Como este tema funciona no porte da sua empresa
Risco de multa ANPD existe, mas é menor se viola em pequena escala. Exemplo: falta de política de privacidade = advertência, não multa grande. Custo de conformidade é mínimo (política escrita, consentimento); custo de não conformidade pode ser desastroso para reputação.
Risco moderado. Multa típica para violação leve: R$ 5–50k. Violação grave (vazamento de dados): R$ 100k+. Conformidade básica (política, consentimento, mapeamento) reduz risco significativamente.
Risco maior. Multa típica: R$ 50–500k. Violação grave: R$ 1M+. Auditoria LGPD é recomendada. DPO (Data Protection Officer) é tendência — nem é obrigatório, mas reduz risco significativamente.
Multas e sanções da ANPD (Autoridade Nacional de Proteção de Dados) são consequências legais de violação da LGPD, escalonadas de advertência até R$ 50 milhões ou 2% do faturamento anual (o que for maior). Não é só multa — inclui bloqueio de dados, publicação de sanção, e até destruição de dados.
Como ANPD aplica sanções: progressão e critérios
ANPD não sai multando em primeira violação. Há progressão. Conhecer a escala ajuda você a entender seu risco real.
Escala de sanções (Lei 13.709/18, art. 52 + Decreto 11.058/22):
Nível 1 — Advertência: primeira violação leve, sem multa. ANPD apenas avisa para adequar. Exemplo: falta política de privacidade, mas sem coleta agressiva. Prazo: você tem 30 dias para se adequar (depende do caso).
Nível 2 — Multa simples: até R$ 50 milhões por infração, OU 2% do faturamento anual no Brasil (o que for MAIOR). Aplicada para violação moderada. Exemplos: coleta sem consentimento claro, compartilhamento não autorizado com terceiro.
Nível 3 — Multa diária: até R$ 1.000 por dia enquanto não adequa (pode acumular rapidamente). Exemplo: ANPD notificou em janeiro pra adequar até março, você não adequou, janeiro a junho = R$ 180 mil só em multa diária.
Nível 4 — Bloqueio do tratamento de dados: ANPD ordena você parar de tratar dados até se adequar. Sério: sua operação pode ficar congelada se dados são críticos. Risco de shutdown temporário.
Nível 5 — Publicação da sanção: em caso de sanção grave (acima de R$ 500k), ANPD publica nome da empresa no site dela. Dano de reputação é automático.
Nível 6 — Destruição de dados: casos extremos, ANPD pode ordenar destruição de bases de dados inadequadamente tratadas. Significa perder dados de clientes — impacto operacional brutal.
Como calcular o tamanho real da multa para sua empresa
Fórmula básica: Multa = MAIOR de (R$ 50 milhões OU 2% do faturamento bruto anual no Brasil)
Exemplos práticos:
Empresa fatura R$ 1M/ano. Multa mínima = 2% de R$ 1M = R$ 20 mil. (Limite: R$ 50M, não alcançado, então 2% é o teto.)
Empresa fatura R$ 5M/ano. Multa = 2% = R$ 100 mil.
Empresa fatura R$ 50M/ano. Multa = 2% = R$ 1M.
Empresa fatura R$ 2.5B/ano. Multa = 2% = R$ 50M (teto é R$ 50M, não ultrapassa).
Então a multa máxima é R$ 50M, ponto. Mas para maioria de PME, o limitante é 2% do faturamento.
Fatores que aumentam a multa (dentro da faixa): Reincidência (já foi multado antes), gravidade (vazamento é mais grave que falta de política), data da violação (quanto mais recente a LGPD, menos desculpa você tem de não saber), dolo (você sabia e fez mesmo assim).
Fatores que diminuem: Cooperação com ANPD (você colabora com investigação), correção rápida (descobriu e corrigiu antes de ANPD reclamar), implementação de medidas preventivas (mostra que aprendeu).
Resultado: ANPD tem discricionariedade. Mesma violação pode gerar R$ 5k em empresa cooperativa ou R$ 50k em empresa que escondeu. Por isso transparência importa.
Casos reais de multas ANPD em PME (2021–2024)
Caso 1: E-commerce multada em R$ 100k por vazamento de dados. E-commerce teve banco de dados hackeado. Dados de 50 mil clientes (nome, CPF, endereço, histórico de compra) vazaram para fórum dark web. ANPD multa por falha de segurança. Empresa não tinha criptografia básica.
Caso 2: Rede de varejo multada em R$ 50k por falta de política. Rede coletava dados de clientes (email, WhatsApp, histórico) sem consentimento escrito. Recebiam reclamações de cliente e ignoravam. ANPD investigou, encontrou zero conformidade, multou.
Caso 3: Clínica de saúde multada em R$ 500k por compartilhamento indevido. Clínica compartilhou dados de pacientes (diagnóstico, histórico) com fornecedor de laboratório SEM consentimento e SEM contrato de processamento adequado. Dados sensíveis (saúde), violação grave, multa pesada.
Caso 4: SaaS multada em R$ 200k por coleta além do necessário. App de produtividade coletava localização do usuário "para melhorar serviço", mas não era necessário. Usuários não consentiam explicitamente. ANPD considerou excesso de dados e multa.
