Посилений нагляд ANPD ставить компанії на стіну

Навіть після стількох років з моменту впровадження в Бразилії Загального закону про захист даних (LGPD), багато компаній продовжують порушувати norm he LGPD, який набув чинності у вересні 2020 року, був створений з метою захисту персональних даних громадян Бразилії, встановлюючи чіткі правила щодо того, як компанії повинні збирати, зберігати та обробляти цю інформаці роте, незважаючи на час, що минув, багато компаній досягли незначного прогресу у впровадженні стандарту.

Нещодавно Національне управління із захисту даних (ANPD) посилило нагляд за компаніями, які не мають контролера даних, також відомого як спеціаліст із захисту даних (DPO Відсутність DPO є одним із основних виявлених порушень, оскільки цей фахівець має важливе значення для забезпечення відповідності компанії LGP DPO діє як посередник між компанією, власниками даних і ANPD, відповідаючи за моніторинг дотримання політики захисту даних і керівництво організацією щодо передового досвіду.

І ці дані можуть бути тільки “точкою айсберг” Насправді ніхто не знає, яка кількість компаній ще не дотримувалися стандарт емає єдиного офіційного опитування, яке консолідує точні цифри всіх компаній, які не дотримуються LGPD Незалежне дослідження вказує на те, що в загальних рисах відсоток може коливатися між 60% і 70% бразильських компаній, особливо серед малих і середніх у випадку великих, число ще вище, і може досягати 80%.  

Чому відсутність DPO має значення

У 2024 році напевно Бразилія перевищила кількість 700 мільйонів атак кіберзлочинців, За оцінками, відбувається майже 1400 шахрайств за хвилину і, звичайно, компанії є основними мішенями злочинці роми злочинів, таких як ransomware (в яких даних зазвичай стає 1“ і що, щоб не бути опублікованими в Інтернеті, компаніям потрібно платити величезну фінансову суму, стали звичним Але як довго буде система ”s жертви і страховики?

Немає можливості відповісти на це питання належним чином, особливо коли самі жертви не вживають необхідних заходів для захисту інформаці асутність професіонала, орієнтованого на захист даних, або, в деяких ситуаціях, коли передбачувана особа, відповідальна за територію, накопичує стільки функцій, що не може задовільно виконувати цю діяльність, ще більше погіршує цю ситуацію.  

Звичайно, призначення відповідальної особи саме по собі не вирішує всіх проблем адекватності, але показує, що компанія прагне структурувати набір практик, які відповідають LGP Однак ця відсутність пріоритетності відображає не тільки можливість санкцій, але й реальні ризики інцидентів безпеки, які завдадуть значної шкод оштрафи, які застосовуються ANPD, є лише частиною проблеми, оскільки нематеріальні втрати, такі як довіра ринку, можуть бути ще більш болючим а цьому сценарії найбільш інтенсивне спостереження розглядається як необхідна дія для посилення механізмів дотримання законодавства та заохочення організацій ставити конфіденційність власників на порядок денний.  

Найняти DPO або аутсорсинг?

Наймання штатного DPO може бути складним завданням, оскільки не завжди є попит або зацікавленість у розподілі внутрішніх ресурсів на цей попит.  

У цьому сенсі аутсорсинг був вказаний як рішення для компаній, які хочуть ефективно дотримуватися законодавства, але не мають великої структури або ресурсів для підтримки мультидисциплінарної команди, орієнтованої на захист дани оли використовується спеціалізований постачальник послуг, компанія отримує доступ до професіоналів, які мають більше досвіду, щоб мати справу з вимогами LGPD в різних секторах ринк рім того, із зовнішньою відповідальністю компанія починає розглядати захист даних як щось інтегроване в стратегію, замість конкретної проблеми, яка отримує увагу лише тоді, коли надходить повідомлення або коли відбувається витік.  

Це сприяє створенню надійних процесів, не вимагаючи великих інвестицій у наймання, навчання та утримання таланті аутсорсинг спеціаліста з обробки даних виходить за рамки простого призначення стороннього спеціаліста Провайдер зазвичай надає безперервні консультації, виконуючи діяльність з картографування та аналізу ризиків, допомагаючи в розробці внутрішньої політики, проводячи навчання для команд та контролюючи еволюцію законодавства та правил ANPD.  

Крім того, є перевага наявності команди, яка вже має досвід у практичних справах, що зменшує криву навчання та допомагає запобігти інцидентам, які можуть призвести до штрафів або шкоди репутації.  

Наскільки далеко заходить відповідальність аутсорсингового DPO

Важливо підкреслити, що аутсорсинг не звільняє організацію від її юридичних обов'язків Ідея полягає в тому, що компанія зберігає зобов'язання щодо забезпечення безпеки даних, які вона збирає і обробляє, тому що бразильське законодавство дає зрозуміти, що відповідальність за інциденти не покладається тільки на відповідальну особу, але на установу в цілому.  

Те, що робить аутсорсинг, - це пропозиція професійної підтримки, яка розуміє необхідні способи, щоб зберегти організацію у відповідності з LGP Практика делегування такого типу завдань зовнішньому партнеру вже прийнята в інших країнах, де захист даних став критичною точкою управління ризиками та корпоративного управлінн европейський Союз, наприклад, з Загальним регламентом захисту даних, вимагає від багатьох компаній призначити спеціаліста із захисту дани отім, кілька компаній обрали аутсорсинг послуги з наймом спеціалізованих консалтингових компаній, приносячи експертної підтримки для “всередині будинку з підйомом, без необхідності створювати для нього цілий відділ.  

Відповідальна особа, відповідно до законодавства, повинна мати автономію, щоб повідомляти про збої та пропонувати вдосконалення, а частина міжнародних рекомендацій передбачає, що професіонал повинен бути вільним від внутрішнього тиску, який обмежує його здатність до нагляд консалтингові установи, які пропонують цю послугу, розробляють контракти та робочі методології, які забезпечують цей тип незалежності, підтримуючи прозору комунікацію з керівниками та встановлюючи чіткі критерії управління.  

Цей механізм захищає як компанію, так і самого професіонала, який повинен вільно вказувати на вразливі місця, навіть якщо це суперечить консолідованій практиці в певному секторі чи відділі.  

Посилення нагляду ANPD є ознакою того, що сценарій толерантності поступається місцем твердішій позиції, і ті, хто вирішить не вирішувати цю проблему зараз, можуть зіткнутися з важчими наслідками в недалекому майбутньому.  

Для компаній, які хочуть більш безпечного шляху, аутсорсинг - це вибір, здатний збалансувати вартість, ефективність і надійніст а цьому типі партнерства можна виправити прогалини у внутрішньому середовищі та структурувати процедуру комплаєнсу, яка захистить компанію як від санкцій, так і від ризиків, пов’язаних із відсутністю прозорості та безпеки щодо персональних даних, які знаходяться під її відповідальністю.