Legislação e ANPD15 min de leitura

Mapa de Sanções da ANPD — Todos os Casos Aplicados Até 2026

Equipe Confidata·
Compartilhar

Sanções da ANPD deixaram de ser hipótese teórica. Desde julho de 2023, quando aplicou a primeira multa, a Autoridade Nacional de Proteção de Dados já sancionou empresas e órgãos públicos em pelo menos nove processos administrativos sancionadores — e a tendência para 2026 e 2027 é de aceleração. Neste post, mapeamos todos os casos, analisamos os padrões e extraímos as lições concretas para quem trabalha com conformidade.

O poder sancionatório da ANPD: fundamento legal

O Art. 52 da LGPD estabelece as sanções administrativas aplicáveis pela ANPD aos agentes de tratamento que cometerem infrações. O rol inclui:

  • Advertência, com indicação de prazo para adoção de medidas corretivas
  • Multa simples, de até 2% do faturamento da pessoa jurídica no último exercício, limitada a R$ 50 milhões por infração
  • Multa diária, observado o mesmo limite de R$ 50 milhões
  • Publicização da infração, após devidamente apurada e confirmada a sua ocorrência
  • Bloqueio dos dados pessoais a que se refere a infração
  • Eliminação dos dados pessoais a que se refere a infração
  • Suspensão parcial do funcionamento do banco de dados por até 6 meses
  • Suspensão do exercício da atividade de tratamento por até 6 meses
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados

Os critérios para aplicação dessas sanções foram regulamentados pela Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023 — o Regulamento de Dosimetria, que detalharemos adiante.

Todos os casos sancionados: linha do tempo completa

2023 — As três primeiras sanções

1. Telekall Infoservice (julho de 2023) — Primeira multa da história da ANPD

O que aconteceu: A microempresa de telefonia oferecia listagens de contatos de WhatsApp de eleitores para fins de campanha eleitoral, sem qualquer base legal para o tratamento dos dados pessoais.

Infrações identificadas:

  • Violação do Art. 7º da LGPD — tratamento de dados pessoais sem base legal
  • Violação do Art. 41 da LGPD — ausência de nomeação de encarregado de dados
  • Não atendimento a requisições da ANPD durante a fiscalização

Sanções aplicadas:

  • Multa de R$ 7.200,00 pela violação do Art. 7º
  • Multa de R$ 7.200,00 pela violação do Art. 5º do Regulamento de Fiscalização
  • Advertência pela ausência de encarregado de dados
  • Total: R$ 14.400,00 — valores reduzidos por se tratar de microempresa

Lição: Mesmo empresas de pequeno porte estão sujeitas a sanções. A ausência de base legal e de encarregado nomeado são infrações básicas e facilmente detectáveis.

2. IAMSPE — Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (outubro de 2023)

O que aconteceu: O IAMSPE sofreu um incidente de segurança que afetou dados pessoais de usuários do sistema, mas não comunicou adequadamente os titulares afetados.

Infrações identificadas:

  • Violação do Art. 48 da LGPD — não comunicação de incidente de segurança aos titulares
  • Violação do Art. 49 da LGPD — ausência de medidas de segurança adequadas

Sanções aplicadas:

  • Advertência com determinação de correção das falhas em prazo definido
  • Obrigação de comunicar o incidente aos titulares afetados

Lição: A obrigação de comunicação de incidentes não é opcional. Mesmo quando o incidente é contido, se dados pessoais foram potencialmente comprometidos, os titulares devem ser informados.

3. Secretaria de Estado de Saúde de Santa Catarina — SES-SC (outubro de 2023)

O que aconteceu: A SES-SC sofreu uma exfiltração de aproximadamente 4 GB de dados, afetando mais de 300 mil pessoas. O órgão não comunicou individualmente os titulares afetados pelo incidente.

Infrações identificadas:

  • Não comunicação individual aos titulares afetados
  • Medidas de segurança insuficientes para proteger os dados

Sanções aplicadas:

  • Quatro sanções de advertência
  • Medidas corretivas obrigatórias, incluindo comunicação aos titulares e adequação das medidas de segurança

Lição: O volume dos dados comprometidos agrava a situação. Quando centenas de milhares de pessoas são afetadas, a ANPD exige comunicação individual — avisos genéricos no site não bastam.

2024 — Cinco processos, todos contra órgãos públicos

4. INSS — Instituto Nacional do Seguro Social (2024)

O que aconteceu: O INSS sofreu incidente de segurança entre agosto e setembro de 2022, mas não comunicou os titulares de dados afetados, nem atendeu determinações da ANPD.

Infrações identificadas:

  • Não comunicação do incidente de segurança aos titulares
  • Não atendimento a determinações da ANPD

Sanções aplicadas:

  • Publicização da infração — obrigação de divulgar a sanção no site institucional e no aplicativo "Meu INSS" por 60 dias
  • Obrigação de notificação dos titulares afetados

Lição: A publicização da infração é uma sanção reputacional grave. Para um órgão que atende dezenas de milhões de brasileiros, a exposição no próprio aplicativo tem impacto significativo.

5. Secretaria de Estado de Educação do Distrito Federal — SEEDF (2024)

O que aconteceu: A SEEDF expôs dados pessoais e de saúde de mais de 3.000 participantes de programas educacionais. A investigação revelou falhas estruturais na gestão de dados.

Infrações identificadas:

  • Manutenção inadequada de registros de operações de tratamento de dados
  • Ausência de Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
  • Comunicação tardia de incidente (8 meses de atraso)
  • Não fornecimento de informações solicitadas pela ANPD

Sanções aplicadas:

  • Quatro advertências
  • Medidas corretivas com prazo definido

Lição: A falta de documentação básica — ROPA e RIPD — é infração autônoma. Mesmo sem incidente, a ausência desses documentos configura violação da LGPD.

6. Secretaria de Assistência Social, Combate à Fome e Políticas sobre Drogas de Pernambuco — SAS-PE (2024)

O que aconteceu: A secretaria sofreu incidente de segurança e não comunicou adequadamente os titulares de dados afetados. Além disso, os sistemas não atendiam padrões mínimos de segurança.

Infrações identificadas:

  • Não notificação individual dos titulares afetados
  • Medidas de segurança inadequadas

Sanções aplicadas:

  • Duas advertências
  • Obrigação de notificação individual dos titulares
  • Atualização da publicação no site institucional

Lição: Secretarias estaduais que tratam dados de populações vulneráveis (assistência social) têm obrigação reforçada de segurança — os dados envolvem frequentemente informações sensíveis.

7 e 8. Ministério da Saúde — MS (dois processos em 2024)

Primeiro processo:

Infrações: Comunicação tardia de incidente de segurança ocorrido em 2022; medidas de segurança inadequadas; monitoramento insuficiente dos sistemas.

Sanções: Duas advertências e medidas corretivas de segurança.

Segundo processo:

Infrações: Ausência de encarregado de dados nomeado; falta de Relatório de Impacto à Proteção de Dados.

Sanções: Duas advertências e determinação de nomeação de encarregado e elaboração de RIPD.

Lição: Até o Ministério da Saúde — responsável por dados sensíveis de saúde de toda a população brasileira — foi sancionado por falhas básicas como a ausência de DPO. Nenhum órgão está acima da lei.

2025-2026 — Intensificação da fiscalização

Em dezembro de 2024, a ANPD abriu processo de fiscalização contra 20 empresas de grande porte por ausência de encarregado de dados nomeado e de canal de comunicação adequado para titulares — em violação ao Art. 41 da LGPD. Até abril de 2025, as 20 empresas já haviam implementado as medidas exigidas, demonstrando que a mera abertura de processo gera conformidade.

Com a transformação da ANPD em agência reguladora pela Lei nº 15.352/2026 (fevereiro de 2026), a capacidade de fiscalização foi multiplicada: autonomia administrativa e financeira, ampliação do quadro de servidores e poder de requisição reforçado.

Análise de padrões: onde as organizações mais falham

Infrações mais recorrentes

InfraçãoOcorrênciasArtigos violados
Não comunicação de incidente aos titulares5Art. 48
Medidas de segurança inadequadas4Art. 46, Art. 49
Ausência de encarregado (DPO)3Art. 41
Ausência de RIPD2Art. 38
Ausência de registro de operações (ROPA)2Art. 37
Tratamento sem base legal1Art. 7º
Não atendimento a requisições da ANPD2Art. 5º do Regulamento de Fiscalização

Setores mais sancionados

Até 2024, o setor público dominou as sanções: INSS, Ministério da Saúde, secretarias estaduais de Saúde, Educação e Assistência Social. A única empresa privada sancionada foi a Telekall. Isso se explica por dois fatores: (1) órgãos públicos são fiscalizados prioritariamente pela ANPD; (2) empresas privadas tendem a resolver problemas antes da sanção formal.

Valores de multas

As multas financeiras ainda são modestas — o total aplicado foi de R$ 14.400,00 (Telekall). Isso ocorre porque órgãos públicos não podem receber multas nos termos do Art. 52, §3º da LGPD. Quando a ANPD começar a sancionar empresas de grande porte, os valores tendem a crescer significativamente.

Como a ANPD calcula as sanções: a dosimetria na prática

A Resolução CD/ANPD nº 4/2023 — o Regulamento de Dosimetria — estabelece a fórmula:

Vmulta = Vbase × (1 + Agravantes – Atenuantes)

Critérios que agravam a sanção

Os fatores que aumentam o valor-base da multa (entre 5% e 90% de acréscimo) incluem:

  • Reincidência específica — mesma infração repetida
  • Reincidência genérica — infrações diferentes à LGPD
  • Descumprimento de medidas preventivas ou corretivas determinadas pela ANPD
  • Vantagem econômica obtida com a infração
  • Gravidade do dano aos titulares
  • Quantidade de titulares afetados
  • Duração da infração — quanto mais tempo perdurou, mais grave

Critérios que atenuam a sanção

Os fatores que reduzem o valor da multa incluem:

  • Cessação da infração antes da instauração de processo pela ANPD — demonstra boa-fé
  • Programa de governança em privacidade implementado (Art. 50 da LGPD) — pode reduzir até 20% da multa
  • Cooperação com a ANPD durante o processo
  • Medidas corretivas adotadas para reverter ou mitigar os efeitos da infração sobre os titulares

O que funcionou como atenuante nos casos reais

Nos processos julgados até 2024, a ANPD considerou como atenuantes:

  • Adoção de medidas corretivas após a notificação (mesmo que tardia)
  • Cooperação parcial com as investigações
  • Natureza pública do órgão (para fins de tipo de sanção, não de redução de gravidade)

O que esperar em 2026-2027: a ANPD como agência reguladora

A Lei nº 15.352, de fevereiro de 2026, transformou a ANPD de órgão da Presidência da República em agência reguladora autônoma. Na prática, isso significa:

  1. Autonomia financeira — receitas próprias e orçamento independente
  2. Ampliação de quadro — contratação de novos servidores por concurso
  3. Poder de requisição reforçado — capacidade de exigir informações e documentos
  4. Capacidade sancionatória multiplicada — mais processos simultâneos
  5. Fiscalização proativa — não mais apenas reativa a denúncias

O Mapa de Temas Prioritários 2026-2027 da ANPD indica as áreas de foco:

  • Direitos dos titulares — canal de atendimento, prazo de resposta
  • Dados de crianças e adolescentes — reforço após o ECA Digital
  • Inteligência artificial — coordenação com PL 2338/2023
  • Dados de saúde — setor prioritário para fiscalização
  • Poder público — continuidade da fiscalização iniciada em 2023

Lições concretas para compliance: o que os casos ensinam

As 5 ações que teriam evitado todas as sanções aplicadas até hoje

  1. Nomear encarregado de dados e publicar seus dados de contato — violação do Art. 41 apareceu em 3 dos 9 processos. É a medida mais simples e de menor custo.

  2. Ter processo de comunicação de incidentes — 5 dos 9 processos envolveram falha na comunicação de incidentes. A Resolução CD/ANPD nº 15/2024 estabelece prazo de 3 dias úteis para comunicar a ANPD.

  3. Manter ROPA e RIPD atualizados — a ausência desses documentos é infração autônoma, independentemente de incidente. Veja nosso guia sobre como elaborar RIPD.

  4. Implementar medidas de segurança proporcionais — não precisa ser ISO 27001 certificada, mas precisa demonstrar que medidas técnicas e administrativas existem e funcionam.

  5. Responder às requisições da ANPD — ignorar a Autoridade agrava qualquer situação. A cooperação é atenuante expressamente prevista no Regulamento de Dosimetria.

O que nenhum programa de conformidade pode ignorar

A análise dos casos revela que a ANPD não está (ainda) buscando infrações sofisticadas. As sanções aplicadas até 2026 envolvem falhas básicas de conformidade — ausência de DPO, falta de documentação, não comunicação de incidentes. Isso significa que organizações que implementaram ao menos o básico estão em posição significativamente melhor.

Porém, a evolução é previsível: à medida que o básico for resolvido, a ANPD avançará para fiscalizações temáticas mais profundas — bases legais inadequadas, transferências internacionais sem cláusulas contratuais, uso de IA sem RIPD.

Checklist: sua organização está preparada para a ANPD?

  • Encarregado de dados nomeado, com nome e contato publicados no site (Art. 41)
  • Canal de comunicação para titulares operacional e monitorado
  • Registro de Operações de Tratamento (ROPA) atualizado (Art. 37)
  • RIPD elaborado para operações de alto risco (Art. 38)
  • Base legal documentada para cada atividade de tratamento (Art. 7º/Art. 11)
  • Processo de comunicação de incidentes documentado, com prazo de 3 dias úteis
  • Medidas de segurança técnicas e administrativas implementadas (Art. 46)
  • Programa de governança em privacidade formalizado (Art. 50)
  • Treinamento de colaboradores sobre proteção de dados realizado
  • Contratos com operadores incluem cláusulas de proteção de dados (DPAs)
  • Processo documentado para atender requisições da ANPD
  • Evidências de conformidade organizadas e acessíveis para eventual auditoria

Conclusão

O mapa de sanções da ANPD até 2026 mostra uma Autoridade que começou pelos casos mais evidentes — microempresa sem base legal, órgãos públicos que não comunicaram incidentes — e está progressivamente ampliando seu alcance. Com a transformação em agência reguladora, o cenário para os próximos anos é claro: mais processos, fiscalizações mais profundas e, inevitavelmente, multas maiores quando o setor privado de grande porte for alvo.

A melhor estratégia continua sendo a mesma: implementar o básico com seriedade. As organizações que já têm DPO nomeado, documentação atualizada, processos de resposta a incidentes e programa de governança não apenas evitam sanções — elas se beneficiam das atenuantes previstas no Regulamento de Dosimetria caso algo dê errado.

A Confidata oferece rastreamento completo de conformidade LGPD: inventário de atividades de tratamento, gestão de RIPD, canal do titular com SLA automatizado e painel de evidências para auditoria — tudo o que a ANPD verifica em uma fiscalização, documentado e acessível.

Compartilhar
#ANPD#sanções#multas#LGPD#fiscalização#dosimetria#compliance

Artigos relacionados

As multas da LGPD: valores reais, critérios de cálculo e casos aplicadosLegislação e ANPD · 12 minLGPD em 2026: o que a ANPD espera das organizações brasileirasLegislação e ANPD · 10 minANPD Agência Reguladora: O Que Muda na Fiscalização em 2026Legislação e ANPD · 13 minANPD Sanciona Secretaria de Educação do DF: Lições para Escolas e SecretariasLegislação e ANPD · 12 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista