O Capítulo VIII da Lei Geral de Proteção de Dados (Lei nº 13.709/2018) estabelece o sistema de fiscalização e o rol de sanções administrativas aplicáveis aos agentes de tratamento que violarem as normas de proteção de dados pessoais. Este capítulo representa o instrumento coercitivo que confere efetividade à LGPD, permitindo à Autoridade Nacional de Proteção de Dados (ANPD) punir condutas irregulares e desestimular violações.

O sistema sancionatório da LGPD é caracterizado por:

• Gradualismo: As sanções devem ser aplicadas de forma progressiva, considerando a gravidade da infração
• Proporcionalidade: A penalidade deve ser adequada à falta cometida
• Dissuasão: As sanções devem ser suficientemente severas para desestimular violações
• Reparação: Busca-se primordialmente a correção das irregularidades

A LGPD vigora desde setembro de 2020, mas as sanções administrativas só passaram a ser aplicáveis a partir de 1º de agosto de 2021, conforme estabelecido pela Lei nº 14.010/2020. Este período de “vacância sancionatória” permitiu que agentes de tratamento se adequassem à nova legislação.

Competência Sancionatória da ANPD

O artigo 52 atribui expressamente à Autoridade Nacional de Proteção de Dados a competência exclusiva para aplicar sanções administrativas por infrações à LGPD. A ANPD, criada pela Lei nº 13.853/2019, é autarquia federal de natureza especial, vinculada à Presidência da República (posteriormente, pela Lei nº 14.460/2022, foi vinculada ao Ministério da Justiça e Segurança Pública), dotada de independência técnica e decisória.

Embora a ANPD detenha competência sancionatória exclusiva no âmbito da LGPD, outros órgãos mantêm suas competências específicas. Por exemplo, PROCON’s podem fiscalizar e sancionar violações que também configurem infrações ao Código de Defesa do Consumidor, e o Banco Central pode sancionar instituições financeiras por violações setoriais.

Conforme o §2º do art. 52: “O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica”. Isto consagra o princípio da cumulatividade de sanções, permitindo que um mesmo fato seja punido em diferentes esferas (administrativa, civil, penal) e por diferentes legislações.

Rol de Sanções Administrativas

O artigo 52 estabelece um rol taxativo de doze sanções administrativas (sendo três vetadas), que podem ser aplicadas de forma gradativa, isolada ou cumulativa. Vejamos cada uma detalhadamente:

Advertência com Prazo para Medidas Corretivas (Inciso I)

“Advertência, com indicação de prazo para adoção de medidas corretivas”

A advertência é a sanção mais branda do sistema, aplicável a infrações de menor gravidade ou quando se trata da primeira infração cometida pelo agente de tratamento. Caracteriza-se por:

• Natureza educativa: Visa primordialmente a correção da conduta, não a punição
• Prazo para regularização: A ANPD deve estabelecer prazo razoável para que o infrator adote medidas corretivas
• Monitoramento: A autoridade fiscalizará se as correções foram implementadas

A advertência pode servir como antecedente para caracterizar reincidência caso o agente volte a cometer infrações semelhantes. Portanto, embora seja a sanção mais leve, tem consequências futuras importantes.

Esta sanção dialoga com o princípio da proporcionalidade e o caráter preventivo que deve nortear a atuação da ANPD, conforme estabelecido no art. 55-J, §1º da LGPD: “As atividades de fiscalização deverão ser preponderantemente orientadas a partir de ações educativas, inclusive com a previsão de período de adequação por parte dos agentes de tratamento”.

Multa Simples (Inciso II)

“Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração”

A multa simples é a sanção pecuniária principal da LGPD, possuindo parâmetros específicos que merecem análise detalhada:

Base de Cálculo

A base de cálculo é o faturamento da pessoa jurídica no Brasil no último exercício. Importante destacar:

• Faturamento, não lucro: Considera-se a receita bruta, independentemente de lucro ou prejuízo
• Âmbito territorial: Apenas faturamento no Brasil, excluindo receitas obtidas no exterior
• Último exercício: Exercício fiscal encerrado mais recente
• Exclusão de tributos: Devem ser excluídos os tributos da base de cálculo

O §4º do art. 52 estabelece que “no cálculo do valor da multa de que trata o inciso II do caput deste artigo, a autoridade nacional poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea”.

Esta previsão busca evitar manipulações contábeis e garante que a multa seja efetivamente proporcional à capacidade econômica do infrator.

Percentual Máximo

O percentual máximo é de 2% do faturamento, mas não é um valor fixo. A ANPD deve calcular o valor adequado considerando os critérios de dosimetria do §1º do art. 52. Ou seja, a multa pode variar entre um valor mínimo (a ser estabelecido) e o máximo de 2%.

Limite Absoluto (Teto)

O limite absoluto é de R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Este teto foi estabelecido para evitar sanções desproporcionais em empresas de faturamento extremamente elevado.

O limite é “por infração”. Se uma empresa cometer múltiplas infrações distintas, pode ser punida com multas que, somadas, superem R$ 50 milhões. Cada violação autônoma pode ser sancionada individualmente até o teto estabelecido.

Situação de Microempresas, Pequenas Empresas e Startups

Para pessoas jurídicas com faturamento reduzido ou inexistente (como startups em fase inicial), surge questão prática importante: como aplicar multa baseada em percentual do faturamento quando este é ínfimo ou zero?

Embora a LGPD não trate expressamente desta situação, a ANPD, ao regulamentar a metodologia de cálculo (art. 53), deverá estabelecer valores mínimos ou critérios alternativos que garantam efetividade da sanção sem inviabilizar economicamente pequenos negócios.

Conforme o art. 55-K da LGPD: “O Conselho Diretor da ANPD poderá editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre sanções aplicáveis, na forma prevista nesta Lei, incluindo seus critérios de proporcionalidade e as hipóteses de aplicação”.

Multa Diária (Inciso III)

“Multa diária, observado o limite total a que se refere o inciso II”

A multa diária é sanção coercitiva destinada a compelir o agente de tratamento a cumprir determinada obrigação. Diferentemente da multa simples (que pune infração já consumada), a multa diária visa forçar o cumprimento futuro de obrigação.

Características da Multa Diária

• Natureza coercitiva: Pressiona o infrator a regularizar sua situação
• Início de contagem: Começa a incidir após o término do prazo fixado pela ANPD para cumprimento da obrigação
• Limite total: Sujeita-se ao mesmo teto da multa simples (R$ 50 milhões)
• Cumulatividade: Pode ser aplicada cumulativamente com outras sanções

O artigo 54 estabelece requisitos específicos para aplicação da multa diária:

“O valor da sanção de multa diária aplicável às infrações a esta Lei deve observar a gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pela autoridade nacional.

Parágrafo único. A intimação da sanção de multa diária deverá conter, no mínimo, a descrição da obrigação imposta, o prazo razoável e estipulado pelo órgão para o seu cumprimento e o valor da multa diária a ser aplicada pelo seu descumprimento.”

A intimação deve ser clara e específica quanto: (i) à obrigação que deve ser cumprida; (ii) ao prazo para cumprimento; e (iii) ao valor da multa diária. A ausência de qualquer destes elementos pode viciar o ato administrativo.

Publicização da Infração (Inciso IV)

“Publicização da infração após devidamente apurada e confirmada a sua ocorrência”

Esta sanção possui natureza punitiva e dissuasória, causando impacto reputacional significativo ao infrator. A publicização consiste na divulgação pública, por meios oficiais da ANPD (site institucional, diário oficial, etc.), da infração cometida e da identidade do infrator.

Requisitos para Publicização

• Apuração devida: Necessário procedimento administrativo completo
• Confirmação da ocorrência: A infração deve estar definitivamente comprovada (decisão administrativa transitada em julgado na esfera administrativa ou confirmada em eventual recurso)
• Proporcionalidade: Deve ser proporcional à gravidade da infração

A publicização pode ter efeitos econômicos devastadores, especialmente para empresas que dependem da confiança do consumidor no tratamento adequado de dados. Perda de clientes, danos à marca e desvalorização de ações são consequências possíveis.

A publicização atende ao princípio da transparência e ao interesse público, permitindo que titulares de dados conheçam quais empresas violaram a legislação de proteção de dados e tomem decisões informadas.

Bloqueio dos Dados Pessoais (Inciso V)

“Bloqueio dos dados pessoais a que se refere a infração até a sua regularização”

O bloqueio consiste na suspensão temporária de qualquer operação de tratamento sobre determinados dados pessoais. Os dados permanecem armazenados, mas não podem ser acessados, utilizados ou compartilhados até que a irregularidade seja sanada.

Segundo o art. 5º, III da LGPD, bloqueio é a “suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados”.

Características do Bloqueio

• Temporariedade: Dura apenas até regularização da situação
• Especificidade: Incide sobre dados específicos relacionados à infração, não necessariamente sobre toda base de dados
• Possibilidade de uso para defesa: O art. 16, I da LGPD permite tratamento de dados bloqueados para cumprimento de obrigação legal ou para exercício regular de direitos (inclusive defesa em processos)

PONTO DE ATENÇÃO: O bloqueio pode inviabilizar temporariamente modelos de negócio baseados em dados, sendo sanção de gravidade intermediária com potencial de impacto econômico significativo.

Eliminação dos Dados Pessoais (Inciso VI)

“Eliminação dos dados pessoais a que se refere a infração”

A eliminação é a sanção mais drástica em termos de tratamento de dados, consistindo na destruição definitiva e irreversível dos dados pessoais objeto da infração.

Conforme o art. 5º, XVI da LGPD, eliminação é a “exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado”.

Quando é Aplicável

A eliminação é cabível quando:

• A coleta ou tratamento foi totalmente ilegal, sem base legal válida
• Os dados foram tratados de forma incompatível com finalidades legítimas
• Não há possibilidade de regularização do tratamento
• A gravidade da infração justifica a medida extrema

A eliminação pode conflitar com outras obrigações legais do controlador, como dever de guarda de documentos fiscais, trabalhistas ou para fins de prestação de contas. Nestes casos, a ANPD deve ponderar cuidadosamente antes de determinar eliminação.

O art. 16 da LGPD estabelece que os dados pessoais serão eliminados após término de seu tratamento, salvo nas hipóteses previstas (cumprimento de obrigação legal, uso pela administração pública, transferência a terceiro respeitados requisitos legais, ou uso exclusivo do controlador vedado acesso por terceiro e desde que anonimizados).

Suspensão Parcial do Banco de Dados (Inciso X)

“Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador”

Esta sanção determina a paralisação temporária de parcela do banco de dados relacionada à infração.

Características

• Parcialidade: Não atinge todo o banco de dados, apenas a porção relacionada à infração
• Prazo máximo inicial: 6 meses
• Prorrogação: Possível por igual período (mais 6 meses), totalizando até 12 meses
• Condicionamento: Perdura até regularização da atividade

PONTO DE ATENÇÃO: Conforme o §6º do art. 52, esta sanção (assim como as dos incisos XI e XII) possui requisitos especiais para aplicação, sendo consideradas as mais graves do sistema.

Suspensão da Atividade de Tratamento (Inciso XI)

“Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período”

Esta sanção é mais abrangente que a do inciso X, pois suspende toda atividade de tratamento relacionada à infração, não apenas banco de dados específico.

Diferença entre Incisos X e XI

• Inciso X (suspensão do banco): Paralisa banco de dados específico
• Inciso XI (suspensão da atividade): Paralisa atividade de tratamento (pode abranger múltiplos bancos de dados e processos)

OBSERVAÇÃO: Ambas podem ser prorrogadas por igual período e possuem caráter temporário, visando compelir à regularização.

Proibição Parcial ou Total de Atividades (Inciso XII)

“Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados”

Esta é a sanção mais grave prevista na LGPD, podendo significar verdadeira “pena de morte” para empresas cujo modelo de negócio dependa essencialmente do tratamento de dados.

Características

• Definitividade: Diferentemente das suspensões (temporárias), a proibição pode ser definitiva
• Parcialidade ou totalidade: Pode proibir apenas determinadas atividades ou todas as atividades de tratamento
• Gravidade extrema: Aplicável apenas a infrações de extrema gravidade e após esgotadas outras medidas

A aplicação desta sanção deve observar rigorosamente os princípios da proporcionalidade e razoabilidade, sendo esperada apenas em casos excepcionalíssimos de violações reiteradas, graves e dolosas.

Requisitos Especiais para Sanções Mais Graves

O §6º do art. 52 estabelece requisitos específicos para aplicação das sanções dos incisos X, XI e XII:

“As sanções previstas nos incisos X, XI e XII do caput deste artigo serão aplicadas:

I – somente após já ter sido imposta ao menos 1 (uma) das sanções de que tratam os incisos II, III, IV, V e VI do caput deste artigo para o mesmo caso concreto; e

II – em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.”

Aplicação Progressiva Obrigatória

O inciso I consagra o princípio da gradação obrigatória: antes de aplicar suspensões ou proibições, a ANPD deve ter aplicado anteriormente, para o mesmo caso concreto, ao menos uma das sanções menos graves (multa simples, multa diária, publicização, bloqueio ou eliminação de dados).

Isto garante que o infrator teve oportunidade de corrigir sua conduta antes de sofrer sanção mais drástica.

O requisito é “para o mesmo caso concreto”, ou seja, deve haver relação entre a infração anterior sancionada e a nova aplicação. Não basta que a empresa tenha sido sancionada anteriormente por qualquer motivo; deve haver conexão factual ou demonstração de reiteração de conduta similar.

Competências Concorrentes

O inciso II exige que, quando o controlador estiver sujeito a fiscalização de outros órgãos reguladores setoriais (como Banco Central, ANATEL, ANS, etc.), a ANPD deve ouvi-los antes de aplicar estas sanções mais graves.

Esta norma busca harmonizar competências e evitar conflitos regulatórios ou sanções contraditórias.

Critérios de Dosimetria das Sanções

O §1º do art. 52 estabelece que “as sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios”.

São onze critérios que a ANPD deve considerar ao aplicar e dosar sanções:

Gravidade e Natureza das Infrações e Direitos Afetados (Inciso I)

“A gravidade e a natureza das infrações e dos direitos pessoais afetados”

Este critério avalia:

• Tipo de infração: Violação de princípios fundamentais é mais grave que irregularidades formais
• Direitos afetados: Violação de dados sensíveis (art. 5º, II) é mais grave que de dados comuns
• Número de titulares: Quanto maior o número de pessoas afetadas, maior a gravidade
• Consequências: Danos efetivos são mais graves que riscos potenciais

A LGPD estabelece proteção diferenciada para dados sensíveis (dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização religiosa, filosófica ou política, dado referente à saúde ou à vida sexual, dado genético ou biométrico). Violações envolvendo estas categorias tendem a ser sancionadas mais severamente.

Boa-fé do Infrator (Inciso II)

“A boa-fé do infrator”

A autoridade deve avaliar se a infração decorreu de:

• Erro escusável: Interpretação razoável, ainda que equivocada, da legislação
• Negligência: Falta de cuidado devido
• Dolo: Intenção deliberada de violar a lei

OBSERVAÇÃO: Infrações dolosas (intencionais) serão punidas com maior rigor do que infrações culposas (negligência) ou decorrentes de boa-fé.

Vantagem Auferida ou Pretendida (Inciso III)

“A vantagem auferida ou pretendida pelo infrator”

Este critério busca desestimular economicamente a violação. Se o infrator obteve lucro significativo com o tratamento irregular de dados, a sanção deve superar este ganho, tornando a infração economicamente desvantajosa.

Por exemplo, se uma empresa vendeu ilegalmente base de dados pessoais por R$ 10 milhões, a multa deve ser superior a este valor para ser verdadeiramente dissuasória.

Este critério alinha-se ao princípio da análise econômica do Direito (Law and Economics), segundo o qual sanções devem ser calibradas para que violar a lei seja mais custoso do que cumpri-la.

Condição Econômica do Infrator (Inciso IV)

“A condição econômica do infrator”

A sanção deve ser:

• Suficientemente gravosa para empresas de grande porte
• Não inviabilizadora para microempresas e pequenos negócios

Este critério materializa o princípio da proporcionalidade econômica e dialoga com a base de cálculo da multa (percentual do faturamento).

Reincidência (Inciso V)

“A reincidência”

Reincidência caracteriza-se quando o agente, já tendo sido sancionado anteriormente, comete nova infração. Pode ser:

• Específica: Repetição da mesma infração
• Genérica: Cometimento de infração diversa, mas demonstrando descaso sistemático com a LGPD

OBSERVAÇÃO IMPORTANTE: A reincidência é agravante significativa e pode justificar aplicação de sanções mais severas, incluindo as suspensões e proibições dos incisos X a XII.

Grau do Dano (Inciso VI)

“O grau do dano”

Avalia-se:

• Extensão: Quantas pessoas foram afetadas
• Intensidade: Qual a gravidade do prejuízo individual
• Reversibilidade: Se o dano pode ser reparado ou é irreversível
• Natureza: Danos patrimoniais, morais, discriminação, etc.

Infrações que causaram danos concretos e graves (como discriminação, perseguição, extorsão decorrente de vazamento) serão punidas mais severamente do que infrações que geraram apenas risco potencial.

Cooperação do Infrator (Inciso VII)

“A cooperação do infrator”

Avalia-se a postura do infrator durante o procedimento fiscalizatório:

• Colaboração: Fornecimento tempestivo de informações solicitadas
• Transparência: Admissão de erros e demonstração de intenção de correção
• Resistência: Omissão de informações, obstrução da fiscalização, litigância de má-fé

A cooperação pode ser atenuante significativa, enquanto a obstrução é agravante.

Mecanismos Internos de Minimização de Danos (Inciso VIII)

“A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei”

Este critério valoriza empresas que possuem:

• Programas de compliance em proteção de dados
• Medidas técnicas de segurança adequadas
• Políticas internas de privacidade
• Treinamento de colaboradores
• Planos de resposta a incidentes

O inciso faz referência ao art. 48, §2º, II, que trata de medidas para reverter ou mitigar efeitos de incidentes de segurança.

OBSERVAÇÃO: Este critério incentiva a adoção de programas de governança em privacidade (art. 50, §2º da LGPD), funcionando como atenuante relevante.

Política de Boas Práticas e Governança (Inciso IX)

“A adoção de política de boas práticas e governança”

Complementando o critério anterior, avalia-se se o controlador:

• Implementou programa de governança em privacidade (art. 50)
• Possui regras de boas práticas publicadas
• Submete-se a auditorias externas
• Possui certificações em proteção de dados

Segundo especialistas, “a implementação de programa robusto de governança em privacidade é um dos principais fatores atenuantes considerados por autoridades de proteção de dados globalmente” [ref:4].

Pronta Adoção de Medidas Corretivas (Inciso X)

“A pronta adoção de medidas corretivas”

Avalia-se se, ao tomar conhecimento da infração (por identificação interna ou notificação da ANPD), o infrator:

• Imediatamente cessou a conduta irregular
• Adotou medidas para remediar os danos
• Corrigiu processos para evitar reincidência
• Comunicou adequadamente titulares afetados

PONTO DE ATENÇÃO: A postura proativa do infrator em corrigir irregularidades assim que identificadas é significativamente valorizada como atenuante.

Proporcionalidade entre Falta e Sanção (Inciso XI)

“A proporcionalidade entre a gravidade da falta e a intensidade da sanção”

Este critério funciona como cláusula geral de proporcionalidade, exigindo que a ANPD pondere todos os elementos do caso concreto para aplicar sanção que seja:

• Adequada: Apta a reprimir a infração e prevenir reincidência
• Necessária: Não existindo medida menos gravosa igualmente eficaz
• Proporcional em sentido estrito: O benefício (proteção de dados) supera o ônus (gravidade da sanção)

Este princípio está consagrado constitucionalmente e vincula toda atividade administrativa sancionadora.

Procedimento Administrativo Sancionador

O §1º do art. 52 estabelece claramente que “as sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa”.

Este procedimento deve observar:

Princípios Constitucionais do Processo Administrativo

Conforme a Constituição Federal:

Art. 5º, LV: “Aos litigantes, em processo judicial ou administrativo, e aos acusados em geral são assegurados o contraditório e a ampla defesa, com os meios e recursos a eles inerentes.”

Art. 5º, LIV: “Ninguém será privado da liberdade ou de seus bens sem o devido processo legal.”

Lei do Processo Administrativo Federal

Aplica-se subsidiariamente a Lei nº 9.784/1999, que regula o processo administrativo no âmbito da Administração Pública Federal, garantindo:

• Contraditório: Direito de o investigado conhecer e contestar acusações
• Ampla defesa: Direito de produzir provas, arrolar testemunhas, apresentar documentos
• Direito a advogado: Possibilidade de constituir defesa técnica
• Direito ao recurso: Possibilidade de recorrer de decisões desfavoráveis
• Motivação das decisões: Obrigação de a ANPD fundamentar suas decisões

OBSERVAÇÃO IMPORTANTE: A ausência ou insuficiência de fundamentação, ou a violação do contraditório e ampla defesa, podem ensejar anulação da sanção aplicada pelo Poder Judiciário.

Regulamentação pela ANPD

O artigo 53 determina que a ANPD defina, mediante regulamento próprio submetido a consulta pública, as metodologias que orientarão o cálculo das sanções.

“Art. 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa.

§ 1º As metodologias a que se refere o caput deste artigo devem ser previamente publicadas, para ciência dos agentes de tratamento, e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos nesta Lei.

§ 2º O regulamento de sanções e metodologias correspondentes deve estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária.”

PONTO DE ATENÇÃO: A ANPD publicou a Resolução CD/ANPD nº 1, de 28 de outubro de 2021, que aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD, estabelecendo ritos, prazos e procedimentos específicos [ref:1].

Posteriormente, a ANPD aprovou a Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, que estabeleceu metodologia para o cálculo de multas [ref:8].

Fases do Procedimento Sancionador

Embora cada caso possa ter peculiaridades, o procedimento sancionador geralmente segue estas fases:

1. Instauração: Pode decorrer de:

• Denúncia de titular de dados
• Comunicação de incidente de segurança
• Fiscalização de ofício pela ANPD
• Representação de terceiros ou órgãos públicos

2. Instrução: Coleta de provas, documentos, realização de diligências, oitiva de testemunhas, análise técnica.

3. Defesa: Notificação do investigado para apresentar defesa escrita no prazo regulamentar.

4. Decisão: Análise das provas e da defesa, aplicação dos critérios de dosimetria, decisão fundamentada.

5. Recurso: Possibilidade de recurso ao Conselho Diretor da ANPD ou às instâncias recursais previstas em regulamento.

6. Execução: Após decisão definitiva na esfera administrativa, execução da sanção (cobrança de multa, determinação de bloqueio ou eliminação de dados, etc.).

Aplicação a Órgãos e Entidades Públicas

O §3º do art. 52 estabelece tratamento específico para o Poder Público:

“O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.”

Sanções Aplicáveis ao Poder Público

Órgãos e entidades públicas estão sujeitos às seguintes sanções da LGPD:

• Inciso I: Advertência
• Inciso IV: Publicização da infração
• Inciso V: Bloqueio dos dados
• Inciso VI: Eliminação dos dados
• Inciso X: Suspensão parcial do banco de dados
• Inciso XI: Suspensão da atividade de tratamento
• Inciso XII: Proibição parcial ou total de atividades

OBSERVAÇÃO CRÍTICA: Note-se que os órgãos públicos não estão sujeitos às multas (incisos II e III). Esta diferenciação decorre do princípio da indisponibilidade do interesse público e da lógica de que multar órgão público seria transferir recursos de um bolso público para outro, sem efetivo efeito punitivo ou educativo.

Responsabilidade de Agentes Públicos

Embora o órgão não possa ser multado, agentes públicos responsáveis por violações podem ser responsabilizados pessoalmente nos termos de:

Lei nº 8.112/1990 (Estatuto dos Servidores Públicos Federais): Prevê sanções disciplinares como advertência, suspensão, demissão e cassação de aposentadoria por infrações relacionadas ao exercício da função pública.

Lei nº 8.429/1992 (Lei de Improbidade Administrativa): Prevê sanções por atos de improbidade, incluindo violações a princípios da administração pública. O tratamento inadequado de dados pessoais pode configurar improbidade.

Lei nº 12.527/2011 (Lei de Acesso à Informação): Estabelece sanções específicas para agentes públicos que descumprirem obrigações relacionadas ao acesso a informações públicas.

PONTO DE ATENÇÃO: A responsabilização do agente público é pessoal e não exclui eventual responsabilidade civil do ente público por danos causados a titulares de dados (art. 37, §6º da CF/88).

Destinação dos Recursos de Multas

O §5º do art. 52 estabelece:

“O produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa de Direitos Difusos de que tratam o art. 13 da Lei nº 7.347, de 24 de julho de 1985, e a Lei nº 9.008, de 21 de março de 1995.”

O Fundo de Defesa de Direitos Difusos (FDD) é gerido pelo Ministério da Justiça e destina-se à reparação de danos causados ao meio ambiente, ao consumidor, a bens e direitos de valor artístico, estético, histórico, turístico, paisagístico e por infração à ordem econômica e a outros interesses difusos e coletivos.

Este mecanismo garante que os recursos arrecadados com multas sejam revertidos em benefício da coletividade, financiando projetos e ações de proteção a direitos difusos, incluindo proteção de dados pessoais.

Possibilidade de Conciliação

O §7º do art. 52 introduz possibilidade importante:

“Os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo.”

Esta previsão incentiva a resolução consensual de conflitos, especialmente em casos de menor gravidade. Características:

• Âmbito: Aplicável a vazamentos individuais ou acessos não autorizados
• Voluntariedade: Depende de acordo entre as partes
• Efeito: Se houver acordo, pode evitar sanção administrativa
• Alternatividade: Se não houver acordo, o procedimento sancionador prossegue

A conciliação não afasta a possibilidade de a ANPD fiscalizar de ofício e aplicar sanções se considerar que há interesse público na punição, especialmente quando o caso revela práticas sistemáticas ou violações graves que transcendem o interesse individual do titular.

Direito Comparado e Experiência Internacional

O regime sancionatório da LGPD foi inspirado no GDPR europeu (General Data Protection Regulation – Regulamento 2016/679 da União Europeia), que prevê multas de até 4% do faturamento global anual ou 20 milhões de euros (o que for maior) para infrações mais graves.

Casos Emblemáticos de Aplicação de Multas no Exterior

Meta/Facebook – Irlanda (2023): A Comissão de Proteção de Dados da Irlanda aplicou multa recorde de €1,2 bilhão (aproximadamente R$ 6,3 bilhões) por transferências inadequadas de dados de cidadãos europeus para os Estados Unidos [ref:10].

Amazon – Luxemburgo (2021): Multa de €746 milhões por violações relacionadas ao tratamento de dados pessoais para fins de marketing direcionado [ref:12].

Google – França (2019): A CNIL (autoridade francesa) aplicou multa de €50 milhões por falta de transparência e consentimento inadequado para anúncios personalizados [ref:13].

Estes casos demonstram que autoridades de proteção de dados globalmente têm aplicado sanções significativas, sinalizando que violações à privacidade são levadas extremamente a sério.

Primeiras Sanções Aplicadas pela ANPD

Desde que as sanções administrativas entraram em vigor (agosto de 2021), a ANPD tem atuado principalmente de forma educativa, mas já começou a aplicar sanções:

Em 2023, a ANPD aplicou suas primeiras multas relevantes, incluindo sanções contra empresas de diversos setores por violações como ausência de base legal para tratamento, falta de transparência e não comunicação de incidentes de segurança [ref:5].

OBSERVAÇÃO: A tendência é de aumento progressivo na severidade das sanções à medida que o “período de adaptação” se consolida e os agentes de tratamento não podem mais alegar desconhecimento da lei.

Relação com Outras Esferas de Responsabilização

Como enfatizado anteriormente, o §2º do art. 52 estabelece que as sanções administrativas da LGPD não substituem responsabilizações em outras esferas:

Responsabilidade Civil

Conforme estudado nos artigos 42 a 45 da LGPD, agentes de tratamento podem ser condenados a indenizar titulares por danos patrimoniais e morais decorrentes de violações à LGPD. Esta responsabilidade é apurada em ações judiciais cíveis e pode resultar em condenações pecuniárias que se somam às multas administrativas.

Responsabilidade Penal

Embora a LGPD não contenha tipos penais específicos, condutas como:

• Divulgação de segredo (art. 153 do CP): Divulgar indevidamente conteúdo de documento particular ou correspondência confidencial
• Invasão de dispositivo informático (art. 154-A do CP): Invadir dispositivo informático alheio para obter, adulterar ou destruir dados ou informações sem autorização
• Furto de dados (art. 155, §4º-B do CP): Subtrair dados protegidos por mecanismo de segurança

Podem configurar crimes quando presentes seus elementos típicos específicos.

PONTO DE ATENÇÃO: A Lei nº 14.155/2021 incluiu qualificadoras nos crimes de furto e estelionato quando envolvem violação de dados pessoais ou dispositivos eletrônicos.

Responsabilidade por Improbidade Administrativa

Agentes públicos que tratarem inadequadamente dados pessoais podem responder por improbidade administrativa, especialmente se houver dolo ou má-fé, conforme a Lei nº 8.429/1992.

Responsabilidade Consumerista

Em relações de consumo, aplicam-se cumulativamente LGPD e Código de Defesa do Consumidor, podendo PROCON’s aplicar sanções administrativas próprias (advertência, multa, suspensão, cassação de licença, etc.).

Para candidatos que estudam para concursos públicos, recomenda-se atenção especial aos seguintes pontos:

Memorização Essencial

1. Rol de sanções: Decorar os 12 incisos do art. 52 (incluindo saber quais foram vetados)
2. Limites das multas: 2% do faturamento e teto de R$ 50 milhões por infração
3. Sanções não aplicáveis ao Poder Público: Apenas multas (incisos II e III) não se aplicam
4. Critérios de dosimetria: Memorizar os 11 critérios do §1º do art. 52
5. Requisitos para sanções graves: Conhecer as exigências do §6º (aplicação progressiva e oitiva de outros órgãos)

Compreensão de Conceitos

6. Diferença entre multa simples e diária: Natureza (punitiva vs. coercitiva) e momento de aplicação
7. Progressividade das sanções: Sistema escalonado do mais brando ao mais grave
8. Cumulatividade: Possibilidade de aplicar múltiplas sanções pelo mesmo fato
9. Destinação de recursos: Multas vão para o Fundo de Defesa de Direitos Difusos
10. Conciliação: Possibilidade em casos de vazamentos individuais

Princípios Aplicáveis

11. Contraditório e ampla defesa: Obrigatórios no processo administrativo sancionador
12. Proporcionalidade: Pedra angular da dosimetria de sanções
13. Gradualismo: Aplicação escalonada, do menos ao mais gravoso
14. Accountability: Critérios que valorizam conformidade prévia (governança, boas práticas)

Diferenciação de Sanções Similares

21. Bloqueio vs. Eliminação: Temporário/reversível vs. definitivo/irreversível
22. Suspensão do banco (X) vs. Suspensão da atividade (XI): Objeto específico vs. atividade ampla
23. Suspensão (X e XI) vs. Proibição (XII): Temporário vs. potencialmente definitivo

Atenção a Detalhes Importantes

24. Prazos de suspensão: Máximo 6 meses, prorrogável por igual período (total: até 12 meses)
25. Elementos da intimação de multa diária: Descrição da obrigação, prazo para cumprimento, valor da multa
26. Conteúdo mínimo do regulamento (art. 53): Metodologia, fundamentação, critérios objetivos
27. Consulta pública obrigatória: Para regulamento de sanções

O regime sancionatório é a espinha dorsal da efetividade da LGPD. Sem sanções adequadas, proporcionais e efetivamente aplicadas, normas de proteção de dados seriam meras recomendações éticas sem força cogente. A compreensão profunda deste capítulo é essencial não apenas para aprovação em concursos, mas para qualquer profissional que atue com proteção de dados, compliance ou Direito Digital. As questões de concurso sobre este tema tendem a cobrar tanto conhecimento literal dos dispositivos quanto capacidade de aplicação prática dos critérios de dosimetria a casos concretos hipotéticos.