การตรวจสอบ ANPD ที่เพิ่มขึ้นทำให้บริษัทต่างๆ ติดกำแพง

แม้หลังจากหลายปีนับตั้งแต่มีการใช้พระราชบัญญัติคุ้มครองข้อมูลทั่วไป (LGPD) ในบราซิล หลายบริษัทยังคงไม่ปฏิบัติตามกฎ LGPD ซึ่งมีผลบังคับใช้ในเดือนกันยายน 2020 ถูกสร้างขึ้นโดยมีวัตถุประสงค์เพื่อปกป้องข้อมูลส่วนบุคคลของพลเมืองบราซิล โดยกำหนดกฎเกณฑ์ที่ชัดเจนว่าบริษัทควรรวบรวม จัดเก็บ และประมวลผลข้อมูลนี้อย่างไร อย่างไรก็ตาม แม้จะผ่านไปแล้ว แต่หลายบริษัทก็ก้าวหน้าเพียงเล็กน้อยในการดำเนินการมาตรฐาน.

เมื่อเร็ว ๆ นี้ หน่วยงานคุ้มครองข้อมูลแห่งชาติ (ANPD) ได้เพิ่มการตรวจสอบบริษัทที่ไม่มีผู้ดูแลข้อมูล หรือที่เรียกว่าเจ้าหน้าที่คุ้มครองข้อมูล (DPO) การขาด DPO เป็นหนึ่งในการละเมิดหลักที่ระบุ เนื่องจากผู้เชี่ยวชาญรายนี้มีความสำคัญอย่างยิ่งที่จะต้องแน่ใจว่าบริษัทปฏิบัติตาม GLPD อ.ส.ค. ทำหน้าที่เป็นตัวกลางระหว่างบริษัท เจ้าของข้อมูล และ ANPD มีหน้าที่รับผิดชอบในการตรวจสอบการปฏิบัติตามนโยบายการปกป้องข้อมูลและเพื่อเป็นแนวทางในแนวทางปฏิบัติที่ดีที่สุดแก่องค์กร.

และข้อมูลเหล่านี้สามารถเป็นเพียง “เคล็ดลับภูเขาน้ำแข็ง” ในความเป็นจริงไม่มีใครรู้จำนวนบริษัทที่ยังไม่ปฏิบัติตามกฎ ไม่มีการสำรวจอย่างเป็นทางการเดียวที่รวมจำนวนที่แน่นอนของทุกบริษัทที่ไม่ปฏิบัติตาม LGPD Independente Pesquisas แสดงให้เห็นว่าโดยทั่วไปแล้ว เปอร์เซ็นต์อาจแตกต่างกันไประหว่าง 60% และ 70% ของบริษัทบราซิล โดยเฉพาะอย่างยิ่งในกลุ่มบริษัทขนาดเล็กและขนาดกลาง ในกรณีของขนาดใหญ่จำนวนจะสูงขึ้นถึง 80%.  

ทำไมการขาด DPO จึงสร้างความแตกต่าง

ในปี 2024 บราซิลแซงหน้าการโจมตีอาชญากรทางอินเทอร์เน็ตจำนวน 700 ล้านครั้งอย่างแน่นอน คาดว่าเกือบ 1,400 ครั้งต่อนาทีเกิดขึ้น และแน่นอนว่าบริษัทต่างๆ เป็นเป้าหมายหลักของอาชญากร อาชญากรรมเช่น ransomware ซึ่งข้อมูลมักจะกลายเป็น “ตัวประกัน” และเพื่อที่จะไม่เผยแพร่ทางออนไลน์ บริษัทต่างๆ จำเป็นต้องจ่ายเงินจำนวนมหาศาล กลายเป็นเรื่องธรรมดาไปแล้ว แต่ระบบ – เหยื่อและผู้ประกันตน – จะทนต่อขนาดของการโจมตีได้นานแค่ไหน?

ไม่มีทางที่จะตอบคำถามนี้ได้อย่างเหมาะสม โดยเฉพาะอย่างยิ่งเมื่อเหยื่อเองหยุดดำเนินการที่จำเป็นเพื่อปกป้องข้อมูล การขาดผู้เชี่ยวชาญที่เน้นการปกป้องข้อมูล หรือในบางสถานการณ์ เมื่อบุคคลที่ถูกกล่าวหารับผิดชอบพื้นที่สะสมหน้าที่มากมายจนไม่สามารถดำเนินกิจกรรมนี้ได้อย่างน่าพอใจ ทำให้สถานการณ์นี้แย่ลงยิ่งขึ้นไปอีก.  

แน่นอน การกำหนดบุคคลที่รับผิดชอบโดยตัวมันเองไม่ได้แก้ปัญหาความท้าทายทั้งหมดของการปรับตัว แต่แสดงให้เห็นว่าบริษัทมุ่งมั่นที่จะจัดโครงสร้างชุดของแนวทางปฏิบัติที่สอดคล้องกับ LGPD อย่างไรก็ตาม การขาดการจัดลำดับความสำคัญนี้ไม่เพียงแต่สะท้อนถึงความเป็นไปได้ของการคว่ำบาตรเท่านั้น แต่ยังสะท้อนถึงความเสี่ยงที่แท้จริงของเหตุการณ์ด้านความปลอดภัย ซึ่งจะสร้างความเสียหายจำนวนมาก ค่าปรับที่ใช้โดย ANPD เป็นเพียงส่วนหนึ่งของปัญหา เนื่องจากความสูญเสียที่จับต้องไม่ได้ เช่น ความเชื่อมั่นของตลาด อาจยิ่งเจ็บปวดมากขึ้นไปอีก ในสถานการณ์สมมตินี้ การตรวจสอบที่เข้มข้นที่สุดถูกมองว่าเป็นการดำเนินการที่จำเป็นเพื่อเสริมกลไกการปฏิบัติตามกฎหมายและสนับสนุนให้องค์กรต่างๆ ให้ความสำคัญกับความเป็นส่วนตัวของผู้ถือในวาระการประชุม.  

จ้าง DPO หรือ Outsource?

การจ้าง DPO แบบเต็มเวลาอาจเป็นงานที่ซับซ้อน เนื่องจากไม่มีความต้องการหรือความสนใจในการจัดสรรทรัพยากรภายในสำหรับความต้องการนี้เสมอไป.  

ในแง่นี้ การเอาท์ซอร์สได้รับการชี้ให้เห็นว่าเป็นวิธีแก้ปัญหาสำหรับบริษัทที่ต้องการปฏิบัติตามกฎหมายอย่างมีประสิทธิภาพ แต่ไม่มีโครงสร้างหรือทรัพยากรขนาดใหญ่ในการรักษาทีมสหสาขาวิชาชีพที่มุ่งเป้าไปที่การปกป้องข้อมูล เมื่อใช้ผู้ให้บริการเฉพาะทาง บริษัทจะสามารถเข้าถึงผู้เชี่ยวชาญที่มีประสบการณ์มากขึ้นในการจัดการกับข้อกำหนดของ LGPD ในภาคส่วนต่างๆ ของตลาด นอกจากนี้ ด้วยความรับผิดชอบภายนอก บริษัทเริ่มมองว่าการปกป้องข้อมูลเป็นสิ่งที่รวมเข้ากับกลยุทธ์ แทนที่จะเป็นปัญหาครั้งเดียวที่ได้รับความสนใจเมื่อการแจ้งเตือนมาถึงหรือเมื่อมีการรั่วไหลเกิดขึ้น.  

สิ่งนี้มีส่วนช่วยในการสร้างกระบวนการที่แข็งแกร่งโดยไม่ต้องลงทุนจำนวนมากในการสรรหา การฝึกอบรม และการรักษาผู้มีความสามารถ การเอาท์ซอร์สตัวจัดการข้อมูลเป็นมากกว่าการตั้งชื่อคนนอก ผู้ให้บริการมักจะให้คำปรึกษาอย่างต่อเนื่อง ดำเนินกิจกรรมการทำแผนที่และวิเคราะห์ความเสี่ยง ช่วยในการพัฒนานโยบายภายใน ดำเนินการฝึกอบรมสำหรับทีม และติดตามวิวัฒนาการของกฎหมายและกฎระเบียบ ANPD.  

นอกจากนี้ยังมีข้อดีของการมีทีมที่มีประสบการณ์อยู่แล้วในคดีจริง ซึ่งช่วยลดช่วงการเรียนรู้และช่วยป้องกันเหตุการณ์ที่อาจสร้างความเสียหายหรือความเสียหายต่อชื่อเสียง.  

ความรับผิดชอบของ อ.ส.ค. ไปได้ไกลแค่ไหน

สิ่งสำคัญคือต้องเน้นว่าการเอาท์ซอร์สไม่ได้ยกเว้นองค์กรจากความรับผิดชอบทางกฎหมาย แนวคิดคือบริษัทรักษาความมุ่งมั่นในการรับประกันความปลอดภัยของข้อมูลที่รวบรวมและปฏิบัติ เนื่องจากกฎหมายของบราซิลทำให้ชัดเจนว่าความรับผิดชอบต่อเหตุการณ์ไม่ได้ตกอยู่ที่ผู้รับผิดชอบเท่านั้น แต่รวมถึงสถาบันโดยรวมด้วย.  

สิ่งที่ Outsourcing ทำคือให้การสนับสนุนอย่างมืออาชีพ ซึ่งเข้าใจถึงวิธีการที่จำเป็นในการรักษาองค์กรให้สอดคล้องกับ LGPD แนวปฏิบัติในการมอบหมายงานประเภทนี้ให้กับพันธมิตรภายนอกนั้นถูกนำมาใช้ในประเทศอื่นแล้ว ซึ่งการปกป้องข้อมูลได้กลายเป็นจุดสำคัญของการบริหารความเสี่ยงและการกำกับดูแลกิจการ สหภาพยุโรป เช่น กับกฎระเบียบให้ความคุ้มครองข้อมูลทั่วไป กำหนดให้หลายบริษัทแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล ที่นั่น หลายบริษัทเลือกใช้บริการเอาท์ซอร์สด้วยการว่าจ้างที่ปรึกษาเฉพาะทาง นำ ความเชี่ยวชาญ เพื่อ “ในบ้าน” โดยไม่ต้องสร้างแผนกทั้งหมด.  

ผู้รับผิดชอบตามกฎหมาย จำเป็นต้องมีอิสระในการรายงานความล้มเหลวและเสนอการปรับปรุง และส่วนหนึ่งของแนวทางระหว่างประเทศแนะนำว่าผู้เชี่ยวชาญควรปราศจากแรงกดดันภายในที่จำกัดความสามารถในการตรวจสอบของเขา การให้คำปรึกษาที่ให้บริการนี้พัฒนาสัญญาและวิธีการทำงานที่รับรองความเป็นอิสระประเภทนี้ รักษาการสื่อสารที่โปร่งใสกับผู้จัดการและกำหนดเกณฑ์การกำกับดูแลที่ชัดเจน.  

กลไกนี้ปกป้องทั้งบริษัทและตัวมืออาชีพเอง ซึ่งต้องการอิสระในการระบุช่องโหว่ แม้ว่าจะขัดกับแนวทางปฏิบัติที่รวมอยู่ภายในภาคส่วนหรือแผนกใดแผนกหนึ่งก็ตาม.  

การตรวจสอบ ANPD ที่เข้มข้นขึ้นเป็นสัญญาณว่าสถานการณ์ความอดทนทำให้เกิดจุดยืนที่แน่นแฟ้นยิ่งขึ้น และผู้ที่เลือกที่จะไม่จัดการกับปัญหานี้ในตอนนี้อาจเผชิญกับผลที่ตามมาที่หนักกว่าในอนาคตอันใกล้นี้.  

สำหรับบริษัทที่ต้องการเส้นทางที่ปลอดภัยกว่า การเอาท์ซอร์สเป็นทางเลือกที่สมดุลระหว่างต้นทุน ประสิทธิภาพ และความน่าเชื่อถือ ด้วยความร่วมมือประเภทนี้ เป็นไปได้ที่จะแก้ไขช่องว่างในสภาพแวดล้อมภายในและจัดโครงสร้างกิจวัตรการปฏิบัติตามข้อกำหนดที่จะปกป้องบริษัทจากการคว่ำบาตรและความเสี่ยงที่เกี่ยวข้องกับการขาดความโปร่งใสและความปลอดภัยที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่อยู่ภายใต้ความรับผิดชอบของพวกเขา.