As multas da LGPD: valores reais, critérios de cálculo e casos aplicados
Desde agosto de 2021, a LGPD tem poder de dente. O Art. 52 da Lei nº 13.709/2018 prevê sanções administrativas severas — incluindo multas de até R$ 50 milhões por infração. E a ANPD, que durante anos adotou postura predominantemente educativa, está intensificando progressivamente seu enforcement.
Neste artigo, explicamos os tipos de sanção, como a ANPD calcula o valor das multas, quais casos foram efetivamente sancionados até hoje e o que sua organização pode fazer para reduzir o risco.
Os 9 tipos de sanção administrativa previstos na LGPD
O Art. 52 da LGPD lista nove categorias de sanções que a ANPD pode aplicar, de forma isolada ou cumulativa, após procedimento administrativo que garanta o contraditório e a ampla defesa:
| # | Sanção | Descrição |
|---|---|---|
| I | Advertência | Com prazo para adoção de medidas corretivas |
| II | Multa simples | Até 2% do faturamento do último exercício (excluídos tributos), limitada a R$ 50 milhões por infração |
| III | Multa diária | Com limite total de R$ 50 milhões |
| IV | Publicização da infração | Após investigação concluída e infração confirmada |
| V | Bloqueio dos dados | Dados relacionados à infração ficam bloqueados até regularização |
| VI | Eliminação dos dados | Eliminação dos dados pessoais relacionados à infração |
| VII | Suspensão parcial | Suspensão por até 6 meses do funcionamento do banco de dados (prorrogável por igual período) |
| VIII | Suspensão do exercício | Suspensão do exercício da atividade de tratamento por até 6 meses |
| IX | Proibição | Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados |
Atenção: As sanções dos incisos VII e VIII somente podem ser aplicadas na hipótese de tratamento de dados realizado com inobservância do disposto na LGPD. As sanções dos incisos I a VI podem ser aplicadas a qualquer pessoa jurídica de direito privado ou público.
Como a ANPD calcula o valor das multas: o Regulamento de Dosimetria
A Resolução CD/ANPD Nº 4, de 24 de fevereiro de 2023, regulamenta a aplicação de sanções administrativas e estabelece a metodologia de dosimetria — o processo pelo qual a ANPD determina o tipo e o valor da sanção adequada para cada caso.
O processo segue quatro etapas:
Etapa 1: Enquadramento da infração
A ANPD classifica a infração em três níveis de gravidade:
- Leve: infração isolada, sem histórico, com dano limitado ou reparável
- Médio: múltiplas infrações, dano moderado, descumprimento de notificações anteriores
- Grave: reincidência, dano extenso a muitos titulares, dados sensíveis envolvidos, ou recusa de cooperação
Etapa 2: Cálculo da multa base
O valor base da multa é definido a partir de:
- Para multa simples: percentual aplicado sobre a receita bruta do controlador/operador no último exercício fiscal, limitado a 2%, com teto de R$ 50 milhões por infração
- Para entidades sem fins lucrativos ou microempresas: o regulamento prevê critérios específicos de proporcionalidade
Etapa 3: Aplicação de circunstâncias agravantes e atenuantes
O Art. 52, §1º da LGPD lista os critérios a serem considerados. O Regulamento de Dosimetria os organiza em:
Circunstâncias agravantes — aumentam o valor da multa:
- Reincidência específica (mesma infração ao mesmo dispositivo legal): acréscimo de 10% por caso, limitado a 40%
- Ampla difusão da infração ou dano a grupos vulneráveis (crianças, idosos, portadores de deficiência)
- Alto volume de dados pessoais envolvidos
- Vantagem econômica obtida com a prática ilícita
- Não cessação da infração após notificação
Circunstâncias atenuantes — reduzem o valor da multa:
- Cessação voluntária da infração antes da instauração do processo administrativo
- Adoção de medidas corretivas antes do processo
- Cooperação com a investigação da ANPD
- Ausência de histórico de infrações anteriores
- Adoção de políticas e programas de boas práticas de governança
Etapa 4: Ajuste de proporcionalidade
A ANPD pode ajustar o valor final para garantir a proporcionalidade entre a gravidade da infração e a capacidade econômica do infrator — especialmente relevante para microempresas e empresas de pequeno porte.
Os casos reais sancionados no Brasil
Caso 1: Telekall Infoservice (julho de 2023) — Primeira multa financeira da ANPD
A empresa de telemarketing Telekall Infoservice foi a primeira — e até 2024 a única — empresa do setor privado a receber multa financeira da ANPD.
Infrações identificadas:
- Tratamento de dados pessoais sem base legal adequada (violação ao Art. 7º da LGPD)
- Ausência de Encarregado pelo Tratamento de Dados (violação ao Art. 41)
- Ausência de medidas de segurança adequadas (violação ao Art. 46)
Sanções aplicadas:
- Advertência
- Duas multas simples de R$ 7.200,00 cada (totalizando R$ 14.400,00)
Por que o valor foi tão baixo? A Telekall é classificada como microempresa. O teto de 2% do faturamento aplicado a uma empresa de pequeno porte resulta em valores proporcionalmente menores. O mesmo percentual aplicado a uma grande corporação pode significar dezenas de milhões de reais.
Caso 2: INSS — Instituto Nacional do Seguro Social (fevereiro de 2024)
O INSS foi sancionado em razão de incidente de segurança ocorrido em 2022 que expôs dados do sistema SISBEN (Sistema de Benefícios Corporativos), incluindo CPF, dados bancários e data de nascimento de segurados.
Sanções aplicadas:
- Publicização da decisão
- Obrigação de publicar avisos no site do INSS
- Obrigação de enviar notificações pelo aplicativo "Meu INSS" por 60 dias
Por que não houve multa financeira? A LGPD proíbe a aplicação de multa a órgãos e entidades de direito público. A sanção disponível para o setor público é a publicização, a advertência e o bloqueio/eliminação de dados — mas não multa pecuniária.
Caso 3: Secretaria de Educação do Distrito Federal — SEEDF (fevereiro de 2024)
Incidente ocorrido em 2022 causou a exposição indevida de dados cadastrais e de saúde de aproximadamente 3.000 candidatos do Programa de Educação Precoce.
Infrações identificadas pela ANPD:
- Ausência de registros adequados das operações de tratamento
- Não elaboração do RIPD quando solicitado
- Falha na comunicação do incidente aos titulares afetados
- Ausência de medidas de segurança técnica adequadas
Sanções aplicadas:
- Quatro advertências — uma para cada infração identificada
Balanço geral até 2025
| Período | Sanções Aplicadas | Multas Financeiras | Organizações Privadas Multadas |
|---|---|---|---|
| Ago/2021 a Jul/2023 | 16 sanções | 0 | 0 |
| Jul/2023 | 2 multas (Telekall) | R$ 14.400 total | 1 (microempresa) |
| Fev/2024 | INSS + SEEDF | 0 | 0 |
| 2024 (ano completo) | Sanções a órgãos públicos | 0 a privados | 0 |
A verdade sobre as multas brasileiras: até o momento, o Brasil aplicou valores irrisórios em comparação com outros países. No mesmo período, a União Europeia, Reino Unido, Estados Unidos, Argentina e Austrália, somados, aplicaram US$ 1,7 bilhão em multas por violações de proteção de dados em 2024.
Por que os valores foram baixos? E o que muda daqui para frente?
A atuação tímida da ANPD até 2024 tem explicações estruturais:
- ANPD em fase de consolidação institucional: a autoridade foi criada em 2020 e, nos primeiros anos, priorizou edição de regulamentos e ações educativas
- Carência de servidores: a ANPD funcionou por anos com equipe reduzida
- Foco no setor público como casos piloto: órgãos públicos não pagam multas, o que reduziu o impacto financeiro das sanções
O que está mudando:
- Mapa de Temas Prioritários 2026-2027 (Resoluções CD/ANPD Nº 30/2025 e Nº 31/2025): prevê 75 ações de fiscalização no biênio, com foco em dados biométricos, saúde, financeiros, crianças/adolescentes e inteligência artificial
- Deliberação CD-10/2025: introduz multas diárias por descumprimento de medidas cautelares
- Fiscalização de 20 grandes empresas (final de 2024): ANPD notificou empresas de grande porte dos setores de tecnologia, telecomunicações, educação, saúde e varejo por ausência de Encarregado ou canal de comunicação adequado
- Crescimento de denúncias: em 2025, a ANPD registrou cerca de 8.700 requerimentos (denúncias e petições) de titulares contra agentes de tratamento
A lógica é clara: a fase educativa está encerrando. A fase de responsabilização está começando.
Como o valor máximo de R$ 50 milhões se aplica na prática
Muitas organizações se confortam com o fato de que, no Brasil, as multas foram baixas. Mas o raciocínio correto é pensar no teto aplicável à sua receita.
Exemplos ilustrativos:
| Receita Bruta Anual | Multa Máxima (2%) | Teto Legal |
|---|---|---|
| R$ 1 milhão | R$ 20.000 | R$ 20.000 |
| R$ 50 milhões | R$ 1 milhão | R$ 1 milhão |
| R$ 500 milhões | R$ 10 milhões | R$ 10 milhões |
| R$ 2,5 bilhões ou mais | R$ 50 milhões | R$ 50 milhões (teto) |
Além disso, cada infração pode gerar uma multa separada. Três infrações identificadas em uma mesma organização podem resultar em até R$ 150 milhões em multas.
O que sua organização pode fazer para reduzir o risco
O próprio Regulamento de Dosimetria da ANPD lista as circunstâncias que reduzem o valor das sanções. Elas são, essencialmente, os elementos de um programa de conformidade bem estruturado:
- Inventário de dados atualizado (ROPA) — demonstra que a organização conhece e controla seu tratamento
- Encarregado nomeado e publicado — ausência já gerou fiscalizações
- Canal de atendimento a titulares funcionando — respostas tempestivas e documentadas
- Programa de treinamento documentado — evidência de boa-fé e governança
- Plano de resposta a incidentes — capacidade de agir rápido em caso de vazamento
- Contratos com operadores (DPAs) — demonstra diligência com a cadeia de fornecedores
- Cooperação com investigações — atitude colaborativa é explicitamente atenuante
Conclusão
As multas da LGPD podem chegar a R$ 50 milhões por infração. Embora os valores aplicados no Brasil até hoje sejam modestos em comparação internacional, o cenário regulatório está mudando: a ANPD tem plano de fiscalização estruturado para 2026-2027, capacidade crescente e sinal claro de que a fase educativa está sendo superada.
O risco financeiro direto das multas é apenas uma parte da equação. Os riscos reputacionais, judiciais e operacionais de uma infração podem ser significativamente maiores — especialmente com mais de 15.900 decisões judiciais sobre LGPD registradas nos últimos anos no Brasil, muitas com condenações por dano moral.
Não espere ser notificado para começar.
A Confidata ajuda sua organização a construir um programa de conformidade LGPD documentado e auditável — exatamente o que a ANPD considera ao calcular sanções. Conheça nossas soluções.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.