Personlige og virksomhedsmæssige data er en af de mest værdifulde aktiver for virksomheder i 2024, scenarie der vil forblive i 2025. Det er derfor, at lækagen af disse oplysninger repræsenterer mere end en teknisk risiko – det drejer sig om en sikkerhedshændelse, der har dybe konsekvenser for de finansielle forhold og omdømmet for mærkerne. Udo de de potentielle omkostninger ved sanktionerne i henhold til LGPD (Generel Lov om Databeskyttelse), der kan nå op på 2% af omsætningen eller R$ 50 millioner i bøde for overtrædelse, de virksomheder, der er mål for lækager, står over for skjulte omkostninger, ofte undervurderet, med genopretning af systemer og immaterielle skader på billedet og forholdet til det eksterne publikum
Brasilianske virksomheder ender med at tabe, i gennemsnit, R$ 6,75 millioner for databrud, ifølge rapporten Cost of a Data Breach 2024, udviklet og offentliggjort af IBM. Men, i praksis, denne indvirkning er endnu større, for da huller i beskyttelsen af følsomme oplysninger medfører tab med andre konsekvenser, udover de lovlige, som som afgang af kunder der migrerer til konkurrenter med mere robuste sikkerhedspolitikker, afbrydelse af driften, nødsinvesteringer med offentlige relationer og cybersikkerhed for at afbøde krisen
Ifølge advokat Marco Zorzi, specialist i Digital Ret i firmaet Andersen Ballão Advokater, fremskridtet i anvendelsen af LGPD og de nyeste regler om databehandling kræver tilpasninger til systematikken for gennemsigtighed og sikkerhed. Forebyggelse begynder med identifikationen af de data, der skal behandles i virksomhedens rutine – hvilke oplysninger er involveret, hvor de opbevares, og med hvem de deles. Kun med foranstaltningerne til at kortlægge denne strøm er det muligt at styrke forebyggelsen og handle straks og effektivt i tilfælde af sikkerhedshændelser. Og det involverer bestræbelser, især, det juridiske og IT-teams, siger Zorzi
Det er værd at bemærke, at udover bøden og advarslen, Overtrædelse af retningslinjerne i LGPD kan resultere i suspension af virksomhedens persondatabaser i op til seks måneder, offentliggørelse af overtrædelsen og forbud mod udøvelse af aktiviteter til behandling af oplysninger, som kan være total eller delvis
Ifølge specialisten, de nye regler fra ANPD (Den Nationale Myndighed for Databeskyttelse) om rollen som Data Protection Officer, kommunikationen af sikkerhedshændelser og den internationale overførsel af data hæver standarden for virksomhedens ansvarlighed
HACKERANgreb
Urgensen af at anerkende risici og handle forebyggende blev forstærket af beslutningen fra 3. afdeling af Højesteret, som ansvarliggjorde Eletropaulo for datalækage som følge af hackerangreb
Retten konkluderede, at, selv om det er tilfælde af kriminel angreb, virksomhedens forpligtelse til at beskytte dataene forbliver intakt. Beslutningen var baseret på artiklerne 19 og 43 i LGPD, der bestemmer vedtagelsen af passende tekniske og administrative foranstaltninger for at beskytte dataene
