حتى بعد مرور سنوات عديدة منذ تطبيق قانون حماية البيانات العام (LGPD) في البرازيل، لا تزال العديد من الشركات تفشل في الامتثال للقاعدة. تم إنشاء قانون حماية البيانات الشخصية، الذي دخل حيز التنفيذ في سبتمبر 2020، بهدف حماية البيانات الشخصية للمواطنين البرازيليين، ووضع قواعد واضحة حول كيفية قيام الشركات بجمع هذه المعلومات وتخزينها ومعالجتها. ومع ذلك، وعلى الرغم من مرور الوقت، فإن العديد من الشركات لم تحقق سوى تقدم ضئيل في تنفيذ المعيار.
في الآونة الأخيرة، قامت الهيئة الوطنية لحماية البيانات (ANPD) بتكثيف مراقبتها للشركات التي ليس لديها مدير بيانات، والمعروف أيضًا باسم مسؤول حماية البيانات (DPO). يعد عدم وجود مسؤول حماية البيانات أحد المخالفات الرئيسية التي تم تحديدها، حيث يعد هذا المحترف ضروريًا لضمان امتثال الشركة لقانون حماية البيانات العامة. يعمل مسؤول حماية البيانات كوسيط بين الشركة وأصحاب البيانات ومدير حماية البيانات الوطنية، وهو مسؤول عن مراقبة الامتثال لسياسات حماية البيانات وتوجيه المنظمة بشأن أفضل الممارسات.
وقد تكون هذه البيانات مجرد "قمة جبل الجليد". في الواقع، لا أحد يعرف عدد الشركات التي لم تعتمد هذا المعيار بعد. لا يوجد مسح رسمي واحد يُجمّع الأعداد الدقيقة لجميع الشركات غير الملتزمة بمعايير حماية حقوق الملكية الفكرية. تشير الأبحاث المستقلة إلى أن النسبة، بشكل عام، قد تتراوح بين 60% و70% من الشركات البرازيلية، وخاصةً الشركات الصغيرة والمتوسطة. وفي حالة الشركات الكبيرة، يكون الرقم أعلى من ذلك، إذ يصل إلى 80%.
لماذا يشكل غياب مسؤول حماية البيانات فرقًا؟
في عام 2024، من المؤكد أن البرازيل ستتجاوز عدد الهجمات الإلكترونية التي تصل إلى 700 مليون. يُقدر أن ما يقرب من 1400 عملية احتيال تحدث كل دقيقة، وبطبيعة الحال، تعد الشركات هي الأهداف الرئيسية للمجرمين. أصبحت الجرائم مثل برامج الفدية - حيث يتم احتجاز البيانات "رهينة" في كثير من الأحيان وتضطر الشركات إلى دفع مبلغ ضخم من المال لمنع نشرها عبر الإنترنت - شائعة. ولكن إلى متى سيتمكن النظام – الضحايا وشركات التأمين – من الصمود أمام هذا الحجم من الهجمات؟
لا توجد طريقة للإجابة على هذا السؤال بشكل مناسب، خاصة عندما يفشل الضحايا أنفسهم في اتخاذ الإجراءات اللازمة لحماية المعلومات. إن عدم وجود متخصص متخصص في حماية البيانات، أو في بعض الحالات، عندما يقوم الشخص المسؤول عن هذا المجال بتراكم العديد من الوظائف بحيث يصبح غير قادر على أداء هذا النشاط بشكل مرضي، يجعل هذا الوضع أسوأ.
وبطبيعة الحال، فإن تعيين شخص مسؤول، في حد ذاته، لا يحل جميع تحديات الامتثال، لكنه يظهر أن الشركة ملتزمة ببناء مجموعة من الممارسات المتوافقة مع قانون حماية البيانات الشخصية. ولكن هذا الافتقار إلى تحديد الأولويات لا يعكس إمكانية فرض عقوبات فحسب، بل يعكس أيضا الخطر الحقيقي المتمثل في وقوع حوادث أمنية من شأنها أن تولد خسائر فادحة. إن الغرامات التي تفرضها إدارة مكافحة المخدرات ليست سوى جزء من المشكلة، لأن الخسائر غير الملموسة، مثل ثقة السوق، يمكن أن تكون أكثر إيلاما. وفي هذا السيناريو، يُنظر إلى المراقبة الأكثر كثافة على أنها إجراء ضروري لتعزيز آليات الامتثال للتشريعات وتشجيع المنظمات على وضع خصوصية أصحاب البيانات على جدول الأعمال.
تعيين مسؤول حماية البيانات أو الاستعانة بمصادر خارجية؟
إن تعيين مسؤول حماية البيانات بدوام كامل قد يكون مهمة معقدة، حيث لا يوجد دائمًا طلب أو اهتمام بتخصيص الموارد الداخلية لهذا الطلب.
وفي هذا الصدد، تم تسليط الضوء على الاستعانة بمصادر خارجية كحل للشركات التي ترغب في الامتثال للتشريعات بشكل فعال، ولكنها لا تمتلك هيكلًا كبيرًا أو موارد للحفاظ على فريق متعدد التخصصات يركز على حماية البيانات. عند استخدام مزود خدمة متخصص، تتمكن الشركة من الوصول إلى متخصصين لديهم خبرة أكبر في التعامل مع متطلبات LGPD في قطاعات السوق المختلفة. وعلاوة على ذلك، مع وجود شخص خارجي مسؤول، تبدأ الشركة في النظر إلى حماية البيانات باعتبارها شيئًا متكاملًا في الاستراتيجية، وليس مشكلة لمرة واحدة تحظى بالاهتمام فقط عند وصول إشعار أو عند حدوث تسرب.
ويساهم هذا في إنشاء عمليات قوية دون الحاجة إلى استثمار كبير في توظيف المواهب وتدريبها والاحتفاظ بها. إن الاستعانة بموظف خارجي لإدارة البيانات لا يقتصر فقط على تعيين شخص خارجي. يقدم المزود عادة استشارات مستمرة، ويقوم بأنشطة رسم خرائط المخاطر وتحليلها، ويساعد في تطوير السياسات الداخلية، وإجراء التدريب للفرق ومراقبة تطور تشريعات ولوائح ANPD.
علاوة على ذلك، هناك ميزة وجود فريق لديه خبرة بالفعل في الحالات العملية، مما يقلل من منحنى التعلم ويساعد في منع الحوادث التي قد تؤدي إلى غرامات أو الإضرار بالسمعة.
إلى أي مدى تصل مسؤولية مسؤول حماية البيانات الخارجي؟
ومن المهم التأكيد على أن الاستعانة بمصادر خارجية لا تعفي المنظمة من مسؤولياتها القانونية. الفكرة هي أن تحافظ الشركة على التزامها بضمان أمن البيانات التي تجمعها وتعالجها، حيث أن التشريع البرازيلي يوضح أن المسؤولية عن الحوادث لا تقع على عاتق الشخص المسؤول فقط، بل على المؤسسة ككل.
ما يفعله الاستعانة بمصادر خارجية هو تقديم الدعم المهني، الذي يفهم المسارات الضرورية للحفاظ على المنظمة بما يتماشى مع قانون حماية البيانات العامة (LGPD). إن ممارسة تفويض هذا النوع من المهام إلى شريك خارجي هي ممارسة معتمدة بالفعل في بلدان أخرى، حيث أصبحت حماية البيانات نقطة حاسمة لإدارة المخاطر وحوكمة الشركات. على سبيل المثال، يتطلب الاتحاد الأوروبي، من خلال اللائحة العامة لحماية البيانات، من العديد من الشركات تعيين مسؤول لحماية البيانات. هناك، اختارت العديد من الشركات الاستعانة بمصادر خارجية للخدمة من خلال تعيين مستشارين متخصصين، مما أدى إلىخبرة"داخليًا"، دون الحاجة إلى إنشاء قسم كامل لهذا الغرض.
ويجب أن يتمتع المسؤول، وفقاً للتشريعات، بالاستقلالية في الإبلاغ عن الإخفاقات واقتراح التحسينات، ويشير جزء من المبادئ التوجيهية الدولية إلى أن المهني يجب أن يكون خالياً من الضغوط الداخلية التي تحد من قدرته على التفتيش. وتقوم شركات الاستشارات التي تقدم هذه الخدمة بتطوير العقود ومنهجيات العمل التي تضمن هذا النوع من الاستقلال، والحفاظ على التواصل الشفاف مع المديرين، ووضع معايير حوكمة واضحة.
وتحمي هذه الآلية الشركة والمحترف على حد سواء، حيث يحتاج إلى أن يتمتع بالحرية في الإشارة إلى نقاط الضعف حتى لو كان ذلك يتعارض مع الممارسات الموحدة داخل قطاع أو قسم معين.
إن تكثيف الرقابة من جانب إدارة الشرطة في أندورا هو علامة على أن سيناريو التسامح يفسح المجال لموقف أكثر حزما، وأولئك الذين يختارون عدم معالجة هذه المشكلة الآن قد يواجهون عواقب أثقل في المستقبل غير البعيد.
بالنسبة للشركات التي تريد مسارًا أكثر أمانًا، فإن الاستعانة بمصادر خارجية هي خيار قادر على تحقيق التوازن بين التكلفة والكفاءة والموثوقية. بفضل هذا النوع من الشراكة، من الممكن تصحيح الثغرات في البيئة الداخلية وبناء روتين امتثال من شأنه حماية الشركة من العقوبات والمخاطر المرتبطة بانعدام الشفافية والأمان فيما يتعلق بالبيانات الشخصية الواقعة تحت مسؤوليتها.
