Uma fundação pública estadual implementou um novo
sistema informatizado para gestão de benefícios sociais.
Durante auditoria interna, foram analisadas práticas
relacionadas ao tratamento de dados pessoais, perfis de
acesso ao sistema, registros de logs, armazenamento
em nuvem e resposta a incidentes de segurança, à luz
da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados −
LGPD). Considerando os princípios da LGPD e medidas
de proteção de sistemas informatizados, analise as
afirmativas a seguir:
I.O tratamento de dados pessoais pela Administração
Pública deve observar finalidades específicas e
compatíveis com a atribuição legal do órgão, não sendo
suficiente a mera conveniência administrativa.
II.A implementação de controle de acesso baseado em
perfis e registro de logs de autenticação pode contribuir
para a responsabilização e rastreabilidade de ações
realizadas no sistema.
III.A existência de consentimento do titular torna
dispensável a adoção de medidas técnicas e
administrativas de segurança para proteção dos dados armazenados em sistemas informatizados.
IV.A comunicação de incidente de segurança à
Autoridade Nacional de Proteção de Dados (ANPD) pode
ser exigida quando houver risco ou dano relevante aos
titulares, conforme avaliação do caso concreto.
V.A anonimização, quando realizada por meios técnicos
razoáveis e disponíveis, pode descaracterizar o dado
pessoal para fins de aplicação da LGPD, desde que não
seja possível a reversão com esforços proporcionais.
Assinale a alternativa CORRETA.

Question

Uma         fundação         pública         estadual         implementou         um         novo
sistema         informatizado         para         gestão         de         benefícios         sociais.
Durante         auditoria         interna,         foram         analisadas         práticas
relacionadas         ao         tratamento         de         dados         pessoais,         perfis         de
acesso         ao         sistema,         registros         de         logs,         armazenamento
em         nuvem         e         resposta         a         incidentes         de         segurança,         à         luz
da         Lei         nº         13.709/2018         (Lei         Geral         de         Proteção         de         Dados         −
LGPD).         Considerando         os         princípios         da         LGPD         e         medidas
de         proteção         de         sistemas         informatizados,         analise         as
afirmativas         a         seguir:
I.O         tratamento         de         dados         pessoais         pela         Administração
Pública         deve         observar         finalidades         específicas         e
compatíveis         com         a         atribuição         legal         do         órgão,         não         sendo
suficiente         a         mera         conveniência         administrativa.
II.A         implementação         de         controle         de         acesso         baseado         em
perfis         e         registro         de         logs         de         autenticação         pode         contribuir
para         a         responsabilização         e         rastreabilidade         de         ações
realizadas         no         sistema.
III.A         existência         de         consentimento         do         titular         torna
dispensável         a         adoção         de         medidas         técnicas         e
administrativas         de         segurança         para         proteção         dos         dados armazenados         em         sistemas         informatizados.
IV.A         comunicação         de         incidente         de         segurança         à
Autoridade         Nacional         de         Proteção         de         Dados         (ANPD)         pode
ser         exigida         quando         houver         risco         ou         dano         relevante         aos
titulares,         conforme         avaliação         do         caso         concreto.
V.A         anonimização,         quando         realizada         por         meios         técnicos
razoáveis         e         disponíveis,         pode         descaracterizar         o         dado
pessoal         para         fins         de         aplicação         da         LGPD,         desde         que         não
seja         possível         a         reversão         com         esforços         proporcionais.
Assinale         a         alternativa         CORRETA. Alternativa A: Apenas         as         afirmativas         I,         II         e         V         são         verdadeiras. Ou Alternativa B: As         afirmativas         I,         II,         III,         IV         e         V         são         verdadeiras. Ou Alternativa C: Apenas         as         afirmativas         I,         III         e         V         são         verdadeiras. Ou Alternativa D: Apenas         as         afirmativas         I,         II,         IV         e         V         são         verdadeiras. Ou Alternativa E: Apenas         as         afirmativas         II,         IV         e         V         são         verdadeiras.

Qconcursos · Accepted Answer

Alternativa [D] Apenas         as         afirmativas         I,         II,         IV         e         V         são         verdadeiras. Gabarito: DFundamento decisivo: Lei nº 13.709/2018, arts. 23, caput; 46, caput; 48, caput; 5º, III; 12, caput e § 1º: “Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que: (...) Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (...) Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. (...) Art. 5º Para os fins desta Lei, considera-se: (...) III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; (...) Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido. § 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.”Tema central: LGPD no setor públicoAnálise das alternativasAErradaIncorreta porque exclui a afirmativa IV, que está em conformidade com o art. 48, caput, da LGPD: “O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.” Logo, não se pode retirar IV do conjunto das verdadeiras.BErradaIncorreta porque inclui a afirmativa III. Isso contraria diretamente o art. 46, caput, da LGPD: “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais...”. O dever de segurança é legal e permanente; não é dispensado pela existência de consentimento do titular.CErradaIncorreta por dois motivos jurídicos cumulativos: inclui a afirmativa III, que viola o art. 46, caput, ao supor dispensa do dever de segurança; e exclui as afirmativas II e IV. A II é compatível com os arts. 6º, I, VII e X, e 46, caput, pois perfis de acesso e logs servem à segurança, prevenção e responsabilização. A IV é correta à luz do art. 48, caput, que exige comunicação de incidente com risco ou dano relevante.DCertaA alternativa D está correta porque reúne exatamente as assertivas compatíveis com a LGPD. A afirmativa I está amparada pelo art. 23, caput, que exige, no tratamento pela Administração Pública, finalidade pública, interesse público e vínculo com competência ou atribuição legal, afastando a mera conveniência administrativa. A II é válida por ser compatível com os princípios do art. 6º, I, VII e X — finalidade, segurança e responsabilização/prestação de contas — e com o art. 46, caput, já que perfis de acesso e logs de autenticação são medidas técnicas e administrativas aptas a reforçar controle, rastreabilidade e responsabilização. A IV está de acordo com o art. 48, caput, segundo o qual a comunicação do incidente é exigida quando ele possa acarretar risco ou dano relevante aos titulares. A V corresponde ao conceito de dado anonimizado do art. 5º, III, e à regra do art. 12, caput e § 1º, segundo a qual os dados anonimizados, em regra, saem do regime da LGPD, salvo reversão com meios próprios ou esforços razoáveis.EErradaIncorreta porque exclui a afirmativa I, embora ela esteja expressamente amparada pelo art. 23, caput, da LGPD. No poder público, o tratamento deve atender finalidade pública e executar competências legais ou cumprir atribuições legais do serviço público; portanto, a afirmação I é verdadeira e não pode ser retirada.Pegadinha da questãoA confusão central foi tratar o consentimento como se ele afastasse o dever legal de segurança. A LGPD separa base legal de tratamento e obrigação de proteção: mesmo havendo consentimento, permanecem obrigatórias as medidas técnicas e administrativas do art. 46.Dica para questões semelhantesEm tratamento de dados pelo poder público, procure a exigência de finalidade pública e vínculo com competência ou atribuição legal; conveniência administrativa, sozinha, não basta.Não confunda base legal com dever de segurança: o art. 46 impõe medidas técnicas e administrativas independentemente do consentimento.Em incidente de segurança, o gatilho normativo não é dano consumado, mas possibilidade de risco ou dano relevante aos titulares.Anonimização só afasta, em regra, a incidência da LGPD se a reversão não for possível por meios próprios nem com esforços razoáveis.

🚀 Quer mais performance?

🚀 Quer mais performance?

Uma fundação pública estadual ...

Gabarito comentado

Gabarito: D

Clique para visualizar este gabarito

Questões de assuntos semelhantes

Provas relacionadas