O Brasil é o quarto local em termos de volume de vazamento de dados a cada vez que ocorre um incidente de segurança, mas o prejuízo financeiro para as empresas que falharam na proteção dos dados é o menor de todos. Mesmo sem a Lei Geral de Proteção de Dados (LGPD), os custos para as companhias atingidas vêm em alta no país.
Os dados são da pesquisa anual da IBM em parceria com o Instituto Ponemon “Cost of a Data Breach”, que, em 2019, avaliou mais de 500 empresas (35 no Brasil) em 16 regiões e países. O relatório foi obtido com exclusividade pela Folha de S.Paulo no Brasil.
Segundo o levantamento, a cada incidente no país, foram 26.523 registros de vazamento de dados, atrás apenas de Oriente Médio (38.800), Índia (35.636) e EUA (32.434). Na edição anterior do estudo, o Brasil era o quinto colocado.
O volume de dados, no entanto, não se reflete em cifras. Cada episódio gera, em média, prejuízos de US$ 1,35 milhão (R$ 5 milhões) para as empresas e uma média de US$ 69 (R$ 260) por registro, os menores números entre as localidades pesquisadas.
João Rocha, diretor de cibersegurança da IBM Brasil, diz que o valor é alto, apesar de parecer baixo na comparação. O montante é calculado em dólar e isso coloca o somatório em real em desvantagem, justifica o especialista.
O estado da transformação digital também pesa. Como os brasileiros estão mais atrasados do que outros países, diz, não há tanto prejuízo com a perda de clientes. Lá fora, ao sentir quebra de confiança numa empresa por má gestão de dados pessoais, há mais opções de concorrentes a quem migrar. Isso sem contar a falta da fiscalização, com a LGPD entrando em vigor apenas ano que vem.
Numa esfera global, aponta o estudo, a maior parte dos prejuízos ligados a um vazamento se refere à perda de negócios (36,2%), seguida por detecção do problema em si (31,1%), reparo de eventuais problemas (27,3%) e notificação de quem teve sua informação disseminada (5,4%).
As séries históricas dos prejuízos a empresas por vazamentos de dados mostram montantes médios mais altos em 2016 em relação a 2019 tanto globalmente quanto no Brasil.
A novidade neste ano é os criminosos passarem a trocar o ransomware –uma espécie de sequestro de informações digitais– pela extorsão.
Eles passaram a roubar os dados das empresas e ameaçar divulgar as informações caso não recebam dinheiro. Pagar aos criminosos pode compensar financeiramente para as vítimas devido a eventuais multas pelo vazamento.
Outro destaque negativo para o Brasil no estudo é o tempo de resposta a incidentes de segurança. Empresas do país são as que mais demoram a conter um vazamento de dados, uma vez identificado: 111 dias, em média. Com a LGPD, talvez isso mude.
O que é LGPD?
A LGPD, inspirada no modelo Europeu da GDPR (General Data Protection Regulation), tem como seus principais pilares a proteção à privacidade, a liberdade de expressão e a inviolabilidade da intimidade, honra e imagem, temas cuja importância é exponencial, na medida em que a sociedade é, cada vez mais, movida por dados (data driven).
De acordo com a LGPD, os dados que identificam ou possam identificar uma pessoa natural (física) são considerados como pessoais e, por conta disso, são tutelados (RG, CPF, endereço, IP, e-mail etc.). Além disso, prezando pelo princípio da não discriminação, a lei regulamentou a proteção dos dados denominados sensíveis, que dizem respeito à raça, religião, filosofia, política e orientação sexual. E o seu tratamento encontra ainda mais rigor na lei.
Entenda como a lei pode impactar sua empresa
O que sua empresa deve fazer em relação à medida? Para entender os principais objetivos da nova lei, a obrigação legal ou regulatória ou o impacto da medida sobre as companhias, acesse aqui e entenda resumidamente as questões envolvendo a Lei Geral de Proteção de Dados.
Se ainda não ficou claro o que muda em relação à nova medida, as etapas da comunicação de vazamento ou, por exemplo, o impacto sobre as políticas de privacidade das empresas, clique aqui.
