A ANPD já aplicou as primeiras sanções financeiras no setor privado brasileiro, o regime de dosimetria está em pleno vigor e a Deliberação CD-10/2025 introduziu multas diárias por descumprimento de medidas cautelares. Entender como as penalidades da LGPD funcionam, quais fatores as elevam ou reduzem e o que a jurisprudência administrativa mais recente revela sobre o comportamento da autoridade reguladora deixou de ser uma precaução preventiva para se tornar uma necessidade operacional concreta.
O rol de sanções previstas na LGPD
A Lei nº 13.709/2018 estabelece, no art. 52, um conjunto escalonado de sanções administrativas aplicáveis pela ANPD. As penalidades não se limitam às multas financeiras: advertência com prazo para adoção de medidas corretivas; publicização da infração, que transforma o processo sancionatório em risco reputacional público; bloqueio dos dados pessoais a que se refere a infração; eliminação dos dados pessoais; multa simples de até 2% do faturamento bruto no último exercício, limitada a R$50 milhões por infração; multa diária, com o mesmo teto de R$50 milhões; suspensão parcial do funcionamento do banco de dados por até seis meses, prorrogável por igual período; suspensão do exercício da atividade de tratamento dos dados pessoais; e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As sanções mais graves, como a suspensão e a proibição, são de aplicação subsidiária: pela Resolução CD/ANPD nº 4/2023, só podem ser aplicadas após já ter sido imposta ao menos uma sanção anterior ao mesmo infrator no mesmo caso concreto. Isso não significa que o percurso até elas seja longo: a progressão pode ser rápida para empresas que não respondem às notificações da autoridade ou deixam de adotar as medidas corretivas determinadas.
Como a dosimetria funciona na prática
A Resolução CD/ANPD nº 4/2023, publicada em 27 de fevereiro de 2023, estabeleceu o método para gradação e cálculo das penalidades, tornando operacional o regime sancionatório da LGPD. Antes dessa resolução, a ANPD já tinha competência formal para sancionar, mas carecia de parâmetros objetivos para o cálculo das multas pecuniárias. A resolução corrigiu essa lacuna e definiu um sistema estruturado em três etapas, conforme detalhado pelo levantamento da LGPDPro.
Na primeira etapa, a ANPD define o valor-base da multa, calculado a partir de um percentual sobre o faturamento bruto do infrator no exercício anterior, sempre respeitado o teto de R$50 milhões por infração. Esse percentual de partida varia conforme a classificação da infração, que pode ser leve, média ou grave. Na segunda etapa, o valor-base é ajustado por fatores agravantes e atenuantes, com atribuição de pontuação a cada critério. Na terceira etapa, aplica-se a proporcionalidade final, considerando o impacto concreto da violação sobre os titulares afetados. Em 2024, a Resolução CD/ANPD nº 5 atualizou a metodologia, introduzindo maior objetividade ao sistema de pontuação e tornando o processo mais previsível para os agentes de tratamento.
Os onze critérios do art. 52, §1º da LGPD orientam a dosimetria: gravidade da infração e dos direitos afetados; boa-fé do infrator; vantagem auferida; condição econômica; reincidência; grau do dano; cooperação; adoção de mecanismos de segurança; adoção de política de boas práticas; adoção de medidas corretivas; e proporcionalidade entre a gravidade da falta e a intensidade da sanção.
O que o primeiro caso sancionatório revelou
Em julho de 2023, a ANPD publicou no Diário Oficial da União a primeira decisão sancionatória com multa no setor privado: a Telekall Infoservice, microempresa de telemarketing, foi penalizada com advertência e duas multas de R$7.200 cada, totalizando R$14.400. O processo havia sido instaurado em março de 2022, decorrendo de cinco infrações simultâneas: ausência de base legal para o tratamento de dados pessoais; ausência de registro de operações de tratamento; não envio de Relatório de Impacto à Proteção de Dados Pessoais (RIPD); ausência de encarregado de dados (DPO) nomeado; e não atendimento às requisições da ANPD durante o processo de fiscalização, conforme relatado pela Migalhas.
