ข้อมูลรั่วไหล: ปัญหาที่ทําให้บริษัทบราซิลต้องเสียค่าใช้จ่ายอย่างมาก

ข้อมูลส่วนบุคคลและ บริษัท เป็นหนึ่งในทรัพย์สินที่มีค่าที่สุดของบริษัทในปี 2567 ซึ่งเป็นสถานการณ์ที่จะยังคงอยู่ในปี 2568 นั่นคือเหตุผลที่การรั่วไหลของข้อมูลนี้แสดงถึงความเสี่ยงทางเทคนิคมากกว่า 50 ล้านเหตุการณ์ด้านความปลอดภัยที่ส่งผลกระทบอย่างลึกซึ้งต่อสุขภาพทางการเงินและชื่อเสียงของแบรนด์ นอกเหนือจากค่าใช้จ่ายที่อาจเกิดขึ้นด้วยการลงโทษที่กําหนดไว้ใน LGPD (กฎหมายคุ้มครองข้อมูลทั่วไป) ซึ่งสามารถเรียกเก็บเงินได้ถึง 2% หรือปรับ R$ 50 ล้านสําหรับการละเมิด บริษัท ที่ตกเป็นเป้าหมายของการรั่วไหลต้องเผชิญกับค่าใช้จ่ายที่ซ่อนอยู่ซึ่งมักถูกประเมินต่ําเกินไปด้วยการกู้คืนระบบและสิ่งที่จับต้องไม่ได้ต่อภาพลักษณ์สาธารณะและความเสียหาย.

บริษัท บราซิลสูญเสียโดยเฉลี่ย R$ 6.75 ล้านต่อการละเมิดข้อมูลตามรายงาน Cost of a Data Breach 2024 ซึ่งจัดทําและเผยแพร่โดย IBM อย่างไรก็ตามในทางปฏิบัติผลกระทบนี้ยิ่งใหญ่กว่าเนื่องจากช่องว่างในการปกป้องข้อมูลที่ละเอียดอ่อนก่อให้เกิดความสูญเสียพร้อมกับผลที่ตามมาอื่น ๆ นอกเหนือจากทางกฎหมายเช่นการหลีกเลี่ยงลูกค้าที่ย้ายไปยังคู่แข่งด้วยนโยบายความปลอดภัยที่แข็งแกร่งยิ่งขึ้นการหยุดชะงักของการดําเนินงานการลงทุนฉุกเฉินด้วยการประชาสัมพันธ์และความปลอดภัยทางไซเบอร์เพื่อบรรเทาวิกฤติ.

ตามที่ทนายความ Marco Zorzi ผู้เชี่ยวชาญด้านกฎหมายดิจิทัลที่ Andersen Ballao Advocacia ความก้าวหน้าของการประยุกต์ใช้ LGPD และมาตรฐานล่าสุดในการประมวลผลข้อมูลจําเป็นต้องมีการปรับเปลี่ยนระบบความโปร่งใสและความปลอดภัย การป้องกันเริ่มต้นด้วยการระบุข้อมูลที่จะปฏิบัติในกิจวัตรของ บริษัท (ข้อมูลใดที่เกี่ยวข้องสถานที่จัดเก็บและผู้ที่แบ่งปัน “มีเพียงมาตรการในการทําแผนที่การไหลนี้เท่านั้นที่เป็นไปได้ที่จะเสริมสร้างการป้องกันและดําเนินการทันทีและมีประสิทธิภาพเมื่อเผชิญกับเหตุการณ์ด้านความปลอดภัย และสิ่งนี้เกี่ยวข้องกับความพยายามโดยเฉพาะอย่างยิ่งทีมกฎหมายและไอที” Zorzi กล่าว.

เป็นที่น่าสังเกตว่านอกเหนือจากค่าปรับและคําเตือนแล้ว การไม่ปฏิบัติตามแนวทาง LGPD อาจส่งผลให้ฐานข้อมูลส่วนบุคคลของบริษัทถูกระงับนานถึงหกเดือน การโฆษณาการละเมิด และการห้ามดําเนินกิจกรรมการประมวลผลข้อมูล ซึ่ง อาจทั้งหมดหรือบางส่วน.

ตามที่ผู้เชี่ยวชาญระบุ กฎระเบียบใหม่ของ ANPD (หน่วยงานคุ้มครองข้อมูลแห่งชาติ) เกี่ยวกับบทบาทของผู้รับผิดชอบ การสื่อสารเหตุการณ์ด้านความปลอดภัย และการถ่ายโอนข้อมูลระหว่างประเทศ ยกระดับมาตรฐานความรับผิดชอบขององค์กร.

การโจมตีของแฮกเกอร์

ความเร่งด่วนในการรับรู้ความเสี่ยงและดําเนินการในลักษณะป้องกันได้รับการเสริมด้วยคําตัดสินของศาลสูงชั้น 3 (STJ) ซึ่งถือว่า Eletropaulo ต้องรับผิดชอบต่อการรั่วไหลของข้อมูลอันเป็นผลมาจากการบุกรุกของแฮ็กเกอร์.

ศาลสรุปว่าแม้ในกรณีของการโจมตีทางอาญาภาระหน้าที่ของบริษัทในการปกป้องข้อมูลยังคงไม่บุบสลาย การตัดสินใจดังกล่าวเป็นไปตามมาตรา 19 และ 43 ของ LGPD ซึ่งกําหนดการใช้มาตรการทางเทคนิคและการบริหารที่เหมาะสมเพื่อปกป้องข้อมูล.