LGPD Comentada #25: Sanções administrativas — da advertência à multa de R$ 50 milhões
Nenhum regime de proteção de dados funciona sem consequências para quem descumpre as regras. A LGPD reconhece isso nos seus Arts. 52 a 54, que desenham um sistema sancionatório com doze tipos de penalidades — da simples advertência à proibição total de atividades de tratamento de dados. O regime é complementado por um Regulamento de Dosimetria (Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023), que define como a Autoridade Nacional calcula o valor das multas e gradua a severidade das sanções.
Este post analisa cada dispositivo do bloco sancionatório, examina os critérios que a ANPD utiliza para dosar penalidades e revisa todos os casos de sanção já aplicados no Brasil.
Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.
Art. 52 — O rol de sanções administrativas
O Art. 52 é o dispositivo central do regime sancionatório. Ele lista as penalidades aplicáveis pela ANPD e define os critérios para sua dosimetria.
As doze sanções previstas
"Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional"
A lei organiza as sanções em uma escala crescente de gravidade:
| Inciso | Sanção | Descrição |
|---|---|---|
| I | Advertência | Com indicação de prazo para adoção de medidas corretivas |
| II | Multa simples | Até 2% do faturamento no Brasil, limitada a R$ 50 milhões por infração |
| III | Multa diária | Com o mesmo limite total do inciso II |
| IV | Publicização da infração | Após devidamente apurada e confirmada a ocorrência |
| V | Bloqueio dos dados pessoais | Até a regularização da infração |
| VI | Eliminação dos dados pessoais | Referentes à infração |
| X | Suspensão parcial do banco de dados | Por até 6 meses, prorrogável por igual período |
| XI | Suspensão da atividade de tratamento | Por até 6 meses, prorrogável por igual período |
| XII | Proibição parcial ou total | Do exercício de atividades de tratamento de dados |
Nota legislativa: Os incisos X, XI e XII foram acrescentados pela Lei nº 13.853/2019. Não constavam da redação original da LGPD. Os incisos VII, VIII e IX não existem — foram numeração reservada no trâmite legislativo. A inclusão dessas três sanções mais severas refletiu a percepção de que advertências e multas, sozinhas, poderiam ser insuficientes para coibir violações graves ou reiteradas.
Gradação obrigatória: as sanções mais severas exigem sanção prévia
O §6º do Art. 52 impõe uma condição para aplicação das sanções dos incisos X, XI e XII: elas somente podem ser aplicadas após já ter sido imposta ao menos uma das sanções dos incisos II a VI no mesmo caso concreto. Além disso, quando o controlador estiver sujeito a outros órgãos com competências sancionatórias, esses órgãos devem ser ouvidos.
Na prática: a ANPD não pode, como primeira medida, suspender as atividades de tratamento de uma empresa. Precisa primeiro ter aplicado multa, publicização, bloqueio ou eliminação. Isso garante que as sanções mais drásticas — que podem efetivamente paralisar operações — só sejam usadas quando as penalidades anteriores se mostrarem insuficientes.
Multa: como funciona o cálculo
A multa simples (inciso II) tem dois limites concorrentes:
- Percentual: até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no último exercício, excluídos os tributos
- Valor absoluto: R$ 50.000.000,00 (cinquenta milhões de reais) por infração
Aplica-se o menor dos dois. Para microempresas e empresas de pequeno porte, o limite de 2% sobre o faturamento bruto resulta em valores bem menores — como no caso da Telekall, onde a multa foi de R$ 14.400,00.
A multa diária (inciso III) segue a mesma lógica de teto, mas é aplicada por dia de descumprimento. Serve para compelir o infrator a regularizar a situação dentro de um prazo estipulado pela ANPD.
Os onze critérios de dosimetria (Art. 52, §1º)
O §1º do Art. 52 é tão importante quanto o caput. Ele define os onze parâmetros que a ANPD deve considerar ao decidir qual sanção aplicar e em que intensidade:
"As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios"
| Nº | Critério | O que avalia |
|---|---|---|
| I | Gravidade e natureza das infrações | Tipo de dado afetado, volume de titulares, extensão do dano |
| II | Boa-fé do infrator | Intenção deliberada vs. negligência vs. erro escusável |
| III | Vantagem auferida ou pretendida | Ganho econômico obtido com a infração |
| IV | Condição econômica do infrator | Capacidade financeira — multa deve ser proporcional |
| V | Reincidência | Se já foi sancionado anteriormente pela ANPD |
| VI | Grau do dano | Impacto concreto sobre os titulares |
| VII | Cooperação do infrator | Colaboração com a ANPD durante a investigação |
| VIII | Adoção de mecanismos internos | Existência de processos de segurança e governança de dados |
| IX | Política de boas práticas e governança | Programa de conformidade demonstrável (Art. 50) |
| X | Pronta adoção de medidas corretivas | Rapidez na resposta ao incidente ou à infração |
| XI | Proporcionalidade | Entre a gravidade da falta e a intensidade da sanção |
Observação crítica: Os critérios VIII e IX funcionam como atenuantes. Uma organização que possui programa de governança em privacidade (Art. 50), que mantém inventário de tratamento atualizado e que adota medidas de segurança adequadas terá esses fatores considerados a seu favor. Isso não elimina a sanção, mas pode reduzir significativamente sua severidade.
O Regulamento de Dosimetria: Resolução CD/ANPD nº 4/2023
O Art. 53 da LGPD determina que a ANPD defina, por meio de regulamento próprio, as metodologias para cálculo do valor-base das multas:
"A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa"
Em cumprimento a esse mandamento, a ANPD publicou a Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, que aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. O regulamento entrou em vigor na data de publicação (27 de fevereiro de 2023) e se aplica aos processos administrativos em curso.
Como funciona a dosimetria na prática
O Regulamento de Dosimetria estabelece uma metodologia estruturada para que a ANPD calcule o valor-base das multas e escolha a sanção adequada. Os principais elementos são:
1. Classificação da infração: As infrações são classificadas em leve, média ou grave, de acordo com critérios que incluem a natureza dos dados afetados (dados sensíveis pesam mais), o número de titulares impactados e a existência de dano.
2. Cálculo do valor-base: O valor-base da multa é definido a partir da classificação e ajustado pelos onze critérios do Art. 52, §1º. Circunstâncias agravantes (reincidência, vantagem econômica) aumentam o valor; atenuantes (cooperação, programa de governança) o reduzem.
3. Proporcionalidade: A ANPD pode afastar a metodologia padrão ou substituir a sanção de multa por outra sempre que constatar prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção, conforme o inciso XI do §1º do Art. 52.
4. Cumulação de sanções: As sanções podem ser aplicadas de forma isolada ou cumulativa. Uma mesma decisão pode, por exemplo, aplicar advertência para uma infração e multa para outra, no mesmo processo.
Na prática: O Regulamento de Dosimetria deu previsibilidade ao sistema sancionatório. Antes dele, não havia parâmetros claros de como a ANPD calcularia multas. Agora, o agente de tratamento pode — e deve — avaliar sua exposição a sanções com base nos critérios publicados.
Art. 54 — O regime diferenciado para órgãos públicos
O Art. 54 trata das sanções aplicáveis a órgãos e entidades públicas. A diferença fundamental é: órgãos públicos não recebem multa.
O dispositivo restringe as sanções aplicáveis a entidades e órgãos públicos a:
- Advertência (Art. 52, I)
- Publicização da infração (Art. 52, IV)
- Bloqueio dos dados pessoais (Art. 52, V)
- Eliminação dos dados pessoais (Art. 52, VI)
- Suspensão parcial do banco de dados (Art. 52, X)
- Suspensão da atividade de tratamento (Art. 52, XI)
- Proibição parcial ou total de atividades de tratamento (Art. 52, XII)
Ficam excluídas as multas simples e diárias (incisos II e III).
Por que órgãos públicos não são multados
A lógica é que multar um órgão público significaria retirar recursos de um orçamento que atende a coletividade — o dano recairia sobre os próprios cidadãos que a sanção visa proteger. O legislador optou por mecanismos de pressão institucional: a publicização da infração gera dano reputacional ao gestor público, e a suspensão de atividades de tratamento pode paralisar serviços.
Responsabilização pessoal
O Art. 52, §3º, complementa essa lacuna: a ANPD pode comunicar aos órgãos de controle (CGU, TCU, Ministério Público) sobre infrações cometidas por órgãos públicos. Além disso, o Art. 54 ressalva a aplicação da Lei nº 8.112/1990 (Estatuto dos Servidores), da Lei nº 8.429/1992 (Improbidade Administrativa) e da Lei nº 12.527/2011 (Lei de Acesso à Informação).
Na prática: Embora o órgão não receba multa, o servidor público responsável pela infração pode responder pessoalmente por improbidade administrativa. É uma via indireta, mas potencialmente mais severa — improbidade pode resultar em perda de cargo, suspensão de direitos políticos e obrigação de ressarcimento.
Cases reais: as sanções já aplicadas pela ANPD
Até março de 2026, a ANPD concluiu um número reduzido de processos sancionatórios. O volume baixo reflete a estratégia deliberada da autoridade de priorizar regulamentação e orientação nos primeiros anos, antes de intensificar a fiscalização punitiva. Ainda assim, os casos concluídos oferecem lições importantes.
Caso 1: Telekall Infoservice — a primeira multa (julho de 2023)
A Telekall Infoservice, microempresa de telecomunicações de Ubatuba/SP, foi o primeiro agente de tratamento a receber multa da ANPD. A investigação teve origem em denúncia de que a empresa oferecia listagens de contatos de WhatsApp de eleitores para disparo de mensagens de campanha eleitoral nas eleições municipais de 2020.
Infrações identificadas:
- Tratamento de dados pessoais sem base legal (violação ao Art. 7º)
- Ausência de encarregado de proteção de dados (violação ao Art. 41)
- Não atendimento a requisição da ANPD (violação ao Art. 5º do Regulamento de Fiscalização)
Sanções aplicadas:
- Multa simples de R$ 14.400,00 (limitada a 2% do faturamento por se tratar de microempresa)
- Advertência pela ausência de encarregado
Lição: O valor modesto da multa — R$ 14.400 — gerou debate. Para uma microempresa, representava o teto proporcional. Mas a sinalização foi clara: a ANPD está disposta a atuar, independentemente do porte do infrator.
Caso 2: Secretaria de Educação do Distrito Federal — SEEDF (janeiro de 2024)
A SEEDF foi sancionada por expor indevidamente dados cadastrais e de saúde de cerca de 3.000 candidatos inscritos no Programa Educação Precoce.
Sanções aplicadas:
- Quatro advertências, em despacho decisório publicado em 31 de janeiro de 2024
Como órgão público, a SEEDF não foi multada — mas a publicização do caso e as medidas corretivas determinadas geraram impacto reputacional significativo para a gestão da secretaria.
Caso 3: IAMSPE — Instituto de Assistência ao Servidor Público Estadual de São Paulo (outubro de 2023)
O IAMSPE sofreu incidente de segurança que expôs dados pessoais de milhões de servidores públicos estaduais e seus dependentes. A ANPD concluiu que o instituto não comunicou o incidente adequadamente aos titulares (violação ao Art. 48) e não manteve sistemas seguros de armazenamento (violação ao Art. 49).
Sanções aplicadas:
- Duas advertências (uma por infração)
- Determinação de medidas corretivas: cronograma de segurança e comunicado atualizado aos titulares mantido por ao menos 90 dias
Caso 4: INSS — Instituto Nacional do Seguro Social (2024)
O INSS foi sancionado pela ausência de comunicação aos titulares sobre incidente de segurança ocorrido em 2022, violando o Art. 48 da LGPD.
Sanção aplicada:
- Publicização da infração — o INSS foi obrigado a divulgar a infração em seu site oficial e aplicativo Meu INSS por 60 dias
Este caso foi relevante por aplicar a sanção de publicização (inciso IV do Art. 52), que até então não havia sido utilizada. A publicização é considerada uma das sanções mais temidas por entidades públicas, pelo dano reputacional que causa.
Padrão observado
Os casos concluídos até agora revelam um padrão:
- Órgãos públicos receberam advertências e publicização
- Empresa privada (Telekall) recebeu multa, mas de valor modesto
- Infrações recorrentes: ausência de comunicação de incidentes, falta de medidas de segurança, ausência de encarregado, tratamento sem base legal
- Foco em educação: em todos os casos, a ANPD determinou medidas corretivas, sinalizando que a prioridade é adequação, não punição exemplar
Comparação com o GDPR europeu
A comparação com o regime sancionatório do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia é inevitável — e revela diferenças significativas de escala.
| Critério | LGPD (Brasil) | GDPR (UE) |
|---|---|---|
| Multa máxima | 2% do faturamento no Brasil, até R$ 50 milhões | 4% do faturamento global ou €20 milhões |
| Base de cálculo | Faturamento no Brasil, excluídos tributos | Faturamento global anual |
| Multa diária | Sim, com mesmo teto da multa simples | Não prevista expressamente |
| Sanções não pecuniárias | Suspensão, bloqueio, proibição | Proibição de tratamento, limitação de operações |
| Órgãos públicos | Sem multa (Art. 54) | Possibilidade varia por Estado-membro |
Diferenças de fundo:
A maior diferença não está nos valores, mas na base de cálculo. Enquanto o GDPR usa o faturamento global da empresa (o que permitiu a multa de €1,2 bilhão contra a Meta pela Comissão Irlandesa de Proteção de Dados em 2023), a LGPD usa apenas o faturamento no Brasil. Para multinacionais, o impacto financeiro potencial da LGPD é significativamente menor.
O teto absoluto de R$ 50 milhões por infração, embora expressivo para empresas brasileiras, é modesto quando comparado às multas europeias, que ultrapassam centenas de milhões de euros em casos envolvendo big techs.
Erros comuns e controvérsias
1. "A LGPD não tem punição real"
Essa percepção, comum nos primeiros anos, é cada vez menos sustentável. As sanções dos incisos X a XII — suspensão de banco de dados, suspensão de atividades, proibição de tratamento — podem ser mais devastadoras que qualquer multa. Para uma empresa digital que depende do tratamento de dados para operar, a proibição de tratar dados equivale ao encerramento das operações.
2. Confundir sanção administrativa com responsabilidade civil
As sanções do Art. 52 são administrativas — aplicadas pela ANPD em processo administrativo. Elas não substituem e não impedem a responsabilidade civil (Art. 42), que é apurada pelo Judiciário e pode resultar em indenizações por danos morais e materiais. Uma empresa pode, ao mesmo tempo, ser multada pela ANPD e condenada judicialmente a indenizar titulares.
3. Ignorar atenuantes disponíveis
Os critérios VIII e IX do §1º do Art. 52 são atenuantes que muitas organizações não exploram. Ter um programa de governança em privacidade (Art. 50), manter inventário de atividades de tratamento atualizado e adotar medidas de segurança documentadas reduz concretamente a severidade de eventuais sanções. O investimento em conformidade é, portanto, uma estratégia de mitigação de risco financeiro.
4. Assumir que órgão público é imune
A ausência de multa não significa ausência de consequências. Publicização da infração, suspensão de atividades e comunicação aos órgãos de controle são sanções com impacto real. Além disso, a responsabilização pessoal do servidor por improbidade administrativa é uma via independente que a ANPD pode acionar.
Conclusão
O regime sancionatório da LGPD é mais sofisticado do que parece à primeira vista. Não se resume a multas de até R$ 50 milhões — inclui doze tipos de sanção, onze critérios de dosimetria e um regulamento detalhado para aplicação. As sanções mais severas (suspensão e proibição de tratamento) podem ser mais impactantes que qualquer valor pecuniário, especialmente para empresas cuja operação depende de dados.
Os primeiros anos de atuação sancionatória da ANPD foram marcados por prudência — poucas sanções, valores modestos, foco em órgãos públicos. Mas com a consolidação institucional da autoridade como autarquia especial e a evolução da regulamentação, a tendência é de intensificação gradual, tanto em volume de processos quanto em severidade.
O cálculo é claro: investir em conformidade antes da sanção custa menos — em dinheiro e em reputação — do que lidar com as consequências depois.
A Confidata permite que organizações avaliem sua exposição sancionatória com base nos critérios do Art. 52, §1º, automatizando o inventário de atividades de tratamento, o registro de medidas de segurança e a documentação do programa de governança — exatamente os fatores que a ANPD considera como atenuantes. Conheça nossa plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.