I dati personali e aziendali sono uno degli attivi più preziosi delle aziende nel 2024, scenario che rimarrà nel 2025. È per questo che la fuga di queste informazioni rappresenta più di un rischio tecnico – si tratta di un incidente di sicurezza che ha un impatto profondo sulla salute finanziaria e sulla reputazione dei marchi. Oltre ai potenziali costi delle sanzioni previste dal GDPR (Regolamento Generale sulla Protezione dei Dati), che possono arrivare al 2% del fatturato o a 50 milioni di reais di multa per infrazione, le compagnie bersagliate da fughe affrontano costi nascosti, spesso sottovalutati, con il recupero dei sistemi e dei danni intangibili all'immagine e alle relazioni con il pubblico esterno
Le aziende brasiliane arrivano a perdere, in media, R$ 6,75 milioni per violazione dei dati, secondo il rapporto Cost of a Data Breach 2024, elaborato e divulgato dalla IBM. Tuttavia, nella pratica, questo impatto è ancora maggiore, poiché le falle nella protezione delle informazioni sensibili generano danni con altre conseguenze, oltre le legali, come evasione di clienti che migrano verso concorrenti con politiche di sicurezza più robuste, interruzione delle operazioni, investimenti emergenziali con relazioni pubbliche e cybersicurezza per mitigare la crisi
Secondo l'avvocato Marco Zorzi, specialista in Diritto Digitale dello studio legale Andersen Ballão Advocacia, l'avanzamento dell'applicazione della LGPD e le norme più recenti sul trattamento dei dati richiedono adeguamenti alla sistematica di trasparenza e sicurezza. La prevenzione inizia con l'identificazione dei dati da trattare nella routine dell'azienda – quali informazioni sono coinvolte, dove sono archiviate e con chi sono condivise. Solo con le misure per mappare questo flusso è possibile rafforzare la prevenzione e agire in modo immediato ed efficiente di fronte a incidenti di sicurezza. E questo comporta sforzi, soprattutto, del team legale e IT, afferma Zorzi
È importante sottolineare che oltre alla multa e all'avvertimento, il mancato rispetto delle linee guida del GDPR può comportare la sospensione fino a sei mesi dei database personali dell'azienda, pubblicità dell'infrazione e divieto di esercizio delle attività di trattamento delle informazioni, che può essere totale o parziale
Secondo lo specialista, i nuovi regolamenti dell'ANPD (Autorità Nazionale per la Protezione dei Dati) sul ruolo del Responsabile, la comunicazione degli incidenti di sicurezza e il trasferimento internazionale di dati elevano lo standard di responsabilità aziendale
ATTACCHI HACKER
L'urgenza di riconoscere i rischi e agire in modo preventivo è stata rafforzata dalla decisione della 3ª Sezione della Corte Suprema di Giustizia (STJ), che ha responsabilizzato Eletropaulo per la fuga di dati a seguito di un'invasione hacker
Il tribunale ha concluso che, anche in caso di attacco criminale, l'obbligo dell'azienda di proteggere i dati rimane intatto. La decision si è basata sugli articoli 19 e 43 della LGPD, che determinano l'adozione di misure tecniche e amministrative adeguate per proteggere i dati