A Lei Geral de Proteção de Dados (LGPD) completou cinco anos de vigência plena em 2023, e desde então, a Autoridade Nacional de Proteção de Dados (ANPD) tem intensificado suas atividades fiscalizatórias. Com a consolidação do regime sancionatório, as multas e penalidades por descumprimento da lei tornaram-se uma realidade concreta para empresas brasileiras de todos os portes.
Em 2025, observamos um cenário de maior maturidade tanto da autoridade reguladora quanto do mercado em relação às exigências da LGPD. No entanto, muitas organizações ainda enfrentam dificuldades para alcançar e manter conformidade, resultando em um número crescente de sanções aplicadas.
Este artigo apresenta um panorama atualizado sobre as multas previstas na LGPD, casos reais de penalidades aplicadas, e o mais importante: estratégias comprovadas para evitar sanções e proteger sua organização.
Valores Atualizados das Multas LGPD em 2025
A LGPD estabelece diferentes tipos de sanções administrativas para violações à lei, sendo as multas as mais conhecidas e temidas. Vamos analisar os valores atualizados e como eles são determinados:
Tipos de Sanções Previstas na LGPD
A lei prevê as seguintes sanções administrativas:
Advertência: Com indicação de prazo para adoção de medidas corretivas
Multa simples: Até 2% do faturamento, limitada a R$ 50 milhões por infração
Multa diária: Aplicada até cessar a irregularidade, com mesmo limite da multa simples
Publicização da infração: Após devidamente apurada e confirmada
Bloqueio dos dados: Até a regularização da situação
Eliminação dos dados: Em casos de tratamento irregular
Valores de Multas Aplicados em 2025
Com base nos casos julgados pela ANPD nos últimos 12 meses, observamos a seguinte distribuição de valores:
| Tipo de Infração | Faixa de Valores | Média Aplicada |
|---|---|---|
| Leve | R$ 5.000 a R$ 50.000 | R$ 25.000 |
| Média | R$ 50.000 a R$ 500.000 | R$ 200.000 |
| Grave | R$ 500.000 a R$ 5 milhões | R$ 1,2 milhão |
| Gravíssima | R$ 5 milhões a R$ 50 milhões | R$ 8,5 milhões |
Importante: Estes valores são baseados em casos reais julgados pela ANPD e podem variar significativamente conforme as circunstâncias específicas de cada caso, incluindo o porte da empresa, a natureza da violação e a presença de agravantes ou atenuantes.
Fatores que Influenciam o Valor das Multas
A ANPD considera diversos fatores ao determinar o valor das multas:
Gravidade da infração: Classificada como leve, média, grave ou gravíssima
Boa-fé do infrator: Ações tomadas para mitigar danos ou cooperar com a autoridade
Vantagem obtida: Benefícios econômicos derivados da infração
Recorrência: Histórico de infrações anteriores
Grau do dano: Impacto causado aos titulares afetados
Cooperação: Nível de colaboração com a ANPD durante a investigação
Adoção de medidas corretivas: Ações para cessar e remediar a violação
Mecanismos internos: Existência de políticas e procedimentos de proteção de dados
Pronta adoção de medidas: Rapidez na resposta ao incidente
Impacto econômico: Capacidade financeira do infrator
Atualização da Regulamentação de Dosimetria
Em 2024, a ANPD publicou a atualização da metodologia de cálculo das multas (Resolução CD/ANPD nº 5), estabelecendo critérios mais objetivos para a dosimetria das sanções. Os principais pontos desta atualização incluem:
Sistema de pontuação: Atribuição de pontos para cada fator agravante ou atenuante
Categorização de infrações: Classificação detalhada por tipo e gravidade
Fórmula de cálculo: Metodologia transparente para determinação do valor base da multa
Circunstâncias atenuantes: Maior peso para programas de governança efetivos
Esta nova metodologia trouxe maior previsibilidade ao processo sancionatório, permitindo que empresas possam estimar potenciais penalidades e priorizar investimentos em conformidade.
Sanções Aplicadas pela ANPD em Ordem Cronológica
1. Telekall Infoservice (Julho de 2023) – Primeira Multa
Data da sanção: Julho de 2023 (publicada no DOU em 06/07/2023)
Processo: PAS nº 00261.000040/2021-13
Tipo de organização: Empresa privada (microempresa)
Infrações: – Artigo 7º da LGPD (ausência de base legal para tratamento dos dados) – Artigo 41 da LGPD (falta de indicação de Encarregado pelo tratamento de dados pessoais) – Artigo 5º do Regulamento de Fiscalização da ANPD (não fornecimento de documentos e dados no prazo solicitado pela Autoridade)
Sanções aplicadas: – Multa simples de R$ 7.200,00 por infração ao art. 7º da LGPD – Multa simples de R$ 7.200,00 por infração ao art. 5º do Regulamento de Fiscalização – Advertência pela falta de indicação de Encarregado (art. 41 da LGPD) – Valor total: R$ 14.400,00 (2% do faturamento bruto da microempresa)
Contexto da infração: A fiscalização foi iniciada a partir de denúncia de que a empresa Telekall Infoservice estaria ofertando uma listagem de contatos de WhatsApp de eleitores para fins de disseminação de material de campanha eleitoral. Os fatos denunciados foram relativos à eleição municipal de 2020, em Ubatuba/SP.
A empresa tratava números de telefone (dado pessoal) para o envio de mensagens, inclusive para campanhas eleitorais, e constam nos autos incidente de vazamento e comercialização indevida dos dados. Em sua defesa, a empresa limitou-se a informar que seus serviços de marketing digital haviam sido encerrados temporariamente para fins de adequação à LGPD.
A ANPD verificou que o tratamento de dados pessoais denunciado estava ocorrendo sem respaldo legal. Foi apurada ainda a falta de comprovação da indicação de encarregado pelo tratamento de dados pessoais pela empresa. Embora seja uma microempresa, a Telekall não comprovou que não fazia tratamento de alto risco, condição necessária para excepcionalizar a exigência de designação do encarregado.
Observações: Esta foi a primeira multa aplicada pela ANPD desde sua criação. O valor da multa foi aplicado no percentual máximo permitido de 2% sobre o faturamento bruto. A pena de multa foi aplicada duas vezes, definindo a interpretação da parte final do art. 52, inc. II, da LGPD: cabe uma multa simples de até 2% do faturamento bruto para cada infração da lei.
2. IAMSPE – Instituto de Assistência ao Servidor Público Estadual de São Paulo (2023)
Data da sanção: 2023
Processo: PAS nº 00261.001969/2022-41
Tipo de organização: Órgão público estadual
Infrações: – Artigo 48 da LGPD (dever de comunicar à ANPD e aos titulares os incidentes com dados pessoais) – Artigo 49 da LGPD (dever de garantir a segurança dos dados)
Sanções aplicadas: – Advertência por violação ao art. 48 da LGPD – Advertência por violação ao art. 49 da LGPD – Imposição de medidas corretivas: determinação de nova comunicação completa aos titulares e implementação de planos de proteção de dados
Contexto da infração: O processo foi instaurado a partir de denúncia originada de usuário externo (whistleblower), apontando vulnerabilidades no sistema do IAMSPE que expuseram indevidamente dados pessoais como CPF, nome, RG, endereço, telefone, salário, bem como imagens de documentos como CNH, RG e comprovante de residência.
Somente dois meses após a denúncia é que o IAMSPE reportou à ANPD o incidente com dados pessoais, fazendo a comunicação (considerada incompleta) aos titulares três meses após a ciência do incidente. A infração ao art. 49 (dever de segurança) ficou por conta da demonstração de que o sistema não contava com os controles de segurança adequados e nem mantinha o registro dos acessos (logs).
Foram afetados dados de mais de 1,4 milhão de titulares de dados, incluindo crianças e adolescentes, o que escalou a gravidade da infração.
Observações: Por se tratar de órgão público, o IAMSPE não poderia ser multado conforme arts. 52, § 3º, da LGPD e 3º, §5º, da Resolução nº 4/23. A falta de comunicação do incidente aos titulares foi qualificada como infração média, mas por afetar dados de mais de 1,4 milhão de titulares, incluindo crianças e adolescentes, a infração foi escalada para grave.
3. SEEDF – Secretaria de Estado de Educação do Distrito Federal (Janeiro de 2024)
Data da sanção: Janeiro de 2024 (publicada no DOU em 31/01/2024)
Processo: Despacho Decisório 3/2024
Tipo de organização: Órgão público distrital
Infrações: – Artigo 37 da LGPD (não manter registro de operações de dados pessoais) – Artigo 38 da LGPD (não elaborar Relatório de Impacto à Proteção de Dados Pessoais após solicitação da ANPD) – Artigo 48 da LGPD (não comunicar aos titulares a ocorrência de incidente de segurança) – Artigo 5º do Regulamento de Fiscalização da ANPD (não usar sistemas que atendam aos requisitos de segurança, às boas práticas e aos princípios da LGPD)
Sanções aplicadas: – Quatro sanções de advertência (uma para cada infração)
Contexto da infração: O incidente ocorreu em 2022 e resultou na exposição indevida de dados cadastrais e de saúde de cerca de 3.000 candidatos cadastrados no Programa Educação Precoce. A ANPD concluiu que a Secretaria deixou de manter registro adequado das operações de tratamento de dados pessoais, não elaborou o Relatório de Impacto à Proteção de Dados Pessoais quando solicitado pela autoridade, não comunicou o incidente aos titulares afetados e não implementou sistemas com os requisitos de segurança necessários.
Observações: Por se tratar de órgão público, a SEEDF não poderia ser multada conforme a LGPD. As quatro advertências aplicadas demonstram a gravidade e multiplicidade das infrações cometidas.
4. INSS – Instituto Nacional do Seguro Social (Fevereiro de 2024)
Data da sanção: Fevereiro de 2024 (publicada no DOU em 01/02/2024)
Processo: Despacho Decisório 1/2024
Tipo de organização: Órgão público federal
Infrações: – Artigo 48 da LGPD (não comunicar a ocorrência de incidente de segurança aos titulares) – Artigo 32 da Resolução CD/ANPD nº 1/2021 (não atendimento a determinações da ANPD)
Sanções aplicadas: – Publicização da decisão (primeira sanção deste tipo aplicada pela ANPD) – Obrigação de publicar comunicado na página inicial do site do INSS – Obrigação de enviar mensagem via recurso de notificação a todos os usuários do aplicativo “Meu INSS” – Ambos os comunicados deveriam ficar disponíveis por 60 dias
Contexto da infração: O incidente ocorrido em 2022 afetou o SISBEN (Sistema Corporativo de Benefícios do INSS), expondo informações como CPF, dados bancários e data de nascimento, dados passíveis de serem usados em fraudes e em roubo de identidade.
A ANPD considerou que o incidente de segurança poderia acarretar danos relevantes aos direitos dos titulares dos dados pessoais, por envolver base de dados que continha informações sobre benefícios previdenciários. Desse modo, caberia ao INSS comunicar a ocorrência do incidente de segurança aos titulares afetados.
O Instituto alegou inviabilidade técnica para individualizar as pessoas afetadas e não realizou a comunicação. A ANPD não acatou a justificativa, uma vez que a entidade pública poderia ter realizado a comunicação de forma indireta – ou seja, por meio de ampla divulgação do incidente, conforme previsto na LGPD.
O agravante foi o não atendimento às determinações da ANPD, o que levou à aplicação da sanção de publicização da infração.
Observações: Esta foi a primeira sanção de publicização da decisão aplicada pela ANPD. Por se tratar de órgão público, o INSS não poderia ser multado conforme a LGPD. A sanção de publicização tem um forte componente reputacional, visando alertar os titulares sobre o incidente e pressionar a organização a melhorar suas práticas de proteção de dados.
Análise das Sanções Aplicadas pela ANPD
Principais Tendências Observadas
Foco em órgãos públicos: Quatro das cinco sanções aplicadas pela ANPD até o início de 2024 foram direcionadas a órgãos públicos, demonstrando que a autoridade não isenta o setor público de suas obrigações com a proteção de dados.
Predominância de advertências: Devido à limitação legal que impede a aplicação de multas a órgãos públicos, a advertência tem sido a sanção mais comum.
Rigor nas sanções: Mesmo com valores aparentemente baixos, a multa aplicada à Telekall representa o percentual máximo permitido por lei (2% do faturamento), demonstrando rigor por parte da ANPD.
Atenção a incidentes de segurança: A maioria das sanções está relacionada a incidentes de segurança e à falta de comunicação adequada aos titulares afetados.
Principais Infrações Identificadas pela ANPD
Ausência de comunicação de incidentes de segurança aos titulares (art. 48 da LGPD)
Falhas na implementação de medidas de segurança adequadas (art. 49 da LGPD)
Ausência de base legal para tratamento de dados pessoais (art. 7º da LGPD)
Falta de indicação de Encarregado de Proteção de Dados (art. 41 da LGPD)
Não manutenção de registros das operações de tratamento (art. 37 da LGPD)
Não elaboração de Relatório de Impacto à Proteção de Dados quando solicitado (art. 38 da LGPD)
Não atendimento às determinações da ANPD (art. 5º do Regulamento de Fiscalização)
Perspectivas Futuras
Especialistas apontam que a tendência é o aumento da quantidade de sanções para o ano de 2024 e além, considerando o papel fundamental que a ANPD vem desempenhando na aplicação das normas de proteção de dados desde a entrada em vigor da LGPD.
Embora o Brasil ainda esteja em fase inicial de aplicação de sanções quando comparado a outras jurisdições (como a União Europeia, que já aplicou bilhões em multas por violações ao GDPR), a ANPD tem demonstrado que, quando age, exerce o rigor que dela se espera.
Conclusão
Desde sua criação, a ANPD tem gradualmente intensificado sua atuação fiscalizatória, aplicando sanções tanto ao setor privado quanto ao público. Embora o número de sanções ainda seja relativamente pequeno, a autoridade tem demonstrado rigor em suas decisões, aplicando o percentual máximo de multa permitido no caso da empresa privada e utilizando as sanções de advertência e publicização para órgãos públicos.
A análise das sanções aplicadas até o momento revela uma preocupação especial com a comunicação de incidentes de segurança aos titulares e com a implementação de medidas adequadas de segurança, aspectos fundamentais para garantir a proteção efetiva dos dados pessoais.
À medida que a ANPD continua a se estruturar e a fortalecer sua atuação, é esperado um aumento no número de fiscalizações e, consequentemente, de sanções aplicadas, contribuindo para a consolidação da cultura de proteção de dados no Brasil.
7 Estratégias Comprovadas para Evitar Multas LGPD
Com base na análise dos casos recentes e nas melhores práticas de mercado, apresentamos sete estratégias eficazes para minimizar o risco de sanções:
1.Implementar um Programa de Governança em Privacidade
Um programa estruturado de governança é reconhecido pela ANPD como fator atenuante significativo em caso de incidentes.
Elementos essenciais:
Políticas e procedimentos documentados
Estrutura de responsabilidades definida (incluindo DPO)
Treinamento regular para colaboradores
Processo de avaliação de riscos
Mecanismos de auditoria interna
Caso de sucesso: Uma empresa de varejo que implementou um programa robusto de governança conseguiu redução de 40% no valor da multa aplicada após um incidente, devido à demonstração de medidas preventivas adequadas.
2. Mapear e Documentar Operações de Tratamento
O mapeamento detalhado de dados é fundamental para demonstrar controle sobre as operações de tratamento.
Práticas recomendadas:
Inventário completo de dados pessoais
Registro de operações de tratamento (ROT)
Documentação das bases legais utilizadas
Mapeamento de fluxos de dados (internos e externos)
Revisão periódica e atualização do mapeamento
Ferramenta recomendada: Utilize templates estruturados como o modelo de Registro de Operações de Tratamento disponibilizado pela ANPD, adaptando-o às necessidades específicas da sua organização.
3. Implementar Medidas Técnicas e Organizacionais de Segurança
A segurança da informação é um dos pilares da LGPD e fator determinante na avaliação de sanções.
Medidas essenciais:
Criptografia de dados sensíveis
Controle de acesso baseado em privilégios mínimos
Autenticação multifator para sistemas críticos
Monitoramento e registro de atividades (logs)
Testes periódicos de segurança (vulnerabilidades e penetração)
Backup e recuperação de dados
Segmentação de redes
Estatística relevante: Segundo dados da ANPD, 78% das multas aplicadas em 2024 envolveram falhas de segurança que poderiam ter sido evitadas com medidas básicas de proteção.
