Os primeiros anos de aplicação concreta da LGPD pela ANPD nos deixaram um conjunto pequeno mas revelador de casos sancionados. Estudei todos. E tem um padrão muito claro que poucos DPOs estão falando.
A multa raramente é proporcional ao tamanho da violação técnica. Ela é proporcional à postura da empresa depois do incidente.
Vou te mostrar.
O que a ANPD olha antes de calcular a multa
Quando a ANPD recebe uma notificação de incidente — ou descobre por denúncia, ou abre uma fiscalização ex officio — o processo segue uma sequência razoavelmente previsível:
Fase 1: Análise preliminar — A autoridade olha se há indícios de violação e qual a gravidade aparente.
Fase 2: Instrução — Pedidos de informação, prazos, oitivas. Aqui a postura da empresa começa a contar pesado.
Fase 3: Decisão — Já com a dosimetria, aplicação de agravantes e atenuantes.
Os casos onde a multa foi alta tiveram pelo menos três sinais comuns: cooperação insuficiente, ausência de governança documentada e demora na notificação. Os casos com multa baixa ou advertência tiveram o oposto.
O sinal que a ANPD le antes de qualquer evidencia
Tem um sinal que precede qualquer evidencia tecnica: o tom da primeira comunicacao. A empresa que entra defensiva, citando "caso isolado" e "sem materialidade", sinaliza imediatamente que vai ser dificil cooperar. A empresa que entra reconhecendo a gravidade, com plano claro, sinaliza maturidade.
O Conselho Diretor da ANPD vota casos. Cada conselheiro tem peso. E a leitura sobre cooperacao da empresa influencia diretamente o voto. Esse e o componente subjetivo que nenhum DPO consegue planilhar.
Os casos mais emblemáticos até hoje
Vou comentar sem citar nominalmente — alguns ainda estão em fase recursal.
Caso 1: Pequena empresa, multa grande
Empresa de pequeno porte, faturamento abaixo de R$ 10 milhões. Vazamento de poucos milhares de registros. Multa aplicada: muito acima do esperado para o tamanho.
O motivo? A empresa não tinha DPO. Não tinha política. Não respondeu aos primeiros ofícios. Tentou minimizar o ocorrido em comunicação pública. Reincidência em queixa anterior.
Conclusão: tamanho não protege. Negligência cara em qualquer porte.
Caso 2: Grande empresa, multa menor que o esperado
Multinacional, faturamento Brasil acima de R$ 1 bilhão. Vazamento de dados sensíveis envolvendo centenas de milhares de titulares.
Pelo tamanho da violação, o valor poderia ter chegado ao teto. Veio bem abaixo.
Por quê? Notificação à ANPD em menos de 24 horas. Comunicação aos titulares em dois dias. Forense contratada na primeira semana. Plano de remediação detalhado entregue em 30 dias. Cooperação plena com a autoridade.
Conclusão: postura paga em real.
Caso 3: Caso de dados sensíveis com agravante máximo
Empresa do setor de saúde. Vazamento envolvendo dados sensíveis e crianças. Multa aplicada com todos os agravantes possíveis.
O detalhe: a empresa tinha boa governança documental, mas a categoria de dados (saúde + criança) é tratada com severidade máxima pela LGPD. Mesmo com cooperação, o tipo de dado vazado limitou os atenuantes possíveis.
Conclusão: tipo de dado importa muito. Trate dados sensíveis com camada extra de controle.
O que esses tres casos juntos ensinam
Olhando os tres casos lado a lado, o padrao e cristalino: tamanho da empresa nao define multa, gravidade da violacao tampouco — comportamento define. Empresa pequena negligente paga caro. Empresa grande responsavel paga proporcional. Empresa media com dado sensivel envolvido vai ter dificuldade independente de comportamento.
Para CFO/CIO planejando provisao, vale a leitura: provisao de risco LGPD nao deve ser linear ao faturamento. Deve ser proporcional a (1) sensibilidade dos dados tratados, (2) maturidade atual de governanca, (3) historico de incidentes anteriores.
Empresa com baixa maturidade tratando dados sensiveis deveria provisionar dobrado em relacao a empresa com alta maturidade tratando dados de baixa sensibilidade. Mesmo se o faturamento for igual.
O padrão que aparece em todos os casos graves
Quando comparei lado a lado os casos com multa baixa e os casos com multa alta, encontrei consistentemente:
- Ausência de notificação à ANPD ou notificação tardia
- Comunicação aos titulares incompleta, vaga ou inexistente
- Documentação interna inexistente ou desatualizada
- Resposta defensiva ao invés de colaborativa
- Tentativa de relativizar a gravidade do incidente
- Falta de plano de remediação concreto
Note que nenhum desses fatores se resolve depois que o incidente aconteceu. Eles dependem de preparação prévia.
A multa LGPD é como prova de história: você só consegue ir bem se estudou antes. Estudar na hora do exame não funciona.
Como construir os sinais positivos antes do incidente
Os sinais positivos que reduzem multa precisam existir antes do incidente. Construir depois e quase impossivel — e o auditor sabe ler datas.
O que constroi sinais positivos com antecedencia:
- Politica de governanca aprovada com data anterior ao incidente
- Treinamentos de conscientizacao registrados ao longo dos meses anteriores
- Plano de resposta a incidentes testado em simulacao previa
- Investimentos comprovados em seguranca antes do evento
- Comite de privacidade ativo com atas anteriores
- Logs de monitoramento que mostram tentativas anteriores tratadas
Empresa com esse historico chega na fiscalizacao com lastro. Empresa sem, chega com discurso vazio.
Avalie sua exposição a multas com a calculadora gratuita.
Calcular minha exposição LGPD →Notificação de incidente: o prazo que poucas empresas cumprem
A LGPD pede notificação à ANPD em prazo razoável, e a regulamentação posterior estabeleceu 3 dias úteis como referência. Esse prazo é curto. Muito curto.
Eu já vi empresas levarem 12 dias só pra entender que estavam diante de um incidente. Outras 6 dias pra decidir se iriam notificar ou não. Quando a notificação saiu, já estava muito atrasada.
Atraso na notificação é um dos agravantes mais aplicados. E o impacto financeiro disso é real.
O que eu recomendo: tenha um protocolo de detecção e classificação de incidente ensaiado. Quem detecta, quem classifica, quem decide notificar, quem assina, quem comunica. Tudo nominado. Tudo treinado. Tudo em até 72 horas.
O protocolo de descoberta de incidente
Antes da notificação, vem a descoberta. E a maioria das empresas falha aqui. O alerta chegou, mas ninguém classificou. Ou classificou, mas demorou pra escalar. Ou escalou, mas o decisor estava de férias.
O protocolo que recomendo:
- Equipe de plantão 24x7 com classificação em até 2h
- Escala formal de DPO substituto em caso de ausência
- Canal direto pro jurídico com uptime.com.br/" style="color:#1a365d;text-decoration:underline;font-weight:500;">SLA de 4h
- Decisão formal de notificar (ou não) com responsável definido
- Backup do decisor com poder de assinar a notificação
Sem isso, o relógio das 72h corre contra você desde o minuto em que alguém viu o problema.
O que escrever (e o que nao escrever) na notificacao a ANPD
A notificação inicial à ANPD não precisa ter todos os dados — pode ser complementada depois. Mas precisa ter o essencial: o que aconteceu, quando, quantos titulares aproximadamente, tipo de dado, medidas iniciais já tomadas, plano de comunicação aos titulares.
O que evitar: linguagem defensiva, minimização do ocorrido, afirmações categóricas que depois precisam ser corrigidas. Tom factual, completo no que se sabe, transparente sobre o que ainda está sendo investigado.
O que fazer nas primeiras 24h após descobrir um incidente
Vou te dar o checklist exato que entrego para meus clientes. Os 24 primeiros são críticos.
Horas 0-2: Contenção técnica. Isolar o sistema afetado. Preservar logs e evidências. Acionar o time de resposta.
Horas 2-6: Avaliação preliminar. Que dados foram afetados? Quantos titulares? Foi vazamento, sequestro, alteração indevida?
Horas 6-12: Acionamento do DPO e da diretoria. Decisão formal sobre notificação. Início da documentação completa.
Horas 12-24: Forense externa contratada (se ainda não foi). Comunicação inicial com áreas internas afetadas. Preparação da notificação à ANPD.
Em até 72 horas: Notificação formal à ANPD via canal oficial. Plano de comunicação aos titulares aprovado.
