브라질에서 일반 데이터 보호법(LGPD)이 시행된 지 수년이 지났음에도 불구하고, 많은 기업들이 여전히 규정을 준수하지 않고 있습니다. LGPD는 2020년 9월에 시행된 법으로, 브라질 시민의 개인정보를 보호하기 위해 만들어졌으며, 기업이 이러한 정보를 수집, 저장 및 처리하는 방법에 대한 명확한 규칙을 정하고 있습니다. 그러나 시간이 흘렀음에도 불구하고 많은 기업들이 표준의 이행에 있어 거의 진전이 없었다.
최근 국가 데이터 보호 기관(ANPD)은 데이터 책임자(DPO)가 없는 기업에 대한 감시를 강화했습니다. DPO의 부재는 주요 위반 사항 중 하나이며, 이 전문가는 회사가 LGPD를 준수하는지 보장하는 데 필수적입니다. DPO는 회사, 데이터 소유자 및 ANPD 간의 중개자로서 데이터 보호 정책 준수를 모니터링하고 조직에 최선의 관행에 대해 안내할 책임이 있습니다.
이 데이터는 단지 빙산의 일각에 불과할 수 있습니다. 실제로, 아무도 아직 규정을 준수하지 않은 회사의 수를 모른다. LGPD에 가입하지 않은 모든 회사의 정확한 수치를 통합하는 공식적인 단일 조사 자료는 없습니다. 독립적인 연구에 따르면 일반적으로 브라질 기업의 약 60%에서 70% 사이, 특히 소규모 및 중간 규모 기업에서 차지하는 비율이 다를 수 있습니다. 대형의 경우, 그 비율은 더욱 높아져 80%에 이를 수 있습니다.
DPO가 없는 것이 왜 중요한가
2024년에는 브라질이 사이버 범죄자의 공격 수가 7억 건을 넘었을 가능성이 높습니다. 초당 거의 1,400건의 사기가 발생하는 것으로 추정되며, 물론 기업이 범죄자들의 주요 대상입니다. 랜섬웨어와 같은 범죄는 일반적으로 데이터가 "인질"이 되는 경우가 많으며, 온라인에 공개되지 않도록 하기 위해 기업들이 막대한 금전적 대가를 지불해야 하므로 흔한 일이 되었다. 그러나 시스템—피해자와 보험사—는 언제까지 이러한 대규모 공격을 견딜 것인가?
이 질문에 적절하게 답하는 것은 불가능하며, 더욱이 피해자들이 정보를 보호하기 위한 필요한 조치를 취하지 않을 때는 더욱 그렇습니다. 데이터 보호에 집중하는 전문가가 없거나, 어떤 경우에는 담당 책임자가 너무 많은 역할을 겸임하여 이 활동을 만족스럽게 수행하지 못할 때, 이 상황은 더욱 악화됩니다.
담당자를 지정하는 것만으로는 모든 적합성 문제를 해결하지 않지만, 회사가 LGPD에 부합하는 일련의 일관된 관행을 구축하는 데 전념하고 있음을 보여줍니다. 그러나 이러한 우선순위 부족은 제재 가능성뿐만 아니라 실제 보안 사고의 위험도 반영하며, 이는 상당한 손실을 초래할 것입니다. ANPD가 부과하는 벌금은 문제의 일부에 불과하며, 시장의 신뢰와 같은 무형의 손실은 훨씬 더 고통스러울 수 있습니다. 이러한 전망에서, 더 강도 높은 감시는 법률 준수 메커니즘을 강화하고 조직들이 개인정보 보호를 우선순위에 두도록 장려하는 데 필요한 조치로 간주됩니다.
DPO를 고용하거나 외주를 맡기시겠습니까?
전임 DPO를 고용하는 것은 어려운 일일 수 있는데, 항상 내부 자원을 이 수요에 할당하려는 수요나 관심이 있는 것은 아니기 때문입니다.
이와 같은 맥락에서, 아웃소싱은 효과적으로 법률을 준수하고자 하는 기업들이 다학제 팀을 유지할 자원이나 큰 구조를 갖추지 못한 경우 해결책으로 지목되고 있습니다. 전문 서비스 제공자를 이용할 경우, 회사는 다양한 시장 부문의 LGPD 요구 사항을 처리할 경험이 더 많은 전문가들의 접근 권한을 얻습니다. 또한, 외부 책임자가 있으면 회사는 데이터 보호를 일회성 문제가 아닌 전략에 통합된 것으로 간주하게 되며, 알림이 오거나 유출이 발생할 때만 주의를 기울이는 것이 아니라 지속적인 관심을 기울이게 됩니다.
이것은 채용, 교육 및 인재 유지에 막대한 투자가 필요하지 않으면서 견고한 프로세스 구축에 기여합니다. 데이터 책임자 아웃소싱은 단순히 외부 인물을 임명하는 것 이상입니다. 서비스 제공자는 지속적인 컨설팅을 제공하며, 위험 평가 및 분석 활동을 수행하고, 내부 정책 수립을 지원하며, 팀을 위한 교육을 실시하고, ANPD의 법률 및 규정 발전을 모니터링합니다.
또한, 실무 경험이 있는 팀을 보유하고 있다는 이점이 있어 학습 곡선을 줄이고 벌금이나 평판 손상을 초래할 수 있는 사고를 예방하는 데 도움이 됩니다.
외부 DPO의 책임은 어디까지인가
아웃소싱이 조직의 법적 책임을 면제하지 않는다는 점을 강조하는 것이 중요합니다. 회사는 수집하고 처리하는 데이터의 안전을 보장하겠다는 약속을 유지하는 것이 중요하며, 브라질 법률은 사고에 대한 책임이 담당자에게만 있는 것이 아니라 전체 기관에 있음을 명확히 하고 있습니다.
아웃소싱은 LGPD에 맞게 조직을 유지하는 데 필요한 경로를 이해하는 전문화된 지원을 제공하는 것입니다. 이러한 유형의 업무를 외부 파트너에게 위임하는 관행은 이미 다른 나라에서도 채택되고 있으며, 그곳에서는 데이터 보호가 위험 관리와 기업 거버넌스의 핵심 요소가 되었습니다. 유럽 연합은 예를 들어, 일반 데이터 보호 규정(GDPR)에 따라 많은 기업들이 데이터 보호 책임자를 지정하도록 요구하고 있습니다. 그곳에서는 여러 기업들이 전문 컨설팅 회사를 고용하여 서비스를 아웃소싱하는 방식을 선택하였으며, 이를 통해전문성집 안에서만 하면 되니까 별도의 부서를 만들 필요가 없다.
책임자는 법률에 따라 결함을 보고하고 개선책을 제안할 수 있는 자율성을 가져야 하며, 국제 지침의 일부는 전문가가 감찰 능력을 제한하는 내부 압력으로부터 자유로워야 한다고 제안합니다. 이 서비스를 제공하는 컨설팅 회사들은 이러한 독립성을 보장하는 계약서와 작업 방법론을 개발하며, 관리자들과 투명한 소통을 유지하고 명확한 거버넌스 기준을 설정합니다.
이 메커니즘은 회사와 전문가 모두를 보호하며, 전문가가 특정 산업이나 부서 내의 확립된 관행에 반하더라도 취약점을 지적할 자유를 가져야 합니다.
ANPD의 감시 강화는 관용의 시대가 더 단호한 태도로 바뀌고 있음을 보여주는 신호이며, 지금 이 문제를 다루지 않기로 선택한 사람은 멀지 않은 미래에 더 무거운 결과에 직면할 수 있습니다.
더 안전한 길을 원하는 기업들에게 아웃소싱은 비용, 효율성 및 신뢰성을 균형 있게 조절할 수 있는 선택입니다. 이러한 유형의 파트너십을 통해 내부 환경의 공백을 수정하고, 회사가 제재뿐만 아니라 투명성과 개인정보 보호와 관련된 위험으로부터 보호하는 준수 루틴을 구축할 수 있습니다.
