Personliga och företagsdata är en av de mest värdefulla tillgångarna för företag år 2024, scenario som kommer att kvarstå 2025. Det är därför läckan av denna information representerar mer än en teknisk risk – det handlar om en säkerhetsincident som djupt påverkar de finansiella hälsan och ryktet för varumärkena. Utöver de potentiella kostnaderna för de sanktioner som föreskrivs i LGPD (Allmän dataskyddslag), som kan uppgå till 2% av omsättningen eller 50 miljoner R$ i böter per överträdelse, de företag som är mål för läckor står inför dolda kostnader, ofta underskattade, med återställande av system och immateriella skador på bilden och relationerna med den externa publiken
Brazilianska företag kan förlora, i genomsnitt, R$ 6,75 miljoner för dataintrång, enligt rapporten Kostnad för en dataintrång 2024, utvecklad och publicerad av IBM. Men, i praktiken, denna påverkan är ännu större, eftersom luckorna i skyddet av känslig information orsakar skador med andra konsekvenser, utöver de lagliga, som som kunder som migrerar till konkurrenter med mer robusta säkerhetspolicyer, avbrott av verksamheten, nödfinansiering med PR och cybersäkerhet för att mildra krisen
Enligt advokat Marco Zorzi, specialist inom digital rätt vid advokatbyrån Andersen Ballão Advocacia, framsteget i tillämpningen av LGPD och de senaste reglerna om databehandling kräver anpassningar till systematiken för transparens och säkerhet. Förebyggande arbete börjar med att identifiera de data som ska hanteras i företagets rutin – vilka uppgifter är involverade, var de lagras och med vem de delas. Endast med åtgärder för att kartlägga detta flöde är det möjligt att stärka förebyggandet och agera omedelbart och effektivt vid säkerhetsincidenter. Och det involverar ansträngningar, överallt, juridiska och IT-teamet, säger Zorzi
Det är värt att påpeka att förutom böter och varning, Överträdelse av riktlinjerna för LGPD kan resultera i en suspension på upp till sex månader av företagets personuppgiftsdatabaser, annonsering av överträdelsen och förbud mot utövande av aktiviteter för behandling av information, som kan vara total eller partiell
Enligt experten, de nya reglerna från ANPD (Nationella myndigheten för dataskydd) om rollen som dataskyddsombud, kommunikationen av säkerhetsincidenter och den internationella överföringen av data höjer standarden för företagsansvar
HACKERATACK
Brådskan att erkänna risker och agera förebyggande förstärktes av beslutet från den 3:e avdelningen av Högsta domstolen, som ansvariggjorde Eletropaulo för dataläckage till följd av en hackerattack
Domstolen drog slutsatsen att, även i fall av brottslig attack, företagets skyldighet att skydda uppgifterna förblir intakt. Beslutningen baserades på artiklarna 19 och 43 i LGPD, som bestämmer antagandet av lämpliga tekniska och administrativa åtgärder för att skydda uppgifterna
