Bahkan setelah bertahun-tahun penerapan Undang-Undang Perlindungan Data Umum (LGPD) di Brasil, banyak perusahaan masih melanggarnya. LGPD, yang mulai berlaku pada September 2020, dirancang dengan tujuan melindungi data pribadi warga negara Brasil, dengan menetapkan aturan yang jelas tentang bagaimana perusahaan harus mengumpulkan, menyimpan, dan memproses informasi ini. Namun, seiring berjalannya waktu, banyak perusahaan belum mencapai kemajuan berarti dalam penerapan undang-undang ini.
Baru-baru ini, Otoritas Perlindungan Data Nasional (ANPD) telah mengintensifkan pengawasannya terhadap perusahaan-perusahaan yang tidak memiliki petugas perlindungan data (DPO). Ketiadaan DPO merupakan salah satu pelanggaran utama yang teridentifikasi, karena profesional ini penting untuk memastikan kepatuhan perusahaan terhadap LGPD (Undang-Undang Perlindungan Data Umum Brasil). DPO bertindak sebagai perantara antara perusahaan, subjek data, dan ANPD, bertanggung jawab untuk memantau kepatuhan terhadap kebijakan perlindungan data dan memandu organisasi dalam praktik terbaik.
Data ini mungkin hanya "puncak gunung es". Kenyataannya, tidak ada yang tahu persis jumlah perusahaan yang belum mematuhi undang-undang tersebut. Tidak ada satu pun survei resmi yang mengkonsolidasikan angka pasti semua perusahaan yang belum mematuhi LGPD (Undang-Undang Perlindungan Data Umum Brasil). Riset independen menunjukkan bahwa, secara umum, persentasenya dapat bervariasi antara 60% dan 70% perusahaan Brasil, terutama di kalangan usaha kecil dan menengah. Angkanya bahkan lebih tinggi lagi untuk perusahaan besar, mencapai 80%.
Mengapa tidak adanya DPO membuat perbedaan.
Pada tahun 2024, Brasil pasti akan melampaui 700 juta serangan kejahatan siber. Diperkirakan hampir 1.400 serangan terjadi per menit, dan, tentu saja, perusahaan menjadi target utama para penjahat siber. Kejahatan seperti ransomware – di mana data biasanya disandera dan perusahaan harus membayar sejumlah besar uang untuk mencegah publikasinya secara daring – telah menjadi hal yang lumrah. Namun, berapa lama sistem – para korban dan perusahaan asuransi – akan mampu menahan serangan sebanyak itu?
Tidak ada cara untuk menjawab pertanyaan ini dengan tepat, terutama ketika para korban sendiri gagal mengambil tindakan yang diperlukan untuk melindungi informasi mereka. Kurangnya tenaga profesional yang berfokus pada perlindungan data, atau, dalam beberapa situasi, ketika orang yang seharusnya bertanggung jawab atas area tersebut memiliki begitu banyak fungsi sehingga tidak dapat menjalankan aktivitas ini dengan memuaskan, semakin memperburuk situasi ini.
Jelas bahwa penunjukan petugas perlindungan data saja tidak menyelesaikan semua tantangan kepatuhan, tetapi menunjukkan komitmen perusahaan untuk menyusun serangkaian praktik yang konsisten dengan LGPD (Undang-Undang Perlindungan Data Umum Brasil). Namun, kurangnya prioritas ini tidak hanya mencerminkan kemungkinan sanksi, tetapi juga risiko nyata berupa insiden keamanan, yang akan menimbulkan kerugian besar. Denda yang dikenakan oleh ANPD (Otoritas Perlindungan Data Nasional) hanyalah sebagian dari masalah, karena kerugian non-materi, seperti kepercayaan pasar, dapat jauh lebih besar. Dalam konteks ini, pengawasan yang lebih intensif dipandang sebagai tindakan yang diperlukan untuk memperkuat mekanisme kepatuhan dan mendorong organisasi untuk memprioritaskan privasi subjek data.
Haruskah Anda menyewa DPO atau melakukan outsourcing?
Mempekerjakan DPO penuh waktu dapat menjadi tugas yang rumit, karena tidak selalu ada permintaan atau minat untuk mengalokasikan sumber daya internal untuk peran ini.
