Chiar și după atâția ani de la implementarea Legii Generale de Protecție a Datelor (LGPD) în Brazilia, multe companii continuă să încalce norma. LGPD, care a intrat în vigoare în septembrie 2020, a fost creată cu scopul de a proteja datele personale ale cetățenilor brazilieni, stabilind reguli clare despre cum companiile trebuie să colecteze, a stoca și a trata aceste informații. Cu toate acestea, în ciuda timpului trecut, multe companii au avansat puțin în implementarea normei
Recent, Autoritatea Națională pentru Protecția Datelor (ANPD) a intensificat controlul asupra companiilor care nu au un responsabil cu datele, de asemenea cunoscut sub numele de Ofițer pentru Protecția Datelor (DPO). Lipsa unui DPO este una dintre principalele încălcări identificate, deoarece acest profesionist este esențial pentru a asigura că compania respectă LGPD. DPO-ul acționează ca un intermediar între companie, titularii datelor și ANPD, fiind responsabil pentru monitorizarea respectării politicilor de protecție a datelor și pentru a ghida organizația cu privire la cele mai bune practici
Și aceste date pot fi doar „vârful aisbergului”. În realitate, nimeni nu știe care este numărul de companii care încă nu au aderat la normă. Nu există o evaluare oficială unică care să consolideze numerele exacte ale tuturor companiilor care nu respectă LGPD Cercetările independente indică faptul că, în termeni generali, procentajul poate varia între 60% și 70% dintre companiile braziliene, în special între cele de mic și mediu dimensiune. În cazul marilor, numărul este și mai mare, putând ajunge la 80%.
De ce lipsa unui DPO face diferența
În 2024, cu siguranță, Brazilia a depășit numărul de 700 de milioane de atacuri ale cibercriminalilor. Se estimează că au loc aproape 1.400 de lovituri pe minut și, desigur, companiile sunt principalele ținte ale criminalilor. Crime precum ransomware – în care, în general, datele devin „ostatice” și că, pentru a nu fi publicate online, companiile trebuie să plătească o sumă enormă de bani, au devenit obișnuite. Dar până când sistemul – victimele și asigurătorii – vor suporta un volum atât de mare de atacuri
Nu există o modalitate de a răspunde la această întrebare în mod corespunzător, cu atât mai mult cu cât victimele însele nu mai iau măsurile necesare pentru protecția informațiilor. Lipsa unui profesionist specializat în protecția datelor sau, în anumite situații, când când presupusul responsabil pentru domeniu acumulează atât de multe funcții încât nu reușește să îndeplinească această activitate într-un mod satisfăcător, agravează și mai mult această situație.
Este clar că desemnarea unui responsabil, de sine stătător, nu rezolvă toate provocările de adecvare, dar dovedește că compania este dedicată structurării unui set de practici coerente cu RGPD. Între timp, această lipsă de prioritizare nu se reflectă doar în posibilitatea de sancțiuni, dar și în riscuri reale de incidente de securitate, care vor genera o pierdere considerabilă. Amenziile aplicabile de ANPD sunt doar o parte a problemei, deoarece pierderile intangibile, cum este încrederea pieței, pot fi chiar mai dureroase. În acest peisaj, controlul mai intens este văzut ca o demers necesar pentru a întări mecanismele de respectare a legislației și a încuraja organizațiile să pună în discuție confidențialitatea titularilor.
Angajarea unui DPO sau externalizarea
Angajarea unui DPO cu normă întreagă poate fi o sarcină complicată, deoarece nu întotdeauna există cererea sau interesul de a aloca resurse interne pentru această cerere.
În acest sens, externalizarea a fost indicată ca o soluție pentru companiile care doresc să respecte legislația în mod eficient, dar nu dispun de o structură mare sau de resurse pentru a menține o echipă multidisciplinară dedicată protecției datelor. Când se apelează la un furnizor de servicii specializat, compania are acces la profesioniști care au mai multă experiență în gestionarea cerințelor LGPD în diferite sectoare ale pieței. În plus, cu un responsabil extern, compania începe să privească protecția datelor ca pe ceva integrat în strategie, în loc de o problemă punctuală care primește atenție doar când apare o notificare sau când are loc o scurgere.
Aceasta contribuie la crearea unor procese robuste fără a fi necesară o investiție voluminoasă în recrutare, formare și retenția talentelor. Externalizarea responsabilului cu datele depășește simpla numire a unei persoane din afară. Furnizorul oferă de obicei consultanță continuă, realizând activități de cartografiere și analiză a riscurilor, ajutând la elaborarea de politici interne, conducând antrenamente pentru echipe și urmărind evoluția legislației și a normelor ANPD.
În plus, există avantajul de a avea o echipă care are deja experiență în cazuri practice, ceea ce reduce curba de învățare și ajută la prevenirea incidentelor care ar putea genera amenzi sau daune reputației.
Până unde se extinde responsabilitatea DPO-ului externalizat
Este important de subliniat că externalizarea nu exonerează organizația de responsabilitățile sale legale. Ideea este ca compania să își mențină angajamentul de a garanta securitatea datelor pe care le colectează și le prelucrează, deoarece legislația braziliană clarifică faptul că responsabilitatea pentru incidente nu revine doar responsabilului, mai mult despre instituție ca un întreg.
Ceea ce face externalizarea este să ofere un suport profesionalizat, care înțelege căile necesare pentru a menține organizația în conformitate cu RGPD. Practicarea de a delega acest tip de sarcină unui partener extern este deja adoptată în alte țări, unde protecția datelor a devenit un punct critic de gestionare a riscurilor și guvernanță corporativă. Uniunea Europeană, de exemplu, cu Regulamentul General privind Protecția Datelor, impune ca multe companii să numească un responsabil cu protecția datelor. Acolo, diverse companii au optat pentru externalizarea serviciului prin angajarea de consultanțe specializate, aducând laexpertizăpentru „în casă”, fără a fi nevoie să creezi un întreg departament pentru asta.
Împuternicitul, conform legislația, trebuie să aibă autonomie pentru a raporta deficiențe și a propune îmbunătățiri, și o parte a directivelor internaționale sugerează că profesionistul ar trebui să fie liber de presiuni interne care să limiteze capacitatea sa de control. Consultanțele care oferă acest serviciu dezvoltă contracte și metodologii de lucru care asigură acest tip de independență, menținând o comunicare transparentă cu managerii și stabilind criterii clare de guvernanță.
Acest mecanism protejează atât compania, cât și profesionistul în sine, că trebuie să aibă libertatea de a indica vulnerabilități chiar dacă acest lucru contravine practicilor consolidate în cadrul unui anumit sector sau departament.
Intensificarea controlului ANPD este un semn că scenariul de toleranță face loc unei atitudini mai ferme, și cei care aleg să nu abordeze această problemă acum ar putea înfrunta consecințe mai grave într-un viitor nu foarte îndepărtat.
Pentru companiile care doresc o cale mai sigură, externalizarea este o alegere capabilă să echilibreze costul, eficiență și fiabilitate. Cu acest tip de parteneriat, este posibil să corectezi lacunele din mediul intern și să structurezi o rutină de conformitate care va proteja compania atât de sancțiuni, cât și de riscurile asociate cu lipsa de transparență și de securitate în ceea ce privește datele personale aflate sub responsabilitatea sa
