Regulamento de dosimetria da ANPD: como a autoridade calcula as sanções
Quando a ANPD aplica uma multa ou outra sanção administrativa por violação da LGPD, o valor e a intensidade não surgem de critério discricionário. Existe uma metodologia estruturada, pública e detalhada que a autoridade segue para calcular cada sanção — o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, aprovado pela Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023.
Compreender esse regulamento serve a dois propósitos práticos. Primeiro, permite antecipar o impacto potencial de uma infração antes que ela ocorra. Segundo, e mais importante, permite identificar quais medidas de conformidade reduzem concretamente as sanções — porque o regulamento quantifica exatamente isso.
O marco normativo: o que é a Resolução CD/ANPD nº 4/2023
Nome completo: Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023
Publicação: Diário Oficial da União de 27 de fevereiro de 2023, Edição 39, Seção 1, p. 59
Vigência: A partir da data de publicação (27/02/2023)
Fundamento legal: Arts. 52, 53 e 55-J da Lei nº 13.709/2018 (LGPD)
Ementa: Aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, e altera o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador da ANPD (aprovado pela Resolução CD/ANPD nº 1/2021).
Estrutura: 4 artigos na parte resolutiva + Anexo (o regulamento propriamente dito), organizado em 3 capítulos com 2 Apêndices:
- Apêndice I: Metodologia de cálculo do valor-base (fórmulas e tabelas de alíquotas)
- Apêndice II: Tabela de valores mínimos por grau de infração (para quando não há faturamento apurável)
As sanções previstas no Art. 52 da LGPD
Antes de entender a dosimetria, é preciso conhecer o cardápio de sanções que a ANPD pode aplicar. O Art. 52 da LGPD lista, em ordem crescente de gravidade:
| # | Sanção | Natureza |
|---|---|---|
| I | Advertência com prazo para medidas corretivas | Não-pecuniária |
| II | Multa simples de até 2% do faturamento anual, limitada a R$ 50 milhões por infração | Pecuniária |
| III | Multa diária (mesmo limite global de R$ 50 milhões por infração) | Pecuniária |
| IV | Publicização da infração após apuração e confirmação | Não-pecuniária |
| V | Bloqueio dos dados pessoais até regularização | Operacional |
| VI | Eliminação dos dados pessoais relacionados à infração | Operacional |
| VII a IX | Suspensão parcial do banco de dados por até 6 meses (prorrogável) | Operacional |
| X | Suspensão do exercício da atividade de tratamento por até 6 meses (prorrogável) | Operacional |
| XI | Proibição parcial ou total do exercício de atividades de tratamento | Operacional (definitiva) |
Regra de progressividade: As sanções dos incisos X e XI (suspensão e proibição de atividades) somente podem ser aplicadas após a imposição de pelo menos uma sanção dos incisos anteriores no mesmo caso — há escada progressiva.
Órgãos públicos: As multas pecuniárias (incisos II e III) são exclusivas do setor privado. A administração pública está sujeita apenas às sanções não-pecuniárias (advertência, publicização, bloqueio, eliminação e suspensão).
Os 11 critérios de dosimetria do Art. 52, §1°
O §1° do Art. 52 da LGPD lista os critérios que a ANPD considera para aplicar as sanções "de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto":
| Inciso | Critério |
|---|---|
| I | Gravidade e natureza das infrações e dos direitos pessoais afetados |
| II | Boa-fé do infrator |
| III | Vantagem auferida ou pretendida pelo infrator |
| IV | Condição econômica do infrator |
| V | Reincidência |
| VI | Grau do dano |
| VII | Cooperação do infrator |
| VIII | Adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano |
| IX | Adoção de política de boas práticas e governança |
| X | Pronta adoção de medidas corretivas |
| XI | Proporcionalidade entre a gravidade da falta e a intensidade da sanção |
Os incisos VIII e IX são os de maior importância para organizações que investem em compliance: são critérios que dependem de documentação prévia e que a ANPD verifica no momento do processo — não podem ser criados retroativamente.
As 4 etapas do cálculo da multa simples
O Regulamento de Dosimetria estrutura o cálculo da multa simples em quatro etapas sequenciais:
Etapa 1 — Classificação da infração (3 graus)
A ANPD classifica cada infração em um de três graus:
Infração Leve: Casos sem impacto significativo sobre direitos dos titulares, sem vantagem econômica para o infrator, sem abrangência massiva.
Infração Média: Causa dano significativo a direitos fundamentais, limita o exercício de direitos dos titulares ou provoca prejuízos materiais ou morais concretos.
Infração Grave: Envolve um ou mais dos seguintes fatores:
- Tratamento em larga escala (grande número de titulares ou volume de dados)
- Vantagem econômica auferida com a infração
- Risco à vida ou integridade física dos titulares
- Dados sensíveis (Art. 5°, II da LGPD) envolvidos
- Dados de crianças, adolescentes ou idosos
- Tratamento sem base legal válida (Art. 7° da LGPD)
- Práticas discriminatórias sistemáticas
- Obstrução à fiscalização da ANPD
Etapa 2 — Cálculo do valor-base (alíquota × faturamento)
A alíquota-base varia conforme o grau e o impacto do dano (escala de 0 a 3):
| Grau | Alíquota mínima | Alíquota máxima |
|---|---|---|
| Leve | 0,08% | 0,15% |
| Média | 0,13% | 0,50% |
| Grave | 0,45% | 1,50% |
Fórmula: Valor-base = Alíquota × (Faturamento anual − Tributos)
Faturamento base: A receita bruta do infrator no último exercício fiscal, excluídos tributos e devoluções, relativa ao ramo de atividade onde ocorreu a infração. O faturamento do grupo econômico é usado apenas excepcionalmente, quando a infração ocorre em processos compartilhados entre ramos.
Quando não há faturamento apurável (startups sem histórico, entidades sem fins lucrativos, pessoas físicas), o Apêndice II do Regulamento estabelece valores fixos mínimos e máximos:
| Grau | Valor mínimo | Valor máximo |
|---|---|---|
| Leve | R$ 1.500,00 | R$ 3.500,00 |
| Média | R$ 3.000,00 | R$ 7.000,00 |
| Grave | R$ 6.750,00 | R$ 15.750,00 |
Etapa 3 — Aplicação de agravantes e atenuantes
Sobre o valor-base calculado na Etapa 2, incidem os percentuais de agravamento e atenuação:
Fórmula: Valor ajustado = Valor-base × (1 + % Agravantes − % Atenuantes)
Agravantes
| Agravante | Percentual por caso | Teto |
|---|---|---|
| Reincidência específica (mesma infração nos últimos 5 anos) | +10% | 40% |
| Reincidência genérica (qualquer infração LGPD nos últimos 5 anos) | +5% | 20% |
| Descumprimento de medidas preventivas determinadas pela ANPD | +20% por medida | 80% |
| Descumprimento de medidas corretivas determinadas pela ANPD | +30% por medida | 90% |
Nota sobre reincidência: O prazo de 5 anos é contado do trânsito em julgado administrativo do processo anterior até a data da nova infração — não a partir da conduta, mas da decisão final.
Atenuantes
| Atenuante | Percentual de redução |
|---|---|
| Cessação da infração antes do procedimento preparatório da ANPD | 75% |
| Cessação da infração até a instauração do processo administrativo sancionador | 50% |
| Cessação da infração até a decisão de 1ª instância | 30% |
| Implementação de política de boas práticas e governança (demonstrada) | 20% |
| Adoção de mecanismos internos para minimizar o dano (demonstrada) | 20% |
| Reversão do dano ou mitigação de efeitos antes da decisão de 1ª instância | 20% |
| Reversão do dano ou mitigação de efeitos após a decisão de 1ª instância | 10% |
| Cooperação e boa-fé demonstrada com a ANPD no processo | 5% |
Importante: A cessação da infração não é atenuante quando resulta de mero cumprimento de determinação administrativa ou judicial da ANPD. A atenuante de 75% vale apenas para quem para voluntariamente, antes de ser notificado.
Etapa 4 — Aplicação dos limites legais
O valor calculado após agravantes e atenuantes não pode ultrapassar:
- 2% do faturamento anual (excluídos tributos) do infrator, ou
- R$ 50.000.000,00 (cinquenta milhões de reais) por infração
O que for menor é o teto aplicável.
O valor também não pode ser inferior ao dobro da vantagem econômica estimável auferida com a infração (quando houver vantagem identificável).
Desconto por renúncia recursal: Se o infrator renunciar ao direito de recorrer e pagar a multa no prazo de 20 dias úteis contados da ciência da decisão, há desconto adicional de 25% sobre o valor final.
A multa diária: como funciona
A multa diária (Art. 52, inciso III da LGPD) é o instrumento para forçar o cumprimento de determinações da ANPD:
- Incide a partir do primeiro dia útil de atraso no cumprimento
- Acumula-se diariamente até o cumprimento efetivo
- Limite global: R$ 50 milhões por infração (mesmo teto da multa simples)
- Atraso no pagamento: juros Selic + multa moratória de 0,33% ao dia (teto de 20%)
- Agentes de pequeno porte: prazo em dobro (40 dias úteis) para pagamento
Caso prático: Em março de 2025, no caso Tools for Humanity/Worldcoin, a ANPD manteve a proibição de coleta remunerada de dados biométricos (íris) e fixou multa diária de R$ 50.000,00 por descumprimento.
Casos reais: como a dosimetria foi aplicada
Telekall Infoservice — Julho 2023 (única multa pecuniária ao setor privado)
Contexto: Empresa comercializava listas de contatos de WhatsApp de eleitores para disparo de material de campanha eleitoral.
Infrações: Art. 7° da LGPD (tratamento sem base legal) e Art. 5° do Regulamento de Fiscalização (não atendimento de requisições da ANPD).
Dosimetria aplicada:
- Porte da empresa: microempresa (condição econômica — Art. 52, §1°, IV)
- Cada infração: R$ 7.200,00 (2% do faturamento declarado, já no teto percentual para o porte)
- Total: R$ 14.400,00
- Com renúncia recursal e pagamento no prazo: R$ 10.800,00 (desconto de 25%)
Lição: O sistema de dosimetria é proporcional ao porte. Uma microempresa paga valores radicalmente diferentes de uma grande corporação pela mesma infração.
Casos do setor público — 2023 e 2024
Nos casos do setor público, não há multa pecuniária (vedada pelo Art. 52, §3° da LGPD). Mas a análise de dosimetria está presente como fundamentação da escolha e intensidade das sanções não-pecuniárias:
SEEDF (janeiro 2024): Quatro infrações → quatro advertências com medidas corretivas específicas. A multiplicidade de infrações independentes resultou em sanções autônomas para cada uma — ilustrando que uma única investigação pode gerar múltiplas sanções simultâneas.
INSS (2024): A não comunicação de incidente a dezenas de milhões de titulares resultou em publicização — a sanção mais impactante reputacionalmente para uma entidade pública. A ANPD rejeitou a argumentação de impossibilidade técnica de notificação individual.
Ministério da Saúde (novembro 2024): Sancionado em dois processos separados. O mais grave envolveu a não apresentação de RIPDs solicitados pela ANPD — demonstrando que a recusa em apresentar o RIPD quando solicitado é infração autônoma.
O que mais agrava e o que mais atenua na prática
Agravantes com maior impacto prático
Obstrução à fiscalização: Não responder às requisições da ANPD é simultaneamente uma infração autônoma (Art. 5° do Regulamento de Fiscalização) e um agravante de dosimetria nas infrações principais. Em todos os casos julgados, o não atendimento a requisições foi tratado como infração separada.
Dados sensíveis ou de crianças: Infração envolvendo dados de saúde, biometria, origem étnica, orientação sexual ou dados de menores é classificada diretamente como grave — pulando os graus leve e médio e entrando nas alíquotas mais elevadas (0,45–1,50%).
Reincidência: Uma segunda infração da mesma natureza em até 5 anos soma +10% ao valor-base. Com múltiplas reincidências, o agravante pode chegar a 40%.
Atenuantes com maior impacto prático
Cessação voluntária antes da investigação: A redução de 75% é a mais expressiva do regulamento — e só está disponível para quem para a infração por iniciativa própria, antes de ser notificado pela ANPD. É a maior vantagem do compliance proativo.
Boas práticas e governança (Art. 52, §1°, VIII e IX): Combinadas, as duas atenuantes somam até 40% de redução sobre o valor-base. São as únicas atenuantes que não dependem de nada que aconteça no processo — dependem de documentação prévia que deve existir antes de qualquer fiscalização.
O cálculo concreto do valor das boas práticas: Se uma infração gerasse multa-base de R$ 1 milhão e a organização tiver Programa de Governança em Privacidade (PGP) formalizado e mecanismos internos demonstrados, a redução de 40% representa R$ 400.000 a menos na multa — além de evidenciar boa-fé que pode influenciar a classificação do grau da infração.
A publicização da infração
A publicização (Art. 52, IV) não é uma multa — mas pode ser mais prejudicial do que uma. Consiste em exigir que o próprio infrator divulgue a infração em seus canais oficiais, por período determinado pela ANPD.
