Uma fundação pública estadual implementou um novo sistema in...
I.O tratamento de dados pessoais pela Administração Pública deve observar finalidades específicas e compatíveis com a atribuição legal do órgão, não sendo suficiente a mera conveniência administrativa.
II.A implementação de controle de acesso baseado em perfis e registro de logs de autenticação pode contribuir para a responsabilização e rastreabilidade de ações realizadas no sistema.
III.A existência de consentimento do titular torna dispensável a adoção de medidas técnicas e administrativas de segurança para proteção dos dados armazenados em sistemas informatizados.
IV.A comunicação de incidente de segurança à Autoridade Nacional de Proteção de Dados (ANPD) pode ser exigida quando houver risco ou dano relevante aos titulares, conforme avaliação do caso concreto.
V.A anonimização, quando realizada por meios técnicos razoáveis e disponíveis, pode descaracterizar o dado pessoal para fins de aplicação da LGPD, desde que não seja possível a reversão com esforços proporcionais.
Assinale a alternativa CORRETA.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Gabarito: B
Fundamento decisivo: Lei nº 13.709/2018, arts. 23, caput; 46, caput; 48, caput; 5º, III e XI; 6º, I: “Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que: (...) Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. (...) Art. 5º Para os fins desta Lei, considera-se: (...) III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; (...) XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo; (...) Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;”. Aplicando ao caso, a alternativa B é a correta porque reúne as assertivas I, II, IV e V, sendo falsa apenas a III.
- No setor público, procure primeiro o vínculo entre tratamento de dados, finalidade pública e competência ou atribuição legal; mera conveniência administrativa não basta.
- Separe base legal de tratamento e deveres acessórios: mesmo com consentimento, continuam obrigatórias as medidas de segurança do art. 46.
- Em incidente de segurança, o critério legal não é dano consumado, mas possibilidade de risco ou dano relevante aos titulares.
- Em anonimização, confira sempre a reversibilidade: se a identificação puder voltar com meios próprios ou esforços razoáveis, o dado não sai automaticamente do regime da LGPD.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo