Ninguém está livre de algum incidente envolvendo dados pessoais, nem mesmo grandes empresas. Os noticiários estão divulgando diariamente casos de vazamentos de dados, sequestros de dados, utilização ilícita de dados para aberturas de empresas e tantos outros problemas relacionados ao abuso, ou uso indevido de dados pessoais.
Em outro artigo, já mostramos quando o Agente de Tratamento (Controlador, ou Operador) poderá ser afastado do dever de indenizar, caso ocorra algum incidente envolvendo dados pessoais.

No entanto, caso o Agente de Tratamento não consiga afastar a responsabilidade pelo incidente, a própria LGPD determina algumas situações que podem ser utilizadas para reduzir as penalidades que podem ser aplicadas a esses Agentes. Para isso, é importante que a entidade que trate dados pessoais adote certas práticas no cotidiano empresarial que possam se encaixar nas situações previstas na lei para que essa “equalização” da pena ocorra. Esse ajuste será importante para fins de comparação das práticas de uma empresa comprometida com a LGPD com outra empresa que não seja tão comprometida com a lei, pois seria injusto atribuir a mesma penalidade para empresas “ajustadas”, e “não ajustadas” à LGPD. Vejamos algumas dessas circunstâncias que podem atenuar as penalidades definidas na lei:

a) a gravidade e a natureza das infrações e dos direitos pessoais afetados: a gravidade do dano será medida no caso concreto, a exemplo do que determina o art. 944, caput e parágrafo único, do Código Civil, quando determina que “A indenização mede-se pela extensão do dano”, e que “Se houver excessiva desproporção entre a gravidade da culpa e o dano, poderá o juiz reduzir, equitativamente, a indenização”;

b) a boa-fé do infrator: essa boa-fé, como nos negócios jurídicos ordinários, poderá levar em consideração as etapas anteriores e posteriores ao contrato. Importante ressaltar que, na linha de pensamento da Súmula 375, do STJ, a boa-fé é presumida nas relações, enquanto a má-fé deve ser comprovada por aquele que alega a sua ocorrência;

c) a vantagem auferida ou pretendida pelo infrator: por “vantagem” poderão ser entendidas situações diversas do simples ganho financeiro. Uma “vantagem financeira” poderia ser a reunião de dados pessoais por parte do Controlador para a venda deles para terceiros, sem consentimento dos titulares. Mas não só isso: a própria aquisição de dados de uma base ilegal, para fins de marketing também poderá ser considerada uma vantagem. Portanto, é fundamental que as empresas mapeiem a origem, destino e uso dos dados pessoais, a fim de utiliza-los apenas para as finalidades legalmente admitidas, ou consentidas pelo titular;

d) a condição econômica do infrator: por exemplo, ao tratar sobre a pena de “multa simples”, o legislador estabelece uma pena de até 2% do faturamento da pessoa jurídica de direito privado, grupo, ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$50.000.000,00 por infração. Este “de até 2%” será levado em consideração pela ANPD na atribuição da multa, considerando a capacidade de pagamento do infrator, pois não adianta estabelecer uma multa absurda, impagável, para quem não tem condições econômicas de saldar a dívida, inclusive podendo inviabilizar a atividade;

e) a reincidência: “reincidir” significa fazer a mesma coisa novamente. Reincidir em algum incidente de segurança de dados pessoais significa já ter ocorrido algum incidente, anteriormente, já ter havido alguma sanção (ainda que uma advertência) e o sujeito retornar a agir da mesma forma anterior, seja por ter sido negligente em tomar as medidas necessárias para afastar o incidente ocorrido, seja por assumir o risco de produzir novamente o resultado ou até para, de forma proposital, desejar que o resultado fosse alcançado;

f) o grau do dano: conforme o dano causado (quantidade de pessoas atingidas; dados vazados; extensão do dano etc.), a pena poderá variar em dano leve, médio, grave ou gravíssimo. No entanto, não há uma determinação legal para qual a pena específica que será aplicada, de forma que a “quantidade” da pena a ser aplicada dependerá, inicialmente, do subjetivismo daquele que aplicará a pena, até que situações semelhantes sejam possíveis de serem comparadas para padronizar a sanção determinada;

g) a cooperação do infrator: perante a LGPD, o infrator poderá ser qualquer um dos Agentes de Tratamento, ou seja, tanto o Controlador, quanto o Operador de Dados. Ao identificar o incidente de segurança com relação aos dados pessoais, o comportamento proativo, ou reativo do Agente de Tratamento para minimizar os efeitos do incidente poderão ser um fator abonador de sua responsabilidade;

h) a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dado: com relação aos mecanismos internos que podem minimizar o dano, podem ser mencionadas as situações previstas no artigo 46, da LGPD, que determina a adoção de “medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”. Também a adoção de condutas estabelecidas no artigo 50, da LGPD, ou seja, estabelecimento de “regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais”;

i) a adoção de política de boas práticas e governança: como visto, o art. 50, da LGPD, determina como estas regras devem ocorrer, complementando, em seu parágrafo único, que os Agentes de Tratamento deverão levar em consideração nessas boas práticas e governança em relação ao tratamento e aos dados pessoais “a natureza, o escopo a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular”. A LGPD determina, ainda que essas regras deverão ser publicadas e atualizadas de forma periódica e poderão ser reconhecidas e divulgadas pela Autoridade Nacional de Proteção de Dados (ANPD);

j) a pronta adoção de medidas corretivas: um incidente de segurança de dados pessoais consiste numa situação que cause danos aos direitos e liberdades de algum titular quando esse dano decorra de violação de segurança, de acessos não autorizados, ou que tenham ocorrido por acidente ou de forma ilícita, ocasionando a perda, destruição, vazamento, alteração ou outra forma de tratamento de dados inadequada ou realizada de forma ilícita. Quando ocorre um incidente, o Agente de Tratamento que tenha identificado o incidente deverá tomar as providências necessárias para corrigir esse problema. No site da ANPD há informações sobre como proceder em caso de incidente de segurança; como fazer em caso de incidente; quem deve comunicar o incidente; em que situação e o que comunicar ao titular de dados. Essas informações podem ser encontradas no seguinte link: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca; 

k) a proporcionalidade entre a gravidade da falta e a intensidade da sanção: a penalidade a ser aplicada deverá ser correspondente à dimensão do dano causado. Essa medida será identificada caso a caso, identificando-se, por exemplo, o número de pessoas atingidas, a extensão da disseminação dos dados, a quantidade de dados que fizeram parte do incidente, as medidas preventivas e repressivas à ocorrência de incidentes de segurança de dados, a tecnologia disponível utilizada para afastar os incidentes, dentre outras situações. Ainda, com relação à falta e à sanção aplicável, também deverão ser identificadas as situações atenuantes mencionadas acima, as quais poderão reduzir de forma significativa a penalidade a ser aplicada.

Tudo é novo, no momento. Como as penalidades administrativas entraram em vigor a partir de 01/08/2021, muitos casos ainda serão analisados de forma concreta e poderão servir como precedentes para mensurar a quantificação ou forma da penalidade a ser aplicada, conforme o caso específico apresentado.

Por Diego Richard Ronconi