LGPD perdeu força assim que decidiram que o usuário tem que comprovar danos pelo vazamento dos dados, coisa impossível, né.
O correto seria indenizar todo mundo que teve os dados vazados imediatamente, não importando se alguém chegou a se aproveitar da situação ou não.
Não precisa ser um valor que vá quebrar a empresa, mas um valor que leve ao pensamento:
"Poxa! É melhor investir na proteção de dados do que pagar essa multa."