A Secretaria de Estado da Educação, atuando como Controladora, sofreu um ataque cibernético em seu sistema acadêmico, hospedado por uma empresa terceirizada de tecnologia educacional (Operadora). O incidente resultou no vazamento de milhares de laudos socioeconômicos de alunos e relatórios de progressão funcional de professores. Rafael, Analista Administrativo e membro do comitê de privacidade, foi convocado para acionar o plano de contingência e orientar a alta gestão. Considerando a situação descrita, a sistemática de notificação de incidentes e as regras de Boas Práticas e Governança estabelecidas na Lei Geral de Proteção de Dados Pessoais (LGPD), analise as assertivas a seguir:

I.O programa de governança em privacidade implementado pela instituição pública deve abranger todo o conjunto de dados pessoais sob seu controle, independentemente de os dados dos alunos e dos professores terem sido coletados fisicamente ou mediante plataformas digitais de ensino.

II.Diante da expressiva gravidade do vazamento, a comprovação da existência de um plano prévio de resposta a incidentes exime a instituição pública da obrigatoriedade legal de notificar a Autoridade Nacional de Proteção de Dados e os respectivos titulares afetados.

III.A empresa terceirizada de tecnologia encontra-se legalmente impedida de formular regras próprias de governança, visto que a legislação concentra a competência regulamentar de boas práticas de forma exclusiva e intransferível na figura institucional da universidade controladora dos dados.

IV.A Secretaria deverá demonstrar a efetividade de seu programa de governança em privacidade quando requerida pela autoridade nacional, cabendo-lhe comprovar que a referida política institucional é atualizada constantemente com base em monitoramento contínuo e em avaliações periódicas de risco cibernético.

V.Visando preservar o princípio da isonomia administrativa, a lei exige que o programa de governança da Secretaria seja estruturalmente idêntico aos formulados por escolas básicas, sendo legalmente irrelevante a dimensão de suas operações acadêmicas ou a sensibilidade dos dados tratados.

É correto o que se afirma em: