Pular para o conteúdo
Compliance MSPA

Grau Do Dano

Definição Simples (O que é?)

Seção intitulada “Definição Simples (O que é?)”

O “Grau do dano” é a medida da gravidade ou do impacto que um Incidente de Segurança causa aos Titulares dos dados. É um dos principais critérios que a ANPD utiliza para decidir se um incidente é “relevante” (precisando de Comunicação) e para definir o nível da sanção a ser aplicada.

O dano pode ser financeiro (fraudes), moral (exposição), reputacional ou discriminatório.

Definição Formal (O que diz a Lei?)

Seção intitulada “Definição Formal (O que diz a Lei?)”

A LGPD, no Art. 52, § 1º, II, estabelece que “o grau do dano” é um dos critérios que será levado em consideração na aplicação de sanções.

Além disso, o Regulamento de Dosimetria e Aplicação de Sanções (Resolução CD/ANPD nº 4/2023) detalha que o “Grau do dano” é um elemento central para classificar a gravidade da infração, avaliando a “extensão e a intensidade” das consequências do incidente para os Titulares.

Exemplos Práticos

Seção intitulada “Exemplos Práticos”

  • Dano Potencial Baixo: O vazamento de uma lista de e-mails de uma newsletter (pode gerar spam, mas o risco de dano direto é limitado).

  • Dano Potencial Médio: A exposição de nomes completos e CPFs de clientes (risco de uso indevido para fraudes simples).

  • Dano Potencial Alto: O vazamento de Dados Pessoais Sensíveis, como diagnósticos médicos, que pode levar à discriminação do Titular no seu plano de saúde ou emprego.

  • Dano Concreto: Um Titular que tem o seu nome negativado ou sofre um golpe financeiro comprovadamente por causa de dados vazados da empresa.

Ponto de Atenção (Erro Comum)

Seção intitulada “Ponto de Atenção (Erro Comum)”

O equívoco mais comum é a empresa avaliar o “dano” apenas sob a sua própria ótica (prejuízo financeiro ou de imagem da empresa).

A ANPD analisa o dano sob a ótica do Titular. Um incidente que não custa nada financeiramente à empresa (ex: o vazamento interno de dados de RH) pode gerar um dano moral ou discriminatório altíssimo para o funcionário, e é esse dano que será usado na Fiscalização e na dosimetria da sanção.

Você Sabia? (Curiosidade)

Seção intitulada “Você Sabia? (Curiosidade)”

O “grau do dano” não é usado apenas após o incidente (na Atividade Repressiva). Ele deve ser analisado preventivamente (na Atividade Preventiva). Na elaboração de um Relatório de Impacto à Proteção de Dados (RIPD) para um novo projeto, a empresa deve avaliar qual é o potencial “grau do dano” que esse projeto poderia causar se algo desse errado, e criar Medidas de Segurança para mitigá-lo.

Termos Relacionados

Seção intitulada “Termos Relacionados”

  • Incidente de Segurança

  • Comunicação de Incidente de Segurança

  • ANPD (Autoridade Nacional de Proteção de Dados)

  • Sanção (categoria de sanções)

  • Risco

  • Relatório de Impacto à Proteção de Dados (RIPD)

  • Titular