POR Caio Lima* (artigo publicado originariamente no Estadão)

Desde 1º de agosto, a ANPD (Autoridade Nacional de Proteção de Dados) pode aplicar as sanções administrativas previstas na LGPD (Lei Geral de Proteção de Dados), que incluem multas pecuniárias de até R$ 50 milhões por infração, proibição do tratamento de dados, exclusão, entre outras. Com isso, gestores e diretores de companhias têm se questionado se todo incidente de segurança (e descumprimentos em geral à legislação) gera sanções à organização.

Antes de entrar especificamente nessa resposta, importante destacar que incidente de segurança abrange não apenas exfiltração de dados pessoais (mais conhecido como vazamento de dados), mas também situações relacionadas a acesso indevido, alterações ou até mesmo exclusão incorreta de informações. O conceito, portanto, é amplo e engloba diferentes circunstâncias.

Dito isso, observando o disposto na legislação, temos que apenas os incidentes que trazem risco ou dano relevante aos titulares afetados deverão ser obrigatoriamente comunicados à ANPD e aos indivíduos prejudicados. O que exatamente entrará nesse mandamento de notificação ainda não está delimitado com exatidão, sendo certo que a ANPD deve regulamentar isso em breve.

Enquanto a regulamentação não ocorre, já existem metodologias para o cálculo desse risco. Nos incidentes de segurança em que houver o comprometimento de: i) dados de vulneráveis (incluindo crianças, adolescentes ou idosos); ii) informações financeiras críticas (valor de remuneração, dados do Imposto de Renda, números de cartão de crédito e senha, entre outras); e iii) dados sensíveis (que englobam informações de saúde, biométricas, sobre a vida sexual, por exemplo), a depender da gravidade e natureza dos dados expostos, muito provavelmente se estará diante de obrigação de comunicação.

Em tais situações, portanto, obrigatoriamente as companhias serão sancionadas? Não. Em documento recentemente divulgado pela ANPD para Consulta Pública, há disposição de que as sanções mais gravosas serão o último recurso a ser tentado pela Autoridade, a qual buscará mecanismos pedagógicos alternativos.

Assim, existe a expectativa de que a ANPD tenha caráter mais orientativo-consultivo, especialmente neste momento inicial, seguindo a linha das Autoridades Europeias de Proteção de Dados. Naturalmente, quanto mais a companhia tiver a capacidade de demonstrar seu esforço para adequação à LGPD – incluindo mapeamento dos dados, atendimento aos princípios da Lei e aos direitos dos titulares, nomeação do Encarregado pelo Tratamento de Dados, treinamentos internos, entre outros -, menor a tendência de receber sanção – ou, se receber, poderá ser mais branda.

Dessa forma, nem todo incidente deverá ser sancionado pela ANPD. Neste momento, portanto, entendemos que os esforços precisam estar voltados para adequar as corporações à LGPD, a fim de que a criação de governança em privacidade e proteção de dados leve tanto à mitigação de riscos aos titulares quanto à eficiência na resposta a incidentes de segurança da informação (o que também reduzirá a gravidade da sanção).

*Caio César Carvalho Lima, professor e advogado, com atuação em Direito Digital e Proteção de Dados, é sócio do Opice Blum, Bruno e Vainzof Advogados Associados.