Como foi aplicada:
- INSS (2024): Publicização obrigatória no website e no aplicativo Meu INSS por 60 dias
- Ministério da Saúde (2024): Publicização das medidas técnicas e de segurança adotadas
A publicização é especialmente devastadora para entidades públicas (que não podem ser multadas) e para organizações de varejo com marca forte. O dano reputacional supera frequentemente o impacto financeiro de uma multa equivalente.
O impacto da Lei 15.352/2026
A Lei 15.352/2026, sancionada em 25 de fevereiro de 2026, transformou a ANPD em autarquia especial com autonomia funcional, técnica, decisória, administrativa e financeira — e instituiu 200 cargos de "Especialista em Regulação de Proteção de Dados", a serem preenchidos por concurso público.
Impactos sobre a dosimetria:
- O Regulamento de Dosimetria (Resolução nº 4/2023) permanece vigente — não foi alterado pela Lei 15.352/2026
- A autarquia especial tem maior independência para aplicar sanções sem interferência política
- O reforço de quadro (200 especialistas) aumentará a capacidade de instrução de processos sancionadores — mais casos, mais rápido
- A agenda regulatória 2025-2026 da ANPD inclui temas que podem gerar revisão do regulamento no futuro, mas sem prazo definido
Em termos práticos: a partir de 2026, o risco de ser efetivamente sancionado aumenta — a ANPD terá mais capacidade de fiscalizar, não apenas mais poder formal.
O que muda para pequenas empresas
A Resolução CD/ANPD nº 2/2022, regulamentando os agentes de tratamento de pequeno porte, estabelece regime diferenciado. Para fins de dosimetria, o Apêndice II do Regulamento já reconhece a condição econômica reduzida — mas não exime as pequenas empresas das sanções não-pecuniárias nem da necessidade de compliance básico.
A condição econômica (Art. 52, §1°, IV) é sempre considerada na dosimetria. Uma empresa optante pelo Simples Nacional com faturamento de R$ 300 mil/ano terá sua multa calculada sobre esse faturamento — resultando em valores muito inferiores ao teto de R$ 50 milhões.
Isso não significa que a pequena empresa pode ignorar a LGPD: a advertência, o bloqueio e a eliminação de dados podem paralisar operações independentemente do porte.
Checklist de gestão do risco regulatório
Antes de qualquer infração
- Cessação voluntária de tratamentos sem base legal antes de qualquer investigação (atenuante de 75%)
- PGP (Programa de Governança em Privacidade) formalizado — Art. 50 LGPD (atenuante de 20%)
- Mecanismos internos documentados de minimização de dano (atenuante de 20%)
- ROPA completo e atualizado (evidência de compliance)
- Encarregado formalmente designado e publicado (evita infração autônoma)
Quando a ANPD inicia investigação
- Responder prontamente a todas as requisições da ANPD (evita agravante + infração autônoma)
- Avaliar cessação imediata da infração investigada (atenuante de 50% se antes do processo)
- Iniciar reversão do dano aos titulares (atenuante de 20%)
- Documentar cooperação ativa com a ANPD (atenuante de 5%)
Na fase de defesa
- Apresentar evidências do PGP e mecanismos internos para as atenuantes dos incisos VIII e IX
- Avaliar renúncia recursal se o valor for baixo (desconto adicional de 25%)
- Calcular se a condição econômica da empresa suporta o recurso (custo × benefício)
Conclusão
O Regulamento de Dosimetria da ANPD faz exatamente o que uma boa regulação deve fazer: torna previsível a consequência das infrações e premia o compliance demonstrável com reduções concretas nas sanções.
Para o DPO e o jurídico, entender a dosimetria significa transformar o debate de compliance de custo abstrato em análise de risco quantificada. O argumento para investir em um PGP, em mecanismos internos documentados e em cessação proativa de infrações não é apenas ético — é financeiramente racional quando se compara o custo do compliance com o custo esperado das sanções.
A conclusão prática é direta: quem documenta boas práticas antes da fiscalização paga até 40% a menos. Quem para voluntariamente paga até 75% a menos. E quem obstrui a fiscalização paga até 90% a mais.
O Confidata oferece um módulo de gestão de conformidade integrado ao mapeamento de risco regulatório, com cálculo estimado de exposição à dosimetria da ANPD por atividade de tratamento e evidências de conformidade organizadas para apresentação imediata em processos administrativos.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.