A Lei nº 13.709/2018 - Lei Geral de Proteção de Dados Pessoa...

Próximas questões
Com base no mesmo assunto
Q3881257
Direito Digital Lei nº 13.709 de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD) ,
Ano: 2026 Banca: FGV Órgão: AL-GO Prova: FGV - 2026 - AL-GO - Analista Legislativo - Analista de Infraestrutura |
Q3881257 Direito Digital
A Lei nº 13.709/2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), regulamenta tratamento de dados pessoais, inclusive nos meios digitais, por pessoas naturais ou jurídicas de direito público ou privado. A LGPD foi inspirada no Regulamento europeu EU 2016/679 conhecido por General Data Protection Regulation (GDPR).
Com relação as semelhanças entre LGPD e a GDPR, analise as alternativas a seguir.

I. Ambas definem dados pessoais como qualquer informação relacionada a uma pessoa natural identificada ou identificável.
II. Ambas estabelecem uma categoria especial de dados, mas os dados pessoais sensíveis são definidos apenas como aqueles relacionados a dados financeiros, religiosos e de localização, e não os de saúde, genéticos ou de origem racial.
III. Ambas definem que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais e tem prazo para notificação de incidentes fixados em sete dias úteis.

Está correto o que se afirma em
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: E

Fundamento decisivo: Lei nº 13.709/2018, art. 5º, I: "dado pessoal: informação relacionada a pessoa natural identificada ou identificável"; Regulation (EU) 2016/679 (GDPR), art. 4(1): "‘personal data’ means any information relating to an identified or identifiable natural person"; Lei nº 13.709/2018, art. 5º, II: "dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural"; GDPR, art. 9(1): "Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a person's sex life or sexual orientation shall be prohibited (...)"; Lei nº 13.709/2018, art. 48, caput: "O controlador comunicará à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares."; GDPR, art. 33(1): "In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority (...)". Aplicação ao caso: a I coincide com o conceito legal de dado pessoal em ambos os diplomas; a II é falsa porque exclui categorias que ambos incluem expressamente; e a III é falsa porque não existe prazo comum de sete dias úteis, já que o GDPR prevê 72 horas e a LGPD, na lei, não fixa esse prazo.

Tema central: LGPD e GDPR
Análise das alternativas
A
Errada
Incorreta. A alternativa pressupõe corretas as assertivas II e III, mas ambas violam o texto normativo. A II contraria a Lei nº 13.709/2018, art. 5º, II, e o GDPR, art. 9(1), porque saúde, dados genéticos e origem racial ou étnica integram expressamente a categoria de dados sensíveis/especiais. A III também é incorreta porque, embora ambos imponham medidas de segurança, o prazo afirmado está errado: o GDPR, art. 33(1), fixa 72 horas, e a LGPD, art. 48, não fixa na lei prazo de sete dias úteis.
B
Errada
Incorreta. A alternativa depende da correção da assertiva II, mas ela é frontalmente incompatível com a literalidade da LGPD e do GDPR. A Lei nº 13.709/2018, art. 5º, II, inclui origem racial ou étnica, dado referente à saúde e dado genético; o GDPR, art. 9(1), também inclui racial or ethnic origin, genetic data e data concerning health. Logo, II não pode ser considerada verdadeira.
C
Errada
Incorreta. A assertiva III é composta por uma parte verdadeira e uma parte falsa. É correto que ambos os diplomas exigem medidas de segurança, técnicas e administrativas/organizativas. Mas isso não salva a assertiva, porque ela acrescenta um prazo comum de notificação em sete dias úteis, o que é juridicamente falso. O GDPR, art. 33(1), prevê 72 horas, e a LGPD, art. 48, não traz esse prazo no texto legal.
D
Errada
Incorreta. A alternativa considera correta apenas a assertiva II, mas ela é excluída pelo próprio conceito legal de dado sensível/especial nos dois diplomas. A exclusão de saúde, genética e origem racial contradiz expressamente a Lei nº 13.709/2018, art. 5º, II, e o GDPR, art. 9(1).
E
Certa
A alternativa E está correta porque somente a assertiva I reproduz a equivalência material entre os textos legais comparados. A LGPD, no art. 5º, I, define dado pessoal como "informação relacionada a pessoa natural identificada ou identificável", e o GDPR, no art. 4(1), define "personal data" como "any information relating to an identified or identifiable natural person". Esse é exatamente o ponto afirmado na assertiva I.
Pegadinha da questão
A banca misturou uma semelhança real entre os diplomas — o dever de adotar medidas de segurança — com uma falsa identidade quanto ao prazo de notificação de incidente, trocando o prazo do GDPR de 72 horas por sete dias úteis e sugerindo que a LGPD teria o mesmo regime legal.
Dica para questões semelhantes
  • Em comparação entre LGPD e GDPR, confira se a assertiva reproduz o texto legal ou apenas uma semelhança genérica entre os diplomas.
  • Se a assertiva listar dados sensíveis/especiais, confronte com o rol expresso: saúde, dados genéticos e origem racial ou étnica não podem ser excluídos.
  • Em assertiva composta, um único trecho juridicamente falso torna o item inteiro incorreto.
  • Em incidentes de segurança, não presuma identidade de prazo entre LGPD e GDPR: o GDPR traz 72 horas, e a LGPD, na lei, não fixa prazo de sete dias úteis.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

