A ANPD (Autoridade Nacional de Proteção de Dados) aplicou, recentemente, a primeira sanção administrativa por violação à LGPD (Lei Geral de Proteção de Dados Pessoais), com fundamento na sua Resolução nº 4, que aprovou, em 27 de fevereiro de 2023, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas.
A normativa dispõe sobre diversos tipos de sanções administrativas, que podem ser aplicadas em caso de descumprimento de obrigação estabelecida na LGPD, que variam desde advertência até proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, além de estabelecer os parâmetros para sua aplicação e a metodologia para o cálculo do valor-base das multas.
Ainda em março, a ANPD divulgou uma lista de processos administrativos sancionadores em tramitação, com um total de oito processos instaurados pela coordenação-geral de fiscalização envolvendo órgãos públicos e empresas privadas, dos quais seis guardam relação com a ocorrência de incidentes de segurança [1]. O primeiro desses processos a culminar numa sanção envolve uma pequena empresa de telemarketing, à qual se aplicou advertência e multa de R$ 14,4 mil em despacho ainda passível de recurso.
Nesse contexto, para além do baixo valor da multa, há uma importante área de interseção entre o Direito Penal e a LGPD, no que tange à aplicação de sanções administrativas em casos de infração às normas de proteção de dados, especialmente em casos de incidentes de segurança da informação. Caso uma organização venha a sofrer uma invasão de sua base de dados, o invasor incorrerá em prática criminosa que terá como vítima não apenas os titulares dos dados mas, também, a própria pessoa jurídica enquanto controladora e agente de tratamento de dados.
São muitos os crimes que podem afetar a segurança dos dados pessoais num ambiente virtual. Em 2012, a chamada Lei Carolina Dieckmann promoveu alterações ao Código Penal para incluir a tipificação de delitos informáticos, com destaque para o crime de invasão de dispositivo informático, previsto no artigo 154-A. Mais recentemente, a Lei nº 14.155/2021 também promoveu relevantes mudanças no Código Penal, recrudescendo as penas aplicáveis ao referido tipo penal e ampliando o seu escopo de enquadramento, além de alterar os crimes de furto e de estelionato [2].
Além desses, existem outros tipos penais que, embora não sejam intrinsecamente ligados ao ciberespaço, também são comumente praticados nesse contexto, como a extorsão, a lavagem de dinheiro e a associação criminosa.
Ainda em 2021, houve a adesão do Brasil à Convenção sobre o Crime Cibernético, conhecida como Convenção de Budapeste, promulgada internamente pelo Decreto nº 11.491/2023, que trata da criminalização de diversas condutas, cria normas para investigação e produção de provas eletrônicas e meios de cooperação internacional para combate ao cibercrime.
A importância da comunicação às autoridades
Especificamente no cenário empresarial, a transformação digital nos mais diferentes setores da economia, com a ampliação da presença no ambiente virtual de startups a empresas tradicionais, públicas e privadas, de diferentes portes, contribui para o incremento de incidentes de segurança com dados pessoais. Ao gerir esse tipo de crise, é oportuno avaliar em concreto a comunicação da ocorrência do(s) crime(s) identificado(s) pela empresa às autoridades competentes, como forma não apenas de contribuir ativamente para a tentativa de identificação dos criminosos, mas para que as autoridades possam conhecer os novos golpes e compreender as melhores formas de coibir e de investigar os crimes cibernéticos.
Além disso, hoje há mais um estímulo para que as más práticas sejam denunciadas: o artigo 13 da Resolução nº 4 da ANPD traz algumas circunstâncias atenuantes que importam na redução do valor da multa caso comprovadas pelo infrator perante o órgão, dentre as quais se destaca a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados. Tais medidas podem levar à redução de até 20% do valor da multa, caso seja anterior à instauração de procedimento preparatório ou processo administrativo sancionado pela ANPD.
Nesse sentido, entende-se que a postura proativa de uma organização de comunicar a ocorrência de crimes relacionados a um incidente de segurança deve ser considerada apta a atrair a aplicação da circunstância atenuante, de modo a ensejar reflexos positivos de redução na dosimetria das sanções que lhes são aplicáveis.
Ora, o fornecimento voluntário às autoridades de informações e documentos importantes para apurar a autoria e a materialidade do crime é medida capaz de reverter ou mitigar os seus efeitos sobre os titulares dos dados pessoais afetados possibilitando, por exemplo, que o autor do crime seja impedido de divulgar os dados ou, ao menos, auxiliando no mapeamento da destinação ilícita conferida àqueles dados, de modo a evitar a sua utilização em futuras fraudes.
É certo que o sucesso da investigação e os resultados das diligências não dependem da empresa que noticia o crime o que, contudo, não deve impedir o reconhecimento dessa circunstância atenuante, já que a Resolução prevê, expressamente, que basta que a medida implementada seja capaz de reverter ou mitigar os efeitos da infração, não exigindo que haja efetiva reversão ou mitigação.
Além disso, a investigação policial pode até mesmo fazer com que a infração à LGPD cesse completamente, no caso de prisão do invasor e de apreensão dos dispositivos ou acesso à base onde estão armazenados os dados, por exemplo. Esse cenário se mostra ainda mais favorável à empresa, já que a cessação da infração é circunstância atenuante que, de acordo com o artigo 13 da Resolução, pode reduzir o valor da multa aplicável em até 75%, se for prévia à instauração de procedimento preparatório pela ANPD.
É comum e compreensível que haja receios por parte de uma organização que sofre um incidente de segurança em abordar o ocorrido como um crime. E, diferentemente da comunicação da ocorrência do incidente à ANPD, a comunicação de crime a autoridade de persecução penal não é obrigatória ao particular.
Dito isso, existem ainda outros fatores que evidenciam a importância dessa iniciativa. Primeiramente, os usuários titulares dos dados muitas vezes sequer têm ciência do acesso indevido às suas informações, enquanto a empresa cuja segurança da informação foi violada normalmente detém mais ferramentas para identificar essa violação e até mesmo iniciar uma apuração interna.
Em segundo lugar, deve-se ter em mente que a comunicação de um crime auxilia o Estado na construção de índices mais acurados para refletir a realidade criminal, de modo a permitir o melhor direcionamento de investimentos e políticas públicas. É primordial que as atividades dos ataques hackers, cada vez mais sofisticadas, sejam levadas ao conhecimento das autoridades para que as técnicas investigativas e o combate à criminalidade sejam aprimorados com tecnologia e eficiência equivalentes. Vale mencionar que a Polícia Civil e o Ministério Público de diversos estados, bem como a Polícia Federal possuem núcleos especializados no combate aos crimes virtuais, contando com profissionais extremamente competentes e atualizados.
Vale lembrar também que, para denunciar certos crimes, o Ministério Público depende da representação da vítima, o que evidencia a importância — e, em alguns casos, imprescindibilidade — da postura proativa de uma empresa que sofre um ataque à sua segurança da informação. E não apenas isso: a comunicação às autoridades oportuniza à organização um imediato posicionamento como vítima de um delito, o que pode se revelar estratégico não somente sob um viés jurídico, mas reputacional, sendo esse um aspecto particularmente sensível em casos de incidentes de segurança com dados pessoais.
Nesse ponto, é imperioso repensar o estigma do crime cibernético, que realmente pode afetar qualquer organização presente no mundo digital, na medida em que não pressupõe qualquer tipo de descuido ou despreparo. Basta lembrar do exemplo ocorrido em fevereiro desse ano nos Estados Unidos, quando se identificou um ataque hacker à rede do Departamento de Investigação Federal (FBI), uma das unidades de polícia investigativa e inteligência mais atuantes no combate à cibercriminalidade.
Ainda em relação aos riscos reputacionais, há de se destacar que, geralmente, por envolver dados pessoais, a investigação tramitará sob sigilo, o que pode ser bastante estratégico e expressamente requerido à autoridade policial por parte da empresa que faça a comunicação do crime.
Considerando todos esses fatores e o estágio incipiente de sancionamento por parte da ANPD, caberá às empresas, quando se depararem com um incidente de segurança, construir e propor soluções de modo a alcançar uma dosimetria de sanções administrativas que reflita de maneira justa as iniciativas adotadas para minimizar as consequências do evento, envidando esforços para auxiliar no combate e na prevenção da criminalidade cibernética, em busca de um ambiente virtual mais seguro para todos.