hukumnya. Idenya adalah bahwa perusahaan mempertahankan komitmen untuk memastikan keamanan data yang dikumpulkan dan diperlakukan, karena hukum Brasil memperjelas bahwa tanggung jawab atas insiden tidak hanya jatuh pada orang yang bertanggung jawab, tetapi pada institusi secara keseluruhan.  

Apa yang dilakukan outsourcing adalah menawarkan dukungan profesional, yang memahami cara-cara yang diperlukan untuk menjaga organisasi sejalan dengan LGPD. Praktik mendelegasikan jenis tugas ini kepada mitra eksternal sudah diadopsi di negara lain, di mana perlindungan data telah menjadi titik kritis manajemen risiko dan tata kelola perusahaan. Uni Eropa, misalnya, dengan Peraturan Perlindungan Data Umum, mengharuskan banyak perusahaan untuk menunjuk petugas perlindungan data. Di sana, beberapa perusahaan telah memilih untuk melakukan outsourcing layanan dengan mempekerjakan konsultan khusus, membawa keahlian untuk “di dalam rumah”, tanpa harus membuat seluruh departemen untuk itu.  

Penanggung jawab, menurut undang-undang, perlu memiliki otonomi untuk melaporkan kegagalan dan mengusulkan perbaikan, dan bagian dari pedoman internasional menunjukkan bahwa profesional harus bebas dari tekanan internal yang membatasi kapasitas mereka untuk pengawasan. Konsultan yang menawarkan layanan ini mengembangkan kontrak dan metodologi kerja yang memastikan jenis independensi ini, menjaga komunikasi yang transparan dengan manajer dan menetapkan kriteria tata kelola yang jelas.  

Mekanisme ini melindungi perusahaan dan profesional itu sendiri, yang harus bebas menunjukkan kerentanan meskipun hal ini bertentangan dengan praktik konsolidasi dalam sektor atau departemen tertentu.  

Intensifikasi pengawasan ANPD merupakan tanda bahwa skenario toleransi digantikan oleh sikap yang lebih tegas, dan mereka yang memilih untuk tidak mengatasi masalah ini sekarang mungkin akan menghadapi konsekuensi yang lebih berat dalam waktu yang tidak lama lagi.  

Bagi perusahaan yang menginginkan jalur yang lebih aman, outsourcing adalah pilihan yang mampu menyeimbangkan biaya, efisiensi, dan keandalan. Dengan jenis kemitraan ini, dimungkinkan untuk memperbaiki kesenjangan dalam lingkungan internal dan menyusun rutinitas kepatuhan yang akan melindungi perusahaan dari sanksi dan risiko yang terkait dengan kurangnya transparansi dan keamanan sehubungan dengan data pribadi yang berada di bawah tanggung jawabnya.