Los datos personales y corporativos son uno de los activos más valiosos de las empresas en 2024, escenario que permanecerá en 2025. Es por eso que la filtración de esta información representa más que un riesgo técnico – se trata de un incidente de seguridad que repercute profundamente en la salud financiera y reputación de las marcas. Además de los posibles gastos con las sanciones previstas en la LGPD (Ley General de Protección de Datos), que pueden llegar al 2% de la facturación o a 50 millones de reales de multa por infracción, las compañías objetivo de filtraciones enfrentan costos ocultos, a menudo subestimados, con la recuperación de sistemas y daños intangibles a la imagen y a las relaciones con el público externo
Empresas brasileñas llegan a perder, en promedio, R$ 6,75 millones por violación de datos, según el informe Cost of a Data Breach 2024, elaborado y divulgado por IBM. Sin embargo, en la práctica, este impacto es aún mayor, pues las brechas en la protección de información sensible generan perjuicios con otras consecuencias, además de las legales, como evasión de clientes que migran a competidores con políticas de seguridad más robustas, interrupción de las operaciones, inversiones de emergencia con relaciones públicas y ciberseguridad para mitigar la crisis
Según el abogado Marco Zorzi, especialista en Derecho Digital del despacho Andersen Ballão Abogacía, el avance de la aplicación de la LGPD y las normas más recientes sobre el tratamiento de datos exigen adecuaciones a la sistemática de transparencia y seguridad. La prevención comienza con la identificación de los datos a ser tratados en la rutina de la empresa – qué información está involucrada, dónde se almacenan y con quién se comparten. "Solo con las medidas para mapear este flujo es posible fortalecer la prevención y actuar de forma inmediata y eficiente ante incidentes de seguridad". Y eso implica esfuerzos, sobre todo, del equipo jurídico y de TI, afirma Zorzi
Cabe destacar que además de la multa y la advertencia, el incumplimiento de las directrices de la LGPD puede resultar en la suspensión de hasta seis meses de las bases de datos personales de la empresa, publicidad de la infracción y prohibición del ejercicio de actividades de tratamiento de la información, que puede ser total o parcial
Según el especialista, los nuevos reglamentos de la ANPD (Autoridad Nacional de Protección de Datos) sobre el papel del Encargado, la comunicación de incidentes de seguridad y la transferencia internacional de datos elevan el estándar de responsabilidad corporativa
ATAQUES DE HACKERS
La urgencia de reconocer riesgos y actuar de forma preventiva fue reforzada por la decisión de la 3ª Sala del Superior Tribunal de Justicia (STJ), que responsabilizó a Eletropaulo por la filtración de datos derivada de una invasión hacker
El tribunal concluyó que, incluso en casos de ataque criminal, la obligación de la empresa de proteger los datos permanece intacta. La decisión se basó en los artículos 19 y 43 de la LGPD, que determinan la adopción de medidas técnicas y administrativas adecuadas para salvaguardar los datos
