Quanto é a multa por descumprimento da LGPD? Valores e riscos reais para sua empresa

Multa por descumprimento da LGPD — consultoria jurídica empresarial em proteção de dados

Compartilhar:

Você pesquisou sobre o valor da multa por descumprimento da LGPD provavelmente porque sua empresa recebeu uma notificação, está se adequando ou quer saber o risco real de não estar em conformidade. A Lei Geral de Proteção de Dados (LGPD) prevê sanções que podem chegar a 50 milhões de reais por infração, o que torna essencial conhecer os critérios de cálculo, as faixas de penalidade e, principalmente, como evitar que isso aconteça.

Neste artigo, você encontrará uma explicação direta sobre os valores de multa da LGPD, como a ANPD calcula as penalidades, quais infrações são mais graves e o que fazer para reduzir riscos — sem promessas de resultado, mas com informação juridicamente responsável.

Sumário

Documentos de conformidade com a LGPD organizados em escritório jurídico
Documentos de conformidade com a LGPD organizados para avaliação de riscos.

Qual o valor máximo da multa da LGPD

A multa por descumprimento da LGPD está prevista no artigo 52 da Lei nº 13.709/2018 e pode chegar a 50 milhões de reais por infração cometida. Esse é o teto legal para cada violação — ou seja, se uma empresa cometer múltiplas infrações em um mesmo tratamento de dados, cada uma pode ser penalizada individualmente dentro desse limite.

A ANPD (Autoridade Nacional de Proteção de Dados) ainda pode aplicar o valor de forma proporcional ao faturamento do grupo empresarial. O regulamento permite que a multa seja limitada a 2% do faturamento da pessoa jurídica de direito privado no Brasil no seu último exercício, excluídos os tributos. Portanto, para empresas de menor porte, o valor efetivo tende a ser inferior ao teto legal de 50 milhões, enquanto grandes grupos econômicos estão mais expostos ao limite máximo.

É importante entender que o valor de 50 milhões não é automático — a ANPD considera a gravidade, a natureza da infração, os danos causados, a vantagem obtida e as medidas corretivas adotadas antes de definir o montante final.

Como a ANPD calcula a multa

A ANPD segue critérios objetivos e subjetivos para dosimetria da multa, conforme o artigo 52, §1º da LGPD. Os principais fatores considerados na decisão são:

1. Gravidade e natureza da infração: quanto mais sensível o dado pessoal envolvido (dados de saúde, biométricos, de crianças), maior a penalidade potencial. 2. Boa-fé do infrator: se a infração foi intencional ou decorreu de negligência. 3. Vantagem auferida: se a empresa obteve benefício econômico com a infração. 4. Condição econômica: a situação financeira do infrator influencia a proporcionalidade. 5. Reincidência: infrações repetidas elevam a multa. 6. Grau do dano: impacto real ou potencial para os titulares dos dados. 7. Medidas corretivas: cooperar com a fiscalização, mitigar danos e implementar boas práticas reduz a penalidade. 8. Adoção de políticas de governança: ter DPO nomeado, encanar relatório de impacto e manter programa de conformidade são atenuantes relevantes.

A dosimetria segue uma metodologia de pontuação que considera cada fator como agravante ou atenuante, resultando em uma faixa percentual dentro do limite de 50 milhões ou 2% do faturamento.

Infrações que podem gerar multa

A LGPD prevê multa para diversas condutas, desde a falta de base legal para tratamento até a ausência de medidas de segurança. As infrações mais comuns que podem levar à aplicação de multa incluem:

  • Tratamento sem base legal: coletar ou usar dados pessoais sem uma das hipóteses previstas nos artigos 7º ou 11 da LGPD.
  • Falta de comunicação ao titular: não informar o titular sobre coleta, uso, compartilhamento ou eliminação dos dados.
  • Vazamento de dados: não adotar medidas de segurança adequadas que resultem em incidente de segurança.
  • Compartilhamento irregular: transferir dados a terceiros sem autorização ou base legal.
  • Não atender direitos do titular: ignorar solicitações de confirmação, acesso, correção, anonimização ou eliminação de dados.
  • Ausência de DPO: não indicar o encarregado de proteção de dados (DPO) quando exigido.
  • Descumprir prazos de notificação: não comunicar à ANPD e aos titulares em caso de incidente de segurança no prazo legal.

Cada infração é analisada individualmente, e a ANPD pode aplicar multas cumulativas quando múltiplas violações são identificadas em um mesmo contexto.

Outras sanções além da multa simples

Além da multa simples (limitada a 50 milhões ou 2% do faturamento), a LGPD prevê sanções administrativas que podem ser ainda mais impactantes para o negócio:

  • Multa diária: valor diário por infração, proporcional à gravidade, que se acumula enquanto a irregularidade persistir.
  • Publicização da infração: a ANPD pode divulgar publicamente a ocorrência da infração, com impacto reputacional significativo.
  • Bloqueio dos dados: suspensão temporária ou definitiva do tratamento dos dados pessoais envolvidos.
  • Eliminação dos dados: determinação de eliminação dos dados pessoais tratados em desacordo com a lei.
  • Suspensão parcial ou total do banco de dados: por até seis meses, prorrogável por igual período.
  • Suspensão do exercício da atividade de tratamento: por até seis meses, prorrogável, afetando diretamente operações que dependem do uso de dados.

