Anche dopo tanti anni dall'implementazione della Legge Generale sulla Protezione dei Dati (LGPD) in Brasile, molte aziende continuano a non rispettare la norma. Il LGPD, entrato in vigore a settembre 2020, è stato creato con l'obiettivo di proteggere i dati personali dei cittadini brasiliani, stabilendo regole chiare su come le aziende devono raccogliere, conservare e trattare queste informazioni. Tuttavia, nonostante il tempo trascorso, molte aziende hanno fatto pochi progressi nell'implementazione della norma.
Recentemente, l'Autorità Nazionale per la Protezione dei Dati (ANPD) ha intensificato la sorveglianza sulle aziende che non hanno un responsabile dei dati, anche conosciuto come Data Protection Officer (DPO). La mancanza di un DPO è una delle principali infrazioni identificate, poiché questo professionista è essenziale per garantire che l'azienda sia conforme al GDPR. Il DPO funge da intermediario tra l'azienda, i titolari dei dati e l'ANPD, essendo responsabile di monitorare la conformità alle politiche di protezione dei dati e di guidare l'organizzazione sulle migliori pratiche.
E questi dati potrebbero essere solo la "punta dell'iceberg". In realtà, nessuno sa qual è il numero di aziende che non hanno ancora aderito alla norma. Non esiste un'indagine ufficiale unica che consolidii i numeri esatti di tutte le aziende non aderenti alla LGPD. Ricerche indipendenti indicano che, in termini generali, la percentuale può variare tra il 60% e il 70% delle aziende brasiliane, soprattutto tra quelle di piccole e medie dimensioni. Nel caso delle grandi, il numero è ancora più alto, potendo arrivare all'80%.
Perché la mancanza di un DPO fa la differenza
Nel 2024, sicuramente il Brasile ha superato il numero di 700 milioni di attacchi da parte di cybercriminali. Si stima che ci siano quasi 1.400 truffe al minuto e, naturalmente, le aziende sono i principali bersagli dei criminali. Crimini come il ransomware – in cui di solito i dati diventano "prigionieri" e, affinché non vengano pubblicati online, le aziende devono pagare una somma finanziaria enorme – sono diventati comuni. Ma fino a quando il sistema – le vittime e le assicurazioni – supporteranno un volume così grande di attacchi?
Non è possibile rispondere a questa domanda in modo appropriato, soprattutto quando le stesse vittime smettono di adottare le misure necessarie per proteggere le informazioni. La mancanza di un professionista focalizzato sulla protezione dei dati o, in alcune situazioni, quando il presunto responsabile dell'area accumula così tante funzioni da non riuscire a svolgere questa attività in modo soddisfacente, aggrava ancora di più questa situazione.
È chiaro che la nomina di un responsabile, di per sé, non risolve tutte le sfide di conformità, ma dimostra che l'azienda è impegnata a strutturare un insieme di pratiche coerenti con il GDPR. Tuttavia, questa mancanza di priorità non si riflette solo sulla possibilità di sanzioni, ma anche sui rischi reali di incidenti di sicurezza, che causeranno un danno considerevole. Le multe applicabili dall'ANPD sono solo una parte del problema, poiché le perdite intangibili, come la fiducia del mercato, possono essere ancora più dolorose. In questo scenario, la sorveglianza più intensa è vista come un'azione necessaria per rafforzare i meccanismi di rispetto della legge e incentivare le organizzazioni a mettere al centro della loro attenzione la privacy dei titolari.
Assumere un DPO o esternalizzare?
Assumere un DPO a tempo pieno può essere un compito complicato, poiché non sempre c'è la domanda o l'interesse a allocare risorse interne per questa esigenza.
In questo senso, l'esternalizzazione viene indicata come una soluzione per le aziende che desiderano rispettare efficacemente la normativa, ma non dispongono di una grande struttura o di risorse per mantenere un team multidisciplinare dedicato alla protezione dei dati. Quando si ricorre a un fornitore di servizi specializzato, l'azienda ottiene l'accesso a professionisti con maggiore esperienza nel gestire i requisiti del GDPR in diversi settori del mercato. Inoltre, con un responsabile esterno, l'azienda inizia a considerare la protezione dei dati come qualcosa integrato nella strategia, invece che come un problema puntuale a cui si presta attenzione solo quando arriva una notifica o si verifica una fuga.
Questo contribuisce alla creazione di processi robusti senza la necessità di un investimento ingente in reclutamento, formazione e fidelizzazione dei talenti. La esternalizzazione del responsabile dei dati va oltre la semplice nomina di una persona esterna. Il fornitore di solito fornisce consulenza continua, svolgendo attività di mappatura e analisi del rischio, aiutando nella redazione di politiche interne, conducendo formazione per i team e monitorando l'evoluzione della legislazione e delle normative dell'ANPD.
Inoltre, c'è il vantaggio di avere un team che ha già esperienza in casi pratici, il che riduce la curva di apprendimento e aiuta a prevenire incidenti che potrebbero causare multe o danni alla reputazione.
Quanto è estesa la responsabilità del DPO esternalizzato?
È importante sottolineare che l'esternalizzazione non esime l'organizzazione dalle sue responsabilità legali. L'idea è che l'azienda mantenga l'impegno di garantire la sicurezza dei dati che raccoglie e tratta, poiché la legislazione brasiliana chiarisce che la responsabilità per gli incidenti non ricade solo sul responsabile, ma sull'intera istituzione.
Ciò che la esternalizzazione fa è offrire un supporto professionalizzato, che comprende i percorsi necessari per mantenere l'organizzazione in linea con il GDPR. La pratica di delegare questo tipo di compito a un partner esterno è già adottata in altri paesi, dove la protezione dei dati è diventata un punto critico di gestione del rischio e di governance aziendale. L'Unione Europea, ad esempio, con il Regolamento Generale sulla Protezione dei Dati, richiede che molte aziende nominino un responsabile della protezione dei dati. Là, diverse aziende hanno scelto di esternalizzare il servizio con l'assunzione di consulenze specializzate, portando acompetenzaper "casa", senza dover creare un intero dipartimento per questo.
Il responsabile, secondo la normativa, deve avere autonomia per segnalare eventuali mancanze e propor miglioramenti, e alcune linee guida internazionali suggeriscono che il professionista debba essere libero da pressioni interne che limitino la sua capacità di vigilanza. Le consulenze che offrono questo servizio sviluppano contratti e metodologie di lavoro che garantiscono questo tipo di indipendenza, mantenendo una comunicazione trasparente con i gestori e stabilendo criteri chiari di governance.
Questo meccanismo protegge sia l'azienda sia il professionista stesso, che deve avere la libertà di segnalare vulnerabilità anche se ciò va contro pratiche consolidate all'interno di un determinato settore o dipartimento.
L'intensificazione della sorveglianza dell'ANPD è un segnale che il scenario di tolleranza sta lasciando il posto a una postura più ferma, e chi sceglie di non affrontare questo problema ora potrebbe affrontare conseguenze più gravi in un futuro non troppo lontano.
Per le aziende che desiderano un percorso più sicuro, l'esternalizzazione è una scelta in grado di bilanciare costo, efficienza e affidabilità. Con questo tipo di collaborazione, è possibile colmare le lacune nell'ambiente interno e strutturare una routine di conformità che proteggerà l'azienda sia dalle sanzioni sia dai rischi associati alla mancanza di trasparenza e sicurezza riguardo ai dati personali di cui è responsabile.
