Rò rỉ dữ liệu: Một vấn đề tốn kém đối với các doanh nghiệp Brazil

Dữ liệu cá nhân và doanh nghiệp là một trong những tài sản có giá trị nhất của các công ty vào năm 2024, và xu hướng này sẽ tiếp tục trong năm 2025. Chính vì vậy, việc rò rỉ thông tin này không chỉ là một rủi ro kỹ thuật – mà còn là một sự cố an ninh ảnh hưởng sâu sắc đến sức khỏe tài chính và danh tiếng của các thương hiệu. Bên cạnh chi phí tiềm tàng cho các biện pháp xử phạt theo Luật Bảo vệ Dữ liệu Cá nhân (LGPD), có thể lên tới 2% doanh thu hoặc phạt $ 50 triệu R cho mỗi vi phạm, các công ty bị rò rỉ thông tin còn phải đối mặt với chi phí giấu kín, thường bị đánh giá thấp, trong việc khôi phục hệ thống và thiệt hại vô hình đối với hình ảnh và mối quan hệ với công chúng.

Các doanh nghiệp Brazil trung bình mất tới 6,75 triệu R$ mỗi vụ vi phạm dữ liệu, theo báo cáo Chi phí của một vụ Rò rỉ Dữ liệu 2024, do IBM biên soạn và công bố. Tuy nhiên, trên thực tế, tác động này còn lớn hơn, vì những lỗ hổng trong việc bảo vệ thông tin nhạy cảm gây ra thiệt hại với những hậu quả khác ngoài các hậu quả pháp lý, như việc khách hàng rời đi chuyển sang đối thủ có chính sách bảo mật mạnh mẽ hơn, gián đoạn hoạt động, đầu tư khẩn cấp vào quan hệ công chúng và an ninh mạng để giảm thiểu khủng hoảng.

Theo luật sư Marco Zorzi, chuyên gia về Luật Số tại văn phòng luật sư Andersen Ballão Advocacia, sự phát triển của việc áp dụng LGPD và các quy định mới nhất về xử lý dữ liệu đòi hỏi sự điều chỉnh hệ thống minh bạch và bảo mật. Việc phòng ngừa bắt đầu từ việc xác định các dữ liệu cần xử lý trong hoạt động thường ngày của công ty – những thông tin nào liên quan, được lưu trữ ở đâu và được chia sẻ với ai. Ông Zorzi cho biết: “Chỉ với các biện pháp để lập bản đồ luồng dữ liệu này mới có thể tăng cường khả năng phòng ngừa và hành động một cách nhanh chóng và hiệu quả trước các sự cố bảo mật. Điều này đòi hỏi nỗ lực đặc biệt từ các đội ngũ pháp lý và CNTT”.

Cần lưu ý rằng ngoài phạt tiền và cảnh cáo, việc vi phạm các hướng dẫn của LGPD có thể dẫn đến việc đình chỉ hoạt động xử lý dữ liệu cá nhân của công ty trong thời gian tối đa sáu tháng, công khai vi phạm và cấm hoạt động xử lý thông tin, có thể toàn bộ hoặc một phần.

Theo chuyên gia cho biết, các quy định mới của ANPD (Cơ quan Quản lý Bảo vệ Dữ liệu Quốc gia) về vai trò của Người chịu trách nhiệm, thông báo về các sự cố an ninh và chuyển giao dữ liệu quốc tế nâng cao tiêu chuẩn trách nhiệm của doanh nghiệp.

Tấn công mạng

Sự cấp thiết trong việc nhận diện rủi ro và hành động phòng ngừa được nhấn mạnh bởi quyết định của Tòa Phán quyết Tối cao (STJ) - Phòng 3, trong việc buộc Tập đoàn điện lực Eletropaulo chịu trách nhiệm về sự cố rò rỉ dữ liệu do cuộc tấn công mạng.

Tòa án kết luận rằng, ngay cả trong trường hợp tấn công tội phạm, nghĩa vụ của công ty trong việc bảo vệ dữ liệu vẫn không thay đổi. Quyết định này dựa trên các điều khoản 19 và 43 của Luật Bảo vệ Dữ liệu cá nhân (LGPD), quy định việc áp dụng các biện pháp kỹ thuật và hành chính thích hợp để bảo vệ dữ liệu.