Los datos personales y corporativos son uno de los activos más valiosos de las empresas en 2024, un escenario que permanecerá en 2025. Por eso, la filtración de esta información representa más que un riesgo técnico: se trata de un incidente de seguridad que repercute profundamente en la salud financiera y la reputación de las marcas. Además de los posibles gastos con las sanciones previstas en la LGPD (Ley General de Protección de Datos), que pueden alcanzar el 2% de la facturación o R$ 50 millones de multa por infracción, las empresas afectadas por filtraciones enfrentan costos ocultos, a menudo subestimados, con la recuperación de sistemas y daños intangibles a la imagen y a las relaciones con el público externo.
Las empresas brasileñas llegan a perder, en promedio, R$ 6,75 millones por violación de datos, según el informe Cost of a Data Breach 2024, elaborado y divulgado por IBM. Sin embargo, en la práctica, ese impacto es aún mayor, ya que las brechas en la protección de información sensible generan pérdidas con otras consecuencias, además de las legales, como la pérdida de clientes que migran a la competencia con políticas de seguridad más robustas, interrupciones en las operaciones, inversiones de emergencia en relaciones públicas y ciberseguridad para mitigar la crisis.
Según el abogado Marco Zorzi, especialista en Derecho Digital del despacho Andersen Ballão Advocacia, el avance en la aplicación de la LGPD y las normas más recientes sobre el tratamiento de datos exigen adecuaciones a la sistemática de transparencia y seguridad. La prevención comienza con la identificación de los datos que se van a tratar en la rutina de la empresa, qué información está involucrada, dónde se almacena y con quién se comparte. "Solo con las medidas para mapear este flujo es posible fortalecer la prevención y actuar de manera inmediata y eficiente ante incidentes de seguridad. Y eso implica esfuerzos, sobre todo, de los equipos jurídico y de TI", afirma Zorzi.
Cabe señalar que, además de la multa y la advertencia, el incumplimiento de las directrices de la LGPD puede resultar en la suspensión de las bases de datos personales de la empresa hasta por seis meses, la publicidad de la infracción y la prohibición de realizar actividades de procesamiento de información, que puede ser total o parcial.
Según el experto, la nueva normativa de la ANPD (Autoridad Nacional de Protección de Datos) sobre el papel del Delegado de Protección de Datos, la comunicación de incidentes de seguridad y la transferencia internacional de datos elevan el estándar de responsabilidad corporativa.
ATAQUES DE HACKERS
La urgencia de reconocer los riesgos y actuar preventivamente fue reforzada por la decisión de la 3ª Sala del Superior Tribunal de Justicia (STJ), que responsabilizó a Eletropaulo por las filtraciones de datos resultantes de una invasión de hackers.
El tribunal concluyó que, incluso en casos de ataque criminal, la obligación de la empresa de proteger los datos permanece intacta. La decisión se basó en los artículos 19 y 43 de la LGPD, que determinan la adopción de medidas técnicas y administrativas adecuadas para salvaguardar los datos.
