Revisão da Avaliação de Fundamentos da LGPD

Prévia do material em texto

18/11/2021 12:20 Exercício Avaliativo: Revisão da tentativa
https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=3013210&cmid=55427 1/5
Painel / Meus cursos / Fundamentos da LGPD / Módulo de Encerramento / Exercício Avaliativo
Questão 1
Correto
Atingiu 1,00 de 1,00
Questão 2
Incorreto
Atingiu 0,00 de 1,00
Questão 3
Correto
Atingiu 1,00 de 1,00
Iniciado em quinta, 18 nov 2021, 12:38
Estado Finalizada
Concluída em quinta, 18 nov 2021, 13:19
Tempo
empregado 40 minutos 53 segundos
Notas 14,00/30,00
Avaliar 46,67 de um máximo de 100,00
A LGPD se aplica a qual das hipóteses a seguir?
Escolha uma opção:
a. Dados relativos a investigação policial, segurança pública, defesa nacional e segurança do Estado.
b. Dados da agenda de seu telefone pessoal, para contato com clientes e potenciais clientes. 
c. Dados pessoais tratados em atividade jornalística e dados biográficos de uma alta celebridade.
d. Dados provenientes de uma empresa francesa e tratados aqui sem compartilhamento ou transferência.
A alternativa que se aplica à LGPD é a afirmativa “b”, ou seja, “Dados da agenda de seu telefone pessoal, para
contato com clientes e potenciais clientes”. 
Qual das hipóteses a seguir NÃO corresponde a dado pessoal?
Escolha uma opção:
a. CPF, matrícula e IP da máquina de um empregado do SESC. 
b. Um dado que seja relacionado a um Diretor da IBM, mas que não o torna identificável.
c. Nome, CPF e biometria de íris criptografados e sem possibilidade de reversão.
d. Ficha médica de um empregado do Serpro, mas sem o registro das licenças do último ano.
A alternativa que NÃO corresponde ao dado pessoal é a alternativa “c”, ou seja, “Nome, CPF e biometria de íris
criptografados e sem possibilidade de reversão”. 
Você é o Encarregado de uma Rede de Farmácias e recebe e-mail de um cliente:
(1) indagando quais dados pessoais são tratados,
(2) comunicando a revogação de seu consentimento e
(3) exigindo a deleção de todos os dados.
Na função de Encarregado, a melhor ação e resposta deve ser:
Escolha uma opção:
a. Prezado cliente, seus dados em nosso cadastro são x, y e z. Conforme solicitado, foram devidamente
eliminados. 
b. Prezado cliente, seus dados em nosso cadastro são x, y e z, mas não serão eliminados porque temos
legítimo interesse no tratamento.
c. Prezado cliente, o tratamento faz parte de nosso contrato e nós o estamos executando da forma
ajustada.
d. Prezado cliente, tratamos seu nome e CPF e acatamos a revogação do consentimento, mas vamos retê-
los ainda por 3 anos que é o prazo de prescrição.
Na função de encarregado, a melhor ação e resposta deve ser “Prezado cliente, seus dados em nosso cadastro
são x, y e z. Conforme solicitado, foram devidamente eliminados”. 
https://mooc38.escolavirtual.gov.br/my/
https://mooc38.escolavirtual.gov.br/course/view.php?id=2993
https://mooc38.escolavirtual.gov.br/course/view.php?id=2993#section-5
https://mooc38.escolavirtual.gov.br/mod/quiz/view.php?id=55427
18/11/2021 12:20 Exercício Avaliativo: Revisão da tentativa
https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=3013210&cmid=55427 2/5
Questão 4
Correto
Atingiu 1,00 de 1,00
Questão 5
Correto
Atingiu 1,00 de 1,00
Questão 6
Correto
Atingiu 1,00 de 1,00
Questão 7
Correto
Atingiu 3,00 de 3,00
Qual das opções a seguir contém três hipóteses de tratamento de dados?
Escolha uma opção:
a. Consentimento, execução de contrato e revogação.
b. Proteção à vida, legítimo interesse e proteção ao crédito. 
c. Tutela da saúde, necessidade e cumprimento de obrigação legal.
d. Execução de políticas públicas, pesquisa/estudos e adequação à finalidade.
A alternativa “b” contém as três hipóteses de tratamento de dados, OU SEJA: “Proteção à vida, legítimo interesse
e proteção ao crédito”.  
Marque a situação em que dados pessoais NÃO podem ser transferidos:
Escolha uma opção:
a. Na hipótese de execução de contrato que preveja essa transferência.
b. Quando houver consentimento, genérico ou implícito, em outras disposições contratuais. 
c. Por força da hipótese de exercício regular de direitos.
d. Para fins de cooperação jurídica internacional de órgãos públicos de investigação.
A situação em que dados pessoais NÃO podem ser transferidos está na alternativa “b”, ou seja: “quando houver
consentimento, genérico ou implícito, em outras disposições contratuais”. 
Qual das práticas descritas a seguir NÃO tem relação com "privacy by design"?
Escolha uma opção:
a. Os desenvolvedores atuam, desde a definição de arquitetura, avaliando os riscos à segurança do sistema
e à privacidade.
b. Os processos de negócio contêm checagem preliminar de conformidade com as Leis de Privacidade, de
Proteção do Consumidor e com o Marco Civil da Internet.
c. As equipes de tratamento de incidentes renovam frequentemente sua infraestrutura de segurança. 
d. Os processos de aquisição já preveem, em editais e contratos, cláusulas de alinhamento com a LGPD.
A alternativa “c” descrita NÃO tem relação com "privacy by design", ou seja: “As equipes de tratamento de
incidentes renovam frequentemente sua infraestrutura de segurança.” 
Na primeira semana de janeiro de 2021, as empresas LATFLY (Chile) e BRAirwais (Brasil) comunicam ao mercado
sua fusão, que ocorrerá em junho daquele ano. Um dos objetivos da fusão é gerar rentabilidade, com a
unificação e modernização dos atuais sistemas de TI e Rede. Outro objetivo é o fortalecimento do plano de
fidelização e sua ampliação.
Os serviços de pessoal e a área comercial serão fundidos e (re)localizados na antiga sede brasileira.
Para mitigar os riscos de possíveis violações de dados de seus clientes, o Conselho de Administração resultante
da fusão designou o Data Center da empresa chilena como responsável pelo tratamento de todas as operações
a partir de junho.
O Data Center chileno fará o tratamento dos dados corporativos e pessoais de todos os clientes das empresas
fundidas e continuará sendo terceirizado para a empresa AlpesData, que já atendia a LATFLY. O
processamento dos dados controlados no Brasil continuará sendo feito, por enquanto, pela própria BRAirways.
Considerando que você é o Encarregado das duas empresas em processo de fusão, assinale a alternativa
ERRADA:
Escolha uma opção:
a. Enquanto a fusão não se consumar, o Operador do segmento chileno é a AlpesData e o Operador do
segmento brasileiro é o próprio Controlador.
b. Enquanto a fusão não ocorrer, cada empresa aérea continuará sendo Operadora dos dados pessoais que
trata. 
c. Quando houver a fusão, a Empresa resultante será o Controlador e a AlpesData será o Operador de
dados pessoais.
d. Enquanto a fusão não se consumar, a Empresa Aérea chilena será Controlador dos dados pessoais e a
AlpesData será Operador.
A alternativa errada está na letra “b”, ou seja: “Enquanto a fusão não ocorrer, cada empresa aérea continuará
sendo operadora dos dados pessoais que trata”.  
18/11/2021 12:20 Exercício Avaliativo: Revisão da tentativa
https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=3013210&cmid=55427 3/5
Questão 8
Correto
Atingiu 3,00 de 3,00
Questão 9
Incorreto
Atingiu 0,00 de 3,00
Questão 10
Incorreto
Atingiu 0,00 de 3,00
Ainda em relação à fusão das empresas LATFLY (Chile) e BRAirwais (Brasil), com a unificação dos dados pessoais
no Chile, considerando que o Chile não guarda o mesmo nível de proteção de dados, assinale a alternativa
CORRETA:
Escolha uma opção:
a. Haverá transferência internacional de dados que demandará obrigatoriamente consentimento dos
Titulares brasileiros.
b. Haverá transferência internacional de dados, mas a LGPD não se aplicará aos dados tratados no Chile,
porque o tratamento se dá no exterior.
c. A transferência poderá se dar com fundamento no Art. 33, II ou V e a aplicação da LGPD é pacífica, em
razão dos titulares aqui localizados e em razão de que a coleta se deu no Brasil. 
d. A transferência não ocorre. O que existe é o mero compartilhamento entre as empresas e a Lei aplicável
é a chilena.
A alternativa corretaé: “A transferência poderá se dar com fundamento no Art. 33, II ou V e a aplicação da LGPD
é pacífica, em razão dos titulares aqui localizados e em razão de que a coleta se deu no Brasil”. 
A ONG InfosecSwift recebeu uma denúncia anônima.
Nela, o hacker denunciante informa que descobriu uma vulnerabilidade na gestão do Plano de Previdência do
Banco Produção Rural: o BPRPrevidência, que conta com mais de 150 mil contribuintes.
A falha, segundo o denunciante, permite que qualquer pessoa tenha acesso a dados pessoais dos participantes
e, além disso, permite que o invasor possa editar e cadastrar beneficiários como se fosse o próprio titular da
conta.
A partir de um link de qualquer conta do BPRPrevidência, o atacante só precisa usar a mesma URL e substituir
aleatoriamente o número sequencial do participante, que aparece no fim do endereço.
Com isso, o atacante pode chegar aos seguintes dados do cadastrado: nome, endereço físico completo, CPF,
data de nascimento, e-mail, telefone, nome da entidade para a qual o participante pretenda fazer uma
portabilidade, o tipo de plano e o CNPJ da empresa patrocinadora, identificação do valor bruto disponível na
conta e até transfência desse valor para beneficiários cadastrados. Esse acesso permite, ainda, a exclusão de
beneficiários já existentes e a inclusão de um novo beneficiário, com a transferência do saldo da conta para este
novo beneficiário.
O relato envolvendo a BPRPrevidência descreve:
Escolha uma opção:
a. Uma simples falha de segurança.  O relato é muito complexo e não descreve uma mera falha de
segurança, que demandaria apenas cuidados no sentido de identificar os gaps e sanear o ambiente.
b. Uma falha de segurança em perspectiva e uma vulnerabilidade do sistema.
c. Um incidente de segurança da informação e a violação de dados.
d. Uma violação de dado sensível.
O relato envolvendo a BPRPrevidência descreve um incidente de segurança da informação e a violação de
dados. 
Ainda sobre o caso da BRPrevidência, o número do CNPJ constante no relato:
Escolha uma opção:
a. É exclusivamente um dado de pessoa jurídica.
b. É um dado pessoal.
c. É um dado pessoal sensível.
d. Não é dado, mas uma informação.  Sem dúvida é uma "informação", porque identifica um
contribuinte pessoa jurídica. Mas também é um "dado", já que integra uma outra cadeia de informação
ligada à pessoa natural do titular, beneficiária do plano, somando-se à sua idade, endereço etc.
No caso da BRPrevidência, o número do CNPJ constante no relato é um dado pessoal.  
18/11/2021 12:20 Exercício Avaliativo: Revisão da tentativa
https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=3013210&cmid=55427 4/5
Questão 11
Correto
Atingiu 3,00 de 3,00
Questão 12
Incorreto
Atingiu 0,00 de 3,00
Questão 13
Incorreto
Atingiu 0,00 de 3,00
Questão 14
Incorreto
Atingiu 0,00 de 3,00
No relato sobre a BPRPrevidência, empresa patrocinadora, plano de previdência e beneficiário, referem-se 
respectivamente, a:
Escolha uma opção:
a. Controlador, operador e titular.
b. Terceiro, controlador e encarregado.
c. Terceiro, controlador e titular.  Resposta correta. A Empresa Patrocinadora é um "terceiro", o Plano é
"controlador" e o beneficiário é o "titular".
d. Autoridade supervisora, operador e consumidor.
No relato sobre a BPRPrevidência, empresa patrocinadora, plano de previdência e beneficiário, referem-se 
respectivamente, a Terceiro, controlador e titular.  
Se, a partir do incidente, o BPRPrevidência decidir eliminar a coleta de alguns dados considerados
desnecessários, para reduzir o risco de violação, isso atenderia a qual princípio?
Escolha uma opção:
a. Prevenção da futilidade
b. Autodeterminação informativa  O valor da autodeterminação informativa condiz com o
empoderamento do titular e com a revisão de seu papel, passando-o à condição de "dono" da informação
pessoal. Mas não é um "princípio" propriamente dito e, sim, um "fundamento" expressso na Lei.
c. Transparência
d. Necessidade
O princípio atendido seria o da necessidade, portanto, alternativa “d”.  
Agora, imagine-se na condição de Encarregado da BPRPrevidência: você recebeu o ofício da ONG InfosecSwift
fazendo a denúncia inicial e exigindo providências.
Em matéria de notificações, avisos e comunicação, marque qual a conduta mais razoável do Encarregado - DPO:
Escolha uma opção:
a. Publicaria o relato do ocorrido no Diário Oficial e em um periódico de grande circulação, avisaria
imediatamente os 150.000 titulares e demandaria uma forense computacional.
b. Avisaria, em primeiro lugar, os titulares, em vista do alto risco a que estão expostos seus dados sensíveis.
c. Informaria a Diretoria da Empresa, alertaria a equipe de comunicação para estar a postos e determinaria
uma forense para avaliar as dimensões e confirmar fatos.
d. Oficiaria a Autoridade Nacional para informar que houve o incidente com violação de dados, mas não
houve prejuízos materiais de qualquer natureza. 
A conduta mais razoável do Encarregado – DPO seria informar a Diretoria da Empresa, alertar a equipe de
comunicação para estar a postos e determinar uma forense para avaliar as dimensões e confirmar fatos,
portanto alternativa “c”.  
Qual alternativa apresenta os 2 elementos de maior importância para o momento de enfrentar um incidente
como esse, envolvendo a BPRPrevidência?
Escolha uma opção:
a. Contrato de consultoria e aquisição de criptografia.
b. Análise de impacto e equipe de classificação de dados.
c. Plano de Comunicação e Plano de Continuidade.
d. Programa de Segurança e Política de Privacidade. 
Esses itens são importantes para a segurança da informação ou para a privacidade, mas não têm a relevância
necessária para o momento de enfrentar uma crise como a relatada na atividade.
Esses itens são importantes para a segurança da informação ou para a privacidade, mas não têm a relevância
necessária para o momento de enfrentar uma crise como a relatada na atividade. 
◄ Módulo 4 - LGPD e Serpro Seguir para... Avaliação de Satisfação com o Curso ►
https://mooc38.escolavirtual.gov.br/mod/book/view.php?id=55425&forceview=1
https://mooc38.escolavirtual.gov.br/mod/questionnaire/view.php?id=55430&forceview=1
18/11/2021 12:20 Exercício Avaliativo: Revisão da tentativa
https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=3013210&cmid=55427 5/5