Multas e sanções da LGPD: quais riscos a empresa corre

Introdução

Durante muito tempo, a Lei Geral de Proteção de Dados Pessoais foi vista por muitas empresas como uma obrigação distante, excessivamente técnica ou restrita a grandes companhias de tecnologia. Essa percepção, porém, não corresponde mais à realidade. A LGPD passou a integrar o cotidiano das empresas brasileiras, independentemente do porte ou do ramo de atuação, porque praticamente toda atividade empresarial envolve algum tipo de tratamento de dados pessoais.

Uma empresa trata dados quando cadastra clientes, armazena informações de colaboradores, envia propostas comerciais, utiliza sistemas de gestão, mantém banco de currículos, realiza cobranças, contrata fornecedores, utiliza ferramentas de marketing, coleta documentos ou compartilha informações com terceiros. Ou seja: a proteção de dados não é um tema isolado da área de tecnologia. É uma pauta jurídica, empresarial, reputacional e operacional.

A Lei nº 13.709/2018 estabelece regras para o tratamento de dados pessoais e impõe deveres aos chamados agentes de tratamento, especialmente controladores e operadores. O objetivo da lei não é impedir que empresas utilizem dados, mas exigir que esse uso tenha finalidade legítima, base legal adequada, transparência, segurança e respeito aos direitos dos titulares.

Nesse cenário, o risco da LGPD não pode ser reduzido apenas à possibilidade de multa. Embora a multa administrativa possa alcançar valores expressivos, há outras consequências que podem ser ainda mais graves para a empresa, como a publicização da infração, o bloqueio de dados, a eliminação de bases de dados e a suspensão de atividades de tratamento.

Para algumas empresas, perder temporariamente o acesso a uma base de clientes pode ser mais prejudicial do que pagar uma multa. Para outras, ter uma infração tornada pública pode abalar a confiança de consumidores, parceiros, fornecedores e investidores. Por isso, a adequação preventiva e a defesa administrativa em processos perante a Autoridade Nacional de Proteção de Dados devem ser tratadas como medidas estratégicas de proteção do negócio.

O que a LGPD exige das empresas

A LGPD parte de uma premissa simples: dados pessoais pertencem à esfera de proteção do titular e não podem ser tratados de maneira livre, desorganizada ou abusiva. A empresa que coleta, armazena, utiliza, compartilha ou elimina dados precisa justificar juridicamente essa atividade.

O art. 6º da LGPD prevê princípios que devem orientar todo tratamento de dados pessoais. Entre eles estão a finalidade, a adequação, a necessidade, a transparência, a segurança, a prevenção e a responsabilização. Esses princípios funcionam como uma espécie de matriz de controle da conduta empresarial.

Na prática, isso significa que a empresa deve saber quais dados coleta, por qual motivo coleta, com quem compartilha, por quanto tempo mantém essas informações e quais medidas adota para protegê-las. Também precisa estar preparada para responder solicitações dos titulares, corrigir falhas, comunicar incidentes relevantes e demonstrar que possui práticas mínimas de governança.

O grande problema é que muitas empresas ainda operam com bases de dados antigas, contratos sem cláusulas de proteção de dados, políticas genéricas copiadas da internet, ausência de controle interno e inexistência de documentação mínima. Essa informalidade pode se transformar em um problema sério quando há reclamação de titular, incidente de segurança, fiscalização ou processo administrativo.

Quais sanções a empresa pode sofrer

As sanções administrativas estão previstas no art. 52 da LGPD. O dispositivo estabelece que os agentes de tratamento podem ser punidos em caso de infração às normas de proteção de dados, sempre mediante procedimento administrativo que assegure contraditório e ampla defesa.

A primeira sanção possível é a advertência, com indicação de prazo para adoção de medidas corretivas. Embora pareça uma penalidade branda, ela não deve ser desprezada. Uma advertência formaliza a existência de uma irregularidade e pode pesar contra a empresa em situações futuras, especialmente se houver reincidência ou descumprimento das determinações da autoridade.

A sanção mais conhecida é a multa simples, que pode chegar a até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, limitada a R$ 50.000.000,00 por infração. Também existe a possibilidade de multa diária, utilizada especialmente quando a autoridade busca compelir a empresa a cessar determinada conduta ou cumprir obrigação específica.

Entretanto, a LGPD vai além das multas. A lei também permite a publicização da infração, depois de devidamente apurada e confirmada. Essa medida pode gerar um impacto reputacional importante, principalmente para empresas que dependem de credibilidade, relacionamento com clientes, contratos empresariais, captação digital ou atuação em segmentos sensíveis.

Outra sanção relevante é o bloqueio dos dados pessoais relacionados à infração. Nesse caso, a empresa pode ficar impedida de utilizar determinada base de dados até que regularize a situação. Para negócios que dependem de cadastros, histórico de clientes, informações financeiras, plataformas digitais ou sistemas internos, o bloqueio pode afetar diretamente a operação.

A eliminação dos dados pessoais é ainda mais severa. Se a autoridade determinar que determinada base foi formada ou utilizada de maneira irregular, pode haver ordem para exclusão dos dados. Isso pode comprometer campanhas comerciais, estratégias de relacionamento, cadastros, registros operacionais e até obrigações internas, dependendo do caso concreto.

A LGPD também prevê sanções mais graves, como a suspensão parcial do funcionamento do banco de dados, a suspensão do exercício da atividade de tratamento e a proibição parcial ou total de atividades relacionadas ao tratamento de dados. Essas medidas têm potencial de afetar a continuidade da atividade empresarial e devem ser analisadas com máxima atenção.

O risco não está apenas na multa

Um dos maiores erros das empresas é pensar na LGPD apenas como uma lei que prevê multa. A multa é relevante, mas não é o único risco. A desconformidade pode gerar consequências administrativas, judiciais, contratuais, consumeristas e reputacionais.

O art. 42 da LGPD prevê que o controlador ou operador que causar dano patrimonial, moral, individual ou coletivo em violação à legislação de proteção de dados será obrigado a repará-lo. Assim, uma falha no tratamento de dados pode gerar indenizações individuais, ações coletivas, reclamações de consumidores, atuação de órgãos públicos e questionamentos judiciais.

Além disso, o art. 44 da LGPD define como irregular o tratamento que deixa de observar a legislação ou que não fornece a segurança que o titular pode legitimamente esperar. Esse ponto é essencial. A empresa não precisa apenas evitar vazamentos; ela precisa demonstrar que adotou medidas técnicas e administrativas razoáveis para prevenir riscos.

O art. 46 da LGPD reforça esse dever ao determinar que os agentes de tratamento devem adotar medidas de segurança aptas a proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas. Em caso de incidente relevante, o art. 48 impõe ao controlador o dever de comunicar a Autoridade Nacional de Proteção de Dados e os titulares afetados.

Portanto, quando ocorre uma falha, a pergunta central não é apenas se houve dano. Também será analisado se a empresa tinha política interna, treinamento, controle de acesso, contratos adequados, registro das operações de tratamento, plano de resposta a incidentes e postura colaborativa.

Em matéria de proteção de dados, a ausência de documentação é um problema grave. Muitas empresas até adotam algumas práticas internas, mas não conseguem prová-las. E, em um procedimento administrativo, aquilo que não pode ser demonstrado documentalmente tende a ter pouco valor defensivo.

Como a ANPD avalia a gravidade da infração

A Autoridade Nacional de Proteção de Dados não aplica sanções de maneira automática. A dosimetria deve observar critérios legais e regulamentares, especialmente a gravidade e a natureza da infração, a boa-fé do infrator, a vantagem auferida ou pretendida, a condição econômica da empresa, a reincidência, o grau do dano, a cooperação, a adoção de mecanismos de governança e a pronta implementação de medidas corretivas.

Esses critérios estão previstos no art. 52, §1º, da LGPD e foram detalhados no Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD. A lógica é clara: a autoridade deve avaliar não apenas a infração em si, mas também a conduta da empresa antes, durante e depois do problema.

Uma empresa que demonstra boa-fé, coopera com a autoridade, corrige rapidamente a falha, apresenta documentos, comprova medidas preventivas e possui um programa mínimo de governança tende a ter melhores condições de defesa. Já uma empresa que ignora intimações, não apresenta informações, não possui base legal definida e não consegue explicar suas operações de tratamento se coloca em posição muito mais vulnerável.

Por isso, a defesa administrativa não começa no momento em que a empresa recebe uma notificação da ANPD. Ela começa antes, com organização interna, documentação e adequação preventiva.

Reincidência e agravamento das penalidades

A reincidência é um fator de risco relevante. Empresas que já foram advertidas, fiscalizadas ou formalmente orientadas e continuam praticando condutas irregulares podem enfrentar sanções mais severas.

A reincidência revela, em muitos casos, que o problema não foi pontual, mas estrutural. Isso pode indicar ausência de governança, negligência com os direitos dos titulares ou resistência em cumprir a legislação.

Esse risco é ainda maior em empresas que tratam grandes volumes de dados ou lidam com informações sensíveis, como dados de saúde, dados biométricos, informações financeiras, dados de crianças e adolescentes, geolocalização ou perfis comportamentais. Quanto mais sensível for o dado e maior o potencial de impacto aos titulares, mais rigorosa tende a ser a análise da autoridade.

Também merece atenção o uso de dados para marketing e prospecção comercial. Bases compradas, contatos sem origem definida, disparos em massa, ausência de canal de descadastramento e falta de transparência podem gerar reclamações e fiscalizações. A atividade comercial não é proibida pela LGPD, mas precisa ser estruturada com base legal adequada, informação clara e respeito aos direitos dos titulares.

Defesa administrativa perante a ANPD

A defesa administrativa em matéria de LGPD exige análise técnica, jurídica e documental. Não basta afirmar que a empresa não cometeu irregularidade. É preciso demonstrar, de maneira organizada, como os dados eram tratados, qual era a finalidade, qual base legal autorizava o tratamento, quais medidas de segurança foram adotadas e quais providências corretivas foram implementadas.

A estratégia defensiva pode envolver diversos argumentos, conforme o caso concreto: ausência de infração, inexistência de dano relevante, adequação da base legal, cumprimento dos princípios da LGPD, cooperação com a autoridade, boa-fé, baixa gravidade da conduta, ausência de vantagem econômica, adoção de medidas corretivas e desproporcionalidade da sanção pretendida.

Também pode ser importante demonstrar que a empresa possui políticas internas, contratos revisados, canal de atendimento aos titulares, registros de treinamento, controle de acesso, procedimento de resposta a incidentes e documentação sobre as operações de tratamento.

Em alguns casos, pode ser avaliada a celebração de termo de ajustamento de conduta, conforme regulamentação da ANPD. Essa alternativa pode ser útil quando a empresa reconhece a necessidade de correção, possui condições de cumprir obrigações específicas e busca evitar agravamento do conflito administrativo.

A escolha da estratégia, porém, deve ser cuidadosa. Uma defesa genérica, sem documentos e sem compreensão técnica da operação da empresa, pode ser insuficiente. A proteção de dados exige uma defesa construída a partir da realidade concreta do negócio.

Adequação preventiva: o caminho mais seguro

A adequação preventiva é a forma mais eficiente de reduzir riscos. Isso não significa transformar a empresa em uma estrutura burocrática ou inviabilizar sua operação. Significa organizar o tratamento de dados de modo compatível com a lei e com a atividade empresarial.

Um programa de adequação eficiente deve começar pelo mapeamento dos dados. A empresa precisa identificar quais dados coleta, de quem coleta, por que coleta, onde armazena, com quem compartilha e por quanto tempo mantém essas informações.

Depois disso, é necessário definir a base legal adequada para cada operação de tratamento, observando os arts. 7º e 11 da LGPD. Também é recomendável revisar contratos com operadores e fornecedores, criar ou atualizar política de privacidade, estabelecer canal para atendimento dos direitos dos titulares, treinar colaboradores e organizar regras internas de retenção e descarte de dados.

Outro ponto importante é a gestão de incidentes. Toda empresa deve ter um procedimento mínimo para identificar, conter, avaliar e documentar incidentes de segurança. Quando houver risco ou dano relevante aos titulares, a comunicação à ANPD e aos titulares deve ser analisada conforme o art. 48 da LGPD.

A indicação do encarregado pelo tratamento de dados pessoais, nos termos do art. 41 da LGPD, também deve ser avaliada conforme a realidade da empresa e as normas aplicáveis. O encarregado funciona como canal de comunicação entre controlador, titulares e autoridade nacional, sendo figura relevante na estrutura de governança.

A LGPD também prevê, no art. 50, a possibilidade de adoção de regras de boas práticas e governança. Embora a lei não imponha um modelo único, a existência de um programa documentado pode auxiliar a empresa a demonstrar diligência, prevenção e responsabilidade.

A importância da prova da conformidade

Um ponto decisivo em matéria de LGPD é a capacidade de provar conformidade. A empresa pode possuir boas práticas internas, mas, se não houver documentos, registros e evidências, a defesa se torna mais frágil.

Por isso, políticas internas, atas de treinamento, registros de atendimento aos titulares, cláusulas contratuais, inventário de dados, relatórios, comunicações, controles de acesso e evidências de medidas corretivas têm papel estratégico. Esses documentos ajudam a demonstrar que a empresa não foi negligente e que adotou providências proporcionais aos riscos da atividade.

O princípio da responsabilização e prestação de contas, previsto no art. 6º, X, da LGPD, resume essa lógica. A empresa deve ser capaz de demonstrar que adotou medidas eficazes para cumprir a legislação de proteção de dados.

Em um processo administrativo, essa documentação pode ser a diferença entre uma sanção severa e uma medida menos gravosa. Também pode ser relevante em ações judiciais, negociações contratuais, auditorias e procedimentos internos de gestão de risco.

Conclusão

As multas e sanções da LGPD representam um risco real para empresas brasileiras. A atuação da ANPD, a evolução da cultura de proteção de dados e o aumento da conscientização dos titulares tornam o tema cada vez mais relevante.

A multa administrativa é apenas uma das consequências possíveis. A empresa também pode sofrer advertência, publicização da infração, bloqueio de dados, eliminação de bases, suspensão de atividades de tratamento e responsabilização civil por danos causados aos titulares.

A melhor forma de reduzir esse risco é agir antes do problema. Empresas que organizam seus dados, revisam contratos, definem bases legais, treinam equipes, criam políticas internas e documentam suas práticas estão em posição muito mais segura. Além disso, quando surge uma fiscalização ou processo administrativo, possuem elementos concretos para construir uma defesa técnica e consistente.

A LGPD não deve ser vista como obstáculo ao desenvolvimento empresarial. Ao contrário, quando bem implementada, ela fortalece a governança, aumenta a confiança do mercado e reduz riscos jurídicos. Em um ambiente empresarial cada vez mais dependente de dados, proteger informações pessoais é também proteger a operação, a reputação e o patrimônio da empresa.

Autora: Isadora Halmenschlager Gorreis

Dartagnan & Stein Sociedade de Advogados

Site: www.dartagnanestein.com.br

O Escritório Dartagnan & Stein Sociedade de Advogados atua de forma estratégica em demandas cíveis, empresariais, patrimoniais, imobiliárias, bancárias, tributárias, trabalhistas patronais, sucessórias, familiares e de proteção de dados, com atendimento técnico e possibilidade de atuação em nível nacional nos casos compatíveis com tramitação digital e análise documental.