Ucieki danych: problem, który kosztuje brazylijskie firmy dużo pieniędzy

Dane osobowe i firmowe stanowią jeden z najważniejszych aktywów przedsiębiorstw w 2024 roku, a sytuacja ta utrzyma się w 2025. Dlatego naruszenie tych danych to więcej niż tylko ryzyko techniczne – jest to incydent bezpieczeństwa, który poważnie wpływa na kondycję finansową i reputację marek. Oprócz potencjalnych kosztów wynikających z sankcji przewidzianych w RODO (Rozporządzeniu o Ochronie Danych Osobowych), które mogą sięgnąć nawet 21% przychodów lub kary w wysokości 1,444 mln euro za naruszenie, firmy dotknięte naruszeniami danych borykają się z ukrytymi, często niedocenianymi kosztami związanymi z odbudową systemów oraz niematerialnymi stratami wizerunku i relacji z odbiorcami zewnętrznymi.

Brazylijskie firmy tracą średnio 6,75 mln R$ za naruszenie danych, wynika z raportu "Cost of a Data Breach 2024", opracowanego i opublikowanego przez firmę IBM. Jednakże w praktyce wpływ ten jest jeszcze większy, ponieważ luki w ochronie danych wrażliwych generują straty z innych konsekwencji niż tylko prawne, takich jak utrata klientów, którzy migrują do konkurentów z bardziej solidnymi politykami bezpieczeństwa, przerwy w działaniu, pilne inwestycje w relacje z publicznością i cyberbezpieczeństwo w celu złagodzenia kryzysu.

Według adwokata Marco Zorziego, specjalisty w prawie cyfrowym w kancelarii Andersen Ballão Advocacia, postęp w stosowaniu RODO i najnowsze przepisy dotyczące przetwarzania danych wymagają dostosowania systematyki przejrzystości i bezpieczeństwa. Zapobieganie rozpoczyna się od zidentyfikowania danych podlegających przetwarzaniu w codziennej pracy firmy – o jakie informacje chodzi, gdzie są one przechowywane i z kim są udostępniane. „Tylko z podjęciem działań mapujących ten przepływ możliwe jest wzmocnienie zapobiegania i reagowanie natychmiastowo i efektywnie w przypadku incydentów bezpieczeństwa. A to wymaga wysiłku przede wszystkim zespołów prawników i IT”, twierdzi Zorzi.

Należy podkreślić, że oprócz kary i ostrzeżenia, niezastosowanie się do wytycznych RODO może skutkować zawieszeniem na okres do sześciu miesięcy baz danych osobowych firmy, upublicznieniem naruszenia oraz zakazem wykonywania czynności przetwarzania informacji, który może dotyczyć całości lub części.

Zdaniem eksperta, nowe regulaminy ANPD (Krajowej Rady Ochrony Danych Osobowych) dotyczące roli Inspektora Ochrony Danych, komunikowania incydentów bezpieczeństwa i transferu danych międzynarodowego podnoszą standard odpowiedzialności korporacyjnej.

ATAKI HAKCERÓW

Pilna konieczność rozpoznania ryzyka i działania zapobiegawczo została podkreślona przez decyzję 3. Izby Sądu Najwyższego (STJ), która pociągnęła Eletropulaulo do odpowiedzialności za wyciek danych spowodowany atakiem hakerów.

Sąd orzekł, że nawet w przypadku przestępczego ataku obowiązek firmy ochrony danych pozostaje nienaruszony. Decyzja oparta została na artykułach 19 i 43 RODO, które nakazują wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia danych.