A Autoridade Nacional de Protecao de Dados (ANPD) deixou para tras a fase de orientacao em 2023 e entrou em ciclo de fiscalizacao ativa. Multas, advertencias e sancoes acessorias agora sao realidade publica no Brasil. Este artigo lista os casos LGPD mais relevantes de 2024-2026, o que motivou cada decisao e como sua empresa pode evitar o mesmo destino.
TL;DR — multas LGPD em 60 segundos
- Teto legal: R$ 50 milhoes por infracao OU 2% do faturamento da empresa no Brasil (Art. 52, II LGPD), o que for menor.
- Inicio das sancoes: a primeira multa publica da ANPD foi aplicada em julho de 2023; a escalada de fiscalizacoes ocorreu em 2024-2025.
- Top motivos: vazamento sem notificacao (Art. 48), tratamento sem base legal (Art. 7), ausencia de Encarregado/DPO (Art. 41).
- Pequenas empresas NAO estao isentas: a ANPD reiterou esse ponto em 2024.
- Setores mais fiscalizados: telecomunicacoes, instituicoes financeiras, saude, e-commerce e marketplaces.
Quem e a ANPD e como ela aplica multas?
A Autoridade Nacional de Protecao de Dados foi criada pela Lei 13.853/2019, complementando a LGPD (Lei 13.709/2018, Art. 55-A). E uma autarquia federal de natureza especial vinculada ao Ministerio da Fazenda, com autonomia tecnica e decisoria.
O processo administrativo sancionador da ANPD segue a Resolucao CD/ANPD 1/2021 e tem cinco etapas:
- Investigacao preliminar (denuncia, monitoramento ou pedido de informacao);
- Instauracao do processo com notificacao do agente de tratamento;
- Defesa previa com prazo de 10 dias uteis (prorrogaveis);
- Decisao de primeira instancia com fundamentacao tecnica;
- Recurso administrativo ao Conselho Diretor da ANPD.
As sancoes previstas no Art. 52 da LGPD incluem advertencia (com prazo para correcao), multa simples (ate R$ 50 milhoes ou 2% do faturamento), multa diaria observado o teto, publicizacao da infracao, bloqueio dos dados, eliminacao dos dados e, em casos extremos, suspensao parcial ou total do tratamento.
Top 10 casos LGPD ANPD 2024-2026
A tabela abaixo combina multas publicas confirmadas pela ANPD e estimativas de faixa para casos onde apenas o desfecho administrativo foi divulgado. Sempre que a faixa e estimada, indicamos com “(faixa)”.
| # | Setor / Empresa | Ano | Valor | Motivo principal | Lei / Artigo |
|---|---|---|---|---|---|
| 1 | Telekall (telemarketing) | 2023 | R$ 14.400 | Falta de cooperacao em investigacao | Art. 5, X + Art. 52 |
| 2 | Fortbrasil (varejo financeiro) | 2023 | Advertencia + obrigacoes | Nao indicacao de Encarregado | Art. 41 |
| 3 | Operadora de telefonia (caso 1) | 2024 | R$ 100K-500K (faixa) | Compartilhamento sem base legal | Art. 7 + Art. 11 |
| 4 | Marketplace nacional | 2024 | R$ 200K-1M (faixa) | Cookies e tracking sem consentimento | Art. 7, I + Art. 8 |
| 5 | Fintech (vazamento) | 2024 | R$ 300K-2M (faixa) | Notificacao tardia de incidente | Art. 48 |
| 6 | Plataforma SaaS B2C | 2025 | R$ 50K-300K (faixa) | Direitos do titular nao atendidos | Art. 18-19 |
| 7 | Operadora de saude | 2025 | R$ 500K-3M (faixa) | Vazamento de dados sensiveis | Art. 11 + Art. 48 |
| 8 | Plataforma de IA generativa | 2025 | Investigacao em curso | Treinamento sem base legal clara | Art. 7 + Art. 20 |
| 9 | Bureau de credito | 2024-2025 | R$ 200K-1.5M (faixa) | Compartilhamento sem transparencia | Art. 6, VI + Art. 9 |
| 10 | E-commerce de medio porte | 2025 | R$ 30K-150K (faixa) | Politica de privacidade incompleta | Art. 9 + Art. 18 |
Importante: a ANPD ainda nao publica todas as decisoes em formato consolidado. Casos 3-10 baseiam-se em comunicados oficiais, processos administrativos divulgados parcialmente e analises de mercado. As faixas refletem a dosimetria tipica observada (porte da empresa, gravidade, reincidencia, cooperacao). O teto absoluto de R$ 50 milhoes ainda nao foi aplicado em sua plenitude no Brasil ate o momento — a fiscalizacao ainda esta em fase de maturacao quando comparada a CNIL francesa ou a BfDI alema.
Motivos mais frequentes de multas LGPD 2024-2026
Cinco categorias dominam as fiscalizacoes da ANPD:
- Vazamento sem notificacao adequada (Art. 48) — atraso, omissao ou notificacao incompleta a ANPD e aos titulares afetados. A interpretacao consolidada exige comunicacao em ate 72 horas do conhecimento do incidente.
- Tratamento sem base legal valida (Art. 7) — a LGPD lista 10 hipoteses (consentimento, contrato, obrigacao legal, etc.). Tratar dados fora dessas bases, ou com base mal documentada, e a infracao mais comum em auditorias.
- Compartilhamento indevido com terceiros (Art. 7 + Art. 11) — venda de bases, cessao a parceiros sem informacao clara ou transferencia internacional sem garantias adequadas (Art. 33).
- Ausencia de Encarregado/DPO quando obrigatorio (Art. 41) — mesmo apos a flexibilizacao para pequeno porte, a ausencia continua sendo agravante em casos de incidente.
- Cookies e rastreadores sem consentimento (Art. 7, I + Marco Civil) — banners invalidos do tipo “continuar a navegar = aceitar” ou cookies analiticos disparados antes do opt-in. Veja 37 trackers que sua banner deve bloquear.
- Direitos do titular nao atendidos (Art. 18) — prazo de 15 dias para responder pedidos de acesso, retificacao, exclusao ou portabilidade. Para pequenas empresas qualificadas, prazo dobrado para 30 dias.
Quanto pode custar uma multa LGPD para sua empresa?
Apesar do teto teorico de R$ 50 milhoes, a dosimetria pratica observada na ANPD em 2024-2026 sugere tres faixas de risco:
Tier 1 — falhas formais ou de pequeno impacto (R$ 5K - R$ 50K):
- Falta de politica de privacidade ou politica desatualizada
- Encarregado nao indicado em microempresa
- Atraso pontual em resposta a titular (Art. 18)
- Cookies analiticos sem consentimento, primeiro caso
Tier 2 — vazamento moderado ou multiplas falhas (R$ 50K - R$ 500K):
- Vazamento envolvendo centenas a milhares de titulares
- Notificacao tardia (apos 72h) a ANPD
- Compartilhamento sem base legal documentada
- Reincidencia em casos Tier 1
Tier 3 — vazamento grave, dados sensiveis ou reincidencia sistemica (R$ 500K - R$ 50M):
- Dados sensiveis (saude, biometricos, criancas)
- Centenas de milhares de titulares afetados
- Comportamento doloso ou negligencia grave
- Falta total de programa de conformidade
Maximo legal: R$ 50 milhoes OU 2% do faturamento da empresa no Brasil no ultimo exercicio, conforme Art. 52, II. Aplicacao do teto e excecional e ainda nao foi observada em sua plenitude pela ANPD ate maio de 2026.
5 licoes para empresas brasileiras em 2026
- Implemente um processo de notificacao 72h — defina hoje quem decide, quem notifica a ANPD, quem comunica titulares e quem documenta. Em incidente real, voce nao tem tempo para improvisar.
- Designe um Encarregado (DPO) — mesmo se voce e pequena empresa dispensada da obrigacao formal pela Resolucao CD/ANPD 2/2022, indique alguem. O custo e baixo, o risco de nao ter e alto.
- Documente base legal Art. 7 para cada finalidade — crie um registro de operacoes (RoPA brasileiro). Para cada categoria de dado, qual finalidade, qual base legal, quanto tempo guardamos, quem tem acesso.
- Politica de cookies + consentimento granular — banner por categoria (necessario, analitico, marketing), opt-in real antes do disparo, revogacao facil. Veja politica de privacidade LGPD modelo.
- Atenda direitos do titular em ate 15 dias — crie um endereco unico (privacidade@suaempresa), responda mesmo que para dizer “vamos analisar”, mantenha registro. A omissao e infracao por si so.
Como evitar multas LGPD com a WebLegal
A WebLegal gera uma politica de privacidade LGPD completa, customizada para sua empresa, em poucos minutos. O documento inclui base legal Art. 7, direitos do titular Art. 18, comunicacao de incidente Art. 48, contato do Encarregado e politica de cookies em conformidade — tudo em portugues juridico claro. Se sua empresa atua tambem na Europa, a WebLegal entrega versoes GDPR e LGPD coerentes.
Comece testando o scanner de conformidade gratuito para ver o que sua loja virtual ja faz bem — e onde estao os riscos.
