Fugas de datos: un problema que cuesta caro a las empresas brasileñas

Los datos personales y corporativos son uno de los activos más valiosos de las empresas en 2024, escenario que se mantendrá en 2025. Por eso, la filtración de esta información representa más que un riesgo técnico; se trata de un incidente de seguridad que repercute profundamente en la salud financiera y la reputación de las marcas. Además de los posibles gastos por las sanciones previstas en la LGPD (Ley General de Protección de Datos), que pueden alcanzar el 21% del volumen de facturación o R$1.4T de multa por infracción, las compañías afectadas por filtraciones enfrentan costos ocultos, muchas veces subestimados, con la recuperación de sistemas y daños intangibles a la imagen y las relaciones con el público externo.

Las empresas brasileñas llegan a perder, en promedio, R$ 6,75 millones por violación de datos, según el informe Cost of a Data Breach 2024, elaborado y publicado por IBM. Sin embargo, en la práctica, este impacto es aún mayor, ya que las brechas en la protección de información sensible generan pérdidas con otras consecuencias, además de las legales, como la fuga de clientes que migran a competidores con políticas de seguridad más robustas, la interrupción de las operaciones, inversiones de emergencia en relaciones públicas y ciberseguridad para mitigar la crisis.

Según el abogado Marco Zorzi, especialista en Derecho Digital del bufete Andersen Ballão Advocacia, el avance en la aplicación de la LGPD y las normas más recientes sobre el tratamiento de datos exige adaptaciones a la sistemática de transparencia y seguridad. La prevención comienza con la identificación de los datos que se tratarán en la rutina de la empresa: qué información está involucrada, dónde se almacena y con quién se comparte. “Sólo con las medidas para mapear este flujo es posible fortalecer la prevención y actuar de forma inmediata y eficiente ante incidentes de seguridad. Y esto implica esfuerzos, sobre todo, de los equipos jurídicos y de TI”, afirma Zorzi.

Cabe destacar que, además de la multa y la advertencia, el incumplimiento de las directrices de la LGPD puede resultar en la suspensión por hasta seis meses de las bases de datos personales de la empresa, la publicidad de la infracción y la prohibición del ejercicio de actividades de tratamiento de la información, que puede ser total o parcial.

Según el especialista, los nuevos reglamentos de la ANPD (Autoridad Nacional de Protección de Datos) sobre el papel del Encargado, la comunicación de incidentes de seguridad y la transferencia internacional de datos elevan el estándar de responsabilidad corporativa.

ATAQUES HACKERS becomes ATAQUES DE HACKERS

La urgencia de reconocer los riesgos y actuar de forma preventiva se vio reforzada por la decisión de la 3ª Sala de la Corte Suprema de Justicia (STJ), que responsabilizó a Eletropaulo por la fuga de datos derivada de una intrusión cibernética.

El tribunal concluyó que, incluso en casos de ataque criminal, la obligación de la empresa de proteger los datos permanece intacta. La decisión se basó en los artículos 19 y 43 de la LGPD, que determinan la adopción de medidas técnicas y administrativas adecuadas para salvaguardar los datos.