Multas e Sanções da LGPD

Entenda quais multas e sanções da LGPD existem, como a ANPD aplica penalidades, o que pesa na dosimetria e como sua PME pode reduzir risco regulatório agora.

Quando alguém resume a LGPD à "multa de 2%", dois erros aparecem juntos. O primeiro é achar que a única consequência possível é financeira. O segundo é imaginar que a penalidade cai de forma automática, sem processo, sem defesa e sem gradação. Não é assim.

As multas e sanções da LGPD formam uma escada de respostas administrativas que vai de advertência até proibição parcial ou total do tratamento de dados. Para uma pequena empresa, isso importa muito mais do que o número chamativo de R$ 50 milhões, porque o impacto real costuma aparecer antes: retrabalho, bloqueio de dados, pressão regulatória, perda de confiança do cliente e dificuldade para provar boa-fé quando a ANPD pede explicações.

Neste guia, você vai entender o que a Lei nº 13.709/2018 realmente permite, como a ANPD, a Autoridade Nacional de Proteção de Dados, aplica sanções, o que mudou com as resoluções de 2022 e 2023, e por que o tema segue atual em 2026. Tudo com datas explícitas, linguagem simples e foco no que uma empresa pequena ou média precisa fazer agora.

O que as multas e sanções da LGPD realmente cobrem

O ponto mais importante é este: sanção administrativa não é sinônimo de multa. O art. 52 da LGPD lista várias respostas possíveis da ANPD, e a multa é apenas uma delas.

Também não dá para misturar tudo no mesmo pacote. Uma coisa é a sanção administrativa aplicada pela Autoridade. Outra é o efeito civil, contratual, reputacional ou consumerista que pode surgir em paralelo.

As sanções administrativas da LGPD passaram a valer para fatos ocorridos a partir de 1º de agosto de 2021, como a própria ANPD explicou em sua página oficial sobre o que muda após 1º de agosto de 2021. Desde então, o risco regulatório deixou de ser tese acadêmica e entrou de vez na rotina de quem coleta dados de clientes, pacientes, alunos, funcionários ou leads.

Na prática, as multas e sanções da LGPD servem para responder a condutas como tratar dados sem base legal, não atender titulares, ignorar deveres de transparência, deixar de nomear ou substituir adequadamente um canal de contato quando exigido, ou manter operações desorganizadas a ponto de impedir uma resposta clara à fiscalização.

Foi exatamente o que aconteceu com a Juliana, dona de uma clínica de estética em Campinas. Ela recebeu um pedido de acesso aos dados de uma paciente e percebeu que parte do histórico estava no sistema de agenda, parte em fichas impressas e parte em conversas soltas no WhatsApp da equipe.

Não havia vazamento nem notícia pública. Mesmo assim, faltava o básico: saber quais dados existiam, por que eram mantidos e como responder ao titular. Esse é o tipo de cenário que mostra por que o risco começa muito antes da multa.

Em termos simples, o recado da lei é o seguinte:

  • nem toda infração vira multa;
  • nem toda resposta da ANPD começa com repressão;
  • quase toda empresa que trata dados pessoais precisa conseguir demonstrar organização mínima.
Se sua empresa ainda não sabe onde os dados pessoais estão espalhados, comece pelo nosso guia de adequação à LGPD e por uma análise de risco LGPD para identificar as lacunas com mais impacto.

Quais são as sanções administrativas da LGPD

Quando alguém pesquisa por "sanções administrativas LGPD", a dúvida real costuma ser quais medidas saem do papel. A resposta curta é: advertência, multa simples, multa diária, publicização da infração, bloqueio, eliminação, suspensão e proibição de atividades relacionadas ao tratamento de dados. O desafio é traduzir isso para a rotina de uma pequena empresa.

Como ler o art. 52 sem juridiquês

Sanção Quando costuma aparecer Impacto prático no negócio
Advertência Quando a autoridade identifica irregularidade e impõe correção Pressão formal para ajustar processos e provar evolução
Multa simples Quando a infração justifica sanção pecuniária Impacto financeiro calibrado pela dosimetria
Multa diária Quando é preciso forçar cessação de conduta ou cumprimento de obrigação Custo crescente enquanto o problema continua
Publicização da infração Quando a autoridade entende que a infração deve ser tornada pública Exposição reputacional e comercial
Bloqueio dos dados pessoais Quando o uso dos dados precisa ser interrompido Operação afetada até regularização
Eliminação dos dados pessoais Quando os dados foram tratados em desconformidade Perda de base que sustenta processo, campanha ou serviço
Suspensão parcial do banco de dados Quando o banco de dados em si precisa ser restringido Travamento de partes críticas da operação
Suspensão da atividade de tratamento Quando determinada operação deve parar Interrupção concreta de fluxos de negócio
Proibição parcial ou total do tratamento Quando a conduta é grave a ponto de inviabilizar certas operações Reestruturação profunda do modelo de tratamento

O que costuma assustar mais uma pequena empresa

Para empresa pequena, nem sempre a pior notícia é a multa. Muitas vezes, bloqueio, eliminação ou publicização da infração doem mais. Imagine um e-commerce sem poder usar a base de clientes coletada irregularmente. Ou uma clínica obrigada a revisar correndo um processo inteiro porque não consegue provar por que reteve dados por tanto tempo.

O Rafael, que toca uma loja virtual de artigos esportivos em Curitiba, passou por algo parecido em menor escala. Ao revisar sua operação no começo de 2026, percebeu que o formulário de checkout coletava data de nascimento e gênero sem finalidade clara. Não houve processo nem autuação, mas o time precisou redesenhar o cadastro, limpar campos e revisar integrações com marketing. O aprendizado é direto: quanto mais excesso e desorganização, maior o custo de corrigir depois.

Outro ponto importante: a LGPD não foi desenhada para transformar a ANPD em uma "máquina de multas". A lógica regulatória combina monitoramento, orientação, prevenção e, quando necessário, repressão. Isso ajuda a entender por que a expressão correta é mesmo multas e sanções da LGPD, e não apenas "multa LGPD".

Como funciona o cálculo da multa da LGPD

Quando alguém pesquisa por multas e sanções da LGPD, quase sempre encontra a regra do "até 2%". Ela está correta, mas quase sempre vem incompleta. Pela LGPD, a multa simples pode chegar a até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no último exercício, excluídos os tributos, limitada a R$ 50.000.000,00 por infração.

Essa frase longa importa porque corrige três atalhos ruins da SERP:

  1. não é 2% de qualquer faturamento global;
  2. não é um valor automático aplicado em toda infração;
  3. não é a única consequência possível.

Em 24 de fevereiro de 2023, a ANPD aprovou a Resolução CD/ANPD nº 4, e em 27 de fevereiro de 2023 publicou a notícia oficial sobre o regulamento de dosimetria. Esse regulamento organiza os critérios para sanções pecuniárias e não pecuniárias, e reforça que a penalidade precisa ser calibrada caso a caso.

O que pesa na dosimetria

Em português claro, a autoridade olha para perguntas como estas:

  • qual foi a gravidade da conduta;
  • qual foi a natureza dos direitos afetados;
  • houve dano ou risco relevante para os titulares;
  • a empresa cooperou com a fiscalização;
  • medidas corretivas foram adotadas rapidamente;
  • existiam políticas de boas práticas e governança;
  • a condição econômica do infrator permite qual resposta.

Isso significa que duas empresas que erram em temas parecidos não necessariamente recebem a mesma resposta. A presença de documentação, canal para titulares, revisão de bases legais e medidas mínimas de segurança muda a leitura do caso.

Em outras palavras, a multa da LGPD não funciona como tabela fixa. Ela funciona como resultado de um processo de avaliação regulatória. É por isso que prevenção documentada pesa tanto. Quando a empresa só corre depois do problema, perde a chance de mostrar boa governança antes que o caso escale.

Quem aplica a sanção e como o processo acontece

Aqui existe outra dúvida comum: quem aplica multa da LGPD? A resposta administrativa é objetiva. A competência sancionadora da LGPD é da ANPD. Outros órgãos podem atuar dentro de suas próprias competências, mas a sanção administrativa prevista no art. 52 é aplicada pela Autoridade.

Também vale derrubar outro mito: a ANPD não "simplesmente multa". A própria autoridade afirma que a atuação sancionadora depende de procedimento administrativo com contraditório, ampla defesa e possibilidade de recurso. Isso aparece tanto na regulamentação quanto nas comunicações oficiais da Agência.

O fluxo, na prática

Sem entrar em tecnicismo desnecessário, o caminho costuma seguir esta lógica:

  1. surgem sinais de irregularidade, denúncia, petição de titular, incidente ou outra informação relevante;
  2. a ANPD pode monitorar, orientar, prevenir e coletar elementos;
  3. se o caso evolui, instaura-se processo administrativo sancionador;
  4. a empresa apresenta defesa, produz argumentos e pode recorrer;
  5. só então a sanção administrativa é definida e publicada.

Essa distinção é importante por dois motivos. Primeiro, porque evita vender medo barato. Segundo, porque mostra onde a empresa ainda consegue agir: organizar evidências, corrigir processos, demonstrar cooperação e responder com clareza.

