Selv om det har gått mange år siden implementeringen av den generelle databeskyttelsesloven (LGPD) i Brasil, fortsetter mange selskaper å bryte regelverket. LGPD, som trådte i kraft i september 2020, ble opprettet med mål om å beskytte brasilianske borgeres personopplysninger, og fastsetter klare regler for hvordan selskaper skal samle inn, lagre og behandle denne informasjonen. Imidlertid, til tross for tiden som har gått, har mange selskaper gjort lite fremskritt i implementeringen av normen.
Nylig har den nasjonale databeskyttelsesmyndigheten (ANPD) økt tilsynet med selskaper som ikke har en databeskyttelsesansvarlig, også kjent som Data Protection Officer (DPO). Mangelen på en DPO er en av de viktigste bruddene som er identifisert, siden denne personen er avgjørende for å sikre at selskapet overholder LGPD. DPO fungerer som en mellommann mellom selskapet, datainnehaverne og ANPD, og er ansvarlig for å overvåke etterlevelsen av databeskyttelsespolitikkene og veilede organisasjonen om beste praksis.
Og dette kan bare være toppen av isfjellet. Faktisk vet ingen hvor mange selskaper som ennå ikke har tatt i bruk normen. Det finnes ingen enkelt offisiell oversikt som samler de nøyaktige tallene for alle selskaper som ikke følger GDPR. Uavhengige undersøkelser viser at, generelt sett, kan andelen variere mellom 60 % og 70 % av brasilianske selskaper, spesielt blant små og mellomstore bedrifter. I tilfelle de store er tallet enda høyere, og kan nå opp til 80%.
Hvorfor mangelen på en DPO gjør en forskjell
I 2024 har sannsynligvis Brasil overskred 700 millioner cyberangrep fra cyberkriminelle. Det estimeres at det skjer nesten 1.400 svindler per minutt, og selvfølgelig er selskapene de viktigste målene for kriminalitetene. Kriminalitet som ransomware – hvor data vanligvis blir tatt som gisler og selskaper må betale en stor sum penger for å unngå at de blir publisert på nettet – har blitt vanlig. Men hvor lenge vil systemet – ofrene og forsikringsselskapene – tåle så stort antall angrep?
Det er ikke mulig å svare på dette spørsmålet på en passende måte, spesielt når ofrene selv unnlater å ta nødvendige tiltak for å beskytte informasjonen. Mangel på en person som er fokusert på databeskyttelse eller, i noen tilfeller, når den antatte ansvarlige for området har så mange oppgaver at de ikke klarer å utføre denne aktiviteten på en tilfredsstillende måte, forverrer situasjonen ytterligere.
Det er klart at utnevnelsen av en ansvarlig i seg selv ikke løser alle tilpasningsutfordringene, men viser at selskapet er forpliktet til å etablere et sett med praksiser i samsvar med GDPR. Imidlertid gjenspeiler denne mangelen på prioritering ikke bare i muligheten for sanksjoner, men også i reelle risikoer for sikkerhetshendelser som vil føre til betydelige tap. De påleggene som ANPD kan ilegge, er bare en del av problemet, fordi de intangible tapene, som markedets tillit, kan være enda mer smertefulle. I denne sammenhengen blir en mer intensiveret tilsyn sett på som en nødvendig handling for å styrke mekanismene for å håndheve lovgivningen og oppmuntre organisasjonene til å sette personvernet til registrerte i fokus.
Ansette en DPO eller outsource?
Å ansette en DPO på heltid kan være en utfordring, siden det ikke alltid er etterspørsel eller interesse for å allokere interne ressurser til denne oppgaven.
I denne sammenhengen blir outsourcing sett på som en løsning for selskaper som ønsker å overholde lovgivningen på en effektiv måte, men som ikke har en stor struktur eller ressurser til å opprettholde et tverrfaglig team dedikert til databeskyttelse. Når man benytter en spesialisert tjenesteleverandør, får selskapet tilgang til fagfolk som har mer erfaring med å håndtere kravene i GDPR på tvers av ulike sektorer i markedet. I tillegg begynner selskapet å se databeskyttelse som en integrert del av strategien, i stedet for et midlertidig problem som bare får oppmerksomhet når det kommer en varsling eller når det oppstår et lekkasje.
Dette bidrar til å skape robuste prosesser uten at det er nødvendig med store investeringer i rekruttering, opplæring og talentretensjon. Utlicensiering av databehandler går utover å bare utnevne en ekstern person. Leverandøren tilbyr vanligvis kontinuerlig rådgivning, utfører kartleggings- og risikovurderingsaktiviteter, hjelper med utarbeidelse av interne retningslinjer, gjennomfører opplæring for teamene og følger med på utviklingen av lovgivning og forskrifter fra ANPD.
I tillegg har man fordelen av å ha et team som allerede har erfaring med praktiske saker, noe som reduserer læringskurven og bidrar til å forhindre hendelser som kan føre til bøter eller skade på omdømmet.
Hvor går ansvaret for den outsourcing DPO'en?
Det er viktig å påpeke at outsourcing ikke fritar organisasjonen fra sine juridiske forpliktelser. Ideen er at selskapet opprettholder forpliktelsen til å sikre dataene de samler inn og behandler, fordi den brasilianske lovgivningen tydeliggjør at ansvaret for hendelser ikke bare påhviler den ansvarlige, men hele institusjonen.
Det som outsourcing gjør er å tilby profesjonell støtte som forstår de nødvendige veiene for å holde organisasjonen i samsvar med GDPR. Praksisen med å delegere denne typen oppgaver til en ekstern partner er allerede tatt i bruk i andre land, hvor databeskyttelse har blitt et kritisk punkt for risikostyring og selskapsstyring. EU, for eksempel, med den generelle databeskyttelsesforordningen, krever at mange selskaper utnevner en databeskyttelsesrådgiver. Derfor valgte flere selskaper å outsource tjenesten ved å ansette spesialiserte konsulenter, noe som førte tilekspertiseinnenfor huset, uten å måtte opprette en hel avdeling for det.
Den ansvarlige, i henhold til lovgivningen, skal have autonomi til å rapportere feil og foreslå forbedringer, og noen internasjonale retningslinjer antyder at fagpersonen skal være fri for interne press som begrenser hans evne til tilsyn. Rådgivningsfirmaene som tilbyr denne tjenesten utvikler kontrakter og arbeidsmetodikker som sikrer denne typen uavhengighet, opprettholder åpen kommunikasjon med lederne og etablerer klare styringskriterier.
Denne mekanismen beskytter både selskapet og selve fagpersonen, som må ha friheten til å påpeke sårbarheter selv om det går imot etablerte praksiser innen en bestemt sektor eller avdeling.
Økt tilsyn fra ANPD er et tegn på at toleransesituasjonen gir plass til en mer bestemt holdning, og de som velger å ikke ta tak i dette problemet nå, kan møte tyngre konsekvenser i en ikke altfor fjern fremtid.
For selskaper som ønsker en tryggere vei, er outsourcing et valg som kan balansere kostnad, effektivitet og pålitelighet. Med denne typen partnerskap er det mulig å rette opp hull i det interne miljøet og strukturere en compliance-rutine som vil beskytte selskapet både mot sanksjoner og risikoer knyttet til manglende åpenhet og sikkerhet når det gjelder personopplysninger som er under deres ansvar.
