Uma fundação pública estadual implementou um novo
sistema informatizado para gestão de benefícios sociais.
Durante auditoria interna, foram analisadas práticas
relacionadas ao tratamento de dados pessoais, perfis de
acesso ao sistema, registros de logs, armazenamento
em nuvem e resposta a incidentes de segurança, à luz
da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados −
LGPD). Considerando os princípios da LGPD e medidas
de proteção de sistemas informatizados, analise as
afirmativas a seguir:I.O tratamento de dados pessoais pela Administração
Pública deve observar finalidades específicas e
compatíveis com a atribuição legal do órgão, não sendo
suficiente a mera conveniência administrativa.II.A implementação de controle de acesso baseado em
perfis e registro de logs de autenticação pode contribuir para a responsabilização e rastreabilidade de ações
realizadas no sistema.III.A existência de consentimento do titular torna
dispensável a adoção de medidas técnicas e
administrativas de segurança para proteção dos dados
armazenados em sistemas informatizados.IV.A comunicação de incidente de segurança à
Autoridade Nacional de Proteção de Dados (ANPD) pode
ser exigida quando houver risco ou dano relevante aos
titulares, conforme avaliação do caso concreto.V.A anonimização, quando realizada por meios técnicos
razoáveis e disponíveis, pode descaracterizar o dado
pessoal para fins de aplicação da LGPD, desde que não
seja possível a reversão com esforços proporcionais.Assinale a alternativa CORRETA.

Question

Uma         fundação         pública         estadual         implementou         um         novo
sistema         informatizado         para         gestão         de         benefícios         sociais.
Durante         auditoria         interna,         foram         analisadas         práticas
relacionadas         ao         tratamento         de         dados         pessoais,         perfis         de
acesso         ao         sistema,         registros         de         logs,         armazenamento
em         nuvem         e         resposta         a         incidentes         de         segurança,         à         luz
da         Lei         nº         13.709/2018         (Lei         Geral         de         Proteção         de         Dados         −
LGPD).         Considerando         os         princípios         da         LGPD         e         medidas
de         proteção         de         sistemas         informatizados,         analise         as
afirmativas         a         seguir:I.O         tratamento         de         dados         pessoais         pela         Administração
Pública         deve         observar         finalidades         específicas         e
compatíveis         com         a         atribuição         legal         do         órgão,         não         sendo
suficiente         a         mera         conveniência         administrativa.II.A         implementação         de         controle         de         acesso         baseado         em
perfis         e         registro         de         logs         de         autenticação         pode         contribuir para         a         responsabilização         e         rastreabilidade         de         ações
realizadas         no         sistema.III.A         existência         de         consentimento         do         titular         torna
dispensável         a         adoção         de         medidas         técnicas         e
administrativas         de         segurança         para         proteção         dos         dados
armazenados         em         sistemas         informatizados.IV.A         comunicação         de         incidente         de         segurança         à
Autoridade         Nacional         de         Proteção         de         Dados         (ANPD)         pode
ser         exigida         quando         houver         risco         ou         dano         relevante         aos
titulares,         conforme         avaliação         do         caso         concreto.V.A         anonimização,         quando         realizada         por         meios         técnicos
razoáveis         e         disponíveis,         pode         descaracterizar         o         dado
pessoal         para         fins         de         aplicação         da         LGPD,         desde         que         não
seja         possível         a         reversão         com         esforços         proporcionais.Assinale         a         alternativa         CORRETA. Alternativa A: Apenas         as         afirmativas         I,         II,         IV         e         V         são         verdadeiras. Ou Alternativa B: Apenas         as         afirmativas         II,         IV         e         V         são         verdadeiras. Ou Alternativa C: As         afirmativas         I,         II,         III,         IV         e         V         são         verdadeiras. Ou Alternativa D: Apenas         as         afirmativas         I,         II         e         V         são         verdadeiras. Ou Alternativa E: Apenas         as         afirmativas         I,         III         e         V         são         verdadeiras.

Qconcursos · Accepted Answer

Alternativa [A] Apenas         as         afirmativas         I,         II,         IV         e         V         são         verdadeiras. Gabarito: AFundamento decisivo: Lei nº 13.709/2018 (LGPD), art. 23, caput: "O tratamento de dados pessoais pelas pessoas jurídicas de direito público (...) deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público (...)." Art. 46, caput: "Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito." Art. 48, caput: "O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares." Art. 5º, III e XI, e art. 12, caput: "III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; (...) XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. (...) Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido." Aplicando ao caso, a I, a II, a IV e a V estão de acordo com a LGPD, e a III é falsa porque o consentimento não afasta o dever legal de segurança.Tema central: LGPD no poder públicoAnálise das alternativasACertaA alternativa A está certa porque reúne exatamente as assertivas compatíveis com a LGPD. A I é verdadeira, pois o tratamento de dados pela Administração Pública está vinculado à finalidade pública, ao interesse público e à execução de competência ou atribuição legal, não bastando mera conveniência administrativa. A II é verdadeira porque controle de acesso por perfis e registro de logs são medidas compatíveis com os princípios da segurança, prevenção e responsabilização/prestação de contas do art. 6º, VII, VIII e X. A IV é verdadeira porque o art. 48 prevê comunicação do incidente quando ele puder acarretar risco ou dano relevante aos titulares. A V é verdadeira porque os arts. 5º, III e XI, e 12 estabelecem que o dado anonimizado, obtido por meios técnicos razoáveis e disponíveis, deixa de ser considerado dado pessoal, salvo reversão por meios próprios ou com esforços razoáveis. A III é a única falsa, pois o art. 46 impõe dever autônomo de adoção de medidas de segurança, independentemente da base legal do tratamento, inclusive se houver consentimento.BErradaEstá errada porque exclui a assertiva I, que é verdadeira. O erro jurídico está em desconsiderar o art. 23, caput, da LGPD, segundo o qual o tratamento de dados pelo poder público deve atender à finalidade pública, à persecução do interesse público e à execução de competências legais ou atribuições legais do serviço público.CErradaEstá errada porque considera verdadeira a assertiva III. Isso contraria o art. 46, caput, da LGPD: os agentes de tratamento devem adotar medidas técnicas e administrativas de segurança. O consentimento do titular não dispensa esse dever legal.DErradaEstá errada porque exclui a assertiva IV, que é verdadeira. O art. 48, caput, da LGPD determina a comunicação à autoridade nacional e ao titular quando o incidente de segurança puder acarretar risco ou dano relevante aos titulares.EErradaEstá errada por duas razões jurídicas concretas: inclui a assertiva III, que é falsa à luz do art. 46 da LGPD, e exclui as assertivas II e IV, que são verdadeiras. A II é compatível com os princípios da segurança, prevenção e responsabilização/prestação de contas do art. 6º, VII, VIII e X; a IV decorre diretamente do art. 48, caput.Pegadinha da questãoA banca explorou principalmente a confusão entre base legal do tratamento e dever de segurança: o consentimento pode ser base para tratar dados, mas não afasta a obrigação legal de adotar medidas técnicas e administrativas de proteção.Dica para questões semelhantesEm Administração Pública, verifique primeiro se o tratamento está ligado à finalidade pública e à competência ou atribuição legal do órgão; conveniência administrativa, sozinha, não basta.Não confunda base legal para tratamento com deveres permanentes da LGPD: segurança e prevenção continuam exigíveis em qualquer hipótese.Na comunicação de incidente, a chave do art. 48 é a possibilidade de risco ou dano relevante, não a ocorrência de dano já consumado.Anonimização só afasta o regime de dado pessoal quando a identificação não puder ser revertida por meios próprios ou com esforços razoáveis.

🚀 Mais performance?

🚀 Mais performance?

Uma fundação pública estadual ...

Gabarito comentado

Gabarito: A

Clique para visualizar este gabarito

Questões de assuntos semelhantes

Provas relacionadas