Datalækager: et problem, der koster brasilianske virksomheder dyrt

Personlige og virksomhedsdata er en af de mest værdifulde aktiver i virksomheder i 2024, et scenarie, der vil forblive i 2025. Det er grunden til lækage af disse oplysninger repræsenterer mere end en teknisk risiko 50 millioner sikkerhedshændelse, der dybt påvirker den finansielle sundhed og omdømme af mærker. Ud over de potentielle udgifter med de sanktioner, der er fastsat i LGPD (General Data Protection Law), som kan nå 2% af fakturering eller R$ 50 millioner bøde for overtrædelse, står virksomheder, der er målrettet for lækager, over for skjulte omkostninger, ofte undervurderet, med inddrivelse af systemer og immaterielle skader på det eksterne image og public relations.

Brasilianske virksomheder mister i gennemsnit R$ 6,75 millioner pr. databrud, ifølge rapporten Cost of a Data Breach 2024, udarbejdet og udgivet af IBM. Men i praksis er denne påvirkning endnu større, da hullerne i beskyttelsen af følsomme oplysninger genererer tab med andre konsekvenser, ud over juridiske, såsom unddragelse af kunder, der migrerer til konkurrenter med mere robuste sikkerhedspolitikker, afbrydelse af driften, nødinvesteringer med public relations og cybersikkerhed for at afbøde krisen.

Ifølge advokat Marco Zorzi, specialist i Digital Law hos Andersen Ballao Advocacia, fremskridtene i anvendelsen af LGPD og de nyeste standarder for databehandling kræver justeringer af systemet for gennemsigtighed og sikkerhed. Forebyggelse begynder med identifikation af de data, der skal behandles i virksomhedens rutine (hvilke oplysninger er involveret, hvor de opbevares, og med hvem de deles. “Kun med foranstaltningerne til at kortlægge dette flow er det muligt at styrke forebyggelsen og handle øjeblikkeligt og effektivt i lyset af sikkerhedshændelser. Og det indebærer en indsats, især de juridiske og it-teams”, siger Zorzi.

Det er værd at bemærke, at ud over bøden og advarslen kan manglende overholdelse af LGPD-retningslinjerne resultere i suspension i op til seks måneder af virksomhedens personlige databaser, annoncering for krænkelsen og forbud mod udøvelse af informationsbehandlingsaktiviteter, som kan være helt eller delvist.

Ifølge eksperten hæver de nye regler fra ANPD (National Data Protection Authority) om den dataansvarliges rolle, kommunikation af sikkerhedshændelser og international overførsel af data standarden for virksomhedsansvar.

HACKERANGREB

Det haster med at anerkende risici og handle på en forebyggende måde blev forstærket af afgørelsen fra 3. klasse af Superior Court of Justice (STJ), som holdt Eletropaulo ansvarlig for datalækage som følge af en hackerinvasion.

Retten konkluderede, at selv i tilfælde af kriminelt angreb forbliver virksomhedens forpligtelse til at beskytte data intakt. Beslutningen var baseret på artikel 19 og 43 i LGPD, som bestemmer vedtagelsen af passende tekniske og administrative foranstaltninger til at beskytte dataene.