llllllllllll (74)

Prévia do material em texto

Aula 36 (Profs Diego
Carvalho e Fernando
Pedrosa)
Concursos da Área Fiscal - Curso Básico
de Tecnologia da Informação - 2023
Autor:
Fernando Pedrosa Lopes , Thiago
Rodrigues Cavalcanti, Erick
Muzart Fonseca dos Santos,
Paolla Ramos e Silva , Diego
Carvalho, Renato da Costa, Equipe
Informática e TI
10 de Julho de 2023
https://t.me/kakashi_copiador
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Índice
..............................................................................................................................................................................................1) Legislações - LGPD 3
..............................................................................................................................................................................................2) Resumo - Legislações - LGPD 70
..............................................................................................................................................................................................3) Questões Comentadas - Legislações - LGPD - Multibancas 76
..............................................................................................................................................................................................4) Lista de Questões - Legislações - LGPD - Multibancas 103
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
2
118
APRESENTAÇÃO 
 
Galera, vamos falar sobre a Lei 13.709/2018! Opa, opa, opa, calma aí, professor! Eu já estou 
cansado de estudar leis nas matérias de Direito, agora vou ter que estudar até em Informática/TI? 
Calma, fera! Vou explicar... essa lei dispõe sobre a proteção de dados pessoais e altera a Lei do 
Marco Civil na Internet. Logo, é uma lei que trata de um assunto que tem uma interface com a nossa 
disciplina. Se você entendeu Direito Constitucional, isso aqui vai ser fichinha para vocês. 
 
 PROFESSOR DIEGO CARVALHO - www.instagram.com/professordiegocarvalho 
 
 
Galera, todos os tópicos da aula possuem Faixas de Incidência, que indicam se o assunto cai 
muito ou pouco em prova. Diego, se cai pouco para que colocar em aula? Cair pouco não significa 
que não cairá justamente na sua prova! A ideia aqui é: se você está com pouco tempo e precisa ver 
somente aquilo que cai mais, você pode filtrar pelas incidências média, alta e altíssima; se você tem 
tempo sobrando e quer ver tudo, vejam também as incidências baixas e baixíssimas. Fechado? 
 
INCIDÊNCIA EM PROVA: baixíssima 
 
INCIDÊNCIA EM PROVA: baixa 
 
INCIDÊNCIA EM PROVA: média 
 
INCIDÊNCIA EM PROVA: ALTA 
 
INCIDÊNCIA EM PROVA: Altíssima 
 
Além disso, essas faixas não são por banca – é baseado tanto na quantidade de vezes que caiu em 
prova independentemente da banca e também em minhas avaliações sobre cada assunto... 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
3
118
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
4
118
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
5
118
LEI 13.709/2018 
Conceitos Básicos 
INCIDÊNCIA EM PROVA: ALTA 
 
 
 
Vamos começar falando sobre a motivação para essa lei, mas antes eu gostaria que vocês 
assistissem esse pequeno vídeo para já terem uma ideia do que se trata: 
 
https://www.camara.leg.br/internet/agencia/videos/repasse_dados_pessoais.mp4 
 
Para quem não conseguir ver o vídeo, vamos transcrevê-lo com algumas observações aqui e ali. 
Imagine que você vai a uma famosa rede de farmácias comprar um remédio. Ao fazer isso, é comum 
que você tenha que fornecer vários dados, tais como: Nome, CPF, Número do Cartão de Crédito e, 
por vezes, até o E-mail – além, é claro, do nome do remédio que você deseja comprar na farmácia. 
Bacana? 
 
Agora imagine também que essa rede de farmácias repasse esses dados – sem o seu consentimento 
– para uma empresa de planos de saúde. De posse desses dados, a empresa poderá utilizar essas 
informações para decidir se aumenta ou não o preço do seu plano. Ora, você não autorizou a 
farmácia a repassar esses dados, portanto o plano de saúde utilizou esses dados de forma 
completamente indevida. 
 
Professor do céu, isso acontece mesmo? Sim, galera – e muito! E digo mais: a rede de farmácias não 
repassa esses dados gratuitamente, ela os vende por altos valores. Logo, podemos concluir que a 
farmácia ganha dinheiro vendendo a informação, a empresa de plano de saúde ganha dinheiro 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
6
118
aumentando o valor contratado do seu plano e você ganha dinheiro... opa, você não ganha dinheiro 
nenhum, você só perde nessa história! 
 
A mesma coisa acontece quando você autoriza as redes sociais, aplicativos ou instituições 
financeiras a compartilharem seus dados. Afinal, ninguém lê aqueles textos enormes – que você 
geralmente é obrigado a marcar que concorda – para ter acesso a esses serviços. Como se proteger 
disso? O Congresso Nacional aprovou uma lei para prevenir o uso indevido dos dados e uma das 
medidas garante ao cidadão o poder sobre seus dados pessoais. 
 
Há ainda previsões de fiscalizações, punições para usos indevidos e exigências de autorização para 
o tratamento das informações. A lei aumenta ainda as exigências para uso de dados considerados 
sensíveis, como os relativos à saúde. No entanto, para evitar censura, ela deixa de fora pesquisas 
acadêmicas, matérias jornalísticas e dados necessários ao crédito. Com as novas regras, a justiça e 
as fiscalizações decidirão quem será punido em caso de uso indevido de dados. 
 
Como assim, professor? Em nosso exemplo, pode-se punir a rede de farmácias, a empresa de plano 
de saúde ou ambas. Essas definições são fundamentais para posicionar o nosso país nessa nova 
economia, que é baseada no cruzamento de dados, às vezes em países diferentes, com o objetivo 
de direcionar publicidades e comercializar produtos. Lembrando que – somente em 2014 – isso 
movimentou mais de três trilhões de dólares em todo o mundo. 
 
O site www.dizerodireito.com.br traz uma contextualização interessante sobre a lei: 
 
Os serviços atualmente oferecidos, especialmente por meio de empresas que trabalham com 
novas tecnologias, têm como uma de suas características a constante coleta de dados pessoais 
do usuário. Assim, por exemplo, a partir do momento em que uma pessoa faz uma conta e 
acessa o Facebook, o Instagram ou qualquer outra rede social, a empresa passa a coletar dados 
pessoais relacionados com aquele usuário. Tais informações vão sendo inseridas em um banco 
de dados cada dia mais completoa respeito da pessoa. Neste banco de dados há informações 
sobre seu nome, e-mail, cidade, profissão, círculo de amizades e, principalmente, seus gostos e 
interesses. 
 
Isso acontece, como já dito, com praticamente todos os serviços baseados nas novas 
tecnologias. É o caso do Google, do WhatsApp, do Uber, do Airbnb, do Waze etc. Em toda 
interação que fazemos via internet, há coleta de dados. Tais dados são muito valiosos 
economicamente porque eles definem tendências de consumo, políticas, religiosas, 
comportamentais etc. podendo servir para que empresas e políticos direcionem suas estratégias 
de acordo com essas informações. 
 
Sempre houve suspeita de que esses dados poderiam ser utilizados de forma indevida. Essa 
suspeita ganhou contornos mais reais quando se descobriu que houve um vazamento de dados 
de 87 milhões de usuários do Facebook para a empresa de marketing político Cambridge 
Analytica, que atuou na campanha eleitoral de Donald Trump. No Brasil, foram vazados os 
dados de 443 mil pessoas. Diante desse cenário, entendeu-se necessário regulamentar essa 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
7
118
atividade a fim de evitar abusos que gerem violação aos direitos fundamentais dos indivíduos, 
dentre eles, a privacidade e a intimidade. 
 
Ressalte-se que essa é uma preocupação internacional, devendo-se destacar que, em 
25/05/2018, entrou em vigor o “Regulamento Geral de Proteção de Dados”, conhecido como 
GDPR, sua sigla em inglês. A GPDR é uma legislação editada pela União Europeia que 
estabelece regras sobre como as empresas e os órgãos públicos devem lidar com os dados 
pessoais. É nesse contexto que foi editada a Lei nº 13.709/2018. 
 
É importante destacar que a nossa lei usou como base principalmente as regras do General Data Protection 
Regulation (GDPR) – ato legislatório da União Europeia sobre a proteção de dados! Na verdade, a nossa lei 
foi criada como uma resposta às cobranças feitas pela União Europeia para que outros países tivessem uma 
legislação de mesmo nível de proteção de dados que o nível do GPDR, que definia e limitava a forma como 
deveria ocorrer o tratamento e processamento de dados pessoais. 
 
Vamos contextualizar um pouco mais: diversas legislações e constituições federais ao redor do mundo 
tiveram como base a Declaração Universal de Direitos Humanos, de 1948. A partir dela, várias legislações 
passaram a prever os direitos fundamentais como o direito à liberdade, intimidade e privacidade (vocês 
estão afiados em Direito Constitucional, né?). Já havia leis que protegiam dados pessoais, mas lembrem-se 
que o mundo passou por uma grande transformação digital recentemente. 
 
Logo, essa foi a demanda para uma legislação mais adequada aos tempos atuais. Daí para a Lei Geral de 
Proteção de Dados (LGPD) foi um pulo... 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
8
118
Capítulo I 
INCIDÊNCIA EM PROVA: ALTA 
 
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por 
pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de 
privacidade e o livre desenvolvimento da personalidade da pessoa natural. 
 
Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, 
Estados, Distrito Federal e Municípios. 
 
Comentário: 
 
Esse primeiro artigo nos diz que essa lei dispõe sobre o tratamento de dados pessoais. Já vamos 
parar por aqui! O que é esse tratamento? E o que é um dado pessoal? Dado pessoal é fácil: trata-se de 
qualquer informação relacionada a uma pessoa natural (aquele ser humano capaz de direitos e 
obrigações na esfera civil). Já o tratamento é toda operação realizada com dados pessoais como 
coleta, utilização, processamento, armazenamento e eliminação. 
 
Vamos continuar lendo o artigo: essa lei dispõe sobre o tratamento de dados pessoais, inclusive 
nos meios digitais. O que isso significa? Isso significa que essa lei trata tanto daquele documento 
que você assina com caneta quando vai contratar um serviço de telefonia celular quanto aqueles 
contratos digitais que você marca que “concorda com os termos do contrato” quando está 
comprando ou usando serviços de um site. 
 
Ainda não entendi, professor! Um tempo atrás, eu estava de saco cheio da Claro e fui mudar para a 
Tim! Eu fui ao shopping, falei com um atendente, ele me mostrou os planos e eu acabei assinando 
um contrato com a Tim! Nesse contrato, eu tive que oferecer vários dados pessoais que, desde 
então, estão de posse dessa operadora. Esses dados que eu preenchi em um papel físico estão 
contemplados por essa lei? Sim! Legal... 
 
Agora se eu tivesse feito esse mesmo procedimento, porém pelo site da Tim? Bem, eu teria que 
oferecer os mesmos dados em um formulário digital na página dessa operadora e provavelmente 
teria que clicar em algum botando confirmando que eu aceito os termos do contrato. A partir desse 
momento, meus dados pessoais também estariam de posse dessa operadora. Esses dados que eu 
preenchi em uma página web estão contemplados por essa lei? Sim! Prosseguindo... 
 
Então, essa lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por 
pessoa natural ou por pessoa jurídica de direito público ou privado. Agora é o momento de 
relembrar os conceitos que vocês viram na disciplina de Direito Administrativo. Simplificando: a lei 
é válida tanto para Pessoas Físicas (Humanos) quanto para Pessoas Jurídicas (Empresas). E, nesse 
segundo caso, podem ser pessoas jurídicas de direito público ou privado. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
9
118
Vamos simplificar isso também? O que a lei quer dizer é que ela é válida tanto para dados tratados 
por empresas públicas quanto por empresas privadas. Ué, professor... eu achava que isso só era 
válido para empresas privadas. Não, não, não... vejam essa notícia a seguir! Em 2018, houve uma 
investigação que buscava apurar uma possível venda de dados pessoais pelo SERPRO – para quem 
não conhece, trata-se uma empresa pública de processamento de dados. 
 
 
 
 
 
 
 
 
 
 
Eu acho que isso poderia ser uma excelente pegadinha de prova, portanto cuidado: a lei trata tanto 
do tratamento de dados pessoais por parte de pessoas jurídicas de direito privado quanto empresas 
públicas de direito privado. Aliás, casos de vazamento ou venda de dados de empresas privadas, 
nós temos aos montes! Basta uma busca simples no Google e vocês encontrarão casos do 
Facebook, Twitter, PSN, etc. Seguindo... 
 
Esta lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa 
natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos 
fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da 
pessoa natural. Aqui ficou fácil... apenas descreve o objetivo dessa lei. Agora, para consolidar esse 
entendimento, nós vamos ter que pular para o artigo quinto. 
 
Antes, é importante mencionar que as normasgerais desta lei devem ser observadas por todos os 
entes: União, Estados, Distrito Federal e Municípios. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
10
118
Art. 5º Para os fins desta Lei, considera-se: 
 
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável; 
 
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a 
sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado 
genético ou biométrico, quando vinculado a uma pessoa natural; 
 
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos 
razoáveis e disponíveis na ocasião de seu tratamento; 
 
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte 
eletrônico ou físico; 
 
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; 
 
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao 
tratamento de dados pessoais; 
 
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em 
nome do controlador; 
 
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o 
controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); 
 
IX - agentes de tratamento: o controlador e o operador; 
 
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, 
classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, 
armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou 
extração; 
 
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um 
dado perde a possibilidade de associação, direta ou indireta, a um indivíduo; 
 
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus 
dados pessoais para uma finalidade determinada; 
 
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco 
de dados; 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
11
118
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do 
procedimento empregado; 
 
XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo 
internacional do qual o país seja membro; 
 
XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou 
tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas 
competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais 
modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados; 
 
XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos 
processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem 
como medidas, salvaguardas e mecanismos de mitigação de risco; 
 
XVIII - órgão de pesquisa: órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa 
jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, 
que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter 
histórico, científico, tecnológico ou estatístico; e 
 
XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o 
cumprimento desta Lei em todo o território nacional. 
 
Comentários: 
 
Galera, é importante a leitura das definições acima para o pleno entendimento do restante da lei. 
No entanto, eu gostaria de passar aqui pelas principais. Vocês se lembram do nosso exemplo da rede 
de farmácias? Pois é, vamos identificar alguns conceitos! Os dados pessoais são todas aquelas 
informações capazes de identificar o seu titular como nome, número de identidade, telefone, data 
de nascimento, local de nascimento, e-mail, entre outros. 
 
No nosso exemplo, os dados pessoais eram: Nome, CPF, Número do Cartão de Crédito e E-mail. Já 
o titular dos dados é a pessoa natural identificada, a quem os dados se referem – no nosso exemplo, 
o titular é você (que forneceu as informações). Professor, empresas podem ser titulares de dados? 
Não, apenas pessoas físicas! Pessoas falecidas podem ser titulares de dados? Também não, apenas 
pessoas naturais... 
 
Por fim, o controlador é o responsável pela guarda dos dados com o consentimento do titular, logo 
é a rede de farmácias. Bacana? É importante mencionar que a lei definiu uma categoria específica 
de dados pessoais chamados de dados pessoais sensíveis. Por que sensíveis, Diego? Porque tratam 
de características de personalidade individuais como raça, religião, orientação político-partidária, 
orientação sexual, dados de saúde, filiação sindical, entre outros. 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
12
118
 
Dessa forma, dados pessoais sensíveis são tratados em uma categoria especial por exigirem um 
cuidado maior que o padrão em seu tratamento. Outro conceito bastante importante também são 
os dados anonimizados: são aqueles que, originariamente, eram relativos a uma pessoa, mas que 
passaram por etapas que garantiram a desvinculação deles a essa pessoa. Por meio de técnicas de 
anonimização, é possível desassociar o dado pessoal de seu titular. 
 
DADOS 
PESSOAIS 
Informação relacionada a pessoa natural identificada ou identificável 
 
DADOS 
SENSÍVEIS 
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato 
ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, 
dado genético ou biométrico, quando vinculado a uma pessoa natural. 
DADOS 
ANONIMIZADOS 
Dado relativo à titular que não possa ser identificado, considerando a utilização de meios técnicos 
razoáveis e disponíveis na ocasião de seu tratamento. 
 
 
E os agentes de tratamento? Os agentes de tratamento são o controlador e o operador. Ambos 
podem ser uma pessoa natural ou uma pessoa jurídica. O controlador é aquele que detém o domínio 
das decisões e que estabelece de que forma o tratamento de dados será efetivamente realizado, 
PR
IN
CI
PA
IS
 P
AP
EI
S
TITULAR Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
CONTROLADOR
Pessoa natural ou jurídica, de direito público ou privado, a quem competem asdecisões 
referentes ao tratamento de dados pessoais.
OPERADOR
Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados 
pessoais em nome do controlador.
ENCARREGADO Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o 
Controlador, os titulares dos dados e a ANPD.
AGENTES DE 
TRATAMENTO
O controlador e o operador
ÓRGÃO DE PESQUISA
Órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito 
privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no 
País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a 
pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico
AUTORIDADE NACIONAL
Órgão da administração pública responsável por zelar, implementar e fiscalizar o 
cumprimento desta Lei em todo o território nacional.
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
13
118
além de ser o responsável por responder diretamente à autoridade nacional. Já o operador atua tão 
somente de acordo com as normas determinadas pelo controlador. 
 
Já a autoridade nacional é o órgão da administração pública responsável por zelar, implementar e 
fiscalizar o cumprimento desta Lei em todo o território nacional. Ela tem a autoridade de fiscalizar, 
aplicar sanções, definir normas padrões, procedimentos, efetuar auditorias e estabelecer 
interpretações de acordo com a LGPD. Bem, eu acredito que esses são os conceitos mais 
importantes inicialmente. Vaaaaaaamos seguir... 
 
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: 
 
I - o respeito à privacidade; 
 
II - a autodeterminação informativa; 
 
III - a liberdade de expressão, de informação, de comunicação e de opinião; 
 
IV - a inviolabilidade da intimidade, da honra e da imagem; 
 
V - o desenvolvimento econômico e tecnológico e a inovação; 
 
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e 
 
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas 
naturais. 
 
Comentário: 
 
Vamos comentar apenas o segundo inciso, que é menos intuitivo! O direito à autodeterminação 
informativa surge como um desmembramento do direito à privacidade, com o escopo de tutelar de 
forma mais efetiva o conjunto de dados considerados pessoais dos cidadãos, garantindo-lhes o 
controle deles. Em outras palavras, trata-se do direito de concordar, retificar e cancelar dados 
pessoais constantes de bancos de dados eletrônicos (públicos ou privados). Bacana? 
 
FUNDAMENTOS 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
14
118
 
 
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de 
direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, 
desde que: 
 
I - a operação de tratamento seja realizada no território nacional; 
 
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados 
de indivíduos localizados no território nacional; ou 
 
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional. 
 
§ 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da 
coleta. 
 
§ 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no inciso IV do caput do art. 4º desta 
Lei. 
 
Comentários: 
 
Professor, se os dados são coletados em território nacional, a lei se aplica? Sim! Professor, se os dados 
são tratados em território nacional, a lei se aplica? Sim! Professor, se os dados não são coletados e 
tratados em território nacional, mas têm o objetivo de fornecer bens ou serviços em nosso país, a lei se 
aplica? Sim! Professor, se os dados não são coletados e tratados em território nacional, mas se trata 
de dados de indivíduos localizados em nosso país, a lei se aplica? Sim! 
 
Respeito à privacidade
Autodeterminação Informativa
Liberdade de Expressão, de Informação, de Comunicação e de Opinião
Inviolabilidade da Intimidade, da Honra e da Imagem
Desenvolvimento Econômico e Tecnológico e a Inovação
Livre Iniciativa, Livre Concorrência e a Defesa do Consumidor
Direitos Humanos, Livre Desenvolvimento da Personalidade, Dignidade e o Exercício da Cidadania pelas Pessoas Naturais
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
15
118
Professor, a lei só se aplica se se tratar de dados de indivíduos brasileiros? Não! O indivíduo pode ter 
qualquer nacionalidade. Se houver o tratamento de dados de um indivíduo argentino localizado em 
território nacional, a lei se aplica! Vocês se lembram do escândalo da Cambridge Analytica? 87 
milhões de usuários do Facebook tiveram seus dados pessoais coletados para uso político com o 
intuito de influenciar a opinião de eleitores em vários países. 
 
Após a revelação do uso desses dados em uma investigação por um canal de televisão, o Facebook 
pediu desculpas e disse que a empresa – Cambridge Analytica – coletou os dados de forma 
inadequada. Vejam só: os dados foram coletados fora do território nacional (os servidores que 
hospedam essa rede social não ficam no Brasil) e foram tratados fora do território nacional, mas se 
trata de dados localizados em nosso território, logo... a lei se aplicaria! 
 
Em suma: a lei será aplicada caso a operação de tratamento ou coleta seja realizada em território 
nacional; ou caso a atividade de tratamento tenha o objetivo de oferecer bens ou serviços de 
indivíduos localizados em território nacional ou se tratar de dados de indivíduos localizados em 
território nacional. Não importa em que meio estejam os dados, em que país eles estejam 
armazenados ou localizados. Veremos agora os casos em que a lei não se aplica... 
 
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: 
 
I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos; 
 
II - realizado para fins exclusivamente: 
 
a) jornalístico e artísticos; ou 
 
b) acadêmicos; (Redação dada pela Medida Provisória nº 869, de 2018) 
 
III - realizado para fins exclusivos de: 
 
a) segurança pública; 
 
b) defesa nacional; 
 
c) segurança do Estado; ou 
 
d) atividades de investigação e repressão de infrações penais; ou 
 
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com 
agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de 
proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto 
nesta Lei. 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básicode Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
16
118
 
§ 1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas 
proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os 
princípios gerais de proteção e os direitos do titular previstos nesta Lei. 
 
§ 2º É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de direito privado, exceto 
em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à autoridade 
nacional e que deverão observar a limitação imposta no § 4º deste artigo. 
 
§ 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do 
caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais. 
 
§ 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo 
poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo 
poder público. 
 
Comentários: 
 
Esse artigo apresenta diversos casos em que essa lei não se aplica. Ela não se aplica ao tratamento 
de dados pessoais realizados por pessoa natural para fins exclusivamente particulares e não 
econômicos. Querem um exemplo? Se você precisa fazer uma pesquisa de perfil político para a sua 
faculdade e pede para alguns amigos preencherem um formulário. Ora, como se trata de um uso 
particular sem nenhum objetivo econômico, a lei não será aplicada. 
 
Ela também não será aplica para fins exclusivamente jornalístico e artístico, ou acadêmico. No 
exemplo anterior, vimos um fim acadêmico, mas poderia ser para publicar uma pesquisa em um 
jornal ou para fazer uma exposição artística também. A lei também não será aplicada ao tratamento 
de dados pessoais realizado para fins exclusivos de segurança pública, defesa nacional, segurança 
do Estado, ou atividades de investigação e repressão de infrações penais. 
 
Suponha que um criminoso tenha seus dados coletados pelo governo com o intuito exclusivo de ser 
utilizado para fins de segurança pública, defesa nacional, segurança do Estado, ou atividades de 
investigação e repressão de infrações penais. A lei se aplica? Não! O Estado pode utilizar esses dados 
mesmo sem a anuência do criminoso! Ainda não acabou... vocês se lembram da exceção do artigo 
anterior para a aplicação da lei em território nacional? Pois é... 
 
A lei não se aplica ao tratamento de dados pessoais provenientes de fora do território nacional e 
que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento 
brasileiros ou objeto de transferência internacional de dados com outro país que não o de 
proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais 
adequado ao previsto nesta Lei. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
17
118
Observem também que o parágrafo primeiro afirma que o tratamento de dados pessoais previsto 
no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e 
estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, 
os princípios gerais de proteção e os direitos do titular previstos nesta Lei. O que isso significa, 
professor? 
 
Isso significa que mesmo quando os dados forem utilizados para fins de segurança pública, defesa 
nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais, ainda 
haverá limitações, isto é, haverá uma lei específica para regular medidas proporcionais e 
estritamente necessárias ao atendimento do interesse público no uso dessas informações 
coletadas. Entendido? 
 
Além disso, como apresenta o parágrafo segundo, o tratamento dos dados a que se refere o inciso 
III do caput por pessoa jurídica de direito privado só será admitido em procedimentos sob a tutela 
de pessoa jurídica de direito público, hipótese na qual será observada a limitação de que trata o § 
3º. Em outras palavras, uma empresa privada só poderá utilizar esses dados para esses fins caso 
esteja sob a tutela de pessoa jurídica de direito público. 
 
Por fim, os dados pessoais constantes de bancos de dados constituídos para os fins de que trata o 
inciso III do caput não poderão ser tratados em sua totalidade por pessoas jurídicas de direito 
privado, não incluídas as controladas pelo Poder Público. Em outras palavras, os dados referentes 
à defesa nacional, por exemplo, não poderão ser tratados em sua totalidade por pessoas jurídicas 
de direito privado – o mesmo vale para os outros itens do inciso terceiro! 
 
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: 
 
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem 
possibilidade de tratamento posterior de forma incompatível com essas finalidades; 
 
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do 
tratamento; 
 
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência 
dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; 
 
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, 
bem como sobre a integralidade de seus dados pessoais; 
 
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com 
a necessidade e para o cumprimento da finalidade de seu tratamento; 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
18
118
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização 
do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; 
 
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não 
autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; 
 
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; 
 
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; 
 
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de 
comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas 
medidas. 
 
Comentários: esse artigo trata dos princípios que devem ser seguidos pelas atividades de 
tratamento de dados pessoais – são todos intuitivos! 
 
 
titular dos dados pessoais tem direito a obter do controlador 
FINALIDADE ADEQUAÇÃO NECESSIDADE
LIVRE ACESSO QUALIDADE DOS DADOS TRANSPARÊNCIA
SEGURANÇA PREVENÇÃO NÃO DISCRIMINAÇÃO
RESPONSABILIZAÇÃO E PREsTAÇÃO DA CONTAS
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , DiegoCarvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
19
118
==5617c==
Capítulo II 
INCIDÊNCIA EM PROVA: ALTA 
 
CAPÍTULO II 
DO TRATAMENTO DE DADOS PESSOAIS 
 
Seção I 
Dos Requisitos para o Tratamento de Dados Pessoais 
 
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: 
 
I - mediante o fornecimento de consentimento pelo titular; 
 
II - para o cumprimento de obrigação legal ou regulatória pelo controlador; 
 
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas 
públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, 
observadas as disposições do Capítulo IV desta Lei; 
 
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados 
pessoais; 
 
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual 
seja parte o titular, a pedido do titular dos dados; 
 
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei 
nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; 
 
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro; 
 
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou 
autoridade sanitária; 
 
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de 
prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou 
 
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. 
 
§ 1º (Revogado pela Medida Provisória nº 869, de 2018) 
 
§ 2º (Revogado pela Medida Provisória nº 869, de 2018) 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
20
118
 
§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que 
justificaram sua disponibilização. 
 
§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente 
públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei. 
 
§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou 
compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, 
ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei. 
 
§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações 
previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular. 
 
§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para 
novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação 
dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei. 
 
Comentários: 
 
Galera, o que legitima o tratamento de dados? Quando e por quem ele poderá ser realizado? Esse 
artigo nos ajuda a responder a essas perguntas! A lei aborda o tratamento de dados como uma 
atividade de risco, isto é, via de regra não se deve tratá-los. Para realizar o tratamento de dados, é 
necessário que se incorra em um dos seguintes motivos ou requisitos que legitimam o tratamento 
de dados pessoais. Vejamos... 
 
(I) Hipótese de tratamento de dados pessoais: mediante o fornecimento de consentimento pelo 
titular. Dessa forma, a farmácia do nosso exemplo não pode coletar meus dados pessoais sem o 
meu consentimento. E como definimos consentimento? É a manifestação livre, informada e 
inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma 
finalidade determinada. 
 
(II) Hipótese de tratamento de dados pessoais: para o cumprimento de uma obrigação legal ou 
regulatória pelo controlador. Em outras palavras, se for para cumprir obrigações legais ou 
regulatórias, o controlador pode realizar o tratamento de dados. No entanto, mesmo neste caso 
específico, o titular deverá ser informado que será feito o tratamento – incluindo coleta, 
armazenamento, classificação, entre outros – de seus dados. Bacana? 
 
(III) Hipótese de tratamento de dados pessoais: pela administração pública, para o tratamento 
e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e 
regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. A 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
21
118
administração pública frequentemente desenvolve políticas públicas e, para tal, precisa utilizar 
dados dos titulares. Nesse caso, o titular deverá ser informado do tratamento. 
 
(IV) Hipótese de tratamento de dados pessoais: para a realização de estudos por órgão de 
pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais. Galera, já 
sabemos que anonimizar dados pessoais significa fazer com que o titular dos dados se torne 
anônimo de modo que não se possa identificar que determinada informação pertence a uma pessoa 
específica. Além disso, é importante definir órgão de pesquisa! 
 
Um órgão de pesquisa é um órgão ou entidade da administração pública direta ou indireta ou 
pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, 
com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou 
estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico. 
 
Em outras palavras, um órgão de pesquisa pode até ser uma pessoa jurídica de direito privado (isto 
é, uma empresa privada) desde que não tenha fins lucrativos. Dito isso, o Instituto Brasileiro de 
Geografia e Estatística (IBGE) pode ser considerado um órgão de pesquisa; já a DataFolha, não! Por 
que? Porque, em geral, essas empresas realizam pesquisas pagas e vendem os dados coletados para 
outras empresas. Bacana? 
 
(V) Hipótese de tratamento de dados pessoais: quando necessário para a execução de contrato 
ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido 
do titular dos dados. Imagine que você queira celebrar um contrato e, para fazê-lo, você autorize 
que seus dados pessoais sejam tratados pela outra parte assinante do contrato. Nesse caso, é 
autorizado o tratamento dos dados pessoais. 
 
(VI) Hipótese de tratamento de dados pessoais: para o exercício regular de direitos em processo 
judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro 
de 1996 (Lei de Arbitragem). Para que o controlador ou operador possam se defender, eles 
poderão apresentar os dados pessoais e isso não dependerá do consentimento do titular de dados. 
 
(VII) Hipótese de tratamento de dados pessoais: para a proteção da vida ou da incolumidade 
física do titular ou de terceiro. Essecaso ocorre com alguma frequência em casos relacionados a 
convênios de saúde, apólices de seguro de vida, entre outros. Nesses casos, caso haja necessidade 
de proteção da vida ou da incolumidade física do titular ou terceiro, existe a possibilidade de 
dispensa do consentimento pelo titular de dados. 
 
(VIII) Hipótese de tratamento de dados pessoais: para a tutela da saúde, exclusivamente, em 
procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. 
Imaginem um enfermeiro em uma ambulância pedindo para uma vítima de um acidente de carro 
assine um termo para que seus dados possam ser tratados. Não faz sentido, né? Nesses casos, 
também há dispensa o consentimento. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
22
118
(VIX) Hipótese de tratamento de dados pessoais: quando necessário para atender aos 
interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e 
liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Para os casos em 
que o controlador tem um interesse legítimo a ser preservado, também não é necessário coletar 
seu consentimento. 
 
(X) Hipótese de tratamento de dados pessoais: para a proteção do crédito, inclusive quanto ao 
disposto na legislação pertinente. Nós sabemos que existem diversas empresas de crédito pessoal 
espalhadas pelo país. Os dados dos consumidores circulam por essas empresas, de forma que – por 
diversas vezes – elas sabem se uma determinada pessoa está com “nome sujo”, teve cheques 
protestados, sofreu ações ou penhoras por não pagamento de dívidas, entre outros. 
 
Nesse caso, para preservar a própria livre circulação do crédito, há a dispensa do consentimento do 
titular de dados. Por que, Diego? Ora, se o titular de dados está com o “nome sujo” por dívidas, 
evidentemente ele não fornecerá o consentimento, porque – caso o faça – as empresas de crédito 
automaticamente vão consultar sua situação e não vão emprestá-lo dinheiro. Logo, nesses casos, 
não há necessidade de consentimento do titular. 
 
No caso de compartilhamento, há um consentimento específico. A lei afirma que o controlador que 
obteve o consentimento do titular, se necessitar comunicar ou compartilhar dados pessoais com 
outros controladores, deverá obter consentimento específico do titular para esse fim. Professor, não 
me lembro mais o que é um controlador! É a pessoa natural ou jurídica, de direito público ou privado, 
a quem competem decisões referentes ao tratamento de dados pessoais. 
 
Professor, e quando os dados são manifestamente públicos? Nesse caso, é dispensada a exigência do 
consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os 
direitos do titular e os princípios desta lei. Por outro lado, a eventual dispensa da exigência do 
consentimento não desobriga os agentes de tratamento das demais obrigações previstas na lei, 
especialmente da observância dos princípios gerais e da garantia dos direitos do titular. 
 
Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que 
demonstre a manifestação de vontade do titular. 
 
§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas 
contratuais. 
 
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei. 
 
§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento. 
 
§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de 
dados pessoais serão nulas. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
23
118
§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por 
procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente 
manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei. 
 
§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá 
informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu 
consentimento é exigido, revogá-lo caso discorde da alteração. 
 
Comentários: 
 
O consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação 
de vontade do titular. Caso seja por escrito, isso deverá ser feito por meio de cláusula destacada das 
demais cláusulas contratuais. E se o titular disser que não consentiu com nada? Nesse caso, cabe ao 
controlador o ônus da prova de que o consentimento foi obtido em conformidade com a lei. 
 
E se eu for induzido em erro para fornecer meus dados pessoais? Aí teremos um vício de 
consentimento e o consentimento será considerado nulo caso as informações fornecidas ao titular 
tenham conteúdo enganoso ou abusivo, ou não tenham sido apresentados previamente com 
transparência, de forma clara e inequívoca. Além disso, cabe destacar que o consentimento deve 
ser específico. Como é isso, Diego? 
 
Isso significa que o consentimento deve se referir a finalidades determinadas – autorizações 
genéricas para o tratamento de dados pessoais serão nulas. E se houver mudança na finalidade do 
consentimento? Exemplo: você pode autorizar o tratamento de seus dados pessoais para uma 
finalidade específica, mas a empresa pode utilizá-los para outras finalidades diversas daquela que 
você consentiu inicialmente. 
 
No caso de mudança na finalidade do consentimento não compatíveis com o consentimento 
original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, 
podendo o titular revogar o consentimento, caso não concorde com as alterações. Aliás, a 
revogação do consentimento pode ocorrer a qualquer tempo mediante manifestação expressa do 
seu titular, sendo que o procedimento deve ser fácil e gratuito. 
 
Enquanto não houver requerimento de eliminação, os tratamentos realizados sob amparo do 
consentimento anteriormente manifestado são válidos. Como assim, Diego? Imagine que você 
conceda seu consentimento em janeiro de 2022 e o revogue em janeiro de 2023. Os dados que 
foram tratados nesse período de 1 ano são válidos, salvo se você requerer a eliminação. Entendida 
essa parte? 
 
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser 
disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em 
regulamentação para o atendimento do princípio do livre acesso: 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
24
118
I - finalidade específica do tratamento; 
II - forma e duração do tratamento, observados os segredos comercial e industrial; 
III - identificação do controlador; 
IV - informações de contato do controlador; 
V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade; 
VI - responsabilidadesdos agentes que realizarão o tratamento; e 
VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei. 
 
§ 1º Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao 
titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de 
forma clara e inequívoca. 
 
§ 2º Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados 
pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as 
mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações. 
 
§ 3º Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício 
de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos 
do titular elencados no art. 18 desta Lei. 
 
Comentário: 
 
O principal aqui é entender que o titular de dados tem direito ao livre acesso às informações sobre 
tratamento de seus dados, que devem ser disponibilizadas de forma clara, adequada e ostensiva. 
Isso significa que ele pode querer saber a finalidade do tratamento, forma e duração, identificação 
e informações de contato do controlador, informações sobre compartilhamento, responsabilidades 
dos agentes que realizarão o tratamento, direitos do titular, etc. 
 
Ora, os dados são dele, logo ele tem direito de saber todas essas informações sobre como seus 
dados serão tratados, isto é, toda operação realizada com dados pessoais, como as que se referem 
a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, 
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da 
informação, modificação, comunicação, transferência, difusão ou extração. 
 
Além disso, ele deve ter acesso transparente e rigoroso à finalidade do tratamento dos dados. Em 
outras palavras, a finalidade do tratamento precisa ser pontualmente esclarecida ao titular dos 
dados – seja no contrato, nos termos de uso ou na política de privacidade. Caso as informações 
fornecidas ao titular tenham conteúdo enganoso/abusivo ou não tenham sido apresentadas 
previamente com transparência, o consentimento será considerado nulo. 
 
Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para 
finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
25
118
 
I - apoio e promoção de atividades do controlador; e 
 
II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, 
respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei. 
 
§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente 
necessários para a finalidade pretendida poderão ser tratados. 
 
§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu 
legítimo interesse. 
 
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o 
tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial. 
 
Comentário: 
 
Essa é apenas uma lista exemplificativa de situações que legitimam o interesse de um controlador 
em tratar dados. Desse modo, a partir da literalidade da lei, podemos entender que o legítimo 
interesse é uma das condições de possibilidade para a realização de tratamento de dados pessoais. 
Além do legítimo interesse do controlador, o consentimento é outra condição de possibilidade para 
que se possa realizar tratamento de dados pessoais: 
 
É importante ressaltar que, mesmo com posse de outros dados, o controlador somente poderá 
tratar dos dados pessoais estritamente necessários para a finalidade pretendida. Tudo isso deve 
ocorrer com transparência e poderá ser auditado pela autoridade nacional, que poderá requisitar 
ao controlador um relatório de impacto à proteção de dados pessoais, quando o tratamento tiver 
como fundamento seu interesse legítimo, observados os segredos comercial e industrial. 
 
Seção II 
Do Tratamento de Dados Pessoais Sensíveis 
 
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: 
 
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; 
 
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: 
 
a) cumprimento de obrigação legal ou regulatória pelo controlador; 
 
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas 
previstas em leis ou regulamentos; 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
26
118
 
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais 
sensíveis; 
 
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos 
termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; 
 
e) proteção da vida ou da incolumidade física do titular ou de terceiro; 
 
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou 
autoridade sanitária; ou 
 
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro 
em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem 
direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. 
 
§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que 
possa causar dano ao titular, ressalvado o disposto em legislação específica. 
 
§ 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos órgãos e pelas 
entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do art. 
23 desta Lei. 
 
§ 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter 
vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os 
órgãos setoriais do Poder Público, no âmbito de suas competências. 
 
§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde 
com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de 
assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços 
auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir: 
 
I - a portabilidade de dados quando solicitada pelo titular; ou 
 
II - as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trataeste 
parágrafo. 
 
§ 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de 
seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. 
 
Comentário: 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
27
118
 
O que são dados pessoais sensíveis? Trata-se do dado pessoal sobre origem racial ou étnica, 
convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, 
filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando 
vinculado a uma pessoa natural. Quando o titular dos dados não dá consentimento para o 
tratamento de dados sensíveis, eles só poderão ser tratados nos sete casos citados no artigo. 
 
Essas hipóteses são bastante parecidas com aquelas que vimos no Art. 7. É importante ressaltar 
também que a comunicação ou o uso compartilhado de dados pessoais sensíveis entre 
controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de 
regulamentação por parte da autoridade nacional. Aqui há também uma ressalva importante em 
relação ao compartilhamento de dados. 
 
O artigo afirma que é vedada a comunicação ou o uso compartilhado entre controladores de dados 
pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas 
hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à 
saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e 
terapia, em benefício dos interesses dos titulares de dados, e para permitir: 
 
(1) a portabilidade de dados quando solicitada pelo titular; ou (2) as transações financeiras e 
administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo. 
 
