Desde sua entrada em vigor, a Lei Geral de Proteção de Dados Pessoais (LGPD) representa um marco para a política pública de proteção de dados no Brasil. Um dos pilares desse arranjo é o sistema, comandado pela Agência Nacional de Proteção de Dados (ANPD), de fiscalização e sanção. Falta, porém, um ponto de ancoragem: o que exatamente configura uma “infração” à LGPD para fins de penalidade?
A lacuna aparece tanto no artigo 52 da LGPD, que autoriza sanções por “infrações às normas previstas [na LGPD]”, quanto no Regulamento de Dosimetria (Resolução CD/ANPD nº 04/2023), que define infração como o descumprimento de obrigações legais ou regulatórias. Em nenhum dos dois, contudo, há delimitação do “fato gerador” da penalidade. Na prática, a ANPD precisa interpretar, caso a caso, o que será considerado infração, o que amplia a margem de discricionariedade e afeta diretamente a dosimetria.
Esse dilema se concretizou no processo fiscalizatório instaurado contra o TikTok, em 2021. Em 2025, o Instituto Alana, atuando como terceiro interessado no procedimento fiscalizatório, sustentou a ocorrência de oito infrações, relacionadas ao descumprimento de dispositivos específicos da LGPD que dispõem sobre princípios – como o melhor interesse da criança e do adolescente, segurança e responsabilização e prestação de contas – e outros deveres operacionais aos agentes de tratamento (incluindo ausência de base legal válida no feed sem cadastro e inexistência de medidas de segurança adequadas para prevenir o acesso indevido de crianças e adolescentes a conteúdos inapropriados para a sua idade). Cada conduta violadora identificada foi apresentada como uma infração distinta – e, portanto, passível de sanções específicas.
A ANPD, por sua vez, ao conduzir o processo fiscalizatório preventivo do caso, identificou os mesmos fatos como “condutas do controlador que constituem indícios de violações à Lei Geral de Proteção de Dados (LGPD)”, de modo a justificar a sugestão de instauração de processo administrativo sancionador para apuração de infração à LGPD. Contudo, a diferença terminológica entre “condutas [potencialmente] violadoras” e “infrações” é relevante.
Esse problema, entretanto, não se limita à LGPD. O Estatuto Digital da Criança e do Adolescente (Lei 15.211/2025), que entrou em vigor recentemente, repete a técnica sancionatória aberta: estabelece um conjunto robusto de obrigações – verificação de idade, privacidade por padrão, proibição de anúncios direcionados, canais de denúncia, relatórios de transparência – e, ao tratar de sanções, fala em penalidades pelo “descumprimento das obrigações previstas na Lei”, sem rol taxativo de infrações.
O Decreto 12.880/2026, que regulamenta a lei, pouco avança além disso. Sua disciplina recai apenas sobre a hipótese específica de descumprimento do art. 27 da lei, relativo ao dever de remover e comunicar às autoridades conteúdos de aparente exploração, abuso sexual, sequestro e aliciamento. Trata-se de uma delimitação útil para balizar esse caso concreto, mas insuficiente para oferecer, ao restante do Estatuto, um critério geral sobre o que deve ser compreendido como infração.
Com a definição da ANPD também como entidade responsável pela aplicação desta lei, além da LGPD, o que se observa é uma tendência de regimes sancionatórios abertos que transferem à autoridade administrativa a tarefa de definir, na prática, o que é infração e qual sua extensão. O debate, então, se bifurca em dois pontos: (i) se princípios poderiam, por si só, servir de base direta e autossuficiente para sanções; e (ii) se cada dispositivo das respectivas legislações deveria funcionar como fato gerador de infração distinta.
No que se refere aos princípios, a sistemática da LGPD já indica uma limitação importante, tendo em vista que são concebidos pela lei como vetores interpretativos (ou mandatos de otimização, se preferimos nos referir à teoria de Alexy), e não como comandos normativos capazes, por si sós, de gerar infrações administrativas. As experiências recentes da ANPD reforçam essa leitura: em casos como Telekall Infoservices, de 2023, as sanções aplicadas derivaram da violação de deveres objetivos (ausência de base legal, falta de encarregado e não fornecimento de informações).
Padrão semelhante observou-se no caso da Secretaria de Educação do Distrito Federal (SEEDF), de 2024, em que foram aplicadas sanções por não comunicação de incidente, ausência de comprovação de registro das operações de tratamento, inexistência de RIPD e não fornecimento de informações, e não a mera violação de princípios, ainda que princípios potencialmente também tenham sido descumpridos nestes cenários.
No ECA Digital, a lógica provavelmente será a mesma: princípios de proteção infantojuvenil iluminam o sistema, mas o fundamento sancionatório tende a repousar em obrigações operacionais mensuráveis.
Quanto à possibilidade de atribuir a cada dispositivo legal a condição de fato gerador de infração, tal interpretação pode conduzir a uma fragmentação excessiva. Na LGPD, um único incidente de segurança, por exemplo, pode resultar simultaneamente no descumprimento do dever de adotar medidas técnicas (art. 46) e no de comunicar o incidente à ANPD e aos titulares (art. 48).
Situação análoga poderia ocorrer no ECA Digital: a ausência de privacidade por padrão, o não funcionamento de um canal de denúncia ou a falta de relatório de transparência devem ser vistos como infrações isoladas ou como facetas de um mesmo descumprimento do dever de proteção digital infantojuvenil? Em ambos os casos, o texto legal não impõe essa multiplicação. Nem a LGPD nem o Regulamento de Dosimetria, tampouco a Lei 15.211/2025, trazem previsão expressa que obrigue a leitura de cada obrigação violada como infração independente.
Diante desse quadro, um caminho possível seria adotar uma lógica mais integrada de configuração das infrações. Na LGPD, considerar o tratamento irregular de dados pessoais como núcleo único da infração; no ECA Digital, compreender o descumprimento das obrigações de proteção digital de crianças e adolescentes como a infração central. Em ambos os regimes, falhas específicas funcionariam como elementos aptos a modular a gravidade da sanção, mas não a gerar autos autônomos de infração.
Essa lógica aproxima-se do que, em outros ramos do direito, se reconhece como aplicação do princípio da consunção, no qual a infração-meio é absorvida pela infração-fim. Assim como no direito penal a violência utilizada para cometer um crime pode funcionar como agravante da pena – e não como crime autônomo –, e no direito concorrencial a troca de informações sensíveis é tratada como conduta acessória dentro da punição do cartel, também no campo digital as violações instrumentais poderiam ser compreendidas como agravantes ou atenuantes da infração principal.
Adotar esse enfoque teria o mérito de reforçar a proporcionalidade do regime sancionatório, evitando punições sobrepostas a partir do mesmo núcleo fático. Além disso, contribuiria para maior previsibilidade e estabilidade regulatória, já que os agentes passariam a ter como referência a operação como um todo, e não a mera contagem de dispositivos infringidos.
A discussão tende a ganhar contornos mais concretos em breve: a ANPD incluiu, na atualização de sua Agenda Regulatória 2025-2026, a revisão do Regulamento do Processo de Fiscalização e do Regulamento de Dosimetria para incorporar as competências e os parâmetros sancionatórios do ECA Digital. O modo como essa revisão será conduzida ajudará a definir, na prática, a própria efetividade da política pública. Afinal, se o objetivo é estimular conformidade – e não apenas exercer poder sancionador –, a clareza sobre o que se pretende sancionar e de que forma as condutas serão tratadas é fundamental.
