Uma autarquia estadual implantou novo sistema de
atendimento digital para cadastro de usuários, coleta de
dados biométricos para autenticação e integração com
bases externas. Durante auditoria interna, verificou-se
que não houve registro formal das hipóteses legais de
tratamento, nem relatório prévio de impacto à proteção
de dados, embora o sistema envolva dados sensíveis e
monitoramento sistemático de titulares. À luz da Lei
Geral de Proteção de Dados Pessoais (Lei nº
13.709/2018), assinale a alternativa CORRETA.

Question

Uma autarquia estadual implantou novo sistema de
atendimento digital para cadastro de usuários, coleta de
dados biométricos para autenticação e integração com
bases externas. Durante auditoria interna, verificou-se
que não houve registro formal das hipóteses legais de
tratamento, nem relatório prévio de impacto à proteção
de dados, embora o sistema envolva dados sensíveis e
monitoramento sistemático de titulares. À luz da Lei
Geral de Proteção de Dados Pessoais (Lei nº
13.709/2018), assinale a alternativa CORRETA. Alternativa A: O encarregado pelo tratamento de dados (DPO)
possui responsabilidade solidária automática por
qualquer incidente de segurança ocorrido na
organização. Ou Alternativa B: O controlador responde apenas quando comprovada
intenção deliberada de causar dano ao titular, não
sendo consideradas falhas de governança ou
ausência de medidas preventivas. Ou Alternativa C: Uma vez anonimizado o dado, ele continuará sendo
considerado dado pessoal para todos os fins da lei,
ainda que não seja possível a identificação do titular
por meios razoáveis. Ou Alternativa D: O tratamento de dados pessoais sensíveis pela
Administração Pública depende, como regra, de
consentimento expresso do titular, mesmo quando
houver previsão legal específica para sua utilização.  Ou Alternativa E: O relatório de impacto à proteção de dados pessoais
pode ser exigido pela autoridade competente quando
 o tratamento apresentar riscos relevantes às
liberdades civis e aos direitos fundamentais.

Qconcursos · Accepted Answer

Alternativa [E] O relatório de impacto à proteção de dados pessoais
pode ser exigido pela autoridade competente quando
 o tratamento apresentar riscos relevantes às
liberdades civis e aos direitos fundamentais. Gabarito: EFundamento decisivo: Lei nº 13.709/2018, art. 38, caput: "A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial." No caso, o tratamento envolve dados biométricos, dados sensíveis e monitoramento sistemático, de modo que é juridicamente possível a exigência do relatório de impacto pela autoridade competente, o que confirma a alternativa E.Tema central: Relatório de impacto à proteção de dadosAnálise das alternativasAErradaIncorreta. A LGPD não estabelece responsabilidade solidária automática do encarregado por qualquer incidente de segurança. A responsabilidade solidária expressa na lei recai sobre o operador, em hipóteses específicas do art. 42, § 1º, I.BErradaIncorreta. O art. 42 da LGPD não condiciona a responsabilidade do controlador à intenção deliberada de causar dano. A reparação decorre do dano causado em violação à legislação de proteção de dados pessoais, e o art. 6º, X, reforça a responsabilização e prestação de contas.CErradaIncorreta. A LGPD dispõe o contrário: os dados anonimizados não serão considerados dados pessoais para os fins da lei, salvo reversão do processo de anonimização ou possibilidade de reversão com esforços razoáveis, nos termos do art. 12.DErradaIncorreta. O tratamento de dados pessoais sensíveis não depende, como regra, de consentimento expresso quando houver hipótese legal específica. Além disso, no setor público, o art. 23 vincula o tratamento à finalidade pública e à execução de competências legais ou atribuições legais.ECertaA alternativa E está correta porque reproduz a lógica do art. 38 da LGPD: a autoridade nacional pode determinar ao controlador a elaboração de relatório de impacto à proteção de dados pessoais, inclusive em tratamento de dados sensíveis. Assim, diante de operação com dados biométricos e monitoramento sistemático, a exigência do relatório é compatível com a lei.Pegadinha da questãoA banca explorou a confusão entre a possibilidade de exigência do RIPD, a responsabilidade do encarregado e a ideia equivocada de que o consentimento é sempre indispensável no poder público.Dica para questões semelhantesEm LGPD, verifique quem a lei responsabiliza expressamente: controlador, operador e encarregado não têm o mesmo regime.Se aparecer anonimização, confronte com os arts. 5º, XI, e 12: o dado anonimiz ado, em regra, deixa de ser dado pessoal.Em dados sensíveis, não presuma que o consentimento seja obrigatório; a lei prevê hipóteses de tratamento sem consentimento.Quando surgir RIPD, lembre que a lei fala em possibilidade de exigência pela autoridade nacional, não em dever automático em todo caso.

🚀 Quer mais performance?

🚀 Quer mais performance?

Uma autarquia estadual implantou novo sistema de atendiment...

Gabarito comentado

Gabarito: E

Clique para visualizar este gabarito

Comentários

Clique para visualizar este comentário

Questões de assuntos semelhantes

Provas relacionadas