Личные и корпоративные данные являются одним из самых ценных активов компаний в 2024 году, сценарий, который останется в 2025 году. Вот почему утечка этой информации представляет собой больше, чем технический риск – это инцидент безопасности, который глубоко сказывается на финансовом состоянии и репутации брендов. Кроме потенциальных расходов на санкции, предусмотренные в LGPD (Общий закон о защите данных), которые могут достигать 2% от выручки или 50 миллионов реалов штрафа за нарушение, компании, ставшие жертвами утечек, сталкиваются с скрытыми затратами, часто недооцененные, с восстановлением систем и нематериальных убытков для имиджа и отношений с внешней аудиторией
Бразильские компании теряют, в среднем, R$ 6,75 миллионов за нарушение данных, согласно отчету Стоимость утечки данных 2024, разработано и опубликовано IBM. Однако, на практике, это воздействие еще больше, поскольку уязвимости в защите конфиденциальной информации приводят к убыткам с другими последствиями, кроме законных, как уход клиентов, которые переходят к конкурентам с более надежными политиками безопасности, прекращение операций, экстренные инвестиции в связи с общественностью и кибербезопасность для смягчения кризиса
Согласно адвокату Марко Зорци, специалист по цифровому праву юридической фирмы Andersen Ballão Advocacia, продвижение применения LGPD и более новые нормы о обработке данных требуют адаптации к системе прозрачности и безопасности. Профилактика начинается с идентификации данных, которые будут обрабатываться в рутинной деятельности компании – какие сведения вовлечены, где они хранятся и с кем они делятся. Только с мерами по картированию этого потока возможно укрепить профилактику и действовать немедленно и эффективно в случае инцидентов безопасности. И это требует усилий, прежде всего, команды юридической и ИТ, утверждает Зорци
Стоит отметить, что помимо штрафа и предупреждения, Несоблюдение директив LGPD может привести к приостановке на срок до шести месяцев баз данных личной информации компании, реклама нарушения и запрет на осуществление деятельности по обработке информации, что может быть полным или частичным
Согласно специалисту, новые регламенты ANPD (Национального органа по защите данных) о роли Уполномоченного, сообщение о инцидентах безопасности и международная передача данных повышают стандарт корпоративной ответственности
ХАКЕРСКИЕ АТАКИ
Необходимость признания рисков и принятия превентивных мер была подтверждена решением 3-го состава Верховного суда юстиции (STJ), который возложил ответственность на Eletropaulo за утечку данных в результате хакерской атаки
Суд пришел к выводу, что, даже в случаях преступного нападения, обязанность компании защищать данные остается неизменной. Решение основывалось на статьях 19 и 43 Закона о защите персональных данных, которые определяют принятие соответствующих технических и административных мер для защиты данных
