Exercício Avaliativo_ Revisão da tentativa

Prévia do material em texto

Painel / Meus cursos / Fundamentos da Lei Geral de Proteção de Dados / Módulo de Encerramento / Exercício Avaliativo
Questão 1
Incorreto
Atingiu 0,00 de 1,00
Questão 2
Incorreto
Atingiu 0,00 de 1,00
Questão 3
Correto
Atingiu 1,00 de 1,00
Iniciado em quarta, 14 set 2022, 01:00
Estado Finalizada
Concluída em quarta, 14 set 2022, 01:38
Tempo
empregado 38 minutos 21 segundos
Notas 28,00/30,00
Avaliar 93,33 de um máximo de 100,00
A LGPD se aplica a qual das hipóteses a seguir?
Escolha uma opção:
a. Dados relativos a investigação policial, segurança pública, defesa nacional e segurança do Estado. 
b. Dados da agenda de seu telefone pessoal, para contato com clientes e potenciais clientes.
c. Dados pessoais tratados em atividade jornalística e dados biográficos de uma alta celebridade.
d. Dados provenientes de uma empresa francesa e tratados aqui sem compartilhamento ou transferência.
A alternativa que se aplica à LGPD é a afirmativa “b”, ou seja, “Dados da agenda de seu telefone pessoal, para contato com
clientes e potenciais clientes”. 
Qual das hipóteses a seguir NÃO corresponde a dado pessoal?
Escolha uma opção:
a. CPF, matrícula e IP da máquina de um empregado do SESC.
b. Um dado que seja relacionado a um Diretor da IBM, mas que não o torna identificável. 
c. Nome, CPF e biometria de íris criptografados e sem possibilidade de reversão.
d. Ficha médica de um empregado do Serpro, mas sem o registro das licenças do último ano.
A alternativa que NÃO corresponde ao dado pessoal é a alternativa “c”, ou seja, “Nome, CPF e biometria de íris
criptografados e sem possibilidade de reversão”. 
Você é o Encarregado de uma Rede de Farmácias e recebe e-mail de um cliente:
(1) indagando quais dados pessoais são tratados,
(2) comunicando a revogação de seu consentimento e
(3) exigindo a deleção de todos os dados.
Na função de Encarregado, a melhor ação e resposta deve ser:
Escolha uma opção:
a. Prezado cliente, seus dados em nosso cadastro são x, y e z. Conforme solicitado, foram devidamente eliminados. 
b. Prezado cliente, seus dados em nosso cadastro são x, y e z, mas não serão eliminados porque temos legítimo
interesse no tratamento.
c. Prezado cliente, o tratamento faz parte de nosso contrato e nós o estamos executando da forma ajustada.
d. Prezado cliente, tratamos seu nome e CPF e acatamos a revogação do consentimento, mas vamos retê-los ainda por
3 anos que é o prazo de prescrição.
Na função de encarregado, a melhor ação e resposta deve ser “Prezado cliente, seus dados em nosso cadastro são x, y e z.
Conforme solicitado, foram devidamente eliminados”. 
Fundamentos da Lei Geral
de Proteção de Dados
Notas
Área do Participante
Módulo 1: Para entender
a LGPD
Módulo 2: Tratamento de
dados
Módulo 3: Segurança no
tratamento de dados
Módulo 4: LGPD e Serpro
Módulo de Encerramento
 Painel
 Meus cursos
https://mooc38.escolavirtual.gov.br/my/
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-5
https://mooc38.escolavirtual.gov.br/mod/quiz/view.php?id=139706
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358
https://mooc38.escolavirtual.gov.br/grade/report/index.php?id=7358
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-0
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-1
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-2
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-3
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-4
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-5
https://mooc38.escolavirtual.gov.br/my/
https://www.escolavirtual.gov.br/aluno/cursos/andamento
Questão 4
Correto
Atingiu 1,00 de 1,00
Questão 5
Correto
Atingiu 1,00 de 1,00
Questão 6
Correto
Atingiu 1,00 de 1,00
Questão 7
Correto
Atingiu 3,00 de 3,00
Qual das opções a seguir contém três hipóteses de tratamento de dados?
Escolha uma opção:
a. Consentimento, execução de contrato e revogação.
b. Proteção à vida, legítimo interesse e proteção ao crédito. 
c. Tutela da saúde, necessidade e cumprimento de obrigação legal.
d. Execução de políticas públicas, pesquisa/estudos e adequação à finalidade.
A alternativa “b” contém as três hipóteses de tratamento de dados, OU SEJA: “Proteção à vida, legítimo interesse e proteção
ao crédito”.  
Marque a situação em que dados pessoais NÃO podem ser transferidos:
Escolha uma opção:
a. Na hipótese de execução de contrato que preveja essa transferência.
b. Quando houver consentimento, genérico ou implícito, em outras disposições contratuais. 
c. Por força da hipótese de exercício regular de direitos.
d. Para fins de cooperação jurídica internacional de órgãos públicos de investigação.
A situação em que dados pessoais NÃO podem ser transferidos está na alternativa “b”, ou seja: “quando houver
consentimento, genérico ou implícito, em outras disposições contratuais”. 
Qual das práticas descritas a seguir NÃO tem relação com "privacy by design"?
Escolha uma opção:
a. Os desenvolvedores atuam, desde a definição de arquitetura, avaliando os riscos à segurança do sistema e à
privacidade.
b. Os processos de negócio contêm checagem preliminar de conformidade com as Leis de Privacidade, de Proteção do
Consumidor e com o Marco Civil da Internet.
c. As equipes de tratamento de incidentes renovam frequentemente sua infraestrutura de segurança. 
d. Os processos de aquisição já preveem, em editais e contratos, cláusulas de alinhamento com a LGPD.
A alternativa “c” descrita NÃO tem relação com "privacy by design", ou seja: “As equipes de tratamento de incidentes
renovam frequentemente sua infraestrutura de segurança.” 
Na primeira semana de janeiro de 2021, as empresas LATFLY (Chile) e BRAirwais (Brasil) comunicam ao mercado sua fusão,
que ocorrerá em junho daquele ano. Um dos objetivos da fusão é gerar rentabilidade, com a unificação e modernização dos
atuais sistemas de TI e Rede. Outro objetivo é o fortalecimento do plano de fidelização e sua ampliação.
Os serviços de pessoal e a área comercial serão fundidos e (re)localizados na antiga sede brasileira.
Para mitigar os riscos de possíveis violações de dados de seus clientes, o Conselho de Administração resultante da fusão
designou o Data Center da empresa chilena como responsável pelo tratamento de todas as operações a partir de junho.
O Data Center chileno fará o tratamento dos dados corporativos e pessoais de todos os clientes das empresas fundidas e
continuará sendo terceirizado para a empresa AlpesData, que já atendia a LATFLY. O processamento dos dados
controlados no Brasil continuará sendo feito, por enquanto, pela própria BRAirways.
Considerando que você é o Encarregado das duas empresas em processo de fusão, assinale a alternativa ERRADA:
Escolha uma opção:
a. Enquanto a fusão não se consumar, o Operador do segmento chileno é a AlpesData e o Operador do segmento
brasileiro é o próprio Controlador.
b. Enquanto a fusão não ocorrer, cada empresa aérea continuará sendo Operadora dos dados pessoais que trata. 
c. Quando houver a fusão, a Empresa resultante será o Controlador e a AlpesData será o Operador de dados pessoais.
d. Enquanto a fusão não se consumar, a Empresa Aérea chilena será Controlador dos dados pessoais e a AlpesData
será Operador.
A alternativa errada está na letra “b”, ou seja: “Enquanto a fusão não ocorrer, cada empresa aérea continuará sendo
operadora dos dados pessoais que trata”.  
Fundamentos da Lei Geral
de Proteção de Dados
Notas
Área do Participante
Módulo 1: Para entender
a LGPD
Módulo 2: Tratamento de
dados
Módulo 3: Segurança no
tratamento de dados
Módulo 4: LGPD e Serpro
Módulo de Encerramento
 Painel
 Meus cursos
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358
https://mooc38.escolavirtual.gov.br/grade/report/index.php?id=7358
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-0
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-1https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-2
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-3
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-4
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-5
https://mooc38.escolavirtual.gov.br/my/
https://www.escolavirtual.gov.br/aluno/cursos/andamento
Questão 8
Correto
Atingiu 3,00 de 3,00
Questão 9
Correto
Atingiu 3,00 de 3,00
Questão 10
Correto
Atingiu 3,00 de 3,00
Questão 11
Correto
Atingiu 3,00 de 3,00
Ainda em relação à fusão das empresas LATFLY (Chile) e BRAirwais (Brasil), com a unificação dos dados pessoais no Chile,
considerando que o Chile não guarda o mesmo nível de proteção de dados, assinale a alternativa CORRETA:
Escolha uma opção:
a. Haverá transferência internacional de dados que demandará obrigatoriamente consentimento dos Titulares
brasileiros.
b. Haverá transferência internacional de dados, mas a LGPD não se aplicará aos dados tratados no Chile, porque o
tratamento se dá no exterior.
c. A transferência poderá se dar com fundamento no Art. 33, II ou V e a aplicação da LGPD é pacífica, em razão dos
titulares aqui localizados e em razão de que a coleta se deu no Brasil. 
d. A transferência não ocorre. O que existe é o mero compartilhamento entre as empresas e a Lei aplicável é a chilena.
A alternativa correta é: “A transferência poderá se dar com fundamento no Art. 33, II ou V e a aplicação da LGPD é pacífica,
em razão dos titulares aqui localizados e em razão de que a coleta se deu no Brasil”. 
A ONG InfosecSwift recebeu uma denúncia anônima.
Nela, o hacker denunciante informa que descobriu uma vulnerabilidade na gestão do Plano de Previdência do Banco
Produção Rural: o BPRPrevidência, que conta com mais de 150 mil contribuintes.
A falha, segundo o denunciante, permite que qualquer pessoa tenha acesso a dados pessoais dos participantes e, além
disso, permite que o invasor possa editar e cadastrar beneficiários como se fosse o próprio titular da conta.
A partir de um link de qualquer conta do BPRPrevidência, o atacante só precisa usar a mesma URL e substituir
aleatoriamente o número sequencial do participante, que aparece no fim do endereço.
Com isso, o atacante pode chegar aos seguintes dados do cadastrado: nome, endereço físico completo, CPF, data de
nascimento, e-mail, telefone, nome da entidade para a qual o participante pretenda fazer uma portabilidade, o tipo de plano
e o CNPJ da empresa patrocinadora, identificação do valor bruto disponível na conta e até transfência desse valor para
beneficiários cadastrados. Esse acesso permite, ainda, a exclusão de beneficiários já existentes e a inclusão de um novo
beneficiário, com a transferência do saldo da conta para este novo beneficiário.
O relato envolvendo a BPRPrevidência descreve:
Escolha uma opção:
a. Uma simples falha de segurança.
b. Uma falha de segurança em perspectiva e uma vulnerabilidade do sistema.
c. Um incidente de segurança da informação e a violação de dados.  Sim, um incidente de segurança consumado
se deu com o "teste de invasão" relatado pelo hacker, com exposição de dados pessoais: portanto houve uma violação
com quebra de confidencialidade.
d. Uma violação de dado sensível.
O relato envolvendo a BPRPrevidência descreve um incidente de segurança da informação e a violação de dados.
Ainda sobre o caso da BRPrevidência, o número do CNPJ constante no relato:
Escolha uma opção:
a. É exclusivamente um dado de pessoa jurídica.
b. É um dado pessoal.  Sim, é um dado pessoal. Dado pessoal é qualquer informação relacionada a uma pessoa
identificada ou identificável. Se eu digo "João Trabalha na Latam", a informação do emprego de João é um dado pessoal.
Assim, o CNPJ da patrocinadora de um plano de previdência, associado a uma transação do titular representa um dado
pessoal, se devidamente contextualizado.
c. É um dado pessoal sensível.
d. Não é dado, mas uma informação.
No caso da BRPrevidência, o número do CNPJ constante no relato é um dado pessoal.  
No relato sobre a BPRPrevidência, empresa patrocinadora, plano de previdência e beneficiário, referem-se 
respectivamente, a:
Escolha uma opção:
a. Controlador, operador e titular.
b. Terceiro, controlador e encarregado.
c. Terceiro, controlador e titular.  Resposta correta. A Empresa Patrocinadora é um "terceiro", o Plano é
"controlador" e o beneficiário é o "titular".
d. Autoridade supervisora, operador e consumidor.
No relato sobre a BPRPrevidência, empresa patrocinadora, plano de previdência e beneficiário, referem-se 
respectivamente, a Terceiro, controlador e titular.  
Fundamentos da Lei Geral
de Proteção de Dados
Notas
Área do Participante
Módulo 1: Para entender
a LGPD
Módulo 2: Tratamento de
dados
Módulo 3: Segurança no
tratamento de dados
Módulo 4: LGPD e Serpro
Módulo de Encerramento
 Painel
 Meus cursos
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358
https://mooc38.escolavirtual.gov.br/grade/report/index.php?id=7358
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-0
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-1
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-2
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-3
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-4
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-5
https://mooc38.escolavirtual.gov.br/my/
https://www.escolavirtual.gov.br/aluno/cursos/andamento
Questão 12
Correto
Atingiu 3,00 de 3,00
Questão 13
Correto
Atingiu 3,00 de 3,00
Questão 14
Correto
Atingiu 3,00 de 3,00
Se, a partir do incidente, o BPRPrevidência decidir eliminar a coleta de alguns dados considerados desnecessários, para
reduzir o risco de violação, isso atenderia a qual princípio?
Escolha uma opção:
a. Prevenção da futilidade
b. Autodeterminação informativa
c. Transparência
d. Necessidade  O princípio da necessidade responde à boa prática de coletar e tratar apenas os dados necessários
à realização de suas finalidades.
O princípio atendido seria o da necessidade, portanto, alternativa “d”.  
Agora, imagine-se na condição de Encarregado da BPRPrevidência: você recebeu o ofício da ONG InfosecSwift fazendo a
denúncia inicial e exigindo providências.
Em matéria de notificações, avisos e comunicação, marque qual a conduta mais razoável do Encarregado - DPO:
Escolha uma opção:
a. Publicaria o relato do ocorrido no Diário Oficial e em um periódico de grande circulação, avisaria imediatamente os
150.000 titulares e demandaria uma forense computacional.
b. Avisaria, em primeiro lugar, os titulares, em vista do alto risco a que estão expostos seus dados sensíveis.
c. Informaria a Diretoria da Empresa, alertaria a equipe de comunicação para estar a postos e determinaria uma
forense para avaliar as dimensões e confirmar fatos. 
d. Oficiaria a Autoridade Nacional para informar que houve o incidente com violação de dados, mas não houve
prejuízos materiais de qualquer natureza.
Na qualidade de Encarregado, ao receber a notícia em questão, a primeira providência seria informar o Board e convocar as
equipes de comunicação e de tratamento de incidentes.
Determinaria que fosse verificada a factibilidade do ocorrido à equipe de tratamento e pediria à equipe de comunicação que
se mantivesse a postos para a imediata comunicação aos titulares e ao público, conforme o resultado da forense
determinada.
 
A conduta mais razoável do Encarregado – DPO seria informar a Diretoria da Empresa, alertar a equipe de comunicação
para estar a postos e determinar uma forense para avaliar as dimensões e confirmar fatos, portanto alternativa “c”.  
Qual alternativa apresenta os 2 elementos de maior importância para o momento de enfrentar um incidente como esse,
envolvendo a BPRPrevidência?
Escolha uma opção:
a. Contrato de consultoria e aquisição de criptografia.
b. Análise de impacto e equipe de classificação de dados.
c. Plano de Comunicaçãoe Plano de Continuidade. 
d. Programa de Segurança e Política de Privacidade.
Ter um adequado Plano de Comunicação para a hipótese de incidentes de segurança e de violação de privacidade é de
suma importância para evitar que falhas de comunicação aumentem a dimensão do problema. Também é essencial para
demonstrar que a Empresa está - mesmo em crise - no controle da situação, tranquilizando os envolvidos, além de
demonstrar à Autoridade Supervisora o nível de maturidade no tratamento do incidente.
Por outro lado, um adequado Plano de Continuidade - que em si já pode trazer integrado um Plano de Comunicação - é
fundamental para garantir que mesmo na falha de segurança ou na deficiência de adoção das melhores práticas, a
organização conte com agilidade na recuperação e mitigação do incidente e com rápido retorno à regularidade,
minimizando os danos aos titulares e garantindo que o histórico e a experiência sejam utilizados na prevenção de
ocorrências futuras. Ciclo de melhoria contínua - PDCA.
Esses itens são importantes para a segurança da informação ou para a privacidade, mas não têm a relevância necessária
para o momento de enfrentar uma crise como a relatada na atividade. 
◄ Módulo 4 - LGPD e Serpro Seguir para... Avaliação de Satisfação com o Curso ►
Fundamentos da Lei Geral
de Proteção de Dados
Notas
Área do Participante
Módulo 1: Para entender
a LGPD
Módulo 2: Tratamento de
dados
Módulo 3: Segurança no
tratamento de dados
Módulo 4: LGPD e Serpro
Módulo de Encerramento
 Painel
 Meus cursos
https://mooc38.escolavirtual.gov.br/mod/book/view.php?id=139705&forceview=1
https://mooc38.escolavirtual.gov.br/mod/questionnaire/view.php?id=139707&forceview=1
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358
https://mooc38.escolavirtual.gov.br/grade/report/index.php?id=7358
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-0
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-1
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-2
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-3
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-4
https://mooc38.escolavirtual.gov.br/course/view.php?id=7358#section-5
https://mooc38.escolavirtual.gov.br/my/
https://www.escolavirtual.gov.br/aluno/cursos/andamento