Desde que a Lei Geral de Proteção de Dados entrou em vigor em setembro de 2020, uma pergunta tem assombrado boardrooms e escritórios jurídicos pelo Brasil: quando virão as primeiras multas? A resposta chegou em julho de 2023, quando a Autoridade Nacional de Proteção de Dados aplicou sua primeira sanção pecuniária. Surpreendentemente, o valor foi modesto: R$ 14.400. A empresa penalizada? Uma microempresa paulista chamada Telekall Infoservice, que vendia listas de contatos do WhatsApp para campanhas eleitorais.
Essa primeira multa revelou muito sobre o approach da ANPD. Longe de buscar recordes financeiros como suas contrapartes europeias, a autoridade brasileira tem adotado uma postura mais educativa que punitiva, focando na adequação gradual do mercado às novas regras. Mas será que essa estratégia está funcionando?
A escolha da primeira empresa multada foi emblemática. A Telekall Infoservice, uma microempresa de São Paulo, oferecia serviços de marketing digital que incluíam a venda de listas de contatos de WhatsApp de eleitores para disseminação de material de campanha nas eleições municipais de 2020 em Ubatuba.
A investigação começou após denúncia de que a empresa estaria tratando dados pessoais sem respaldo legal. Durante o processo de fiscalização, a ANPD identificou violações aos artigos 7º e 41 da LGPD, além do artigo 5º do Regulamento de Fiscalização. A empresa não apenas coletava dados sem base legal adequada, como também não designou um encarregado de dados conforme exigido pela legislação.
O valor da multa foi calculado seguindo critérios específicos:
A decisão estabeleceu precedentes importantes. Primeiro, demonstrou que a ANPD não fará distinção de porte empresarial na aplicação da lei – mesmo microempresas estão sujeitas às penalidades. Segundo, confirmou que atividades eleitorais não estão fora do escopo da LGPD quando envolvem tratamento inadequado de dados pessoais.
Paradoxalmente, enquanto o setor privado aguardava uma enxurrada de multas, a ANPD concentrou seus esforços sancionadores principalmente em órgãos públicos. Em 2024, cinco processos sancionadores foram instaurados – quatro contra entidades públicas e apenas um contra empresa privada.
O Instituto Nacional do Seguro Social tornou-se o poster child dos problemas de proteção de dados no setor público brasileiro. Em fevereiro de 2024, o INSS foi sancionado por não comunicar aos beneficiários um incidente de segurança ocorrido em 2022, que comprometeu dados cadastrais, de saúde e financeiros de quantidade indeterminada de segurados.
A sanção foi peculiar por sua natureza: além da advertência formal, o INSS foi obrigado a publicizar a infração em seu site e no aplicativo “Meu INSS” durante 60 dias. O texto da publicação foi ditado pela própria ANPD, incluindo o trecho: “tendo em vista que foi condenado pela Autoridade Nacional de Proteção de Dados por infração ao dever de comunicar os titulares a ocorrência de incidentes de segurança”.
O caso revelou problemas estruturais:
Outro caso significativo envolveu a Secretaria de Estado de Educação do Distrito Federal, que recebeu quatro advertências por múltiplas violações. O órgão expôs dados de 3.030 menores e seus responsáveis devido a configuração inadequada de uma plataforma de formulários durante a pandemia.
As infrações incluíram:
Curiosamente, a ANPD absolveu a Secretaria de uma quinta infração – falta de treinamento de usuários – considerando que a pandemia constituiu caso fortuito que impossibilitava capacitações presenciais.
O Ministério da Saúde foi sancionado por incidente que resultou na indisponibilidade de sistemas essenciais como ConecteSUS, Notifica, SIPNI e RNDS. Um ataque cibernético explorou credenciais válidas para comprometer a infraestrutura em nuvem, afetando dados sensíveis de milhões de brasileiros.
As sanções incluíram advertências por:
Embora as multas pecuniárias tenham sido escassas, a ANPD não tem poupado as grandes plataformas digitais de investigações rigorosas. O caso mais significativo envolve o TikTok, alvo de processo sancionador iniciado em novembro de 2024.
Após três anos de fiscalização, a ANPD identificou indícios de violação do princípio do melhor interesse de crianças e adolescentes. As preocupações incluem:
Problemas identificados:
Medidas determinadas:
O caso TikTok representa uma mudança de patamar na atuação da ANPD. Pela primeira vez, uma big tech global enfrenta processo sancionador completo, podendo resultar em multas substanciais considerando o volume de usuários brasileiros e a sensibilidade dos dados envolvidos.
A ANPD também tem monitorado atentamente outras plataformas. O X (antigo Twitter) foi questionado sobre mudanças em sua política de privacidade que tornaram obrigatória a coleta de dados para treinamento de IA. A Meta enfrenta investigações sobre compartilhamento de dados entre WhatsApp e outras plataformas do grupo.
Um marco fundamental foi a publicação da Resolução CD/ANPD nº 4/2023, estabelecendo critérios para aplicação de sanções. O regulamento criou metodologia sofisticada para dosimetria de multas, considerando:
Critérios de classificação:
Sanções disponíveis:
Além dos casos específicos, a ANPD tem desenvolvido fiscalizações temáticas. Em dezembro de 2024, iniciou processo contra 20 empresas de grande porte por não indicarem encarregado de dados ou disponibilizarem canais de comunicação adequados.
Setores fiscalizados:
A escolha desses setores reflete prioridades estratégicas da ANPD, focando em atividades que processam grandes volumes de dados pessoais ou dados sensíveis.
O Brasil adotou abordagem mais moderada que outras jurisdições. Enquanto a União Europeia aplicou multas bilionárias nos primeiros anos do GDPR, a ANPD priorizou adequação gradual. Alguns fatores explicam essa diferença:
Contexto brasileiro:
Comparação de valores:
A análise dos casos aplicados revela padrões na atuação da ANPD que indicam tendências futuras:
Proteção de crianças e adolescentes: O caso TikTok demonstra que violações envolvendo menores receberão tratamento rigoroso, alinhando-se com diretrizes constitucionais e internacionais.
Transparência em incidentes: A maioria das sanções derivou de falhas na comunicação de vazamentos, indicando que a ANPD valoriza transparência sobre perfeição técnica.
Cooperação com fiscalização: Empresas que resistem ou obstruem investigações enfrentam sanções mais severas, independentemente da gravidade inicial da infração.
O ano de 2024 marcou inflexão na postura da ANPD. Após período inicial focado em orientação, a autoridade demonstra disposição crescente para aplicar sanções efetivas. O processo contra o TikTok sinaliza que big techs não terão tratamento diferenciado.
A publicação de regulamentos detalhados sobre dosimetria, transferências internacionais e encarregados indica maturação institucional. A ANPD está construindo arcabouço regulatório robusto que permitirá enforcement mais efetivo.
As primeiras sanções geraram efeitos que transcendem os valores aplicados:
Empresas passaram a investir pesadamente em compliance, contratando DPOs, implementando políticas de privacidade e revisando processos. O mercado de consultoria em LGPD expandiu exponencialmente.
Órgãos governamentais, tradicionalmente relaxados com proteção de dados, foram forçados a profissionalizar sua gestão. Ministérios e secretarias criaram comitês de governança e designaram encarregados.
Mais importante que as multas foi a mudança cultural. Proteção de dados deixou de ser questão técnica para se tornar responsabilidade corporativa estratégica.
Apesar dos avanços, a ANPD enfrenta limitações estruturais:
Com orçamento limitado e quadro reduzido, a autoridade não consegue fiscalizar adequadamente o vasto universo de agentes de tratamento brasileiros.
Diferentemente da Europa, onde cidadãos ativamente denunciam violações, o Brasil ainda tem cultura incipiente de proteção de dados. A ANPD recebe relativamente poucas denúncias.
Crimes cibernéticos e violações de dados exigem expertise técnica sofisticada. A ANPD precisa desenvolver capacidades investigativas equivalentes às das empresas que fiscaliza.
Para 2025, especialistas preveem intensificação da atividade sancionadora. Alguns fatores sustentam essa expectativa:
Com a provável aprovação da regulamentação de inteligência artificial, a ANPD assumirá competências adicionais, potencialmente gerando novos tipos de infrações e sanções.
Após anos de estruturação, a ANPD possui ferramentas regulamentares e procedimentos consolidados para aplicar sanções de forma consistente e proporcional.
Acordos de adequação com União Europeia e outros blocos exigem que o Brasil demonstre enforcement efetivo de sua legislação de proteção de dados.
Os casos analisados oferecem insights valiosos para programas de conformidade:
Comunicação de incidentes: Estabelecer procedimentos claros para notificação de vazamentos é fundamental. A falha em comunicar adequadamente tem sido a principal causa de sanções.
Designação de DPO: A ausência de encarregado qualificado é red flag para a ANPD. Empresas devem investir em profissionais capacitados.
Proteção de menores: Organizações que lidam com dados de crianças precisam implementar salvaguardas robustas e verificações de idade efetivas.
Cooperação com fiscalizações: Demonstrar transparência e colaboração durante investigações pode mitigar sanções futuras.
Documentação adequada: Manter registros detalhados de tratamento facilita compliance e demonstra boa-fé em eventual fiscalização.
Treinamento contínuo: Capacitar equipes regularmente previne incidentes causados por erro humano.
O panorama atual das sanções LGPD no Brasil revela autoridade regulatória em processo de amadurecimento. A ANPD optou por estratégia gradual, priorizando educação sobre punição, mas demonstra crescente disposição para aplicar sanções efetivas quando necessário.
Os casos analisados – da modesta multa à Telekall aos processos contra big techs – mostram que nenhum setor está imune. A autoridade tem focado em violações que afetam grupos vulneráveis ou comprometem a transparência, sinalizando suas prioridades regulatórias.
Para o futuro, espera-se intensificação da atividade sancionadora, especialmente contra empresas que demonstrem resistência sistemática ao compliance. O mercado brasileiro está aprendendo que a LGPD não é meramente aspiracional – tem dentes, e a ANPD não hesitará em usá-los quando apropriado.
A pergunta inicial – se empresas já foram multadas – tem resposta afirmativa, mas limitada. O verdadeiro teste virá nos próximos anos, quando a ANPD completar sua estruturação e o mercado brasileiro enfrentar o enforcement pleno da legislação de proteção de dados.
Advogado, especialista em Redes de Computadores, Segurança da Informação e Proteção de Dados. Pesquisador de novas tecnologias e amante do estudo da evolução da sociedade com as novas demandas tecnológicas.
Posts Recentes
© 2025 Pod Acessar – Política de Privacidade
Desenvolvido por Querida Designer