ANPD 監督的加強讓公司陷入困境

即使巴西實施《一般資料保護法》(LGPD) 這麼多年,許多公司仍然違反該規範。2020 年 9 月生效的 LGPD 的創建目的是保護巴西公民,就公司應如何收集、儲存和處理這些資訊制定明確的規則。然而,儘管已經過去了一段時間,許多公司在實施該標準方面卻進展甚微。

最近,國家資料保護局(ANPD)加強了對沒有資料控制者的公司的監管,也稱為資料保護官(DPO)。缺乏 DPO 是已發現的主要違規行為之一,因為該專業人員對於確保公司遵守 LGPD 至關重要。 DPO 充當公司、資料持有者和 ANPD 之間的中介,負責監督資料保護政策的遵守情況並指導組織最佳實踐。

而這個數據可能只是冰山一角」。事實上,沒有人知道尚未遵守該標準的公司數量是多少。沒有任何一項官方調查能夠整合所有不遵守 LGPD 的公司的確切數量。獨立研究表明,一般來說,巴西公司的百分比可能在 60% 和 70% 之間變化,尤其是中小型企業。對於大型企業,這個數字甚至更高,可以達到80%。  

為什麼缺乏 DPO 會產生影響

到 2024 年,巴西的網路犯罪攻擊數量肯定已經超過 7 億次。據估計,每分鐘發生近 1,400 起詐騙事件,當然,公司是犯罪分子的主要目標。勒索軟體(其中數據通常變成1“,為了不在網路上發布,公司需要支付巨額財務費用)等犯罪已經司空見慣。但是系統的受害者和保險公司要多久?

沒有辦法適當地回答這個問題,特別是當受害者本身未能採取必要的行動來保護資訊時。缺乏專注於資料保護的專業人員,或者在某些情況下,當被指控的負責該領域的人員積累瞭如此多的職能而無法令人滿意地執行這項活動時,進一步加劇了這種情況。  

當然,指定負責人本身並不能解決所有充分性挑戰,但表明公司致力於建立一套符合 LGPD 的做法。然而,這種缺乏優先順序不僅反映了製裁的可能性,也反映了安全事件的實際風險,這將產生相當大的損害。 ANPD 適用的罰款只是問題的一部分,因為市場信心等無形損失可能更加痛苦。在這種情況下,最嚴格的監控被視為加強立法遵守機制並鼓勵組織將持有人的隱私提上議程的必要行動。  

僱用 DPO 還是外包?

僱用全職 DPO 可能是一項棘手的任務,因為並不總是有需求或興趣為這種需求分配內部資源。  

從這個意義上說,外包被指出是為那些想要有效遵守立法但沒有大量結構或資源來維持專注於資料保護的多學科團隊的公司提供的解決方案。當使用專門的服務提供者時,公司可以接觸到更有經驗來處理不同市場領域 LGPD 要求的專業人員。此外,在外部負責的情況下,公司開始將資料保護視為策略中整合的內容,而不是僅當通知到達或發生洩漏時才會受到關注的特定問題。  

這有助於創建強大的流程,而無需在招募、培訓和保留人才方面進行大量投資。外包資料官員不僅僅是任命外部人員。提供者通常提供持續諮詢、執行繪圖和風險分析活動、協助制定內部政策、為團隊進行培訓以及監控立法和 ANPD 法規的演變。  

此外,還有一個優點是擁有一支已經擁有實際案例經驗的團隊,這可以減少學習曲線並有助於防止可能產生罰款或聲譽受損的事件。  

外包DPO的責任有多大

需要強調的是,外包並不能免除組織的法律責任。這個想法是,公司堅持確保其收集和處理的資料安全的承諾,因為巴西法律明確規定,事件的責任不僅在於負責人,還在於整個機構。  

外包的作用是提供專業化的支持,了解使組織與 LGPD 保持一致的必要方法。將此類任務委託給外部合作夥伴的做法已在其他國家採用,資料保護已成為風險管理和公司治理的關鍵點。例如,歐盟透過《一般資料保護規範》要求許多公司任命一名資料保護官。在那裡,一些公司選擇透過聘請專業顧問來外包服務,帶來了 專業知識 對於「在」房子裡,而不必為其創建一個完整的部門。  

根據立法,負責人需要有自主權報告失敗並提出改進建議,部分國際指南建議專業人員應免受限制其監督能力的內部壓力。提供此項服務的顧問公司製定合約和工作方法,以確保這種獨立性,與管理者保持透明的溝通並建立明確的治理標準。  

這種機制既保護公司,也保護專業人員本人,他們需要自由地指出漏洞,即使這違反了特定部門或部門內的綜合做法。  

ANPD監管的加強表明,寬容局面正在讓位給更堅定的立場,而那些選擇現在不解決這個問題的人在不久的將來可能會面臨更嚴重的後果。  

對於想要更安全道路的公司來說,外包是一種能夠平衡成本、效率和可靠性的選擇。透過這種類型的合作夥伴關係,可以糾正內部環境中的差距並建立合規程序,以保護公司免受與其負責的個人資料缺乏透明度和安全性相關的製裁和風險。