Även efter så många år sedan införandet av den allmänna dataskyddslagen (LGPD) i Brasilien fortsätter många företag att inte följa reglerna. LGPD, som trädde i kraft i september 2020, skapades för att skydda brasilianska medborgares personuppgifter och fastställde tydliga regler för hur företag ska samla in, lagra och behandla denna information. Men trots att tiden har gått har många företag gjort lite framsteg i implementeringen av normen.
Nyligen har den nationella dataskyddsmyndigheten (ANPD) intensifierat tillsynen av företag som inte har en dataskyddsombud, även känt som Data Protection Officer (DPO). Avsaknaden av en DPO är en av de främsta överträdelserna som identifierats, eftersom denna professionella är avgörande för att säkerställa att företaget följer LGPD. DPO:n fungerar som en mellanhand mellan företaget, datainnehavarna och ANPD, och är ansvarig för att övervaka efterlevnaden av dataskyddspolicier och för att vägleda organisationen om bästa praxis.
Och dessa data kan bara vara "toppen av isberget". Faktum är att ingen vet hur många företag som ännu inte har antagit normen. Det finns ingen enskild officiell undersökning som sammanställer de exakta siffrorna för alla företag som inte följer LGPD. Oberoende undersökningar visar att andelen generellt kan variera mellan 60 % och 70 % av brasilianska företag, särskilt bland små och medelstora företag. I fallet med de stora är siffran ännu högre, och kan nå upp till 80 %.
Varför bristen på en DPO gör skillnad
År 2024 har Brasil sannolikt överskridit 700 miljoner cyberbrottsattacker. Det uppskattas att det sker nästan 1 400 bedrägerier per minut och självklart är företagen de främsta målen för brottslingarna. Brott som ransomware – där data ofta blir "gisslan" och företag måste betala en enorm summa pengar för att inte publiceras online – har blivit vanliga. Men hur länge ska systemet – offren och försäkringsbolagen – orka med så många attacker?
Det går inte att svara på den frågan på ett lämpligt sätt, särskilt när själva offren slutar vidta de nödvändiga åtgärderna för att skydda informationen. Avsaknaden av en professionell som är fokuserad på dataskydd eller, i vissa fall, när den påstådda ansvarige för området har så många funktioner att de inte kan utföra denna aktivitet på ett tillfredsställande sätt, förvärrar ännu mer denna situation.
Det är klart att utseendet av en ansvarig person i sig inte löser alla anpassningsutmaningar, men det visar att företaget är engagerat i att skapa en uppsättning praxis som är förenliga med LGPD. Men dock, denna brist på prioritering återspeglas inte bara i möjligheten till sanktioner, utan också i verkliga risker för säkerhetsincidenter, som kommer att orsaka betydande skador. De tillämpliga böter från ANPD är bara en del av problemet, eftersom de immateriella förlusterna, som marknadens förtroende, kan vara ännu mer smärtsamma. I denna situation ses en mer intensiv tillsyn som en nödvändig åtgärd för att stärka mekanismerna för lagstiftningens efterlevnad och uppmuntra organisationer att prioritera integriteten för de registrerade.
Anställa en DPO eller outsourca?
Att anlita en DPO på heltid kan vara en komplicerad uppgift eftersom det inte alltid finns någon efterfrågan eller intresse av att allokera interna resurser för denna uppgift.
I detta avseende har outsourcing pekats ut som en lösning för företag som vill följa lagstiftningen på ett effektivt sätt, men som inte har en stor struktur eller resurser för att upprätthålla ett tvärvetenskapligt team inriktat på dataskydd. När man vänder sig till en specialiserad tjänsteleverantör får företaget tillgång till yrkesverksamma med mer erfarenhet av att hantera LGPD-kraven inom olika sektorer på marknaden. Dessutom börjar ett externt ansvarstagande företag att se dataskydd som en integrerad del av strategin, istället för ett tillfälligt problem som bara uppmärksammas när en varning anländer eller när ett läckage inträffar.
Det bidrar till att skapa robusta processer utan att det är nödvändigt med stora investeringar i rekrytering, utbildning och talangretention. Utlicensiering av dataskyddsansvarig går bortom att bara utse en extern person. Leverantören brukar tillhandahålla kontinuerlig rådgivning, utföra kartläggnings- och riskanalyser, hjälpa till med att utarbeta interna policyer, genomföra utbildningar för teamen och följa utvecklingen av lagstiftning och normer från ANPD.
Dessutom finns fördelen att ha ett team som redan har erfarenhet av praktiska fall, vilket minskar inlärningskurvan och hjälper till att förebygga incidenter som kan leda till böter eller skador på ryktet.
Till vilken punkt sträcker sig ansvaret för den externa DPO:n
Det är viktigt att understryka att outsourcing inte befriar organisationen från dess juridiska ansvar. Idén är att företaget ska upprätthålla åtagandet att säkerställa säkerheten för de data som samlas in och behandlas, eftersom den brasilianska lagstiftningen tydligt anger att ansvaret för incidenter inte enbart vilar på den ansvarige, utan på hela institutionen.
Vad outsourcing gör är att erbjuda professionellt stöd som förstår de nödvändiga vägarna för att hålla organisationen i linje med LGPD. Praktiken att delegera den här typen av uppgifter till en extern partner är redan vanlig i andra länder, där dataskydd har blivit en kritisk punkt för riskhantering och företagsstyrning. EU, till exempel, med den allmänna dataskyddsförordningen, kräver att många företag utser en dataskyddsombud. Där valde flera företag att outsourca tjänsten genom att anlita specialiserade konsultfirmor, vilket leder tillexpertisinomhus, utan att behöva skapa en hel avdelning för det.
Den ansvarige, enligt lagstiftningen, måste ha autonomi att rapportera fel och föreslå förbättringar, och vissa internationella riktlinjer föreslår att yrkesutövaren ska vara fri från interna påtryckningar som begränsar deras övervakningsförmåga. De konsultföretag som erbjuder denna tjänst utvecklar kontrakt och arbetsmetoder som säkerställer denna typ av oberoende, upprätthåller en transparent kommunikation med ledarna och fastställer tydliga styrningskriterier.
Den här mekanismen skyddar både företaget och själva professionella, som måste ha friheten att rapportera sårbarheter även om det går emot etablerade praxis inom en viss sektor eller avdelning.
Förstärkningen av ANPD:s tillsyn är ett tecken på att toleransläget ger plats för en mer resolut hållning, och den som väljer att inte ta itu med detta problem nu kan komma att möta tyngre konsekvenser inom en inte alltför avlägsen framtid.
För företag som önskar en säkrare väg är outsourcing ett val som kan balansera kostnad, effektivitet och tillförlitlighet. Med den här typen av partnerskap är det möjligt att åtgärda luckor i den interna miljön och strukturera en compliance-rutin som kommer att skydda företaget både mot sanktioner och mot risker förknippade med bristande transparens och säkerhet när det gäller de personuppgifter som är under dess ansvar.
