Uma autarquia municipal implantou um novo sistema informati...

Próximas questões
Com base no mesmo assunto
Q3992829
Direito Digital Lei nº 13.709 de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD) ,
Ano: 2026 Banca: UNIDAVI Órgão: Prefeitura de Agrolândia - SC Prova: UNIDAVI - 2026 - Prefeitura de Agrolândia - SC - Fiscal Sanitário II |
Q3992829 Direito Digital
Uma autarquia municipal implantou um novo sistema informatizado para cadastro de usuários de serviços públicos. Durante a implementação, surgiram discussões sobre armazenamento de dados pessoais, controle de acesso interno, compartilhamento de informações com terceiros e procedimentos em caso de incidente de segurança. À luz da Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e de práticas de proteção de sistemas informatizados, analise as alternativas a seguir e assinale a CORRETA.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: E

Fundamento decisivo: Lei nº 13.709/2018, art. 48, caput: "Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares." No caso narrado, havendo incidente de segurança com esse potencial, a consequência jurídica é o dever de comunicação, o que confirma o gabarito E.

Tema central: Incidente de segurança na LGPD
Análise das alternativas
A
Errada
Está errada porque atribui ao princípio da necessidade uma vedação que a LGPD não faz. O art. 6º, III, dispõe: "Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;" Isso não proíbe controle de acesso por login individual nem logs de auditoria. Ao contrário, o art. 46, caput, exige medidas de segurança: "Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito."
B
Errada
Está errada por violação direta ao princípio da finalidade. O art. 6º, I, da LGPD é expresso: "Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;" Portanto, a coleta não pode ocorrer sem finalidade específica previamente informada ao titular.
C
Errada
Está errada porque o consentimento não é a única base legal de tratamento. O art. 7º, caput, afirma: "Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:" e o próprio dispositivo traz várias hipóteses. Entre elas, o inciso I prevê o consentimento: "I - mediante o fornecimento de consentimento pelo titular;" e o inciso III prevê hipótese própria para o poder público: "III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;"
D
Errada
Está errada porque contraria o âmbito de incidência da LGPD. O art. 1º, caput, dispõe: "Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural." Além disso, o art. 23, caput, confirma a aplicação ao poder público: "Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:"
E
Certa
A alternativa E está correta porque reproduz o dever legal imposto ao controlador pela LGPD em caso de incidente de segurança com potencial de risco ou dano relevante aos titulares. O fundamento específico é o art. 48, caput, da Lei nº 13.709/2018, que estabelece a comunicação à autoridade nacional e ao titular.
Pegadinha da questão
A banca misturou afirmações absolutas erradas sobre finalidade, bases legais, incidência sobre o poder público e segurança da informação. A alternativa correta decorre da literalidade do art. 48.
Dica para questões semelhantes
  • Quando aparecer incidente de segurança na LGPD, confira primeiro o art. 48: risco ou dano relevante gera dever de comunicação à autoridade nacional e ao titular.
  • Se a alternativa disser que consentimento é a única base legal, elimine-a pelo art. 7º, que prevê várias hipóteses, inclusive para a administração pública.
  • Se a questão sugerir que a LGPD não vale para órgão público, confronte com o art. 1º e com o art. 23.
  • Não confunda o princípio da necessidade do art. 6º, III, com proibição abstrata de medidas de segurança exigidas pelo art. 46.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Alternativa E

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I - a descrição da natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:

I - ampla divulgação do fato em meios de comunicação; e

II - medidas para reverter ou mitigar os efeitos do incidente.

§ 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas