A ANPD começou a aplicar sanções efetivamente a partir de 2023. Os casos publicados revelam padrões claros de infrações e o peso real dos fatores agravantes e atenuantes.
Por ALC Consultoria · Atualizado abr/2026
Nota sobre os casos
Os casos abaixo são baseados em processos administrativos publicados pela ANPD em seu site oficial e em decisões de referência. Nomes completos e valores exatos seguem as publicações oficiais disponíveis até a data de atualização desta página.
Setor
Telemarketing / contact center
Sanção aplicada
Advertência + prazo para adequação
Infração apurada
Tratamento de dados pessoais sem base legal adequada. A empresa realizava ligações de marketing utilizando listas de dados obtidas de terceiros sem verificar a base legal de cada tratamento — ausência de consentimento livre e informado ou de legítimo interesse documentado.
O que salvou a empresa
Cooperação com a ANPD desde o início, ausência de histórico de infrações, e comprometimento formal com plano de adequação. A sanção ficou em advertência, sem multa financeira — mas com obrigação de apresentar relatório de conformidade em 120 dias.
Lição: a boa-fé e a cooperação têm peso real na dosimetria. Empresas que ocultam ou dificultam a fiscalização chegam ao segundo caso.
Setor
Serviços financeiros / cobrança
Sanção aplicada
Multa + bloqueio temporário de dados
Infração apurada
Compartilhamento de dados pessoais de devedores com terceiros sem base legal e sem transparência. A empresa vendia listas de inadimplentes com CPF, endereço e telefone para múltiplas empresas de cobrança sem que os titulares tivessem ciência ou tivessem consentido com esse tratamento específico.
Agravantes que pesaram
Lição: dados financeiros de terceiros tratados sem base legal expõem a empresa à sanção mais severa — multa + bloqueio, que paralisa a operação.
Setor
Saúde digital / healthtech
Sanção aplicada
Multa (faixa média do art. 52)
Infração apurada
Incidente de segurança com vazamento de dados de saúde (dados sensíveis, art. 5º, II). A plataforma sofreu invasão e o atacante exfiltrou histórico médico de pacientes. O incidente não foi comunicado à ANPD dentro do prazo de 72h, e os titulares afetados não foram notificados.
Agravantes que pesaram
Atenuante que reduziu a pena
Lição: dados de saúde elevam a pena-base automaticamente. A falta de comunicação dentro de 72h é agravante independente — veja o site incidente-lgpd.com.br para o protocolo correto.
Ausência de base legal documentada — a maioria das infrações envolve tratamento de dados sem conseguir provar uma das 10 hipóteses do art. 7º.
Incidentes não comunicados no prazo — o descumprimento do prazo de 72h aparece como agravante independente, mesmo quando o incidente em si seria de baixa gravidade.
Compartilhamento sem controle de operadores — dados repassados a terceiros (operadores) sem DPA adequado e sem verificação de conformidade do terceiro.
Ausência de programa de privacidade — empresas sem DPO nomeado, sem RIPD e sem política de privacidade operacionalizada recebem pena-base mais alta por ausência de diligência.
30 controles de adequação LGPD — score por área (bases legais, direitos, segurança, incidentes) com plano de ação personalizado.
Fazer checklist gratuito →Site relacionado
incidente-lgpd.com.br
Protocolo completo das 72h para resposta a incidentes LGPD
Acessar →Diagnóstico gratuito
Avalie sua exposição real à LGPD com Anderson Chipak — 60 min, sem compromisso.
Solicitar →