Les données personnelles et professionnelles sont l'un des actifs les plus précieux des entreprises en 2024, un scénario qui perdurera en 2025. C'est pourquoi la fuite de ces informations représente plus qu'un simple risque technique – il s'agit d'un incident de sécurité qui a des répercussions profondes sur la santé financière et la réputation des marques. Além dos custos potenciais com as sanções previstas na LGPD (Lei Geral de Proteção de Dados), que podem chegar a 2% do faturamento ou R$ 50 milhões de multa por infração, as empresas alvo de vazamentos enfrentam custos ocultos, muitas vezes subestimados, com a recuperação de sistemas e danos intangíveis à imagem e às relações com o público externo.
Les entreprises brésiliennes perdent en moyenne 6,75 millions de R$ en raison de violations de données, selon le rapport Coût d'une violation de données 2024, élaboré et publié par IBM. Cependant, en pratique, cet impact est encore plus grand, car les lacunes dans la protection des informations sensibles entraînent des préjudices avec d'autres conséquences, au-delà des aspects juridiques, comme la perte de clients qui migrent vers des concurrents avec des politiques de sécurité plus robustes, l'interruption des opérations, des investissements d'urgence en relations publiques et en cybersécurité pour atténuer la crise.
Selon l'avocat Marco Zorzi, spécialiste en Droit Numérique du cabinet Andersen Ballão Advocacia, l'avancement de l'application de la LGPD et les normes les plus récentes sur le traitement des données exigent des ajustements dans la systématique de transparence et de sécurité. La prévention commence par l'identification des données à traiter dans la routine de l'entreprise – quelles informations sont impliquées, où elles sont stockées et avec qui elles sont partagées. « Seules les mesures pour cartographier ce flux permettent de renforcer la prévention et d'agir de manière immédiate et efficace face aux incidents de sécurité. Et cela implique des efforts, surtout, des équipes juridique et informatique », affirme Zorzi.
Il convient de noter qu'en plus de l'amende et de l'avertissement, le non-respect des directives LGPD peut entraîner la suspension des bases de données personnelles de l'entreprise jusqu'à six mois, la publicité de la violation et l'interdiction d'effectuer des activités de traitement d'informations, qui peuvent être totales ou partielles.
Selon l'expert, les nouvelles réglementations de l'ANPD (Autorité nationale de protection des données) sur le rôle du délégué à la protection des données, la communication des incidents de sécurité et le transfert international de données élèvent le niveau de responsabilité des entreprises.
ATTAQUES DE PIRATES INFORMATIQUES
L'urgence de reconnaître les risques et d'agir de manière préventive a été renforcée par la décision du 3e Panel de la Cour supérieure de justice (STJ), qui a tenu Eletropaulo responsable des fuites de données résultant d'une invasion de pirates informatiques.
Le tribunal a conclu que, même en cas d'attaque criminelle, l'obligation de l'entreprise de protéger les données demeure intacte. La décision s'est basée sur les articles 19 et 43 de la LGPD, qui prévoient la mise en place de mesures techniques et administratives appropriées pour protéger les données.
