Uma fundação pública estadual implementou um novo sistema i...

Próximas questões
Com base no mesmo assunto
Q3992018
Direito Digital Lei nº 13.709 de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD) ,
Ano: 2026 Banca: UNIDAVI Órgão: Prefeitura de Agrolândia - SC Prova: UNIDAVI - 2026 - Prefeitura de Agrolândia - SC - Nutricionista |
Q3992018 Direito Digital
Uma fundação pública estadual implementou um novo sistema informatizado para gestão de benefícios sociais. Durante auditoria interna, foram analisadas práticas relacionadas ao tratamento de dados pessoais, perfis de acesso ao sistema, registros de logs, armazenamento em nuvem e resposta a incidentes de segurança, à luz da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados − LGPD). Considerando os princípios da LGPD e medidas de proteção de sistemas informatizados, analise as afirmativas a seguir: 

I.O tratamento de dados pessoais pela Administração Pública deve observar finalidades específicas e compatíveis com a atribuição legal do órgão, não sendo suficiente a mera conveniência administrativa.
II.A implementação de controle de acesso baseado em perfis e registro de logs de autenticação pode contribuir para a responsabilização e rastreabilidade de ações realizadas no sistema.
III.A existência de consentimento do titular torna dispensável a adoção de medidas técnicas e administrativas de segurança para proteção dos dados armazenados em sistemas informatizados.
IV.A comunicação de incidente de segurança à Autoridade Nacional de Proteção de Dados (ANPD) pode ser exigida quando houver risco ou dano relevante aos titulares, conforme avaliação do caso concreto.
V.A anonimização, quando realizada por meios técnicos razoáveis e disponíveis, pode descaracterizar o dado pessoal para fins de aplicação da LGPD, desde que não seja possível a reversão com esforços proporcionais.

Assinale a alternativa CORRETA. 
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: A

Fundamento decisivo: Lei nº 13.709/2018 (LGPD), arts. 23, caput e inciso I; 46, caput; 48, caput; 5º, XI; 12, caput: "Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que: I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;" "Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito." "Art. 48. O controlador comunicará à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares." "Art. 5º Para os fins desta Lei, considera-se: XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;" "Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido."

Tema central: LGPD no poder público
Análise das alternativas
A
Certa
A alternativa A é a correta porque reúne exatamente as assertivas compatíveis com a LGPD. A I está amparada pelo art. 23, que exige finalidade pública, interesse público e execução de competência ou atribuição legal, afastando a mera conveniência administrativa. A II é juridicamente válida porque perfis de acesso e logs são medidas compatíveis com os deveres de segurança, prevenção e responsabilização, em consonância com o art. 46 e com os princípios do art. 6º, incisos VII e VIII. A IV corresponde ao art. 48, que condiciona a comunicação do incidente à possibilidade de risco ou dano relevante aos titulares. A V decorre dos arts. 5º, XI, e 12: a anonimização, quando efetiva e não reversível com meios próprios ou esforços razoáveis, retira do dado a condição de dado pessoal para fins da LGPD. A III fica fora porque contraria frontalmente o art. 46.
B
Errada
Incorreta porque exclui a assertiva I, que é verdadeira. O art. 23 da LGPD exige que o tratamento de dados pela Administração Pública atenda finalidade pública, interesse público e execução de competências ou atribuições legais. Portanto, não se pode retirar a I do conjunto correto.
C
Errada
Incorreta porque exclui a assertiva IV, que é verdadeira. O art. 48 da LGPD determina a comunicação do incidente de segurança à autoridade nacional e ao titular quando ele puder acarretar risco ou dano relevante aos titulares. Logo, a IV integra o conjunto correto.
D
Errada
Incorreta por dois erros jurídicos objetivos. Primeiro, inclui a assertiva III, que é falsa, porque o art. 46 impõe a adoção de medidas técnicas e administrativas de segurança independentemente da base legal do tratamento, inclusive se houver consentimento. Segundo, exclui as assertivas II e IV, embora a II seja compatível com os deveres de segurança, prevenção e rastreabilidade, e a IV corresponda ao art. 48 da LGPD.
E
Errada
Incorreta porque considera verdadeira a assertiva III. Isso contraria o art. 46 da LGPD, que estabelece dever autônomo e obrigatório de segurança. Consentimento do titular não substitui nem dispensa medidas técnicas e administrativas de proteção dos dados.
Pegadinha da questão
A confusão real foi tratar o consentimento como se afastasse o dever de segurança. Na LGPD, a base legal do tratamento não elimina a obrigação do art. 46. Também houve a tentativa de banalizar o tratamento pelo poder público com a ideia de mera conveniência administrativa, o que o art. 23 não admite.
Dica para questões semelhantes
  • Em tratamento de dados pelo poder público, confira se há finalidade pública e vínculo com competência ou atribuição legal; conveniência administrativa, sozinha, não basta.
  • Separe base legal do tratamento de deveres de proteção: mesmo com consentimento, permanecem obrigatórias as medidas de segurança do art. 46.
  • Na comunicação de incidentes, procure o critério legal de risco ou dano relevante aos titulares; não presuma comunicação automática em todo caso.
  • Na anonimização, verifique a reversibilidade: se puder ser revertida com meios próprios ou esforços razoáveis, o dado não fica fora da LGPD.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Em relação ao item III (a única afirmativa errada), a existência de consentimento do titular não dispensa a adoção de medidas técnicas e administrativas de segurança, pois essas medidas são obrigatórias para todos os agentes de tratamento, conforme o art. 46 da LGPD. Veja bem, o consentimento do titular é apenas uma das bases legais para o tratamento de dados (art. 7º da LGPD). Mesmo havendo consentimento, o controlador continua responsável pela proteção dos dados, e continuam obrigatórias as medidas técnicas e administrativas de segurança. Dessa forma, o consentimento não dispensa as obrigações de segurança da informação.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas