Persönliche und unternehmensbezogene Daten sind im Jahr 2024 eine der wertvollsten Vermögenswerte der Unternehmen, ein Szenario, das auch 2025 bestehen bleiben wird. Deshalb stellt das Leaken dieser Informationen mehr als nur ein technisches Risiko dar – es ist ein Sicherheitsvorfall, der tiefgreifend die finanzielle Gesundheit und den Ruf der Marken beeinflusst. Neben den potenziellen Kosten im Zusammenhang mit den im LGPD (Allgemeines Datenschutzgesetz) vorgesehenen Sanktionen, die bis zu 2 % des Umsatzes oder 50 Millionen R$ Strafe pro Verstoß betragen können, stehen die von Datenlecks betroffenen Unternehmen vor versteckten, oft unterschätzten Kosten für die Wiederherstellung von Systemen und immaterielle Schäden am Image und an den Beziehungen zum externen Publikum.
Brasilianische Unternehmen verlieren durchschnittlich 6,75 Millionen R$ durch Datenverletzungen, laut dem Bericht Cost of a Data Breach 2024, der von IBM erstellt und veröffentlicht wurde. Doch in der Praxis ist diese Auswirkung noch größer, da Lücken beim Schutz sensibler Informationen Verluste mit anderen Konsequenzen verursachen, neben den rechtlichen, wie Kundenabwanderung zu Wettbewerbern mit robusteren Sicherheitsrichtlinien, Betriebsunterbrechungen, Notfallinvestitionen in Öffentlichkeitsarbeit und Cybersicherheit zur Bewältigung der Krise.
Laut dem Anwalt Marco Zorzi, Spezialist für Digitalrecht bei der Kanzlei Andersen Ballão Advocacia, erfordern die Fortschritte bei der Anwendung der LGPD und die neuesten Vorschriften zum Datenschutz Anpassungen an die Transparenz- und Sicherheitsmechanismen. Die Prävention beginnt mit der Identifizierung der Daten, die im Unternehmensalltag verarbeitet werden sollen – welche Informationen sind beteiligt, wo werden sie gespeichert und mit wem werden sie geteilt. „Nur mit den Maßnahmen zur Kartierung dieses Flusses ist es möglich, die Prävention zu stärken und im Falle von Sicherheitsvorfällen sofort und effizient zu handeln. Und das erfordert vor allem Anstrengungen der Rechts- und IT-Teams“, sagt Zorzi.
Es ist zu beachten, dass die Nichteinhaltung der LGPD-Richtlinien neben der Geldstrafe und Verwarnung auch zu einer Sperrung der personenbezogenen Datenbanken des Unternehmens für bis zu sechs Monate, einer Veröffentlichung des Verstoßes und einem vollständigen oder teilweisen Verbot der Durchführung von Informationsverarbeitungsaktivitäten führen kann.
Die neuen Regelungen der ANPD (Nationale Datenschutzbehörde) zur Rolle des Datenschutzbeauftragten, zur Kommunikation von Sicherheitsvorfällen und zum internationalen Datentransfer erhöhen laut dem Experten den Standard der Unternehmensverantwortung.
Hackerangriffe
Die Dringlichkeit, Risiken zu erkennen und präventiv zu handeln, wurde durch die Entscheidung des 3. Gremiums des Obersten Gerichtshofs (STJ) unterstrichen, das Eletropaulo für Datenlecks infolge eines Hackerangriffs verantwortlich machte.
Das Gericht stellte fest, dass selbst bei einem kriminellen Angriff die Verpflichtung des Unternehmens, die Daten zu schützen, bestehen bleibt. Die Entscheidung basierte auf den Artikeln 19 und 43 des LGPD, die die Umsetzung geeigneter technischer und administrativer Maßnahmen zum Schutz der Daten vorschreiben.
