Kahit na makalipas ang napakaraming taon mula nang ipatupad ang General Data Protection Law (LGPD) sa Brazil, maraming kumpanya ang patuloy na lumalabag sa batas. Ang LGPD, na nagkabisa noong Setyembre 2020, ay nilikha na may layuning protektahan ang personal na data ng mga mamamayan ng Brazil, na nagtatatag ng mga malinaw na panuntunan sa kung paano dapat kolektahin, iimbak, at iproseso ng mga kumpanya ang impormasyong ito. Gayunpaman, sa kabila ng panahon na lumipas, maraming kumpanya ang gumawa ng kaunting pag-unlad sa pagpapatupad ng batas.
Kamakailan, pinaigting ng National Data Protection Authority (ANPD) ang pangangasiwa nito sa mga kumpanyang walang data protection officer (DPO). Ang kakulangan ng isang DPO ay isa sa mga pangunahing paglabag na natukoy, dahil ang propesyonal na ito ay mahalaga upang matiyak na ang kumpanya ay sumusunod sa LGPD (Brazilian General Data Protection Law). Ang DPO ay gumaganap bilang isang tagapamagitan sa pagitan ng kumpanya, mga paksa ng data, at ang ANPD, na responsable para sa pagsubaybay sa pagsunod sa mga patakaran sa proteksyon ng data at paggabay sa organisasyon sa pinakamahuhusay na kagawian.
At ang data na ito ay maaaring "tip of the iceberg" lamang. Sa katotohanan, walang nakakaalam ng eksaktong bilang ng mga kumpanyang hindi pa sumusunod sa batas. Walang iisang opisyal na survey na pinagsasama-sama ang eksaktong bilang ng lahat ng kumpanyang hindi sumunod sa LGPD (Brazilian General Data Protection Law). Ipinahihiwatig ng independiyenteng pananaliksik na, sa pangkalahatan, ang porsyento ay maaaring mag-iba sa pagitan ng 60% at 70% ng mga kumpanyang Brazilian, lalo na sa mga maliliit at katamtamang laki ng mga negosyo. Sa kaso ng malalaking kumpanya, ang bilang ay mas mataas pa, na umaabot ng hanggang 80%.
Bakit may pagkakaiba ang kakulangan ng DPO.
Sa 2024, tiyak na malalampasan ng Brazil ang 700 milyong pag-atake sa cybercriminal. Tinatayang halos 1,400 na pag-atake ang nangyayari kada minuto, at, siyempre, ang mga kumpanya ang pangunahing target ng mga kriminal. Ang mga krimen tulad ng ransomware – kung saan ang data ay karaniwang ginagawang "hostage" at ang mga kumpanya ay dapat magbayad ng malaking halaga ng pera upang maiwasan ang paglalathala nito online - ay naging karaniwan. Ngunit hanggang kailan kakayanin ng system – ang mga biktima at ang mga tagaseguro – ang ganoong dami ng mga pag-atake?
Walang paraan upang maayos na masagot ang tanong na ito, lalo na kapag ang mga biktima mismo ay nabigo na gawin ang mga kinakailangang aksyon upang maprotektahan ang kanilang impormasyon. Ang kakulangan ng isang propesyonal na nakatuon sa proteksyon ng data, o, sa ilang mga sitwasyon, kapag ang taong diumano'y responsable para sa lugar ay nag-iipon ng napakaraming mga pag-andar na hindi nila maisagawa ang aktibidad na ito nang kasiya-siya, higit pang nagpapalala sa sitwasyong ito.
Malinaw na ang paghirang ng isang opisyal ng proteksyon ng data, sa kanyang sarili, ay hindi malulutas ang lahat ng mga hamon sa pagsunod, ngunit ipinapakita nito na ang kumpanya ay nakatuon sa pagbuo ng isang hanay ng mga kasanayan na naaayon sa LGPD (Brazilian General Data Protection Law). Gayunpaman, ang kawalan ng priyoridad na ito ay hindi lamang nagpapakita ng posibilidad ng mga parusa, kundi pati na rin ang mga tunay na panganib ng mga insidente sa seguridad, na bubuo ng malaking pagkalugi. Ang mga multa na nalalapat ng ANPD (National Data Protection Authority) ay bahagi lamang ng problema, dahil ang hindi nakikitang pagkalugi, gaya ng kumpiyansa sa merkado, ay maaaring maging mas masakit. Sa kontekstong ito, ang mas matinding pangangasiwa ay nakikita bilang isang kinakailangang aksyon upang palakasin ang mga mekanismo ng pagsunod at hikayatin ang mga organisasyon na unahin ang privacy ng mga paksa ng data.
Dapat ka bang umarkila ng DPO o outsource?
Maaaring maging isang kumplikadong gawain ang pagkuha ng full-time na DPO, dahil hindi palaging may pangangailangan o interes sa paglalaan ng mga panloob na mapagkukunan sa tungkuling ito.
