ब्राजील में सामान्य डेटा संरक्षण अधिनियम (LGPD) के कार्यान्वयन के tantos वर्षों बाद भी, कई कंपनियाँ नियमों का पालन करना जारी रखती हैं. एलजीपीडी, जो सितंबर 2020 में लागू हुआ, यह ब्राज़ीलियाई नागरिकों के व्यक्तिगत डेटा की सुरक्षा के उद्देश्य से बनाई गई थी, स्पष्ट नियम स्थापित करना कि कंपनियों को कैसे संग्रहित करना चाहिए, इन जानकारियों को संग्रहीत और संसाधित करना. हालांकि, समय बीतने के बावजूद, कई कंपनियों ने मानक के कार्यान्वयन में थोड़ा प्रगति की है.
हाल ही में, राष्ट्रीय डेटा संरक्षण प्राधिकरण (ANPD) ने उन कंपनियों पर निगरानी बढ़ा दी है जिनके पास डेटा का एक प्रभारी नहीं है, जिसे डेटा प्रोटेक्शन ऑफिसर (डीपीओ) के रूप में भी जाना जाता है. एक DPO की कमी एक प्रमुख उल्लंघनों में से एक है, चूंकि यह पेशेवर यह सुनिश्चित करने के लिए आवश्यक है कि कंपनी LGPD के अनुपालन में हो. DPO कंपनी के बीच एक मध्यस्थ के रूप में कार्य करता है, डेटा के धारक और ANPD, डेटा सुरक्षा नीतियों के अनुपालन की निगरानी करने और संगठन को सर्वोत्तम प्रथाओं के बारे में मार्गदर्शन करने के लिए जिम्मेदार होना.
और ये आंकड़े केवल "बर्फ़ के पहाड़" की "चोटी" हो सकते हैं. वास्तव में, कोई नहीं जानता कि कितनी कंपनियाँ अभी तक मानक में शामिल नहीं हुई हैं. कोई आधिकारिक एकल सर्वेक्षण नहीं है जो LGPD के तहत अनुपालन न करने वाली सभी कंपनियों के सटीक आंकड़ों को संकलित करता है स्वतंत्र शोध बताते हैं कि, सामान्य तौर पर, प्रतिशत ब्राज़ीलियाई कंपनियों के बीच 60% से 70% के बीच भिन्न हो सकता है, विशेष रूप से छोटे और मध्यम आकार के बीच. बड़े मामलों में, संख्या और भी बड़ी है, 80% तक पहुँच सकता है.
क्यों एक DPO की कमी महत्वपूर्ण है
2024 में, निश्चित रूप से ब्राज़ील ने साइबर अपराधियों के 700 मिलियन हमलों की संख्या को पार कर लिया है. अनुमान है कि लगभग 1 होगा.400 वार प्रति मिनट और, स्पष्ट, कंपनियाँ अपराधियों के मुख्य लक्ष्य हैं. रैंसमवेयर जैसे अपराध – जिसमें आमतौर पर डेटा "बंधक" बन जाते हैं और जो, ताकि उन्हें ऑनलाइन प्रकाशित न किया जाए, कंपनियों को एक विशाल वित्तीय राशि का भुगतान करना होगा, सामान्य हो गए. लेकिन यह प्रणाली कब तक – पीड़ित और बीमा कंपनियाँ – वे इस तरह के हमलों की इतनी मात्रा को सहन करेंगे?
इस सवाल का उचित तरीके से जवाब देना संभव नहीं है, और भी तब जब स्वयं पीड़ित आवश्यक जानकारी की सुरक्षा के लिए कदम उठाना बंद कर देते हैं. डेटा सुरक्षा पर ध्यान केंद्रित करने वाले पेशेवर की कमी या, कुछ स्थितियों में, जब क्षेत्र का कथित जिम्मेदार tantas कार्यों को जमा करता है कि वह इस गतिविधि को संतोषजनक तरीके से नहीं निभा सकता, यह स्थिति को और भी बिगाड़ता है.
यह स्पष्ट है कि एक प्रभारी की नियुक्ति, अपने आप, यह सभी अनुकूलता चुनौतियों का समाधान नहीं करता, लेकिन यह दिखाता है कि कंपनी LGPD के साथ संगत प्रथाओं के एक सेट को संरचित करने के लिए प्रतिबद्ध है. इस बीच, यह प्राथमिकता की कमी केवल प्रतिबंधों की संभावनाओं पर ही नहीं पड़ती, लेकिन सुरक्षा घटनाओं के वास्तविक जोखिमों में भी, जो एक महत्वपूर्ण नुकसान उत्पन्न करेंगे. ANPD द्वारा लागू की गई जुर्माने केवल समस्या का एक हिस्सा हैं, क्योंकि अमूर्त हानियाँ, जैसे बाजार का विश्वास, और भी दर्दनाक हो सकती हैं. इस परिदृश्य में, अधिक सख्त निगरानी को कानून के अनुपालन के तंत्र को मजबूत करने और संगठनों को धारकों की गोपनीयता को प्राथमिकता देने के लिए एक आवश्यक कार्रवाई के रूप में देखा जाता है.
DPO को नियुक्त करना या आउटसोर्स करना?
पूर्णकालिक DPO को नियुक्त करना एक जटिल कार्य हो सकता है, क्योंकि हमेशा इस मांग के लिए आंतरिक संसाधनों को आवंटित करने की मांग या रुचि नहीं होती.
इस संदर्भ में, आउटसोर्सिंग को उन कंपनियों के लिए एक समाधान के रूप में देखा जा रहा है जो प्रभावी ढंग से कानून का पालन करना चाहती हैं, लेकिन उनके पास डेटा सुरक्षा के लिए एक बहु-विषयक टीम बनाए रखने के लिए एक बड़ी संरचना या संसाधन नहीं हैं. जब किसी विशेष सेवा प्रदाता की सहायता ली जाती है, कंपनी को उन पेशेवरों तक पहुंच मिलती है जिनके पास विभिन्न बाजार क्षेत्रों में LGPD की आवश्यकताओं को संभालने का अधिक अनुभव है. इसके अलावा, एक बाहरी जिम्मेदार के साथ कंपनी डेटा सुरक्षा को रणनीति का एक एकीकृत हिस्सा मानने लगती है, एक विशिष्ट समस्या के बजाय जिसे केवल तब ध्यान मिलता है जब एक अधिसूचना आती है या जब कोई रिसाव होता है.
यह मजबूत प्रक्रियाओं के निर्माण में योगदान करता है बिना भर्ती में बड़े निवेश की आवश्यकता के, प्रतिभा का प्रशिक्षण और संरक्षण. डेटा प्रभारी की आउटसोर्सिंग केवल एक बाहरी व्यक्ति को नामित करने से परे जाती है. प्रदाता आमतौर पर निरंतर परामर्श प्रदान करता है, जोखिम मानचित्रण और विश्लेषण गतिविधियाँ करना, आंतरिक नीतियों के निर्माण में सहायता करना, टीमों के लिए प्रशिक्षण आयोजित करना और ANPD के कानूनों और नियमों के विकास की निगरानी करना.
इसके अलावा, एक टीम के होने का लाभ है जो पहले से ही व्यावहारिक मामलों में अनुभव रखती है, जो सीखने की प्रक्रिया को कम करता है और उन घटनाओं को रोकने में मदद करता है जो जुर्माने या प्रतिष्ठा को नुकसान पहुंचा सकते हैं.
डीपीओ आउटसोर्स की जिम्मेदारी कहाँ तक जाती है
यह महत्वपूर्ण है कि आउटसोर्सिंग संगठन को उसकी कानूनी जिम्मेदारियों से मुक्त नहीं करती. विचार यह है कि कंपनी डेटा की सुरक्षा सुनिश्चित करने के प्रति अपनी प्रतिबद्धता बनाए रखे जो वह एकत्र करती है और संसाधित करती है, क्योंकि ब्राज़ीलियाई कानून स्पष्ट करता है कि घटनाओं की जिम्मेदारी केवल प्रभारी पर नहीं होती, लेकिन संस्था के रूप में समग्र रूप से.
आउटसोर्सिंग जो करती है वह एक पेशेवर समर्थन प्रदान करना है, जो आवश्यक रास्तों को समझता है ताकि संगठन को LGPD के साथ संरेखित रखा जा सके. इस प्रकार के कार्य को एक बाहरी साझेदार को सौंपने का अभ्यास अन्य देशों में पहले से ही अपनाया जा चुका है, जहां डेटा सुरक्षा जोखिम प्रबंधन और कॉर्पोरेट गवर्नेंस का एक महत्वपूर्ण बिंदु बन गई है. यूरोपीय संघ, उदाहरण के लिए, सामान्य डेटा संरक्षण विनियम के साथ, यह मांग करता है कि कई कंपनियाँ डेटा सुरक्षा अधिकारी की नियुक्ति करें. यहाँ, विभिन्न कंपनियों ने विशेष परामर्श सेवाओं की नियुक्ति के साथ सेवा के आउटसोर्सिंग का विकल्प चुना, लाते हुएविशेषज्ञताघर के अंदर, बिना इसके लिए पूरा विभाग बनाए.
अधिकारी, कानून के अनुसार, स्वतंत्रता होनी चाहिए कि वह असफलताओं की रिपोर्ट करे और सुधारों का प्रस्ताव रखे, और अंतरराष्ट्रीय दिशानिर्देशों का एक हिस्सा सुझाव देता है कि पेशेवर को आंतरिक दबावों से मुक्त होना चाहिए जो उसकी निगरानी की क्षमता को सीमित करते हैं. जो परामर्श इस सेवा की पेशकश करते हैं वे ऐसे अनुबंध और कार्य पद्धतियाँ विकसित करते हैं जो इस प्रकार की स्वतंत्रता को सुनिश्चित करती हैं, प्रबंधकों के साथ पारदर्शी संचार बनाए रखते हुए और शासन के स्पष्ट मानदंड स्थापित करते हुए.
यह तंत्र कंपनी और स्वयं पेशेवर दोनों की रक्षा करता है, जो कमजोरियों को इंगित करने की स्वतंत्रता होनी चाहिए, भले ही यह किसी विशेष क्षेत्र या विभाग के भीतर स्थापित प्रथाओं के खिलाफ हो.
ANPD की निगरानी की तीव्रता इस बात का संकेत है कि सहिष्णुता का माहौल एक अधिक दृढ़ रुख को जगह दे रहा है, और जो इस समस्या का समाधान नहीं करना चुनेंगे, उन्हें निकट भविष्य में अधिक गंभीर परिणामों का सामना करना पड़ सकता है.
उन कंपनियों के लिए जो एक सुरक्षित रास्ता चाहती हैं, आउटसोर्सिंग एक ऐसा विकल्प है जो लागत को संतुलित करने में सक्षम है, कुशलता और विश्वसनीयता. इस प्रकार की साझेदारी से, आंतरिक वातावरण में खामियों को सुधारना और एक अनुपालन दिनचर्या का निर्माण करना संभव है जो कंपनी को दंडों और व्यक्तिगत डेटा की पारदर्शिता और सुरक्षा की कमी से जुड़े जोखिमों से बचाएगा.
