Um órgão público estadual instituiu um sistema integrado de gestão de dados dos cidadãos para subsidiar políticas públicas nas áreas de saúde e assistência social. Para tanto, contratou uma empresa especializada em tecnologia da informação (operadora), responsável pelo armazenamento e processamento dos dados, sob estritas diretrizes fixadas pela Administração Pública (controladora).
Durante a execução do contrato, ocorreu um incidente de segurança que resultou na exposição indevida de dados pessoais. Após auditoria conduzida no âmbito do controle interno e com apoio da governança de dados instituída pelo órgão, verificou-se que a empresa operadora cumpriu integralmente as cláusulas contratuais, adotou medidas de segurança compatíveis com os padrões exigidos e seguiu rigorosamente as instruções lícitas do ente público. Constatou-se, ainda, que o incidente decorreu de ação maliciosa de hackers, caracterizando fato exclusivo de terceiro, sem qualquer falha atribuível à operadora.
Considerando os princípios da gestão pública contemporânea, especialmente aqueles relacionados à governança, responsabilização e controle, bem como as disposições da Lei nº 13.709/2018 (LGPD), assinale a alternativa correta: