Perguntas Frequentes

1. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD)

1.1 Do que trata a Lei Geral de Proteção de Dados pessoais – LGPD?

A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei n. 13.709, de 2018) dispõe sobre o tratamento de dados pessoais das pessoas naturais, definindo as situações em que tais dados podem legalmente ser utilizados por terceiros, estabelecendo, para tanto, mecanismos para proteger os titulares dos dados contra usos inadequados.

A Lei é aplicável ao tratamento de dados realizado por pessoas naturais ou por pessoas jurídicas de direito público ou privado, e tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

1.2 Como a legislação de proteção de dados pessoais pode ajudar o Brasil?

A LGPD tem por objetivo proteger os direitos fundamentais relacionados às informações do cidadão. Assim, a Lei introduz uma série de novos direitos que asseguram maior transparência quanto ao tratamento dos dados e conferem protagonismo ao titular quanto ao seu uso.

A aprovação da LGPD e a criação da Autoridade Nacional de Proteção de Dados – ANPD representam também importantes passos para colocar o Brasil no mesmo patamar de muitos outros países que já aprovaram leis e estruturas institucionais dessa natureza.

Do ponto de vista das empresas que tratam dados pessoais, sejam empresas privadas ou o próprio poder público, a LGPD traz a oportunidade de aperfeiçoamento das políticas de governança de dados, com adoção de regras de boas práticas e incorporação de medidas técnicas e administrativas que reduzam os riscos e aumentem a confiança dos titulares dos dados na organização.

Com isso, a LGPD pretende aumentar o controle do cidadão quanto aos seus dados pessoais, a transparência e a segurança jurídica, além de elevar o nível de maturidade, ética e competitividade de nossas organizações.

1.3 Porque a LGPD surgiu no Brasil?

A LGPD passou a valer no Brasil em 2018, e foi criada por dois motivos, em especial:

Por força da GDPR, o regulamento europeu de proteção de dados, que traz em seu texto a obrigação de que os países que queiram continuar comercializando com a Europa, tenha uma lei específica relacionada com proteção de dados.
Por ser uma tendência mundial que os países passem a se preocupar e lançar um olhar de maior preocupação com a proteção de dados.

Hoje, empresas que se preocupam com os dados de seus clientes e colaboradores são vistas com mais valor no mercado. Trata-se de um verdadeiro diferencial competitivo estar adequado ou se adequando à LGPD.

1.4 Quando a LGPD entrou em vigor?

A Lei passou a valer de maneira escalonada:

Em 28 de dezembro de 2018, quanto aos artigos que tratam da constituição da Autoridade Nacional de Proteção de Dados – ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPD;
Em 18 de setembro de 2020, quanto aos demais artigos da Lei, com exceção dos dispositivos que tratam da aplicação de sanções administrativas;
Em 1º de agosto de 2021, quanto aos artigos que tratam das sanções administrativas.

1.5 Quando a LGPD se aplica?

A LGPD se aplica a toda e qualquer operação de tratamento realizada por pessoa natural (pessoa física) com fins lucrativos ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país no qual estejam localizados os dados, desde que a operação de tratamento de dados seja realizada no Brasil.

1.6 Quando a LGPD não se aplica?

De igual forma, a LGPD já traz algumas exceções de quando a lei não se aplica.

A LGPD não se aplica para fins exclusivamente:

Jornalísticos e artísticos;
De segurança pública;
De defesa nacional;
De segurança do Estado;
De atividades de investigação e repressão de infrações penais;
Particulares, quando não existirem quaisquer finalidades econômicas;
Dados de fora do Brasil e que não sejam objeto de transferência internacional.

2. DADOS PESSOAIS

2.1 O que são dados pessoais?

A LGPD adota um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável.

Assim, além de informações básicas de identificação, a exemplo de nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que estejam relacionados com uma pessoa natural, tais como seus hábitos de consumo, sua aparência e aspectos de sua personalidade.

Segundo a LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

2.2 O que são e quais são considerados dados pessoais sensíveis?

Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionados aos aspectos mais íntimos da personalidade de um indivíduo.

Assim, de acordo com a LGPD, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.

2.3 Quais dados são protegidos pela LGPD?

A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da Lei.

2.4 Quais são os princípios da LGPD?

Quando falamos em princípios, trazidos pela LGPD, devemos enumerar os 10 princípios existentes e explicar cada um deles de forma detalhada.

São eles:

Princípio da Finalidade

Esse princípio determina que, a partir da LGPD, não será mais possível tratar dados pessoais com finalidades genéricas ou indeterminadas. O tratamento de cada informação pessoal deve ser feito com fins específicos, legítimos, explícitos e informados.

Ou seja, as empresas devem explicar para que usarão cada um dos dados pessoais coletados

Princípio da Adequação

Os dados pessoais tratados devem ser compatíveis com a finalidade informada pela empresa. Ou seja, sua justificativa deve fazer sentido com o caráter da informação que você pede.

Por exemplo: se o seu negócio é um e-commerce de produtos eletrônicos, dificilmente será justificável pedir dados de saúde aos Usuários. Então, se não é compatível, o tratamento se torna inadequado.

Princípio da Necessidade

Referido princípio traz a obrigação de que as empresas em geral utilizem apenas os dados estritamente necessários para alcançar as suas finalidades.

Em outras palavras, é necessário fazer uma ponderação entre o que é realmente essencial para o seu negócio e o que é apenas conveniente. Dados desnecessários devem ser evitados, sob o risco de aumentar em demasia a responsabilidade pelo tratamento destes.

Princípio do Livre Acesso

Referido princípio garante que toda pessoa física, titular dos dados, tem o direito de consultar, de forma simples e gratuita, todos os dados que a empresa detenha a seu respeito, especificando, inclusive o que a empresa faz com os dados, como realiza o tratamento, entre outas informações.

Princípio da Qualidade dos dados:

Deve ser garantido aos titulares que as informações que a empresa tenha sobre eles sejam verdadeiras e atualizadas. É necessário ter atenção à exatidão, clareza e relevância dos dados, de acordo com a necessidade e com a finalidade de seu tratamento.

Princípio da Transparência:

Todas as informações passadas pela empresa, em todos os seus meios de comunicação, devem ser claras, precisas e verdadeiras.

Princípio da Segurança:

É responsabilidade das empresas buscar procedimentos, meios e tecnologias que garantam a proteção dos dados pessoais de acessos por terceiros, ainda que não sejam autorizados, como nos casos de invasões por hackers.

Princípio da Prevenção:

O princípio da prevenção objetiva que as empresas adotem medidas prévias para evitar a ocorrência de danos em virtude do tratamento de dados pessoais. Ou seja, as empresas devem agir antes dos problemas e não somente depois.

Princípio da Não Discriminação:

Os dados pessoais jamais podem ser usados para discriminar ou promover abusos contra os seus titulares.

Princípio da Responsabilização e Prestação de Contas:

Além de se preocuparem em cumprir integralmente a Lei, as empresas devem ter provas e evidências de todas as medidas adotadas, para demonstrarem a sua boa-fé e a sua diligência.

2.5 Quais os dados principais do cliente que a empresa deve preservar?

Todos os dados pessoais dos clientes (exemplo: Nome, RG, CPF) devem ser preservados, sem distinção ou diferenciação. Destacam-se os dados sensíveis (relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos), que possuem uma carga maior de privacidade e devem ser tratados com ainda mais atenção.

2.6 Dados públicos, disponíveis em alguma plataforma ou canal online, são considerados dados pessoais?

Sim, dados públicos disponíveis em sites públicos são considerados dados pessoais.

2.7 Esses dados públicos são protegidos pela LGPD?

Sim, os dados públicos também são protegidos pela LGPD. Isso porque, quando coletamos um dado público em alguma plataforma online, ainda assim essa coleta e utilização deve respeitar o princípio da finalidade, ou seja, deve ser analisado pela empresa que o coleta, qual a finalidade da divulgação daquele dado.

Exemplo: um e-mail tornado público via Linkedin não tem como finalidade receber mensagens de newsletters de uma operadora de telefone, mas sim contatos profissionais.

3. TRATAMENTO DE DADOS

3.1 O que é tratamento de dados pessoais, de acordo com a LGPD?

Tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

3.2 Em que hipóteses pode ser realizado o tratamento de dados pessoais?

De acordo com a LGPD, o tratamento de dados pessoais pode ser realizado quando se verificar a ocorrência de qualquer uma das hipóteses previstas na Lei, como aquelas constantes em seu artigo 7^o ou, no caso de dados pessoais sensíveis, as hipóteses previstas no artigo 11.

Vale notar, a LGPD é aplicável também aos dados cujo acesso é público e àqueles tornados manifestamente públicos pelos titulares, resguardando-se a observância dos princípios gerais e dos direitos dos titulares previstos na Lei.

3.3 Quais são as hipóteses de tratamento (antigas bases legais) para o tratamento de dados pessoais?

O tratamento de dados pessoais poderá ser realizado em qualquer uma das seguintes hipóteses indicadas na LGPD, como é o caso das previstas no art 7º:

Mediante o fornecimento de consentimento pelo titular;
Para o cumprimento de obrigação legal ou regulatória pelo controlador;
Para a execução de políticas públicas, pela administração pública;
Para a realização de estudos por órgão de pesquisa;
Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; e
Para a proteção do crédito.

As hipóteses de tratamento (antigas bases legais) para o tratamento de dados pessoais sensíveis estão previstas no art. 11 da LGPD. Já no caso de transferência internacional de dados pessoais, é necessário atender às hipóteses legais indicadas no art. 33.

3.4 Quais são as hipóteses de tratamento, anteriormente chamadas de bases legais, mais identificadas no tratamento de dados pessoais da Sollo?

As hipóteses de tratamento mais identificadas que autorizam o tratamento de dados nas atividades internas da Sollo são quatro: consentimento, execução de contrato, cumprimento de obrigação legal e o legítimo interesse.

A seguir a explicação detalhada dos seus conceitos e de como são utilizadas:

Consentimento: é a manifestação livre de vontade do titular de dados para uma finalidade específica e determinada. Assim, nessa hipótese de tratamento o titular de dados deve consentir com a coleta do seu dado, seja na forma de assinatura de um documento, de um termo de consentimento ou até mesmo por meio de um Checkbox cadastros em sites ou recebimento de newsletters (notícias novas).Vale lembrar que o consentimento pode ser revogado a qualquer momento pelo titular de dados, por meio de uma solicitação ao controlador para que encerre o tratamento dos seus dados. Na Sollo o canal oficial para essa e outras solicitações ao titular de dados é pelo e-mail: privacidade@sollobrasil.com.br.
Um exemplo da utilização do consentimento pela Sollo é por meio do uso da “Termo de Autorização de Uso de Imagem”, coletado dos colaboradores no momento da contratação, o qual permite à Sollo utilizar a imagem dos mesmos para fins de publicações no site, redes sociais referentes ao dia a dia da empresa, com notícias e acontecimentos, por exemplo para divulgação de aniversários mensais, premiação e prestígios de colaboradores.
Execução de Contrato: é a hipótese de tratamento que legitima toda atividade interna advinda da relação contratual que envolve a Sollo como parte, seja um contrato da relação de trabalho, seja um contrato com clientes e fornecedores.
Um exemplo dessa hipótese de tratamento é a execução do contrato de trabalho firmado entre o empregador (Sollo do Brasil) e seus empregados.
Cumprimento de Obrigação Legal: é a hipótese de tratamento que legitima toda atividade decorrente de uma obrigação imposta por lei.
Exemplos dessa hipótese de tratamento são as obrigações legais advindas da CLT, as quais impõe à Sollo o cumprimento das leis trabalhistas, como o registro do ponto de entrada e saída, a coleta dos documentos dos colaboradores e dependentes, a comprovação de atestado médico, o fornecimento de vale transporte, dentre outras obrigações legais.
Legítimo Interesse do Controlador: é a hipótese de tratamento que permite que as atividades sejam tratadas com base no interesse lícito do controlador, claro/específico, além de ter que ser um interesse atual e real, não podendo ser para fins especulativos. Assim, tanto o interesse quanto a finalidade devem ser legítimos e concretos para poder utilizar essa hipótese de tratamento (antiga base legal).
Um exemplo para a utilização do legítimo interesse é o cadastro de visitantes para controle de quem circula nas dependências da Sollo para fins de segurança, captação de leads via site, processo de pesquisa de satisfação com os contratantes, dentre outras.

3.5 Em quais casos um dado pessoal pode ser compartilhado sem ir contra a lei?

Conforme mencionado no item 3.1 desta FAQ, dentro do conceito de “tratamento de dados”, está o “compartilhamento de dados”.

Assim, para que o compartilhamento de um dado pessoal seja realizado, é necessário que este compartilhamento respeite uma das hipóteses de tratamento (conhecidas como bases legais) existentes na lei. Se isso não ocorrer, o compartilhamento não poderá ser realizado, sob pena de infringir a LGPD.

4. DIREITOS DOS TITULARES DE DADOS

4.1 Quais são os direitos dos cidadãos com a entrada em vigor da LGPD?

A LGPD prevê uma ampla gama de direitos dos titulares de dados, dentre os quais podem ser destacados os seguintes:

acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva;
confirmação da existência de tratamento;
acesso aos dados;
correção de dados incompletos, inexatos ou desatualizados;
anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
revogação do consentimento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado;
peticionamento em relação aos seus dados contra o controlador, perante a ANPD e perante os organismos de defesa do consumidor;
oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD;
solicitação de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; e
fornecimento, mediante solicitação, de informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

4.2 Como apresentar um requerimento à Sollo para questionar ou solicitar informações acerca de dados pessoais, exercendo assim os direitos de titular de dados?

Para que seja possível um titular de dados, seja ele cliente, colaborador, parceiro etc., exercer seus direitos, ele deve enviar um e-mail diretamente ao DPO da Sollo, através do endereço privacidade@sollobrasil.com.br, para esclarecimento de eventuais dúvidas.

5. SANÇÕES NA LGPD

5.1 Quais são as sanções existentes na LGPD que a empresa pode sofrer se não se enquadrar à LGPD?

Todas as empresas que não se enquadrarem à LGPD e cometer alguma infração, poderá sofrer sanções por parte da Agência Nacional de Proteção de Dados. São elas:

advertência, com indicação de prazo para adoção de medidas corretivas;
multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
multa diária, observado o limite total a que se refere o inciso II;
publicização da infração após devidamente apurada e confirmada a sua ocorrência;
bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
eliminação dos dados pessoais a que se refere a infração;
suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

5.2 Toda empresa é obrigada a seguir a LGPD ou depende do porte da empresa?

Toda empresa tem obrigação de se enquadrar à LGPD, independentemente do porte ou do seguimento que atual. A lei traz a obrigação de que toda empresa que trata dados deva se enquadrar.

5.3 O porte ou segmento da empresa tem alguma importância específica para a aplicação das sanções?

Caso ocorra um incidente de segurança de dados, relacionados à proteção de dados, o segmento da empresa que estiver envolvido no incidente não terá qualquer relevância com a sanção.

Já o porte da empresa sim, pode ter importância no valor da sanção já que, se a sanção aplicada for a “multa simples”, como ela terá relação com o faturamento da empresa, o porte influenciará no valor da sanção.

5.4 Quais os impactos para as empresas que não cumprem a lei?

Desde a entrada em vigor da Lei Geral de Proteção de Dados, passou a ser um diferencial competitivo a empresa já estar adequada e pode declarar que protege os dados de seus colaboradores e clientes.

Sendo assim, as empresas que não se adequarem podem sofrem diversos impactos, dos quais os principais são:

Impacto mercadológico – as empresas que não se adequarem à LGPD correm sério risco mercadológico na medida em que a GDPR, Lei Geral de Proteção de Dados da Europa, traz em seu texto que os países que não possuírem lei de proteção de dados, ou as empresas que não se adequarem quando o país já possui, terão dificuldades ou até mesmo serão proibidos de comercializar com países europeus;
Impacto financeiro – na medida em que as empresas passam a correr o risco de serem fiscalizadas e multadas pela ANPD, por órgão de defesa do consumidor, sindicatos, órgãos do judiciário etc.;
Impacto comercial – as empresas que não se adequam correm sério risco de perder negócios, na medida em que seus parceiros podem optar de deixar de comercializar com empresas que não estejam adequadas à LGPD;

5.5 Por qual meio a empresa é notificada quando descumpre a LGPD?

A ANPD - AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS, divulgou em 28 outubro de 2021 a Resolução CD/ANPD nº 1, que trata do processo de fiscalização das empresas e seus procedimentos internos junto ao órgão.

Referida Resolução informa que a ANPD atuará fiscalizando de quatro maneiras distintas, são elas:

de ofício;
em decorrência de programas periódicos de fiscalização;
de forma coordenada com órgãos e entidades públicos; ou
em cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.

Em todas as hipóteses, a empresa será notificada via ato administrativo, emanado pela ANPD, preferencialmente por meio eletrônico, mas podendo ser de outras formas, vejamos:

por meio eletrônico;
por via postal;
pessoalmente;
por edital;
por outro meio, que assegure a certeza da ciência do interessado; e
por mecanismos de cooperação internacional, na forma estabelecida no Decreto nº 9.734, de 20 de março de 2019 ou norma que lhe suceder.

5.6 Após o descumprimento da lei, a empresa ainda pode continuar atuando?

A ANPD não possui competência de proibir alguma empresa de atuar, bem como não pode determinar o encerramento de suas atividades, seja qual for a infração ou a sanção ocorrida.

Porém, conforme mencionado anteriormente, dentre as sanções existentes existem quatro que podem afetar diretamente a continuidade da atuação das empresas, são elas:

eliminação dos dados pessoais a que se refere a infração;
suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Caso o incidente de proteção de dados seja em uma escala muito elevada ou envolva todo o banco de dados de uma determinada empresa, ou área da empresa, por exemplo, se ocorrer alguma das sanções acima, a empresa poderá ser obrigada a eliminar dados, suspender a captação ou o tratamento de dados referente ao problema.

Por fim, a última das sanções possibilita a “proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados”, ou seja, proibição total de captação, uso ou compartilhamento de dados.

Em outras palavras a empresa praticamente para suas atividades, não podendo atuar de qualquer forma.

6. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD)

6.1 O que é a Autoridade Nacional de Proteção de Dados Pessoais - ANPD?

A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil.

6.2 Qual é o papel da Autoridade Nacional de Proteção de Dados – ANPD?

A missão institucional da ANPD é assegurar a mais ampla e correta observância da LGPD no Brasil e, nessa medida, garantir a devida proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos.

A LGPD estabelece as principais competências da ANPD, dentre as quais se destacam as seguintes:

Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD;
Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à Lei;
Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos;
Articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD.

6.3 A ANPD pode aplicar sanções pelo descumprimento da Lei?

Sim. Segundo a LGPD, sempre que os agentes de tratamento de dados (empresas que tratam dados), tratarem dados de forma irregular, cometendo assim qualquer infração à lei, em razão destas infrações cometidas às normas previstas, ficam os mesmos sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional, sanções estas já mencionadas no item 5.1.