ANALISANDO AS AFIRMATIVAS

✅ I. Ambas definem dados pessoais como qualquer informação relacionada a uma pessoa natural identificada ou identificável.

✔️ CORRETA

Isso está literalmente na lei (LGPD art. 5º, I)

E o GDPR fala praticamente a mesma coisa

Tradução:

• Se dá pra identificar a pessoa → é dado pessoal

❌ II. Ambas estabelecem uma categoria especial de dados, mas os dados pessoais sensíveis são definidos apenas como aqueles relacionados a dados financeiros, religiosos e de localização, e não os de saúde, genéticos ou de origem racial.

❌ ERRADA (PEGADINHA CLÁSSICA!)

O erro está aqui:

“NÃO os de saúde, genéticos ou origem racial”

Isso está totalmente errado!

Tanto a LGPD quanto o GDPR dizem que dados sensíveis incluem:

• Saúde ✔️

• Genéticos ✔️

• Origem racial ✔️

Ou seja: a afirmativa negou justamente os principais

❌ III. Ambas definem que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais e tem prazo para notificação de incidentes fixados em sete dias úteis.

Vamos dividir:

✔️ Parte 1:

“devem adotar medidas de segurança”

✔️ CORRETA

❌ Parte 2:

“prazo de 7 dias úteis”

❌ ERRADA

Isso NÃO existe assim na lei

• LGPD → não fixa prazo exato (fala “em prazo razoável”)

• GDPR → fala em 72 horas, não 7 dias úteis

Pegadinha forte da FGV

ITEM 1: Informação Chave:

  • Dados pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável.
  • Dados sensíveis incluem origem racial, saúde, dados genéticos, entre outros.
  • A LGPD exige medidas de segurança, mas não fixa prazo específico de sete dias para notificação de incidentes.

ITEM 2: Explicação da Alternativa Correta:

A alternativa correta é a letra E (I, apenas).

  • Item I – Correto: Tanto a LGPD quanto a GDPR definem dados pessoais como qualquer informação relacionada a pessoa natural identificada ou identificável.
  • Item II – Incorreto: A definição apresentada está errada, pois dados sensíveis incluem saúde, dados genéticos e origem racial, além de outros.
  • Item III – Incorreto: Embora ambas exijam medidas de segurança, não há previsão na LGPD de prazo fixo de sete dias úteis para notificação de incidentes.

ITEM 3: Explicação das Alternativas Incorretas:

  • A, B, C e D) Incluem os itens II ou III, que estão incorretos.
  • O erro central está na definição equivocada de dados sensíveis e na afirmação de prazo fixo inexistente na LGPD.

Sobre o item III:

Art. 48 da LGPD: O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I - a descrição da natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Em minha humilde visão, dado pessoal não é QUALQUER INFORMAÇÃO relativa a pessoa natural.

Até pq a lei separa as classificações dos dados. Por ex. dado de saúde, é um dado categorizado como "dado pessoal SENSÍVEL e não qualquer dado pessoal...

mas enfim, ficarei alerta nas próximas....

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas