Estrutura das multas
A ANPD pode aplicar:
Multa diária
- Até R$ 50.000,00 por dia de descumprimento
- Aplicada quando há continuidade da infração após notificação
- Pode acumular por meses
Multa por infração
- Até 2% do faturamento da empresa no último exercício
- Limite de R$ 50 milhões por infração
- Pode haver múltiplas infrações em um único caso
Outras sanções
- Publicização da infração
- Bloqueio dos dados pessoais
- Eliminação dos dados pessoais
- Suspensão parcial do banco de dados
- Suspensão total do exercício da atividade
Critérios de gradação
A ANPD considera, ao aplicar sanções:
- Gravidade da infração
- Boa-fé do infrator
- Vantagem obtida (ou pretendida)
- Condição econômica do infrator
- Reincidência
- Grau do dano aos titulares
- Cooperação com a ANPD
- Adoção repetida de medidas preventivas
- Implementação de mecanismos de privacy by design
- Tempo até reportar/notificar incidente
Empresa que reconhece a falha, coopera com a ANPD, repara o dano e implementa correções reais paga MUITO MENOS que empresa que tenta esconder ou minimizar. ANPD valoriza atitude pós-incidente.
Tipos de infração
Infração leve
- Documentação incompleta
- Atraso no atendimento ao titular
- Multa: tipicamente até R$ 200 mil
Infração média
- Coleta sem base legal adequada
- Tratamento incompatível com finalidade
- Multa: R$ 200 mil a R$ 2 milhões
Infração grave
- Vazamento de dados
- Comercialização irregular
- Tratamento de menores sem proteção
- Multa: pode chegar a R$ 50 milhões + sanções adicionais
Eixos prioritários em 2026
A ANPD definiu:
- Direitos dos titulares — qualidade do atendimento
- Dados de crianças e adolescentes — incluindo ECA Digital
- Tratamento pelo Poder Público
- IA e tecnologias emergentes
Empresas nessas frentes têm maior risco de fiscalização.
Casos recentes (2025-2026)
Sem citar nomes:
- Vazamento massivo em fintech → multa de R$ 38 milhões
- Comercialização de cadastros sem consentimento → multa + obrigação de eliminar dados
- Decisão automatizada sem revisão → multa + obrigação de implementar revisão humana
- Dados de menores sem proteção → multa + suspensão temporária da função
Como se proteger
1. Mapa de tratamento de dados
- Onde estão os dados? Por quê? Quanto tempo guardar?
- Base legal de cada tratamento
- Atualização contínua
2. Contratos com operadores
- Cláusulas LGPD atualizadas
- Definição clara de responsabilidades
- Auditoria periódica
3. Plano de resposta a incidentes
- Detecção rápida
- Contenção
- Investigação
- Comunicação aos titulares e à ANPD em até 72 horas
- Documentação completa
4. RIPD (Relatório de Impacto à Proteção de Dados)
- Para tratamentos de risco
- Documentado antes do início do tratamento
- Revisado periodicamente
5. Programa de Governança em Privacidade
- DPO identificado e formalmente designado
- Treinamento contínuo da equipe
- Auditorias internas
- Política de privacidade pública e clara
6. Privacy by design e by default
- Privacidade integrada desde o início do projeto
- Configurações padrão protetivas
- Coleta mínima necessária
Auditoria da ANPD em 2026
Diferente do passado, em 2026:
- Técnica (não só documental)
- Profunda (sistemas, fluxos, contratos)
- Cruzada com outras autoridades (Procon, MPT)
- Com prazo curto para resposta
Conclusão
LGPD em 2026 não é teoria. É fiscalização ativa, multa significativa, exposição pública. Empresa que continua tratando como "tema legal" sem implementação real está em risco crescente. Quem estrutura agora — antes da notificação — economiza muito.
