البيانات الشخصية والمؤسسية هي واحدة من الأصول الأكثر قيمة للشركات في عام 2024، وهو سيناريو سيستمر في عام 2025. لهذا السبب فإن تسريب هذه المعلومات يمثل أكثر من مجرد خطر تقني - إنه حادث أمني يؤثر بشكل عميق على الصحة المالية وسمعة العلامات التجارية. بالإضافة إلى التكاليف المحتملة للعقوبات المنصوص عليها في قانون حماية البيانات العامة (LGPD)، والتي قد تصل إلى 2٪ من الإيرادات أو غرامة قدرها 50 مليون ريال برازيلي عن كل مخالفة، تواجه الشركات التي تتعرض لانتهاكات تكاليف خفية، غالبًا ما تُقدّر بأقل من قيمتها الحقيقية، تتعلق باستعادة الأنظمة والأضرار غير الملموسة على الصورة والعلاقات مع الجمهور الخارجي.
تخسر الشركات البرازيلية في المتوسط 6.75 مليون ريال بسبب انتهاكات البيانات، وفقًا لتقرير تكلفة خرق البيانات لعام 2024، الذي أعدته ونشرته شركة IBM. ومع ذلك، في الممارسة العملية، يكون التأثير أكبر، حيث أن الثغرات في حماية المعلومات الحساسة تتسبب في خسائر مع عواقب أخرى، بالإضافة إلى القانونية، مثل هروب العملاء الذين ينتقلون إلى المنافسين بسياسات أمان أكثر قوة، توقف العمليات، استثمارات طارئة في العلاقات العامة والأمن السيبراني للتخفيف من الأزمة.
وفقًا للمحامي ماركو زورزي، المختص في القانون الرقمي بمكتب أندرسن بالوان للمحاماة، فإن تقدم تطبيق اللائحة العامة لحماية البيانات (LGPD) وأحدث اللوائح المتعلقة بمعالجة البيانات يتطلب تعديلات على نظام الشفافية والأمان. يبدأ الوقاية بتحديد البيانات التي سيتم معالجتها في روتين الشركة - ما هي المعلومات المعنية، أين يتم تخزينها ومع من يتم مشاركتها. "فقط من خلال التدابير لرسم خريطة لهذا التدفق يمكن تعزيز الوقاية والتصرف بشكل فوري وفعال أمام حوادث الأمان. وهذا يتطلب جهودًا، خاصة، من فرق القانون وتقنية المعلومات"، يقول زورزي.
ومن الجدير بالذكر أنه بالإضافة إلى الغرامة والإنذار، فإن عدم الامتثال لإرشادات LGPD قد يؤدي إلى تعليق قواعد البيانات الشخصية للشركة لمدة تصل إلى ستة أشهر، والدعاية للانتهاك وحظر القيام بأنشطة معالجة المعلومات، والتي قد تكون كليًا أو جزئيًا.
وبحسب الخبير فإن اللوائح الجديدة للهيئة الوطنية لحماية البيانات بشأن دور مسؤول حماية البيانات، وإبلاغ الحوادث الأمنية، والنقل الدولي للبيانات، ترفع من مستوى المسؤولية المؤسسية.
هجمات القراصنة
وقد تم تعزيز ضرورة الاعتراف بالمخاطر والتصرف بشكل وقائي من خلال قرار اللجنة الثالثة للمحكمة العليا للعدل، والتي حملت شركة Eletropaulo المسؤولية عن تسريب البيانات الناتج عن غزو القراصنة.
خلصت المحكمة إلى أنه حتى في حالات الهجوم الإجرامي، تظل مسؤولية الشركة في حماية البيانات قائمة. استند القرار إلى المادتين 19 و43 من قانون حماية البيانات الشخصية، اللتين تفرضان اتخاذ تدابير تقنية وإدارية مناسبة لحماية البيانات.
