A dosimetria de sanções é decorrência do princípio constitucional da proporcionalidade, com base nas normas que estruturam o Estado democrático de Direito, e concretiza o princípio da individualização da pena, prevista art. 5º, inc. XLVI da Constituição Federal de 1988^[1]. A proporcionalidade está expressamente prevista nas regras que pautam o processo administrativo federal (art. 2º da Lei 9.784/1999) e, neste cenário, cabe aos agentes públicos adotar critérios objetivos e métricas coerentes para a intervenção no domínio privado ou para a aplicação de sanções, o que deve ocorrer tanto no que se refere a penas pecuniárias quanto a penas não pecuniárias^[2].

Recentemente, a Autoridade Nacional de Proteção de Dados abriu consulta pública acerca das regras para a dosimetria de suas sanções. A regulamentação e explicitação desses critérios por meio de uma resolução é um veículo de segurança jurídica aos administrados e garante a possibilidade de um controle democrático do exercício do poder estatal, enquanto a participação pública na elaboração destas regras é mais uma forma de contribuição dos administrados na aplicação da lei.

A adequada proporção entre a lesão a bem jurídico protegido e a pena aplicável ao infrator envolve a consideração de objetivos distintos, incluindo: a dissuasão do comportamento indesejado; a recomposição do estado anterior (quando viável); o incentivo a comportamento benéfico compensatório; a reparação pela ordenação de conduta futura, entre outros. Junto a estes objetivos, consideram-se também uma combinação de fatores e métricas ligados ao contexto da conduta ilícita e às condições particulares do infrator. Essa lógica é aplicável, não apenas às sanções, mas também aos acordos (e.g. Termo de Ajustamento de Conduta) nos quais podem ser definidas regras de comportamento e contribuições pecuniárias ao Estado.

Toda análise, contudo, deve partir da correta apuração do grau de lesão ao bem jurídico protegido pela norma, consideradas suas implicações para o interesse público e o bem comum. Disto decorre a necessidade de, independentemente dos critérios de dosimetria, contextuais, pessoais, ou do objetivo perseguido pela sanção, consolidar-se uma tipologia adequada de  tipos e graus de lesão à privacidade como elemento de orientação analítica, para a hipótese específica aqui examinada. Esta tipologia pode ser estipulada expressamente em regulação, a exemplo da norma em construção perante a ANPD, ou ser construída por meio da consolidação de uma jurisprudência, formada a partir do exercício concreto da atividade judicante administrativa.

Tal tipologia deve observar não apenas aspectos do tratamento ligados à proteção de dados pessoais, mas à privacidade em sentido amplo, de forma a sistematizar uma teoria geral que se coadune ao desenvolvimento tecnológico atual. Assim, criar um vocabulário que nomeie diferentes tipos e graus de lesão que podem impactar titulares de dados e a privacidade individual é passo fundamental para a aplicação consistente da LGPD e, consequentemente, da resolução da ANPD sobre dosimetria de suas sanções. Não adotar um vocabulário comum dificulta a harmonização das interpretações sobre como a conduta típica impacta direitos individuais, trazendo o risco de obscurecer debates substantivos em meio a discussões meramente terminológicas.

Consequências por violações à privacidade são variadas, complexificam-se com o desenvolvimento tecnológico, e nem sempre são materialmente tangíveis. Esta intangibilidade, não raramente ligada ao uso de tecnologia, leva autoridades a, inclusive, chegar a conclusões conflitantes entre si, dificultando a compreensão do escopo de proteção da privacidade. Assim, ao analisar a existência ou ausência de lesão em um caso concreto, cabe considerar de maneira rigorosa as razões pelas quais a privacidade individual seria ou não afetada, e em qual medida. A gravidade do dano é, inclusive, um dos principais elementos de dosimetria indicada na proposta de regulamentação pela ANPD. Sua avaliação, contudo, depende de interpretação, o que novamente nos levam à necessidade de adotar critérios objetivos.

Buscando uniformizar esta análise e criar vocabulário para se discutir casos de privacidade, Daniel Solove criou uma tipologia de danos à privacidade, que parece ser um bom ponto de partida para a construção de uma referência analítica para auxiliar os trabalhos da ANPD. De acordo com Solove, danos à privacidade podem ser divididos em vários tipos, dado que a privacidade é um termo guarda-chuva que envolve proteções distintas, ainda que relacionadas (SOLOVE, p. 18); é parte da privacidade a convivência familiar, a proteção de dados pessoais, a intimidade individual, e muitos outros aspectos de nossas vidas. Nessa linha, Solove propõe a seguinte categorização de danos à privacidade (SOLOVE, p. 832 e ss):

1. Físicos – violações de privacidade que levam a danos que incluam lesão corporal, morte ou outra forma de dano físico.
2. Econômicos – perdas financeiras diretas ou indiretas, ou desvalorização de algo, incluindo, por exemplo, a tomada de empréstimo em nome da pessoa afetada.
3. Reputacionais – impactos à imagem da pessoa em relação a terceiros (SOLOVE, p. 837).
4. Psicológicos – concerne uma gama de respostas mentais negativas e pode ser dividido entre (i) sofrimento emocional, ligado à manifestação de sentimentos desagradáveis ou dolorosos e (ii) perturbação, a ruptura da tranquilidade ou paz de espírito (SOLOVE, p. 841).
5. à Autonomia – quando há restrição à escolha do indivíduo, restringindo, inibindo, minando, ou influenciando suas escolhas indevidamente. Estas restrições indevidas de autonomia podem ser causadas por (i) coerção, (ii) manipulação, (iii) falta de informação, (iv) frustração de expectativas, (v) ausência de controle real sobre suas informações, ou (vi) arrefecendo/inibindo condutas lícitas (chilling effect) (SOLOVE, p. 845-6).
6. Discriminatório – tratamentos desiguais ou desfavorecidos em razão de pertença a um grupo social, ou outras características e afiliações como: gênero, raça, nacionalidade, orientação sexual, identidade de gênero, e idade; usualmente é associado à estigmatização e afeta mais diretamente grupos socialmente marginalizados causando não apenas a perda de oportunidades pontuais, mas também consequências psicológicas que, não raro, são permanentes.
7. ao Relacionamento – impactos causados às relações pessoais do indivíduo e que podem afetar suas saúde, bem-estar, atividades de vida, e participação em sociedade, podendo afetar relações profissionais, pessoais, e com diferentes agentes. Parte integral da privacidade é a habilidade de controlarmos quais informações revelamos a quem, e a revelação indevida de informações (i) é um dano em si mesmo, pela perda do controle sobre a informação causada pela violação de sua confidencialidade, e (ii) pode afetar a capacidade do indivíduo de criar novos relacionamentos, considerada a desconfiança que pode se instalar após alguma informação ser divulgada.

Com uma melhor delimitação dos tipos de dano à privacidade, é possível utilizar tais categorias para apresentar com mais clareza como uma determinada situação se encaixa, ou não, em uma ou mais das classificações. Invariavelmente, a mesma situação poderá ser observada por mais de uma perspectiva, mas a capacidade de separar suas potenciais consequências em categorias permite um debate mais claro acerca do problema que se busca resolver. Assim, adotar uma tipologia de danos pode, inclusive, facilitar a relação entre indivíduos e destes com empresas frente a uma questão de privacidade. Cumpre ressaltar que esta tipologia busca apenas identificar diferentes maneiras pelas quais o ilícito pode causar lesão à privacidade em uma análise abstrata. Qualquer avaliação de danos em concreto deverá levar em consideração outros fatores como o tipo de informação afetada, expectativa de privacidade, a adoção ou não de medidas mitigadoras, as condições específicas do sujeito ativo, e todo o contexto fático correspondente ao caso.

Ainda que não seja uma panaceia, adotar uma linguagem direcionada a classificar os diferentes problemas enfrentados em relação às violações de privacidade é o primeiro passo para resolvê-los em conjunto. Com a iminente aprovação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD, a possibilidade de se discutir estes tópicos com clareza se torna ainda mais importante para todos os atores envolvidos, garantindo-se maior precisão conceitual, clareza de comunicação e, consequentemente, promovendo maior segurança jurídica em relação à aplicação de sanção pela autoridade em cada caso.

^[1] Ver, em particular, acordão do STF no RE 374.981-RS (Informativo n. 381 STF), de relatoria do Minstro Celso de Mello.

^[2] MARANHÃO, J. S. A.; Freire, M.G. ; QUEIROGA FILHO, M. . A Pena de Desconstituição de Ativos em Processos de Conduta na Lei 12529/11 e na Jurisprudência do CADE. In: RODAS, J. G.. (Org.). Direito Concorrencial: Avanços e Perspectivas. 1ed.Curitiba: Prismas, 2018, v. 5, p. 105-132.

Originalmente publicado em JOTA.