Para quem empreende, a lição é simples. Não espere uma notificação para começar a colocar ordem na casa. Quando a empresa já sabe onde os dados estão, quais bases legais usa e como atende titulares, a conversa com a autoridade muda de nível.

Empresa pequena pode ser multada pela LGPD?

Sim. Empresa pequena pode ser multada pela LGPD. O que existe para agentes de pequeno porte não é imunidade, e sim tratamento jurídico diferenciado em pontos específicos.

Se você quiser a visão operacional completa desse recorte, vale ler também o nosso guia de LGPD para pequenas empresas, que aprofunda custos, prazos e simplificações para pequenas empresas.

Em 27 de janeiro de 2022, a ANPD publicou a Resolução CD/ANPD nº 2, que aprovou o regulamento para agentes de tratamento de pequeno porte. O texto prevê simplificações operacionais, mas também deixa claro, no art. 6º, que a flexibilização não isenta o cumprimento dos demais dispositivos da LGPD, incluindo bases legais, princípios e direitos dos titulares.

O que muda para pequenos agentes

Entre os pontos mais relevantes estão:

  • possibilidade de manter registro de operações de forma simplificada;
  • dispensa de indicação formal de encarregado em certas hipóteses;
  • obrigação de manter canal de comunicação com o titular quando não houver encarregado;
  • prazo em dobro em hipóteses específicas previstas no regulamento;
  • política simplificada de segurança da informação.

O que não muda

O pequeno porte não elimina:

  • a necessidade de ter base legal para tratar dados;
  • a obrigação de atender titulares;
  • o dever de adotar medidas mínimas de segurança;
  • o risco de sofrer sanção administrativa;
  • a necessidade de cuidado extra em tratamentos de alto risco.

O próprio regulamento também limita o benefício para quem realiza tratamento de alto risco. Esse detalhe costuma ser ignorado em resumos rápidos da internet, mas é decisivo. Pequena empresa pode ter processo mais simples. O que ela não tem é salvo-conduto.

Se sua empresa se enquadra como MEI, microempresa, EPP ou startup, use um checklist de conformidade para separar o que pode ser simplificado do que continua obrigatório. Isso evita a falsa sensação de que "pequeno porte resolve tudo".

O que a primeira multa da ANPD ensina

Em 7 de julho de 2023, a ANPD divulgou oficialmente a primeira multa por descumprimento à LGPD. Quando alguém pesquisa por "primeira multa LGPD", é esse caso que aparece. O caso envolveu a Telekall Infoservice e é importante porque tirou o debate do campo hipotético.

Caso Telekall, com os números corretos

Segundo a comunicação oficial da ANPD:

  • houve infração ao art. 7º da LGPD;
  • houve infração ao art. 5º do Regulamento de Fiscalização;
  • houve descumprimento do art. 41 da LGPD;
  • foram aplicadas duas multas simples de R$ 7.200,00;
  • houve advertência pelo descumprimento do art. 41;
  • o total das multas chegou a R$ 14.400,00.

O caso também é relevante porque a própria ANPD registrou que, embora se tratasse de microempresa, a Telekall não comprovou que não fazia tratamento de alto risco. Esse trecho desmonta a ideia de que o porte, sozinho, impediria sanção.

Para pequenas empresas, a lição prática é forte:

  1. pequeno porte não impede autuação;
  2. ausência de base legal pesa;
  3. falhas de governança e canal de contato importam;
  4. documentação fraca piora a posição da empresa.

Se você quiser um paralelo prático, pense no Marcelo, sócio de um escritório de serviços em Ribeirão Preto. Ele achava que "LGPD de verdade" só pegava bancos e marketplaces. Quando um cliente maior começou a exigir comprovação de conformidade, ele percebeu que não tinha inventário de dados, política atualizada nem processo para direitos do titular.

Não houve sanção, mas quase houve perda de contrato. Em muita PME, a primeira consequência da desorganização não é a multa. É o gargalo comercial.

O que está no radar da fiscalização em 2026

O tema continua atual porque a fiscalização segue ganhando forma. Em 24 de dezembro de 2025, a ANPD publicou o Mapa de Temas Prioritários 2026-2027. O documento aponta quatro temas prioritários:

  1. direitos dos titulares;
  2. proteção de crianças e adolescentes no ambiente digital;
  3. tratamento de dados pessoais pelo Poder Público;
  4. inteligência artificial e tecnologias emergentes no contexto do tratamento de dados pessoais.

Antes disso, em 11 de dezembro de 2024, a ANPD havia publicado a Agenda Regulatória 2025-2026, depois atualizada no comunicado de 24 de dezembro de 2025. Entre os temas mantidos ou reforçados aparecem direitos dos titulares, relatório de impacto à proteção de dados pessoais e compartilhamento de dados pelo Poder Público.

Para uma PME, isso ajuda a priorizar esforços. Se o seu negócio ainda responde pedido de titular no improviso, esse é um risco mais palpável hoje do que uma teoria sobre inteligência artificial. Se sua empresa coleta dados de menores, como escola, curso ou app voltado a adolescentes, o tema merece urgência ainda maior.

O ponto não é tentar adivinhar a próxima autuação. O ponto é alinhar adequação com aquilo que a autoridade já disse, com data e documento, que seguirá observando.

Como reduzir o risco de multas e sanções da LGPD na prática

Falar de penalidade sem mostrar saída não ajuda ninguém. Se você quer reduzir o risco regulatório de verdade, foque em seis frentes que produzem evidência, não só discurso.

  1. Mapeie os dados pessoais que a empresa trata. Sem inventário, você não responde titular, não revisa base legal e não explica retenção. Um mapeamento estruturado de dados encurta justamente essa etapa.
  2. Revise base legal e finalidade. Elimine coleta excessiva e pare de pedir dado "porque sempre foi assim".
  3. Organize o atendimento a titulares. O tema está no radar da fiscalização, e a desordem aqui costuma aparecer rápido. Nosso conteúdo sobre direitos do titular na LGPD ajuda a transformar isso em processo e a desenhar um canal do titular mais organizado.
  4. Implemente medidas mínimas de segurança. Senha forte, controle de acesso, backup e rotina de revisão ainda resolvem muita fragilidade básica.
  5. Documente decisões e correções. Boa-fé sem evidência vale pouco em processo.
  6. Reveja tratamentos de maior risco. Saúde, educação, biometria, menores de idade e grandes volumes merecem atenção especial.

Esse checklist não substitui assessoria jurídica quando o caso é complexo. Mas ele separa a empresa que está tentando operar com governança da empresa que só descobre o problema quando alguém cobra prova.

Perguntas frequentes sobre multas e sanções da LGPD

Toda infração gera multa?

Não. A LGPD prevê uma escada de respostas administrativas, e a multa é apenas uma delas. A ANPD pode atuar com orientação, prevenção, advertência e outras medidas antes de chegar a sanções pecuniárias, dependendo do caso.

A multa da LGPD é 2% de quê?

Da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no último exercício, excluídos os tributos, observando o teto de R$ 50 milhões por infração. Esse é o ponto central para quem pesquisa "valor da multa LGPD" na prática. O resumo "2% do faturamento" sem esse recorte está incompleto.

Pequena empresa pode ser multada pela LGPD?

Sim. A Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, criou simplificações para pequenos agentes, mas não retirou o risco de sanção. Também não afastou bases legais, princípios e direitos dos titulares.

Órgão público pode receber multa da LGPD?

Segundo a própria ANPD, na explicação oficial sobre sanções administrativas, órgãos e entidades públicas podem sofrer as sanções da LGPD, exceto as pecuniárias. Por isso, não dá para dizer que o regime é idêntico ao das empresas privadas.

A ANPD já aplicou multa de verdade?

Sim. Em 7 de julho de 2023, a ANPD divulgou a primeira multa por descumprimento à LGPD, no caso Telekall Infoservice, com duas multas simples de R$ 7.200,00 e uma advertência.

O que pesa mais no cálculo da penalidade?

Pesam fatores como gravidade da infração, dano ou risco aos titulares, cooperação com a fiscalização, medidas corretivas adotadas, condição econômica do infrator e existência de boas práticas e governança.

Conclusão

O resumo mais honesto sobre multas e sanções da LGPD é este: a lei não prevê só multa milionária, a punição não é automática, e o porte da empresa não elimina o risco. O que mais protege uma PME não é torcer para ficar fora do radar. É conseguir provar, com processo e documentação, que sabe por que trata dados, onde eles estão e como responde quando alguém cobra explicações.

Se você quiser transformar esse tema em plano de ação, o próximo passo é simples. Revise seu inventário de dados, organize o atendimento a titulares e veja onde estão os maiores vazios de governança. Para sair do diagnóstico e entrar na execução, vale seguir pelo nosso guia de adequação à LGPD e priorizar as evidências que mais reduzem o risco ligado às multas e sanções da LGPD. Você não deveria descobrir que falta governança só quando a ANPD ou um cliente grande bate à porta, e com o DataSafu, você não vai mais.

Escolha seu plano