Uma fundação pública estadual implementou um novo sistema i...

Próximas questões
Com base no mesmo assunto
Q3993631
Direito Digital Lei nº 13.709 de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD) ,
Ano: 2026 Banca: UNIDAVI Órgão: Prefeitura de Agrolândia - SC Prova: UNIDAVI - 2026 - Prefeitura de Agrolândia - SC - Tesoureiro I |
Q3993631 Direito Digital
Uma fundação pública estadual implementou um novo sistema informatizado para gestão de benefícios sociais. Durante auditoria interna, foram analisadas práticas relacionadas ao tratamento de dados pessoais, perfis de acesso ao sistema, registros de logs, armazenamento em nuvem e resposta a incidentes de segurança, à luz da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados − LGPD). Considerando os princípios da LGPD e medidas de proteção de sistemas informatizados, analise as afirmativas a seguir:

I. O tratamento de dados pessoais pela Administração Pública deve observar finalidades específicas e compatíveis com a atribuição legal do órgão, não sendo suficiente a mera conveniência administrativa.
II. A implementação de controle de acesso baseado em perfis e registro de logs de autenticação pode contribuir para a responsabilização e rastreabilidade de ações realizadas no sistema.
III. A existência de consentimento do titular torna dispensável a adoção de medidas técnicas e administrativas de segurança para proteção dos dados armazenados em sistemas informatizados.
IV. A comunicação de incidente de segurança à Autoridade Nacional de Proteção de Dados (ANPD) pode ser exigida quando houver risco ou dano relevante aos titulares, conforme avaliação do caso concreto.
V. A anonimização, quando realizada por meios técnicos razoáveis e disponíveis, pode descaracterizar o dado pessoal para fins de aplicação da LGPD, desde que não seja possível a reversão com esforços proporcionais.

Assinale a alternativa CORRETA.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: B

Fundamento decisivo: Lei nº 13.709/2018 (LGPD), art. 23, caput e inciso I: "O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que: I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;" art. 46, caput: "Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito." art. 48, caput: "O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares." art. 12, caput: "Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido."

Tema central: LGPD no poder público
Análise das alternativas
A
Errada
Incorreta porque exclui a assertiva IV. Isso contraria o art. 48, caput, da LGPD, segundo o qual o controlador deverá comunicar à autoridade nacional e ao titular o incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Logo, IV é verdadeira e não poderia ser retirada.
B
Certa
A alternativa B é a correta porque reúne exatamente as assertivas compatíveis com a LGPD. A I está amparada pelo art. 23 da Lei nº 13.709/2018, que vincula o tratamento de dados pela Administração Pública à finalidade pública, ao interesse público e à execução de competências ou atribuições legais, afastando a mera conveniência administrativa. A II é correta porque controle de acesso por perfis e registros de logs são mecanismos compatíveis com os deveres gerais de segurança, prevenção e rastreabilidade no tratamento de dados. A IV corresponde ao art. 48, caput, que exige comunicação de incidente quando ele puder acarretar risco ou dano relevante aos titulares. A V decorre do art. 12, caput: dados anonimizados, em regra, não são considerados dados pessoais para fins da LGPD, salvo reversão por meios próprios ou com esforços razoáveis. A III é falsa porque o art. 46 impõe, de modo obrigatório, medidas técnicas e administrativas de segurança; o consentimento do titular não elimina esse dever legal.
C
Errada
Incorreta porque considera verdadeira a assertiva III. O erro jurídico está em afrontar o art. 46, caput, da LGPD, que impõe aos agentes de tratamento a adoção de medidas técnicas e administrativas de segurança. Esse dever é legal e não se torna dispensável pela existência de consentimento.
D
Errada
Incorreta porque exclui a assertiva I. O art. 23, caput, da LGPD expressamente exige que o tratamento de dados pelo poder público atenda à finalidade pública, ao interesse público e à execução das competências legais ou atribuições legais do serviço público. Portanto, I é verdadeira.
E
Errada
Incorreta por dois motivos jurídicos objetivos: inclui a assertiva III, que é incompatível com o art. 46 da LGPD, e exclui a assertiva IV, que está de acordo com o art. 48, caput. Assim, erra tanto ao dispensar indevidamente o dever de segurança quanto ao ignorar a regra legal de comunicação de incidente com risco ou dano relevante.
Pegadinha da questão
A banca explorou principalmente a confusão entre consentimento e segurança: o consentimento pode ser base para tratamento em hipóteses próprias, mas não afasta o dever legal de adotar medidas técnicas e administrativas de proteção. Também testou se o candidato sabia que, no poder público, não basta conveniência administrativa: é necessária finalidade pública vinculada à competência legal.
Dica para questões semelhantes
  • Em Administração Pública, confira primeiro se o tratamento está ligado à finalidade pública e à competência ou atribuição legal do órgão; mera conveniência não basta.
  • Nunca trate consentimento como substituto do dever de segurança: medidas técnicas e administrativas continuam obrigatórias.
  • Na comunicação de incidente, procure o requisito legal decisivo: risco ou dano relevante aos titulares.
  • Na anonimização, verifique sempre a ressalva da reversibilidade por meios próprios ou com esforços razoáveis.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Algumas questões quando a afirmativa está incompleta está errada, outras certas. Aí fica complicado.

A comunicação de incidente de segurança à Autoridade Nacional de Proteção de Dados (ANPD) pode ser exigida quando houver risco ou dano relevante aos titulares, conforme avaliação do caso concreto.

V. A anonimização, quando realizada por meios técnicos razoáveis e disponíveis, pode descaracterizar o dado pessoal para fins de aplicação da LGPD, desde que não seja possível a reversão com esforços proporcionais.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas