Multas e Penalidades do GDPR: Guia Completo (2026)

O GDPR (Regulamento Geral sobre a Proteção de Dados, conhecido em português como RGPD) estabelece, em seu Artigo 83, dois níveis de penalidade: até 10 milhões de euros ou 2% do faturamento global anual para violações organizacionais, e até 20 milhões de euros ou 4% para violações dos princípios centrais de tratamento, dos direitos dos titulares de dados ou das exigências de transferência internacional, o que for maior.
O GDPR confere às autoridades europeias de proteção de dados o poder de impor multas administrativas substanciais a organizações que violem suas disposições. Desde que o regulamento entrou em vigor em 25 de maio de 2018, as autoridades supervisoras em toda a UE já emitiram mais de 2.800 multas, totalizando mais de 7,1 bilhões de euros.
Este guia explica em detalhes a estrutura de penalidades, aborda a metodologia do EDPB para o cálculo de multas, analisa a decisão histórica Deutsche Wohnen sobre responsabilidade corporativa, lista as maiores multas e seu status atual, e trata das consequências além das multas, incluindo pedidos de compensação civil nos termos do Artigo 82. Para uma visão geral do próprio regulamento, veja nosso guia O Que É o GDPR.
Este artigo tem finalidade meramente informativa e não constitui aconselhamento jurídico. Consulte um advogado especializado em proteção de dados ou um profissional de privacidade qualificado para orientação específica sobre sua situação.
Resposta Rápida: Quais São as Penalidades do GDPR?
As penalidades do GDPR se dividem em dois níveis, nos termos do Artigo 83.
Para as violações mais graves (violações dos princípios centrais de tratamento, dos direitos dos titulares de dados, das regras de consentimento e das exigências de transferência internacional), o máximo é de 20 milhões de euros ou 4% do faturamento anual mundial total da organização, o que for maior.
Para violações organizacionais e procedimentais (não manter registros, não nomear um DPO quando exigido, notificação de violação inadequada), o máximo é de 10 milhões de euros ou 2% do faturamento global anual, o que for maior.
Para grandes multinacionais, o teto percentual supera em muito o valor fixo em euros. Uma empresa com 30 bilhões de euros em receita anual enfrenta um teto potencial de 1,2 bilhão de euros no nível de 4%, exatamente o valor imposto à Meta em 2023.
Além das multas, as autoridades podem proibir o tratamento, determinar a eliminação de dados, impor ordens de correção de conformidade e suspender transferências internacionais de dados. Os indivíduos também podem reivindicar compensação diretamente de controladores e operadores por danos materiais e não materiais nos termos do Artigo 82.

A Estrutura de Multas em Dois Níveis do Artigo 83
O Artigo 83 do GDPR estabelece a estrutura de multa máxima em dois níveis. O nível aplicável depende inteiramente de qual disposição foi violada.
Nível Inferior: Até 10 Milhões de Euros ou 2% do Faturamento Global
O nível inferior se aplica a violações das obrigações do controlador e do operador estabelecidas nos Artigos 8, 11, 25 a 39, 42 e 43. Trata-se, sobretudo, de exigências organizacionais e procedimentais:
- Não manter registros das atividades de tratamento (Artigo 30)
- Não realizar uma Avaliação de Impacto sobre a Proteção de Dados exigida (Artigo 35)
- Não nomear um DPO quando exigido (Artigo 37)
- Procedimentos deficientes de notificação de violação (Artigo 33)
- Falhas de organismos de certificação e monitoramento
Essas violações são graves, mas são tratadas como menos severas do que as violações dos princípios fundamentais que regem o uso de dados pessoais.
Nível Superior: Até 20 Milhões de Euros ou 4% do Faturamento Global
O nível superior se aplica a violações das disposições que estão no centro da estrutura de proteção de dados do GDPR:
- Os princípios básicos de tratamento e as condições para o tratamento lícito (Artigos 5, 6, 7, 9)
- Direitos dos titulares de dados: acesso, retificação, eliminação, limitação, portabilidade e oposição (Artigos 12 a 22)
- Regras de transferência internacional de dados (Artigos 44 a 49)
- Disposições do direito nacional adotadas nos termos do Capítulo IX
- Descumprimento de uma ordem vinculante de uma autoridade supervisora
A multa é sempre o valor mais alto dentro do nível relevante. Para uma empresa com 10 bilhões de euros em receita global anual, 4% resulta em um teto de 400 milhões de euros, vinte vezes o máximo fixo de 20 milhões de euros.
O Requisito de Culpa: A Decisão Deutsche Wohnen
Uma questão relevante nos primeiros anos de aplicação do GDPR era se as multas poderiam ser impostas às empresas segundo um padrão de responsabilidade objetiva, ou apenas quando a infração fosse intencional ou negligente.
A CJUE resolveu essa questão em seu acórdão de 5 de dezembro de 2023 no Processo C-807/21 (Deutsche Wohnen). O caso originou-se de uma multa de 14,5 milhões de euros imposta pela autoridade de proteção de dados de Berlim a uma empresa imobiliária por manter dados de inquilinos após já não serem necessários.
A CJUE proferiu três decisões importantes.
Primeiro, aplica-se um requisito de culpa: as multas administrativas do GDPR só podem ser impostas quando a infração tiver sido cometida intencionalmente ou por negligência. A responsabilidade objetiva é incompatível com o Artigo 83. Isso encerrou o argumento de que as empresas poderiam ser multadas por violações que não tinham meios razoáveis de identificar ou prevenir.
Segundo, não é necessária a identificação de uma pessoa física específica: as autoridades não precisam atribuir a infração a um indivíduo identificado dentro da organização antes de impor uma multa à pessoa jurídica. Uma empresa pode ser multada diretamente com base na conduta de seus órgãos, funcionários ou agentes, sem uma constatação separada contra uma pessoa nomeada.
Terceiro, as empresas são multadas como empreendimentos: para calcular os tetos das multas, um controlador é tratado como um "empreendimento" no sentido do direito da concorrência. Isso significa que o teto é calculado com base no faturamento mundial de toda a unidade econômica, não apenas da subsidiária ou entidade que era o controlador direto. As receitas da empresa-mãe são incluídas.
A decisão importa na prática porque molda tanto a forma como as autoridades conduzem investigações de multas quanto a forma como as empresas podem se defender. Demonstrar que uma violação não foi negligente (por meio de esforços de conformidade razoáveis documentados) é agora uma defesa viável.

Como as Multas do GDPR São Calculadas: Diretrizes 04/2022 do EDPB
As Diretrizes 04/2022 do EDPB sobre o cálculo de multas administrativas estabelecem uma metodologia em cinco etapas que as autoridades supervisoras de todos os Estados-Membros da UE seguem. As diretrizes foram finalizadas em junho de 2023, após consulta pública.
A metodologia não é uma fórmula automatizada. As multas continuam sendo objeto de discricionariedade supervisora dentro das etapas, mas o modelo cria consistência entre jurisdições.
Etapa 1: Identificar as Operações de Tratamento e as Disposições Aplicáveis
A autoridade identifica quais operações de tratamento estão em questão e quais disposições do GDPR foram infringidas. Quando várias infrações decorrem do mesmo conjunto de operações de tratamento, aplica-se o Artigo 83(3): impõe-se uma única multa pela violação mais grave, em vez de multas separadas para cada infração. Isso evita a multiplicação artificial de penalidades para o que é, funcionalmente, uma única conduta.
Etapa 2: Determinar o Valor Inicial
O valor inicial reflete três variáveis.
Natureza da infração: qual nível do Artigo 83 se aplica? A disposição violada é central aos direitos fundamentais dos titulares de dados ou é um procedimento organizacional?
Gravidade: quão severa é a infração em termos concretos: o número de titulares de dados afetados, a sensibilidade dos dados envolvidos (dados de categoria especial, como dados de saúde ou biométricos, são tratados com mais rigor), o dano financeiro ou de outra natureza sofrido, e o alcance geográfico.
Duração: por quanto tempo a infração persistiu? Uma violação descoberta e corrigida em poucos dias é tratada de forma diferente de uma que persistiu por anos.
O valor inicial também é calibrado em relação ao faturamento do empreendimento. Uma multa que seria dissuasiva para uma PME seria insignificante para uma multinacional, de modo que o valor absoluto varia conforme o porte da organização.
Etapa 3: Avaliar Circunstâncias Agravantes e Atenuantes
O Artigo 83(2) lista fatores específicos que as autoridades devem ponderar. Eles elevam ou reduzem o valor calculado:
| Fator | Agravante | Atenuante |
|---|---|---|
| Intenção | Violação deliberada | Descuido negligente |
| Medidas de mitigação | Nenhuma tomada | Correção pronta e eficaz |
| Conduta anterior | Violações anteriores do GDPR | Histórico de conformidade limpo |
| Cooperação | Obstrução da investigação | Cooperação total e proativa |
| Categorias de dados | Dados de categoria especial ou de crianças | Dados gerais não sensíveis |
| Autodenúncia | Autoridade descobriu o problema | Organização se autodenunciou |
| Certificações | Nenhum código de conduta implementado | Códigos aprovados ou certificações seguidas |
| Dano | Dano significativo aos titulares de dados | Dano real mínimo ou inexistente |
A cooperação é um dos fatores mais relevantes na prática. Organizações que atuam de forma transparente, implementam correções rapidamente e respondem plenamente às solicitações de informação recebem, de forma consistente, multas menores do que aquelas que atrasam ou obstruem o processo.
Etapa 4: Aplicar o Máximo Legal
O valor calculado é verificado em relação ao teto aplicável para o nível relevante. A multa não pode exceder o máximo, independentemente da gravidade das circunstâncias.
Etapa 5: Avaliar Eficácia, Proporcionalidade e Caráter Dissuasivo
O valor final deve satisfazer três requisitos nos termos do Artigo 83(1): ser eficaz (capaz de garantir a conformidade), proporcional (não excessivo em relação à violação e às circunstâncias da organização) e dissuasivo (capaz de desencorajar violações futuras). A autoridade pode ajustar o valor se ele não atender a todos os três requisitos.
A anulação da multa da Amazon em março de 2026 ilustra a importância desta etapa: o tribunal de Luxemburgo concluiu que a CNPD havia pulado a análise de proporcionalidade, o que foi suficiente para anular a multa por completo.
Artigo 83(2): A Lista Completa de Fatores
O Artigo 83(2) especifica onze fatores que as autoridades supervisoras devem levar em conta. Eles se relacionam diretamente com o que as organizações podem documentar:
- Natureza, gravidade e duração da infração
- Se a infração foi intencional ou negligente
- Medidas tomadas para mitigar o dano
- Grau de responsabilidade, considerando as medidas técnicas e organizacionais previstas nos Artigos 25 e 32
- Infrações anteriores relevantes cometidas pelo controlador ou operador
- Grau de cooperação com a autoridade supervisora
- Categorias de dados pessoais afetados
- Como a autoridade tomou conhecimento da infração (autodenúncia ou descoberta por meio de reclamação)
- Se medidas nos termos do Artigo 58(2) já haviam sido determinadas anteriormente contra o mesmo controlador
- Adesão a códigos de conduta aprovados (Artigo 40) ou mecanismos de certificação (Artigo 42)
- Qualquer outro fator agravante ou atenuante aplicável

As Maiores Multas do GDPR e Seu Status Atual
A tabela a seguir apresenta as dez maiores multas do GDPR aplicadas até o momento. O status do recurso está verificado em maio de 2026.
| Posição | Empresa | Multa | Autoridade | Ano | Violação | Status |
|---|---|---|---|---|---|---|
| 1 | Meta (Facebook) | 1,2 bilhão de euros | DPC irlandesa | 2023 | Transferências de dados UE-EUA sem salvaguardas adequadas | Multa mantida; recurso pendente no Tribunal Geral da UE |
| 2 | Amazon | 746 milhões de euros | CNPD de Luxemburgo | 2021 | Base legal inválida para publicidade comportamental | Anulada em março de 2026; caso devolvido à CNPD |
| 3 | TikTok | 530 milhões de euros | DPC irlandesa | 2025 | Transferências de dados de usuários do EEE para a China | Multa aplicada; recurso no Tribunal Superior irlandês; suspensão da transferência sobrestada |
| 4 | Meta (Instagram) | 405 milhões de euros | DPC irlandesa | 2022 | Tratamento de dados de crianças sem proteções adequadas | Definitiva |
| 5 | Meta (Facebook/Instagram) | 390 milhões de euros | DPC irlandesa | 2023 | Sem base legal válida para publicidade comportamental | Definitiva |
| 6 | TikTok | 345 milhões de euros | DPC irlandesa | 2023 | Dados de crianças e configurações de privacidade padrão | Definitiva |
| 7 | 310 milhões de euros | DPC irlandesa | 2024 | Consentimento e bases legais inválidos para publicidade comportamental | Recurso apresentado no Tribunal Superior irlandês | |
| 8 | Uber | 290 milhões de euros | AP holandesa | 2024 | Dados de motoristas da UE transferidos para os EUA sem salvaguardas | Recurso apresentado; pode levar até quatro anos |
| 9 | Meta (Facebook) | 265 milhões de euros | DPC irlandesa | 2022 | Falhas de segurança que permitiram a coleta indevida de 533 milhões de registros | Definitiva |
| 10 | Meta (Facebook) | 251 milhões de euros | DPC irlandesa | 2024 | Violação de segurança que afetou 29 milhões de contas globais | Definitiva |
Notas sobre Casos-Chave
Meta, 1,2 bilhão de euros (maio de 2023). A DPC irlandesa impôs essa multa recorde após uma decisão vinculante do EDPB. A Meta transferiu dados de usuários do Facebook da UE para os EUA sob Cláusulas Contratuais-Padrão, mas o EDPB constatou que essas cláusulas não conseguiam proteger adequadamente os dados da UE diante das leis de vigilância dos EUA. A Meta recorreu ao Tribunal Geral da UE; o recurso foi formalmente destravado após uma decisão processual da CJUE no início de 2026 e permanece pendente. A Meta adotou o Data Privacy Framework entre a UE e os EUA como mecanismo de transferência daqui em diante, mas isso não corrige retroativamente a violação histórica.
Amazon, 746 milhões de euros (2021, anulada em março de 2026). A CNPD de Luxemburgo impôs essa multa pelo uso do "interesse legítimo" pela Amazon como base legal para publicidade comportamental. Em 12 de março de 2026, o Tribunal Administrativo de Luxemburgo anulou a multa. O tribunal concluiu que a CNPD não havia realizado a análise de culpa exigida pela decisão Deutsche Wohnen e não havia avaliado corretamente a proporcionalidade: especificamente, se uma medida menos severa seria adequada. O tribunal manteve a constatação substantiva de que a base legal da Amazon era inválida. O caso foi devolvido à CNPD. A Amazon ainda pode enfrentar uma nova multa após uma reavaliação em conformidade.
TikTok, 530 milhões de euros (2 de maio de 2025). A DPC irlandesa multou o TikTok em 45 milhões de euros por não informar os usuários do EEE sobre o possível acesso a seus dados a partir da China (violação do Artigo 13) e em 485 milhões de euros por transferir dados de usuários do EEE para a China sem salvaguardas eficazes nos termos do Artigo 46. A DPC também determinou que o TikTok suspendesse as transferências em até seis meses. O TikTok apresentou recurso ao Tribunal Superior irlandês em maio de 2025. Em novembro de 2025, o tribunal sobrestou a ordem de suspensão da transferência de dados enquanto o recurso tramita, o que significa que o TikTok não precisa interromper as transferências para a China durante o processo. A multa de 530 milhões de euros em si não foi suspensa.
LinkedIn, 310 milhões de euros (outubro de 2024). A DPC irlandesa constatou que o LinkedIn se baseou em consentimento inválido, interesses ilegítimos e necessidade contratual ilegítima como bases legais para análise comportamental e publicidade. O LinkedIn apresentou recurso ao Tribunal Superior argumentando que a multa era desproporcional. O recurso está pendente.
Uber, 290 milhões de euros (agosto de 2024). A AP holandesa multou o Uber por transferir dados de motoristas da UE (incluindo histórico criminal, dados médicos e informações de localização) para a sede da Uber nos EUA sem qualquer mecanismo de transferência por mais de dois anos. A Uber recorreu; o processo pode levar até quatro anos.
Por Que a Irlanda Domina as Maiores Multas
Seis das dez maiores multas foram aplicadas pela Comissão de Proteção de Dados da Irlanda. O mecanismo de balcão único do GDPR atribui a autoridade supervisora primária à DPA do Estado-Membro onde a empresa tem seu principal estabelecimento na UE. Meta, Google, Apple, TikTok, LinkedIn e Microsoft escolheram todos Dublin, tornando a DPC irlandesa sua autoridade líder. O ritmo de execução da DPC acelerou após 2022, em razão da pressão contínua do EDPB e de outras autoridades da UE que consideravam haver subfiscalização das grandes plataformas de tecnologia.

Consequências Além das Multas
As multas administrativas são o instrumento de execução do GDPR mais visível, mas as autoridades supervisoras dispõem de um amplo conjunto de poderes corretivos nos termos do Artigo 58(2), e os indivíduos têm direitos independentes de compensação civil nos termos do Artigo 82.
Poderes Corretivos Nos Termos do Artigo 58(2)
As autoridades supervisoras podem emitir qualquer uma das seguintes medidas, separadamente ou em conjunto com uma multa:
- Avisos e advertências: usados para violações menos graves ou infratores de primeira vez
- Ordens de conformidade: exigindo que o controlador ou operador adeque o tratamento em um prazo determinado
- Proibições temporárias ou permanentes de tratamento: vedando atividades de tratamento específicas
- Ordens de eliminação de dados: exigindo a exclusão de dados pessoais coletados em violação ao GDPR
- Suspensão de transferências de dados: proibindo transferências de dados pessoais para um país terceiro
- Ordens de notificação aos titulares de dados: exigindo a notificação de indivíduos quando o controlador não o tiver feito
Proibições de tratamento e suspensões de transferência podem ser existenciais para empresas cujo negócio dependa das atividades afetadas. O TikTok obteve uma suspensão judicial da ordem de suspensão de transferência da DPC irlandesa justamente porque interromper as transferências para a China era considerado mais prejudicial operacionalmente do que a multa de 530 milhões de euros. A ordem não envolvia dinheiro; foi a consequência operacional que motivou o litígio.
Compensação Civil Nos Termos do Artigo 82
O Artigo 82 confere a qualquer pessoa que tenha sofrido dano material ou não material em razão de uma infração do GDPR o direito de buscar compensação do controlador ou operador responsável. Tanto o controlador quanto qualquer operador envolvido são solidariamente responsáveis; um operador só pode se eximir da responsabilidade se comprovar que não teve culpa.
A CJUE esclareceu o alcance do Artigo 82 em seu acórdão de maio de 2023 no Processo C-300/21 (Österreichische Post). Três princípios emergiram.
As três condições devem ser cumulativamente atendidas: uma infração do GDPR, dano efetivamente sofrido e um nexo causal entre a infração e o dano. Uma infração sem dano comprovado não confere ao reclamante direito à compensação.
Não há limite mínimo de gravidade para dano não material: o Artigo 82 não exige que o sofrimento emocional ou a ansiedade atinjam uma gravidade específica para dar direito à compensação. Os Estados-Membros não podem impor seu próprio limite de gravidade.
Os valores de compensação são determinados pelo direito nacional, sujeitos aos princípios de equivalência e efetividade da UE. As indenizações variam significativamente entre os Estados-Membros.
Na prática, os pedidos com base no Artigo 82 são apresentados em conjunto com a fiscalização regulatória, por meio de ações representativas, ou em litígios civis autônomos. As multas regulatórias e os pedidos de compensação civil podem tramitar simultaneamente, criando uma responsabilidade em duas frentes para a mesma violação do GDPR.
Tendências de Fiscalização: 2024 a 2026
Estatísticas de 2025 e o Relatório Anual do EDPB
O EDPB publicou seu Relatório Anual de 2025 em abril de 2026. As autoridades nacionais de proteção de dados aplicaram, em conjunto, 1,15 bilhão de euros em multas durante 2025, quase inteiramente impulsionados pela decisão da DPC irlandesa contra o TikTok. O total acumulado desde maio de 2018 já ultrapassou 7,1 bilhões de euros em mais de 2.800 penalidades.
A ação de 2025 do Marco de Fiscalização Coordenada (CEF) do EDPB concentrou-se no direito ao apagamento nos termos do Artigo 17. Trinta e duas DPAs participaram, examinando 764 controladores em toda a Europa, desde PMEs até grandes corporações e órgãos públicos.
A ação CEF 2026 tem como alvo as obrigações de transparência e informação nos termos dos Artigos 13 e 14, examinando se as organizações fornecem aos titulares de dados avisos de privacidade claros, completos e acessíveis. Organizações com políticas de privacidade genéricas ou incompletas enfrentam maior escrutínio em 2026.
Onde a Fiscalização Está Concentrada
Vários padrões caracterizam a fiscalização entre 2024 e 2026.
As transferências internacionais de dados continuam sendo a área de maior risco. As três maiores multas em valor envolvem todas transferências de dados pessoais da UE para países sem decisão de adequação. O Data Privacy Framework entre a UE e os EUA, adotado em julho de 2023, oferece um mecanismo legal para empresas certificadas, mas sua validade continua contestada nos tribunais da UE. Para transferências à China e a outros países, não existe decisão de adequação e o escrutínio é intenso.
Publicidade comportamental e bases legais inválidas. A constatação de que "interesses legítimos" e "necessidade contratual" não conseguem sustentar a definição de perfis comportamentais e a publicidade direcionada já gerou multas significativas contra Meta, Amazon, LinkedIn e outros. Empresas cujo modelo de receita depende da publicidade comportamental enfrentam exposição contínua, a menos que obtenham consentimento específico e válido.
IA e tratamento de dados. O parecer do EDPB de abril de 2025 esclareceu que os grandes modelos de linguagem raramente alcançam uma anonimização compatível com o GDPR. Os controladores que utilizam ferramentas de IA de terceiros que tratam dados pessoais devem avaliar sua base legal e documentar uma avaliação de interesses legítimos, quando aplicável.
Falhas de governança, não apenas resultados de incidentes. A fiscalização passou a penalizar deficiências estruturais (ausência de criptografia, gestão fraca de fornecedores, controles de acesso inadequados), independentemente de uma violação ter efetivamente ocorrido.
GDPR Omnibus IV: Reformas Propostas
Em novembro de 2025, a Comissão Europeia publicou o pacote Omnibus IV, que propõe emendas pontuais destinadas a reduzir a carga administrativa. As principais propostas incluem a extensão das isenções de manutenção de registros nos termos do Artigo 30 a organizações com menos de 750 funcionários (atualmente 250), e a extensão de disposições específicas para PMEs a "pequenas empresas de média capitalização".
O EDPB e a EDPS saudaram alguns aspectos, mas solicitaram esclarecimentos. Não se espera que o pacote seja formalmente adotado antes do final de 2026, na melhor das hipóteses. A estrutura de multas do Artigo 83 não é afetada pelas propostas atuais.
Como Reduzir Seu Risco de Multas do GDPR
As autoridades supervisoras ponderam a postura de conformidade, a cooperação e a correção ao calcular multas. As etapas a seguir tanto previnem violações quanto reduzem penalidades caso uma violação ocorra.
Documente Tudo
O princípio de responsabilização do GDPR (Artigo 5(2)) exige que as organizações demonstrem conformidade, e não apenas que cumpram as regras. Mantenha registros das atividades de tratamento, AIPDs concluídas, avaliações de base legal, registros de treinamento de funcionários, contratos com fornecedores com cláusulas do Artigo 28 e políticas de privacidade atualizadas. A documentação é prova de boa-fé e funciona diretamente como um fator atenuante.
Responda a Incidentes Imediatamente
Quando ocorre uma violação ou falha de conformidade, a velocidade importa. O prazo de 72 horas para notificação de violação é uma obrigação legal, mas a resposta rápida também é atenuante. A correção imediata, a notificação pronta à autoridade supervisora e a comunicação transparente pesam a favor da organização. Veja nosso guia sobre a regra das 72 horas de notificação de violação do GDPR para o processo completo de comunicação.
Coopere com as Investigações da Autoridade Supervisora
Organizações que respondem prontamente a pedidos de informação, concedem acesso para inspeções e implementam as mudanças recomendadas recebem, de forma consistente, multas menores do que aquelas que atrasam ou litigam a cada etapa. A cooperação plena está expressamente listada como fator atenuante no Artigo 83(2)(f).
Audite as Transferências Internacionais de Dados
Dado que as três maiores multas do GDPR envolvem todas transferências transfronteiriças, mapear todo fluxo de dados de saída e verificar mecanismos de transferência válidos é uma tarefa de conformidade de alta prioridade. As Cláusulas Contratuais-Padrão devem ser acompanhadas de uma Avaliação de Impacto de Transferência para transferências a países sem decisão de adequação.
Valide as Bases Legais para Publicidade e Análise de Dados
A onda de multas contra Meta, Amazon, LinkedIn e outros por bases legais inválidas em publicidade comportamental demonstra que o interesse legítimo não é um porto seguro para a definição de perfis e a publicidade direcionada. Organizações que se baseiam nessa fundamentação para análise de dados ou publicidade devem ter suas avaliações revisadas por advogados com experiência em fiscalização do GDPR.
