Mimo upływu tylu lat od wprowadzenia w Brazylii Ogólnego Prawa o Ochronie Danych (LGPD), wiele firm nadal łamie to prawo. Ustawa LGPD, która weszła w życie we wrześniu 2020 roku, została stworzona w celu ochrony danych osobowych obywateli Brazylii, ustanawiając jasne zasady dotyczące sposobu gromadzenia, przechowywania i przetwarzania tych informacji przez firmy. Jednak pomimo upływu czasu, wiele firm poczyniło niewielkie postępy we wdrażaniu tego prawa.
Niedawno Krajowy Urząd Ochrony Danych Osobowych (ANPD) zintensyfikował nadzór nad firmami, które nie mają inspektora ochrony danych (IOD). Brak inspektora ochrony danych jest jednym z głównych zidentyfikowanych naruszeń, ponieważ osoba ta jest niezbędna do zapewnienia zgodności firmy z LGPD (brazylijską ustawą o ochronie danych osobowych). IOD działa jako pośrednik między firmą, osobami, których dane dotyczą, a ANPD, odpowiadając za monitorowanie zgodności z polityką ochrony danych i doradzanie organizacji w zakresie najlepszych praktyk.
Dane te mogą być jedynie „wierzchołkiem góry lodowej”. W rzeczywistości nikt nie zna dokładnej liczby firm, które nie dostosowały się jeszcze do przepisów. Nie ma jednego oficjalnego badania, które konsolidowałoby dokładną liczbę wszystkich firm, które nie dostosowały się do LGPD (brazylijskiej ustawy o ochronie danych osobowych). Niezależne badania wskazują, że generalnie odsetek ten może wahać się od 60% do 70% wśród brazylijskich firm, zwłaszcza wśród małych i średnich przedsiębiorstw. W przypadku dużych firm odsetek ten jest jeszcze wyższy i sięga nawet 80%.
Dlaczego brak inspektora ochrony danych ma znaczenie.
W 2024 roku Brazylia z pewnością przekroczy 700 milionów ataków cyberprzestępczych. Szacuje się, że na minutę ma miejsce prawie 1400 ataków, a głównym celem przestępców są oczywiście firmy. Przestępstwa takie jak ransomware – w których dane są zazwyczaj przetrzymywane jako „zakładnicy”, a firmy muszą płacić ogromne sumy, aby uniemożliwić ich publikację w internecie – stały się powszechne. Ale jak długo system – ofiary i ubezpieczyciele – będzie w stanie wytrzymać taką skalę ataków?
Nie sposób udzielić prawidłowej odpowiedzi na to pytanie, zwłaszcza gdy same ofiary nie podejmują niezbędnych działań w celu ochrony swoich danych. Brak profesjonalisty zajmującego się ochroną danych lub, w niektórych sytuacjach, nagromadzenie tak wielu funkcji przez osobę rzekomo odpowiedzialną za dany obszar, że nie jest w stanie wykonywać tych czynności w sposób satysfakcjonujący, dodatkowo pogarsza sytuację.
Oczywiste jest, że samo powołanie inspektora ochrony danych nie rozwiązuje wszystkich problemów związanych z zapewnieniem zgodności, ale pokazuje, że firma jest zdecydowana wdrożyć zestaw praktyk zgodnych z LGPD (brazylijską ustawą o ochronie danych osobowych). Jednak ten brak priorytetyzacji nie tylko odzwierciedla możliwość nałożenia sankcji, ale także realne ryzyko incydentów bezpieczeństwa, które generują znaczne straty. Kary nakładane przez ANPD (krajowy urząd ochrony danych) to tylko część problemu, ponieważ straty niematerialne, takie jak utrata zaufania do rynku, mogą być jeszcze bardziej dotkliwe. W tym kontekście bardziej intensywny nadzór jest postrzegany jako niezbędne działanie mające na celu wzmocnienie mechanizmów zgodności i zachęcenie organizacji do priorytetowego traktowania prywatności osób, których dane dotyczą.
Czy powinieneś zatrudnić inspektora ochrony danych czy zlecić to na zewnątrz?
Zatrudnienie pełnoetatowego inspektora ochrony danych może być skomplikowanym zadaniem, ponieważ nie zawsze jest zapotrzebowanie lub zainteresowanie przydzieleniem wewnętrznych zasobów do tej roli.
W tym kontekście outsourcing został wskazany jako rozwiązanie dla firm, które chcą skutecznie przestrzegać przepisów, ale nie dysponują rozbudowaną strukturą ani zasobami pozwalającymi na utrzymanie multidyscyplinarnego zespołu zajmującego się ochroną danych. Korzystając z usług wyspecjalizowanego dostawcy usług, firma zyskuje dostęp do specjalistów posiadających większe doświadczenie w spełnianiu wymogów LGPD (brazylijskiej ustawy o ochronie danych osobowych) w różnych sektorach rynku. Co więcej, dzięki zewnętrznej firmie odpowiedzialnej za ochronę danych, firma zaczyna postrzegać ją jako integralną część swojej strategii, a nie jako jednorazowy problem, na który zwraca się uwagę dopiero po otrzymaniu powiadomienia lub w przypadku naruszenia bezpieczeństwa danych.
Przyczynia się to do tworzenia solidnych procesów bez konieczności dużych inwestycji w rekrutację, szkolenia i utrzymanie talentów. Outsourcing inspektora ochrony danych to coś więcej niż tylko wyznaczenie osoby z zewnątrz. Dostawca zazwyczaj oferuje stałe doradztwo, przeprowadzanie mapowania i analizy ryzyka, pomoc w opracowaniu wewnętrznych polityk, szkolenia zespołów oraz monitorowanie zmian w przepisach i regulacjach ANPD.
Dodatkowo zaletą jest posiadanie zespołu, który ma już doświadczenie w praktycznych sprawach, co skraca czas uczenia się i pomaga zapobiegać incydentom, które mogłyby skutkować grzywnami lub uszczerbkiem na reputacji.
Jaki jest zakres odpowiedzialności zewnętrznego inspektora ochrony danych?
Należy podkreślić, że outsourcing nie zwalnia organizacji z odpowiedzialności prawnej. Chodzi o to, aby firma dotrzymała zobowiązania do zapewnienia bezpieczeństwa gromadzonych i przetwarzanych danych, ponieważ brazylijskie prawo wyraźnie stanowi, że odpowiedzialność za incydenty nie spoczywa wyłącznie na inspektorze ochrony danych, ale na całej instytucji.
Outsourcing zapewnia profesjonalne wsparcie, które rozumie niezbędne kroki, aby organizacja przestrzegała przepisów LGPD (brazylijskiej ustawy o ochronie danych osobowych). Praktyka delegowania tego typu zadań zewnętrznemu partnerowi jest już stosowana w innych krajach, gdzie ochrona danych stała się kluczowym punktem zarządzania ryzykiem i ładu korporacyjnego. Na przykład Unia Europejska, zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO), nakłada na wiele firm obowiązek wyznaczenia inspektora ochrony danych. Wiele firm zdecydowało się na outsourcing tej usługi, zatrudniając wyspecjalizowane firmy konsultingowe, które wnoszą wiedzę specjalistyczną „wewnętrznie”, bez konieczności tworzenia w tym celu całego działu.
Zgodnie z przepisami, przełożony musi mieć swobodę zgłaszania uchybień i proponowania usprawnień, a niektóre międzynarodowe wytyczne sugerują, że specjalista powinien być wolny od wewnętrznych nacisków, które ograniczają jego kompetencje nadzorcze. Firmy konsultingowe oferujące tę usługę opracowują umowy i metodyki pracy, które zapewniają taką niezależność, utrzymując transparentną komunikację z przełożonymi i ustalając jasne kryteria zarządzania.
Mechanizm ten chroni zarówno firmę, jak i samego specjalistę, który musi mieć swobodę wskazywania luk, nawet jeśli jest to sprzeczne z przyjętymi praktykami w danym sektorze lub dziale.
Wzmożona kontrola ze strony ANPD (Narodowego Urzędu Ochrony Danych) jest sygnałem, że klimat tolerancji ustępuje miejsca bardziej stanowczej postawie, a ci, którzy zdecydują się teraz nie zająć się tym problemem, mogą spotkać się z poważniejszymi konsekwencjami w niedalekiej przyszłości.
Dla firm poszukujących bezpieczniejszej ścieżki, outsourcing to wybór pozwalający na zrównoważenie kosztów, wydajności i niezawodności. Dzięki temu rodzajowi partnerstwa możliwe jest wyeliminowanie luk w środowisku wewnętrznym i opracowanie procedury zgodności, która ochroni firmę zarówno przed sankcjami, jak i ryzykiem związanym z brakiem przejrzystości i bezpieczeństwa danych osobowych, za które jest odpowiedzialna.
