Blog

Penalidades do GDPR Explicadas (multas mais comuns, grandes casos e como os reguladores decidem)

Entenda as penalidades do GDPR com base nas diferentes categorias de violação. Veja o que deu errado para evitar multas custosas para a sua organização.

Dec 26, 2025 • 18 min read

Juan Combariza Growth Marketer

Infográfico: Os 3 principais motivos para multas do GDPR — Infográfico: Os três principais motivos para multas do GDPR

Desde 2020, os reguladores aplicaram mais de €6,65 bilhões em multas. €1,2 bilhão foi aplicado somente contra a Meta e €746 milhões contra a Amazon. E essas empresas entendem de conformidade. Elas têm equipes de segurança dedicadas e orçamentos robustos para compliance.

Mesmo assim, as violações não param.

Um dos muitos motivos por trás disso é a falta de visibilidade das organizações sobre o que acontece no lado do cliente. Com frequência, scripts de terceiros rodam sem controle nos navegadores dos usuários, ignorando escolhas de consentimento ou enviando dados para o exterior sem o conhecimento dos usuários. Isso expõe as empresas a violações do GDPR.

Resumo rápido

Quais são as penalidades por violar o GDPR? As penalidades do GDPR podem chegar a €20 milhões ou 4% do faturamento anual global, o que for maior. Já foram aplicadas multas tão baixas quanto €50, enquanto a maior penalidade até hoje foi de €1,2 bilhão (Meta). Além das penalidades financeiras, os reguladores também podem aplicar ordens corretivas, auditorias e proibições de processamento.
Quais são alguns casos famosos de falhas no GDPR em anos recentes? Houve diversas violações de alto perfil do GDPR com multas que chegam a centenas de milhões de euros. Meta, Amazon e TikTok foram todas multadas por processamento ilegal de dados, falhas na obtenção de consentimento e transferências internacionais de dados, respectivamente.
Pequenas empresas podem ser multadas pelo GDPR? Sim. A fiscalização não se limita a grandes corporações. Os reguladores multam organizações de pequeno e médio porte por questões cotidianas como consentimento para marketing, formulários enganosos e transferências ilegais de dados de analytics.
Por que a segurança do lado do cliente é importante para a conformidade com o GDPR? Scripts de terceiros que processam dados no navegador frequentemente ficam sem controle. Esses scripts são considerados processadores sob o GDPR, e a falta de visibilidade sobre eles gera falhas nos Artigos 25, 28, 32 e outros.

As penalidades do GDPR dependem da gravidade do incidente. A multa máxima chega a €20 milhões ou 4% do faturamento anual global, o que for maior. Empresas que conseguem demonstrar monitoramento contínuo e medidas preventivas tendem a receber multas menores.

A fiscalização do GDPR segue alguns padrões. Os reguladores costumam penalizar as mesmas categorias de violações, sejam falhas de consentimento ou lacunas de segurança.

Veja alguns dos motivos mais comuns.

Base legal inadequada ou consentimento inválido: O Artigo 6 exige que toda atividade de processamento tenha uma base legal. Caixas de seleção pré-marcadas e formulários de consentimento agrupados, que são aceitos em outras geografias, podem violar os requisitos de consentimento do GDPR. O mesmo vale para cookies que forçam os usuários a aceitar o rastreamento.
Falta de transparência: Nos termos dos Artigos 12 e 13, as organizações devem explicar a coleta e o processamento de dados em linguagem simples. As multas têm como alvo políticas de privacidade que omitem detalhes sobre o compartilhamento com terceiros ou que não refletem com precisão a atividade de processamento no seu site.
Medidas de segurança inadequadas: O Artigo 32 determina que as organizações implementem salvaguardas técnicas e organizacionais adequadas para reduzir o risco de exposição de dados. Os reguladores aplicam multas após violações que revelam práticas de segurança frágeis. Falhas comuns incluem dados não criptografados e injeções de código em sites que coletam dados indevidamente.
Processamento ilegal de dados ou falhas na limitação de finalidade: O Artigo 5 restringe o uso de dados apenas para as finalidades inicialmente informadas. Usar dados para marketing sem permissão ou coletar informações excessivas além da finalidade declarada pode atrair pressão regulatória ou ações judiciais.
Violações de dados por terceiros: Os controladores são responsáveis pela forma como processadores ou fornecedores terceiros tratam seus dados. Multas resultam do compartilhamento de dados pessoais com fornecedores sem os devidos acordos de processamento de dados (DPAs). Permitir que scripts de analytics e outros scripts transfiram dados sem proteção tem o mesmo efeito.
Falha em respeitar os direitos dos titulares de dados: O Artigo 15 garante aos consumidores o direito de acessar, retificar, apagar e portar seus dados dentro de um prazo determinado. Se a resposta de um controlador a essas solicitações for demorada, os órgãos supervisores aplicam penalidades rapidamente.

Multas por minimização de dados

A minimização de dados (GDPR Art. 5(1)(c)) significa que os dados pessoais devem ser relevantes e limitados ao que é necessário para a finalidade. O site imobiliário PAP (pap.fr) foi multado em €100.000 após a CNIL identificar falhas relacionadas aos prazos de retenção (manutenção de dados por mais tempo do que o necessário).

Transferência internacional de dados

As transferências internacionais (Capítulo 5 do GDPR) tornam-se arriscadas quando dados pessoais saem do Espaço Econômico Europeu (EEE) para um país sem decisão de adequação e o exportador não consegue garantir proteção equivalente.

Por exemplo, a autoridade holandesa de proteção de dados multou a Uber em €290 milhões por transferir dados de motoristas europeus para servidores nos EUA sem as salvaguardas adequadas.

Tecnologias de rastreamento

Esta categoria de fiscalização analisa cookies, pixels, SDKs e identificadores de anúncios que criam perfis de usuários ou os rastreiam em diferentes sites sem consentimento válido.

Os reguladores tratam o rastreamento ilegal como de alto impacto porque pode ser contínuo, em larga escala e difícil de evitar para os usuários. Por exemplo, a CNIL multou a Shein em €150 milhões por práticas de cookies que não atendiam aos requisitos de consentimento.

Tabela: Total de Multas do GDPR por Tipo de Violação. Julho de 2018 a dezembro de 2025

Categoria de violação	Total de multas (€)	Exemplo notável
Base legal insuficiente para o processamento de dados	€3.010.751.097	Meta €1,2 bi por transferências ilegais de dados UE-EUA
Não conformidade com os princípios gerais de processamento de dados	€2.527.583.332	Amazon €746 mi (CNPD de Luxemburgo)
Medidas técnicas e organizacionais insuficientes para garantir a segurança da informação	€883.754.537	Meta €265 mi (investigação sobre raspagem de dados do Facebook)
Cumprimento insuficiente das obrigações de informação	€252.723.860	WhatsApp €225 mi por obrigações de transparência e informação
Cumprimento insuficiente dos direitos dos titulares de dados	€103.066.766	Multa de €100.000 aplicada a uma empresa de telecomunicações pela autoridade belga de proteção de dados por tratamento inadequado de uma solicitação de acesso de titular de dados

Fonte dos dados: CMS GDPR Enforcement Tracker, em dezembro de 2025. O total acumulado de multas é de aproximadamente €6,6 bilhões.

Compilamos uma análise das violações notáveis recentes do GDPR por causa. Esses casos mostram que tipos de falhas tendem a gerar as penalidades mais significativas.

1. Exemplo de Multa do GDPR: Falta de base legal ou consentimento inválido

O LinkedIn Ireland foi multado em €310 milhões por utilizar uma base legal incorreta para publicidade e analytics. A empresa usou dados de usuários para publicidade direcionada e alegou que esse processamento era necessário para a execução do contrato com os usuários.

Os reguladores rejeitaram essas alegações porque a publicidade direcionada não era necessária para a prestação do serviço do LinkedIn. O LinkedIn também deixou de informar os usuários sobre qual base legal se aplicava a cada tipo de processamento. Assim, o processamento de dados não tinha base legal válida nos termos do Artigo 6.

Em outra fiscalização, a INFINITE STYLES SERVICES CO. LIMITED, que opera a marca de moda Shein, recebeu uma multa de €150 milhões por induzir os usuários a aceitar rastreamento e criação de perfis por meio de design de interface manipulador.

Se os usuários não conseguem entender claramente por que seus dados são processados, ou se o consentimento não é uma escolha real, a organização corre o risco de violar os requisitos do GDPR.

2. Exemplo de Multa do GDPR: Falta de transparência

O WhatsApp foi multado pela Comissão de Proteção de Dados da Irlanda por não esclarecer como os dados pessoais dos usuários eram processados entre o WhatsApp e outros serviços pertencentes ao Facebook. O WhatsApp também deixou de informar não usuários cujos números de telefone eram processados quando contatos eram carregados. Além disso, os detalhes de privacidade não eram explicados de forma clara. Essa falta de transparência violou os Artigos 12, 13 e 14 do GDPR, resultando em uma multa de €225 milhões.

Outra empresa, a Clearview AI, coletou imagens faciais da web pública e as utilizou para identificação biométrica. No entanto, a empresa não obteve consentimento explícito das pessoas envolvidas. Como as pessoas não receberam nenhum aviso ou explicação sobre a finalidade, não tinham como exercer seus direitos na prática. Diversas autoridades da UE multaram a empresa após concluir que sua coleta oculta de dados violava o GDPR em sua essência.

A transparência vai além de uma política de privacidade. O GDPR exige clareza e visibilidade. Se os usuários não conseguem entender facilmente quais dados você coleta e por quê, os reguladores tratam essa falta de transparência como uma violação em si.

3. Exemplo de Multa do GDPR: Ausência de medidas de segurança (Artigo 32)

O Artigo 32 do GDPR exige que as organizações protejam os dados pessoais dos usuários com medidas de segurança técnicas e organizacionais adequadas.

A Autoridade Helênica de Proteção de Dados multou o OTE Group em €3.250.000 após uma violação que expôs dados de chamadas de usuários transferidos para fora de seus sistemas para um servidor externo. Os investigadores acusaram a OTE de não implementar salvaguardas adequadas para sua infraestrutura, resultando na exfiltração de dados pessoais ao longo de vários dias.

Da mesma forma, a Comissão de Proteção de Dados da Irlanda penalizou o Bank of Ireland com €463.000. Isso foi resultado de violações de dados repetidas envolvendo a corrupção ou divulgação de dados pessoais de clientes durante transferências para o Registo Central de Crédito (CCR). Assim como no caso da OTE, os reguladores concluíram que o banco não implementou medidas técnicas e organizacionais adequadas, violando o Artigo 32.

O Artigo 32 é obrigatório, e se os sistemas expõem dados por meio de controles de acesso fracos ou supervisão inadequada de processos, a organização corre o risco de exposição ao GDPR.

4. Exemplo de Multa do GDPR: Violações de dados por terceiros ou fornecedores

A autoridade alemã de proteção de dados (BfDI) aplicou uma multa de €45 milhões à Vodafone. Desse valor, €15 milhões foram aplicados especificamente por não revisar e monitorar agências parceiras que atuavam em seu nome. A Vodafone não garantiu adequadamente que esses parceiros terceiros tratassem os dados dos clientes em conformidade com os requisitos do Artigo 28 do GDPR, colocando os dados dos clientes em risco.

Em outro caso, uma instituição financeira alemã foi multada em €11 milhões após um fornecedor de SaaS configurar incorretamente seus sistemas. Isso expôs mais de 200.000 registros de clientes online. Primeiro, o banco não exerceu supervisão suficiente sobre as práticas de segurança do fornecedor. Em segundo lugar, o contrato com o fornecedor estava desatualizado. A violação desencadeou a fiscalização do GDPR porque os controladores permanecem responsáveis pela proteção de dados pessoais, mesmo quando terceiros os processam.

Assinar um contrato com um fornecedor não transfere a responsabilidade pelo compliance para ele. Os requisitos do GDPR colocam a responsabilidade pela conformidade na organização que os contrata.

5. Exemplo de Multa do GDPR: Falha em respeitar os direitos dos titulares de dados

Em agosto de 2025, uma multa de €100.000 foi aplicada a uma empresa de telecomunicações pela Autoridade de Proteção de Dados da Bélgica por tratar inadequadamente uma solicitação de acesso de titular de dados (DSAR). Quando um de seus clientes solicitou acesso aos registros que mostravam quem havia acessado seus dados pessoais, a empresa levou 14 meses para responder. A autoridade belga concluiu que o controlador violou os Artigos 12 e 15 do GDPR. Ele deixou de facilitar o exercício dos direitos de acesso, não se comunicou prontamente e tratou mal o processo de resposta.

Da mesma forma, a SATS ASA foi multada em aproximadamente €850.000 pela Autoridade de Proteção de Dados da Noruega após reclamações repetidas sobre falhas em responder a solicitações de acesso e exclusão. A SATS também deixou de comunicar políticas de retenção e bases legais, e ignorou solicitações válidas de exclusão quando as associações eram encerradas.

Os reguladores penalizam empresas que não implementam mecanismos adequados para tratar de forma rápida e completa solicitações de acesso, exclusão e retirada de consentimento. Independentemente da complexidade do seu processamento, se as pessoas não conseguem exercer seus direitos na prática, o GDPR trata isso como uma violação clara.

Sim. PMEs são multadas pelo GDPR. O tamanho não é uma proteção. O GDPR se aplica a qualquer empresa que processe dados pessoais de cidadãos da UE, seja uma startup em fase inicial ou uma marca local de e-commerce. No entanto, o porte da empresa influencia a forma como os reguladores avaliam a penalidade.

Veja o que as autoridades de fiscalização levam em conta:

Porte e faturamento da empresa: Empresas menores enfrentarão multas muito mais baixas do que as que aparecem nas manchetes, mas mesmo penalidades modestas podem deixar marcas quando as margens são apertadas.
Natureza e duração da violação: As penalidades dependem da gravidade da violação e do tempo que ela permanece sem solução. Uma exposição breve causada por um script com falha é muito diferente de um vazamento de dados que fica sem solução por meses.

Negligência vs. intenção: Organizações que conseguem documentar salvaguardas tendem a receber tratamento mais leniente. Se uma violação é causada por negligência de um funcionário, mesmo que sistemas de privacidade estivessem em vigor, o valor da multa pode ser reduzido.

A fiscalização do GDPR não se limita a grandes corporações como Amazon e Meta. Os reguladores multam organizações de pequeno e médio porte por questões cotidianas como consentimento para marketing, formulários enganosos, transferências ilegais de dados de analytics e até por não cooperar com uma investigação.

Tabela de Multas do GDPR Contra Pequenas e Médias Empresas

Tabela: Multas do GDPR Contra Pequenas Empresas

Empresa	País	Autoridade	Ano	Valor da multa	O que aconteceu
Knuddels.de (pequena rede social)	Alemanha	LfDI Baden-Württemberg	2018	€20.000	Uma falha de segurança levou à exposição de dados de usuários; a autoridade considerou isso uma falha na proteção do processamento.
Smart Cities (empresa de Varsóvia)	Polônia	UODO	2021	PLN 12.000 (cerca de €3.000)	A empresa não cooperou com a autoridade (não respondeu e não forneceu o acesso exigido).
Vis Consulting Sp. z o.o. (empresa de telemarketing)	Polônia	UODO	2020	PLN 20.000 (cerca de €4.674)	Multa por não cooperar durante uma inspeção.
HUBSIDE.STORE (varejista de eletrônicos)	França	CNIL	2024	€525.000	Usou dados de contato fornecidos por corretores para marketing por telefone ou SMS sem garantir que as pessoas tivessem consentido de forma válida.

Sim. Os operadores de sites são responsáveis pela forma como scripts de terceiros tratam dados pessoais.

No passado, as autoridades multaram empresas por violações originadas em código de fornecedores, integrações de parceiros e tecnologias de publicidade que elas não desenvolveram.

A CNIL francesa multou a Criteo em €40 milhões em 2023. A empresa rastreava dados de navegação por meio de cookies colocados em sites parceiros, mas nunca verificou se os parceiros obtinham consentimento válido. Mais da metade dos sites parceiros testados não coletava consentimento legal.
Autoridades de proteção de dados da Áustria, França, Itália e Suécia decidiram que sites que usam o Google Analytics violaram o GDPR. O Google Analytics transferia identificadores de usuários, parâmetros de navegador e endereços IP para servidores nos EUA sem salvaguardas suficientes.
A CNIL multou o Google em €100 milhões e a Amazon em €35 milhões em 2020 por colocar cookies de publicidade antes de obter consentimento. O banner do Google colocava cookies sem aguardar que o usuário fizesse uma escolha ou recusasse.
Botões de redes sociais e widgets de terceiros, como incorporações de vídeo, podem transferir dados para partes externas sem o conhecimento do usuário. A DPC da Irlanda alertou que cabe aos controladores entender exatamente quais dados essas ferramentas transmitem.

A responsabilidade pelo GDPR não termina no código próprio

Os controladores permanecem responsáveis pelo processamento de dados de código de terceiros em seu site. DPAs devem estar em vigor para que os controladores entendam exatamente o que cada processador está fazendo com os dados dos usuários. Ferramentas de monitoramento de scripts de sites ajudam os controladores a garantir que rastreadores de dados de terceiros estejam operando dentro do escopo acordado.

Processadores e subprocessadores ampliam a superfície de risco. O Artigo 28 exige que os controladores garantam que os processadores atendam aos padrões de proteção de dados. Isso inclui subprocessadores (scripts de 4ª parte) carregados no seu site por scripts de 3ª parte.

As autoridades supervisoras seguem os critérios do Artigo 83 do GDPR para decidir se aplicam uma multa e qual será o valor da penalidade.

As penalidades são proporcionais tanto à violação quanto às circunstâncias da organização. Os órgãos reguladores geralmente consideram:

Natureza, gravidade e duração da infração
Intenção versus negligência
Tipos de dados pessoais afetados
Ações tomadas para conter os danos
Medidas de segurança técnicas e organizacionais
Infrações anteriores
Cooperação com a autoridade supervisora

Veja alguns casos judiciais notáveis que moldaram a forma como as leis do GDPR são aplicadas.

Google Spain v. Costeja González (C-131/12) deu origem ao direito ao esquecimento. O Tribunal decidiu que os indivíduos podem pedir aos mecanismos de busca que removam resultados que exibam informações pessoais desatualizadas ou irrelevantes sobre eles.
Planet49 (C-673/17) esclareceu os padrões de consentimento. O Tribunal decidiu que caixas de cookies pré-marcadas não constituem consentimento válido. Em vez disso, o consentimento deve ser explícito e ativo, não presumido.
Fashion ID (C-40/17) estabeleceu que sites que incorporam plugins de terceiros (como botões de redes sociais) podem ser controladores conjuntos com esses terceiros pelos dados enviados a eles. Isso levou muitos sites a repensar a responsabilidade e a conformidade ao usar conteúdo incorporado.

A decisão do Supremo Tribunal da Áustria sobre o modelo de anúncios da Meta (2025) considerou a publicidade personalizada da Meta ilegal porque combinava categorias sensíveis de dados pessoais e não tinha consentimento específico e informado. O tribunal ordenou total transparência e separação de dados sensíveis para todos os usuários da UE.

O cside Privacy Watch oferece visibilidade sobre o que acontece dentro das sessões do navegador dos usuários.

Ele mostra às equipes de compliance como os scripts de terceiros se comportam nos bastidores. Veja como o cside ajuda as equipes de compliance:

Coloca os holofotes nos cookies de terceiros: O cside oferece visibilidade sobre cada script de terceiros em execução no navegador. Ele expõe quais dados cada script acessa e para onde os envia.
Impede a coleta não autorizada de dados: O cside aplica regras de consentimento e privacidade antes que os scripts sejam executados. Isso impede que dados pessoais sejam coletados ou compartilhados sem uma base válida.
Previne vazamentos de dados no site: O cside identifica comportamentos suspeitos de scripts em tempo real. Ele alerta as equipes sobre ações arriscadas ou não conformes com registros 24/7 que comprovam que as salvaguardas de segurança foram implementadas.
Monitora a coleta excessiva de dados: O cside rastreia cada alteração no código de scripts de terceiros, detectando atualizações que mudam a forma como seu site processa dados. As equipes de privacidade usam essas informações para revisar e aprovar scripts sem cair em desvios de conformidade.

Você pode agendar uma demonstração com o cside para ver como nossos painéis e a documentação assistida por IA economizam tempo para a sua equipe.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

O GDPR permite que os reguladores apliquem multas de até €20 milhões ou 4% do faturamento anual global da organização, o que for maior. A penalidade final depende de fatores como a gravidade da violação, o escopo dos dados afetados e como a organização tratou o incidente.

As maiores multas costumam ser aplicadas por processamento ilegal de dados, falha na obtenção de consentimento válido do usuário e medidas de segurança inadequadas que resultam em vazamentos de dados pessoais. Violações repetidas e falta de responsabilização aumentam ainda mais o risco de fiscalização.

Decisões judiciais recentes esclareceram como os reguladores interpretam as obrigações de consentimento, transparência e responsabilização previstas no GDPR. Essas decisões oferecem orientações mais claras sobre as expectativas de conformidade e destacam onde lacunas de compliance podem rapidamente se transformar em multas custosas.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Melhores Soluções de Prevenção Contra Tomada de Conta Comparadas (2026)

Suítes antifraude, ferramentas de fingerprinting e MFA comparadas pelo que cobrem na cadeia de ataque de ATO. Encontre a combinação certa para o seu perfil de risco.

Como Impedir Agentes de IA de Criar Contas Falsas (Guia)

Agentes de IA criam contas falsas usando navegadores reais, IPs residenciais e identidades geradas. Veja os sinais de detecção para impedi-los.

Como Bloquear Bots de Scraping de Conteúdo Baseados em Agentes de IA (Guia)

Bots de scraping usam navegadores reais, IPs residenciais e extração com LLM para capturar seus preços e conteúdo. Veja como pará-los.

Banner escuro da cside mostrando um ataque de cadeia de fornecimento npm do tipo worm

O efeito bola de neve: como o Mini Shai-Hulud transforma npm numa rede de distribuição de worm

O Mini Shai-Hulud transformou pacotes npm num ciclo de roubo de credenciais. Veja como a vaga AntV se espalhou.

Porque os CAPTCHAs já não são uma defesa fiável contra bots

Os CAPTCHAs já não são uma defesa principal fiável contra bots. Veja porque falham e como aumentar o custo para atacantes.

Banner ilustrado do blog sobre sancoes a Funnull, lavagem de infraestrutura e risco de cadeia de suprimentos no navegador

Funnull sancionada: o que Polyfill[.]io revelou sobre lavagem de infraestrutura

As sanções contra a Funnull mostram que Polyfill fazia parte de um risco maior de lavagem de infraestrutura.

Ilustração do stack de segurança com inferência no dispositivo

A inferência no dispositivo está a chegar ao seu stack de segurança: para melhor e pior

A IA local pode proteger dados sensíveis e reforçar endpoints, mas cria novos riscos de prompt injection, telemetria e navegador.

Capa escura do blog cside com pontos sobre ferramentas de deteção de agentes de IA

4 ferramentas para detetar agentes de IA no seu site (prevenção de fraude)

Comparação de cside, HUMAN Security, DataDome e Cloudflare para deteção de agentes de IA. Veja como cada ferramenta lida com prevenção de fraude, preços e implementação.

Capa escura do blog cside com pontos sobre bloquear bots de teste de cartão com IA

Bots de teste de cartão baseados em agentes de IA | Como bloqueá-los

Agentes de teste de cartão com IA usam browsers reais para validar credenciais roubadas em escala. Saiba como detetá-los e bloqueá-los antes do pagamento.

Capa escura do blog cside com pontos sobre usos e bloqueio de navegadores stealth

O Que São Navegadores Stealth (ou 'Anti-Detect') e Quando Bloqueá-los

Navegadores stealth contornam a deteção de bots. Navegadores anti-detect falsificam impressões digitais. Conheça os sinais que revelam ambos, mesmo quando parecem humanos.

Penalidades do GDPR Explicadas (multas mais comuns, grandes casos e como os reguladores decidem)

Quais São as Penalidades por Violações do GDPR

Motivos Mais Comuns para Violações do GDPR

Outros Motivos para Violações do GDPR