Invista em Treinamento de Equipe e Privacidade desde a Concepção
Muitas violações decorrem de erros de funcionários ou de produtos desenvolvidos sem princípios de minimização de dados. Treinamento regular e documentado, bem como a revisão de novos produtos e recursos sob a ótica da privacidade desde a concepção, reduzem tanto a probabilidade de violações quanto a constatação de negligência que agravaria uma multa nos termos da decisão Deutsche Wohnen.
Use a Lista de Verificação de Conformidade com o GDPR
Nossa lista de verificação de conformidade com o GDPR abrange todas as obrigações principais em um formato estruturado. Organizações com programas de conformidade documentados estão mais bem posicionadas para demonstrar a responsabilização que as autoridades supervisoras exigem.
Mais Guias sobre o GDPR
- O Que É o GDPR para uma visão geral abrangente do regulamento e de seu escopo
- Lista de Verificação de Conformidade com o GDPR para um guia de conformidade passo a passo para organizações
- Direitos dos Titulares de Dados no GDPR para os oito direitos individuais e como responder a eles
- Requisitos de Consentimento do GDPR sobre o que constitui consentimento válido nos termos do Artigo 7
- Regra das 72 Horas de Notificação de Violação do GDPR para obrigações e prazos de notificação de violações
- GDPR para Pequenas Empresas para orientação de conformidade específica para PMEs
- Leis de Privacidade de Dados da UE para a visão geral completa da estrutura de proteção de dados da UE
Frequently Asked Questions
Qual é a multa máxima do GDPR?
A multa máxima do GDPR é de 20 milhões de euros ou 4% do faturamento anual mundial total da organização no exercício financeiro anterior, o que for maior. Essa penalidade de nível superior se aplica a violações dos princípios centrais de tratamento, dos direitos dos titulares de dados, das regras de consentimento e das exigências de transferência internacional, nos termos do Artigo 83(5). Para violações de nível inferior, como falhas na manutenção de registros e na nomeação de DPO, o máximo é de 10 milhões de euros ou 2% do faturamento global.
Qual foi a maior multa do GDPR já aplicada?
A maior multa confirmada do GDPR é de 1,2 bilhão de euros, imposta à Meta Platforms Ireland Limited pela Comissão de Proteção de Dados da Irlanda em maio de 2023, por transferir dados de usuários do Facebook da UE para os Estados Unidos sem salvaguardas adequadas. A multa resultou de uma decisão vinculante do EDPB. A Meta recorreu ao Tribunal Geral da UE; o recurso permanece pendente em 2026. A multa de 746 milhões de euros da Amazon, anteriormente a segunda maior, foi anulada por um tribunal de Luxemburgo em março de 2026 e devolvida ao regulador para reavaliação. A Amazon ainda pode enfrentar uma nova multa.
Uma empresa pode ser multada pelo GDPR sem qualquer intenção de infringir as regras?
Não. A CJUE confirmou em seu acórdão de dezembro de 2023 no caso Deutsche Wohnen (Processo C-807/21) que as multas do GDPR exigem que a infração tenha sido cometida intencionalmente ou por negligência. A responsabilidade objetiva é incompatível com o Artigo 83. No entanto, a negligência é um patamar baixo: deixar de tomar medidas razoáveis de conformidade geralmente já a caracteriza. Uma organização que faz um esforço genuíno e documentado para cumprir as regras, mas ainda assim comete um erro, tem um argumento viável para uma multa reduzida.
Como são calculadas as multas do GDPR?
As autoridades supervisoras seguem as Diretrizes 04/2022 do EDPB, que estabelecem um processo em cinco etapas: identificar as infrações e avaliar o Artigo 83(3) em caso de múltiplas violações; determinar um valor inicial com base na natureza, gravidade e duração, e no faturamento da organização; avaliar fatores agravantes e atenuantes, incluindo dolo, cooperação, violações anteriores, categorias de dados e medidas corretivas; aplicar o máximo legal para o nível relevante; e avaliar se o valor final é eficaz, proporcional e dissuasivo.
As multas do GDPR podem se aplicar a empresas fora da UE?
Sim. O GDPR se aplica a qualquer organização no mundo que trate dados pessoais de pessoas na UE, e as multas se aplicam igualmente a empresas de fora da UE. O TikTok (de propriedade chinesa, 530 milhões de euros via DPC irlandesa), a Amazon (sediada nos EUA, 746 milhões de euros via CNPD de Luxemburgo, agora anulada em recurso) e a Uber (sediada nos EUA, 290 milhões de euros via AP holandesa) receberam todas multas significativas, apesar de terem sede fora da UE.
O que aconteceu com a multa de 746 milhões de euros da Amazon no GDPR?
A multa de 746 milhões de euros da Amazon, imposta pela CNPD de Luxemburgo em 2021 por uso de uma base legal inválida para publicidade comportamental, foi anulada pelo Tribunal Administrativo de Luxemburgo em 12 de março de 2026. O tribunal concluiu que a CNPD não havia analisado se a Amazon agiu de forma intencional ou negligente (o requisito de culpa estabelecido pela CJUE na decisão Deutsche Wohnen) e não havia considerado se uma medida menos severa seria adequada. A constatação substantiva de que a base legal da Amazon era inválida foi mantida. O caso foi devolvido à CNPD para refazer sua análise; a Amazon ainda pode enfrentar uma nova multa.
Os indivíduos podem processar por violações do GDPR?
Sim. O Artigo 82 confere aos indivíduos o direito de buscar compensação de controladores ou operadores por danos materiais e não materiais causados por uma infração do GDPR. A CJUE confirmou no caso Österreichische Post (C-300/21, maio de 2023) que não há limite mínimo de gravidade: qualquer sofrimento comprovado pode dar direito à compensação. No entanto, os reclamantes devem provar uma infração real, um dano real e um nexo causal. A fiscalização regulatória e as ações civis podem tramitar simultaneamente.
Qual país da UE aplica mais multas do GDPR?
A Agencia Española de Protección de Datos (AEPD), da Espanha, aplica o maior volume de multas individuais, mais de 1.000 desde 2018, em sua maioria penalidades menores voltadas a empresas nacionais. A Comissão de Proteção de Dados da Irlanda lidera em valor total de multas, com mais de 4 bilhões de euros acumulados, porque grandes empresas de tecnologia, incluindo Meta, TikTok, LinkedIn, Google e Apple, têm sua sede europeia em Dublin, tornando a DPC irlandesa sua autoridade supervisora líder nos termos do mecanismo de balcão único.
Quais são as violações do GDPR mais comuns que resultam em multas?
As violações mais comuns que geram multas são: tratamento de dados sem base legal válida nos termos do Artigo 6; medidas técnicas de segurança inadequadas que levam a violações de dados; transferências internacionais ilícitas de dados sem salvaguardas adequadas; falha em responder a pedidos de exercício de direitos dos titulares de dados dentro dos prazos legais; e transparência insuficiente nos avisos de privacidade. As maiores multas se concentraram em transferências internacionais e em bases legais inválidas para publicidade comportamental.
Sources and References
- Texto Integral do GDPR — Artigos 83 e 82(eur-lex.europa.eu).gov
- Diretrizes 04/2022 do EDPB sobre o Cálculo de Multas Administrativas (versão final, junho de 2023)(edpb.europa.eu).gov
- EDPB — Multa de 1,2 Bilhão de Euros ao Facebook (Decisão Vinculante, maio de 2023)(edpb.europa.eu).gov
- EDPB — Autoridade Supervisora Irlandesa Multa o TikTok em 530 Milhões de Euros (maio de 2025)(edpb.europa.eu).gov
- DPC Irlandesa — Decisão sobre o TikTok, 530 Milhões de Euros (maio de 2025)(dataprotection.ie).gov
- AP Holandesa — Multa de 290 Milhões de Euros ao Uber (agosto de 2024)(autoriteitpersoonsgegevens.nl).gov
- DPC Irlandesa — Multa de 310 Milhões de Euros ao LinkedIn (outubro de 2024)(dataprotection.ie).gov
- CJUE — Acórdão C-807/21 Deutsche Wohnen (dezembro de 2023)(curia.europa.eu).gov
- CJUE — Acórdão C-300/21 Österreichische Post (maio de 2023)(curia.europa.eu).gov
- EDPB CEF 2026 — Fiscalização Coordenada sobre Transparência(edpb.europa.eu).gov
- Comissão Europeia — Explicativo sobre Fiscalização e Sanções(commission.europa.eu).gov
- Parecer do EDPB e da EDPS sobre as Propostas de Simplificação do GDPR Omnibus IV (2025)(edpb.europa.eu).gov
- GDPR Enforcement Tracker — Base de Dados de Multas em Tempo Real(enforcementtracker.com)
- Pesquisa da DLA Piper sobre Multas e Violações de Dados do GDPR, janeiro de 2026(dlapiper.com)