Multas de la LGPD: qué son, cómo se calculan y qué determina su valor
La ANPD ya ha aplicado las primeras sanciones financieras al sector privado brasileño, el régimen de dosimetría está plenamente vigente y la Deliberación CD-10/2025 introdujo multas diarias por incumplimiento de medidas cautelares. Entender cómo funcionan las sanciones de la LGPD, qué factores las incrementan o reducen y qué revela la jurisprudencia administrativa más reciente sobre el comportamiento de la autoridad reguladora dejó de ser una precaución preventiva para convertirse en una necesidad operacional concreta.
El catálogo de sanciones previstas en la LGPD
La Lei nº 13.709/2018 establece, en el art. 52, un conjunto escalonado de sanciones administrativas aplicables por la ANPD. Las sanciones no se limitan a las multas económicas: advertencia con plazo para la adopción de medidas correctivas; publicación de la infracción, que convierte el proceso sancionatorio en un riesgo reputacional público; bloqueo de los datos personales a que se refiere la infracción; eliminación de los datos personales; multa simple de hasta el 2% de la facturación bruta en el último ejercicio, limitada a R$50 millones por infracción; multa diaria, con el mismo límite de R$50 millones; suspensión parcial del funcionamiento de la base de datos por hasta seis meses, prorrogable por igual período; suspensión del ejercicio de la actividad de tratamiento de datos personales; y prohibición parcial o total del ejercicio de actividades relacionadas con el tratamiento de datos.
Las sanciones más graves, como la suspensión y la prohibición, son de aplicación subsidiaria: conforme a la Resolución CD/ANPD n.º 4/2023, solo pueden aplicarse después de que ya se haya impuesto al menos una sanción previa al mismo infractor en el mismo caso concreto. Esto no significa que el camino hasta ellas sea largo: la progresión puede ser rápida para empresas que no responden a las notificaciones de la autoridad o que no adoptan las medidas correctivas determinadas.
Cómo funciona la dosimetría en la práctica
La Resolución CD/ANPD n.º 4/2023, publicada el 27 de febrero de 2023, estableció el método para la graduación y el cálculo de las sanciones, haciendo operativo el régimen sancionatorio de la LGPD. Antes de esta resolución, la ANPD ya tenía competencia formal para sancionar, pero carecía de parámetros objetivos para el cálculo de las multas pecuniarias. La resolución corrigió esa laguna y definió un sistema estructurado en tres etapas, conforme lo detallado por el relevamiento de la LGPDPro.
En la primera etapa, la ANPD define el valor base de la multa, calculado a partir de un porcentaje sobre la facturación bruta del infractor en el ejercicio anterior, respetando siempre el límite de R$50 millones por infracción. Este porcentaje de partida varía según la clasificación de la infracción, que puede ser leve, media o grave. En la segunda etapa, el valor base se ajusta mediante factores agravantes y atenuantes, asignando una puntuación a cada criterio. En la tercera etapa, se aplica la proporcionalidad final, considerando el impacto concreto de la infracción sobre los titulares afectados. En 2024, la Resolución CD/ANPD n.º 5 actualizó la metodología, introduciendo mayor objetividad al sistema de puntuación y haciendo el proceso más previsible para los agentes de tratamiento.
Los once criterios del art. 52, §1.º de la LGPD orientan la dosimetría: gravedad de la infracción y de los derechos afectados; buena fe del infractor; ventaja obtenida; condición económica; reincidencia; grado del daño; cooperación; adopción de mecanismos de seguridad; adopción de política de buenas prácticas; adopción de medidas correctivas; y proporcionalidad entre la gravedad de la falta y la intensidad de la sanción.
Lo que reveló el primer caso sancionatorio
En julio de 2023, la ANPD publicó en el Diario Oficial de la Unión la primera decisión sancionatoria con multa en el sector privado: Telekall Infoservice, microempresa de telemarketing, fue sancionada con advertencia y dos multas de R$7.200 cada una, totalizando R$14.400. El proceso había sido iniciado en marzo de 2022, derivado de cinco infracciones simultáneas: ausencia de base legal para el tratamiento de datos personales; ausencia de registro de operaciones de tratamiento; falta de envío del Relatório de Impacto à Proteção de Dados Pessoais (RIPD); ausencia de encarregado de dados (DPO) designado; y no atención a los requerimientos de la ANPD durante el proceso de fiscalización, conforme lo informado por el Migalhas.
El monto nominal de R$14.400 es modesto, pero el aspecto técnicamente relevante del caso radica en el cálculo: la multa correspondió al 2% de la facturación bruta de la empresa, es decir, al límite legal aplicable a su tamaño. Para una organización mayor con el mismo conjunto de infracciones, el monto podría alcanzar R$50 millones por infracción. El caso Telekall demuestra que la ANPD no segmentó su actuación por tamaño de empresa: el criterio fue la gravedad de las conductas y la resistencia a la cooperación con la autoridad reguladora.
| Infracción identificada (Telekall) | Base legal vulnerada | Impacto en la dosimetría |
|---|---|---|
| Ausencia de base legal para el tratamiento | Art. 7.º y 11.º, LGPD | Agravante |
| Ausencia de registro de operaciones | Art. 37, LGPD | Agravante |
| Falta de envío del RIPD | Art. 38, LGPD | Agravante |
| Ausencia de DPO designado | Art. 41, LGPD | Agravante |
| Incumplimiento de los requerimientos de la ANPD | Art. 55-J, LGPD | Agravante crítico |
Hasta agosto de 2024, la ANPD había aplicado 18 sanciones administrativas, de las cuales solo dos fueron multas. Las demás sanciones recayeron sobre organismos públicos, que por impedimento legal no pueden ser multados. En 2024, ninguna empresa privada fue sancionada financieramente. El contraste con el escenario europeo es revelador: solo entre enero de 2023 y enero de 2024, las multas del GDPR en la Unión Europea sumaron EUR 1,78 mil millones, según datos compilados por el portal TI Inside. La diferencia no refleja ausencia de riesgo en Brasil, sino un ciclo de maduración regulatoria que los indicadores de 2025 sugieren que está acelerándose.
El nuevo umbral de enforcement en 2025 y 2026
La Deliberación CD-10/2025 representa una inflexión relevante en la capacidad coercitiva de la ANPD. Al introducir multas diarias por incumplimiento de medidas cautelares, la resolución crea un mecanismo de presión continua sobre las empresas que no adoptan las correcciones determinadas por la autoridad dentro de los plazos establecidos. En la práctica, una empresa que recibe una medida cautelar y no la cumple comienza a acumular un pasivo diario, potencialmente hasta el límite de R$50 millones.
La transformación de la ANPD en agencia reguladora independiente, formalizada por la MP n.º 1.317/2025, eliminó las restricciones presupuestarias y de plantilla que antes limitaban la escala de la fiscalización. Con carrera propia de auditores, autonomía financiera y prerrogativas de interdicción, la ANPD dejó de estar estructuralmente limitada en la cantidad de procesos sancionatorios que puede mantener en paralelo.
Riesgo civil paralelo al administrativo
La jurisprudencia del STJ amplifica este escenario. En 2025, la 3.ª Sala consolidó el entendimiento de que la filtración de datos sensibles configura daño moral presumido, independientemente de la comprobación de perjuicio concreto por parte del titular, en los juzgamientos de los REsp n.º 2.121.904/SP y REsp n.º 2.201.694/SP. Las empresas que sufrieron incidentes que involucraron datos sensibles enfrentan responsabilidad civil objetiva paralela a la responsabilidad administrativa ante la ANPD.
Qué determina el valor efectivo de la multa
La diferencia entre una multa en el piso del cálculo y una multa cercana al límite de R$50 millones está determinada por la combinación de factores que la ANPD pondera en la dosimetría. Los elementos que sistemáticamente elevan el valor son: gravedad de la infracción clasificada como alta; impacto sobre datos sensibles, como datos de salud, biométricos, financieros, raciales o religiosos; volumen significativo de titulares afectados; ventaja económica identificable obtenida por el infractor; reincidencia en infracciones a la LGPD; ausencia de cooperación con la autoridad durante el proceso; y omisión total en la adopción de medidas correctivas incluso después de tener conocimiento de la violación.
| Factor | Efecto en la dosimetría | Fundamento legal |
|---|---|---|
| Datos sensibles afectados | Eleva el valor | Art. 52, §1.º, I, LGPD |
| Reincidencia | Eleva el valor | Art. 52, §1.º, V, LGPD |
| Ausencia de cooperación | Eleva el valor | Art. 52, §1.º, VII, LGPD |
| Ventaja económica obtenida | Eleva el valor | Art. 52, §1.º, III, LGPD |
| Buena fe demostrada | Reduce el valor | Art. 52, §1.º, II, LGPD |
| Programa de buenas prácticas documentado | Reduce el valor | Art. 52, §1.º, VIII, LGPD |
| Medidas correctivas adoptadas espontáneamente | Reduce el valor | Art. 52, §1.º, X, LGPD |
La LGPD no es una ley de intenciones. Es una ley de consecuencias documentadas, calculadas y progresivas. El compliance con la LGPD no es una respuesta al riesgo de ser sancionado: es la diferencia entre enfrentar un proceso sancionatorio con argumentos legítimos de atenuación o enfrentarlo sin ninguno.
Lo que Apter ofrece en esta área
Apter Apter estructura programas de conformidad con la LGPD con foco en la sostenibilidad operacional y en documentación que resiste procesos sancionatorios reales. El trabajo comienza con el diagnóstico: mapeo de las actividades de tratamiento de datos, identificación de las bases legales aplicables a cada operación, evaluación de las brechas documentales y análisis de los riesgos prioritarios por sector y volumen de datos tratados. A partir del diagnóstico, Apter estructura las políticas, flujos y documentos necesarios para la adecuación, implementa los procesos de gobernanza de datos, realiza capacitaciones para los equipos operativos y para el DPO, y puede asumir íntegramente la función de encarregado de dados pessoais como servicio tercerizado.
Para empresas que ya han pasado por incidentes de seguridad o han recibido notificaciones de la ANPD, Apter actúa en la respuesta técnica y jurídica al proceso sancionatorio, incluyendo la elaboración de la defensa administrativa, la estructuración de medidas correctivas y, cuando corresponda, la negociación de términos de compromiso con la autoridad.
Hable con un especialista de Apter sobre LGPD



