브라질에서 일반 데이터 보호법(LGPD)이 시행된 지 수년이 지난 지금도, 많은 기업들이 규정을 계속 위반하고 있다. LGPD, 2020년 9월에 발효된, 브라질 시민의 개인 데이터를 보호하기 위해 만들어졌다, 기업이 데이터를 수집하는 방법에 대한 명확한 규칙 설정, 이 정보를 저장하고 처리하다. 그럼에도 불구하고, 시간이 흘렀음에도 불구하고, 많은 기업들이 규정의 시행에 있어 거의 진전을 이루지 못했다.
최근에, 국가 데이터 보호 기관(ANPD)은 데이터 책임자가 없는 기업에 대한 감시를 강화했다, 데이터 보호 책임자(DPO)로도 알려져 있음. DPO의 부재는 확인된 주요 위반 사항 중 하나입니다, 이 전문가는 회사가 LGPD를 준수하도록 보장하는 데 필수적이기 때문에. DPO는 회사와의 중개자 역할을 합니다, 데이터 주체와 ANPD, 데이터 보호 정책 준수를 모니터링하고 조직에 최선의 관행에 대해 안내하는 책임이 있습니다.
이 데이터는 단지 "빙산의 일각"일 수 있다. 실제로, 아직 규정을 준수하지 않은 기업의 수는 아무도 모른다. LGPD에 비준수하는 모든 기업의 정확한 숫자를 통합한 공식적인 조사 결과는 없습니다 독립적인 연구에 따르면, 일반적으로, 비율은 브라질 기업의 60%에서 70% 사이에서 변동할 수 있다, 특히 중소기업 간에. 대형의 경우, 숫자는 아직 더 큽니다, 80%에 이를 수 있습니다.
DPO가 없는 것이 왜 중요한가
2024년, 확실히 브라질은 사이버 범죄자들의 공격 수가 7억 건을 초과했을 것이다. 거의 1이 발생할 것으로 추정됩니다.분당 400타, 물론, 기업은 범죄자들의 주요 표적이다. 랜섬웨어와 같은 범죄 – 일반적으로 데이터가 "인질"이 되는 경우, 온라인에 게시되지 않도록, 기업들은 막대한 금액을 지불해야 합니다, 일상적이 되었다. 하지만 시스템은 언제까지 – 피해자와 보험사 – 그들은 대량의 공격을 견딜 수 있을 것이다?
이 질문에 적절하게 대답할 방법이 없다, 정보 보호를 위한 필요한 조치를 취하지 않는 피해자들로 인해 더욱 그렇다. 데이터 보호에 집중하는 전문가의 부족이나, 일부 상황에서, 예상되는 책임자가 너무 많은 업무를 맡아 이 활동을 만족스럽게 수행할 수 없을 때, 이 상황을 더욱 악화시킨다.
담당자의 지명은 분명하다, 그 자체로, 모든 적합성 문제를 해결하지는 않는다, 하지만 회사가 LGPD에 부합하는 일련의 관행을 구조화하는 데 전념하고 있음을 보여줍니다. 그동안, 이 우선순위 부족은 제재 가능성에만 영향을 미치지 않는다, 그러나 실제 보안 사고의 위험에도 있습니다, 상당한 손실을 초래할 것이다. ANPD가 부과하는 벌금은 문제의 일부에 불과하다, 무형의 손실이기 때문에, 시장 신뢰도, 더욱 고통스러울 수 있다. 이러한 전망에서, 더 강력한 감시는 법률 준수 메커니즘을 강화하고 조직들이 데이터 주체의 프라이버시를 우선시하도록 장려하는 데 필요한 조치로 여겨진다.
DPO를 고용할지 아니면 아웃소싱할지?
전문 DPO를 전일제로 고용하는 것은 복잡한 작업일 수 있다, 내부 자원을 이 수요에 할당할 필요성이나 관심이 항상 있는 것은 아니다.
이러한 의미에서, 아웃소싱은 법규를 효과적으로 준수하고자 하는 기업들에게 해결책으로 지목되고 있다, 하지만 데이터 보호에 전념하는 다학제 팀을 유지할 수 있는 큰 구조나 자원이 없습니다. 전문 서비스 제공업체에 의뢰할 때, 회사는 시장의 다양한 분야에서 LGPD 요구 사항을 처리할 수 있는 더 많은 경험을 가진 전문가에 접근할 수 있게 된다. 더불어, 외부 책임자와 함께 회사는 데이터 보호를 전략의 일부로 간주하게 된다, 문제가 발생하거나 누수가 발생할 때만 주목받는 일회성 문제가 아니라.
이는 대규모 채용 투자 없이도 강력한 프로세스를 구축하는 데 기여합니다, 인재 교육 및 유지. 데이터 책임자의 외부 위탁은 단순히 외부 사람을 지명하는 것을 넘어선다. 제공자는 지속적인 상담을 제공하는 경우가 많습니다, 위험 분석 및 매핑 활동 수행, 내부 정책 수립 지원, 팀을 위한 교육을 진행하고 ANPD의 법률 및 규정의 발전을 모니터링하고 있습니다.
더불어, 실제 사례에서 경험이 있는 팀이 있다는 장점이 있다, 학습 곡선을 줄이고 벌금이나 명성 손상을 초래할 수 있는 사건을 예방하는 데 도움이 되는 것.
외부 DPO의 책임은 어디까지인가
아웃소싱이 조직의 법적 책임을 면제하지 않는다는 점을 강조하는 것이 중요하다. 회사의 아이디어는 수집하고 처리하는 데이터의 안전성을 보장하는 약속을 유지하는 것입니다, 브라질 법률은 사건에 대한 책임이 단지 담당자에게만 있지 않다는 것을 분명히 하고 있다, 전체 기관에 대한 더 많은 정보.
아웃소싱이 하는 것은 전문적인 지원을 제공하는 것이다, LGPD에 따라 조직을 유지하기 위해 필요한 경로를 이해하는. 이러한 유형의 작업을 외부 파트너에게 위임하는 관행은 이미 다른 국가에서 채택되고 있다, 데이터 보호가 위험 관리 및 기업 거버넌스의 중요한 요소가 된 곳. 유럽 연합, 예를 들어, 일반 데이터 보호 규정에 따라, 많은 기업이 데이터 보호 책임자를 지정하도록 요구합니다. 그곳, 다양한 기업들이 전문 컨설팅 회사를 고용하여 서비스 아웃소싱을 선택했다, 가져오는전문성집 안에서, 그것을 위해 전체 부서를 만들 필요 없이.
담당자, 법률에 따라, 결함을 보고하고 개선 사항을 제안할 수 있는 자율성이 필요하다, 국제 지침의 일부는 전문가가 감독 능력을 제한하는 내부 압박에서 벗어나야 한다고 제안한다. 이 서비스를 제공하는 컨설팅 회사들은 이러한 독립성을 보장하는 계약 및 작업 방법론을 개발합니다, 관리자와 투명한 소통을 유지하고 명확한 거버넌스 기준을 설정하는 것.
이 메커니즘은 회사와 전문가 모두를 보호합니다, 특정 부서나 분야 내에서 확립된 관행에 반하더라도 취약점을 지적할 자유가 필요하다.
ANPD의 감시 강화는 관용의 상황이 보다 단호한 태도로 바뀌고 있다는 신호이다, 이 문제를 지금 다루지 않기로 선택하는 사람은 그리 멀지 않은 미래에 더 심각한 결과에 직면할 수 있다.
더 안전한 경로를 원하는 기업을 위해, 아웃소싱은 비용을 균형 있게 맞출 수 있는 선택이다, 효율성과 신뢰성. 이런 종류의 파트너십으로, 내부 환경의 공백을 수정하고 회사가 책임지고 있는 개인 데이터와 관련된 투명성과 보안 부족으로 인한 위험 및 제재로부터 보호할 수 있는 컴플라이언스 루틴을 구축하는 것이 가능합니다.
