Uma fundação pública estadual implementou um novo
sistema informatizado para gestão de benefícios sociais.
Durante auditoria interna, foram analisadas práticas
relacionadas ao tratamento de dados pessoais, perfis de
acesso ao sistema, registros de logs, armazenamento
em nuvem e resposta a incidentes de segurança, à luz
da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados −
LGPD). Considerando os princípios da LGPD e medidas
de proteção de sistemas informatizados, analise as
afirmativas a seguir:
I.O tratamento de dados pessoais pela Administração
Pública deve observar finalidades específicas e
compatíveis com a atribuição legal do órgão, não sendo
suficiente a mera conveniência administrativa.
II.A implementação de controle de acesso baseado em
perfis e registro de logs de autenticação pode contribuir
para a responsabilização e rastreabilidade de ações
realizadas no sistema. III.A existência de consentimento do titular torna
dispensável a adoção de medidas técnicas e
administrativas de segurança para proteção dos dados
armazenados em sistemas informatizados.
IV.A comunicação de incidente de segurança à
Autoridade Nacional de Proteção de Dados (ANPD) pode
ser exigida quando houver risco ou dano relevante aos
titulares, conforme avaliação do caso concreto.
V.A anonimização, quando realizada por meios técnicos
razoáveis e disponíveis, pode descaracterizar o dado
pessoal para fins de aplicação da LGPD, desde que não
seja possível a reversão com esforços proporcionais.
Assinale a alternativa CORRETA.

Question

Uma fundação pública estadual implementou um novo
sistema informatizado para gestão de benefícios sociais.
Durante auditoria interna, foram analisadas práticas
relacionadas ao tratamento de dados pessoais, perfis de
acesso ao sistema, registros de logs, armazenamento
em nuvem e resposta a incidentes de segurança, à luz
da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados −
LGPD). Considerando os princípios da LGPD e medidas
de proteção de sistemas informatizados, analise as
afirmativas a seguir:
I.O tratamento de dados pessoais pela Administração
Pública deve observar finalidades específicas e
compatíveis com a atribuição legal do órgão, não sendo
suficiente a mera conveniência administrativa.
II.A implementação de controle de acesso baseado em
perfis e registro de logs de autenticação pode contribuir
para a responsabilização e rastreabilidade de ações
realizadas no sistema.  III.A existência de consentimento do titular torna
dispensável a adoção de medidas técnicas e
administrativas de segurança para proteção dos dados
armazenados em sistemas informatizados.
IV.A comunicação de incidente de segurança à
Autoridade Nacional de Proteção de Dados (ANPD) pode
ser exigida quando houver risco ou dano relevante aos
titulares, conforme avaliação do caso concreto.
V.A anonimização, quando realizada por meios técnicos
razoáveis e disponíveis, pode descaracterizar o dado
pessoal para fins de aplicação da LGPD, desde que não
seja possível a reversão com esforços proporcionais.
Assinale a alternativa CORRETA. Alternativa A: Apenas as afirmativas I, II e V são verdadeiras. Ou Alternativa B: Apenas as afirmativas II, IV e V são verdadeiras. Ou Alternativa C: Apenas as afirmativas II, IV e V são verdadeiras. Ou Alternativa D: Apenas as afirmativas I, III e V são verdadeiras.  Ou Alternativa E: As afirmativas I, II, III, IV e V são verdadeiras.

Qconcursos · Accepted Answer

Alternativa [C] Apenas as afirmativas II, IV e V são verdadeiras. Gabarito: CFundamento decisivo: Lei nº 13.709/2018, art. 46, caput: "Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito." Assim, a assertiva III é falsa, pois o consentimento não afasta esse dever legal autônomo; por isso, a alternativa C permanece compatível com o gabarito oficial.Tema central: LGPD no poder públicoAnálise das alternativasAErradaEstá errada porque exclui a assertiva IV, que encontra amparo direto na Lei nº 13.709/2018, art. 48, caput: "O controlador comunicará à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares." O erro jurídico é afastar requisito legal expresso de comunicação de incidente com risco ou dano relevante.BErradaEstá errada no plano formal da prova porque repete exatamente o conteúdo da alternativa C. A própria base registra vício objetivo de duplicidade material entre B e C; diante do gabarito oficial informado, a assinalada correta foi C, embora haja defeito formal que poderia ensejar discussão de anulação.CCertaA alternativa C é a que foi adotada pela banca. A assertiva III é incompatível com o art. 46 da LGPD, que impõe medidas técnicas e administrativas de segurança independentemente da base legal do tratamento. A assertiva IV está de acordo com a Lei nº 13.709/2018, art. 48, caput: "O controlador comunicará à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares." A assertiva V também está correta à luz da Lei nº 13.709/2018, art. 5º, XI: "anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;" e do art. 12, caput: "Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido." Quanto à assertiva II, a base admite sua compatibilidade com o dever de segurança, responsabilização e rastreabilidade. Já a assertiva I é um ponto de incerteza relevante: ela é próxima dos princípios da finalidade e adequação e do regime legal do tratamento pelo poder público, mas a banca não a acolheu; para manter o gabarito oficial, deve-se considerá-la inadequada por leitura estrita do regime específico da Administração Pública, à luz dos arts. 7º, III, e 23, caput, sem tratá-la como falsidade inequívoca.DErradaEstá errada porque considera verdadeira a assertiva III, mas isso contraria frontalmente a Lei nº 13.709/2018, art. 46, caput, que impõe dever legal de segurança aos agentes de tratamento. O consentimento não dispensa medidas técnicas e administrativas de proteção.EErradaEstá errada porque inclui a assertiva III como verdadeira. Isso viola o art. 46 da LGPD, segundo o qual a segurança da informação é obrigação autônoma dos agentes de tratamento, sem afastamento por consentimento do titular.Pegadinha da questãoA confusão real foi tratar o consentimento como se ele dispensasse obrigações legais permanentes de segurança. Houve ainda defeito formal relevante: as alternativas B e C são idênticas, o que configura vício da questão e poderia justificar discussão de anulação. Além disso, a assertiva I foi redigida de modo próximo aos princípios da LGPD, mas a banca só preserva o gabarito C se exigir leitura estrita do regime específico do tratamento de dados pelo poder público.Dica para questões semelhantesSe a alternativa disser que consentimento afasta dever de segurança, elimine-a pelo art. 46 da LGPD.Incidente de segurança não exige dano consumado: o art. 48 basta com risco ou dano relevante aos titulares.Anonimização só retira, em regra, a incidência da LGPD quando não houver reversão por meios próprios ou com esforços razoáveis.Em tratamento pela Administração Pública, confira o regime específico dos arts. 7º, III, e 23, caput, sem reduzir a análise a fórmulas genéricas de conveniência administrativa.

🚀 Quer mais performance?

🚀 Quer mais performance?

Uma fundação pública estadual implementou um novo sistema i...

Gabarito comentado

Gabarito: C

Clique para visualizar este gabarito

Comentários

Clique para visualizar este comentário

Questões de assuntos semelhantes

Provas relacionadas