Empresas multadas pela LGPD: casos reais e lições

A primeira multa da LGPD no Brasil não caiu sobre um banco nem sobre uma gigante de tecnologia. Caiu sobre uma microempresa de telemarketing, e o valor foi de R$14.400.

Esse contraste resume a confusão em torno das empresas multadas pela LGPD. De um lado, o discurso do terror: "a multa pode chegar a R$50 milhões". De outro, o deboche: "ninguém nunca foi punido de verdade". Os dois lados erram. E quem fica sem referência é você, que toca uma pequena empresa e precisa decidir quanto investir em proteção de dados.

Neste artigo, você vai conhecer os casos reais de empresas e órgãos punidos por descumprir a Lei Geral de Proteção de Dados, com valores e datas conferidos em fontes oficiais. Mais importante: vai ver o que cada caso ensina na prática. Se quiser entender antes como funciona a escada de punições, comece pelo nosso guia de multas e sanções da LGPD.

Quem aplica as multas da LGPD?

Quem aplica as multas da LGPD é a ANPD, a Autoridade Nacional de Proteção de Dados. Ela conduz o processo administrativo, escolhe a sanção e calibra o valor conforme a gravidade da infração, o porte do infrator e a postura dele durante a investigação. A Justiça e os órgãos de defesa do consumidor punem o mau uso de dados por outras vias.

Para ler os casos a seguir sem se confundir, vale separar os instrumentos que a ANPD já usou:

• Multa simples: punição em dinheiro, de até 2% do faturamento, limitada a R$50 milhões por infração.
• Advertência: punição formal sem valor em dinheiro, em geral com prazo para corrigir o problema.
• Publicização da infração: o punido é obrigado a anunciar publicamente a própria condenação.
• Medida preventiva: ordem para interromper uma prática de risco, com multa diária prevista em caso de descumprimento.
• Fiscalização: apuração que pode terminar em arquivamento ou virar processo sancionador. Ainda não é punição.

Essa distinção importa porque boa parte das manchetes mistura tudo. Notificação vira "multa", fiscalização vira "condenação", e o leitor sai com uma ideia errada do cenário. Aqui, cada caso aparece com o nome certo.

Antes de mergulhar nos casos, se quiser um retrato rápido do seu negócio, veja onde sua empresa está na adequação à LGPD com o diagnóstico do DataSafu. Leva poucos minutos e mostra seus pontos fracos.

Qual foi a primeira empresa multada pela LGPD no Brasil?

A primeira empresa multada pela LGPD foi a Telekall Infoservice, uma microempresa do ramo de telemarketing. A ANPD publicou a decisão no Diário Oficial da União em 6 de julho de 2023: duas multas de R$7.200, somando R$14.400, mais uma advertência. O valor ficou limitado a 2% do faturamento por se tratar de microempresa.

A história começou nas eleições municipais de 2020, em Ubatuba (SP). A ANPD recebeu denúncia de que a empresa ofertava uma lista de contatos de WhatsApp de eleitores para disparo de material de campanha. Dado pessoal usado para uma finalidade que o titular nunca autorizou, sem nenhuma justificativa legal.

A investigação encontrou três problemas, segundo a notícia oficial da ANPD sobre a primeira multa:

1. Tratamento de dados sem base legal (art. 7º da LGPD). A empresa não tinha nenhuma das justificativas que a lei aceita para usar aqueles contatos. Entenda como funcionam as bases legais da LGPD para não repetir esse erro.
2. Silêncio diante da fiscalização (art. 5º do Regulamento de Fiscalização). A Telekall não respondeu às solicitações da ANPD durante o processo. Esse silêncio gerou uma das duas multas.
3. Falta de encarregado de dados (art. 41). A empresa não indicou um encarregado de dados (DPO) nem comprovou que estaria dispensada por não fazer tratamento de alto risco. Resultado: advertência.

Repare no detalhe que mais ensina: das duas multas em dinheiro, uma veio do uso irregular de dados e a outra veio de ignorar a autoridade. Se a empresa tivesse cooperado, a conta provavelmente seria menor. A lei trata cooperação como atenuante, e o caso Telekall mostrou isso na prática.

A lição maior, porém, é outra. O primeiro CNPJ multado pela LGPD no Brasil foi uma microempresa. O porte não blindou ninguém, apenas reduziu o valor.

Linha do tempo: as sanções aplicadas pela ANPD até aqui

Desde a primeira multa, a ANPD ampliou o repertório: advertências, publicização, medidas preventivas e fiscalizações em lote. A tabela abaixo consolida os principais casos públicos, com datas e fundamentos. Todos foram conferidos em fontes oficiais e imprensa de referência em junho de 2026.

Duas observações para ler a tabela do jeito certo. Primeiro: órgãos públicos não pagam multa em dinheiro pela LGPD. Para eles, a ANPD usa advertência, publicização e obrigações de correção. Segundo: medida preventiva e fiscalização não são multa, mas indicam exatamente onde a autoridade está olhando.

O que os casos de órgãos públicos ensinam para a sua empresa

Pode parecer que sanção contra INSS ou secretaria estadual não diz respeito a uma empresa privada. Diz, e muito. A régua que a ANPD calibra nesses casos é a mesma que ela aplicará ao setor privado.

O caso do INSS é o mais ilustrativo. Em 2022, o instituto sofreu um incidente de segurança: a apuração identificou mais de 90 milhões de consultas a sistemas de benefícios sem justificativa operacional. O problema central, para a ANPD, não foi só a falha. Foi o depois: o INSS não comunicou os titulares afetados, como exige o art. 48 da LGPD.

A punição, publicada em fevereiro de 2024, foi a primeira sanção de publicização da infração da história da autoridade. O INSS teve de estampar um aviso na página inicial do site e enviar mensagem aos usuários do aplicativo Meu INSS, por 60 dias, informando a própria condenação. Transponha para o seu negócio: seria como avisar cada cliente, durante dois meses, de que sua empresa foi punida por esconder um vazamento. Tem multa que custa menos que isso.

Os outros casos públicos seguem o mesmo padrão. A Secretaria de Saúde de Santa Catarina levou quatro advertências em outubro de 2023 por incidente que expôs dados de usuários do sistema de saúde, com obrigação de manter aviso público no site por 90 dias. A Secretaria de Educação do DF expôs dados de 3.030 crianças, incluindo diagnósticos médicos. A Secretaria de Assistência Social de Pernambuco expôs registros com dados de pessoas com deficiência. O Ministério da Saúde respondeu a dois processos, um deles por manter sistema acessível sem autenticação.

Três lições saem direto desses casos:

• Incidente mal respondido pune mais que o incidente em si. Saiba o que fazer em caso de vazamento de dados antes de precisar.
• Dados sensíveis e de crianças elevam a gravidade. Saúde, deficiência e diagnóstico aparecem em quase todos os casos. Reveja o que são dados sensíveis na LGPD e onde eles vivem na sua operação.
• Segurança básica é inegociável. Sistema sem autenticação e acesso sem controle foram os vilões recorrentes, não ataques sofisticados.

Casos recentes: IA, biometria e o cerco ao básico

De 2024 em diante, a ANPD passou a agir antes do dano, com medidas preventivas. Dois casos mostram essa virada.

Em 2 de julho de 2024, a autoridade suspendeu de forma cautelar a nova política de privacidade da Meta, que autorizava o uso de publicações dos usuários para treinar a inteligência artificial da empresa. Os problemas apontados: base legal inadequada, falta de transparência, barreiras para o titular se opor e ausência de salvaguardas para dados de crianças e adolescentes. A ordem veio com multa diária de R$50 mil prevista em caso de descumprimento, e a Meta só retomou o treinamento depois de apresentar ajustes à ANPD.

Em janeiro de 2025, foi a vez da Tools for Humanity, do projeto World, que escaneava a íris de brasileiros em troca de criptomoeda. A ANPD mandou parar os pagamentos: para dado biométrico, a lei exige consentimento livre, e dinheiro na mesa compromete essa liberdade, especialmente para quem está em vulnerabilidade. A empresa recorreu e perdeu em fevereiro de 2025. A multa diária prevista, de novo, era de R$50 mil.

Enquanto isso, o movimento mais revelador para pequenas empresas veio em dezembro de 2024, quando a ANPD abriu fiscalização contra 20 empresas por falta de encarregado ou canal de comunicação. A lista incluía TikTok, X, Uber, Dell, Vivo, Serasa, Telegram, Cacau Show, Latam e Tinder, além de negócios bem menores, como uma clínica odontológica e uma academia.

Note o critério: a ANPD verificou algo que qualquer pessoa confere em dois minutos, o contato do encarregado no site. A fiscalização começa pelo que está visível de fora. Se o básico não aparece, a empresa entra na lista, seja ela big tech ou clínica de bairro.

Multas fora da ANPD: a Justiça também cobra

A sanção administrativa é só uma das contas possíveis. A condenação mais cara do Brasil envolvendo dados pessoais até aqui não veio da ANPD, veio do Judiciário.

Em 2023, a Justiça de Minas Gerais condenou a Meta, dona do Facebook, a pagar R$20 milhões em danos morais coletivos por um vazamento de 2018 que expôs dados de cerca de 15 milhões de pessoas no Brasil. A decisão, de primeira instância e ainda sujeita a recurso, previu também indenização individual aos afetados. O dinheiro coletivo vai para um fundo público de defesa do consumidor.

A base para esse tipo de ação está no art. 42 da LGPD: quem causa dano ao titular por violar a lei é obrigado a reparar. Qualquer cliente pode acionar a Justiça sem esperar a ANPD se mover. Procons e a Secretaria Nacional do Consumidor também autuam empresas por mau uso de dados pelas regras de consumo.

Na prática, a conta da não conformidade tem três caixas: a do regulador, a do Judiciário e a do mercado, que cobra em reputação e clientes perdidos. Olhar só para a primeira é subestimar o risco.

Poucas multas até agora: dá para relaxar?

Sejamos honestos com os números, porque é isso que a maioria do conteúdo sobre o tema não faz. Até agosto de 2024, a ANPD havia aplicado 18 sanções administrativas, e apenas duas eram multas em dinheiro, ambas no caso Telekall. Em 2024, nenhuma empresa privada foi multada. A autoridade passou os primeiros anos priorizando orientação, e órgãos públicos, alvo frequente, não pagam multa por definição legal.

Esses números enganam por quatro motivos:

1. O precedente existente mira os pequenos. A única multa em dinheiro contra empresa privada foi contra uma microempresa. A tese "só punem os grandes" caiu logo no primeiro caso.
2. A estrutura punitiva está montada e testada. Regulamento de dosimetria desde 2023, medidas preventivas com multa diária já usadas contra Meta e Tools for Humanity, processo sancionador rodando.
3. A fiscalização virou varredura. O caso das 20 empresas mostrou que a ANPD age em lote, começando pelo que dá para checar de fora: encarregado e canal de contato.
4. A multa nunca foi a conta toda. Processo administrativo, obrigação de avisar clientes, ação judicial e dano de reputação custam antes e independente dela.

Relaxar, portanto, é uma aposta ruim. Mas entrar em pânico também não ajuda. O caminho racional é saber exatamente onde sua empresa está exposta. Uma análise de risco LGPD faz esse levantamento e prioriza o que corrigir primeiro, antes que a pergunta venha de fora.

5 lições das empresas multadas pela LGPD

Os casos reais da LGPD contam, no fundo, uma história só: ninguém foi punido por detalhe sofisticado. Todos caíram no básico. Estas são as cinco lições que se repetem:

1. Documente a base legal de cada uso de dados. A Telekall foi multada por usar contatos sem justificativa legal. Para cada dado que sua empresa coleta, saiba responder por que pode usá-lo.
2. Indique um encarregado e deixe o contato visível. A falta dele rendeu advertência à Telekall e colocou 20 empresas sob fiscalização. É a primeira coisa que a ANPD confere, porque é a mais fácil de conferir.
3. Prepare a resposta a incidentes antes do incidente. INSS, secretarias e Ministério da Saúde foram punidos pelo silêncio depois da falha. Quem tem plano de resposta transforma crise em procedimento.
4. Trate dados sensíveis e de crianças com régua mais alta. Diagnósticos, saúde, deficiência e biometria aparecem nos casos mais graves. Se sua empresa lida com esse tipo de dado, proteção reforçada não é opcional.
5. Nunca ignore a autoridade nem os titulares. Uma das duas multas da Telekall veio de não responder à ANPD. Cooperação atenua sanção; silêncio agrava.

Nada dessa lista exige departamento jurídico. Exige método. As cinco lições são exatamente as primeiras etapas de como adequar sua empresa à LGPD, na ordem em que a fiscalização costuma cobrar.

Perguntas frequentes sobre empresas multadas pela LGPD

Qual foi a primeira empresa multada pela LGPD no Brasil?

A Telekall Infoservice, microempresa de telemarketing, em decisão publicada no Diário Oficial em 6 de julho de 2023. Foram duas multas de R$7.200, total de R$14.400, por tratamento de dados sem base legal e por não responder à fiscalização, mais advertência por falta de encarregado.

Quais empresas já foram multadas ou sancionadas pela LGPD?

Em multa pecuniária da ANPD, o caso público até aqui é a Telekall. Em outras sanções, a lista inclui INSS (publicização), Secretaria de Saúde de Santa Catarina, Secretaria de Educação do DF, Secretaria de Assistência Social de Pernambuco e Ministério da Saúde (advertências). Meta e Tools for Humanity receberam medidas preventivas com multa diária prevista.

Qual empresa foi multada por vazamento de dados?

Na ANPD, os casos de vazamento geraram advertência e publicização (INSS e SES-SC, por exemplo), não multa em dinheiro até aqui. Na Justiça, a Meta foi condenada em primeira instância a pagar R$20 milhões por vazamento que afetou 15 milhões de brasileiros, decisão de 2023 ainda sujeita a recurso.

O que acontece se uma empresa violar a LGPD?

Ela pode receber advertência, multa de até 2% do faturamento (limitada a R$50 milhões por infração), multa diária, publicização da infração, bloqueio ou eliminação dos dados e até suspensão da atividade de tratamento. As sanções seguem um processo administrativo com direito de defesa, detalhado no nosso guia de multas e sanções.

Quem aplica as multas da LGPD?

A ANPD, a Autoridade Nacional de Proteção de Dados, órgão federal responsável por fiscalizar e punir violações da lei. Em paralelo, titulares podem pedir indenização na Justiça e órgãos de consumo podem autuar a empresa pelas regras do Código de Defesa do Consumidor.

Pequena empresa pode ser multada pela LGPD?

Pode, e o precedente é justamente esse: a primeira e única multa em dinheiro da ANPD contra empresa privada atingiu uma microempresa. O porte reduz o teto da multa e flexibiliza algumas obrigações, mas não isenta ninguém da lei.

O padrão por trás dos casos reais

Olhando o conjunto, o retrato das empresas multadas pela LGPD desmonta os dois mitos. Não houve chuva de multas milionárias, mas a fiscalização nunca esteve tão ativa: varreduras em lote, medidas preventivas contra gigantes e sanções que expõem o punido publicamente. E o alvo recorrente não foi a tecnologia de ponta, foi o básico ausente: base legal, encarregado visível, resposta decente a incidentes.

A boa notícia é que o básico está ao alcance de qualquer pequena empresa. Você não precisa de consultoria de R$30 mil para documentar suas bases legais, indicar um encarregado e ter um plano de resposta pronto.

Comece hoje: faça o diagnóstico da sua empresa no DataSafu e veja, em poucos minutos, quais dos erros que levaram essas empresas a serem punidas pela LGPD ainda existem no seu negócio. Melhor descobrir agora do que numa notificação da ANPD.