Artigo
07/07/2023
Atualizado em 10/04/2026

ANPD - Primeira aplicação de sanção contra uma empresa por violação à Lei Geral de Proteção de Dados (LGPD)

ANPD aplicou a primeira multa a uma microempresa por violação à LGPD, marcando o início da fiscalização efetiva e alertando empresas sobre a necessidade de conformidade com a lei.

Imagem de capa do artigo

Não pelo valor em si propriamente dito, mas por causa do fato de ser a primeira, de provavelmente muitas, acho que o tema merece destaque neste meu post de hoje, pois entramos em um novo momento, que vai merecer ainda mais atenção das empresas.

Finalmente Autoridade Nacional de Proteção de Dados (ANPD) realizou sua primeira aplicação de sanção contra uma empresa por violação à Lei Geral de Proteção de Dados (LGPD).

A LGPD foi aprovada em 2018 e entrou em vigor em setembro de 2020. Contudo, as sanções começaram a ser aplicadas apenas em fevereiro de 2023, após a publicação em fevereiro deste ano da Resolução nº 4 pela ANPD, que estabeleceu as regras para o cálculo das penalidades.

A penalizada foi a Telekall Infoservices, uma microempresa do setor de telemarketing no Espírito Santo. A empresa foi multada em apenas R$ 14,4 mil, sendo duas multas de R$ 7,2 mil cada, além de receber uma advertência por violar três artigos da LGPD.

Minha opinião de que este fato é significativo, pois marca o início da atuação da ANPD no cumprimento da LGPD, e acho eu uma nova fase da proteção dos dados e respeito à lei. Não tenho menor dúvida que isso está servindo como um importante aviso ao mercado de que a lei está sendo levada a sério, e empresas que não se adequarem às exigências, independentemente de seu tamanho, estarão sujeitas a punições, que certamente virão, e provavelmente para empresas maiores em valores maiores.

De qualquer forma, sendo a primeira para uma microempresa, também mostra simbolicamente que as pequenas e médias empresas também deverão revisar suas práticas para estarem em conformidade com a legislação, ou arriscar enfrentar consequências legais.

Bom lembrar que, segundo a ANPD, atualmente existem mais sete processos administrativos em andamento, dos quais a Telekall é a única representante do setor privado. Os demais envolvem entidades da administração pública, incluindo o Ministério da Saúde, Instituto de Pesquisas Jardim Botânico do Rio de Janeiro, Secretaria de Saúde de Santa Catarina, entre outros. Além disso, há 16 casos em fase de investigação que envolvem grandes empresas como: Presshaus, WhatsApp, Claro Brasil, Serasa Experian e RaiaDrogasil.

Vejam alguns dos motivos:

Ministério da Saúde:

Falta de comprovação de indicação do encarregado, ausência de envio do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), falta de comunicação de incidente de segurança à ANPD e aos titulares e por deixar de atender requisições da ANPD.

Ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança.

Instituto de Pesquisa Jardim Botânico do Rio de Janeiro:

Falta de comunicação de incidente de segurança à ANPD e aos titulares e por deixar de atender requisições da ANPD.

Secretaria de Educação do Distrito Federal:

Falta de comunicação de incidente aos titulares, ausência de comprovação que os sistemas utilizados atendem aos requisitos de segurança, padrões de boas práticas e governança, ausência de comprovação da manutenção de registros das operações de tratamento de dados pessoais, não apresentação de RIPD e por deixar de atender requisições da ANPD.

Secretaria de Estado da Saúde de Santa Catarina:

Ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança; não atendimento a determinações da ANPD.

Os processos sancionadores possuem documentos preparatórios para uma decisão definitiva por parte da ANPD e, portanto, seu inteiro teor fica com acesso restrito. Mas após a conclusão do processo sancionador com emissão de decisão final da ANPD, o conteúdo não protegido por sigilo legal dos documentos será tornado público para que seja dado conhecimento ao público em geral das razões de decidir da ANPD.

Lembrando que as sanções para violações da LGPD podem chegar a R$ 50 milhões para o setor privado, e que além das penalidades financeiras, há também consequências reputacionais que podem afetar as relações comerciais, uma vez que empresas tendem a preferir parceiros que estejam em conformidade com as normas de proteção de dados. Já no setor público, as penalidades podem incluir advertências, publicidade da infração, bloqueio ou eliminação de dados pessoais, suspensão de banco de dados, entre outros.

É importante notar que a Telekall foi punida por não indicar uma pessoa responsável pela proteção de dados dentro da empresa, pela ausência de base legal para o tratamento de dados pessoais, e pela falta de colaboração com o processo de fiscalização.

Embora a ANPD tenha tornado pública a decisão contra a Telekall, os detalhes do caso permanecem sob sigilo. Mas seria bem mais útil a todas as demais, se um resumo dos fatos fosse disponibilizado, para que o mercado possa entender como a ANPD está interpretando e aplicando a lei.

Outro ponto interessante sobre o tema, é olhar o resumo dos Formulários de Comunicação de Incidente de Segurança enviados (de forma obrigatória quando tem algum evento) nestes últimos 6 meses pelos próprios agentes de tratamento de dados, que mostram os maiores problemas enfrentados pelas empresas na ordem de maiores incidentes (71 comunicados no total):

  • Sequestro de Dados (ransomware) sem transferência de informações.
  • Exploração de vulnerabilidade em sistemas de informação.
  • Sequestro de dados (ransomware) com transferência de informações.
  • Acesso não autorizado a sistemas de informação.
  • Envio de dados a destinatário incorreto.
  • Divulgação indevida de dados pessoais.
  • Roubo de credenciais / Engenharia Social.
  • Perda/roubo de documentos ou dispositivos eletrônicos.

Você está se protegendo contra esses tipos de incidentes acima?

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante