ब्राज़ील में सामान्य डेटा संरक्षण कानून (LGPD) के लागू होने के कई वर्षों बाद भी, कई कंपनियां अभी भी नियम का उल्लंघन कर रही हैं। LGPD, जो सितंबर 2020 में लागू हुई, का उद्देश्य ब्राजीलियाई नागरिकों के व्यक्तिगत डेटा की सुरक्षा करना था, यह स्पष्ट नियम स्थापित करते हुए कि कंपनियों को इन जानकारी को कैसे एकत्र करना, संग्रहित करना और संसाधित करना चाहिए। हालांकि, समय बीत जाने के बावजूद, कई कंपनियों ने मानक के कार्यान्वयन में बहुत कम प्रगति की है।
हाल ही में, राष्ट्रीय डेटा संरक्षण प्राधिकरण (ANPD) ने उन कंपनियों के खिलाफ निरीक्षण तेज कर दिया है जिनके पास डेटा अधिकारी, जिसे डेटा संरक्षण अधिकारी (DPO) भी कहा जाता है, नहीं है। एक DPO की अनुपस्थिति मुख्य उल्लंघनों में से एक है, क्योंकि यह पेशेवर कंपनी को LGPD के अनुपालन में सुनिश्चित करने के लिए आवश्यक है। डीपीओ कंपनी, डेटा धारकों और एएनपीडी के बीच एक मध्यस्थ के रूप में कार्य करता है, डेटा संरक्षण नीतियों के अनुपालन की निगरानी करने और संगठन को सर्वोत्तम प्रथाओं के बारे में मार्गदर्शन करने के लिए जिम्मेदार है।
और ये आंकड़े केवल हिमशिखर का शीर्ष हो सकते हैं। वास्तव में, कोई नहीं जानता कि कितनी कंपनियां अभी भी मानक का पालन नहीं कर रही हैं। कोई एक आधिकारिक सर्वेक्षण नहीं है जो LGPD का पालन न करने वाली सभी कंपनियों के सटीक आंकड़ों को संकलित करता हो। स्वतंत्र शोध संकेत देते हैं कि सामान्य तौर पर, प्रतिशत 60% से 70% के बीच हो सकता है, विशेष रूप से छोटे और मध्यम आकार की कंपनियों के बीच। बड़े मामलों में, संख्या और भी अधिक है, जो 80% तक पहुंच सकती है।
क्यों एक DPO की कमी महत्वपूर्ण है
2024 में, निश्चित रूप से ब्राजील ने साइबर अपराधियों के 700 मिलियन से अधिक हमले का आंकड़ा पार कर लिया है। प्रत्येक मिनट लगभग 1,400 धोखे होने का अनुमान है और, निश्चित ही, कंपनियां अपराधियों का मुख्य लक्ष्य हैं। रैंसमवेयर जैसे अपराध – जिसमें आमतौर पर डेटा "ग़ुलाम" हो जाते हैं और जिन्हें ऑनलाइन प्रकाशित होने से रोकने के लिए कंपनियों को भारी वित्तीय राशि चुकानी पड़ती है – सामान्य हो गए हैं। लेकिन सिस्टम – पीड़ितों और बीमाकर्ताओं – इतने बड़े हमले के बोझ को कब तक सहन करेंगे?
इस प्रश्न का उचित तरीके से उत्तर देना संभव नहीं है, खासकर जब स्वयं पीड़ित आवश्यक कदम उठाने से इनकार कर देते हैं ताकि जानकारी की सुरक्षा की जा सके। डेटा संरक्षण पर केंद्रित किसी पेशेवर की कमी या, कुछ मामलों में, जब क्षेत्र के कथित जिम्मेदार व्यक्ति इतनी अधिक जिम्मेदारियों को संभालता है कि वह इस गतिविधि को संतोषजनक रूप से नहीं कर पाता, तो यह स्थिति और भी खराब हो जाती है।
यह स्पष्ट है कि एक जिम्मेदार व्यक्ति की नियुक्ति अपने आप में सभी अनुकूलन चुनौतियों का समाधान नहीं है, लेकिन यह दिखाता है कि कंपनी LGPD के साथ संगत प्रथाओं का एक सेट बनाने के लिए प्रतिबद्ध है। इसमें कोई प्राथमिकता की कमी केवल दंड की संभावना में ही नहीं बल्कि सुरक्षा घटनाओं के वास्तविक खतरों में भी परिलक्षित होती है, जो महत्वपूर्ण नुकसान पहुंचाएंगे। एएनपीडी द्वारा लागू किए गए जुर्माने केवल समस्या का एक हिस्सा हैं, क्योंकि अनदेखी नुकसान, जैसे बाजार का विश्वास, और भी अधिक दर्दनाक हो सकते हैं। इस परिदृश्य में, अधिक कठोर निरीक्षण को कानून के अनुपालन तंत्र को मजबूत करने और संगठनों को धारकों की गोपनीयता को प्राथमिकता देने के लिए आवश्यक कार्रवाई के रूप में देखा जाता है।
क्या आप एक DPO को नियुक्त करें या आउटसोर्स करें?
एक पूर्णकालिक DPO को नियुक्त करना एक जटिल कार्य हो सकता है, क्योंकि हमेशा इस मांग के लिए आंतरिक संसाधनों को आवंटित करने की आवश्यकता या रुचि नहीं होती है।
इस संदर्भ में, आउटसोर्सिंग को उन कंपनियों के लिए एक समाधान के रूप में देखा जा रहा है जो प्रभावी ढंग से कानून का पालन करना चाहती हैं, लेकिन उनके पास एक बड़ा ढांचा या संसाधन नहीं हैं जो डेटा सुरक्षा के लिए एक बहु-आयामी टीम बनाए रखें। जब आप एक विशेषज्ञ सेवा प्रदाता की सहायता लेते हैं, तो कंपनी को उन पेशेवरों तक पहुंच मिलती है जिनके पास बाजार के विभिन्न क्षेत्रों में LGPD की आवश्यकताओं को पूरा करने का अधिक अनुभव होता है। इसके अलावा, एक बाहरी जिम्मेदार के साथ कंपनी डेटा सुरक्षा को रणनीति के साथ एकीकृत चीज के रूप में देखना शुरू कर देती है, बजाय इसके कि यह केवल एक अस्थायी समस्या हो जिसे तभी ध्यान दिया जाता है जब कोई नोटिफिकेशन आए या कोई लीक हो।
यह मजबूत प्रक्रियाओं के निर्माण में मदद करता है बिना बड़े निवेश के भर्ती, प्रशिक्षण और प्रतिभा बनाए रखने में। डेटा अधिकारी की आउटसोर्सिंग केवल बाहर से किसी व्यक्ति को नामित करने से अधिक है। प्रदाता सामान्यतः सतत परामर्श प्रदान करता है, जोखिम मानचित्रण और विश्लेषण गतिविधियों को अंजाम देता है, आंतरिक नीतियों के विकास में सहायता करता है, टीमों के लिए प्रशिक्षण आयोजित करता है और ANPD के कानून और नियमों के विकास की निगरानी करता है।
इसके अलावा, यह लाभ है कि आपके पास एक ऐसी टीम है जिसमें पहले से ही व्यावहारिक मामलों का अनुभव है, जो सीखने की प्रक्रिया को कम करता है और उन घटनाओं को रोकने में मदद करता है जो जुर्माने या प्रतिष्ठा को नुकसान पहुंचा सकती हैं।
डीपीओ आउटसोर्स की जिम्मेदारी कहाँ तक जाती है
यह महत्वपूर्ण है कि आउटसोर्सिंग संगठन की कानूनी जिम्मेदारियों से मुक्त नहीं करती है। मकसद यह है कि कंपनी अपने द्वारा एकत्रित और संसाधित डेटा की सुरक्षा सुनिश्चित करने की जिम्मेदारी निभाए, क्योंकि ब्राजीलियन कानून स्पष्ट रूप से कहता है कि घटनाओं की जिम्मेदारी केवल जिम्मेदार व्यक्ति पर नहीं बल्कि पूरे संस्थान पर होती है।
जो तीसरे पक्ष की सेवा प्रदान करता है, वह एक पेशेवर समर्थन प्रदान करता है, जो एलजीपीडी के साथ संगठन को बनाए रखने के लिए आवश्यक मार्गों को समझता है। बाहरी साझेदार को इस तरह के कार्य सौंपने का अभ्यास पहले ही अन्य देशों में अपनाया जा चुका है, जहां डेटा सुरक्षा जोखिम प्रबंधन और कॉर्पोरेट गवर्नेंस का एक महत्वपूर्ण बिंदु बन गई है। यूरोपीय संघ, उदाहरण के लिए, सामान्य डेटा संरक्षण नियम के साथ, कई कंपनियों से डेटा संरक्षण अधिकारी नामित करने की मांग करता है। वहाँ, विभिन्न कंपनियों ने विशेषज्ञ परामर्श सेवाओं की भर्ती के साथ सेवा का आउटसोर्सिंग करने का विकल्प चुना, जिससे यह लाया गया।विशेषज्ञताघर के अंदर, इसके लिए एक पूरी विभाग बनाने की आवश्यकता नहीं है।
आधिकारी, कानून के अनुसार, त्रुटियों की रिपोर्ट करने और सुधार प्रस्तावित करने के लिए स्वतंत्रता होनी चाहिए, और अंतरराष्ट्रीय दिशानिर्देशों का हिस्सा यह सुझाव देते हैं कि पेशेवर को आंतरिक दबावों से मुक्त होना चाहिए जो उसकी निरीक्षण क्षमता को सीमित करें। यह सेवाएं प्रदान करने वाली परामर्श कंपनियां ऐसे अनुबंध और कार्यप्रणालियां विकसित करती हैं जो इस प्रकार की स्वतंत्रता सुनिश्चित करती हैं, प्रबंधकों के साथ पारदर्शी संचार बनाए रखती हैं और स्पष्ट शासन मानदंड स्थापित करती हैं।
यह तंत्र कंपनी और स्वयं पेशेवर दोनों की रक्षा करता है, जिसे कमजोरियों का संकेत देने की स्वतंत्रता होनी चाहिए, भले ही यह किसी विशिष्ट क्षेत्र या विभाग में स्थापित प्रथाओं के खिलाफ हो।
एएनपीडी की निगरानी का कड़ा होना यह संकेत है कि सहनशीलता का माहौल बदलकर अधिक दृढ़ता वाली स्थिति में बदल रहा है, और जो लोग अभी इस समस्या से निपटने का विकल्प नहीं चुनेंगे, उन्हें भविष्य में अधिक गंभीर परिणामों का सामना करना पड़ सकता है।
जो कंपनियां एक अधिक सुरक्षित मार्ग चाहती हैं, उनके लिए आउटसोर्सिंग लागत, दक्षता और विश्वसनीयता का संतुलन बनाने का एक सक्षम विकल्प है। इस प्रकार की साझेदारी के साथ, आंतरिक वातावरण में खामियों को ठीक करना और एक अनुपालन की दिनचर्या बनाना संभव है जो कंपनी को न केवल दंड से बल्कि उन खतरों से भी सुरक्षा प्रदान करेगा जो व्यक्तिगत डेटा की पारदर्शिता और सुरक्षा की कमी से जुड़े हैं, जो उसकी जिम्मेदारी में हैं।
