Um tribunal estadual passou por incidente de segurança
envolvendo acesso indevido a registros processuais que
continham dados pessoais, inclusive informações
sensíveis. A apuração preliminar indicou falha de
configuração em sistema interno, ausência de registro
formal de revisão de acessos privilegiados e inexistência
de comunicação imediata aos titulares dos dados. Diante
do ocorrido, a equipe jurídica e de tecnologia passou a
analisar as implicações à luz da legislação brasileira
relacionada à informática, proteção de dados, crimes
informáticos e responsabilidade administrativa.
Considerando o ordenamento jurídico vigente, assinale a
alternativa CORRETA:

Question

Um tribunal estadual passou por incidente de segurança
envolvendo acesso indevido a registros processuais que
continham dados pessoais, inclusive informações
sensíveis. A apuração preliminar indicou falha de
configuração em sistema interno, ausência de registro
formal de revisão de acessos privilegiados e inexistência
de comunicação imediata aos titulares dos dados. Diante
do ocorrido, a equipe jurídica e de tecnologia passou a
analisar as implicações à luz da legislação brasileira
relacionada à informática, proteção de dados, crimes
informáticos e responsabilidade administrativa.
Considerando o ordenamento jurídico vigente, assinale a
alternativa CORRETA: Alternativa A: A responsabilização civil por falha de segurança em
sistema informatizado depende da comprovação de
culpa exclusiva do titular dos dados afetados. Ou Alternativa B: A ocorrência de acesso indevido a dados pessoais
caracteriza, por si só, crime previsto na Lei nº
12.737/2012, independentemente da existência de
dolo ou invasão mediante violação de mecanismo de
segurança. Ou Alternativa C: Nos termos da Lei nº 13.709/2018 (LGPD), a
autoridade nacional pode aplicar sanções
administrativas ao órgão público, inclusive
advertência e publicização da infração, observados
critérios como gravidade e boa-fé do infrator. Ou Alternativa D: A Lei nº 9.609/1998 (Lei do Software) disciplina
exclusivamente a proteção de dados pessoais
armazenados em sistemas informatizados, não
abrangendo aspectos de propriedade intelectual.  Ou Alternativa E: A ausência de comunicação imediata aos titulares
dos dados afasta qualquer possibilidade de
responsabilização administrativa, desde que o
incidente tenha ocorrido em ambiente interno da
instituição.

Qconcursos · Accepted Answer

Alternativa [C] Nos termos da Lei nº 13.709/2018 (LGPD), a
autoridade nacional pode aplicar sanções
administrativas ao órgão público, inclusive
advertência e publicização da infração, observados
critérios como gravidade e boa-fé do infrator. Gabarito: CFundamento decisivo: Lei nº 13.709/2018 (LGPD), art. 52, caput, incisos I e IV, § 1º e § 3º: “Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I - advertência, com indicação de prazo para adoção de medidas corretivas; (...) IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência; (...) § 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: I - a gravidade e a natureza das infrações e dos direitos pessoais afetados; (...) II - a boa-fé do infrator; (...) § 3º O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos (...)”.Tema central: Sanções da LGPD ao poder públicoAnálise das alternativasAErradaEstá errada porque transforma a culpa exclusiva do titular em requisito para responsabilização civil. Pela base, isso inverte a lógica jurídica: culpa exclusiva do titular, quando existente, funciona como possível excludente de responsabilidade do agente de tratamento, e não como condição positiva para que haja responsabilização.BErradaEstá errada porque confunde acesso indevido com o tipo penal do art. 154-A do Código Penal. O texto legal exige: “Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações...”. Logo, não basta acesso indevido por si só; são necessários invasão, violação de mecanismo de segurança e a finalidade específica prevista no tipo.CCertaA alternativa C reproduz o regime sancionatório da LGPD aplicável também ao poder público. O art. 52, caput, incisos I e IV, prevê advertência e publicização da infração como sanções administrativas; o § 1º determina que sua aplicação considere critérios como gravidade da infração e boa-fé do infrator; e o § 3º autoriza a aplicação dessas sanções a entidades e órgãos públicos. Portanto, diante de incidente de segurança com dados pessoais em tribunal estadual, a afirmação está juridicamente correta.DErradaEstá errada porque atribui à Lei nº 9.609/1998 objeto que ela não possui. A base indica que a Lei do Software trata de programa de computador e de sua proteção intelectual. O art. 2º, caput, é expresso: “O regime de proteção à propriedade intelectual de programa de computador é o conferido às obras literárias pela legislação de direitos autorais e conexos vigentes no País, observado o disposto nesta Lei.” Portanto, ela não disciplina exclusivamente proteção de dados pessoais.EErradaEstá errada porque a ausência de comunicação aos titulares não exclui responsabilização administrativa. Ao contrário, a LGPD prevê dever de comunicação: “Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.” Além disso, o art. 52 prevê sanções por infrações à LGPD, inclusive para órgãos públicos. O fato de o incidente ocorrer em ambiente interno não é excludente administrativa prevista na base.Pegadinha da questãoA banca misturou quatro planos distintos: sanção administrativa da LGPD, dever de comunicação de incidente, crime informático do art. 154-A do Código Penal e objeto da Lei do Software. O ponto decisivo era perceber que incidente de segurança não se confunde automaticamente com crime e que órgão público também pode sofrer as sanções do art. 52 da LGPD.Dica para questões semelhantesEm LGPD, confira primeiro se a alternativa fala de sanção administrativa, dever de comunicação ou responsabilidade civil; cada tema tem regra própria.Se a questão mencionar órgão público, não presuma imunidade sancionatória: o art. 52, § 3º, admite aplicação de sanções específicas a entidades e órgãos públicos.Em crime informático, não basta resultado irregular; verifique os elementos típicos do art. 154-A, especialmente violação de mecanismo de segurança e finalidade específica.Lei do Software protege programa de computador e sua propriedade intelectual; não a confunda com a legislação de proteção de dados pessoais.

🚀 Quer mais performance?

🚀 Quer mais performance?

Um tribunal estadual passou por incidente de segurança envo...

Gabarito comentado

Gabarito: C

Clique para visualizar este gabarito

Comentários

Clique para visualizar este comentário

Questões de assuntos semelhantes

Provas relacionadas