即使在巴西《通用数据保护法》(LGPD)实施多年后,仍有许多公司未遵守该法规。 LGPD于2020年9月生效,旨在保护巴西公民的个人数据,制定了关于企业如何收集、存储和处理这些信息的明确规则。 然而,尽管时间过去了很久,许多企业在标准的实施方面进展甚微。
最近,国家数据保护局(ANPD)加强了对未配备数据负责人(也称为数据保护官,DPO)企业的监管。 缺少数据保护官(DPO)是已识别的主要违规行为之一,因为该专业人员对于确保公司遵守《通用数据保护条例》(LGPD)至关重要。 DPO 作为公司、数据所有者和 ANPD 之间的中介,负责监督数据保护政策的执行情况,并指导组织采用最佳实践。
这些数据可能只是“冰山一角”。 实际上,没有人知道有多少公司尚未遵守该标准。 没有一个官方的统一调查能够汇总所有未遵守LGPD的企业的确切数字。独立研究显示,整体而言,这一比例可能在巴西企业中变化在60%到70%之间,尤其是在中小型企业中。 在大规模的情况下,比例更高,甚至可能达到80%。
为什么缺乏 DPO 会产生影响
在2024年,巴西很可能已超过7亿次网络犯罪攻击。 估计每分钟发生近1400起诈骗事件,当然,企业是犯罪分子的主要目标。 像勒索软件这样的犯罪——通常数据会被“劫持”,为了不被在线公布,企业需要支付一笔巨额资金,已经变得司空见惯。 但是系统——受害者和保险公司——还能忍受如此大量的攻击多久?
无法以恰当的方式回答这个问题,尤其是当受害者自己也停止采取必要的措施来保护信息时。 缺乏专注于数据保护的专业人员,或者在某些情况下,责任人兼任多个职能,无法胜任该项工作,这种情况会使局势变得更加严重。
当然,指定一名负责人本身并不能解决所有的合规挑战,但这表明公司致力于建立一套与LGPD一致的实践体系。 然而,这种缺乏优先级的做法不仅仅反映在可能的制裁上,还存在实际的安全事件风险,这将造成相当大的损失。 由ANPD施加的罚款只是问题的一部分,因为无形的损失,如市场信任,可能更为痛苦。 在这种情况下,更加强化的监管被视为一项必要的措施,以加强法律执行机制,并鼓励组织将数据主体的隐私放在优先位置。
聘请 DPO 还是外包?
聘请全职的DPO可能是一项复杂的任务,因为并不总是有需求或兴趣在内部分配资源来满足这一需求。
在这方面,外包被认为是企业希望有效遵守法规但没有庞大架构或资源来维持多学科团队以保护数据的解决方案。 当企业聘请专业服务提供商时,可以获得具有丰富经验的专业人士,以应对市场各个行业中LGPD的要求。 此外,拥有外部负责人后,公司开始将数据保护视为战略的一部分,而不是一个只有在收到通知或发生泄漏时才引起关注的临时问题。
这有助于建立稳健的流程,而无需在招聘、培训和人才保留方面进行大量投资。 数据负责人外包不仅仅是任命一个外部人员。 O prestador costuma fornecer consultoria contínua, realizando atividades de mapeamento e análise de risco, auxiliando na elaboração de políticas internas, conduzindo treinamentos para as equipes e acompanhando a evolução da legislação e das normativas da ANPD.
此外,拥有一支具有实际案例经验的团队的优势在于,这可以缩短学习曲线,帮助预防可能导致罚款或声誉受损的事件。
外包DPO的责任范围有多大?
强调外包并不免除组织的法律责任。 A ideia é que a empresa mantenha o compromisso de garantir a segurança dos dados que coleta e trata, pois a legislação brasileira deixa claro que a responsabilidade sobre incidentes não recai apenas sobre o encarregado, mas sobre a instituição como um todo.
O que a terceirização faz é oferecer um suporte profissionalizado, que entende os caminhos necessários para manter a organização em linha com a LGPD. 将此类任务委托给外部合作伙伴的做法已经在其他国家得到采用,那里的数据保护已成为风险管理和企业治理的关键点。 例如,欧盟通过通用数据保护条例,要求许多公司指定数据保护官。 那里,许多公司选择外包服务,聘请专业咨询公司,带来了专业知识在“家里”,无需专门成立一个部门。
负责人根据法规需要具有自主报告故障和提出改进建议的能力,部分国际指导方针建议专业人员应免受限制其监督能力的内部压力。 提供此项服务的咨询公司制定合同和工作方法,确保这种独立性,保持与管理者的透明沟通,并建立明确的治理标准。
Esse mecanismo protege tanto a empresa quanto o próprio profissional, que precisa ter a liberdade de indicar vulnerabilidades mesmo que isso vá contra práticas consolidadas dentro de determinado setor ou departamento.
ANPD 加强监管的迹象表明,宽容的局面正在让位于更坚定的立场,选择现在不处理这个问题的人,可能在不远的将来面临更严重的后果。
Para as empresas que desejam um caminho mais seguro, a terceirização é uma escolha capaz de equilibrar custo, eficiência e confiabilidade. Com esse tipo de parceria, é possível corrigir lacunas no ambiente interno e estruturar uma rotina de compliance que irá proteger a empresa tanto das sanções quanto dos riscos associados à falta de transparência e de segurança em relação aos dados pessoais que estão sob sua responsabilidade.
