Fundamento decisivo: Lei nº 13.709/2018, arts. 6º, I e II, e 46, caput: “Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.” Como o enunciado trata de autarquia federal que revisa procedimentos de tratamento de dados pessoais em sistemas informatizados, aplica-se exatamente essa disciplina legal, o que torna correta a alternativa que exige finalidade legítima e medidas de segurança adequadas.

• Se a alternativa falar em segurança da informação, verifique se ela soma esse dever aos princípios da LGPD; segurança não substitui finalidade e adequação.
• Ao aparecer órgão, entidade ou autarquia pública, lembre que a LGPD se aplica também a pessoa jurídica de direito público, conforme o art. 1º.
• Desconfie de expressões como “livremente”, “independentemente da finalidade” ou “dispensa”; na LGPD, o tratamento depende de finalidade legítima e compatibilidade com o contexto.
• Quando a questão mencionar prevenção de acessos não autorizados ou uso indevido, o critério decisivo costuma estar no art. 46 da LGPD.