Uma fundação pública estadual implementou um novo sistema i...

Próximas questões
Com base no mesmo assunto
Q3992108
Direito Digital Lei nº 13.709 de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD) ,
Ano: 2026 Banca: UNIDAVI Órgão: Prefeitura de Agrolândia - SC Prova: UNIDAVI - 2026 - Prefeitura de Agrolândia - SC - Analista de Informática |
Q3992108 Direito Digital

Uma fundação pública estadual implementou um novo sistema informatizado para gestão de benefícios sociais. Durante auditoria interna, foram analisadas práticas relacionadas ao tratamento de dados pessoais, perfis de acesso ao sistema, registros de logs, armazenamento em nuvem e resposta a incidentes de segurança, à luz da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados − LGPD). Considerando os princípios da LGPD e medidas de proteção de sistemas informatizados, analise as afirmativas a seguir:



I.O tratamento de dados pessoais pela Administração Pública deve observar finalidades específicas e compatíveis com a atribuição legal do órgão, não sendo suficiente a mera conveniência administrativa.


II. A implementação de controle de acesso baseado em perfis e registro de logs de autenticação pode contribuir para a responsabilização e rastreabilidade de ações realizadas no sistema.


III. A existência de consentimento do titular torna dispensável a adoção de medidas técnicas e administrativas de segurança para proteção dos dados armazenados em sistemas informatizados.


IV. A comunicação de incidente de segurança à Autoridade Nacional de Proteção de Dados (ANPD) pode ser exigida quando houver risco ou dano relevante aos titulares, conforme avaliação do caso concreto.


V. A anonimização, quando realizada por meios técnicos razoáveis e disponíveis, pode descaracterizar o dado pessoal para fins de aplicação da LGPD, desde que não seja possível a reversão com esforços proporcionais.



Assinale a alternativa CORRETA. 

Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: D

Fundamento decisivo: Lei nº 13.709/2018 (LGPD), arts. 23, caput; 46, caput; 48, caput; 5º, XI: “Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que: I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos; (...) Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Art. 5º Para os fins desta Lei, considera-se: (...) XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;”.

Tema central: LGPD na Administração Pública
Análise das alternativas
A
Errada
Incorreta porque inclui a assertiva III, que contraria diretamente o art. 46 da LGPD: o consentimento do titular não dispensa a adoção de medidas técnicas e administrativas de segurança. Além disso, exclui II e IV, que são verdadeiras: II é compatível com o dever geral de segurança e rastreabilidade (art. 46 c/c art. 6º, VII), e IV decorre expressamente do art. 48, que prevê comunicação do incidente quando houver risco ou dano relevante.
B
Errada
Incorreta porque exclui a assertiva I, que está de acordo com o art. 23 da LGPD. No tratamento de dados pela Administração Pública, a lei exige finalidade pública, interesse público e execução de competências legais ou atribuições legais do serviço público. Portanto, não é juridicamente possível afastar I.
C
Errada
Incorreta porque considera verdadeira a assertiva III. Isso viola o art. 46 da LGPD e o princípio da segurança do art. 6º, VII: medidas técnicas e administrativas de proteção são obrigatórias e não se tornam dispensáveis em razão do consentimento do titular.
D
Certa
A alternativa D reúne exatamente as assertivas compatíveis com a LGPD. A I está correta porque, na Administração Pública, o tratamento de dados deve atender à finalidade pública, ao interesse público e à execução de competências ou atribuições legais, não bastando conveniência administrativa isolada (art. 23, caput e I). A II está correta porque controle de acesso por perfis e logs de autenticação se enquadram no dever legal de adoção de medidas técnicas e administrativas aptas à proteção, rastreabilidade e responsabilização, em consonância com o art. 46 e com o princípio da segurança do art. 6º, VII; a própria base registra que essa conclusão decorre de inferência normativa compatível com a lei, e não de enumeração literal. A IV está correta porque o art. 48 exige comunicação do incidente à ANPD e ao titular quando ele puder acarretar risco ou dano relevante, o que depende de avaliação concreta. A V está correta porque o art. 5º, XI, define anonimização por meios técnicos razoáveis e disponíveis, e o art. 12 afasta a qualificação de dado pessoal apenas se a reversão não for possível por meios próprios nem com esforços razoáveis. Já a III é falsa porque o art. 46 impõe o dever autônomo de segurança, independentemente da base legal do tratamento, inclusive quando houver consentimento.
E
Errada
Incorreta porque exclui a assertiva IV, mas ela reproduz a lógica do art. 48 da LGPD: a comunicação do incidente à ANPD e ao titular é exigida quando a ocorrência puder acarretar risco ou dano relevante aos titulares, o que pressupõe exame do caso concreto.
Pegadinha da questão
A confusão central foi tratar o consentimento como se ele substituísse o dever de segurança da informação. A LGPD não autoriza isso: segurança é dever autônomo dos agentes de tratamento. Também havia a armadilha de exigir menção literal a logs e perfis de acesso, quando a base da validade da assertiva II está no dever geral de adoção de medidas técnicas e administrativas aptas.
Dica para questões semelhantes
  • Na Administração Pública, confira primeiro se o tratamento está ligado a finalidade pública, interesse público e competência legal; conveniência administrativa isolada não basta.
  • Separe base legal do tratamento e dever de segurança: mesmo havendo consentimento, o art. 46 continua exigindo medidas técnicas e administrativas.
  • Em incidente de segurança, procure a condição legal: a comunicação depende de risco ou dano relevante aos titulares, não de qualquer incidente.
  • Em anonimização, verifique dois pontos: uso de meios técnicos razoáveis e disponíveis e impossibilidade de reversão com esforços razoáveis.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas