Økning i ANPD-inspeksjon setter bedrifter på veggen

Selv etter så mange år siden implementeringen av den generelle databeskyttelsesloven (LGPD) i Brasil, fortsetter mange selskaper å ikke overholde regelen. LGPD, som trådte i kraft i september 2020, ble opprettet med sikte på å beskytte personopplysningene til brasilianske borgere, og etablere klare regler for hvordan selskaper skal samle inn, lagre og behandle denne informasjonen. Men til tross for medgått tid, har mange bedrifter utviklet seg lite i implementeringen av standarden.

Nylig intensiverte National Data Protection Authority (ANPD) inspeksjoner av selskaper som ikke har en datatilsynsmyndighet, også kjent som Data Protection Officer (DPO). Mangelen på en DPO er en av de viktigste bruddene som er identifisert, da denne profesjonelle er avgjørende for å sikre at selskapet er i samsvar med GLPD. DPO fungerer som et mellomledd mellom selskapet, de registrerte og ANPD, og er ansvarlig for å overvåke overholdelse av databeskyttelsespolicyer og for å veilede organisasjonen om beste praksis.

Og disse dataene kan bare være “isfjelltipset”. Faktisk er det ingen som vet hvor mange selskaper som ennå ikke har fulgt regelen. Det er ingen enkelt offisiell undersøkelse som konsoliderer det nøyaktige antallet av alle selskaper som ikke følger LGPD Independente Pesquisas viser at, generelt sett, kan prosentandelen variere mellom 60% og 70% av brasilianske selskaper, spesielt blant små og mellomstore selskaper. Når det gjelder store, er tallet enda høyere, og når 80%.  

Hvorfor mangelen på en DPO gjør en forskjell

I 2024 overgikk Brasil sikkert antallet 700 millioner nettkriminelle angrep. Det er anslått at nesten 1400 treff per minutt forekommer, og selvfølgelig er selskaper hovedmålene for kriminelle. Forbrytelser som løsepengevare – der data vanligvis blir “gisler” og som, for ikke å bli publisert på nettet, må betale en enorm økonomisk sum. Men hvor lenge vil systemet – ofre og forsikringsselskaper – tåle størrelsen på angrep?

Det er ingen måte å svare på dette spørsmålet på riktig måte, spesielt når ofrene selv slutter å ta de nødvendige tiltakene for å beskytte informasjonen. Mangelen på en fagperson med fokus på databeskyttelse eller, i noen situasjoner, når den påståtte ansvarlige for området akkumulerer så mange funksjoner at han ikke kan utføre denne aktiviteten på en tilfredsstillende måte, forverrer denne situasjonen enda mer.  

Utpekingen av en ansvarlig person løser selvsagt ikke alle utfordringene med tilpasning, men viser at selskapet er forpliktet til å strukturere et sett med praksis i samsvar med LGPD. Denne mangelen på prioritering reflekterer imidlertid ikke bare muligheten for sanksjoner, men også på reell risiko for sikkerhetshendelser, som vil generere betydelig skade. Bøtene som gjelder av ANPD er bare en del av problemet, ettersom immaterielle tap, som markedstillit, kan være enda mer smertefulle. I dette scenariet blir den mest intense inspeksjonen sett på som en handling som er nødvendig for å forsterke mekanismene for etterlevelse av lovgivningen og oppmuntre organisasjoner til å sette personvernet til innehaverne på dagsorden.  

leie en DPO eller outsource?

Å ansette en fulltids DPO kan være en komplisert oppgave, siden det ikke alltid er etterspørsel eller interesse i å allokere interne ressurser til denne etterspørselen.  

Slik sett har outsourcing blitt pekt ut som en løsning for selskaper som effektivt ønsker å overholde lovgivningen, men som ikke har en stor struktur eller ressurser til å opprettholde et tverrfaglig team rettet mot databeskyttelse. Ved bruk av en spesialisert tjenesteleverandør får selskapet tilgang til fagfolk som har mer erfaring til å håndtere kravene til LGPD i ulike sektorer av markedet. I tillegg, med en ekstern ansvarlig, begynner selskapet å se databeskyttelse som noe integrert med strategien, i stedet for et engangsproblem som kun får oppmerksomhet når et varsel kommer eller når en lekkasje oppstår.  

Dette bidrar til å skape robuste prosesser uten å kreve en omfangsrik investering i rekruttering, opplæring og oppbevaring av talent. Outsourcing av dataansvarlig går utover å bare navngi en utenforstående. Tilbyderen tilbyr vanligvis kontinuerlig rådgivning, utfører kartleggingsaktiviteter og risikoanalyse, hjelper til med å utvikle interne retningslinjer, gjennomfører opplæring for teamene og overvåker utviklingen av lovgivningen og ANPD-forskriftene.  

I tillegg er det fordelen med å ha et team som allerede har erfaring i praktiske saker, noe som reduserer læringskurven og bidrar til å forhindre hendelser som kan generere bøter eller skade på omdømmet.  

Hvor langt går DPOs ansvar

Det er viktig å fremheve at outsourcing ikke fritar organisasjonen fra dens juridiske ansvar. Tanken er at selskapet opprettholder en forpliktelse til å garantere sikkerheten til dataene det samler inn og behandler, ettersom brasiliansk lovgivning gjør det klart at ansvaret for hendelser ikke bare faller på den ansvarlige, men på institusjonen som helhet.  

Det outsourcing gjør er å tilby profesjonalisert støtte, som forstår de nødvendige måtene å holde organisasjonen på linje med LGPD. Praksisen med å delegere denne typen oppgaver til en ekstern partner er allerede tatt i bruk i andre land, hvor databeskyttelse har blitt et kritisk punkt for risikostyring og selskapsstyring. Den europeiske union, for eksempel, med den generelle databeskyttelsesforordningen, krever at mange selskaper oppnevner en databeskyttelsesansvarlig. Der valgte flere selskaper outsourcing av tjenesten med ansettelse av spesialisert konsulentvirksomhet, og brakte ekspertise å “inne i huset”, uten å måtte opprette en hel avdeling for det.  

Den ansvarlige må i henhold til lovgivningen ha autonomi til å rapportere feil og foreslå forbedringer, og en del av de internasjonale retningslinjene foreslår at fagpersonen skal være fri for internt press som begrenser hans evne til å inspisere. Konsulentene som tilbyr denne tjenesten utvikler kontrakter og arbeidsmetodikker som sikrer denne typen uavhengighet, opprettholder transparent kommunikasjon med ledere og etablerer klare styringskriterier.  

Denne mekanismen beskytter både selskapet og fagpersonen selv, som må stå fritt til å angi sårbarheter selv om dette strider mot konsolidert praksis innenfor en bestemt sektor eller avdeling.  

Intensiveringen av ANPD-inspeksjon er et tegn på at toleransescenarioet gir opphav til en fastere holdning, og de som velger å ikke håndtere dette problemet nå kan få tyngre konsekvenser i en ikke så fjern fremtid.  

For bedrifter som ønsker en tryggere vei, er outsourcing et valg som balanserer kostnader, effektivitet og pålitelighet. Med denne typen partnerskap er det mulig å fikse hull i det indre miljøet og strukturere en overholdelsesrutine som vil beskytte selskapet mot både sanksjonene og risikoene forbundet med mangel på åpenhet og sikkerhet i forhold til personopplysningene som er under deres ansvar.