O tratamento de dados pessoais deve ser limitado

Prévia do material em texto

O tratamento de dados pessoais deve ser limitado: 
A. De acordo com o termo de consentimento assinado pelo titular. 
B. Aos propósitos legítimos, específicos, explícitos e informados pelo titular. 
C. Ao mínimo necessário para a realização das suas finalidades. 
D. À finalidade de seu tratamento. 
E. Aos critérios de transparência definidos pela Lei nº 12.527/2011 (Lei de Acesso à Informação). 
Questão 1
A proteção de dados pessoais é um tema de responsabilidade:
a) Exclusiva da área de segurança da informação.
d) De todo o órgão público, desde a Autoridade Máxima do órgão, passando pelas áreas meio e fim.
c) Exclusiva da área jurídica.
b) Da área de segurança da informação e da Autoridade Máxima do órgão.
Questão 2
A adoção de medidas sistêmicas para adequação do órgão público ao disposto na LGPD envolve as seguintes dimensões organizacionais: 
c) Estratégica e organizacional.
d) Estratégica, tática, operacional e comunicacional.
b) Estratégica, organizacional e comunicacional.
e) Organizacional e operacional.
a) Estratégica, organizacional e operacional.
Questão 3
Dentre as cinco fases do ciclo de vida dos dados pessoais, a fase de retenção envolve as operações de: 
e) Gravação, arquivamento e armazenamento de dados pessoais.
d) Acesso e compartilhamento de dados pessoais.
c) Arquivamento e armazenamento de dados pessoais.
b) Arquivamento e compartilhamento de dados pessoais.
a) Recepção, acesso e extração de dados pessoais.
A operação de difusão tem relação com qual atividade do ciclo de vida? 
A. Eliminação. 
B. Transmissão. 
C. Retenção. 
D. Coleta. 
E. Compartilhamento.  
Questão 5
Identifique a correta definição para o ativo “equipamento”.
e) Equipamentos digitais necessários para o exercício de uma atividade ou de uma função.
b) Estações de trabalho e impressoras utilizados no desempenho das atividades institucionais.
a) Computadores, impressoras e telefones celulares utilizados no desempenho das atividades institucionais.
c) Equipamentos eletrônicos necessários para o exercício de uma atividade ou de uma função.
d) Objeto ou conjunto de objetos necessário para o exercício de uma atividade ou de uma função.
ativo “base de dados” não tem relação com as seguintes fases do ciclo de vida dos dados pessoais: 
A. Coleta.  
B. Eliminação. 
C. Retenção. 
D. Compartilhamento.  
E. Processamento. 
O ativo “base de dados” relaciona-se com todas as fases do ciclo de vida de tratamento dos dados pessoais, exceto a fase Coleta. Reforça-se que base de dados é uma coleção de dados logicamente relacionados, com algum significado. Uma base de dados é projetada, construída e preenchida (instanciada) com dados para um propósito específico.
Privacidade desde a Concepção (em inglês, Privacy by Design) significa que:
A. Privacidade e proteção de dados não devem ser consideradas desde a concepção e durante todo o ciclo de vida do projeto, sistema, serviço, produto ou processo. 
B. Privacidade e proteção de dados devem ser consideradas somente no momento da concepção do projeto, sistema, serviço, produto ou processo. Dessa forma, dispensando a necessidade de assegurar privacidade durante todo o ciclo de vida projeto, sistema, serviço, produto ou processo. 
C. É necessário avaliar se a privacidade deve ou não ser considerada na concepção do sistema de informação. 
D. Privacidade e proteção de dados devem ser consideradas desde a concepção e durante todo o ciclo de vida do projeto, sistema, serviço, produto ou processo. 
E. É necessário avaliar se a privacidade deve ou não ser considerada na concepção do serviço ou produto. 
São etapas de elaboração do RIPD: 
A. Aprovar o Relatório e Descrever o Impacto. 
B. Descrever o Impacto e Manter Revisão. 
C. Mitigar Riscos e Avaliar o Impacto. 
D. Descrever o Tratamento e Manter Revisão. 
E. Avaliar o Impacto e Aprovar o Relatório. 
As etapas para elaboração do RIPD são: Identificar os agentes de tratamento e o encarregado; Identificar a necessidade de elaborar o relatório; Descrever o tratamento; Identificar partes interessadas consultadas; Descrever necessidade e proporcionalidade; Identificar e avaliar os riscos; Identificar medidas para tratar os riscos; Aprovar o relatório; E manter revisão.
Verdadeiro ou falso?
O RIPD não deve ser elaborado quando for realizado tratamento de dados pessoais de crianças e adolescentes. 
Verdadeiro 
Falso 
O RIPD deve ser elaborado quando for realizado tratamento de dados pessoais de crianças e adolescentes. Esse é um dos vários casos em que o RIPD deve ser elaborado, conforme estudado na fase IDENTIFICAR A NECESSIDADE DE ELABORAR O RELATÓRIO.
Na elaboração do RIPD, a fase DESCREVER O TRATAMENTO envolver especificar: 
A. Natureza, escopo e finalidade do tratamento. 
B. Natureza, contexto e finalidade do tratamento. 
C. Natureza, escopo e contexto. 
D. Natureza, escopo, contexto e finalidade do tratamento. 
E. Natureza, escopo, contexto e objetivo do tratamento. 
A etapa DESCREVER o TRATAMENTO visa a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais. Ela envolve a especificação da natureza, escopo, contexto e finalidade do tratamento.
O objetivo principal dessa descrição é fornecer cenário institucional relativo aos processos que envolvem o tratamento dos dados pessoais, fornecendo subsídios para avaliação e tratamento de riscos. 
A descrição de qual fonte de dados é utilizada para a coleta dos dados pessoais é realizada na etapa:  
A. DESCREVER NECESSIDADE E PROPORCIONALIDADE. 
B. DESCREVER O TRATAMENTO no momento da especificação do escopo do tratamento dos dados pessoais. 
C. DESCREVER O TRATAMENTO no momento da especificação da natureza do tratamento dos dados pessoais. 
D. DESCREVER O TRATAMENTO no momento da especificação da finalidade do tratamento dos dados pessoais. 
E. DESCREVER O TRATAMENTO no momento da especificação do contexto do tratamento dos dados pessoais. 
A fonte de dados é descrita na fase DESCREVER O TRATAMENTO no momento de especificar a natureza do tratamento.
A fonte de dados de coleta dos dados pessoais pode, em certas circunstâncias, ser uma pessoa (titular dos dados) e/ou fonte eletrônica compartilhada por outras instituições como banco de dados, planilha, arquivo xml, Application Programming Interface – API, etc.
Marque a alternativa que não representa tratamento de dados pessoais em alta escala.  
A. Tratamento de dados de clientes no curso regular dos negócios por uma companhia de seguros ou por um banco. 
B. Tratamento de dados de viagem de indivíduos que usam o sistema de transporte público da cidade. 
C. Tratamento de dados do paciente por um médico individual. 
D. Tratamento de dados de pacientes no curso regular dos negócios de um hospital. 
E. Tratamento de dados pessoais para publicidade comportamental realizado por um mecanismo de pesquisa. 
Tratamento em alta escala ocorre quando grande volume de dados pessoais de vários titulares são tratados de forma instantânea pelo agente de tratamento. A alternativa “C” é a única que não se enquadra nesse contexto. 
A fundamentação legal para o tratamento dos dados pessoais é uma das informações a serem descritas na seguinte etapa de elaboração do RIPD:  
A. Descrever o tratamento. 
B. Identificar a necessidade de elaborar o Relatório. 
C. Descrever a natureza. 
D. Descrever o contexto. 
E. Descrever necessidade e proporcionalidade. 
Na fase DESCREVER NECESSIDADE E PROPORCIONALIDADE, deve ser apresentada a fundamentação legal que embasa o tratamento de dados pessoais. Geralmente, a fundamentação legal reside nos artigos 7º e 11 da LGPD e deve ser complementada com a lei, decreto ou outro instrumento legal que fundamente a necessidade de a instituição ter acesso ao dado pessoal. 
Marque a alternativa que não representa risco de proteção aos dados pessoais:  
A. Acesso não autorizado. 
B. Perda. 
C. Coleção excessiva. 
D. Modificação não autorizada. 
E. Anonimização dos dados. 
A anonimização é a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento,por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo (LGPD, art. 5º, XI).
A anonimização é uma medida técnica para a proteção do dado pessoal, assim não representa um risco, mas uma medida para tratar o risco. 
Verdadeiro ou falso?
A instituição nem sempre precisa eliminar todos os riscos. Nesse sentido, pode-se decidir que alguns riscos, e até um risco de nível alto, são aceitáveis. 
Verdadeiro 
Falso 
Realmente, a instituição não tem obrigatoriedade de eliminar todos os riscos, pois podem existir situações que alguns riscos, e até um risco de nível alto, são aceitáveis, dados os benefícios do processamento dos dados pessoais e as dificuldades de mitigação.
Importante lembrar que,se houver um risco residual de nível alto, é recomendável consultar a ANPD antes de prosseguir com as operações de tratamento dos dados pessoais.
Aprovar o Relatório
Esta etapa visa formalizar a aprovação do RIPD por meio da obtenção das assinaturas do responsável pela elaboração do RIPD e pelas autoridades que representam o controlador e operador. 
O responsável pela elaboração do Relatório pode ser o próprio encarregado, ou qualquer outra pessoa designada pelo controlador com conhecimento necessário para realizar tal tarefa.
A formalização de autoridades representando o controlador e operador é muito relevante, pois é uma forma de as autoridades competentes terem ciência do impacto das operações de tratamento de dados pessoais realizadas pela instituição.
Manter Revisão
Atenção! O RIPD deve ser revisto e atualizado sempre que existir qualquer tipo de mudança que afete o tratamento dos dados pessoais realizados pela instituição.
De uma forma geral, essa mudança pode ser motivada por alteração:
· Significativa na finalidade do tratamento de dados pessoais.
· Que impacte o processo de como esses dados são tratados.
· Expressiva na quantidade de dados pessoais coletados.
· No contexto do tratamento de dados resultantes de identificação de falha de segurança, no uso de uma nova tecnologia, em caso de nova preocupação pública sobre o tipo de tratamento de dados realizado pela instituição ou vulnerabilidade de um grupo específico de titulares de dados pessoais.
Cumpre destacar que as orientações referentes à identificação da necessidade de elaborar ou atualizar o RIPD constantes do início deste módulo também contribuem com subsídios para a identificação de casos em que o Relatório de Impacto deve ser atualizado. 
A instituição deve manter revisão do RIPD a fim de demonstrar que avalia continuamente os riscos de tratamento de dados pessoais que surgem em consequência do dinamismo das transformações nos cenários tecnológico, normativo, político e institucional.
Ressaltamos que esta é a última etapa do ciclo contínuo de elaboração do RIPD.
Assim concluímos o conteúdo do Curso de Proteção de Dados Pessoais no Setor Público. A expectativa é de que você tenha compreendido a estrutura proposta de aplicação de medidas de segurança sobre os dados pessoais e de elaboração do RIPD, contribuindo para seu aperfeiçoamento profissional.
Escolha a alternativa que completa corretamente a lacuna.
O RIPD deve _________________  sempre que existir qualquer tipo de mudança que afete o tratamento dos dados pessoais realizados pela instituição.  
A. ser desconsiderado. 
B. ser descartado. 
C. ser encaminhado para a CGU. 
D. ser encaminhado para o TCU. 
E. ser revisto e atualizado. 
A instituição deve manter o RIPD revisto e atualizado, a fim de mostrar que avalia continuamente os riscos de tratamento de dados pessoais que surgem em consequência do dinamismo das transformações nos cenários tecnológico, normativo, político e institucional.