《一般資料保護法》(LGPD) 改變了巴西各種規模公司對待個人資訊的方式。然而,儘管立法是獨特的,但調整立法的方法卻是不平等的。代表該國大多數企業的中小企業(SME)面臨著超越簡單缺乏預算的具體挑戰。這是一個治理文化、技術法律無知和缺乏策略優先順序的問題。
Sebrae 最近進行的一項調查顯示,中小企業是否具備 LGPD 的條件還遠未達到必要。儘管80%的企業家聲稱聽說過這項立法,但只有5%表示他們深入了解。更令人擔憂的是,即使在該法律生效近五年後,77%的小型企業仍未採取任何具體的充分措施。此外,52%的企業家無法衡量網路事件的影響,對敏感資料的處理缺乏熟悉。
第一個主要挑戰是了解 LGPD 不是可選的。在中小企業環境中,認為該法律僅適用於大公司或科技公司仍然很常見。這種信念是錯誤的且危險的。 LGPD 不會根據公司規模進行區分,而是根據個人資料的處理進行區分。也就是說,任何從客戶、員工或供應商收集、儲存或使用可識別資料的組織均受法律約束。
其次,將 LGPD 的法律要求轉化為明確的內部流程確實存在困難。公司結構內缺乏專門的法律或合規團隊,需要創造性和易於理解的解決方案。然而,通常看到的是試圖「複製和貼上」現成的網路模型或採取正式措施,而不會對操作程序進行相應的實際改變。這種方法不僅無效,而且還存在法律風險:在沒有有效實施的情況下顯得合規。
另一個關鍵點是資訊安全的脆弱性。 LGPD 需要適當的技術和管理措施來保護資料。然而,大多數中小企業的營運基礎設施有限,沒有存取控制,沒有定期備份,網路風險管理成熟度較低。在這種情況下,洩漏或事件的風險很高,而且管理者自己往往看不見。資料保護只是一個法律問題的想法已經過時,是安全和業務連續性的支柱。
我認為核心的一個挑戰是控制者的責任。 LGPD 對資料控制者施加了明確的職責,而這些控制者無法完全外包。儘管處理是由第三方進行的,但治理和合規的義務仍然由控制者承擔。在中小企業中,這個數字通常是合夥人或執行長本人,這增加了個人面臨的法律和聲譽風險。這位專業人士必須了解法律的影響,而不是作為障礙,而是作為提高管理標準和與利害關係人建立信任的機會。
此外,市場仍缺乏針對中小企業現實的支持機制。國家資料保護局(ANPD)本身已經透過發布針對小型代理商的法規認識到了這一點。然而,此類文書需要更多地傳播、辯論和明智地應用。法律部門在以教育和實用的方式將這些標準轉化為可行的解決方案方面發揮著至關重要的作用,而不會產生恐慌或過度官僚化。
必須指出的是,LGPD 的充分性並不是一個有開始和結束日期的項目。這是一個持續的機構成熟過程,必須納入公司的策略。沒有神奇的公式,但有一個重要的起點,那就是認識到個人資料的處理涉及支持二十一世紀商業活動的法律義務、真實風險和信任關係。
LGPD 將會留下來。深入、策略性地了解這一點的中小企業將脫穎而出,不僅遵守法律,而且建立更道德、安全和永續的組織文化。
