개인 및 기업 데이터는 2024년 기업의 가장 소중한 자산 중 하나이며, 이 상황은 2025년에도 계속될 것입니다. 이것이 바로 이러한 정보 유출이 단순한 기술적 위험을 넘어서는 이유입니다 — 이는 브랜드의 재무 건강과 평판에 깊은 영향을 미치는 보안 사고입니다. LGPD(일반 데이터 보호법)에 따른 제재로 예상되는 비용 외에도(위반 시 매출의 2% 또는 5천만 레알의 벌금 가능), 유출 대상 기업들은 종종 과소평가되는 숨겨진 비용에 직면하며, 이는 시스템 복구와 이미지 및 외부 관계에 대한 무형의 손해를 포함한다.
브라질 기업들은 데이터 유출로 인해 평균 675만 레알을 잃는 것으로 나타났으며, 이는 IBM이 작성하고 공개한 2024년 데이터 유출 비용 보고서에 따른 것이다. 그러나 실제로는 이러한 영향이 더욱 크며, 민감한 정보 보호의 허점은 법적 손실 외에도 다른 결과를 초래합니다. 예를 들어, 더 강력한 보안 정책을 가진 경쟁사로 고객이 이탈하거나, 운영 중단, 위기 완화를 위한 홍보 및 사이버 보안에 긴급 투자가 포함됩니다.
앤더슨 발랑 로펌의 디지털 법률 전문가인 마르코 조르지 변호사에 따르면, LGPD 적용의 진전과 최신 데이터 처리 규범은 투명성과 안전성 체계에 대한 적응을 요구한다. 예방은 회사의 일상 업무에서 처리할 데이터의 식별부터 시작됩니다 — 어떤 정보가 관련되어 있으며, 어디에 저장되고 누구와 공유되는지. 이 흐름을 파악하기 위한 조치만으로도 예방을 강화하고 보안 사고에 신속하고 효율적으로 대응할 수 있습니다. 그리고 이는 주로 법무팀과 IT팀의 노력을 포함합니다,라고 조르지가 말했습니다.
중요하게 여겨야 할 점은 벌금과 경고 외에도 LGPD 지침 위반은 회사의 개인정보 데이터베이스를 최대 6개월 동안 정지시키거나, 위반 사실을 공개하거나, 정보 처리 활동의 수행을 전부 또는 일부 금지하는 결과를 초래할 수 있다는 것입니다.
전문가에 따르면, ANPD(국가 데이터 보호 기관)의 새로운 규정인 담당자 역할, 보안 사고 통지, 국제 데이터 이전에 관한 규정은 기업 책임 기준을 높이고 있습니다.
해킹 공격
해당 위험을 인식하고 예방적으로 행동해야 한다는 긴급성은 상급 법원인 대법원 제3부의 판결로 강화되었으며, 이 판결은 해커 침입으로 인한 데이터 유출에 대해 일렉트로폴루를 책임지도록 했습니다.
법원은 범죄 공격의 경우에도 회사의 데이터 보호 의무가 유지된다고 결론지었습니다. 결정은 데이터 보호를 위해 적절한 기술적 및 행정적 조치를 채택하도록 규정한 LGPD의 제19조 및 제43조에 근거한 것입니다.