Pattern: ANPD não tá caçando PME pequena por falta de política. Mas viola consentimento, compartilha indevidamente, ou sofre vazamento? Multa vem.
Erros comuns que resultam em multa
Erro 1: "ANPD não multa PME pequena". Falso. Casos reais mostram que multa sim. Diferença: multa é menor em PME (R$ 5–50k) do que em grande empresa (R$ 500k+), mas é real.
Erro 2: "Se não houver vazamento, não há multa". Falso. Violação de dever de cuidado (falta de política, sem consentimento claro) já resulta em sanção. Vazamento é mais grave, mas violação simples também multa.
Erro 3: "Não tenho como pagar multa de R$ 50M, então ANPD não vai aplicar". Falso. ANPD considera capacidade de pagamento e aplica proporcionalmente. PME que não consegue pagar R$ 50M recebe multa menor, mas recebe.
Erro 4: "Se me adequo rápido depois que ANPD avisa, não há multa". Falso. Multa é por violação ANTERIOR, não por correção. Você adequa pra não levar multa FUTURA, mas a passada já é cobrada.
Erro 5: "Advogado consegue litigar contra sanção ANPD". Possível mas difícil. ANPD tem alta discricionariedade. Jurisprudência está consolidando que ANPD tem autoridade. Raro ganhar litígio; melhor se adequar antes.
Como você descobre que ANPD quer investigar
ANPD não chega surpresa. Há processo:
Passo 1: Reclamação (cliente reclamou, competidor denunciou, dados vazaram na imprensa). ANPD recebe e abre investigação.
Passo 2: Notificação formal. ANPD pede documentos: política de privacidade, consentimentos, contratos, documentação técnica de segurança.
Passo 3: Análise. ANPD verifica se documentos estão OK. Se não estão, agenda audiência.
Passo 4: Audiência de defesa. Você tem direito de se defender, apresentar argumentos.
Passo 5: Decisão e aplicação de sanção (ou não, se você se defendeu bem).
Tempo total: 6–18 meses é típico. Não é rápido, mas você tem chance de se defender.
Sinais de que sua PME pode estar em risco real de multa
Se você se reconhece em três ou mais cenários abaixo, risco é real:
- Você coleta dados de clientes (nome, email, WhatsApp, endereço) mas não tem política de privacidade escrita
- Coleta sem pedir consentimento explícito ("botão de aceitar") — só deixa na política
- Compartilha dados com fornecedor (agência de marketing, plataforma de entrega) sem contrato de processamento
- Tem câmeras de vigilância mas clientes não sabem (ou sabem de placa pequena)
- Nunca fez auditoria de LGPD ou mapeamento de dados
- Teve reclamação de cliente sobre privacidade e ignorou
Caminhos para reduzir risco de multa
Não espere ANPD notificar. Se adeque agora.
Você escreve política de privacidade básica (template existe), coloca no site, treina time para pedir consentimento. Custo: zero (tempo seu) a R$ 500 (template customizado).
- Perfil necessário: você, 3–4 horas, acesso ao website/WhatsApp.
- Tempo estimado: 2–3 semanas.
- Faz sentido quando: operação é muito simples, você tem acesso a template.
- Risco principal: política incompleta ou imprecisa; falta de comunicação ao time.
Consultoria LGPD ou advogado especializado faz auditoria de conformidade, identifica riscos, monta plano. Custos: R$ 1–3k por auditoria.
- Tipo de fornecedor: Consultoria de LGPD, Advogado especialista em LGPD, Consultoria de conformidade.
- Vantagem: cobertura completa, identificação de riscos que você não vê, defesa se ANPD investigar.
- Faz sentido quando: você quer segurança total, operação tem dados sensíveis, budget permite.
- Resultado típico: relatório de auditoria, lista de ações, plano de 90 dias.
Sua PME já fez auditoria de conformidade LGPD?
Não espere notificação de ANPD. Na oHub, você se conecta com consultores de LGPD e advogados especializados que auditam sua operação, identificam riscos, e montam plano de conformidade. Proteção contra multas antes delas chegarem.
Encontrar fornecedores de PME no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Qual é a multa máxima de LGPD?
R$ 50 milhões por infração, OU 2% do faturamento anual no Brasil, o que for MAIOR. PME típica paga entre R$ 5 mil e R$ 500 mil conforme gravidade.
ANPD pode multar PME pequena?
Sim. Multa será menor que em grande empresa, mas é real. Casos reais mostram PME de R$ 1–5M faturando recebendo multas de R$ 20k–200k.
Se vaza dado, qual é a multa típica?
Vazamento é violação grave. PME de R$ 1M receberia R$ 50–100k. PME de R$ 5M receberia R$ 100–500k. Depende de: quantos dados vazaram, quanto tempo demorou pra descobrir, se tinha segurança básica.
Como ANPD descobre que você violou LGPD?
Reclamação de cliente, vazamento noticiado, competidor denunciando, ou investigação interna. ANPD recebe demanda, abre investigação, pede documentos. Você tem chance de se defender em audiência.
Posso pagar multa LGPD com parcelamento?
Depende de ANPD. Lei permite, mas prática varia. Se recebeu multa, converse com seu advogado sobre opções. Não pague sem consultar.