Kebocoran data: Masalah yang Merugikan Perusahaan Brasil Secara Finansial

Data pribadi dan perusahaan adalah salah satu aset perusahaan yang paling berharga di tahun 2024, sebuah skenario yang akan tetap ada di tahun 2025. Itulah sebabnya kebocoran informasi ini mewakili lebih dari risiko teknis 50 juta insiden keamanan yang sangat mempengaruhi kesehatan keuangan dan reputasi merek. Selain potensi pengeluaran dengan sanksi yang diatur dalam LGPD (UU Perlindungan Data Umum), yang dapat mencapai 2% dari tagihan atau denda R$ 50 juta untuk pelanggaran, perusahaan yang ditargetkan untuk kebocoran menghadapi biaya tersembunyi, sering diremehkan, dengan pemulihan sistem dan kerusakan tidak berwujud pada citra eksternal dan hubungan masyarakat.

Perusahaan Brasil kehilangan, rata-rata, R$ 6,75 juta per pelanggaran data, menurut laporan Cost of a Data Breach 2024, yang disiapkan dan dirilis oleh IBM. Namun, dalam praktiknya, dampak ini bahkan lebih besar, karena kesenjangan dalam perlindungan informasi sensitif menghasilkan kerugian dengan konsekuensi lain, selain yang legal, seperti penghindaran pelanggan yang bermigrasi ke pesaing dengan kebijakan keamanan yang lebih kuat, gangguan operasi, investasi darurat dengan hubungan masyarakat dan keamanan siber untuk memitigasi krisis.

Menurut pengacara Marco Zorzi, spesialis Hukum Digital di Andersen Ballao Advocacia, kemajuan penerapan LGPD dan standar terbaru tentang pemrosesan data memerlukan penyesuaian pada sistem transparansi dan keamanan. Pencegahan dimulai dengan identifikasi data yang akan ditangani dalam rutinitas perusahaan (informasi mana yang terlibat, di mana informasi itu disimpan dan dengan siapa informasi itu dibagikan. “Hanya dengan langkah-langkah untuk memetakan aliran ini adalah mungkin untuk memperkuat pencegahan dan bertindak segera dan efisien dalam menghadapi insiden keamanan. Dan ini melibatkan upaya, terutama, tim hukum dan TI”, kata Zorzi.

Perlu dicatat bahwa selain denda dan peringatan, ketidakpatuhan terhadap pedoman LGPD dapat mengakibatkan penangguhan hingga enam bulan database pribadi perusahaan, iklan pelanggaran dan larangan pelaksanaan kegiatan pemrosesan informasi, yang mana mungkin total atau sebagian.

Menurut pakar tersebut, peraturan baru ANPD (Otoritas Perlindungan Data Nasional) tentang peran Pengontrol Data, komunikasi insiden keamanan, dan transfer data internasional meningkatkan standar tanggung jawab perusahaan.

SERANGAN HACKER

Urgensi untuk mengenali risiko dan bertindak secara preventif diperkuat oleh keputusan Pengadilan Tinggi (STJ) Kelas 3, yang menganggap Eletropaulo bertanggung jawab atas kebocoran data akibat invasi peretas.

Pengadilan menyimpulkan bahwa bahkan dalam kasus serangan kriminal, kewajiban perusahaan untuk melindungi data tetap utuh. Keputusan itu didasarkan pada pasal 19 dan 43 LGPD, yang menentukan penerapan langkah-langkah teknis dan administratif yang tepat untuk menjaga data.