حتى بعد مرور كل هذه السنوات منذ تنفيذ قانون حماية البيانات العامة (LGPD) في البرازيل, تستمر العديد من الشركات في عدم الامتثال للمعيار. قانون حماية البيانات العامة, الذي دخل حيز التنفيذ في سبتمبر 2020, تم إنشاؤها بهدف حماية البيانات الشخصية للمواطنين البرازيليين, وضع قواعد واضحة حول كيفية جمع الشركات, تخزين ومعالجة هذه المعلومات. ومع ذلك, على الرغم من مرور الوقت, تقدمت العديد من الشركات قليلاً في تنفيذ المعيار.
مؤخراً, السلطة الوطنية لحماية البيانات (ANPD) كثفت الرقابة على الشركات التي لا تمتلك مسؤول بيانات, المعروف أيضًا باسم مسؤول حماية البيانات (DPO). عدم وجود مسؤول حماية البيانات هو أحد الانتهاكات الرئيسية المحددة, نظرًا لأن هذا المحترف ضروري لضمان امتثال الشركة لقانون حماية البيانات الشخصية. يعمل مسؤول حماية البيانات كوسيط بين الشركة, أصحاب البيانات والهيئة الوطنية لحماية البيانات, كونه مسؤولاً عن مراقبة الامتثال لسياسات حماية البيانات وتوجيه المنظمة بشأن أفضل الممارسات.
وقد تكون هذه البيانات مجرد "قمة الجليد". في الواقع, لا أحد يعرف عدد الشركات التي لم تلتزم بالمعيار بعد. لا يوجد مسح رسمي موحد يجمع الأرقام الدقيقة لجميع الشركات غير الملتزمة بقانون حماية البيانات الشخصية تشير الأبحاث المستقلة إلى أن, بشكل عام, يمكن أن تتراوح النسبة المئوية بين 60% و 70% من الشركات البرازيلية, خاصة بين الشركات الصغيرة والمتوسطة. في حالة الكبار, الرقم أكبر بكثير, يمكن أن تصل إلى 80%.
لماذا يشكل غياب مسؤول حماية البيانات فرقًا؟
في 2024, من المؤكد أن البرازيل تجاوزت عدد 700 مليون هجوم من قراصنة الإنترنت. يُقدّر أن تحدث حوالي 1.٤٠٠ ضربة في الدقيقة و, بالطبع, الشركات هي الأهداف الرئيسية للمجرمين. جرائم مثل برامج الفدية – حيث تصبح البيانات عادة "رهائن" وأن, لكي لا يتم نشرها على الإنترنت, تحتاج الشركات إلى دفع مبلغ مالي ضخم, أصبحوا شائعين. لكن حتى متى سيستمر النظام – الضحايا وشركات التأمين – سوف يتحملون حجمًا كبيرًا من الهجمات?
لا يمكن الإجابة على هذا السؤال بشكل مناسب, حتى أكثر عندما تتوقف الضحايا أنفسهم عن اتخاذ الإجراءات اللازمة لحماية المعلومات. نقص في وجود محترف متخصص في حماية البيانات أو, في بعض الحالات, عندما يتولى الشخص المفترض المسؤول عن المجال العديد من المهام لدرجة أنه لا يستطيع أداء هذه المهمة بشكل مرضٍ, يزيد من سوء هذه الحالة.
من الواضح أن تعيين مسؤول, بحد ذاته, لا يحل جميع تحديات التكيف, لكنها تظهر أن الشركة ملتزمة بترتيب مجموعة من الممارسات المتوافقة مع قانون حماية البيانات الشخصية. في الوقت نفسه, هذا النقص في الأولوية لا يعكس فقط إمكانية فرض عقوبات, ولكن أيضًا في المخاطر الحقيقية لحوادث الأمن, التي ستسبب خسارة كبيرة. الغرامات التي تفرضها ANPD هي مجرد جزء من المشكلة, لأن الخسائر غير الملموسة, كيف ثقة السوق, يمكن أن تكون أكثر إيلامًا. في هذا السياق, تُعتبر الرقابة الأكثر كثافة إجراءً ضروريًا لتعزيز آليات الامتثال للتشريعات وتشجيع المنظمات على وضع خصوصية أصحاب البيانات في الاعتبار.
توظيف مسؤول حماية البيانات أو الاستعانة بمصادر خارجية?
توظيف مسؤول حماية البيانات بدوام كامل قد يكون مهمة معقدة, لأنه ليس دائماً هناك طلب أو اهتمام بتخصيص موارد داخلية لهذه الحاجة.
في هذا السياق, تم الإشارة إلى الاستعانة بمصادر خارجية كحل للشركات التي ترغب في الامتثال للتشريعات بشكل فعال, لكنهم لا يمتلكون هيكلًا كبيرًا أو موارد للحفاظ على فريق متعدد التخصصات مخصص لحماية البيانات. عندما يتم اللجوء إلى مزود خدمات متخصص, تكتسب الشركة الوصول إلى محترفين لديهم خبرة أكبر في التعامل مع متطلبات قانون حماية البيانات الشخصية في مختلف قطاعات السوق. بالإضافة إلى ذلك, مع وجود مسؤول خارجي، تبدأ الشركة في اعتبار حماية البيانات شيئًا متكاملًا مع الاستراتيجية, بدلاً من أن تكون مشكلة نقطية تتلقى الاهتمام فقط عندما تصل إشعار أو عندما يحدث تسرب.
هذا يساهم في إنشاء عمليات قوية دون الحاجة إلى استثمار كبير في التوظيف, تدريب والاحتفاظ بالمواهب. تجاوزت عملية الاستعانة بمصادر خارجية لموظف حماية البيانات مجرد تعيين شخص من الخارج. المزود عادة ما يقدم استشارات مستمرة, تنفيذ أنشطة رسم الخرائط وتحليل المخاطر, مساعدًا في إعداد السياسات الداخلية, إجراء تدريبات للفرق ومتابعة تطور التشريعات واللوائح الخاصة بالهيئة الوطنية لحماية البيانات.
بالإضافة إلى ذلك, هناك ميزة في الاعتماد على فريق لديه خبرة في الحالات العملية, ما يقلل من منحنى التعلم ويساعد في منع الحوادث التي قد تؤدي إلى غرامات أو أضرار بالسمعة.
إلى أي مدى تصل مسؤولية مسؤول حماية البيانات الخارجي؟
من المهم التأكيد على أن الاستعانة بمصادر خارجية لا تعفي المنظمة من مسؤولياتها القانونية. الفكرة هي أن تلتزم الشركة بضمان أمان البيانات التي تجمعها وتعالجها, لأن التشريع البرازيلي يوضح أن المسؤولية عن الحوادث لا تقع فقط على عاتق المسؤول, لكن عن المؤسسة ككل.
ما تفعله الاستعانة بمصادر خارجية هو تقديم دعم مهني, الذي يفهم الطرق اللازمة للحفاظ على التنظيم متماشياً مع قانون حماية البيانات الشخصية. ممارسة تفويض هذا النوع من المهام لشريك خارجي قد تم اعتمادها بالفعل في دول أخرى, أين أصبحت حماية البيانات نقطة حاسمة في إدارة المخاطر والحوكمة المؤسسية. الاتحاد الأوروبي, على سبيل المثال, مع اللائحة العامة لحماية البيانات, يتطلب من العديد من الشركات تعيين مسؤول عن حماية البيانات. هناك, اختارت العديد من الشركات الاستعانة بمصادر خارجية للخدمات من خلال التعاقد مع استشارات متخصصة, تجلب إلىخبرةداخل المنزل, دون الحاجة إلى إنشاء قسم كامل لذلك.
المكلف, وفقًا للتشريع, يجب أن يكون لديه استقلالية للإبلاغ عن الأخطاء واقتراح التحسينات, وجزء من التوجيهات الدولية يقترح أن يكون المحترف خالياً من الضغوط الداخلية التي تحد من قدرته على الرقابة. تقدم الاستشارات التي تقدم هذه الخدمة عقودًا ومنهجيات عمل تضمن هذا النوع من الاستقلالية, الحفاظ على تواصل شفاف مع المديرين وتحديد معايير واضحة للحوكمة.
تعمل هذه الآلية على حماية كل من الشركة والمهني نفسه, يجب أن يكون لديه الحرية في الإشارة إلى الثغرات حتى لو كان ذلك يتعارض مع الممارسات الراسخة داخل قطاع أو قسم معين.
إن تكثيف الرقابة من قبل ANPD هو علامة على أن سيناريو التسامح يفسح المجال لموقف أكثر صرامة, ومن يختار عدم معالجة هذه المشكلة الآن قد يواجه عواقب أكثر خطورة في مستقبل ليس ببعيد.
للشركات التي ترغب في طريق أكثر أمانًا, الاستعانة بمصادر خارجية هي خيار قادر على تحقيق التوازن بين التكلفة, الكفاءة والموثوقية. مع هذا النوع من الشراكة, من الممكن تصحيح الثغرات في البيئة الداخلية وهيكلة روتين للامتثال سيحمي الشركة من العقوبات والمخاطر المرتبطة بنقص الشفافية والأمان فيما يتعلق بالبيانات الشخصية التي تقع تحت مسؤوليتها.
