Chiar și după atâția ani de la implementarea Legii generale privind protecția datelor (LGPD) în Brazilia, multe companii continuă să încalce legea. LGPD, care a intrat în vigoare în septembrie 2020, a fost creată cu scopul de a proteja datele cu caracter personal ale cetățenilor brazilieni, stabilind reguli clare privind modul în care companiile ar trebui să colecteze, să stocheze și să prelucreze aceste informații. Cu toate acestea, în ciuda timpului trecut, multe companii au făcut puține progrese în implementarea legii.
Recent, Autoritatea Națională pentru Protecția Datelor (ANPD) și-a intensificat supravegherea asupra companiilor care nu au un responsabil cu protecția datelor (RPD). Lipsa unui RPD este una dintre principalele încălcări identificate, deoarece acest profesionist este esențial pentru a se asigura că firma respectă LGPD (Legea generală braziliană privind protecția datelor). RPD-ul acționează ca intermediar între companie, persoanele vizate și ANPD, fiind responsabil de monitorizarea respectării politicilor de protecție a datelor și de îndrumarea organizației cu privire la cele mai bune practici.
Și aceste date ar putea fi doar „vârful aisbergului”. În realitate, nimeni nu știe numărul exact de companii care nu au respectat încă legea. Nu există un singur sondaj oficial care să consolideze cifrele exacte ale tuturor companiilor care nu au aderat la LGPD (Legea generală braziliană privind protecția datelor). Cercetările independente indică faptul că, în termeni generali, procentul poate varia între 60% și 70% din companiile braziliene, în special în rândul întreprinderilor mici și mijlocii. În cazul companiilor mari, numărul este chiar mai mare, ajungând până la 80%.
De ce absența unui responsabil cu protecția datelor (DPO) face diferența.
În 2024, Brazilia va depăși cu siguranță 700 de milioane de atacuri cibernetice. Se estimează că au loc aproape 1.400 de atacuri pe minut și, bineînțeles, companiile sunt principalele ținte ale infractorilor. Infracțiuni precum ransomware-ul – în care datele sunt de obicei ținute „ostatice”, iar companiile trebuie să plătească o sumă uriașă de bani pentru a împiedica publicarea lor online – au devenit ceva obișnuit. Dar cât timp va putea sistemul – victimele și asigurătorii – să reziste unui astfel de volum de atacuri?
Nu există nicio modalitate de a răspunde corect la această întrebare, mai ales atunci când victimele însele nu iau măsurile necesare pentru a-și proteja informațiile. Lipsa unui profesionist specializat în protecția datelor sau, în unele situații, atunci când persoana presupus responsabilă de domeniu acumulează atât de multe funcții încât nu poate îndeplini această activitate în mod satisfăcător, agravează și mai mult această situație.
Este clar că numirea unui responsabil cu protecția datelor, în sine, nu rezolvă toate provocările legate de conformitate, dar demonstrează că firma este dedicată structurării unui set de practici conforme cu LGPD (Legea generală braziliană pentru protecția datelor). Cu toate acestea, această lipsă de prioritizare nu reflectă doar posibilitatea unor sancțiuni, ci și riscuri reale de incidente de securitate, care vor genera pierderi considerabile. Amenzile aplicabile de către ANPD (Autoritatea Națională pentru Protecția Datelor) reprezintă doar o parte a problemei, deoarece pierderile intangibile, cum ar fi încrederea pieței, pot fi și mai dureroase. În acest context, o supraveghere mai intensă este considerată o acțiune necesară pentru a consolida mecanismele de conformitate și a încuraja organizațiile să acorde prioritate confidențialității persoanelor vizate.
Ar trebui să angajezi un DPO sau să externalizezi?
Angajarea unui DPO cu normă întreagă poate fi o sarcină complicată, deoarece nu există întotdeauna cererea sau interesul de a aloca resurse interne acestui rol.
În acest sens, externalizarea a fost indicată ca o soluție pentru companiile care doresc să respecte legislația în mod eficient, dar nu dispun de o structură extinsă sau de resurse pentru a menține o echipă multidisciplinară axată pe protecția datelor. Atunci când apelează la un furnizor de servicii specializat, compania obține acces la profesioniști care au mai multă experiență în gestionarea cerințelor LGPD (Legea generală braziliană privind protecția datelor) în diferite sectoare de piață. În plus, cu o parte responsabilă externă, compania începe să considere protecția datelor ca pe ceva integrat în strategia sa, în loc de o problemă unică ce primește atenție doar atunci când sosește o notificare sau când are loc o încălcare a securității datelor.
Acest lucru contribuie la crearea unor procese robuste, fără a necesita investiții mari în recrutare, formare și retenție a talentelor. Externalizarea responsabilului cu protecția datelor depășește simpla numire a unei persoane externe. Furnizorul oferă de obicei consultanță continuă, efectuează activități de cartografiere și analiză a riscurilor, asistă la dezvoltarea politicilor interne, efectuează instruirea echipelor și monitorizează evoluția legislației și a reglementărilor ANPD.
În plus, există avantajul de a avea o echipă care are deja experiență în cazuri practice, ceea ce reduce curba de învățare și ajută la prevenirea incidentelor care ar putea duce la amenzi sau la daune aduse reputației.
Cât de departe se extinde responsabilitatea responsabilului cu protecția datelor externalizat?
Este important de subliniat faptul că externalizarea nu exonerează organizația de responsabilitățile sale legale. Ideea este ca firma să își mențină angajamentul de a asigura securitatea datelor pe care le colectează și le prelucrează, deoarece legislația braziliană prevede clar că responsabilitatea pentru incidente nu revine exclusiv responsabilului cu protecția datelor, ci instituției în ansamblu.
Externalizarea oferă asistență profesională care înțelege pașii necesari pentru a menține organizația conformă cu LGPD (Legea generală braziliană privind protecția datelor). Practica delegării acestui tip de sarcină către un partener extern este deja adoptată în alte țări unde protecția datelor a devenit un punct critic în managementul riscurilor și guvernanța corporativă. Uniunea Europeană, de exemplu, odată cu Regulamentul general privind protecția datelor (GDPR), impune multor companii să numească un responsabil cu protecția datelor. Acolo, mai multe companii au optat pentru externalizarea acestui serviciu prin angajarea unor firme de consultanță specializate, aducând expertiză „internă”, fără a fi nevoie să creeze un întreg departament pentru aceasta.
Conform legislației, supervizorul trebuie să aibă autonomia de a raporta deficiențele și de a propune îmbunătățiri, iar unele linii directoare internaționale sugerează că profesionistul ar trebui să fie liber de presiuni interne care îi limitează capacitatea de supraveghere. Firmele de consultanță care oferă acest serviciu elaborează contracte și metodologii de lucru care asigură acest tip de independență, menținând o comunicare transparentă cu managerii și stabilind criterii clare de guvernanță.
Acest mecanism protejează atât compania, cât și profesionistul însuși, care are nevoie de libertatea de a semnala vulnerabilitățile chiar dacă acest lucru contravine practicilor consacrate dintr-un anumit sector sau departament.
Controlul sporit din partea ANPD (Autoritatea Națională pentru Protecția Datelor) este un semn că climatul de toleranță cedează locul unei poziții mai ferme, iar cei care aleg să nu abordeze această problemă acum s-ar putea confrunta cu consecințe mai grave într-un viitor nu prea îndepărtat.
Pentru companiile care caută o cale mai sigură, externalizarea este o alegere capabilă să echilibreze costul, eficiența și fiabilitatea. Cu acest tip de parteneriat, este posibil să se corecteze lacunele din mediul intern și să se structureze o rutină de conformitate care va proteja compania atât de sancțiuni, cât și de riscurile asociate cu lipsa de transparență și securitate în ceea ce privește datele cu caracter personal aflate în responsabilitatea sa.