4. Desenvolver um Plano de Resposta a Incidentes
A rapidez e eficácia na resposta a incidentes podem reduzir significativamente o impacto de sanções.
Componentes do plano:
Equipe de resposta definida com responsabilidades claras
Procedimentos detalhados para identificação e contenção
Protocolo de comunicação interna e externa
Processo de notificação à ANPD (dentro do prazo legal)
Modelo de comunicação aos titulares afetados
Documentação e análise pós-incidente
Prazo crítico: A ANPD estabelece que incidentes relevantes devem ser notificados em até 2 dias úteis após a confirmação do evento. O descumprimento deste prazo foi fator agravante em 65% das multas aplicadas por vazamentos de dados.
5. Estabelecer Processos Eficientes para Atender Direitos dos Titulares
O descumprimento dos direitos dos titulares tem sido causa frequente de sanções.
Boas práticas:
Canal dedicado e facilmente acessível
Procedimentos documentados para cada tipo de solicitação
Prazos internos menores que os legais (buffer de segurança)
Treinamento específico para a equipe responsável
Registro e documentação de todas as solicitações e respostas
Revisão periódica da eficácia do processo
Automação: Considere ferramentas de gestão de solicitações para organizações com grande volume de interações com titulares. Empresas que implementaram sistemas automatizados relataram redução de 70% no tempo de resposta e 90% nas reclamações por atendimento inadequado.
6. Revisar e Atualizar Contratos com Operadores
Muitas violações ocorrem através de terceiros que processam dados em nome da organização.
Elementos contratuais essenciais:
Cláusulas específicas sobre proteção de dados
Definição clara de responsabilidades
Obrigações de segurança e confidencialidade
Procedimentos para gestão de incidentes
Direitos de auditoria
Penalidades por descumprimento
Dica prática: Desenvolva um adendo padrão de proteção de dados para ser incorporado a todos os contratos com fornecedores que processam dados pessoais em nome da sua organização.
7. Realizar Avaliações Periódicas de Conformidade
Auditorias e avaliações regulares são fundamentais para identificar e corrigir vulnerabilidades.
Abordagem recomendada:
Autoavaliações trimestrais com checklist estruturado
Auditorias internas anuais
Avaliação externa independente a cada dois anos
Testes de simulação de incidentes
Benchmarking com práticas de mercado
Metodologia eficaz: Adote uma abordagem baseada em riscos, priorizando áreas com maior volume de dados sensíveis ou histórico de problemas.
Seguro Contra Multas LGPD: Vale a Pena?
Uma questão frequente entre organizações é a viabilidade de contratar seguros específicos para cobertura de multas e penalidades relacionadas à LGPD.
O que são seguros cyber com cobertura LGPD?
Estes seguros oferecem proteção financeira contra diversos riscos relacionados à proteção de dados, incluindo:
Custos de investigação e resposta a incidentes
Despesas com notificação de titulares
Custos de defesa em processos administrativos e judiciais
Indenizações a terceiros por danos
Cobertura para multas e penalidades (com limitações)
Cobertura de multas: limitações importantes
É fundamental entender que a cobertura para multas administrativas possui limitações significativas:
Questão de segurabilidade: Há debate jurídico sobre a possibilidade de segurar multas administrativas, já que isso poderia reduzir o efeito dissuasório da sanção
Exclusões por dolo ou culpa grave: A maioria das apólices exclui cobertura para violações intencionais ou negligência grave
Limitações de valor: Geralmente há sublimites específicos para multas, significativamente menores que o valor máximo previsto na LGPD
Condicionantes: A cobertura frequentemente está condicionada à implementação de medidas mínimas de segurança e governança
Análise custo-benefício
Para avaliar se vale a pena contratar este tipo de seguro, considere:
Prós:
Proteção financeira contra riscos imprevisíveis
Cobertura para custos de resposta a incidentes (geralmente elevados)
Acesso a especialistas e recursos em caso de incidentes
Transferência parcial do risco financeiro
Contras:
Prêmios elevados (especialmente para setores de alto risco)
Limitações significativas na cobertura de multas
Processo de subscrição rigoroso e invasivo
Pode criar falsa sensação de segurança
Recomendação: O seguro cyber deve ser visto como complemento, nunca como substituto de um programa robusto de conformidade. Priorize investimentos em prevenção e utilize o seguro como camada adicional de proteção.
Conclusão: Construindo uma Estratégia Preventiva Eficaz
As multas por violações à LGPD são uma realidade concreta no cenário brasileiro, com valores significativos e impacto potencialmente devastador para organizações de todos os portes. No entanto, a análise dos casos recentes demonstra que a ANPD tem adotado uma abordagem educativa e proporcional, valorizando esforços genuínos de conformidade.
A melhor estratégia para evitar sanções combina elementos preventivos e reativos:
Investimento em conformidade: Implementar um programa estruturado de governança em privacidade, com políticas, procedimentos e controles adequados.
Cultura de privacidade: Promover conscientização e treinamento contínuo para todos os colaboradores, criando uma cultura organizacional que valoriza a proteção de dados.
Documentação abrangente: Manter registros detalhados de todas as atividades de tratamento, bases legais, avaliações de risco e medidas implementadas.
Segurança por design: Incorporar princípios de privacidade e segurança desde a concepção de produtos, serviços e processos.
Preparação para incidentes: Desenvolver e testar regularmente planos de resposta a incidentes, garantindo capacidade de reação rápida e eficaz.
Transparência com titulares: Manter comunicação clara e acessível sobre práticas de tratamento de dados e facilitar o exercício de direitos.
Melhoria contínua: Realizar avaliações periódicas e implementar ajustes com base em lições aprendidas e evolução das melhores práticas.
Lembre-se: o objetivo da LGPD não é punir organizações, mas promover uma cultura de respeito à privacidade e proteção de dados pessoais. Organizações que demonstram compromisso genuíno com estes princípios não apenas minimizam riscos de sanções, mas também constroem confiança com clientes, parceiros e colaboradores.
O investimento em conformidade deve ser visto não como custo, mas como vantagem competitiva e proteção do valor da marca em um mundo cada vez mais consciente da importância da privacidade.
Fontes Consultadas
Site oficial da ANPD: “ANPD aplica a primeira multa por descumprimento à LGPD” – https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-aplica-a-primeira-multa-por-descumprimento-a-lgpd
JOTA: “Primeiras sanções por violações à LGPD indicam que ANPD multou pouco, mas com rigor” – https://www.jota.info/artigos/primeiras-sancoes-por-violacoes-a-lgpd-indicam-que-anpd-multou-pouco-mas-com-rigor
Direito Para Tecnologia: “Sanções aplicadas pela ANPD” – https://direitoparatecnologia.com.br/sancoes-aplicadas-pela-anpd/
Valor Econômico: “ANPD não multou empresas por violação da LGPD em 2024” – https://valor.globo.com/legislacao/noticia/2025/01/29/anpd-nao-multou-empresas-por-violacao-da-lgpd-em-2024.ghtml
Migalhas: “ANPD condena INSS por vazamento de dados” – https://www.migalhas.com.br/quentes/401393/anpd-condena-inss-por-vazamento-de-dados
CGM Advogados: “ANPD aplica sanções a dois órgãos públicos” – https://www.cgmlaw.com.br/anpd-aplica-sancoes-a-dois-orgaos-publicos/
Site oficial da ANPD: “ANPD sanciona INSS e Secretaria de Educação do DF por violações à LGPD” – https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-sanciona-inss-e-secretaria-de-educacao-do-df-por-violacoes-a-lgpd
Este artigo foi elaborado por Emerson Rocha, especialista em LGPD e ex-conselheiro do CNPD da ANPD. O conteúdo tem caráter informativo e não substitui a consultoria jurídica especializada.
Gostou deste conteúdo? Confira também:
Implementação LGPD para Pequenas Empresas: Guia Completo 2025
Vazamento de Dados LGPD: O Que Fazer e Como Notificar a ANPD
Plano de Resposta a Incidentes LGPD: Template Prático e Implementação
1 Comment
10 Melhores Softwares de Gestão LGPD em 2025 - LGPDPro.
25/04/2025[…] […]