Uma fundação pública estadual implementou um novo
sistema informatizado para gestão de benefícios sociais.
Durante auditoria interna, foram analisadas práticas
relacionadas ao tratamento de dados pessoais, perfis de
acesso ao sistema, registros de logs, armazenamento
em nuvem e resposta a incidentes de segurança, à luz
da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados −
LGPD). Considerando os princípios da LGPD e medidas
de proteção de sistemas informatizados, analise as
afirmativas a seguir:I.O tratamento de dados pessoais pela Administração
Pública deve observar finalidades específicas e
compatíveis com a atribuição legal do órgão, não sendo
suficiente a mera conveniência administrativa.II.A implementação de controle de acesso baseado em
perfis e registro de logs de autenticação pode contribuir
para a responsabilização e rastreabilidade de ações realizadas no sistema.III.A existência de consentimento do titular torna
dispensável a adoção de medidas técnicas e
administrativas de segurança para proteção dos dados
armazenados em sistemas informatizados.IV.A comunicação de incidente de segurança à
Autoridade Nacional de Proteção de Dados (ANPD) pode
ser exigida quando houver risco ou dano relevante aos
titulares, conforme avaliação do caso concreto.V.A anonimização, quando realizada por meios técnicos
razoáveis e disponíveis, pode descaracterizar o dado
pessoal para fins de aplicação da LGPD, desde que não
seja possível a reversão com esforços proporcionais.Assinale a alternativa CORRETA.

Question

Uma         fundação         pública         estadual         implementou         um         novo
sistema         informatizado         para         gestão         de         benefícios         sociais.
Durante         auditoria         interna,         foram         analisadas         práticas
relacionadas         ao         tratamento         de         dados         pessoais,         perfis         de
acesso         ao         sistema,         registros         de         logs,         armazenamento
em         nuvem         e         resposta         a         incidentes         de         segurança,         à         luz
da         Lei         nº         13.709/2018         (Lei         Geral         de         Proteção         de         Dados         −
LGPD).         Considerando         os         princípios         da         LGPD         e         medidas
de         proteção         de         sistemas         informatizados,         analise         as
afirmativas         a         seguir:I.O         tratamento         de         dados         pessoais         pela         Administração
Pública         deve         observar         finalidades         específicas         e
compatíveis         com         a         atribuição         legal         do         órgão,         não         sendo
suficiente         a         mera         conveniência         administrativa.II.A         implementação         de         controle         de         acesso         baseado         em
perfis         e         registro         de         logs         de         autenticação         pode         contribuir
para         a         responsabilização         e         rastreabilidade         de         ações realizadas         no         sistema.III.A         existência         de         consentimento         do         titular         torna
dispensável         a         adoção         de         medidas         técnicas         e
administrativas         de         segurança         para         proteção         dos         dados
armazenados         em         sistemas         informatizados.IV.A         comunicação         de         incidente         de         segurança         à
Autoridade         Nacional         de         Proteção         de         Dados         (ANPD)         pode
ser         exigida         quando         houver         risco         ou         dano         relevante         aos
titulares,         conforme         avaliação         do         caso         concreto.V.A         anonimização,         quando         realizada         por         meios         técnicos
razoáveis         e         disponíveis,         pode         descaracterizar         o         dado
pessoal         para         fins         de         aplicação         da         LGPD,         desde         que         não
seja         possível         a         reversão         com         esforços         proporcionais.Assinale         a         alternativa         CORRETA. Alternativa A: Apenas         as         afirmativas         I,         III         e         V         são         verdadeiras. Ou Alternativa B: Apenas         as         afirmativas         I,         II,         IV         e         V         são         verdadeiras. Ou Alternativa C: Apenas         as         afirmativas         II,         IV         e         V         são         verdadeiras. Ou Alternativa D: Apenas         as         afirmativas         I,         II         e         V         são         verdadeiras. Ou Alternativa E: As         afirmativas         I,         II,         III,         IV         e         V         são         verdadeiras.

Qconcursos · Accepted Answer

Alternativa [B] Apenas         as         afirmativas         I,         II,         IV         e         V         são         verdadeiras. Gabarito: BFundamento decisivo: Lei nº 13.709/2018 (LGPD), art. 23, caput e inciso I: “O tratamento de dados pessoais pelas pessoas jurídicas de direito público (...) deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que: I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais (...)”; art. 46, caput: “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”; art. 48, caput: “O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.”; art. 5º, XI: “anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.” Aplicando ao caso, são verdadeiras I, II, IV e V, e é falsa a III, porque consentimento não afasta o dever legal autônomo de segurança; por isso, o gabarito é a letra B.Tema central: LGPD no setor públicoAnálise das alternativasAErradaIncorreta. A alternativa inclui a assertiva III, mas ela contraria o art. 46, caput, da LGPD, que impõe dever obrigatório de adoção de medidas técnicas e administrativas de segurança. Consentimento não elimina esse dever. Além disso, exclui II e IV, que são juridicamente sustentáveis: II por compatibilidade com o dever de segurança do art. 46 e IV porque o art. 48 prevê comunicação de incidente quando houver risco ou dano relevante.BCertaA alternativa B está correta porque reúne exatamente as assertivas compatíveis com a LGPD. A I está amparada pelo art. 23, caput e inciso I, reforçado pelo art. 6º, I, pois o tratamento pelo poder público exige finalidade pública e vínculo com competência ou atribuição legal, não bastando mera conveniência administrativa. A II é compatível com o art. 46, caput: controle de acesso por perfis e logs de autenticação se enquadram como medidas técnicas e administrativas aptas à proteção dos dados e à rastreabilidade das ações no sistema. A IV corresponde ao art. 48, caput, que condiciona a comunicação do incidente à possibilidade de risco ou dano relevante aos titulares, o que depende da avaliação concreta do caso. A V está de acordo com o art. 5º, XI, e com o art. 12, caput: a anonimização por meios técnicos razoáveis e disponíveis pode retirar o dado do regime de dado pessoal, desde que não haja reversão por meios próprios nem com esforços razoáveis. A III é falsa porque contraria diretamente o art. 46, caput: a base legal do tratamento, inclusive consentimento, não dispensa medidas de segurança.CErradaIncorreta. A alternativa exclui a assertiva I, mas ela está de acordo com o art. 23, caput e inciso I, da LGPD, segundo o qual o tratamento de dados por pessoa jurídica de direito público deve atender finalidade pública e executar competências legais ou cumprir atribuições legais do serviço público. O art. 6º, I, ainda reforça a exigência de finalidades específicas e compatíveis.DErradaIncorreta. A alternativa exclui a assertiva IV, embora o art. 48, caput, da LGPD seja expresso ao determinar a comunicação à autoridade nacional e ao titular quando o incidente puder acarretar risco ou dano relevante aos titulares. Portanto, IV não pode ser retirada do conjunto das verdadeiras.EErradaIncorreta. A alternativa considera verdadeira a assertiva III, mas isso viola o art. 46, caput, da LGPD. O dever de segurança é autônomo e obrigatório; não depende da base legal adotada para o tratamento e não é afastado por consentimento do titular.Pegadinha da questãoA banca explorou principalmente a confusão entre base legal do tratamento e dever de segurança: o consentimento pode legitimar o tratamento em hipóteses cabíveis, mas não dispensa as medidas técnicas e administrativas de proteção exigidas pela LGPD.Dica para questões semelhantesNo setor público, verifique sempre se o tratamento está ligado à finalidade pública e à competência ou atribuição legal; conveniência administrativa, sozinha, não basta.Não confunda fundamento para tratar dados com dever de protegê-los: o art. 46 impõe segurança em qualquer caso.Em incidente de segurança, procure o requisito legal específico: comunicação depende de risco ou dano relevante aos titulares.Na anonimização, confirme sempre a ressalva da reversibilidade por meios próprios ou com esforços razoáveis.

🚀 Mais performance?

🚀 Mais performance?

Uma fundação pública estadual ...

Gabarito comentado

Gabarito: B

Clique para visualizar este gabarito

Questões de assuntos semelhantes

Provas relacionadas