Uma fundação pública estadual implementou um novo
sistema informatizado para gestão de benefícios sociais.
Durante auditoria interna, foram analisadas práticas
relacionadas ao tratamento de dados pessoais, perfis de
acesso ao sistema, registros de logs, armazenamento
em nuvem e resposta a incidentes de segurança, à luz
da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados −
LGPD). Considerando os princípios da LGPD e medidas
de proteção de sistemas informatizados, analise as
afirmativas a seguir:I.O tratamento de dados pessoais pela Administração
Pública deve observar finalidades específicas compatíveis com a atribuição legal do órgão, não sendo
suficiente a mera conveniência administrativa.
II.A implementação de controle de acesso baseado em
perfis e registro de logs de autenticação pode contribuir
para a responsabilização e rastreabilidade de ações
realizadas no sistema.
III.A existência de consentimento do titular torna
dispensável a adoção de medidas técnicas e
administrativas de segurança para proteção dos dados
armazenados em sistemas informatizados.
IV.A comunicação de incidente de segurança à
Autoridade Nacional de Proteção de Dados (ANPD) pode
ser exigida quando houver risco ou dano relevante aos
titulares, conforme avaliação do caso concreto.
V.A anonimização, quando realizada por meios técnicos
razoáveis e disponíveis, pode descaracterizar o dado
pessoal para fins de aplicação da LGPD, desde que não
seja possível a reversão com esforços proporcionais.
Assinale a alternativa CORRETA.

Question

Uma         fundação         pública         estadual         implementou         um         novo
sistema         informatizado         para         gestão         de         benefícios         sociais.
Durante         auditoria         interna,         foram         analisadas         práticas
relacionadas         ao         tratamento         de         dados         pessoais,         perfis         de
acesso         ao         sistema,         registros         de         logs,         armazenamento
em         nuvem         e         resposta         a         incidentes         de         segurança,         à         luz
da         Lei         nº         13.709/2018         (Lei         Geral         de         Proteção         de         Dados         −
LGPD).         Considerando         os         princípios         da         LGPD         e         medidas
de         proteção         de         sistemas         informatizados,         analise         as
afirmativas         a         seguir:I.O         tratamento         de         dados         pessoais         pela         Administração
Pública         deve         observar         finalidades         específicas compatíveis         com         a         atribuição         legal         do         órgão,         não         sendo
suficiente         a         mera         conveniência         administrativa.
II.A         implementação         de         controle         de         acesso         baseado         em
perfis         e         registro         de         logs         de         autenticação         pode         contribuir
para         a         responsabilização         e         rastreabilidade         de         ações
realizadas         no         sistema.
III.A         existência         de         consentimento         do         titular         torna
dispensável         a         adoção         de         medidas         técnicas         e
administrativas         de         segurança         para         proteção         dos         dados
armazenados         em         sistemas         informatizados.
IV.A         comunicação         de         incidente         de         segurança         à
Autoridade         Nacional         de         Proteção         de         Dados         (ANPD)         pode
ser         exigida         quando         houver         risco         ou         dano         relevante         aos
titulares,         conforme         avaliação         do         caso         concreto.
V.A         anonimização,         quando         realizada         por         meios         técnicos
razoáveis         e         disponíveis,         pode         descaracterizar         o         dado
pessoal         para         fins         de         aplicação         da         LGPD,         desde         que         não
seja         possível         a         reversão         com         esforços         proporcionais.
Assinale         a         alternativa         CORRETA.          Alternativa A: As         afirmativas         I,         II,         III,         IV         e         V         são         verdadeiras. Ou Alternativa B: Apenas         as         afirmativas         I,         III         e         V         são         verdadeiras. Ou Alternativa C: Apenas         as         afirmativas         I,         II,         IV         e         V         são         verdadeiras. Ou Alternativa D: Apenas         as         afirmativas         II,         IV         e         V         são         verdadeiras. Ou Alternativa E: Apenas         as         afirmativas         I,         II         e         V         são         verdadeiras.

Qconcursos · Accepted Answer

Alternativa [C] Apenas         as         afirmativas         I,         II,         IV         e         V         são         verdadeiras. Gabarito: CFundamento decisivo: Lei nº 13.709/2018, arts. 23, caput; 46, caput; 48, caput; 5º, III; 12, caput: “Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que: (...) Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (...) Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. (...) Art. 5º Para os fins desta Lei, considera-se: (...) III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; (...) Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.”Tema central: LGPD no setor públicoAnálise das alternativasAErradaIncorreta porque considera verdadeira a assertiva III. Isso viola a Lei nº 13.709/2018, art. 46, caput: “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais...”. O dever de segurança não depende da base legal usada para o tratamento e não é dispensado por consentimento.BErradaIncorreta por dois motivos jurídicos concretos: trata a assertiva III como verdadeira, embora ela contrarie o art. 46 da LGPD, e exclui as assertivas II e IV, embora a II seja sustentada pelo dever de segurança e pelos princípios do art. 6º, I e X, e a IV corresponda literalmente ao art. 48, caput, sobre comunicação de incidente com risco ou dano relevante.CCertaA alternativa C coincide com o regime legal aplicável. A assertiva I está amparada pelo art. 23, caput, da LGPD, que vincula o tratamento de dados pelo Poder Público à finalidade pública, ao interesse público e à execução de competências ou atribuições legais, o que exclui a mera conveniência administrativa como fundamento suficiente. A assertiva II é compatível com o art. 46, caput, e com o art. 6º, I e X, da LGPD: controle de acesso por perfis e registros de logs são medidas técnicas e administrativas aptas a proteger dados, além de favorecerem responsabilização e rastreabilidade. A assertiva IV reproduz a regra do art. 48, caput, sobre comunicação de incidente que possa acarretar risco ou dano relevante aos titulares. A assertiva V corresponde ao conceito de dado anonimizado do art. 5º, III, e ao art. 12, caput, segundo o qual dados anonimizados, em regra, não são considerados dados pessoais, salvo reversão com meios próprios ou com esforços razoáveis. Já a assertiva III contraria frontalmente o art. 46, porque o consentimento não elimina o dever autônomo de segurança.DErradaIncorreta porque exclui a assertiva I. Mas a assertiva I está de acordo com a Lei nº 13.709/2018, art. 23, caput: o tratamento por pessoa jurídica de direito público deve atender à finalidade pública, ao interesse público e à execução de competências ou atribuições legais. Portanto, a mera conveniência administrativa não basta.EErradaIncorreta porque exclui a assertiva IV. A Lei nº 13.709/2018, art. 48, caput, determina: “O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.” Logo, a IV está juridicamente correta.Pegadinha da questãoA banca explorou principalmente a confusão entre base legal do tratamento e dever de segurança: o consentimento do titular não dispensa medidas técnicas e administrativas de proteção. Também cobrou a ideia de que, no setor público, conveniência administrativa não substitui finalidade pública e competência legal.Dica para questões semelhantesNo Poder Público, confira primeiro se o tratamento está ligado à finalidade pública, ao interesse público e à competência ou atribuição legal do órgão.Separe base legal de tratamento e dever de segurança: qualquer que seja a base legal, o art. 46 impõe medidas técnicas e administrativas.Em incidente de segurança, a regra legal é risco ou dano relevante aos titulares; não se exige apenas dano efetivamente consumado.Anonimização só afasta a incidência da LGPD quando o titular não puder ser identificado por meios técnicos razoáveis e disponíveis e a reversão não for viável nos termos do art. 12.

🚀 Quer mais performance?

🚀 Quer mais performance?

Uma fundação pública estadual ...

Gabarito comentado

Gabarito: C

Clique para visualizar este gabarito

Questões de assuntos semelhantes

Provas relacionadas