資料外洩:巴西公司面臨沉重代價的問題

個人和企業資料是 2024 年公司最有價值的資產之一,這種情況將在 2025 年繼續存在。這就是為什麼這些資訊的洩漏會帶來超過 5000 萬技術風險的安全事件,深刻影響財務健康和聲譽品牌。除了LGPD(一般資料保護法)規定的製裁的潛在費用(可達到2% 的帳單或$ 5000 萬蘭特的侵權罰款)之外,以洩漏為目標的公司還面臨著隱藏成本,這些成本往往被低估,系統和無形資產的恢復會損害公眾形象和損害。

根據 IBM 準備並發布的《2024 年資料外洩成本》報告,巴西公司每次資料外洩平均損失 675 萬蘭特。然而,在實踐中,這種影響甚至更大,因為敏感資訊保護的差距除了法律後果外,還會產生損失和其他後果,例如逃避客戶遷移到具有更穩健安全政策的競爭對手、中斷營運、公共關係和網路安全方面的緊急投資以緩解危機。

Andersen Ballao Advocacia 數位法專家 Marco Zorzi 律師表示,LGPD 應用的進步和資料處理的最新標準需要對透明度和安全系統進行調整。預防始於識別公司日常工作中要處理的資料(涉及哪些資訊、資訊儲存在何處以及與誰共享。“只有採取繪製此流程的措施,才有可能加強預防並在面對安全事件時立即有效地採取行動。這涉及到努力,特別是法律和IT 團隊",Zorzi 說。

值得注意的是,除了罰款和警告外,不遵守 LGPD 指南還可能導致公司個人資料庫暫停長達六個月、侵權廣告和禁止進行資訊處理活動,可能是全部或部分。

專家表示,ANPD(國家資料保護局)關於資料控制者的角色、安全事件的通訊和資料的國際傳輸的新規定提高了企業責任的標準。

黑客攻擊

高等法院 (STJ) 第三級的裁決強化了識別風險和採取預防措施的緊迫性,該裁決認為 Eletropaulo 對駭客入侵造成的資料外洩負有責任。

法院的結論是,即使在刑事攻擊案件中,公司保護資料的義務仍然完好無損。該決定是基於 LGPD 第 19 條和第 43 條,該條決定採取適當的技術和行政措施來保護資料。