Brezilya'da Genel Veri Koruma Yasası'nın (LGPD) uygulanmasından bu yana geçen yıllara rağmen, birçok şirket normu ihlal etmeye devam ediyor. LGPD, Eylül 2020'de yürürlüğe girdi, Brezilya vatandaşlarının kişisel verilerini korumak amacıyla oluşturulmuştur, şirketlerin nasıl veri toplaması gerektiği konusunda net kurallar belirlemek, bu bilgileri depolamak ve işlemek. Ancak, geçen zamana rağmen, birçok şirket standartın uygulanmasında çok az ilerleme kaydetti.
Son zamanlarda, Ulusal Veri Koruma Otoritesi (ANPD), veri sorumlusuna sahip olmayan şirketler üzerindeki denetimi artırdı, veri koruma sorumlusü (DPO) olarak da bilinir. Bir DPO'nun yokluğu, tespit edilen başlıca ihlallerden biridir, bu profesyonel, şirketin LGPD'ye uygunluğunu sağlamak için hayati öneme sahiptir. DPO, şirket ile bir aracı olarak hareket eder, veri sahipleri ve ANPD, veri ve veri koruma politikalarının uygulanmasını izlemekten ve organizasyonu en iyi uygulamalar konusunda yönlendirmekten sorumlu olmak.
Ve bu veriler sadece "buzdağının ucu" olabilir. Aslında, hiç kimse henüz standarda uymayan şirketlerin sayısını bilmiyor. LGPD'ye uymayan tüm şirketlerin kesin sayılarını konsolide eden tek bir resmi araştırma yok. Bağımsız araştırmalar, bunun gösterdiğini belirtmektedir, genel olarak, yüzde, Brezilya'daki şirketlerin %60 ile %70'i arasında değişebilir, özellikle küçük ve orta ölçekli olanlar arasında. Büyükler durumunda, sayı daha da büyük, %80'e kadar çıkabilir.
Bir DPO'nun eksikliği neden önemlidir
2024'te, kesinlikle Brezilya siber suçluların 700 milyonun üzerinde saldırı gerçekleştirdiğini aşmıştır. Yaklaşık 1'in gerçekleşmesi bekleniyor.dakikada 400 darbe ve, tabii, şirketler suçluların ana hedefleridir. Ransomware gibi suçlar – genellikle verilerin "rehin" haline geldiği ve ki, çevrimiçi yayımlanmamaları için, şirketler büyük bir mali miktar ödemek zorundadır, olaşmaya başladı. Ama ne zamana kadar sistem – kurbanlar ve sigorta şirketleri – bu kadar saldırı hacmini destekleyecekler?
Bu soruya uygun bir şekilde cevap vermek mümkün değil, özellikle kurbanların bilgilerin korunması için gerekli önlemleri almaktan vazgeçtiği zaman. Veri koruma üzerine odaklanmış bir profesyonelin eksikliği veya, bazı durumlarda, sözde alanın sorumlusunun o kadar çok işlevi biriktirdiği zaman bu görevi tatmin edici bir şekilde yerine getiremiyor, bu durumu daha da kötüleştiriyor.
Elbette bir sorumlu atanması, kendiliğinden, tüm uyum zorluklarını çözmez, ancak şirketin LGPD ile tutarlı bir dizi uygulama yapılandırmaya kararlı olduğunu gösteriyor. Bu arada, bu öncelik eksikliği sadece yaptırım olasılıklarını yansıtmıyor, ama da gerçek güvenlik olayları riskleri de, önemli bir zarar yaratacaklar. ANPD tarafından uygulanan cezalar sadece sorunun bir parçasıdır, çünkü maddi olmayan kayıplar, pazar güveni nasıl, daha da acı verici olabilirler. Bu manzarada, daha yoğun denetim, yasaların uygulanmasını güçlendirmek ve kuruluşları veri sahiplerinin gizliliğini gündeme almaya teşvik etmek için gerekli bir eylem olarak görülmektedir.
Bir DPO kiralamak mı yoksa dış kaynak kullanmak mı?
Tam zamanlı bir DPO işe almak karmaşık bir görev olabilir, çünkü her zaman bu talep için iç kaynakları tahsis etme isteği veya talebi yoktur.
Bu anlamda, dış kaynak kullanımı, yasaları etkili bir şekilde yerine getirmek isteyen şirketler için bir çözüm olarak gösterilmektedir, ancak veri koruma odaklı çok disiplinli bir ekip sürdürmek için büyük bir yapı veya kaynakları yoktur. Uzman bir hizmet sağlayıcısına başvurulduğunda, şirket, piyasanın farklı sektörlerinde LGPD gereksinimleriyle başa çıkmak için daha fazla deneyime sahip profesyonellere erişim kazanır. Ayrıca, bir dış sorumlu ile şirket, veri korumayı stratejinin entegre bir parçası olarak görmeye başlar, bir bildirim geldiğinde veya bir sızıntı meydana geldiğinde dikkat çeken tekil bir sorun yerine.
Bu, büyük bir işe alım yatırımı gerektirmeden sağlam süreçlerin oluşturulmasına katkıda bulunur, yeteneklerin eğitimi ve tutulması. Veri sorumlusunun dışarıdan birini atamakla kalmayıp daha fazlasını gerektirir. Sağlayıcı genellikle sürekli danışmanlık hizmeti sunar, risk haritalama ve analiz faaliyetleri gerçekleştirme, iç politikaların hazırlanmasına yardımcı olmak, takımlar için eğitimler düzenleyerek ANPD'nin mevzuat ve düzenlemelerindeki gelişmeleri takip etmek.
Ayrıca, pratik vakalarda deneyimi olan bir ekibe sahip olmanın avantajı vardır, öğrenme eğrisini azaltan ve cezalara veya itibar kaybına neden olabilecek olayları önlemeye yardımcı olan şey.
Üçüncü taraf DPO'nun sorumluluğu nereye kadar gider
Önemli olan, dış kaynak kullanımının organizasyonu yasal sorumluluklarından muaf tutmadığıdır. Amaç, şirketin topladığı ve işlediği verilerin güvenliğini sağlama taahhüdünü sürdürmesidir, çünkü Brezilya yasaları, olaylar üzerindeki sorumluluğun yalnızca sorumlu kişiye ait olmadığını açıkça belirtmektedir, ama kurum olarak bütünüyle.
Üçüncü taraf hizmeti, profesyonel bir destek sunmaktır, LGPD ile uyumlu bir organizasyonu sürdürmek için gerekli yolları anlayan. Bu tür görevleri dış bir ortağa devretme pratiği diğer ülkelerde zaten benimsenmiştir, veri korumasının risk yönetimi ve kurumsal yönetişimde kritik bir nokta haline geldiği yer. Avrupa Birliği, örneğin, Genel Veri Koruma Yönetmeliği ile, birçok şirketin bir veri koruma sorumlusu atamasını zorunlu kılar. Orada, çeşitli şirketler uzman danışmanlık hizmetleri alarak hizmetin dış kaynak kullanımını tercih etti, getirerekuzmanlık"içeride", bunun için tüm bir departman kurmaya gerek kalmadan.
Sorumlu kişi, yasaya göre, hataları raporlamak ve iyileştirmeler önermek için özerkliğe sahip olmalıdır, ve ve uluslararası yönergelerin bir kısmı, profesyonelin denetim kapasitesini sınırlayan iç baskılardan bağımsız olması gerektiğini önermektedir. Bu hizmeti sunan danışmanlıklar, bu tür bir bağımsızlığı güvence altına alan sözleşmeler ve çalışma metodolojileri geliştirir, yöneticilerle şeffaf bir iletişim kurarak ve net yönetişim kriterleri belirleyerek.
Bu mekanizma hem şirketi hem de profesyoneli korur, bir sektör veya departman içindeki yerleşik uygulamalara aykırı olsa bile zayıflıkları belirtme özgürlüğüne sahip olması gerektiğini.
ANPD'nin denetimlerinin artırılması, hoşgörü ortamının yerini daha kararlı bir tutuma bıraktığını gösteren bir işarettir, ve ve bu sorunu şimdi ele almamayı seçenler, çok uzak olmayan bir gelecekte daha ağır sonuçlarla karşılaşabilirler.
Daha güvenli bir yol arayan şirketler için, dış kaynak kullanımı maliyeti dengeleyebilen bir seçimdir, verimlilik ve güvenilirlik. Bu tür bir ortaklıkla, iç ortamda boşlukları düzeltmek ve şirketi hem yaptırımlardan hem de kişisel verilerin güvenliği ve şeffaflık eksikliği ile ilgili risklerden koruyacak bir uyum rutini oluşturmak mümkündür.