Dalam hal ini, alih daya telah disinggung sebagai solusi bagi perusahaan yang ingin mematuhi peraturan secara efektif, tetapi tidak memiliki struktur atau sumber daya yang besar untuk mempertahankan tim multidisiplin yang berfokus pada perlindungan data. Dengan menggunakan penyedia layanan khusus, perusahaan mendapatkan akses ke para profesional yang lebih berpengalaman dalam menangani persyaratan LGPD (Undang-Undang Perlindungan Data Umum Brasil) di berbagai sektor pasar. Lebih lanjut, dengan adanya pihak eksternal yang bertanggung jawab, perusahaan mulai memandang perlindungan data sebagai sesuatu yang terintegrasi dalam strateginya, alih-alih masalah sesaat yang baru mendapat perhatian ketika ada pemberitahuan atau ketika terjadi pelanggaran data.
Hal ini berkontribusi pada terciptanya proses yang tangguh tanpa memerlukan investasi besar dalam rekrutmen, pelatihan, dan retensi talenta. Alih daya petugas perlindungan data lebih dari sekadar menunjuk pihak luar. Penyedia layanan ini biasanya menawarkan konsultasi berkelanjutan, melakukan pemetaan dan analisis risiko, membantu dalam pengembangan kebijakan internal, melakukan pelatihan tim, dan memantau perkembangan undang-undang dan peraturan ANPD.
Lebih jauh lagi, ada keuntungan memiliki tim yang sudah memiliki pengalaman dalam kasus-kasus praktis, yang mengurangi kurva pembelajaran dan membantu mencegah insiden yang dapat mengakibatkan denda atau kerusakan reputasi.
Sejauh mana tanggung jawab DPO yang dialihdayakan?
Penting untuk ditegaskan bahwa alih daya tidak membebaskan organisasi dari tanggung jawab hukumnya. Intinya adalah perusahaan tetap berkomitmen untuk memastikan keamanan data yang dikumpulkan dan diproses, sebagaimana hukum Brasil menegaskan bahwa tanggung jawab atas insiden tidak hanya dibebankan kepada petugas perlindungan data, tetapi juga kepada institusi secara keseluruhan.
Alih daya menyediakan dukungan profesional yang memahami langkah-langkah yang diperlukan untuk menjaga kepatuhan organisasi terhadap LGPD (Undang-Undang Perlindungan Data Umum Brasil). Praktik pendelegasian tugas semacam ini kepada mitra eksternal telah diadopsi di negara-negara lain di mana perlindungan data telah menjadi poin penting dalam manajemen risiko dan tata kelola perusahaan. Uni Eropa, misalnya, dengan Peraturan Perlindungan Data Umum (GDPR), mewajibkan banyak perusahaan untuk menunjuk petugas perlindungan data. Di sana, beberapa perusahaan telah memilih untuk mengalihdayakan layanan ini dengan menyewa konsultan khusus, membawa keahlian "internal" tanpa harus membentuk departemen khusus untuk itu.
Menurut undang-undang, supervisor harus memiliki otonomi untuk melaporkan kegagalan dan mengusulkan perbaikan, dan beberapa pedoman internasional menyarankan bahwa profesional tersebut harus bebas dari tekanan internal yang membatasi kapasitas pengawasannya. Perusahaan konsultan yang menawarkan layanan ini mengembangkan kontrak dan metodologi kerja yang memastikan independensi semacam ini, menjaga komunikasi yang transparan dengan para manajer, dan menetapkan kriteria tata kelola yang jelas.
Mekanisme ini melindungi perusahaan dan profesional itu sendiri, yang membutuhkan kebebasan untuk menunjukkan kerentanan bahkan jika hal ini bertentangan dengan praktik yang ditetapkan dalam sektor atau departemen tertentu.
Meningkatnya pengawasan oleh ANPD (Otoritas Perlindungan Data Nasional) merupakan tanda bahwa iklim toleransi mulai memberi jalan bagi sikap yang lebih tegas, dan mereka yang memilih untuk tidak mengatasi masalah ini sekarang mungkin akan menghadapi konsekuensi yang lebih serius dalam waktu yang tidak terlalu lama.
Bagi perusahaan yang mencari jalur yang lebih aman, alih daya merupakan pilihan yang mampu menyeimbangkan biaya, efisiensi, dan keandalan. Dengan kemitraan seperti ini, kesenjangan internal dapat diperbaiki dan rutinitas kepatuhan dapat disusun yang akan melindungi perusahaan dari sanksi maupun risiko yang terkait dengan kurangnya transparansi dan keamanan data pribadi yang menjadi tanggung jawabnya.
