A Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) determina diversos deveres para quem, de algum modo, utiliza informações de natureza pessoal, seja na forma de acesso, de coleta, de armazenamento, compartilhamento, transferência etc.
Quem pratica algum destes atos (ou outros), utilizando informações relacionadas a uma pessoa natural identificada, ou identificável, realiza tratamento de dados pessoais e precisa implementar ações de proteção a estes dados, segundo os parâmetros postos pela LGPD.
Dentre os deveres impostos pela Lei está o de implementar medidas técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados ou usos indevidos, preservando assim a confidencialidade destas informações, a sua disponibilidade e a sua integridade.
Algumas medidas são extremamente simples e estão facilmente ao alcance de qualquer pessoa, de modo que a sua não implementação denota fortemente uma atitude negligente e de desrespeito à privacidade e aos direitos dos titulares dos dados, o que torna mais grave a infração.
Uma desconformidade com a LGPD representa infração à Lei, independentemente da ocorrência de efetivo dano aos titulares dos dados pessoais envolvidos. A constatação da postura negligente agrava a infração e, consequentemente, a pena a ser aplicada.
Uma medida administrativa simples e ao alcance de qualquer pessoa é a ocultação dos destinatários, quando do envio de uma mensagem de e-mail. O endereço eletrônico de alguém é um dado pessoal e a sua exposição no endereçamento de uma mensagem com vários destinatários promove um acesso não autorizado de terceiros ao dado pessoal, violando a confidencialidade desta informação.
Trata-se portanto de um incidente de segurança com dados pessoais, no tratamento de dados representado pelo envio do e-mail, que é passível de sanção. Há aqui violação de vários dispositivos da LGPD, dentre eles os princípios da segurança e da prevenção (art. 6º, VII e VIII), além do art. 46, que determina a adoção de medidas aptas à proteção dos dados contra acessos não autorizados.
A Autoridade Nacional de Proteção de Dados – ANPD iniciou em fevereiro/2023 a efetiva imposição de penalidades, uma vez editado o regulamento que disciplina o modo e critérios de aplicação das sanções.
Sabe-se que a ANPD do Brasil tem como forte referência a Autoridade de Proteção de Dados da Espanha, com quem mantém protocolos de cooperação.
A Autoridade espanhola impôs uma multa de 1500 euros (cerca de 8.000 reais) a um empresário individual, proprietário de um restaurante, que enviou e-mail a 160 destinatários, sem ocultar os respectivos endereços. Um deles comunicou o fato à Autoridade de Proteção de Dados.
O proprietário do restaurante alegou que foi um erro, que não se repetiria. No entanto, as estatísticas revelam que o elemento humano é uma das causas mais frequentes de incidente de segurança com dados pessoais, seja por erro, seja por dolo.
Em proteção de dados, a mera alegação de erro não elide a responsabilidade. Mormente em se tratando de uma medida tão simples, que sequer exigia qualquer investimento. Ao contrário, a sua não adoção indica desprezo ou indiferença pela proteção dos dados dos titulares/clientes.
O regime jurídico da proteção de dados exige atitudes de precaução (princípio da prevenção- art. 6º, VIII da LGPD), de modo que a defesa do Agente de Tratamento de Dados é demonstrar as medidas adotadas previamente ao incidente e a aptidão delas para produzir os efeitos esperados (princípio da responsabilização e prestação de contas- art. 6º, X da LGPD).
A multa acima mencionada decorreu da violação de princípios da proteção de dados (1000 EUR) e do fato de não ter sido implementada medida apropriada para garantir um nível de segurança adequado ao risco de quebra da confidencialidade das informações, representado pelo envio do e-mail (500 EUR).
Também no Brasil se admite a imposição de sanções, isolada ou cumulativamente, sendo um dos critérios a se considerar a adoção ou não, pelo Agente de Tratamento, de política de boas práticas em proteção de dados pessoais, como é a boa prática de ocultar os endereços num e-mail dirigido a vários destinatários.