Comentário do Gabarito:

1. Tema e Legislação: A questão aborda a obrigatoriedade de comunicação de incidentes de segurança prevista na Lei nº 13.709/2018 – LGPD, especialmente o Art. 48:

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

2. Análise do Tema Central: O ponto chave é identificar qual prática de gestão em tecnologia da informação (ITIL 4) está alinhada à observância do dever legal de comunicar eventos adversos (incidentes de segurança) envolvendo dados pessoais.

3. Exemplo Prático: Imagine uma empresa que sofre invasão de hackers, expondo informações de clientes. Ao constatar o incidente, a empresa deve comunicar a ANPD e os titulares afetados, detalhando o ocorrido e as medidas adotadas.

4. Justificativa da Alternativa Correta (A): Gerenciamento de Incidentes (Incident Management) é a prática ITIL voltada ao registro, tratamento, comunicação e resolução de eventos que disruptam serviços — incluindo incidentes de segurança de dados. A LGPD exige resposta ágil e comunicação clara nesses casos, conferindo conformidade entre a prática e a exigência normativa.

5. Fundamentação Legal e Doutrinária: A LGPD (art. 48) exige reporte imediato de incidentes; autores como Danilo Doneda reforçam que a gestão de incidentes é parte da governança e boas práticas em proteção de dados.

6. Análise das Alternativas Incorretas: B) Gerenciamento de Disponibilidade: foca em manter serviços disponíveis e operantes — não em gerenciar incidentes específicos.
C) Gerenciamento de Problemas: investiga causas-raiz de incidentes, mas não trata da resposta imediata nem da comunicação de incidentes.
D) Gerenciamento de Ativos: controla o ciclo de vida de ativos de TI, não engloba o tratamento nem a notificação de eventos adversos.

7. Estratégia e Pegadinhas: Atenção para termos como "evento adverso" e "prática": o termo-chave do ITIL para essa situação é “incidente”, não “problema” nem “disponibilidade”.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Alternativa correta: LETRA A

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I - a descrição da natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:

I - ampla divulgação do fato em meios de comunicação; e

II - medidas para reverter ou mitigar os efeitos do incidente.