Uma fundação pública estadual implementou um novo
sistema informatizado para gestão de benefícios sociais.
Durante auditoria interna, foram analisadas práticas
relacionadas ao tratamento de dados pessoais, perfis de
acesso ao sistema, registros de logs, armazenamento
em nuvem e resposta a incidentes de segurança, à luz
da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados −
LGPD). Considerando os princípios da LGPD e medidas
de proteção de sistemas informatizados, analise as afirmativas a seguir:
I. O tratamento de dados pessoais pela Administração
Pública deve observar finalidades específicas e
compatíveis com a atribuição legal do órgão, não sendo
suficiente a mera conveniência administrativa.
II. A implementação de controle de acesso baseado em
perfis e registro de logs de autenticação pode contribuir
para a responsabilização e rastreabilidade de ações
realizadas no sistema.
III .A existência de consentimento do titular torna
dispensável a adoção de medidas técnicas e
administrativas de segurança para proteção dos dados
armazenados em sistemas informatizados.
IV. A comunicação de incidente de segurança à
Autoridade Nacional de Proteção de Dados (ANPD) pode
ser exigida quando houver risco ou dano relevante aos
titulares, conforme avaliação do caso concreto.
V. A anonimização, quando realizada por meios técnicos
razoáveis e disponíveis, pode descaracterizar o dado
pessoal para fins de aplicação da LGPD, desde que não
seja possível a reversão com esforços proporcionais.
Assinale a alternativa CORRETA.

Question

Uma fundação pública estadual implementou um novo
sistema informatizado para gestão de benefícios sociais.
Durante auditoria interna, foram analisadas práticas
relacionadas ao tratamento de dados pessoais, perfis de
acesso ao sistema, registros de logs, armazenamento
em nuvem e resposta a incidentes de segurança, à luz
da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados −
LGPD). Considerando os princípios da LGPD e medidas
de proteção de sistemas informatizados, analise as afirmativas a seguir:
I. O tratamento de dados pessoais pela Administração
Pública deve observar finalidades específicas e
compatíveis com a atribuição legal do órgão, não sendo
suficiente a mera conveniência administrativa.
II. A implementação de controle de acesso baseado em
perfis e registro de logs de autenticação pode contribuir
para a responsabilização e rastreabilidade de ações
realizadas no sistema.
III .A existência de consentimento do titular torna
dispensável a adoção de medidas técnicas e
administrativas de segurança para proteção dos dados
armazenados em sistemas informatizados.
IV. A comunicação de incidente de segurança à
Autoridade Nacional de Proteção de Dados (ANPD) pode
ser exigida quando houver risco ou dano relevante aos
titulares, conforme avaliação do caso concreto.
V. A anonimização, quando realizada por meios técnicos
razoáveis e disponíveis, pode descaracterizar o dado
pessoal para fins de aplicação da LGPD, desde que não
seja possível a reversão com esforços proporcionais.
Assinale a alternativa CORRETA. Alternativa A: Apenas as afirmativas I, II e V são verdadeiras. Ou Alternativa B: As afirmativas I, II, III, IV e V são verdadeiras.  Ou Alternativa C: Apenas as afirmativas II, IV e V são verdadeiras. Ou Alternativa D: Apenas as afirmativas I, III e V são verdadeiras.  Ou Alternativa E: Apenas as afirmativas I, II, IV e V são verdadeiras.

Qconcursos · Accepted Answer

Alternativa [E] Apenas as afirmativas I, II, IV e V são verdadeiras.  Gabarito: EFundamento decisivo: Lei nº 13.709/2018, arts. 23, caput, I; 46, caput; 48, caput; 12, caput. “Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público (...).” “Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.” “Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.” “Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.”Tema central: Princípios e segurança na LGPDAnálise das alternativasAErradaIncorreta porque exclui a assertiva IV. O art. 48, caput, da LGPD é expresso: “O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.” Portanto, a IV está correta e não poderia ficar fora da alternativa.BErradaIncorreta porque inclui a assertiva III. O art. 46, caput, da LGPD impõe dever autônomo de segurança: “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais...”. Logo, a existência de consentimento não torna dispensável a adoção dessas medidas.CErradaIncorreta porque exclui a assertiva I. O art. 23, caput, I, da LGPD vincula o tratamento de dados pelo poder público à finalidade pública, ao interesse público e à execução de competências legais ou cumprimento de atribuições legais do serviço público. Além disso, o art. 6º, I e II, exige finalidade e adequação. Assim, não basta mera conveniência administrativa.DCertaIncorreta por duas razões jurídicas objetivas: inclui a III, que contraria o art. 46, e exclui a II e a IV. A II é compatível com o dever de adotar medidas técnicas e administrativas de segurança e com os princípios da segurança e da responsabilização e prestação de contas do art. 6º, VII e X. A IV está expressamente de acordo com o art. 48.ECertaA alternativa E é a correta porque reúne exatamente as assertivas compatíveis com a LGPD. A I está amparada pelo art. 23, caput, I, e pelos princípios do art. 6º, I e II: no poder público, o tratamento deve estar vinculado à finalidade pública, ao interesse público e às competências ou atribuições legais, não bastando mera conveniência administrativa. A II é juridicamente válida como decorrência do art. 46 e dos princípios do art. 6º, VII e X: controle de acesso por perfis e registros de logs são medidas técnicas e administrativas aptas à proteção, rastreabilidade e responsabilização. A IV reproduz o art. 48, que exige comunicação do incidente quando ele puder acarretar risco ou dano relevante. A V decorre dos arts. 5º, III e XI, e 12: a anonimização efetiva, com meios técnicos razoáveis e disponíveis e sem reversão por meios próprios ou esforços razoáveis, retira do dado a condição de dado pessoal para fins da LGPD. Já a III é incompatível com o art. 46, pois o consentimento não dispensa medidas de segurança.Pegadinha da questãoA banca explorou principalmente a confusão entre consentimento e dever de segurança: mesmo havendo consentimento, permanece íntegra a obrigação legal do art. 46. Também exigiu perceber que a LGPD não precisa nomear “logs” e “perfis de acesso” para que esses mecanismos sejam aceitos como medidas de segurança e responsabilização.Dica para questões semelhantesEm tratamento de dados pelo poder público, procure a vinculação à finalidade pública e às competências ou atribuições legais; “conveniência administrativa” isolada não basta.Se a alternativa sugerir que consentimento afasta deveres de proteção, elimine-a: o dever de segurança do art. 46 é autônomo.Em incidente de segurança, o critério legal é possibilidade de risco ou dano relevante, não a ocorrência de dano já consumado.Em anonimização, verifique sempre a ressalva da reversibilidade por meios próprios ou esforços razoáveis.

🚀 Mais performance?

🚀 Mais performance?

Uma fundação pública estadual implementou um novo sistema i...

Gabarito comentado

Gabarito: E

Clique para visualizar este gabarito

Questões de assuntos semelhantes

Provas relacionadas