Personlige og bedriftsdata er noen av de mest verdifulle eiendelene for selskaper i 2024, en situasjon som vil fortsette i 2025. Der derfor at lekkasjen av denne informasjonen representerer mer enn en teknisk risiko – det er en sikkerhetshendelse som påvirker den økonomiske helsen og omdømmet til merkene dypt. I tillegg til de potensielle kostnadene knyttet til sanksjonene fastsatt i LGPD (Den generelle databeskyttelsesloven), som kan utgjøre opptil 2 % av omsetningen eller en bot på R$ 50 millioner per overtredelse, står selskaper som er utsatt for lekkasjer overfor skjulte kostnader, ofte undervurdert, knyttet til gjenoppretting av systemer og immaterielle skader på omdømmet og forholdet til ekstern offentlighet.
Brasilianske selskaper mister i gjennomsnitt 6,75 millioner R$ per datainnbrudd, ifølge rapporten Cost of a Data Breach 2024, utarbeidet og offentliggjort av IBM. Men like this are even more significant in practice, as gaps in the protection of sensitive information cause damages with other consequences beyond legal ones, such as customer loss to competitors with more robust security policies, operational disruptions, emergency investments in public relations and cybersecurity to mitigate the crisis.
Ifølge advokat Marco Zorzi, spesialist i digitalrett ved Andersen Ballão Advocacia, krever fremgangen i anvendelsen av LGPD og de nyeste forskriftene om databehandling tilpasninger til systematikken for åpenhet og sikkerhet. Forebygging begynner med å identifisere hvilke data som skal behandles i bedriftens rutine – hvilke opplysninger som er involvert, hvor de lagres, og hvem de deles med. "Kun med tiltak for å kartlegge denne flyten er det mulig å styrke forebyggingen og handle umiddelbart og effektivt ved sikkerhetshendelser. Og dette involverer innsats, særlig fra juridiske og IT-team," sier Zorzi.
Det er verdt å merke seg at utover bot og advarsel kan brudd på LGPDs retningslinjer føre til suspendering av selskapets personopplysningsdatabaser i opptil seks måneder, offentliggjøring av overtredelsen og forbud mot å utføre behandling av informasjon, som kan være helt eller delvis.
Ifølge eksperten hæver de nye regler fra ANPD (Den nationale databeskyttelsesmyndighed) om rollen som databeskyttelsesrådgiver, rapportering af sikkerhedshændelser og international dataoverførsel standarden for virksomheders ansvar.
Hackerangrep
Nødvendigheten av å erkjenne risiko og handle forebyggende ble styrket av avgjørelsen fra 3. avdeling i Høyesterett (STJ), som holdt Eletropaulo ansvarlig for datalekkasje forårsaket av hackerinnbrudd.
Domstolen konkluderte at, selv i tilfeller av kriminell angrep, forblir selskapets forpliktelse til å beskytte dataene intakt. Beslutningen er basert på artiklene 19 og 43 i LGPD, som fastsetter at det skal iverksettes passende tekniske og administrative tiltak for å beskytte dataene.
