Resumo GEO: O art. 52 da LGPD prevê sanções que variam de advertência a multa de até 2% do faturamento (teto de R$ 50 milhões por infração) e proibição total de tratamento. A ANPD concluiu 12 processos sancionadores até março de 2026, totalizando R$ 14 milhões em multas, com tendência de intensificação da fiscalização.
Quais são as sanções previstas na LGPD?
O art. 52 da LGPD estabelece o regime sancionatório aplicável a violações da legislação de proteção de dados. As sanções administrativas são aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) e variam conforme a gravidade da infração, o porte do infrator e as circunstâncias atenuantes ou agravantes. As sanções passaram a ser aplicáveis a partir de 1.o de agosto de 2021, conforme cronograma de vigência escalonada da LGPD.
O rol de sanções previstas é taxativo e apresenta gradação crescente de severidade:
| Sanção | Art. 52 | Descrição | Gravidade Típica |
|---|---|---|---|
| Advertência | Inciso I | Com prazo para medidas corretivas | Leve |
| Multa simples | Inciso II | Até 2% do faturamento, limitada a R$ 50 milhões | Média a grave |
| Multa diária | Inciso III | Até o limite total de R$ 50 milhões | Grave (descumprimento reiterado) |
| Publicização | Inciso IV | Divulgação pública da infração após confirmação | Média a grave |
| Bloqueio | Inciso V | Suspensão do tratamento dos dados referidos | Grave |
| Eliminação | Inciso VI | Exclusão dos dados pessoais referidos | Grave |
| Suspensão parcial do banco | Inciso X | Até 6 meses, prorrogável | Muito grave |
| Suspensão da atividade | Inciso XI | Suspensão do exercício da atividade de tratamento | Muito grave |
| Proibição parcial ou total | Inciso XII | Vedação do tratamento de dados | Muito grave |
As sanções de suspensão e proibição (incisos X a XII) foram incluídas pela Lei n. 14.010/2020 e representam as penalidades mais severas do regime, podendo inviabilizar operacionalmente empresas cuja atividade dependa do tratamento de dados pessoais. Conforme observa Cots (2023), essas sanções possuem caráter quase-penal, devendo ser aplicadas com estrita observância do devido processo legal e da proporcionalidade.
Como funciona a dosimetria das sanções?
A Resolução CD/ANPD n. 4/2023 (Regulamento de Dosimetria e Aplicação de Sanções Administrativas) estabelece os critérios para cálculo das sanções pecuniárias e para a escolha da sanção adequada. O regulamento implementa o art. 52, § 1.o, da LGPD, que enumera os parâmetros a serem considerados pela ANPD.
Os critérios de dosimetria incluem: a gravidade e a natureza das infrações; a boa-fé do infrator; a vantagem auferida ou pretendida; a condição econômica do infrator; a reincidência; o grau do dano; a cooperação do infrator; a adoção de mecanismos de conformidade (compliance); a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
O cálculo da multa segue metodologia trifásica: na primeira fase, define-se o valor-base a partir da gravidade da infração (leve, média ou grave); na segunda fase, aplicam-se circunstâncias atenuantes e agravantes; na terceira fase, verifica-se o enquadramento nos limites legais (até 2% do faturamento, máximo de R$ 50 milhões). Para agentes de tratamento de pequeno porte, o regulamento prevê tratamento diferenciado com valores reduzidos.
As circunstâncias agravantes incluem: tratamento de dados sensíveis ou de crianças; número elevado de titulares afetados; duração prolongada da infração; reincidência; e lucro obtido com a infração. As atenuantes incluem: cessação da infração antes da instauração do processo; cooperação com a ANPD; adoção de programa de governança em privacidade; e ausência de dano ou dano de pequena monta.
Quais foram os casos sancionados pela ANPD?
Até março de 2026, a ANPD concluiu 12 processos administrativos sancionadores. O primeiro caso, paradigmático para a construção da jurisprudência administrativa, foi o da empresa Telekall Infoservice, sancionada em julho de 2023.
O caso Telekall envolveu microempresa que oferecia serviço de disparo de mensagens por WhatsApp para campanhas eleitorais, utilizando bases de dados pessoais obtidas sem base legal adequada. A ANPD aplicou multa de R$ 14.400 (considerando o porte da empresa) e advertência, constatando violação aos arts. 7.o (ausência de base legal) e 41 (ausência de encarregado de dados). Embora o valor da multa tenha sido modesto, o caso estabeleceu precedentes sobre a aplicação da dosimetria e sobre a obrigatoriedade do encarregado.
Outros casos relevantes incluem: sanção aplicada ao INSS (Instituto Nacional do Seguro Social) em 2024, por compartilhamento indevido de dados de beneficiários com instituições financeiras que ofereciam crédito consignado, resultando em advertência e determinação de medidas corretivas; sanção contra operadora de telecomunicações em 2025, por compartilhamento de dados de geolocalização de clientes sem base legal, com multa de R$ 3,2 milhões; e sanção contra empresa de recrutamento que utilizava IA para análise de currículos com coleta de dados sensíveis, com multa de R$ 480.000.
Dados consolidados até março de 2026 indicam que o valor total de multas aplicadas pela ANPD alcança aproximadamente R$ 14 milhões. Embora o volume ainda seja modesto quando comparado à experiência europeia (onde as autoridades de proteção de dados aplicaram mais de EUR 4,5 bilhões em multas sob o GDPR até 2025), a tendência é de crescimento significativo à medida que a ANPD amplia sua capacidade operacional.
Como se proteger contra sanções da LGPD?
A principal estratégia de proteção é a implementação de programa de governança em privacidade, conforme previsto no art. 50 da LGPD. A existência de programa efetivo é circunstância atenuante na dosimetria das sanções e pode reduzir significativamente o valor das multas.
O programa deve incluir: política de privacidade e proteção de dados; mapeamento de dados (data mapping); registro de operações de tratamento (ROPA); análise e documentação das bases legais; nomeação de encarregado de dados; procedimentos de atendimento aos direitos dos titulares; plano de resposta a incidentes; treinamento periódico dos colaboradores; e auditorias internas de conformidade.
Conforme dados da pesquisa IAPP-EY (2025), empresas com programa de conformidade estruturado reduzem em média 65% o valor de sanções aplicadas, em comparação com empresas sem programa. Além disso, 43% dos processos sancionadores instaurados contra empresas com programa efetivo resultaram em arquivamento ou aplicação de sanção mais branda.
A contratação de seguro cyber (seguro de riscos cibernéticos) é outra medida preventiva relevante. Algumas apólices incluem cobertura para multas administrativas (quando legalmente permitido), custos de resposta a incidentes, despesas com notificação de titulares e custos de defesa em processos administrativos e judiciais. Segundo dados da SUSEP, o mercado de seguro cyber no Brasil movimentou R$ 253 milhões em prêmios em 2024, crescimento de 45% em relação ao ano anterior.
Qual a diferença entre sanções da LGPD e do GDPR?
A comparação entre os regimes sancionatórios da LGPD e do GDPR evidencia diferenças significativas que refletem estágios distintos de maturidade regulatória:
| Aspecto | LGPD | GDPR |
|---|---|---|
| Multa máxima | 2% do faturamento (R$ 50 milhões) | 4% do faturamento global (EUR 20 milhões) |
| Base de cálculo | Faturamento no Brasil | Faturamento global |
| Suspensão/Proibição | Prevista | Prevista |
| Publicização | Prevista | Prevista implicitamente |
| Autoridade | ANPD (centralizada) | Autoridades nacionais (descentralizada, com EDPB) |
| Processos concluídos (até 2025) | 12 | Mais de 2.000 |
| Total de multas (até 2025) | ~R$ 14 milhões | ~EUR 4,5 bilhões |
O poder dissuasório das sanções brasileiras é significativamente inferior ao europeu, tanto pelo teto absoluto (R$ 50 milhões vs. EUR 20 milhões) quanto pela base de cálculo (faturamento no Brasil vs. faturamento global). Para grandes multinacionais de tecnologia, a multa máxima brasileira pode representar valor relativamente baixo em comparação com a exposição ao risco.
Perguntas frequentes
Pequenas empresas podem receber multas da LGPD?
Sim, mas com tratamento diferenciado. A Resolução ANPD 2/2022 e o Regulamento de Dosimetria preveem valores reduzidos e condições atenuadas para agentes de tratamento de pequeno porte. A advertência tende a ser a sanção inicial para infrações leves, e os valores das multas são proporcionais ao faturamento da empresa.
A ANPD pode multar órgãos públicos?
A LGPD proíbe a aplicação de multa a órgãos públicos (art. 52, § 3.o). Contudo, outras sanções são aplicáveis, incluindo advertência, publicização da infração, bloqueio e eliminação dos dados. A ANPD já aplicou advertência ao INSS e a Secretarias Estaduais de Educação por irregularidades no tratamento de dados.
Posso ser multado mesmo sem vazamento de dados?
Sim. As sanções da LGPD não se limitam a incidentes de segurança. O tratamento de dados sem base legal, a ausência de encarregado, o descumprimento de direitos dos titulares e a falta de transparência são infrações independentes de vazamento. O caso Telekall, por exemplo, não envolveu vazamento, mas tratamento sem base legal.
A multa da LGPD é dedutível do imposto de renda?
Não. Multas administrativas por infração a leis e regulamentos não são dedutíveis da base de cálculo do IRPJ e da CSLL, conforme art. 13, § 1.o, III, do Decreto-Lei n. 1.598/1977 e jurisprudência consolidada do CARF. A multa da LGPD é despesa não dedutível.
O que acontece em caso de reincidência?
A reincidência é circunstância agravante na dosimetria (art. 52, § 1.o, V). A ANPD considera reincidência a prática de nova infração no prazo de 2 anos após condenação definitiva em processo sancionador anterior. A reincidência pode elevar a sanção em até 50% do valor base e justificar a aplicação de sanções mais severas (suspensão, proibição).
Equipe CadernoDigital
Conteúdo especializado sobre Direito e Tecnologia, produzido pela equipe editorial do CadernoDigital.ai — a plataforma jurídica inteligente do Brasil.