แม้จะผ่านมาหลายปีแล้วนับตั้งแต่มีการบังคับใช้กฎหมายคุ้มครองข้อมูลทั่วไป (LGPD) ในบราซิล แต่บริษัทหลายแห่งยังคงละเมิดกฎหมายนี้อยู่ กฎหมาย LGPD ซึ่งมีผลบังคับใช้ในเดือนกันยายน 2563 ถูกสร้างขึ้นโดยมีวัตถุประสงค์เพื่อปกป้องข้อมูลส่วนบุคคลของพลเมืองบราซิล โดยกำหนดกฎเกณฑ์ที่ชัดเจนเกี่ยวกับวิธีที่บริษัทต่างๆ ควรรวบรวม จัดเก็บ และประมวลผลข้อมูลเหล่านี้ อย่างไรก็ตาม แม้เวลาจะผ่านไปนาน แต่บริษัทหลายแห่งก็ยังมีความคืบหน้าในการบังคับใช้กฎหมายนี้น้อยมาก
เมื่อเร็วๆ นี้ สำนักงานคุ้มครองข้อมูลแห่งชาติ (ANPD) ได้เพิ่มความเข้มข้นในการกำกับดูแลบริษัทที่ไม่มีเจ้าหน้าที่คุ้มครองข้อมูล (DPO) การไม่มีเจ้าหน้าที่คุ้มครองข้อมูล (DPO) เป็นหนึ่งในการละเมิดหลักที่พบ เนื่องจากเจ้าหน้าที่ผู้นี้มีความสำคัญอย่างยิ่งต่อการรับรองว่าบริษัทปฏิบัติตาม LGPD (กฎหมายคุ้มครองข้อมูลทั่วไปของบราซิล) DPO ทำหน้าที่เป็นตัวกลางระหว่างบริษัท เจ้าของข้อมูล และ ANPD โดยรับผิดชอบในการติดตามการปฏิบัติตามนโยบายคุ้มครองข้อมูลและให้คำแนะนำแก่องค์กรเกี่ยวกับแนวปฏิบัติที่ดีที่สุด
และข้อมูลนี้อาจเป็นเพียง "ยอดภูเขาน้ำแข็ง" เท่านั้น ในความเป็นจริง ไม่มีใครทราบจำนวนบริษัทที่ยังไม่ปฏิบัติตามกฎหมายนี้อย่างแน่ชัด ไม่มีการสำรวจอย่างเป็นทางการใดๆ ที่จะรวบรวมจำนวนบริษัททั้งหมดที่ไม่ปฏิบัติตาม LGPD (กฎหมายคุ้มครองข้อมูลส่วนบุคคลของบราซิล) ได้อย่างแม่นยำ งานวิจัยอิสระชี้ให้เห็นว่าโดยทั่วไปแล้ว อัตราส่วนของบริษัทในบราซิลอาจแตกต่างกันระหว่าง 60% ถึง 70% โดยเฉพาะอย่างยิ่งในกลุ่มวิสาหกิจขนาดกลางและขนาดย่อม ในกรณีของบริษัทขนาดใหญ่ อัตราส่วนนี้อาจสูงกว่านี้ โดยอาจสูงถึง 80%
เหตุใดการไม่มี DPO จึงมีความแตกต่าง
ในปี 2567 บราซิลจะมีการโจมตีทางไซเบอร์มากกว่า 700 ล้านครั้งอย่างแน่นอน คาดการณ์ว่ามีการโจมตีเกือบ 1,400 ครั้งต่อนาที และแน่นอนว่าบริษัทต่างๆ ถือเป็นเป้าหมายหลักของอาชญากร อาชญากรรมอย่างเช่นแรนซัมแวร์ ซึ่งข้อมูลมักถูก "ยึด" ไว้ และบริษัทต่างๆ ต้องจ่ายเงินจำนวนมหาศาลเพื่อป้องกันไม่ให้ข้อมูลถูกเผยแพร่ทางออนไลน์ ได้กลายเป็นเรื่องธรรมดาไปแล้ว แต่ระบบ ทั้งเหยื่อและบริษัทประกันภัย จะสามารถต้านทานการโจมตีจำนวนมหาศาลเช่นนี้ได้นานแค่ไหน
ไม่มีทางที่จะตอบคำถามนี้ได้อย่างถูกต้อง โดยเฉพาะอย่างยิ่งเมื่อเหยื่อเองไม่ได้ดำเนินการที่จำเป็นเพื่อปกป้องข้อมูลของตนเอง การขาดผู้เชี่ยวชาญเฉพาะด้านการปกป้องข้อมูล หรือในบางกรณี เมื่อบุคคลที่รับผิดชอบในพื้นที่นั้นมีหน้าที่มากมายจนไม่สามารถปฏิบัติหน้าที่ได้อย่างน่าพอใจ ยิ่งทำให้สถานการณ์เลวร้ายลงไปอีก
