Uma fundação pública estadual implementou um novo sistema i...

Próximas questões
Com base no mesmo assunto
Q3995269
Direito Digital Lei nº 13.709 de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD) ,
Ano: 2026 Banca: UNIDAVI Órgão: Prefeitura de Agrolândia - SC Prova: UNIDAVI - 2026 - Prefeitura de Agrolândia - SC - Professor Ensino Fundamental – Língua Portuguesa |
Q3995269 Direito Digital
Uma fundação pública estadual implementou um novo sistema informatizado para gestão de benefícios sociais. Durante auditoria interna, foram analisadas práticas relacionadas ao tratamento de dados pessoais, perfis de acesso ao sistema, registros de logs, armazenamento em nuvem e resposta a incidentes de segurança, à luz da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados − LGPD). Considerando os princípios da LGPD e medidas de proteção de sistemas informatizados, analise as afirmativas a seguir:
I.O tratamento de dados pessoais pela Administração Pública deve observar finalidades específicas e compatíveis com a atribuição legal do órgão, não sendo suficiente a mera conveniência administrativa.
II.A implementação de controle de acesso baseado em perfis e registro de logs de autenticação pode contribuir para a responsabilização e rastreabilidade de ações realizadas no sistema.
III.A existência de consentimento do titular torna dispensável a adoção de medidas técnicas e administrativas de segurança para proteção dos dados armazenados em sistemas informatizados.
IV.A comunicação de incidente de segurança à Autoridade Nacional de Proteção de Dados (ANPD) pode ser exigida quando houver risco ou dano relevante aos titulares, conforme avaliação do caso concreto.
V.A anonimização, quando realizada por meios técnicos razoáveis e disponíveis, pode descaracterizar o dado pessoal para fins de aplicação da LGPD, desde que não seja possível a reversão com esforços proporcionais.
Assinale a alternativa CORRETA.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: C

Fundamento decisivo: Lei nº 13.709/2018 (LGPD), arts. 23, caput; 46, caput; 48, caput; 5º, XI: “Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que: (...) Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Art. 5º Para os fins desta Lei, considera-se: (...) XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;”. No caso, a assertiva I se ajusta ao art. 23; a II é compatível com o dever de segurança do art. 46; a IV decorre do art. 48; e a V corresponde ao conceito legal de anonimização.

Tema central: LGPD na Administração Pública
Análise das alternativas
A
Errada
Incorreta porque exclui a assertiva IV. Isso contraria o art. 48, caput, da LGPD, segundo o qual o controlador deverá comunicar à autoridade nacional e ao titular o incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Como a IV está juridicamente correta, a alternativa A não pode ser o gabarito.
B
Errada
Incorreta porque exclui a assertiva I. O art. 23, caput, da LGPD exige que o tratamento de dados pelo poder público seja realizado para atendimento de finalidade pública, persecução do interesse público e execução de competências ou atribuições legais. Portanto, a I está correta, e sua exclusão torna a alternativa errada.
C
Certa
A alternativa C é a correta porque reúne exatamente as assertivas verdadeiras: I, II, IV e V. A I coincide com o art. 23, caput, da LGPD, que vincula o tratamento de dados pelo poder público à finalidade pública, ao interesse público e às competências ou atribuições legais, afastando a mera conveniência administrativa. A II é juridicamente compatível com o art. 46, caput, pois controle de acesso por perfis e registro de logs são medidas técnicas e administrativas aptas a proteger dados e a reforçar rastreabilidade e responsabilização. A IV reproduz o art. 48, caput: a comunicação do incidente é devida quando ele puder acarretar risco ou dano relevante. A V decorre dos arts. 5º, XI, e 12, caput: dados anonimizados deixam de ser considerados dados pessoais, salvo se houver reversão com meios próprios ou com esforços razoáveis. A única falsa é a III, porque o dever de segurança é autônomo e não depende da base legal escolhida, inclusive não é afastado pelo consentimento.
D
Errada
Incorreta porque inclui a assertiva III como verdadeira. A III contraria diretamente o art. 46, caput, da LGPD, que impõe aos agentes de tratamento o dever de adotar medidas técnicas e administrativas de segurança. Esse dever existe independentemente de consentimento; logo, não há dispensa de segurança pelo simples fato de o titular consentir.
E
Errada
Incorreta por dois motivos jurídicos cumulativos: inclui a assertiva III, que é falsa à luz do art. 46, caput, e exclui as assertivas II e IV. A II é compatível com o dever legal de segurança e responsabilização, ainda que a lei não mencione literalmente 'logs' e 'perfis'. A IV está expressamente amparada pelo art. 48, caput. Por isso, a composição da alternativa E é incompatível com a LGPD.
Pegadinha da questão
A banca explorou a confusão entre base legal do tratamento e dever de segurança: o consentimento pode ser base de tratamento, mas não elimina a obrigação legal de adotar medidas técnicas e administrativas de segurança. Também testou se o candidato perceberia que logs e perfis de acesso, embora não mencionados literalmente, se encaixam no art. 46.
Dica para questões semelhantes
  • Em Administração Pública, confira primeiro se o tratamento está ligado a finalidade pública e a competências ou atribuições legais; conveniência administrativa, sozinha, não basta.
  • Separe base legal de deveres permanentes: segurança é obrigação autônoma da LGPD e não desaparece por haver consentimento.
  • Na parte de incidentes, procure a condição legal exata: a comunicação é exigida quando o fato puder acarretar risco ou dano relevante.
  • Na anonimização, verifique sempre a reversibilidade: ela só afasta a incidência da LGPD se não houver reversão com meios próprios ou com esforços razoáveis.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

I — Verdadeira: A Administração Pública deve tratar dados com finalidade específica e vinculada à sua competência legal, não basta conveniência.

II — Verdadeira: Controle de acesso por perfis e logs garantem rastreabilidade, auditoria e responsabilização — práticas alinhadas à segurança da informação.

III — Falsa: Mesmo com consentimento, a LGPD exige medidas técnicas e administrativas de segurança. Consentimento não elimina a obrigação de proteger os dados.

IV — Verdadeira: Incidentes devem ser comunicados à autoridade (Autoridade Nacional de Proteção de Dados) quando houver risco ou dano relevante aos titulares.

V — Verdadeira: A anonimização pode retirar o caráter de dado pessoal se não for reversível com meios razoáveis.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas