I dati personali e aziendali sono tra le risorse più preziose delle aziende nel 2024, scenario che continuerà nel 2025. È per questo che la fuga di queste informazioni rappresenta più di un rischio tecnico – si tratta di un incidente di sicurezza che ripercuote profondamente sulla salute finanziaria e sulla reputazione dei marchi. Oltre ai potenziali costi derivanti delle sanzioni previste dal LGPD (Legge Generale sulla Protezione dei Dati), che possono arrivare al 2% del fatturato o a una multa di R$ 50 milioni per infrazione, le aziende vittime di fughe di dati affrontano costi nascosti, spesso sottovalutati, per il recupero dei sistemi e danni intangibili all'immagine e alle relazioni con il pubblico esterno.
Le aziende brasiliane arrivano a perdere, in media, 6,75 milioni di R$ a causa di violazioni dei dati, secondo il rapporto Cost of a Data Breach 2024, elaborato e divulgato da IBM. Tuttavia, nella pratica, questo impatto è ancora maggiore, poiché le lacune nella protezione delle informazioni sensibili causano danni con altre conseguenze, oltre a quelle legali, come l'evacuazione dei clienti che migrano verso concorrenti con politiche di sicurezza più robuste, l'interruzione delle operazioni, investimenti emergenziali in relazioni pubbliche e cybersicurezza per mitigare la crisi.
Secondo l'avvocato Marco Zorzi, specialista in Diritto Digitale dello studio Andersen Ballão Advocacia, il progresso nell'applicazione della LGPD e le norme più recenti sul trattamento dei dati richiedono adeguamenti alla sistematica di trasparenza e sicurezza. La prevenzione inizia con l'identificazione dei dati da trattare nella routine dell'azienda – quali informazioni sono coinvolte, dove sono archiviate e con chi vengono condivise. "Solo con le misure per mappare questo flusso è possibile rafforzare la prevenzione e agire in modo immediato ed efficiente di fronte a incidenti di sicurezza." E ciò coinvolge sforzi, soprattutto, dei team legale e IT", afferma Zorzi.
È opportuno segnalare che, oltre alla multa e all'ammonimento, il mancato rispetto delle linee guida LGPD può comportare la sospensione dei database personali dell'azienda fino a sei mesi, la pubblicità della violazione e il divieto di svolgere attività di trattamento dei dati, che può essere totale o parziale.
Secondo l'esperto, le nuove disposizioni dell'ANPD (Autorità nazionale per la protezione dei dati personali) sul ruolo del responsabile della protezione dei dati, sulla comunicazione degli incidenti di sicurezza e sul trasferimento internazionale dei dati innalzano lo standard di responsabilità aziendale.
ATTACCHI HACKER
L'urgenza di riconoscere i rischi e agire in modo preventivo è stata rafforzata dalla decisione del 3° Collegio della Corte Superiore di Giustizia (STJ), che ha ritenuto Eletropaulo responsabile delle fughe di dati derivanti da un'invasione hacker.
Il tribunale ha stabilito che, anche nei casi di attacco criminoso, l'obbligo dell'azienda di proteggere i dati rimane invariato. La decisione si è basata sugli articoli 19 e 43 del GDPR, che prevedono l'adozione di misure tecniche e amministrative adeguate per tutelare i dati.
