Exercício Avaliativo_ ENAP_LGPD [TODOS]

Prévia do material em texto

13/12/2021 11:32 Exercício Avaliativo: Revisão da tentativa
https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=3257699&cmid=64249 1/6
Painel / Meus cursos / Fundamentos da LGPD / Módulo de Encerramento / Exercício Avaliativo
Questão 1
Correto
Atingiu 1,00 de 1,00
Questão 2
Correto
Atingiu 1,00 de 1,00
Iniciado em segunda, 13 dez 2021, 12:24
Estado Finalizada
Concluída em segunda, 13 dez 2021, 12:32
Tempo
empregado 8 minutos 13 segundos
Notas 27,00/30,00
Avaliar 90,00 de um máximo de 100,00
A LGPD se aplica a qual das hipóteses a seguir?
Escolha uma opção:
a. Dados relativos a investigação policial, segurança pública, defesa nacional e
segurança do Estado.
b. Dados da agenda de seu telefone pessoal, para contato com clientes e
potenciais clientes. 
c. Dados pessoais tratados em atividade jornalística e dados biográficos de
uma alta celebridade.
d. Dados provenientes de uma empresa francesa e tratados aqui sem
compartilhamento ou transferência.
A alternativa que se aplica à LGPD é a afirmativa “b”, ou seja, “Dados da agenda
de seu telefone pessoal, para contato com clientes e potenciais clientes”. 
Qual das hipóteses a seguir NÃO corresponde a dado pessoal?
Escolha uma opção:
a. CPF, matrícula e IP da máquina de um empregado do SESC.
b. Um dado que seja relacionado a um Diretor da IBM, mas que não o torna
identificável.
c. Nome, CPF e biometria de íris criptografados e sem possibilidade de
reversão.  Por não permitirem a identificação do seu respectivo Titular,
esses dados não ficam sujeitos à aplicação da LGPD.
d. Ficha médica de um empregado do Serpro, mas sem o registro das
licenças do último ano.
A alternativa que NÃO corresponde ao dado pessoal é a alternativa “c”, ou seja,
“Nome, CPF e biometria de íris criptografados e sem possibilidade de reversão”. 
https://mooc38.escolavirtual.gov.br/my/
https://mooc38.escolavirtual.gov.br/course/view.php?id=3428
https://mooc38.escolavirtual.gov.br/course/view.php?id=3428#section-5
https://mooc38.escolavirtual.gov.br/mod/quiz/view.php?id=64249
13/12/2021 11:32 Exercício Avaliativo: Revisão da tentativa
https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=3257699&cmid=64249 2/6
Questão 3
Correto
Atingiu 1,00 de 1,00
Questão 4
Correto
Atingiu 1,00 de 1,00
Questão 5
Correto
Atingiu 1,00 de 1,00
Você é o Encarregado de uma Rede de Farmácias e recebe e-mail de um cliente:
(1) indagando quais dados pessoais são tratados,
(2) comunicando a revogação de seu consentimento e
(3) exigindo a deleção de todos os dados.
Na função de Encarregado, a melhor ação e resposta deve ser:
Escolha uma opção:
a. Prezado cliente, seus dados em nosso cadastro são x, y e z. Conforme
solicitado, foram devidamente eliminados. 
b. Prezado cliente, seus dados em nosso cadastro são x, y e z, mas não serão
eliminados porque temos legítimo interesse no tratamento.
c. Prezado cliente, o tratamento faz parte de nosso contrato e nós o estamos
executando da forma ajustada.
d. Prezado cliente, tratamos seu nome e CPF e acatamos a revogação do
consentimento, mas vamos retê-los ainda por 3 anos que é o prazo de
prescrição.
Na função de encarregado, a melhor ação e resposta deve ser “Prezado cliente,
seus dados em nosso cadastro são x, y e z. Conforme solicitado, foram
devidamente eliminados”. 
Qual das opções a seguir contém três hipóteses de tratamento de dados?
Escolha uma opção:
a. Consentimento, execução de contrato e revogação.
b. Proteção à vida, legítimo interesse e proteção ao crédito. 
c. Tutela da saúde, necessidade e cumprimento de obrigação legal.
d. Execução de políticas públicas, pesquisa/estudos e adequação à finalidade.
A alternativa “b” contém as três hipóteses de tratamento de dados, OU SEJA:
“Proteção à vida, legítimo interesse e proteção ao crédito”.  
Marque a situação em que dados pessoais NÃO podem ser transferidos:
Escolha uma opção:
a. Na hipótese de execução de contrato que preveja essa transferência.
b. Quando houver consentimento, genérico ou implícito, em outras
disposições contratuais. 
c. Por força da hipótese de exercício regular de direitos.
d. Para fins de cooperação jurídica internacional de órgãos públicos de
investigação.
A situação em que dados pessoais NÃO podem ser transferidos está na
alternativa “b”, ou seja: “quando houver consentimento, genérico ou implícito,
em outras disposições contratuais”. 
13/12/2021 11:32 Exercício Avaliativo: Revisão da tentativa
https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=3257699&cmid=64249 3/6
Questão 6
Correto
Atingiu 1,00 de 1,00
Questão 7
Correto
Atingiu 3,00 de 3,00
Qual das práticas descritas a seguir NÃO tem relação com "privacy by design"?
Escolha uma opção:
a. Os desenvolvedores atuam, desde a definição de arquitetura, avaliando os
riscos à segurança do sistema e à privacidade.
b. Os processos de negócio contêm checagem preliminar de conformidade
com as Leis de Privacidade, de Proteção do Consumidor e com o Marco Civil
da Internet.
c. As equipes de tratamento de incidentes renovam frequentemente sua
infraestrutura de segurança. 
d. Os processos de aquisição já preveem, em editais e contratos, cláusulas de
alinhamento com a LGPD.
A alternativa “c” descrita NÃO tem relação com "privacy by design", ou seja: “As
equipes de tratamento de incidentes renovam frequentemente sua
infraestrutura de segurança.” 
Na primeira semana de janeiro de 2021, as empresas LATFLY (Chile) e BRAirwais
(Brasil) comunicam ao mercado sua fusão, que ocorrerá em junho daquele
ano. Um dos objetivos da fusão é gerar rentabilidade, com a unificação e
modernização dos atuais sistemas de TI e Rede. Outro objetivo é o
fortalecimento do plano de fidelização e sua ampliação.
Os serviços de pessoal e a área comercial serão fundidos e (re)localizados na
antiga sede brasileira.
Para mitigar os riscos de possíveis violações de dados de seus clientes, o
Conselho de Administração resultante da fusão designou o Data Center da
empresa chilena como responsável pelo tratamento de todas as operações a
partir de junho.
O Data Center chileno fará o tratamento dos dados corporativos e pessoais de
todos os clientes das empresas fundidas e continuará sendo terceirizado para
a empresa AlpesData, que já atendia a LATFLY. O processamento dos dados
controlados no Brasil continuará sendo feito, por enquanto, pela própria
BRAirways.
Considerando que você é o Encarregado das duas empresas em processo de
fusão, assinale a alternativa ERRADA:
Escolha uma opção:
a. Enquanto a fusão não se consumar, o Operador do segmento chileno é a
AlpesData e o Operador do segmento brasileiro é o próprio Controlador.
b. Enquanto a fusão não ocorrer, cada empresa aérea continuará sendo
Operadora dos dados pessoais que trata. 
c. Quando houver a fusão, a Empresa resultante será o Controlador e a
AlpesData será o Operador de dados pessoais.
d. Enquanto a fusão não se consumar, a Empresa Aérea chilena será
Controlador dos dados pessoais e a AlpesData será Operador.
A alternativa errada está na letra “b”, ou seja: “Enquanto a fusão não ocorrer,
cada empresa aérea continuará sendo operadora dos dados pessoais que trata”.  
13/12/2021 11:32 Exercício Avaliativo: Revisão da tentativa
https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=3257699&cmid=64249 4/6
Questão 8
Correto
Atingiu 3,00 de 3,00
Questão 9
Correto
Atingiu 3,00 de 3,00
Ainda em relação à fusão das empresas LATFLY (Chile) e BRAirwais (Brasil), com a
unificação dos dados pessoais no Chile, considerando que o Chile não guarda o
mesmo nível de proteção de dados, assinale a alternativa CORRETA:
Escolha uma opção:
a. Haverá transferência internacional de dados que demandará
obrigatoriamente consentimento dos Titulares brasileiros.
b. Haverá transferência internacional de dados, mas a LGPD não se aplicará
aos dados tratados no Chile, porque o tratamento se dá no exterior.
c. A transferência poderá se dar com fundamento no Art. 33, II ou V e a
aplicação da LGPD é pacífica, em razãodos titulares aqui localizados e em
razão de que a coleta se deu no Brasil. 
d. A transferência não ocorre. O que existe é o mero compartilhamento
entre as empresas e a Lei aplicável é a chilena.
A alternativa correta é: “A transferência poderá se dar com fundamento no Art.
33, II ou V e a aplicação da LGPD é pacífica, em razão dos titulares aqui localizados
e em razão de que a coleta se deu no Brasil”. 
A ONG InfosecSwift recebeu uma denúncia anônima.
Nela, o hacker denunciante informa que descobriu uma vulnerabilidade na
gestão do Plano de Previdência do Banco Produção Rural: o BPRPrevidência, que
conta com mais de 150 mil contribuintes.
A falha, segundo o denunciante, permite que qualquer pessoa tenha acesso a
dados pessoais dos participantes e, além disso, permite que o invasor possa
editar e cadastrar beneficiários como se fosse o próprio titular da conta.
A partir de um link de qualquer conta do BPRPrevidência, o atacante só precisa
usar a mesma URL e substituir aleatoriamente o número sequencial do
participante, que aparece no fim do endereço.
Com isso, o atacante pode chegar aos seguintes dados do cadastrado: nome,
endereço físico completo, CPF, data de nascimento, e-mail, telefone, nome da
entidade para a qual o participante pretenda fazer uma portabilidade, o tipo de
plano e o CNPJ da empresa patrocinadora, identificação do valor bruto disponível
na conta e até transfência desse valor para beneficiários cadastrados. Esse
acesso permite, ainda, a exclusão de beneficiários já existentes e a inclusão de
um novo beneficiário, com a transferência do saldo da conta para este novo
beneficiário.
O relato envolvendo a BPRPrevidência descreve:
Escolha uma opção:
a. Uma simples falha de segurança.
b. Uma falha de segurança em perspectiva e uma vulnerabilidade do
sistema.
c. Um incidente de segurança da informação e a violação de dados.  Sim,
um incidente de segurança consumado se deu com o "teste de invasão"
relatado pelo hacker, com exposição de dados pessoais: portanto houve uma
violação com quebra de confidencialidade.
d. Uma violação de dado sensível.
O relato envolvendo a BPRPrevidência descreve um incidente de segurança da
informação e a violação de dados. 
13/12/2021 11:32 Exercício Avaliativo: Revisão da tentativa
https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=3257699&cmid=64249 5/6
Questão 10
Correto
Atingiu 3,00 de 3,00
Questão 11
Correto
Atingiu 3,00 de 3,00
Questão 12
Correto
Atingiu 3,00 de 3,00
Ainda sobre o caso da BRPrevidência, o número do CNPJ constante no relato:
Escolha uma opção:
a. É exclusivamente um dado de pessoa jurídica.
b. É um dado pessoal.  Sim, é um dado pessoal. Dado pessoal é qualquer
informação relacionada a uma pessoa identificada ou identificável. Se eu digo
"João Trabalha na Latam", a informação do emprego de João é um dado
pessoal. Assim, o CNPJ da patrocinadora de um plano de previdência,
associado a uma transação do titular representa um dado pessoal, se
devidamente contextualizado.
c. É um dado pessoal sensível.
d. Não é dado, mas uma informação.
No caso da BRPrevidência, o número do CNPJ constante no relato é um dado
pessoal.  
No relato sobre a BPRPrevidência, empresa patrocinadora, plano de
previdência e beneficiário, referem-se  respectivamente, a:
Escolha uma opção:
a. Controlador, operador e titular.
b. Terceiro, controlador e encarregado.
c. Terceiro, controlador e titular.  Resposta correta. A Empresa
Patrocinadora é um "terceiro", o Plano é "controlador" e o beneficiário é o
"titular".
d. Autoridade supervisora, operador e consumidor.
No relato sobre a BPRPrevidência, empresa patrocinadora, plano de previdência
e beneficiário, referem-se  respectivamente, a Terceiro, controlador e titular.  
Se, a partir do incidente, o BPRPrevidência decidir eliminar a coleta de alguns
dados considerados desnecessários, para reduzir o risco de violação, isso
atenderia a qual princípio?
Escolha uma opção:
a. Prevenção da futilidade
b. Autodeterminação informativa
c. Transparência
d. Necessidade  O princípio da necessidade responde à boa prática de
coletar e tratar apenas os dados necessários à realização de suas
finalidades.
O princípio atendido seria o da necessidade, portanto, alternativa “d”.  
13/12/2021 11:32 Exercício Avaliativo: Revisão da tentativa
https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=3257699&cmid=64249 6/6
Questão 13
Correto
Atingiu 3,00 de 3,00
Questão 14
Incorreto
Atingiu 0,00 de 3,00
Agora, imagine-se na condição de Encarregado da BPRPrevidência: você recebeu
o ofício da ONG InfosecSwift fazendo a denúncia inicial e exigindo providências.
Em matéria de notificações, avisos e comunicação, marque qual a conduta mais
razoável do Encarregado - DPO:
Escolha uma opção:
a. Publicaria o relato do ocorrido no Diário Oficial e em um periódico de
grande circulação, avisaria imediatamente os 150.000 titulares e demandaria
uma forense computacional.
b. Avisaria, em primeiro lugar, os titulares, em vista do alto risco a que estão
expostos seus dados sensíveis.
c. Informaria a Diretoria da Empresa, alertaria a equipe de comunicação para
estar a postos e determinaria uma forense para avaliar as dimensões e
confirmar fatos. 
d. Oficiaria a Autoridade Nacional para informar que houve o incidente com
violação de dados, mas não houve prejuízos materiais de qualquer natureza.
Na qualidade de Encarregado, ao receber a notícia em questão, a primeira
providência seria informar o Board e convocar as equipes de comunicação e de
tratamento de incidentes.
Determinaria que fosse verificada a factibilidade do ocorrido à equipe de
tratamento e pediria à equipe de comunicação que se mantivesse a postos para
a imediata comunicação aos titulares e ao público, conforme o resultado da
forense determinada.
 
A conduta mais razoável do Encarregado – DPO seria informar a Diretoria da
Empresa, alertar a equipe de comunicação para estar a postos e determinar uma
forense para avaliar as dimensões e confirmar fatos, portanto alternativa “c”.  
Qual alternativa apresenta os 2 elementos de maior importância para o
momento de enfrentar um incidente como esse, envolvendo a BPRPrevidência?
Escolha uma opção:
a. Contrato de consultoria e aquisição de criptografia.
b. Análise de impacto e equipe de classificação de dados.
c. Plano de Comunicação e Plano de Continuidade.
d. Programa de Segurança e Política de Privacidade. 
Esses itens são importantes para a segurança da informação ou para a
privacidade, mas não têm a relevância necessária para o momento de enfrentar
uma crise como a relatada na atividade.
Esses itens são importantes para a segurança da informação ou para a
privacidade, mas não têm a relevância necessária para o momento de enfrentar
uma crise como a relatada na atividade. 
◄ Módulo 4 - LGPD e Serpro Seguir para... Avaliação de Satisfação com o Curso ►
https://mooc38.escolavirtual.gov.br/mod/book/view.php?id=64248&forceview=1
https://mooc38.escolavirtual.gov.br/mod/questionnaire/view.php?id=64252&forceview=1