Les données personnelles et d'entreprise sont l'un des actifs les plus précieux des entreprises en 2024, scénario qui restera en 2025. C'est pourquoi la fuite de ces informations représente plus qu'un risque technique – il s'agit d'un incident de sécurité qui a des répercussions profondes sur la santé financière et la réputation des marques. En plus des dépenses potentielles liées aux sanctions prévues par la LGPD (Loi Générale sur la Protection des Données), qui peuvent atteindre 2 % du chiffre d'affaires ou 50 millions de R$ d'amende par infraction, les entreprises ciblées par des fuites font face à des coûts cachés, souvent sous-estimés, avec la récupération des systèmes et des dommages intangibles à l'image et aux relations avec le public externe
Des entreprises brésiliennes en viennent à perdre, en moyenne, R$ 6,75 millions pour violation de données, selon le rapport Coût d'une violation de données 2024, élaboré et diffusé par IBM. Cependant, dans la pratique, cet impact est encore plus grand, car les failles dans la protection des informations sensibles entraînent des pertes avec d'autres conséquences, au-delà des légaux, comme l'évasion de clients qui migrent vers des concurrents avec des politiques de sécurité plus robustes, interruption des opérations, investissements d'urgence en relations publiques et cybersécurité pour atténuer la crise
Selon l'avocat Marco Zorzi, spécialiste en Droit Numérique du cabinet Andersen Ballão Avocats, l'avancement de l'application de la LGPD et les normes les plus récentes sur le traitement des données exigent des ajustements à la systématique de transparence et de sécurité. La prévention commence par l'identification des données à traiter dans la routine de l'entreprise – quelles informations sont impliquées, où elles sont stockées et avec qui elles sont partagées. Seulement avec des mesures pour cartographier ce flux, il est possible de renforcer la prévention et d'agir de manière immédiate et efficace face aux incidents de sécurité. Et cela implique des efforts, surtout, des équipes juridique et informatique, affirme Zorzi
Il convient de souligner qu'en plus de l'amende et de l'avertissement, le non-respect des directives de la LGPD peut entraîner une suspension allant jusqu'à six mois des bases de données personnelles de l'entreprise, publicité de l'infraction et interdiction de l'exercice d'activités de traitement des informations, qui peut être total ou partiel
Selon l'expert, les nouveaux règlements de l'ANPD (Autorité Nationale de Protection des Données) concernant le rôle du Délégué, la communication des incidents de sécurité et le transfert international de données élèvent le niveau de responsabilité des entreprises
ATTAQUES DE PIRATES INFORMATIQUES
L'urgence de reconnaître les risques et d'agir de manière préventive a été renforcée par la décision de la 3e chambre de la Cour suprême de justice (STJ), qui a rendu Eletropaulo responsable de la fuite de données résultant d'une invasion de hackers
Le tribunal a conclu que, même dans les cas d'attaque criminelle, l'obligation de l'entreprise de protéger les données reste intacte. La décision était fondée sur les articles 19 et 43 de la LGPD, qui déterminent l'adoption de mesures techniques et administratives appropriées pour protéger les données