เป็นที่ชัดเจนว่าการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลเพียงอย่างเดียวไม่สามารถแก้ไขปัญหาการปฏิบัติตามกฎระเบียบได้ทั้งหมด แต่แสดงให้เห็นว่าบริษัทมุ่งมั่นที่จะวางโครงสร้างแนวปฏิบัติที่สอดคล้องกับ LGPD (กฎหมายคุ้มครองข้อมูลทั่วไปของบราซิล) อย่างไรก็ตาม การขาดการจัดลำดับความสำคัญนี้ไม่เพียงแต่สะท้อนให้เห็นถึงความเป็นไปได้ที่จะถูกคว่ำบาตรเท่านั้น แต่ยังสะท้อนถึงความเสี่ยงที่อาจเกิดขึ้นจากเหตุการณ์ด้านความปลอดภัย ซึ่งจะก่อให้เกิดความสูญเสียจำนวนมาก ค่าปรับที่บังคับใช้โดย ANPD (หน่วยงานคุ้มครองข้อมูลแห่งชาติ) เป็นเพียงส่วนหนึ่งของปัญหา เนื่องจากความสูญเสียที่จับต้องไม่ได้ เช่น ความเชื่อมั่นในตลาด อาจสร้างความเสียหายมากกว่า ในบริบทนี้ การกำกับดูแลที่เข้มงวดยิ่งขึ้นจึงถือเป็นมาตรการที่จำเป็นเพื่อเสริมสร้างกลไกการปฏิบัติตามกฎระเบียบและส่งเสริมให้องค์กรต่างๆ ให้ความสำคัญกับความเป็นส่วนตัวของเจ้าของข้อมูล
คุณควรจ้าง DPO หรือจ้างภายนอก?
การจ้าง DPO เต็มเวลาอาจเป็นงานที่ซับซ้อน เนื่องจากไม่มีความต้องการหรือความสนใจในการจัดสรรทรัพยากรภายในให้กับบทบาทนี้เสมอไป
ในแง่นี้ การเอาท์ซอร์สถูกมองว่าเป็นทางออกสำหรับบริษัทที่ต้องการปฏิบัติตามกฎหมายอย่างมีประสิทธิภาพ แต่ไม่มีโครงสร้างหรือทรัพยากรขนาดใหญ่เพียงพอที่จะรักษาทีมงานสหวิชาชีพที่มุ่งเน้นการปกป้องข้อมูล เมื่อต้องเลือกใช้บริการจากผู้ให้บริการเฉพาะทาง บริษัทจะสามารถเข้าถึงผู้เชี่ยวชาญที่มีประสบการณ์มากกว่าในการจัดการกับข้อกำหนดของ LGPD (กฎหมายคุ้มครองข้อมูลทั่วไปของบราซิล) ในภาคส่วนต่างๆ ของตลาด นอกจากนี้ การที่มีผู้รับผิดชอบจากภายนอก ทำให้บริษัทเริ่มมองว่าการปกป้องข้อมูลเป็นสิ่งที่รวมอยู่ในกลยุทธ์ของบริษัท แทนที่จะเป็นปัญหาเฉพาะหน้าที่ได้รับการดูแลเฉพาะเมื่อมีการแจ้งเตือนหรือเมื่อเกิดการละเมิดข้อมูล
สิ่งนี้ช่วยสร้างกระบวนการที่แข็งแกร่งโดยไม่ต้องลงทุนสูงในการสรรหา ฝึกอบรม และรักษาบุคลากรที่มีความสามารถ การจ้างเจ้าหน้าที่คุ้มครองข้อมูลภายนอกนั้นไม่ได้จำกัดอยู่แค่การแต่งตั้งบุคคลภายนอกเท่านั้น โดยทั่วไปแล้ว ผู้ให้บริการจะให้คำปรึกษาอย่างต่อเนื่อง จัดทำแผนที่ความเสี่ยงและวิเคราะห์ข้อมูล ช่วยเหลือในการพัฒนานโยบายภายใน ฝึกอบรมทีมงาน และติดตามพัฒนาการของกฎหมายและระเบียบข้อบังคับของ ANPD
ยิ่งไปกว่านั้น การมีทีมงานที่มีประสบการณ์ในกรณีปฏิบัติจริงยังมีข้อดีอีกด้วย ซึ่งจะช่วยลดขั้นตอนการเรียนรู้และช่วยป้องกันเหตุการณ์ที่อาจนำไปสู่การถูกปรับหรือเสียชื่อเสียงได้
ความรับผิดชอบของ DPO ที่รับจ้างภายนอกขยายไปถึงระดับใด?
สิ่งสำคัญคือต้องเน้นย้ำว่าการจ้างเหมาบริการภายนอกไม่ได้เป็นข้อยกเว้นความรับผิดชอบทางกฎหมายขององค์กร แนวคิดคือบริษัทยังคงมุ่งมั่นที่จะสร้างความมั่นใจด้านความปลอดภัยของข้อมูลที่รวบรวมและประมวลผล เนื่องจากกฎหมายของบราซิลระบุไว้อย่างชัดเจนว่าความรับผิดชอบต่อเหตุการณ์ต่างๆ ไม่ได้ตกอยู่กับเจ้าหน้าที่คุ้มครองข้อมูลเพียงผู้เดียว แต่เป็นความรับผิดชอบของสถาบันโดยรวม
การเอาท์ซอร์สให้การสนับสนุนอย่างมืออาชีพที่เข้าใจขั้นตอนที่จำเป็นเพื่อให้องค์กรปฏิบัติตามกฎหมายคุ้มครองข้อมูลทั่วไปของบราซิล (LGPD) การมอบหมายงานประเภทนี้ให้กับพันธมิตรภายนอกนั้นได้ถูกนำมาใช้แล้วในประเทศอื่นๆ ที่การคุ้มครองข้อมูลกลายเป็นประเด็นสำคัญในการบริหารความเสี่ยงและการกำกับดูแลกิจการ ยกตัวอย่างเช่น สหภาพยุโรป ซึ่งบังคับใช้กฎหมายคุ้มครองข้อมูลทั่วไป (GDPR) กำหนดให้บริษัทหลายแห่งต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล ส่งผลให้บริษัทหลายแห่งเลือกที่จะเอาท์ซอร์สบริการนี้ด้วยการจ้างที่ปรึกษาเฉพาะทาง ซึ่งนำ ความเชี่ยวชาญ "ภายในองค์กร" โดยไม่ต้องจัดตั้งแผนกทั้งหมดขึ้นมา
ตามกฎหมาย ผู้บังคับบัญชาต้องมีอิสระในการรายงานข้อบกพร่องและเสนอแนวทางปรับปรุงแก้ไข และแนวปฏิบัติระหว่างประเทศบางข้อระบุว่าผู้ประกอบวิชาชีพควรปราศจากแรงกดดันภายในที่จำกัดความสามารถในการกำกับดูแล บริษัทที่ปรึกษาที่ให้บริการนี้จะพัฒนาสัญญาและวิธีการทำงานที่รับประกันความเป็นอิสระในลักษณะนี้ โดยรักษาการสื่อสารที่โปร่งใสกับผู้จัดการ และกำหนดเกณฑ์การกำกับดูแลที่ชัดเจน
กลไกนี้จะช่วยปกป้องทั้งบริษัทและผู้เชี่ยวชาญเอง ซึ่งจำเป็นต้องมีอิสระในการชี้ให้เห็นจุดอ่อน แม้ว่าจะขัดต่อแนวปฏิบัติที่กำหนดไว้ในภาคส่วนหรือแผนกใดแผนกหนึ่งก็ตาม
การตรวจสอบที่เข้มงวดยิ่งขึ้นโดย ANPD (หน่วยงานคุ้มครองข้อมูลแห่งชาติ) เป็นสัญญาณว่าบรรยากาศแห่งการยอมรับความแตกต่างกำลังหลีกทางให้กับจุดยืนที่เข้มแข็งขึ้น และผู้ที่เลือกที่จะไม่แก้ไขปัญหานี้ในตอนนี้ อาจเผชิญกับผลที่ตามมาที่ร้ายแรงกว่าในอนาคตอันใกล้นี้
สำหรับบริษัทที่กำลังมองหาเส้นทางที่ปลอดภัยกว่า การจ้างบริการภายนอก (Outsourcing) ถือเป็นทางเลือกที่สามารถสร้างสมดุลระหว่างต้นทุน ประสิทธิภาพ และความน่าเชื่อถือ ความร่วมมือประเภทนี้จะช่วยให้สามารถแก้ไขช่องว่างในสภาพแวดล้อมภายในองค์กร และกำหนดขั้นตอนการปฏิบัติตามกฎระเบียบที่จะปกป้องบริษัทจากทั้งมาตรการลงโทษและความเสี่ยงที่เกี่ยวข้องกับการขาดความโปร่งใสและความปลอดภัยเกี่ยวกับข้อมูลส่วนบุคคลที่อยู่ภายใต้ความรับผิดชอบ
