Uma fundação pública estadual implementou um novo sistema i...

Próximas questões
Com base no mesmo assunto
Q3991418 Direito Digital
Uma fundação pública estadual implementou um novo sistema informatizado para gestão de benefícios sociais. Durante auditoria interna, foram analisadas práticas relacionadas ao tratamento de dados pessoais, perfis de acesso ao sistema, registros de logs, armazenamento em nuvem e resposta a incidentes de segurança, à luz da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados − LGPD). Considerando os princípios da LGPD e medidas de proteção de sistemas informatizados, analise as afirmativas a seguir:

I.O tratamento de dados pessoais pela Administração Pública deve observar finalidades específicas e compatíveis com a atribuição legal do órgão, não sendo suficiente a mera conveniência administrativa.
II.A implementação de controle de acesso baseado em perfis e registro de logs de autenticação pode contribuir para a responsabilização e rastreabilidade de ações realizadas no sistema.
III.A existência de consentimento do titular torna dispensável a adoção de medidas técnicas e administrativas de segurança para proteção dos dados armazenados em sistemas informatizados.
IV.A comunicação de incidente de segurança à Autoridade Nacional de Proteção de Dados (ANPD) pode ser exigida quando houver risco ou dano relevante aos titulares, conforme avaliação do caso concreto.
V.A anonimização, quando realizada por meios técnicos razoáveis e disponíveis, pode descaracterizar o dado pessoal para fins de aplicação da LGPD, desde que não seja possível a reversão com esforços proporcionais.

Assinale a alternativa CORRETA.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: A

Fundamento decisivo: Lei nº 13.709/2018 (LGPD), arts. 23, caput; 46, caput; 48, caput; 5º, XI; 12, caput: “Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que: (...) Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Art. 5º Para os fins desta Lei, considera-se: (...) XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo; (...) Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.”

Tema central: LGPD na Administração Pública
Análise das alternativas
A
Certa
A alternativa A está correta porque reúne exatamente as assertivas compatíveis com a LGPD. A I decorre do art. 23, caput: no poder público, o tratamento de dados deve atender à finalidade pública e à execução de competências legais ou atribuições legais, não bastando mera conveniência administrativa. A II é compatível com os princípios do art. 6º, I, VII, VIII e X, pois controle de acesso por perfis e registros de logs se alinham à segurança, prevenção e responsabilização/prestação de contas. A IV corresponde ao art. 48, caput, que exige comunicação do incidente quando ele possa acarretar risco ou dano relevante aos titulares. A V corresponde ao art. 5º, XI, combinado com o art. 12, caput: a anonimização, se feita por meios técnicos razoáveis e disponíveis e não reversível por meios próprios ou esforços razoáveis, retira em regra o dado do regime de dado pessoal. A III é a única falsa, porque o art. 46 impõe dever autônomo de segurança, independentemente de consentimento.
B
Errada
Incorreta porque trata a III como verdadeira e exclui II e IV. A III contraria diretamente o art. 46, caput, da LGPD: o consentimento do titular não dispensa a adoção de medidas técnicas e administrativas de segurança. Além disso, a II é compatível com os princípios do art. 6º, I, VII, VIII e X, e a IV reproduz o art. 48, caput.
C
Errada
Incorreta porque exclui a IV, que é verdadeira. O art. 48, caput, da LGPD determina a comunicação à autoridade nacional e ao titular quando o incidente de segurança possa acarretar risco ou dano relevante aos titulares.
D
Errada
Incorreta porque exclui a I, que é verdadeira. O art. 23, caput, da LGPD vincula o tratamento de dados pelo poder público à finalidade pública, ao interesse público e à execução de competências legais ou atribuições legais do serviço público, o que afasta a ideia de simples conveniência administrativa.
E
Errada
Incorreta porque considera a III verdadeira. Isso viola o art. 46, caput, da LGPD, que impõe dever permanente de adoção de medidas de segurança; consentimento não substitui nem afasta esse dever legal.
Pegadinha da questão
A banca explorou principalmente a confusão entre base legal/consentimento e dispensa de deveres de segurança. Também testou se o candidato percebe que, no poder público, o tratamento de dados não se justifica por mera conveniência administrativa, mas por finalidade pública e competência legal.
Dica para questões semelhantes
  • Em Administração Pública, confira primeiro se o tratamento está ligado à finalidade pública e à competência ou atribuição legal do órgão.
  • Consentimento nunca deve ser lido como autorização para relaxar segurança; o dever do art. 46 é autônomo.
  • Incidente de segurança não gera comunicação em qualquer hipótese: o critério legal é risco ou dano relevante aos titulares.
  • Anonimização só afasta, em regra, a incidência da LGPD quando não houver reversão por meios próprios nem com esforços razoáveis.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo