Fundamento decisivo: Lei nº 13.709/2018, art. 6º, I, VII, art. 46, caput, e art. 1º, caput: “Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; (...) VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; (...) Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.” “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado...” No caso, a autarquia federal continua submetida à LGPD, e a alternativa A é a única compatível com a exigência simultânea de finalidade e segurança no tratamento.

• Se a alternativa combinar finalidade do tratamento com medidas de segurança, confira os arts. 6º e 46 da LGPD: esses comandos são cumulativos, não alternativos.
• Quando a questão envolver órgão ou entidade pública, descarte opções que neguem a incidência da LGPD; o art. 1º alcança pessoas jurídicas de direito público e privado.
• No setor público, elimine afirmações de compartilhamento livre de dados: o tratamento deve estar ligado à finalidade pública, ao interesse público e às competências legais, conforme o art. 23.
• Não aceite a ideia de que sistemas internos ou controles técnicos substituem o cumprimento dos princípios legais; eles apenas integram o dever de proteção previsto na LGPD.