Curenje podataka: problem koji skupo košta brazilska poduzeća

Osobni i poslovni podaci su jedan od najvrijednijih imovinâ tvrtki u 2024., a to će ostati i 2025. godine. Stoga curenje tih informacija predstavlja više od tehničkog rizika – to je sigurnosni incident koji duboko utječe na financijsko zdravlje i ugled tvrtki. Uz potencijalne troškove sankcija propisanih LGPD-om (Zakonom o općoj zaštiti podataka), koji mogu iznositi do 21% prihoda ili 50 milijuna R$ kazne za prekršaj, tvrtke žrtve curenja podataka suočavaju se s skrivenim troškovima, često podcijenjenim, uključujući obnovu sustava i nematerijalnim štetama pogledu imidža i odnosa s vanjskim partnerima.

Brazilske tvrtke prosječno gube 6,75 milijuna R$-a zbog kršenja podataka, prema izvješću "Trošak kršenja podataka 2024" koje je izradila i objavila tvrtka IBM. Međutim, u praksi taj utjecaj je još veći jer ugrožavanje zaštite osjetljivih informacija uzrokuje štete i osim pravnih posljedica, kao što su odljev kupaca koji se prebacuju na konkurente s robustnijim sigurnosnim politikama, prekid poslovanja, hitna ulaganja u odnose s javnošću i kibernetičku sigurnost kako bi se ublažila kriza.

Prema riječima odvjetnika Marca Zorzija, specijaliste za digitalno pravo u uredu Andersen Ballão Advocacia, napredak primjene LGPD-a i najnovijih propisa o obradi podataka zahtijeva prilagodbe u sistemima transparentnosti i sigurnosti. Prevencija počinje s identifikacijom podataka koji se obrađuju u redovnom poslovanju tvrtke – koje su informacije uključene, gdje su pohranjene i s kime su podijeljene. "Samo s mjerama za mapiranje ovog toka moguće je ojačati prevenciju i djelovati odmah i učinkovito u slučaju sigurnosnih incidenata. A to uključuje napore, prije svega, pravnih i IT timova", izjavio je Zorzi.

Važno je istaknuti da osim kazne i upozorenja, neispunjavanje smjernica LGPD-a može rezultirati suspenzijom osobnih banaka podataka tvrtke do šest mjeseci, oglašavanjem kršenja i zabranom obavljanja aktivnosti obrade informacija, što može biti potpuno ili djelomično.

Prema stručnjaku, novi propisi ANPD-a (Nacionalne agencije za zaštitu podataka) o ulozi ovlaštenog predstavnika, prijavi sigurnosnih incidenata i međunarodnom prijenosu podataka podižu razinu korporativne odgovornosti.

HACKERSKI NAPADI

Hitna potreba prepoznavanja rizika i preventivnog djelovanja naglašena je odlukom 3. odjela Vrhovnog suda pravde (STJ) koji je odgovornost za curenje podataka zbog hakiranja pripisao tvrtki Eletropaulo.

Sud je zaključio da, čak i u slučaju kriminalnog napada, obveza tvrtke da štiti podatke ostaje nepromijenjena. Odluka se temelji na člancima 19 i 43 ZOO-a, koji propisuju usvajanje odgovarajućih tehničkih i administrativnih mjera za zaštitu podataka.