O valor nominal de R$14.400 é modesto, mas o aspecto tecnicamente relevante do caso está no cálculo: a multa correspondeu a 2% do faturamento bruto da empresa, ou seja, ao teto legal aplicável ao seu porte. Para uma organização maior com o mesmo conjunto de infrações, o valor poderia chegar a R$50 milhões por infração. O caso Telekall demonstra que a ANPD não segmentou sua atuação por porte de empresa: o critério foi a gravidade das condutas e a resistência à cooperação com a autoridade reguladora.
| Infração identificada (Telekall) | Base legal violada | Impacto na dosimetria |
|---|---|---|
| Ausência de base legal para tratamento | Art. 7º e 11º, LGPD | Agravante |
| Ausência de registro de operações | Art. 37, LGPD | Agravante |
| Não envio do RIPD | Art. 38, LGPD | Agravante |
| Ausência de DPO nomeado | Art. 41, LGPD | Agravante |
| Não atendimento às requisições da ANPD | Art. 55-J, LGPD | Agravante crítico |
Até agosto de 2024, a ANPD havia aplicado 18 sanções administrativas, das quais apenas duas foram multas. As demais sanções incidiram sobre órgãos públicos, que por vedação legal não podem ser multados. Em 2024, nenhuma empresa privada foi sancionada financeiramente. O contraste com o cenário europeu é revelador: apenas entre janeiro de 2023 e janeiro de 2024, as multas do GDPR na União Europeia somaram €1,78 bilhão, conforme dados compilados pelo portal TI Inside. A diferença não reflete ausência de risco no Brasil, mas um ciclo de maturação regulatória que os indicadores de 2025 sugerem estar acelerado.
O novo patamar de enforcement em 2025 e 2026
A Deliberação CD-10/2025 representa uma inflexão relevante na capacidade coercitiva da ANPD. Ao introduzir multas diárias para o descumprimento de medidas cautelares, a resolução cria um mecanismo de pressão contínua sobre empresas que não adotam as correções determinadas pela autoridade dentro dos prazos estabelecidos. Na prática, uma empresa que recebe uma medida cautelar e deixa de cumpri-la começa a acumular passivo diário, potencialmente até o teto de R$50 milhões.
A transformação da ANPD em agência reguladora independente, formalizada pela MP nº 1.317/2025, eliminou as restrições orçamentárias e de quadro que antes limitavam a escala da fiscalização. Com carreira própria de auditores, autonomia financeira e prerrogativas de interdição, a ANPD deixou de ser estruturalmente limitada na quantidade de processos sancionatórios que pode manter em paralelo.
Risco civil paralelo ao administrativo
A jurisprudência do STJ amplifica esse cenário. Em 2025, a 3ª Turma consolidou o entendimento de que o vazamento de dados sensíveis configura dano moral presumido, independentemente de comprovação de prejuízo concreto pelo titular, nos julgamentos dos REsp nº 2.121.904/SP e REsp nº 2.201.694/SP. Empresas que sofreram incidentes envolvendo dados sensíveis enfrentam responsabilidade civil objetiva paralela à responsabilidade administrativa perante a ANPD.
O que determina o valor efetivo da multa
A diferença entre uma multa no piso do cálculo e uma multa próxima ao teto de R$50 milhões é determinada pela combinação de fatores que a ANPD pondera na dosimetria. Os elementos que sistematicamente elevam o valor são: gravidade da infração classificada como alta; impacto sobre dados sensíveis, como dados de saúde, biométricos, financeiros, raciais ou religiosos; volume expressivo de titulares afetados; vantagem econômica identificável obtida pelo infrator; reincidência em infrações à LGPD; ausência de cooperação com a autoridade durante o processo; e omissão completa em adotar medidas corretivas mesmo após a ciência da violação.
| Fator | Efeito na dosimetria | Fundamento legal |
|---|---|---|
| Dados sensíveis afetados | Eleva o valor | Art. 52, §1º, I, LGPD |
| Reincidência | Eleva o valor | Art. 52, §1º, V, LGPD |
| Ausência de cooperação | Eleva o valor | Art. 52, §1º, VII, LGPD |
| Vantagem econômica auferida | Eleva o valor | Art. 52, §1º, III, LGPD |
| Boa-fé demonstrada | Reduz o valor | Art. 52, §1º, II, LGPD |
| Programa de boas práticas documentado | Reduz o valor | Art. 52, §1º, VIII, LGPD |
| Medidas corretivas adotadas espontaneamente | Reduz o valor | Art. 52, §1º, X, LGPD |
A LGPD não é uma lei de intenções. É uma lei de consequências documentadas, calculadas e progressivas. O compliance com a LGPD não é uma resposta ao risco de ser autuado: é a diferença entre enfrentar um processo sancionatório com argumentos legítimos de atenuação ou enfrentá-lo sem nenhum.
