Fuites de données : un problème qui coûte cher aux entreprises brésiliennes

Les données personnelles et d'entreprise sont l'un des actifs les plus précieux des entreprises en 2024, un scénario qui restera en 2025 C'est pourquoi la fuite de ces informations représente plus qu'un risque technique 50 millions d'incident de sécurité qui affecte profondément la santé financière et la réputation des marques En plus des dépenses potentielles avec les sanctions prévues dans la LGPD (Loi générale sur la protection des données), qui peut atteindre 21TP3 T de facturation ou R1TP4 T 50 millions d'amende pour infraction, les entreprises ciblées pour les fuites font face à des coûts cachés, souvent sous-estimés, avec la récupération des systèmes et des dommages immatériels à l'image extérieure et aux relations publiques.

Les entreprises brésiliennes perdent, en moyenne, 6,75 millions de R$ par violation de données, selon le rapport Cost of a Data Breach 2024, préparé et publié par IBM. Cependant, dans la pratique, cet impact est encore plus important, car les lacunes dans la protection des informations sensibles génèrent des pertes avec d'autres conséquences, en plus des conséquences juridiques, telles que l'évasion des clients qui migrent vers des concurrents dotés de politiques de sécurité plus solides, l'interruption des opérations, les investissements d'urgence dans les relations publiques et la cybersécurité pour atténuer la crise.

Selon l'avocat Marco Zorzi, spécialiste en Droit Numérique chez Andersen Ballao Advocacia, l'avancement de l'application de la LGPD et les dernières normes en matière de traitement des données nécessitent des ajustements du système de transparence et de prévention commence par l'identification des données à traiter dans la routine de l'entreprise (lesquelles informations sont impliquées, où elles sont stockées et avec lesquelles elles sont partagées. “Seulement avec les mesures de cartographie de ce flux il est possible de renforcer la prévention et d'agir immédiatement et efficacement face aux incidents de sécurité Et cela implique des efforts, surtout, des équipes juridiques et informatiques”, dit Zorzi.

Il convient de noter qu'outre l'amende et l'avertissement, le non-respect des lignes directrices LGPD peut entraîner la suspension pour une durée maximale de six mois des bases de données personnelles de l'entreprise, la publicité de l'infraction et l'interdiction de l'exercice d'activités de traitement de l'information, ce qui peut être total ou partiel.

Selon l'expert, la nouvelle réglementation de l'ANPD (Autorité Nationale de Protection des Données) sur le rôle du Responsable du traitement, la communication des incidents de sécurité et le transfert international de données élève le niveau de responsabilité des entreprises.

ATTAQUES DE PIRATES

L'urgence de reconnaître les risques et d'agir de manière préventive a été renforcée par la décision de la 3 e Classe de la Cour supérieure de justice (STJ), qui a tenu Eletropaulo pour responsable de fuite de données résultant d'une invasion de pirates.

Le tribunal a conclu que même en cas d'atteinte criminelle, l'obligation de protection des données incombant à l'entreprise demeure intacte La décision était fondée sur les articles 19 et 43 de la LGPD, qui déterminent l'adoption de mesures techniques et administratives appropriées pour sauvegarder les données.