Durante a implantação de um novo sistema de gestão de client...
Diante da situação descrita, o cenário revela a necessidade de atuação conforme a LGPD, especialmente no que se refere às obrigações dos agentes de tratamento e ao regime de responsabilidade.
Portanto, é correto afirmar que:
- Gabarito Comentado (1)
- Aulas (5)
- Comentários (8)
- Estatísticas
- Cadernos
- Criar anotações
- Notificar Erro
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Gabarito: E
Fundamento decisivo: Lei nº 13.709/2018 (LGPD), arts. 37, 38 e 42, § 1º, I: “Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse. Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. § 1º A fim de assegurar a efetiva indenização ao titular dos dados: I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;”. No caso, a ANPD determinou relatório específico e o operador não seguiu integralmente as instruções lícitas da controladora, o que atrai a disciplina desses dispositivos e confirma o gabarito E.
- Em LGPD, confira sempre quem a lei nomeia expressamente como destinatário do dever: no art. 38, o relatório de impacto é do controlador.
- Não leia “inclusive” como cláusula de exclusão; ela amplia o alcance, não restringe a hipótese legal.
- No art. 37, o dever de manter registros recai sobre controlador e operador; se a alternativa atribui esse dever a um deles sem excluir o outro, isso não a torna errada por si só.
- Se o operador descumpre instruções lícitas do controlador, a consequência legal específica é responsabilidade solidária, nos termos do art. 42, § 1º, I.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
GABARITO E
LGPD
Da Responsabilidade e do Ressarcimento de Danos
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
A alternativa correta é a letra E.
A questão trata do tema Lei Geral de Proteção de Dados.
A alternativa A está incorreta. Conforme art. 10, § 3º, da LGPD: “Art. 10 (...) § 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.”
A alternativa B está incorreta. Conforme art. 38 da LGPD: “Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.” A alternativa C está incorreta.
Conforme art. 42, § 1º, da LGPD: “Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. § 1º A fim de assegurar a efetiva indenização ao titular dos dados: I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;”
A alternativa D está incorreta. A responsabilidade é solidária, vide comentário da letra C.
A alternativa E está correta. Conforme arts. 38 e 42, § 1º, da LGPD: “Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.”; “§ 1º A fim de assegurar a efetiva indenização ao titular dos dados: I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;”.
FONTE: PROVA COMENTADA ESTRATÉGIA CARREIRAS JURÍDICA
(A) caberá à controladora elaborar o relatório de impacto apenas quando houver regulamentação específica prévia e desde que o tratamento envolva dados sensíveis;
(A) INCORRETA. Conforme art. 5°, XVII, da LGPD, o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”. Nesse sentido:
Art. 5°.
[....]
XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
Esse documento avaliará o impacto de proteção de dados a fim de identificar e minimizar os riscos de proteção de dados de um projeto de conformidade.
A legislação brasileira atribuiu à autoridade nacional a competência para avaliar em quais casos será necessária a realização do relatório de impacto à proteção de dados pessoais. Além disso, o relatório de impacto não se aplica apenas se envolver dados sensíveis.
(B) caberá ao operador elaborar o relatório de impacto quando houver determinação da autoridade nacional, por ser o responsável direto pela execução das operações de tratamento;
(B) INCORRETA. o art. 38 prevê que a autoridade nacional poderá determinar ao controlador a elaboração do relatório de impacto, não ao operador. Assim, sua elaboração cabe ao controlador.
(C) caberá ao operador responder pelos danos apenas quando demonstrada atuação dolosa ou com elevado grau de negligência, hipótese em que se afasta a responsabilidade solidária com a controladora;
(C) INCORRETA. A LGPD não limita a responsabilidade do operador a dolo ou culpa grave. Ao contrário, prevê até a responsabilidade solidária nas hipóteses legais.
Da Responsabilidade e do Ressarcimento de Danos
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.
Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos