Exercícios de fixação - LGPD2

Prévia do material em texto

Exercícios de fixação – Aula 2: 
 
As respostas das questões são os itens negritados. 
 
1) Uma loja online de roupas ABCD contrata a empresa XYZ para realizar o 
disparo de e-mail marketing para seus clientes. Para tanto, compartilha os 
dados de e-mails dos clientes cadastrados com a empresa prestadora do 
serviço de comunicação, assinando um contrato que limita o uso dos dados 
pessoais apenas à finalidade específica de envio das mensagens, com 
periodicidade determina, seguindo as orientações de ABCD. Sobre a 
situação exposta, é correto dizer que: 
 
a. ABCD é operadora do tratamento de dados pessoais, enquanto a 
empresa XYZ é a controladora. 
b. ABCD é controladora do tratamento de dados pessoais, enquanto XYZ 
não é agente de tratamento, uma vez que deve respeitar a finalidade 
delimitada. 
c. ABCD é controladora do tratamento de dados pessoais, enquanto 
XYZ é operadora do tratamento. 
d. ABCD e XYZ são operadoras do tratamento de dados pessoais. 
 
2) O banco de investimentos XPTO deve disponibilizar os dados pessoais dos 
seus clientes para que os consultores contratados pelo banco possam 
executar as suas atribuições, tais como analisar a saúde financeira dos 
clientes, observar perfis e sugerir investimentos específicos para as 
demandas de cada cliente. Sobre essa relação, assinale a alternativa 
incorreta: 
 
a. O banco XPTO deve preservar a qualidade dos dados pessoais, bem 
como a segurança destes aos disponibilizá-los aos consultores. 
b. Os consultores se enquadram como operadores do tratamento de 
dados pessoais, uma vez que são contratados pelo banco XPTO. 
c. O banco XPTO é o controlador do tratamento de dados pessoais. 
d. Aos consultores não é atribuído papel como agente de tratamento, uma 
vez que atuam sob o poder diretivo do banco XPTO. 
 
3) Sobre a responsabilização do operador do tratamento de dados pessoais é 
correto afirmar que: 
 
a. O operador não será responsabilizado por qualquer vazamento de 
dados. 
b. O operador, ao cumprir as ordens lícitas do controlador, não será 
responsabilizado por eventuais danos aos titulares. 
c. O operador não precisa necessariamente estar adequado à LGPD para 
tratar dados pessoais. 
d. O operador não tem a obrigação de verificar se a orientação provida pelo 
controlador é lícita, uma vez que apenas o controlador pode ser 
responsabilizado por eventuais condutas ilícitas. 
 
4) Você, ao receber a fatura do seu cartão de crédito por e-mail, nota que o 
endereço atribuído à sua residência está desatualizado. Nesse caso, 
enquanto titular dos dados pessoais, qual é o direito previsto na Lei Geral 
de Proteção de Dados Pessoais (Lei nº 13.709/2018) que permite a 
atualização desse dado? 
 
a. O direito de acesso aos dados pessoais. 
b. O direito à portabilidade. 
c. O direito à revogação do consentimento. 
d. O direito à retificação. 
 
5) O titular dos dados pessoais, em hipótese de se sentir lesado por algum 
tratamento de dados não esperado ou que julgue ilegal, deve buscar o 
atendimento de sua demanda/requerimento: 
 
a. Sempre através de processo judicial, que é o mecanismo adequado para 
a comunicação do titular a respeito de qualquer tratamento de dados 
pessoais. 
b. Apenas através da Autoridade Nacional de Proteção de Dados, já que 
não é permitido que o titular tenha contato direto com o controlador do 
tratamento. 
c. Sempre através de um representante legal, seja em juízo ou em esfera 
administrativa. 
d. Com o controlador do tratamento, com a Autoridade Nacional de 
Proteção de Dados, com órgão de defesa do consumidor ou em juízo, 
a critério do titular dos dados pessoais. 
 
6) Não é obrigação do encarregado do tratamento de dados pessoais: 
 
a. Gerenciar a comunicação entre o titular, o controlador e a Autoridade 
Nacional de Proteção de Dados. 
b. Ter informações de contato públicas. 
c. Ter experiência de ao menos 5 (cinco) anos no ramo da proteção de 
dados pessoais. 
d. Capacitar e treinar os funcionários e contratados da entidade da qual 
presta o serviço. 
 
7) Não é competência da Autoridade Nacional de Proteção de Dados: 
 
a. Orientar a sociedade civil e as empresas sobre boas-práticas para a 
proteção de dados pessoais. 
b. Elaborar estudos e pesquisas que contribuam para a divulgação e 
promoção da cultura da proteção de dados pessoais. 
c. Operacionalizar o tratamento de dados pessoais do Poder Público, 
de modo que tenha controle sobre todas as operações realizadas 
utilizando dados pessoais pelos órgãos públicos. 
d. Fiscalizar e aplicar sanções em caso de tratamento de dados realizado 
em descumprimento à legislação. 
 
8) Assinale abaixo a hipótese que não poderia levar a Autoridade Nacional de 
Proteção de Dados a aplicar uma sanção administrativa ao controlador do 
tratamento de dados: 
 
a. Uma empresa de eventos tira fotos de uma festa na qual forneceu um 
serviço e, sem a autorização dos convidados, utiliza tais fotos para 
divulgar o seu serviço na internet. 
b. Um hospital compila as informações, incluindo informações de saúde, 
dos seus pacientes e realiza análises de perfil socioeconômico e de saúde 
sem o consentimento dos pacientes. 
c. Uma loja virtual permite que os dados bancários dos seus clientes, 
incluindo dados do cartão de crédito, sejam coletados por terceiro 
no momento da operacionalização da compra. 
d. O Ministério da Educação tem os dados de milhares de crianças e 
adolescentes armazenados em sistemas obsoletos do ponto de vista da 
segurança da informação. 
 
9) As sanções administrativas aplicadas pela ANPD podem ser de diferentes 
“tipos”. Sobre o assunto, assinale a alternativa que não está no rol de 
possibilidades de sanção à disposição da ANPD: 
 
a. Advertência. 
b. Multa diária. 
c. Publicização da infração quando se inicia a investigação. 
d. Bloqueio dos dados pessoais. 
 
10) A LGPD prevê hipótese de reparação de danos quando houver tratamento 
irregular de dados pessoais. Sobre o assunto, julgados recentes do Tribunal 
de Justiça do Estado de São Paulo vêm consolidando o entendimento de que: 
 
a. A responsabilidade do controlador é objetiva, ou seja, independente do 
dolo ou da culpa em um incidente (vazamento de dados), o controlador 
deverá indenizar os titulares. 
b. Não há possibilidade de reparação de danos coletiva, sendo limitada 
apenas à reparação de danos individual a cada titular. 
c. Mesmo sem dano patrimonial, moral, individual ou coletivo, o 
controlador deve indenizar o titular. 
d. A responsabilidade do controlador é subjetiva, ou seja, caso se 
comprove que o controlador tomou todas as medidas possíveis de 
segurança, ele não necessariamente deverá indenizar o titular.