Henkilökohtaiset ja yritystiedot ovat yksi arvokkaimmista yritysten varoista vuonna 2024, ja tämä tilanne jatkuu myös vuonna 2025. Siksi näiden tietojen vuotaminen merkitsee enemmän kuin teknisen riskin – kyseessä on tietoturvaloukkauksen, joka vaikuttaa syvästi brändien taloudelliseen terveyteen ja maineeseen. Lisäksi LGPD:n (Yleinen tietosuojalaki) sanktioihin liittyvät mahdolliset kulut, jotka voivat nousta jopa 2 %:iin liikevaihdosta tai 50 miljoonaan R$:n sakkoon jokaisesta rikkomuksesta, yritykset, jotka ovat alttiina vuodoille, kohtaavat piileviä kustannuksia, joita usein aliarvioidaan, kuten järjestelmien palauttaminen ja aineettomat vahingot maineelle ja suhteille ulkoiseen yleisöön.
Brasiliaiset yritykset menettävät keskimäärin 6,75 miljoonaa R$ tietovuodon vuoksi, kertoo IBM:n laatima ja julkaisema Cost of a Data Breach 2024 -raportti. Käytännössä tämä vaikutus on vielä suurempi, sillä arkaluonteisten tietojen suojauksen aukot aiheuttavat muita seurauksia lainsäädännön lisäksi, kuten asiakkaiden menetyksen kilpailijoille, joilla on vahvemmat tietoturvakäytännöt, toimintojen keskeytyksen, hätäinvestoinnit suhteiden hoitamiseen ja kyberturvallisuuteen kriisin lievittämiseksi.
Lakimiehen Marco Zorzin, Andersen Ballão Advocacia -toimiston digitaalisen oikeuden asiantuntijan, mukaan LGPD:n soveltamisen edistyminen ja viimeisimmät tietojen käsittelyä koskevat säännökset vaativat sopeutuksia läpinäkyvyyden ja turvallisuuden järjestelmään. Ennaltaehkäisy alkaa siitä, että tunnistetaan yrityksen rutiinissa käsiteltävät tiedot – mitkä tiedot ovat kyseessä, missä ne säilytetään ja kenen kanssa niitä jaetaan. Vain näiden toimenpiteiden avulla, joilla kartoitetaan tämä virta, on mahdollista vahvistaa ennaltaehkäisyä ja toimia välittömästi ja tehokkaasti turvallisuusuhkien kohdalla. Ja tähän liittyy ennen kaikkea oikeudellisten ja IT-tiimien ponnisteluja, toteaa Zorzi.
On tärkeää huomata, että rangaistuksen ja varoituksen lisäksi LGPD:n ohjeiden noudattamatta jättäminen voi johtaa yrityksen henkilötietokantojen pysyvään tai enintään kuuden kuukauden kestävään keskeyttämiseen, rikkomuksen julkistamiseen ja tietojen käsittelytoimintojen harjoittamisen kieltämiseen, joka voi olla kokonais- tai osittaisluonteista.
Asiantuntijan mukaan ANPD:n (Tietosuojaviranomainen) uudet säädökset vastuuhenkilön roolista, tietoturvaloukkauksista ilmoittamisesta ja kansainvälisestä tietojen siirrosta nostavat yritysvastuun tasoa.
HACKERHYÖKKÄYKSET
Tarve tunnistaa riskit ja toimia ennaltaehkäisevästi korostui korkeimman oikeuden (STJ) kolmannen jaoston päätöksellä, joka asetti Eletropaulon vastuuseen hakkerihyökkäyksestä johtuneesta tietovuodosta.
Tuomioistuin katsoi, että jopa rikollisen hyökkäyksen tapauksessa yrityksen velvollisuus suojata tietoja pysyy voimassa. Päätös perustui LGPD:n artikloihin 19 ja 43, jotka edellyttävät asianmukaisten teknisten ja hallinnollisten toimenpiteiden toteuttamista tietojen suojaamiseksi.