Sa ganitong diwa, ang outsourcing ay itinuro bilang isang solusyon para sa mga kumpanyang gustong sumunod sa batas nang epektibo, ngunit walang malaking istraktura o mapagkukunan upang mapanatili ang isang multidisciplinary team na nakatuon sa proteksyon ng data. Kapag gumagamit ng isang dalubhasang tagapagbigay ng serbisyo, ang kumpanya ay nakakakuha ng access sa mga propesyonal na may higit na karanasan sa pagharap sa mga kinakailangan ng LGPD (Brazilian General Data Protection Law) sa iba't ibang sektor ng merkado. Higit pa rito, sa isang panlabas na responsableng partido, sinisimulan ng kumpanya na tingnan ang proteksyon ng data bilang isang bagay na isinama sa diskarte nito, sa halip na isang problemang minsanan na nakakakuha lamang ng pansin kapag may dumating na abiso o kapag may nangyaring paglabag sa data.
Nag-aambag ito sa paglikha ng matatag na proseso nang hindi nangangailangan ng malaking pamumuhunan sa pangangalap, pagsasanay, at pagpapanatili ng talento. Ang outsourcing ng data protection officer ay higit pa sa paghirang ng isang tagalabas. Karaniwang nag-aalok ang provider ng patuloy na pagkonsulta, pagsasagawa ng mga aktibidad sa pagmamapa sa peligro at pagsusuri, pagtulong sa pagbuo ng mga panloob na patakaran, pagsasagawa ng pagsasanay sa koponan, at pagsubaybay sa ebolusyon ng batas at mga regulasyon ng ANPD.
Higit pa rito, may kalamangan ang pagkakaroon ng isang koponan na mayroon nang karanasan sa mga praktikal na kaso, na nagpapababa sa kurba ng pagkatuto at nakakatulong na maiwasan ang mga insidente na maaaring humantong sa mga multa o pinsala sa reputasyon.
Gaano kalawak ang responsibilidad ng outsourced na DPO?
Mahalagang bigyang-diin na ang outsourcing ay hindi nagpapaliban sa organisasyon mula sa mga legal na responsibilidad nito. Ang ideya ay pinapanatili ng kumpanya ang pangako nitong tiyakin ang seguridad ng data na kinokolekta at pinoproseso nito, dahil nilinaw ng batas ng Brazil na ang pananagutan para sa mga insidente ay hindi lamang nakasalalay sa opisyal ng proteksyon ng data, ngunit sa institusyon sa kabuuan.
Nagbibigay ang Outsourcing ng propesyonal na suporta na nauunawaan ang mga kinakailangang hakbang upang panatilihing sumusunod ang organisasyon sa LGPD (Brazilian General Data Protection Law). Ang kasanayan sa pag-delegate ng ganitong uri ng gawain sa isang panlabas na kasosyo ay pinagtibay na sa ibang mga bansa kung saan ang proteksyon ng data ay naging isang kritikal na punto sa pamamahala sa peligro at pamamahala ng korporasyon. Ang European Union, halimbawa, na may General Data Protection Regulation (GDPR), ay nangangailangan ng maraming kumpanya na magtalaga ng isang data protection officer. Doon, ilang kumpanya ang nagpasyang i-outsource ang serbisyong ito sa pamamagitan ng pagkuha ng mga dalubhasang pagkonsulta, na nagdadala ng na kadalubhasaan nang hindi kinakailangang lumikha ng isang buong departamento para dito.
Ayon sa batas, ang superbisor ay dapat magkaroon ng awtonomiya upang mag-ulat ng mga pagkabigo at magmungkahi ng mga pagpapabuti, at ang ilang mga internasyonal na alituntunin ay nagmumungkahi na ang propesyonal ay dapat na malaya mula sa mga panloob na panggigipit na naglilimita sa kanilang kapasidad sa pangangasiwa. Ang mga consulting firm na nag-aalok ng serbisyong ito ay bumuo ng mga kontrata at mga pamamaraan sa trabaho na nagsisiguro sa ganitong uri ng kalayaan, na nagpapanatili ng malinaw na komunikasyon sa mga tagapamahala at nagtatatag ng malinaw na pamantayan sa pamamahala.
Pinoprotektahan ng mekanismong ito ang kumpanya at ang mismong propesyonal, na nangangailangan ng kalayaan na ituro ang mga kahinaan kahit na salungat ito sa mga itinatag na kasanayan sa loob ng isang partikular na sektor o departamento.
Ang tumaas na pagsisiyasat ng ANPD (National Data Protection Authority) ay isang senyales na ang klima ng pagpapaubaya ay nagbibigay daan sa isang mas matatag na paninindigan, at ang mga pipili na huwag tugunan ang problemang ito ngayon ay maaaring maharap sa mas malalang kahihinatnan sa hindi masyadong malayong hinaharap.
Para sa mga kumpanyang naghahanap ng mas ligtas na landas, ang outsourcing ay isang pagpipilian na may kakayahang balansehin ang gastos, kahusayan, at pagiging maaasahan. Sa ganitong uri ng partnership, posibleng itama ang mga puwang sa panloob na kapaligiran at bumuo ng isang nakagawiang pagsunod na magpoprotekta sa kumpanya mula sa parehong mga parusa at mga panganib na nauugnay sa kawalan ng transparency at seguridad tungkol sa personal na data sa ilalim ng responsibilidad nito.