O que a Apter oferece nessa frente
A Apter estrutura programas de conformidade com a LGPD com foco em sustentabilidade operacional e documentação que resiste a processos sancionatórios reais. O trabalho começa pelo diagnóstico: mapeamento das atividades de tratamento de dados, identificação das bases legais aplicáveis a cada operação, avaliação das lacunas documentais e análise dos riscos prioritários por setor e volume de dados tratados. A partir do diagnóstico, a Apter estrutura as políticas, fluxos e documentos necessários para a adequação, implementa os processos de governança de dados, realiza treinamentos para equipes operacionais e para o DPO, e pode assumir integralmente a função de encarregado de dados pessoais como serviço terceirizado.
Para empresas que já passaram por incidentes de segurança ou receberam notificações da ANPD, a Apter atua na resposta técnica e jurídica ao processo sancionatório, incluindo a elaboração de defesa administrativa, a estruturação de medidas corretivas e, quando aplicável, a negociação de termos de compromisso com a autoridade.
Perguntas Frequentes sobre Multas da LGPD
Toda empresa está sujeita às multas da LGPD?
Sim. A LGPD se aplica a qualquer pessoa natural ou jurídica que realize o tratamento de dados pessoais no Brasil, independentemente do porte, do setor de atuação ou da natureza pública ou privada da organização. A Resolução CD/ANPD nº 2/2022 criou regime simplificado para agentes de tratamento de pequeno porte, com dispensa de algumas formalidades, mas as obrigações fundamentais de base legal, transparência, segurança e comunicação de incidentes aplicam-se a todos. O caso Telekall demonstrou que microempresas também estão no escopo da fiscalização.
Qual é o valor máximo de multa previsto na LGPD?
A multa simples pode chegar a 2% do faturamento bruto da empresa no último exercício, limitada a R$50 milhões por infração. A multa diária tem o mesmo teto. As penalidades são cumulativas: uma empresa pode ser sancionada com multa simples e multa diária pelo mesmo episódio, além de advertência e publicização da infração, que são sanções autônomas. A definição do valor efetivo dentro dessa faixa depende da dosimetria aplicada pela ANPD com base nos critérios da Resolução CD/ANPD nº 4/2023.
O que é o encarregado de dados (DPO) e por que a ANPD o considerou relevante no primeiro caso sancionatório?
O encarregado de dados, também chamado de Data Protection Officer (DPO), é o profissional responsável por atuar como canal de comunicação entre a empresa, os titulares dos dados e a ANPD. Sua indicação é obrigatória pela LGPD, e a ausência desse profissional foi uma das cinco infrações que compuseram o processo sancionatório contra a Telekall. Além da obrigação formal, o DPO ativo é um dos elementos que a ANPD considera como fator atenuante na dosimetria das sanções.
O que é o Relatório de Impacto à Proteção de Dados Pessoais (RIPD)?
O RIPD é um documento que descreve os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares. Sua elaboração é exigida pela LGPD para operações de tratamento que representem alto risco. A ausência do RIPD foi também uma das infrações identificadas no caso Telekall e constitui uma das condutas que a ANPD avalia como indicativa de ausência de governança de dados.
A empresa pode negociar com a ANPD durante um processo sancionatório?
Sim. A ANPD tem celebrado termos de compromisso que encerram processos sancionatórios mediante a adoção de medidas corretivas dentro de prazos estabelecidos. Esse instrumento é acessível especialmente a empresas que demonstram boa-fé, cooperam com a autoridade e já possuem estrutura de conformidade prévia. A empresa que só passa a tomar providências após ser notificada tem posição negocial significativamente mais frágil do que aquela que já mantinha programa de governança de dados em operação antes da fiscalização.
Como um programa de compliance reduz o risco de multa?
O art. 52, §1º da LGPD lista expressamente como fatores atenuantes: a boa-fé do infrator, a adoção de política de boas práticas e governança e a adoção de medidas corretivas após a ciência da violação. Na prática, uma empresa com mapeamento de dados atualizado, base legal documentada por operação de tratamento, DPO ativo, registros de tratamento disponíveis para fiscalização e histórico de cooperação com a ANPD inicia qualquer processo sancionatório com argumentos concretos de redução da penalidade. Programa de compliance não elimina o risco de infração, mas altera estruturalmente a posição da empresa quando a infração ocorre.