A equipe de TI de um órgão público está atualizando a sua a...

Próximas questões
Com base no mesmo assunto
Q3883239
Segurança da Informação Criptografia , Controles de segurança ,
Ano: 2026 Banca: FGV Órgão: AL-RO Prova: FGV - 2026 - AL-RO - Analista Legislativo (Engenharia Eletrônica e Telecomunicação) |
Q3883239 Segurança da Informação
A equipe de TI de um órgão público está atualizando a sua arquitetura de TI para adequá-la à LGPD, especialmente quanto aos requisitos técnicos de segurança previstos nos artigos 46 a 49 da lei. A equipe identificou que determinados sistemas internos processam dados sensíveis de cidadãos, incluindo biometria facial e informações de saúde.
Para atender às exigências legais, foram implementadas as seguintes medidas técnicas:
1. Criptografia dos bancos de dados e dos backups; 2. Pseudonimização dos relatórios de análise; 3. Registro detalhado de logs de acesso; 4. Controle de acesso baseado em perfis e MFA; e 5. Segmentação de rede e monitoração contínua.

Considerando os dispositivos técnicos da LGPD e boas práticas de engenharia de segurança, é correto afirmar que
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: E

Fundamento decisivo: O decisivo foi o art. 46 da LGPD prever medidas de segurança, técnicas e administrativas, em fórmula aberta, de modo que a lista do enunciado não pode ser lida como excludente dos demais controles.

Tema central: Medidas de segurança no art. 46 da LGPD
Análise das alternativas
A
Errada
Está errada porque restringe indevidamente a LGPD a criptografia e pseudonimização. O art. 46 adota abrangência aberta de medidas de segurança, de modo que logs, segmentação e MFA também podem integrar as salvaguardas técnicas e administrativas exigidas.
B
Errada
Está errada por dois motivos concretos: pseudonimização não equivale a descarte seguro e não dispensa outros controles. Pela base, ela reduz a vinculação direta ao titular, mas não elimina a necessidade de logs, autenticação e controle de acesso.
C
Errada
Está errada porque confunde controles de segurança com o princípio da necessidade. Criptografia e MFA ajudam na proteção, mas não satisfazem integralmente a limitação ao mínimo necessário nem autorizam retenção indefinida de dados sensíveis.
D
Errada
Está errada porque trata logs como violação necessária da minimização, quando a base afirma o contrário: registros de acesso podem ser medida legítima de segurança, auditoria, rastreabilidade e resposta a incidentes. Portanto, não devem ser afastados por esse motivo.
E
Certa
A alternativa E está correta porque se apoia no critério certo do art. 46 da LGPD: a lei não fecha um rol de mecanismos, mas exige medidas de segurança, técnicas e administrativas, aptas a proteger os dados contra acesso não autorizado e tratamento inadequado ou ilícito. Nesse contexto, criptografia, autenticação multifator, segmentação de rede, monitoramento contínuo e registros de acesso se enquadram materialmente como salvaguardas válidas. O acerto da alternativa está nessa compatibilidade com a cláusula ampla do art. 46.
Pegadinha da questão
A confusão explorada foi ler o art. 46 como se trouxesse um rol fechado de salvaguardas e, daí, excluir controles clássicos de segurança como logs, MFA, segmentação e monitoramento.
Dica para questões semelhantes
  • Quando a LGPD exigir medidas de segurança pelo art. 46, pense em cláusula ampla de proteção, não em lista taxativa de controles.
  • Não confunda técnica de privacidade, como pseudonimização, com descarte de dados nem com substituição de autenticação, autorização e auditoria.
  • Separe controles de segurança da informação de princípios como necessidade: proteger melhor não autoriza guardar dados por mais tempo.
  • Logs de acesso, em contexto de segurança, são indício de conformidade técnica, não de incompatibilidade automática com a LGPD.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Os artigos 46 a 49 da LGPD tratam especificamente da segurança técnica e administrativa para proteção de dados pessoais. O art. 46 determina que o controlador e o operador devem adotar:

“medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas”.

Embora a LGPD não liste um conjunto fechado de controles, ela cita explicitamente exemplos como:

  • Criptografia
  • Pseudonimização
  • Controles de acesso
  • Medidas preventivas e de mitigação
  • Boas práticas e governança

E também remete à adoção de padrões técnicos reconhecidos, como:

  • segmentação e isolamento;
  • monitoramento contínuo;
  • registro de logs;
  • autenticação forte (MFA).

Portanto, todos os mecanismos descritos na alternativa E são aceitos como salvaguardas válidas sob o art. 46. (Fonte IA)

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.

§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I - a descrição da natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:

I - ampla divulgação do fato em meios de comunicação; e

II - medidas para reverter ou mitigar os efeitos do incidente.

§ 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.

Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas