Logo Passei Direto
Buscar

Exercício Avaliativo LGPD

Ferramentas de estudo

Questões resolvidas

Agora, imagine-se na condição de Encarregado da BPRPrevidência: você recebeu o ofício da ONG InfosecSwift fazendo a denúncia inicial e exigindo providências.
Em matéria de notificações, avisos e comunicação, marque qual a conduta mais razoável do Encarregado - DPO:
a. Publicaria o relato do ocorrido no Diário Oficial e em um periódico de grande circulação, avisaria imediatamente os 150.000 titulares e demandaria uma forense computacional.
b. Avisaria, em primeiro lugar, os titulares, em vista do alto risco a que estão expostos seus dados sensíveis.
c. Informaria a Diretoria da Empresa, alertaria a equipe de comunicação para estar a postos e determinaria uma forense para avaliar as

Material
páginas com resultados encontrados.
páginas com resultados encontrados.

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Escolha uma das opções e acesse esse e outros materiais sem bloqueio. 🤩

Cadastre-se ou realize login

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

Questões resolvidas

Agora, imagine-se na condição de Encarregado da BPRPrevidência: você recebeu o ofício da ONG InfosecSwift fazendo a denúncia inicial e exigindo providências.
Em matéria de notificações, avisos e comunicação, marque qual a conduta mais razoável do Encarregado - DPO:
a. Publicaria o relato do ocorrido no Diário Oficial e em um periódico de grande circulação, avisaria imediatamente os 150.000 titulares e demandaria uma forense computacional.
b. Avisaria, em primeiro lugar, os titulares, em vista do alto risco a que estão expostos seus dados sensíveis.
c. Informaria a Diretoria da Empresa, alertaria a equipe de comunicação para estar a postos e determinaria uma forense para avaliar as

Prévia do material em texto

niciado em quinta, 10 ago 2023, 09:46
Estado Finalizada
Concluída em quinta, 10 ago 2023, 09:58
Tempo
empregado 11 minutos 54 segundos
Notas 30,00/30,00
Avaliar 100,00 de um máximo de 100,00
Questão 1
Correto
Atingiu 1,00 de 1,00
Questão 2
Correto
Atingiu 1,00 de 1,00
A LGPD se aplica a qual das hipóteses a seguir?
Escolha uma opção:
a. Dados relativos a investigação policial, segurança pública, defesa nacional e segurança do Estado.
b. Dados da agenda de seu telefone pessoal, para contato com clientes e potenciais clientes. 
c. Dados pessoais tratados em atividade jornalística e dados biográficos de uma alta celebridade.
d. Dados provenientes de uma empresa francesa e tratados aqui sem compartilhamento ou transferência.
A alternativa que se aplica à LGPD é a afirmativa “b”, ou seja, “Dados da agenda de seu telefone pessoal, para contato com clientes e
potenciais clientes”.
Questão 3
Correto
Atingiu 1,00 de 1,00
Questão 4
Correto
Atingiu 1,00 de 1,00
Você é o Encarregado de uma Rede de Farmácias e recebe e-mail de um cliente:
(1) indagando quais dados pessoais são tratados,
(2) comunicando a revogação de seu consentimento e
(3) exigindo a deleção de todos os dados.
Na função de Encarregado, a melhor ação e resposta deve ser:
Escolha uma opção:
a. Prezado cliente, seus dados em nosso cadastro são x, y e z. Conforme solicitado, foram devidamente eliminados. 
b. Prezado cliente, seus dados em nosso cadastro são x, y e z, mas não serão eliminados porque temos legítimo interesse no
tratamento.
c. Prezado cliente, o tratamento faz parte de nosso contrato e nós o estamos executando da forma ajustada.
d. Prezado cliente, tratamos seu nome e CPF e acatamos a revogação do consentimento, mas vamos retê-los ainda por 3 anos que é o
prazo de prescrição.
Na função de encarregado, a melhor ação e resposta deve ser “Prezado cliente, seus dados em nosso cadastro são x, y e z. Conforme
solicitado, foram devidamente eliminados”.
Qual das opções a seguir contém três hipóteses de tratamento de dados?
Escolha uma opção:
a. Consentimento, execução de contrato e revogação.
Questão 6
Correto
Atingiu 1,00 de 1,00
Questão 7
Correto
Atingiu 3,00 de 3,00
Qual das práticas descritas a seguir NÃO tem relação com "privacy by design"?
Escolha uma opção:
a. Os desenvolvedores atuam, desde a definição de arquitetura, avaliando os riscos à segurança do sistema e à privacidade.
b. Os processos de negócio contêm checagem preliminar de conformidade com as Leis de Privacidade, de Proteção do Consumidor e
com o Marco Civil da Internet.
c. As equipes de tratamento de incidentes renovam frequentemente sua infraestrutura de segurança. 
d. Os processos de aquisição já preveem, em editais e contratos, cláusulas de alinhamento com a LGPD.
A alternativa “c” descrita NÃO tem relação com "privacy by design", ou seja: “As equipes de tratamento de incidentes renovam
frequentemente sua infraestrutura de segurança.”
Na primeira semana de janeiro de 2021, as empresas LATFLY (Chile) e BRAirwais (Brasil) comunicam ao mercado sua fusão, que ocorrerá
em junho daquele ano. Um dos objetivos da fusão é gerar rentabilidade, com a unificação e modernização dos atuais sistemas de TI e Rede.
Outro objetivo é o fortalecimento do plano de fidelização e sua ampliação.
Os serviços de pessoal e a área comercial serão fundidos e (re)localizados na antiga sede brasileira.
Para mitigar os riscos de possíveis violações de dados de seus clientes, o Conselho de Administração resultante da fusão designou o Data
Center da empresa chilena como responsável pelo tratamento de todas as operações a partir de junho.
O Data Center chileno fará o tratamento dos dados corporativos e pessoais de todos os clientes das empresas fundidas e continuará sendo
terceirizado para a empresa AlpesData, que já atendia a LATFLY. O processamento dos dados controlados no Brasil continuará sendo feito,
por enquanto, pela própria BRAirways.
Considerando que você é o Encarregado das duas empresas em processo de fusão, assinale a alternativa ERRADA:
Questão 9
Correto
Atingiu 3,00 de 3,00
Questão 10
Correto
Atingiu 3,00 de 3,00
A ONG InfosecSwift recebeu uma denúncia anônima.
Nela, o hacker denunciante informa que descobriu uma vulnerabilidade na gestão do Plano de Previdência do Banco Produção Rural: o
BPRPrevidência, que conta com mais de 150 mil contribuintes.
A falha, segundo o denunciante, permite que qualquer pessoa tenha acesso a dados pessoais dos participantes e, além disso, permite que o
invasor possa editar e cadastrar beneficiários como se fosse o próprio titular da conta.
A partir de um link de qualquer conta do BPRPrevidência, o atacante só precisa usar a mesma URL e substituir aleatoriamente o número
sequencial do participante, que aparece no fim do endereço.
Com isso, o atacante pode chegar aos seguintes dados do cadastrado: nome, endereço físico completo, CPF, data de nascimento, e-mail,
telefone, nome da entidade para a qual o participante pretenda fazer uma portabilidade, o tipo de plano e o CNPJ da empresa patrocinadora,
identificação do valor bruto disponível na conta e até transfência desse valor para beneficiários cadastrados. Esse acesso permite, ainda, a
exclusão de beneficiários já existentes e a inclusão de um novo beneficiário, com a transferência do saldo da conta para este novo
beneficiário.
O relato envolvendo a BPRPrevidência descreve:
Escolha uma opção:
a. Uma simples falha de segurança.
b. Uma falha de segurança em perspectiva e uma vulnerabilidade do sistema.
c. Um incidente de segurança da informação e a violação de dados. Sim, um incidente de segurança consumado se deu com o
"teste de invasão" relatado pelo hacker, com exposição de dados pessoais: portanto houve uma violação com quebra de
confidencialidade.
d. Uma violação de dado sensível.
O relato envolvendo a BPRPrevidência descreve um incidente de segurança da informação e a violação de dados.
Questão 12
Correto
Atingiu 3,00 de 3,00
Questão 13
Correto
Atingiu 3,00 de 3,00
Se, a partir do incidente, o BPRPrevidência decidir eliminar a coleta de alguns dados considerados desnecessários, para reduzir o risco de
violação, isso atenderia a qual princípio?
Escolha uma opção:
a. Prevenção da futilidade
b. Autodeterminação informativa
c. Transparência
d. Necessidade O princípio da necessidade responde à boa prática de coletar e tratar apenas os dados necessários à realização de
suas finalidades.
O princípio atendido seria o da necessidade, portanto, alternativa “d”. 
Agora, imagine-se na condição de Encarregado da BPRPrevidência: você recebeu o ofício da ONG InfosecSwift fazendo a denúncia inicial e
exigindo providências.
Em matéria de notificações, avisos e comunicação, marque qual a conduta mais razoável do Encarregado - DPO:
Escolha uma opção:
a. Publicaria o relato do ocorrido no Diário Oficial e em um periódico de grande circulação, avisaria imediatamente os 150.000 titulares e
demandaria uma forense computacional.
b. Avisaria, em primeiro lugar, os titulares, em vista do alto risco a que estão expostos seus dados sensíveis.
c. Informaria a Diretoria da Empresa, alertaria a equipe de comunicação para estar a postos e determinaria uma forense para avaliar as
Questão 14
Correto
Atingiu 3,00 de 3,00
Qual alternativa apresenta os 2 elementos de maior importância para o momento de enfrentar um incidente como esse, envolvendo a
BPRPrevidência?
Escolha uma opção:
a. Contrato de consultoria e aquisição de criptografia.
b. Análise de impacto e equipe de classificação de dados.
c. Plano de Comunicação e Plano de Continuidade. 
d. Programa de Segurança e Política de Privacidade.
Ter um adequado Plano de Comunicação para a hipótese de incidentes de segurança e de violação de privacidade é de suma importância
para evitar que falhas de comunicação aumentem a dimensão do problema. Também é essencial para demonstrar que a Empresa está -
mesmo em crise - no controle da situação, tranquilizando os envolvidos, além de demonstrar à Autoridade Supervisorao nível de maturidade
no tratamento do incidente.
Por outro lado, um adequado Plano de Continuidade - que em si já pode trazer integrado um Plano de Comunicação - é fundamental para
garantir que mesmo na falha de segurança ou na deficiência de adoção das melhores práticas, a organização conte com agilidade na
recuperação e mitigação do incidente e com rápido retorno à regularidade, minimizando os danos aos titulares e garantindo que o histórico e
a experiência sejam utilizados na prevenção de ocorrências futuras. Ciclo de melhoria contínua - PDCA.
Esses itens são importantes para a segurança da informação ou para a privacidade, mas não têm a relevância necessária para o momento de
enfrentar uma crise como a relatada na atividade.

Mais conteúdos dessa disciplina