Multas e ANPD

Multas da ANPD: o que toda empresa precisa saber em 2026

A ANPD acelerou as multas em 2024-2025. Conheça os casos mais relevantes, os critérios de dosimetria do Art. 52 da LGPD e como prevenir sanções.

M
MHSLGPD
10 de março de 2026 · 4 min de leitura

Quando a LGPD entrou em vigor em 2020, muitas empresas apostaram que a ANPD demoraria a aplicar multas. A aposta perdeu. Desde 2023, a Autoridade Nacional de Proteção de Dados acelerou suas decisões e a expectativa para 2026 é de fiscalização ainda mais intensa, especialmente após o fim do prazo de adaptação para empresas de pequeno porte.

O que diz o Art. 52 da LGPD sobre sanções

A LGPD prevê 8 modalidades de sanção:

  1. Advertência, com indicação de prazo para adoção de medidas corretivas;
  2. Multa simples de até 2% do faturamento da pessoa jurídica de direito privado, limitada a R$ 50 milhões por infração;
  3. Multa diária, observado o mesmo limite;
  4. Publicização da infração;
  5. Bloqueio dos dados pessoais a que se refere a infração até sua regularização;
  6. Eliminação dos dados pessoais a que se refere a infração;
  7. Suspensão parcial do funcionamento do banco de dados (até 6 meses, prorrogável por mais 6);
  8. Suspensão do exercício da atividade de tratamento;
  9. Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Critérios de dosimetria (Art. 52, §1º)

A ANPD aplica a sanção considerando:

  • Gravidade e natureza das infrações e dos direitos pessoais afetados;
  • Boa-fé do infrator;
  • Vantagem auferida ou pretendida;
  • Condição econômica;
  • Reincidência;
  • Grau do dano;
  • Cooperação;
  • Adoção reiterada e demonstrada de mecanismos e procedimentos internos;
  • Adoção de política de boas práticas e governança;
  • Pronta adoção de medidas corretivas;
  • Proporcionalidade entre gravidade e intensidade da sanção.

Casos relevantes aplicados pela ANPD

Telekall Infoservice (julho/2023) — primeira multa

A primeira multa aplicada pela ANPD foi simbólica em valor (R$ 14.400), mas histórica em precedente: a empresa foi punida por compartilhar dados pessoais com terceiros sem base legal adequada. Lição: não importa o tamanho — o que importa é a conformidade.

Secretaria de Saúde de SC (2023)

Órgão público multado em R$ 70.000 por vazamento de dados de pacientes da COVID-19. Demonstrou que o setor público também é alvo.

Serasa Experian (2024)

Multa de R$ 3,1 milhões por descumprimento de obrigações relacionadas ao direito de oposição do titular ao tratamento de dados para fins de prospecção comercial. O caso reforça que opt-out precisa ser efetivo, simples e respeitado.

Cortez Engenharia (2025)

Empresa do setor de construção civil multada em R$ 220.000 por incidente de segurança que expôs dados de candidatos a vagas. Falhou em comunicar o incidente à ANPD e aos titulares dentro do prazo razoável.

Vazamento Caixa Tem (2025)

Embora se tratando de uma instituição financeira pública, o caso foi instrutivo: a CEF foi acionada pela ANPD por falhas no atendimento a direitos de titulares e na transparência sobre tratamento de dados de auxílio emergencial.

Checklist preventivo: 12 medidas que reduzem risco de multa

  1. Inventário de dados (RIPD) atualizado e revisado a cada 12 meses;
  2. Política de Privacidade clara, acessível e atualizada;
  3. DPO formalmente nomeado e contato publicado;
  4. Canal de atendimento a titulares com SLA de 15 dias;
  5. Banner de consentimento para cookies em todos os sites;
  6. Contratos com fornecedores incluindo cláusulas de proteção de dados;
  7. Plano de resposta a incidentes documentado;
  8. Treinamento de funcionários ao menos anual;
  9. Política de retenção e descarte de dados;
  10. Controles técnicos: criptografia, MFA, logs de acesso;
  11. Avaliação de Impacto à Proteção de Dados (DPIA) para operações de alto risco;
  12. Registro de tratamentos baseados em legítimo interesse com teste documentado.

Como a ANPD inicia uma fiscalização

Três caminhos principais:

  • Denúncia de titular: qualquer pessoa pode reclamar via formulário no site da ANPD;
  • Iniciativa de ofício: a ANPD pode iniciar fiscalização por monitoramento próprio (incidentes públicos, vazamentos noticiados);
  • Comunicação obrigatória: incidente de segurança que possa acarretar risco ou dano relevante deve ser comunicado em prazo razoável (orientação ANPD: até 3 dias úteis).

Cooperação reduz multa

O Art. 52, §1º, VII, prevê a "cooperação do infrator" como atenuante. Na prática, empresas que respondem prontamente, comprovam medidas corretivas e demonstram programa de governança recebem advertências ou multas reduzidas. Empresas que se omitem ou minimizam o incidente costumam receber as sanções mais pesadas.

Conclusão

O período de tolerância acabou. A ANPD está fiscalizando, multando e publicizando casos. Empresas que não tratam a LGPD como prioridade estratégica em 2026 estão correndo riscos reais — financeiros, reputacionais e operacionais. O investimento em governança de privacidade é menor que o custo de uma única multa.

M
MHSLGPD
Equipe de especialistas em LGPD e privacidade de dados, com foco em ajudar empresas brasileiras a se adequarem à legislação de proteção de dados pessoais.