Persoonlijke en bedrijfsgegevens zijn een van de meest waardevolle activa van bedrijven in 2024, scenario dat in 2025 zal blijven. Het is daarom dat de lek van deze informatie meer dan een technisch risico vertegenwoordigt – het betreft een beveiligingsincident dat diepgaande gevolgen heeft voor de financiële gezondheid en reputatie van de merken. Naast de potentiële kosten van de sancties voorzien in de AVG (Algemene Verordening Gegevensbescherming), die kunnen oplopen tot 2% van de omzet of R$ 50 miljoen boete per overtreding, doelbedrijven van lekken staan voor verborgen kosten, vaak onderschat, met de herstel van systemen en immateriële schade aan het imago en de relaties met het externe publiek
Braziliaanse bedrijven verliezen soms, gemiddeld, R$ 6,75 miljoen voor datalek, volgens het rapport Kosten van een Datalek 2024, opgesteld en gepubliceerd door IBM. Echter, in de praktijk, dit impact is nog groter, want de hiaten in de bescherming van gevoelige informatie veroorzaken schade met andere gevolgen, naast de wettelijke, zoals klantafvloeiing die migreert naar concurrenten met robuustere beveiligingsbeleid, onderbreking van de operaties, noodinvesteringen met public relations en cyberbeveiliging om de crisis te verlichten
Volgens advocaat Marco Zorzi, specialist in Digital Law at the law firm Andersen Ballão Advocacia, de voortgang van de toepassing van de LGPD en de meest recente normen voor gegevensverwerking vereisen aanpassingen aan de systematiek van transparantie en veiligheid. Preventie begint met de identificatie van de gegevens die in de bedrijfsroutine moeten worden verwerkt – welke informatie is betrokken, waar ze worden opgeslagen en met wie ze worden gedeeld. Alleen met de maatregelen om deze stroom in kaart te brengen, is het mogelijk om de preventie te versterken en onmiddellijk en efficiënt te handelen bij veiligheidsincidenten. En dat omvat inspanningen, bovenal, de juridische en IT-teams, zegt Zorzi
Het is belangrijk op te merken dat naast de boete en waarschuwing, het niet-naleven van de richtlijnen van de LGPD kan leiden tot een schorsing van maximaal zes maanden van de persoonlijke databanken van het bedrijf, publiciteit van de overtreding en verbod op de uitoefening van activiteiten voor de verwerking van informatie, dat kan totaal of gedeeltelijk zijn
Volgens de specialist, de nieuwe regelgeving van de ANPD (Nationale Autoriteit voor Gegevensbescherming) over de rol van de Functionaris voor Gegevensbescherming, de communicatie van beveiligingsincidenten en de internationale overdracht van gegevens verhogen de standaard voor corporate verantwoordelijkheid
HACKER AANVALLEN
De urgentie om risico's te erkennen en preventief te handelen werd versterkt door de beslissing van de 3e Kamer van het Hoogste Gerechtshof, die Eletropaulo verantwoordelijk stelde voor datalekken als gevolg van een hackersinbraak
De rechtbank concludeerde dat, zelfs in gevallen van criminele aanval, de verplichting van het bedrijf om de gegevens te beschermen blijft intact. De beslissing was gebaseerd op de artikelen 19 en 43 van de LGPD, die de aanneming van passende technische en administratieve maatregelen bepalen om de gegevens te beschermen