Na prática, a multa financeira pode ser apenas uma parte do impacto — a suspensão do banco de dados ou da atividade de tratamento pode inviabilizar temporariamente operações comerciais inteiras.

Diferença entre multa simples e multa diária

A multa simples é aplicada uma única vez por infração, com valor calculado conforme a dosimetria da ANPD. Já a multa diária (astreinte administrativa) é uma penalidade que se renova a cada dia em que a infração persiste, com o objetivo de compelir o infrator a regularizar a situação.

Por exemplo: se uma empresa continua tratando dados sem base legal mesmo após notificação, pode receber uma multa simples pela infração original mais multa diária pelos dias de descumprimento contínuo. O valor diário é definido proporcionalmente à gravidade e à condição econômica do infrator.

Essa combinação de penalidades torna a LGPD um instrumento jurídico com poder dissuasório relevante, especialmente para infrações contínuas que a empresa poderia corrigir mas opta por manter.

Como reduzir o risco de multa LGPD

A melhor estratégia para evitar multas da LGPD é a conformidade preventiva (LGPD 2026 — mudanças para sua empresa). A própria lei e os regulamentos da ANPD preveem atenuantes que podem reduzir significativamente a penalidade (Checklist Compliance LGPD) — ou até evitar a autuação:

1. Nomear um DPO (Encarregado): ter um canal de comunicação com titulares e ANPD é obrigatório e demonstra boa-fé. 2. Manter um programa de governança em privacidade: políticas internas, inventário de dados, mapeamento de fluxos e relatório de impacto. 3. Adotar medidas de segurança técnicas e administrativas: criptografia, controle de acesso, logs, política de senhas, treinamento de equipe. 4. Implementar um plano de resposta a incidentes: saber como agir em caso de vazamento reduz danos e demonstra diligência. 5. Revisar contratos com fornecedores (contratos empresariais guia para empreendedores): garantir que operadores de dados também estejam em conformidade (cláusulas essenciais em contratos de serviços). 6. Atender prontamente requisições de titulares: responder pedidos de acesso, correção e eliminação dentro dos prazos legais. 7. Cooperar com a fiscalização: receber bem auditorias, prestar informações e corrigir apontamentos.

Empresas que comprovam a adoção de boas práticas de governança podem ter a multa reduzida em até 40%, conforme os critérios de dosimetria da ANPD. Além disso, a demonstração de boa-fé e a correção espontânea da infração antes do julgamento são fatores atenuantes importantes.

FAQ — Perguntas frequentes sobre multa da LGPD

1. Qual o valor máximo da multa da LGPD?

O teto legal é de 50 milhões de reais por infração, limitado a 2% do faturamento da empresa no Brasil no último exercício, excluídos tributos.

2. Toda infração à LGPD gera multa?

Não. A ANPD pode aplicar sanções menos graves, como advertência, publicização da infração ou bloqueio dos dados, dependendo da gravidade, da boa-fé e das circunstâncias do caso.

3. Pequena empresa também pode ser multada pela LGPD?

Sim. O limite de 2% do faturamento garante proporcionalidade, mas micro e pequenas empresas também estão sujeitas a multas proporcionais (LGPD para pequenas empresas). A ANPD considera a condição econômica para definir o valor.

4. A multa da LGPD já está sendo aplicada?

Sim. Desde agosto de 2021 as sanções administrativas estão em vigor, e a ANPD já instaurou processos sancionadores contra empresas.

5. O que é multa diária na LGPD?

É uma penalidade que se renova a cada dia de descumprimento contínuo da infração, com valor definido pela ANPD proporcionalmente à gravidade e à condição econômica.

6. DPO pode ser responsabilizado pessoalmente pela multa?

Em regra, não. A responsabilidade pelas sanções administrativas recai sobre a pessoa jurídica infratora. O DPO responde nas esferas cível e penal por seus atos pessoais, mas não pela multa administrativa da empresa.

7. Quanto tempo leva para a ANPD aplicar uma multa?

O processo administrativo sancionador pode levar de meses a alguns anos, dependendo da complexidade, do exercício do direito de defesa e dos recursos apresentados.

8. É possível negociar ou parcelar a multa da LGPD?

Sim. A ANPD pode celebrar termo de ajuste de conduta (TAC) para suspender o processo mediante compromisso de adequação, e o parcelamento do valor da multa é possível em até 60 parcelas mensais.

9. Empresa que já se adequou antes da multa é penalizada menos?

Sim. A adoção de boas práticas de governança, a correção espontânea da infração e a demonstração de boa-fé antes do julgamento são fatores atenuantes que reduzem a penalidade.

10. Como saber se minha empresa precisa se adequar à LGPD?

Toda pessoa jurídica que coleta, usa, armazena ou compartilha dados pessoais está sujeita à LGPD, independentemente do porte ou segmento. A recomendação é realizar um diagnóstico inicial de privacidade para identificar lacunas.

Ficou com dúvidas?

Fale com um especialista e tire todas as suas dúvidas sobre seu caso.

Você pode se interessar também: