Conversar WhatsApp
LGPD · LGPD · 7 min de leitura

Como a ANPD calcula multa LGPD: os critérios que pesam de verdade

A maioria das empresas acha que multa LGPD é aquele R$ 50 milhões do noticiário. Não é. A ANPD usa uma metodologia de dosimetria com 17 critérios, e o seu faturamento é só o teto, não o ponto de partida. Entenda como esse cálculo funciona antes que ele seja feito contra você.

Como a ANPD calcula multa LGPD: os critérios que pesam de verdade
Leonardo Ribeiro
Escrito por
Leonardo Ribeiro
Sócio · Ribeiro Sociedade de Advogados
Publicado em

A maioria das empresas que ainda não se adequou à LGPD parte de dois pressupostos errados ao mesmo tempo: que multa é coisa de empresa grande, e que o valor é imprevisível demais pra calcular. Os dois estão errados. A ANPD aplica uma metodologia de dosimetria estruturada, com critérios numerados e pesos definidos, publicada na Resolução CD/ANPD 4/2023. Dá pra simular, hoje, em que faixa sua empresa ficaria se fosse investigada.

O pior erro é confundir o teto com a regra. R$ 50 milhões por infração é o limite máximo legal. A maioria das autuações reais fica muito abaixo disso. O que define onde você cai dentro desse teto é uma lista de 17 critérios, e alguns deles você ainda tem chance de influenciar antes de qualquer processo.

A base de cálculo: 2% do faturamento bruto no Brasil

O ponto de partida do cálculo é o faturamento bruto da empresa no Brasil no exercício fiscal anterior à infração. Não é lucro, não é faturamento global. É receita bruta no país, no último ano. Sobre esse número, a ANPD aplica até 2% como teto da multa, respeitado o limite absoluto de R$ 50 milhões por infração, conforme o art. 52, II, da Lei 13.709/2018.

Na prática: uma empresa com R$ 5 milhões de faturamento anual tem teto de R$ 100 mil por infração. Uma com R$ 200 milhões tem teto de R$ 4 milhões. Mas chegar a esse teto pressupõe que a empresa não fez nada certo: não cooperou, não notificou, não mitigou dano nenhum. A dosimetria reduz, ela não só agrava.

Um detalhe que pouca gente discute: quando o faturamento da empresa é impossível de estimar, a ANPD pode usar como base uma proibição temporária da atividade de tratamento ou outra sanção do art. 52. A multa não é a única opção disponível ao regulador. E, dependendo do negócio, não é a mais dolorosa.

Os 17 critérios: o que a ANPD efetivamente pesa

A Resolução CD/ANPD 4/2023 operacionalizou os critérios do art. 52, §1º da LGPD em uma metodologia de dosimetria com 17 elementos de avaliação. Eles se agrupam em três blocos que a autoridade analisa sequencialmente: gravidade da infração, circunstâncias do agente e impacto sobre o titular.

Dentro do bloco de gravidade, pesam: a natureza dos dados tratados (dado sensível pesa mais que dado comum), a quantidade de titulares afetados, a intencionalidade ou negligência do controlador, e o benefício econômico obtido com a infração. Tratar dado de saúde sem base legal para 50 mil usuários é categoricamente diferente de não ter política de retenção pra e-mails de cadastro.

No bloco do agente, entram: reincidência dentro de 5 anos, porte econômico, e se a empresa adotava alguma política de segurança antes da infração. Aqui mora um dos critérios mais subestimados: ter um programa de conformidade documentado, mesmo que incompleto, reduz a sanção. A ANPD não exige perfeição. Exige evidência de esforço real e documentado.

Os três critérios que mais aparecem nos casos concretos

Olhando os processos de fiscalização que a ANPD tornou públicos desde 2022, três critérios aparecem sistematicamente como decisivos pra modulação do valor final:

  • Cooperação com a investigação: responder no prazo, fornecer documentos sem recurso protelatório e reconhecer a infração reduz significativamente a sanção. Contestar tudo, até o incontestável, agrava.
  • Notificação ao titular e à ANPD: nos incidentes de segurança, o art. 48 da LGPD exige comunicação à autoridade em prazo razoável. A ANPD consolidou 72 horas como referência operacional. Empresa que notificou proativamente leva desconto. Empresa que a ANPD descobriu primeiro, sem comunicação prévia, leva agravante direto.
  • Medidas de mitigação pós-incidente: o que a empresa fez nas primeiras horas depois de identificar o problema? Isolou o sistema? Comunicou os titulares afetados? Contratou análise forense? Cada ação documentada conta, mesmo que imperfeita.

Nossa leitura: esses três critérios são os únicos que a empresa ainda controla depois que o incidente aconteceu. Os demais são resultado do que foi feito antes. Por isso o plano de resposta a incidentes não é burocracia de compliance, é redução concreta de exposição financeira.

O primeiro caso real: o que a Telekall revelou sobre o método

Em 2023, a ANPD aplicou sua primeira sanção administrativa a uma empresa de telemarketing, a Telekall Infoservice. O valor ficou em cerca de R$ 14 mil, e a reação do mercado foi dividida: parte ficou aliviada ("é pouca coisa"), parte entendeu o que aquilo representava de verdade.

O ponto relevante não foi o valor. Foi o precedente metodológico. A ANPD usou o processo pra demonstrar como aplica cada critério da dosimetria na prática: avaliou o porte da empresa, a ausência de programa de conformidade, a ausência de encarregado nomeado, e a natureza dos dados tratados sem base legal adequada. O valor foi baixo porque o porte era pequeno e a infração era localizável. Mas o roteiro de como a autoridade raciocina ficou público e replicável.

Isso é o que importa pra qualquer empresa de médio porte no Vale do Itajaí: a ANPD já tem metodologia consolidada e já demonstrou que aplica. O argumento de que "nunca multaram uma empresa do meu porte" ficou mais fraco a cada trimestre desde 2023.

PME tem tratamento diferenciado, mas não imunidade

A Resolução CD/ANPD 02/2022 estabeleceu um regime simplificado para microempresas, EPPs, startups e profissionais autônomos. Na prática, isso significa:

  • Obrigações de conformidade proporcionais ao porte e ao risco real do tratamento
  • Tendência da ANPD de orientar antes de autuar, quando a empresa é PME e não há dano concreto ao titular
  • Menor exigência de formalização documental comparado a grandes controladores
  • Multa calculada sobre faturamento real, que pra microempresa resulta em valor absoluto mais baixo

O que o regime simplificado não cobre: tratamento de dados sensíveis em escala, ausência total de qualquer medida de segurança, e violações que causem dano concreto ao titular. Uma clínica médica que vaza dado de saúde de paciente não tem benefício proporcional nesse regime. O dado sensível, definido no art. 5º, II da LGPD, eleva automaticamente a gravidade da infração, independente do porte da empresa.

Na prática, a empresa pequena que trata dado sensível tem obrigação mais próxima de empresa grande do que gostaria. Esse é um ponto que o regime simplificado não resolve, e que raramente aparece nas apresentações de compliance.

A sanção que dói mais que a multa

Empresas focam demais no valor da multa e pouco na sanção que mais assusta na prática: a suspensão ou proibição do tratamento de dados (art. 52, VIII e IX da LGPD). Uma empresa de tecnologia, saúde ou varejo digital que tem o tratamento de dados suspenso por 90 dias não mantém operação normal. O impacto financeiro indireto supera qualquer multa administrativa.

A ANPD pode aplicar bloqueio de banco de dados como medida cautelar, antes mesmo de conclusão do processo administrativo, quando houver risco de dano iminente aos titulares. Isso significa que a empresa pode ter sistemas paralisados enquanto ainda está respondendo à investigação. Sem condenação definitiva. Sem valor fixado. Só com a suspeita de risco.

O que fazer nas próximas 2 semanas

Se você quer reduzir sua exposição real aos critérios de dosimetria, comece por aqui, sem projeto de 6 meses:

  • Mapeie quais dados sensíveis sua empresa trata: saúde, biometria, origem racial, convicção religiosa, dado de criança. Dado sensível muda a faixa de gravidade na dosimetria.
  • Verifique se há encarregado (DPO) nomeado e publicado: a ausência é agravante direto no art. 41 da LGPD. Pode ser interno ou terceirizado, mas precisa existir e ser identificável.
  • Crie um procedimento mínimo de resposta a incidentes: quem aciona, em quanto tempo, quem notifica a ANPD. Uma página resolve. O que não pode é não existir.
  • Documente as bases legais de cada tratamento: consentimento, execução de contrato, legítimo interesse. O art. 7º lista dez bases. Escolha a certa e registre por escrito.
  • Guarde evidências do que você já fez: atas de reunião, e-mails de orientação interna, políticas de senha, qualquer coisa. Evidência de esforço conta na dosimetria, mesmo que o programa seja incompleto.

Nenhum desse passos exige consultoria de R$ 100 mil. Exige decisão e alguém responsável por executar. O critério que a ANPD avalia não mede se o programa é perfeito. Mede se existe ou não existe. Comece pela existência.

Precisa de orientação?

Fale com um advogado da RSA.

Diagnóstico objetivo em até 24h úteis.

WhatsApp direto Formulário de contato
Continue lendo sobre LGPD

Artigos relacionados

LGPD para SaaS: o bug de multi-tenant que vira incidente
LGPD
LGPD para SaaS: o bug de multi-tenant que vira incidente
 LGPD em M&A: a dívida de dados que o comprador herda
LGPD
LGPD em M&A: a dívida de dados que o comprador herda
 Seu RH coleta dado sensível todo dia. A maioria sem base legal.
LGPD
Seu RH coleta dado sensível todo dia. A maioria sem base legal.
Ver todos os artigos de LGPD →