Tuy nhiên, dưới góc nhìn quản trị rủi ro, câu hỏi quan trọng hơn là: doanh nghiệp đã thực sự kiểm soát được rủi ro dữ liệu cá nhân hay mới chỉ dừng ở mức tuân thủ hình thức?

Chính sách quyền riêng tư được đăng tải trên website, biểu mẫu đồng ý được tích hợp trong quy trình bán hàng hoặc tuyển dụng, nhưng thiếu cơ chế kiểm soát xuyên suốt vòng đời dữ liệu. Theo quy định mới, việc “có văn bản” không đồng nghĩa với “đã tuân thủ”.

Luật yêu cầu doanh nghiệp phải chứng minh được năng lực quản trị dữ liệu cá nhân: dữ liệu được thu thập ở đâu, phục vụ mục đích gì, ai được quyền truy cập, thời gian lưu trữ bao lâu, và cơ chế phản ứng khi xảy ra sự cố. Nếu không trả lời được các câu hỏi này một cách hệ thống, doanh nghiệp đang đối diện rủi ro tuân thủ thực chất.

Rủi ro dữ liệu cá nhân không chỉ là rủi ro pháp lý. Việc lộ, sai lệch hoặc sử dụng dữ liệu không đúng mục đích có thể dẫn tới gián đoạn vận hành, mất uy tín thương hiệu, suy giảm niềm tin khách hàng và ảnh hưởng trực tiếp đến chiến lược phát triển, đặc biệt trong bối cảnh ESG, M&A và hợp tác quốc tế.

Luật mới đặt trọng tâm vào quản trị vòng đời dữ liệu cá nhân, thay vì chỉ tập trung vào yếu tố đồng ý. Doanh nghiệp cần lập bản đồ dữ liệu, phân loại mức độ nhạy cảm, xác định rõ chủ sở hữu rủi ro và thiết lập cơ chế giám sát. Dữ liệu cá nhân vì vậy phải được tích hợp vào khung Quản trị rủi ro doanh nghiệp (ERM- Enterprise Risk Management), thay vì giao rời rạc cho bộ phận công nghệ hay pháp chế.

Một mô hình phù hợp cho doanh nghiệp, đặc biệt là các tập đoàn đa ngành, là mô hình ba tuyến phòng thủ:

Tuyến thứ nhất, là các đơn vị vận hành trực tiếp xử lý dữ liệu, chịu trách nhiệm tuân thủ hàng ngày.

Tuyến thứ hai, là bộ phận quản trị rủi ro và tuân thủ, xây dựng khung chính sách, chỉ số rủi ro và giám sát.

Tuyến thứ ba, là kiểm toán nội bộ, đánh giá độc lập hiệu quả của toàn bộ hệ thống kiểm soát.

Bên cạnh mô hình tổ chức, việc xây dựng các chỉ số rủi ro trọng yếu (KRI- Key Result Indicator) về dữ liệu cá nhân là yêu cầu không thể thiếu.

Các chỉ số như tỷ lệ hệ thống chưa phân quyền truy cập, số sự cố truy cập trái phép, hay thời gian phản ứng khi xảy ra sự cố giúp lãnh đạo nhận diện sớm rủi ro và đưa ra quyết định kịp thời.

Trong năm 2026, doanh nghiệp cần tập trung đánh giá khoảng cách tuân thủ theo luật mới, đưa rủi ro dữ liệu cá nhân vào ERM, thiết lập KRI và cơ chế báo cáo định kỳ, đồng thời đào tạo nhận thức cho đội ngũ lãnh đạo và quản lý.

Đây không chỉ là yêu cầu tuân thủ, mà là đầu tư cho năng lực quản trị bền vững.

Luật Bảo vệ dữ liệu cá nhân là phép thử cho mức độ trưởng thành trong quản trị doanh nghiệp. Doanh nghiệp nào coi đây là việc bổ sung thủ tục sẽ sớm gặp rủi ro. Doanh nghiệp nào xem đây là cơ hội nâng cấp hệ thống quản trị sẽ tạo được lợi thế cạnh tranh dài hạn.

Rủi ro dữ liệu cá nhân không nằm ở số lượng biểu mẫu hay cam kết đã ký, mà ở khả năng doanh nghiệp nhận diện, đo lường và kiểm soát rủi ro một cách liên tục. Khi dữ liệu cá nhân được quản trị như một rủi ro chiến lược trong ERM, doanh nghiệp không chỉ tuân thủ luật mà còn bảo vệ giá trị thương hiệu và niềm tin thị trường.