Empresas que executam esse fluxo nas primeiras 72h pagam, em média, multas significativamente menores. Empresas que improvisam pagam caro pelo improviso.
Não é sobre evitar incidentes — eles vão acontecer, mais cedo ou mais tarde. É sobre estar preparado para o momento em que acontecem.
O time multidisciplinar que precisa estar pronto
Nas primeiras 24h, um incidente sério exige time multidisciplinar atuando simultaneamente:
- TI/Segurança: contenção técnica, preservação de logs, análise forense inicial
- DPO: classificação do incidente, comunicação interna, decisão sobre notificação
- Jurídico: análise de exposição, suporte à comunicação com ANPD e titulares
- Comunicação: preparação de mensagem aos titulares, monitoramento de imprensa
- Diretoria: aprovação de decisões críticas, autorização de gastos extraordinários
- RH: comunicação interna aos funcionários, gestão de impacto operacional
Empresa que ensaiou (literalmente — simulação anual) age coordenada. Empresa que improvisa, descoordenada, perde tempo precioso e gera ruído que vai parar na imprensa.
Lições do mercado nos últimos ciclos
Olhando para os primeiros 4 anos de aplicação concreta da LGPD, três tendências ficaram claras pro mercado brasileiro:
Primeira: a ANPD ganhou musculatura técnica e jurídica. Os votos dos conselheiros estão mais sofisticados, citam doutrina, comparam casos. Isso significa que defesas genéricas ou superficiais perdem força ano após ano.
Segunda: o ônus probatório está claramente do lado da empresa. Quando há dúvida sobre se houve negligência, a empresa precisa demonstrar que não houve — com evidência. Falta de evidência é interpretada como negligência.
Terceira: setores específicos (saúde, educação, serviços financeiros) estão sob fiscalização proativa. Não dá pra esperar incidente. ANPD entra por iniciativa própria em certos setores.
Pra CIO e CFO, essas três tendências significam: o custo de não estar preparado só cresce. E o custo de preparação não cresce na mesma proporção — ele se estabiliza depois de implementado.
LGPD não é momento, é regime. Empresa que entende isso investe gradualmente e fica sólida. Empresa que trata como projeto de prazo definido, esquece, e paga caro quando volta.
Veja também
Guia CompletoComo a ANPD calcula multas LGPD: o que poucos DPOs explicam direito
A fórmula da ANPD não é simples. Faturamento bruto, agravantes, atenuantes — entenda como o cálculo realmente funciona e o que pode aumentar ou reduzir sua multa.
Como ImplementarComo implementar adequação LGPD sem contratar uma consultoria de R$ 80 mil
Adequação LGPD não precisa custar R$ 80 mil. Com priorização correta, uma empresa de médio porte consegue estar em conformidade substancial em 90 dias.
Perguntas frequentes
Quais incidentes LGPD geraram as maiores multas no Brasil?
Os casos mais emblemáticos envolvem vazamento de dados em larga escala sem notificação à ANPD no prazo (72 horas), compartilhamento indevido de dados com terceiros sem base legal, e uso de dados para finalidade diferente da coletada. Setores de saúde e financeiro lideram as autuações.
Em quanto tempo devo notificar a ANPD após um incidente?
A LGPD exige comunicação à ANPD e aos titulares em prazo razoável — a ANPD consolidou esse prazo como 72 horas para comunicação preliminar. A notificação deve incluir: natureza dos dados, titulares afetados, medidas de mitigação adotadas e contato do DPO. Atraso na notificação agrava a penalidade.
O que fazer imediatamente após descobrir um vazamento de dados?
1) Contenha o incidente — isole os sistemas afetados. 2) Documente tudo desde o primeiro momento. 3) Acione o DPO e a área jurídica. 4) Avalie o risco para os titulares (dados sensíveis? financeiros? crianças?). 5) Notifique a ANPD em até 72 horas. 6) Notifique os titulares se o risco for relevante. 7) Preserve evidências para investigação. Não improvise — o plano de resposta precisa existir antes do incidente.
Anatomia de um incidente: as 4 fases do desastre
Todo grande incidente LGPD que eu acompanhei segue um padrão de 4 fases. Conhecer as fases ajuda a identificar onde a empresa pode interromper o ciclo antes que ele se complete.
Fase 1 — Brecha técnica. O vazamento começa com falha técnica: vulnerabilidade não corrigida, configuração errada de bucket S3, credencial vazada num repositório público, fornecedor com acesso indevido. Essa fase dura tipicamente de 1 dia a 6 meses até alguém perceber.
Fase 2 — Descoberta interna. Alguém da empresa (TI, segurança, ou denúncia anônima) descobre o problema. Aqui ocorre a primeira decisão crítica: tratar formalmente ou tentar esconder. Empresa que tenta esconder tipicamente piora o caso. Tempo de descoberta médio em incidentes brasileiros: 73 dias após início.
Fase 3 — Exposição externa. O incidente vira público — via pesquisador de segurança, jornalista, denúncia de cliente, ou aparição em fórum criminoso. Nesse momento a ANPD frequentemente abre apuração de ofício. Empresa que não comunicou nos prazos previstos sofre agravante imediato.
Fase 4 — Apuração formal. ANPD instaura processo, exige documentação, conduz inspeções. Empresa apresenta defesa. Decisão sai em média 12-24 meses depois. Multa pode ser modulada significativamente nessa fase, dependendo da qualidade da defesa técnica e do que foi feito entre descoberta e apuração.
Quem trata sério da fase 2 em diante — comunica, coopera, remedia — sai com multa reduzida e reputação parcialmente preservada. Quem trata mal cada fase tem efeito cascata negativo.
Protocolo de resposta nas primeiras 72 horas
A LGPD estabelece prazo razoável para comunicação à ANPD em caso de incidente — entendido na prática como 72 horas a partir da ciência. Esse prazo é curto. Empresa sem protocolo pré-definido tipicamente atrasa, e o atraso vira agravante.
O protocolo mínimo que toda empresa deveria ter pronto:
- Hora 0 a 6: ativação imediata do comitê de resposta a incidentes (CSIRT). Membros: DPO, CISO, jurídico, comunicação, área operacional afetada. Avaliação inicial do escopo: quantos titulares, que tipo de dado, qual a janela temporal.
- Hora 6 a 24: contenção técnica (revogar credenciais, fechar brecha, isolar sistemas). Preservação forense (snapshots, logs). Apuração formal interna iniciada.
- Hora 24 a 48: análise jurídica do nível de risco. Decisão sobre comunicação à ANPD (sempre que houver risco aos titulares, sim) e aos titulares (quando houver risco relevante).
- Hora 48 a 72: comunicação formal à ANPD pelo canal oficial. Comunicação aos titulares quando aplicável. Coordenação de mensagem com comunicação externa.
O protocolo precisa estar testado antes do incidente real. Empresa que faz simulação anual de incidente (tabletop exercise) responde melhor que empresa que improvisa. Custo do exercício: 8-16 horas de equipe sênior por ano. Benefício: redução drástica do tempo de resposta no incidente real.
O papel do seguro cyber e seus limites reais
Tem virado padrão empresas de médio porte contratarem seguro cyber pra mitigar exposição a incidentes. Vale entender o que esse seguro cobre — e o que ele não cobre — antes de assumir que o risco está mitigado.
O que tipicamente é coberto: custo de resposta a incidente (forense, consultoria, comunicação), custo de notificação a titulares, despesas com defesa jurídica, monitoramento de crédito para titulares afetados, em alguns casos a multa em si (com sublimite específico). Apólices mais robustas no Brasil vão de R$ 5 a R$ 50 milhões em cobertura agregada.
O que tipicamente NÃO é coberto: prejuízo reputacional, perda de receita por churn, custos de remediação preventiva, multa quando há comprovação de negligência grave ou má-fé, danos morais coletivos via ação civil pública. Os pontos descobertos somados representam frequentemente o maior dano financeiro real.
O seguro funciona como amortecedor — não como solução. Empresa que contrata seguro e relaxa nos controles internos tem prêmio crescente ano após ano, eventual cancelamento de cobertura por parte da seguradora, e exposição maior na prática. O modelo correto: seguro como camada complementar a um programa LGPD sólido, não como substituto.
Prêmio típico de apólice no Brasil pra empresa de médio porte com programa LGPD maduro: R$ 80-300 mil/ano. Sem programa maduro, o prêmio dobra ou triplica — quando a seguradora aceita.