Ele também deixa explícito que é vedado às operadoras de planos privados de assistência à saúde 
o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer 
modalidade, assim como na contratação e exclusão de beneficiários. Logo, está proibido que elas 
se utilizem de uma investigação do histórico do paciente para limitar acesso, contratação, bem 
como a exclusão de eventuais benefícios em razões da vida pregressa do beneficiário. 
 
Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de 
anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com 
esforços razoáveis, puder ser revertido. 
 
§ 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo 
necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva 
de meios próprios. 
 
§ 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação 
do perfil comportamental de determinada pessoa natural, se identificada. 
 
§ 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar 
verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais. 
 
Comentários: 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
28
118
 
Vocês se lembram o que são dados pessoais? A definição diz que é toda informação relacionada a 
pessoa natural identificada ou identificável. Vocês se lembram o que é anonimização? Trata-se da 
utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos 
quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Por fim, 
dados anonimizados são dados relativos a um titular que não possa ser identificado. 
 
Bem, esse artigo afirma que os dados anonimizados não serão considerados dados pessoais para 
os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, 
utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido. 
Ora, se os dados anonimizados não são pessoais (uma vez que não podem ser associados a uma 
pessoa), então não estão sujeitos a essa lei. 
 
Claro que, para que não possam ser considerados dados pessoais, os dados devem passar por um 
processo de anonimização. Se esse processo puder ser revertido com um esforço razoável, os dados 
não serão mais considerados anonimizados. Logo, se o processo de anonimização for mal feito, isto 
é, possibilitar com esforços razoáveis que estatisticamente possa ser descoberto de quem se trata, 
então aquele dado será considerado pessoal e estará sujeito à lei! 
 
Professor, o que são esforços razoáveis? O responsável por responder essa pergunta será um órgão 
técnico especializado capaz de estabelecer padrões, parâmetros e critérios para que se qualifique 
quão robusto é um determinado processo de anonimização, além de realizar verificações acerca de 
sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais. Fechado? 
 
Por fim, serão considerados dados pessoais 
quando forem utilizados para a formação do perfil 
comportamental de uma determinada pessoa 
natural, se identificada. Agora vejam exemplo de 
anominização: se um Administrador de Banco de 
Dados tiver acesso às tabelas de dados, ele não 
visualizará os nomes originais das pessoas e, sim, 
seus dados anonimizados (XXXXX). 
 
Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, 
que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e 
pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento 
específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os 
devidos padrões éticos relacionados a estudos e pesquisas. 
 
§ 1º A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo em 
nenhuma hipótese poderá revelar dados pessoais. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
29
118
§ 2º O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não permitida, 
em circunstância alguma, a transferência dos dados a terceiro. 
 
§ 3º O acesso aos dados de que trata este artigo será objeto de regulamentação por parte da autoridade nacional e das 
autoridades da área de saúde e sanitárias, no âmbito de suas competências. 
 
§ 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de 
associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo 
controlador em ambiente controlado e seguro. 
 
Comentários: 
 
O artigo acima trata dos dados de tratamento de dados pessoais na realização de estudos em saúde 
pública – como é possível concluir, é semelhante aos estudos por órgãode pesquisa. Vale ressaltar 
ainda que os dados relativos à saúde são dados sensíveis, que exigem um tratamento bem mais 
cauteloso, devendo conter toda a informação possível e ser específico sobre a finalidade do 
tratamento. 
 
Estudos em saúde pública por órgãos de pesquisa seguem uma tendência mundial, na qual 
governos, com alguma variação, utilizam dados para controle populacional e monitoramento do 
espectro de infecção do vírus. Por exemplo: na China, há notícias da utilização de drones, tecnologia 
de reconhecimento facial, scanners infravermelhos, além da implementação de aplicativo para 
classificar as pessoas de acordo com o risco de contágio. 
 
Na Coréia do Sul, o Poder Executivo resolveu rastrear os celulares dos usuários para criar um mapa 
que fica disponível publicamente para que todos os cidadãos possam consultar por onde passaram 
as pessoas infectadas. Diante deste panorama, conclui-se que a utilização de dados pessoais pela 
administração pública para fins de combate ao COVID-19 é uma arma essencial nesta batalha. 
 
Por outro lado, evidentemente isso não quer dizer que – por conta desta necessidade – o Estado 
pode inobservar os parâmetros legais e constitucionais atinentes ao caso, principalmente no que 
tange aos objetivos do tratamento, ao tempo de duração e, principalmente, aos mecanismos de 
segurança e sigilo dos dados tratados. Bacana? Não sei se vai cair, mas eu – se fosse examinador – 
faria uma questão com esse tema. 
 
Seção III 
Do Tratamento de Dados Pessoais de Crianças e de Adolescentes 
 
Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos 
termos deste artigo e da legislação pertinente. 
 
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado 
por pelo menos um dos pais ou pelo responsável legal. 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
30
118
 
§ 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública a informação 
sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se 
refere o art. 18 desta Lei. 
 
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a 
coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou 
para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste 
artigo. 
 
§ 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, 
aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias 
à atividade. 
 
§ 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º 
deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis. 
 
§ 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, 
clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do 
usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais 
ou ao responsável legal e adequada ao entendimento da criança. 
 
Comentário: 
 
Aqui tem algumas coisas legais! É permitido tratar dados pessoais de um adolescente de dezessete 
anos? Somente com o consentimento específico de um dos pais ou responsável legal. Por outro 
lado, se não se souber onde se encontram os pais da criança ou adolescente, é permitido tratar os 
dados para entrar em contato com os responsáveis. Agora vocês sabem que hoje em dia as crianças 
já nascem com um computador/tablet nas mãos. 
 
E se uma criança mais esperta tentar comprar um joguinho pela internet? Já vimos, é necessário o 
consentimento dos pais ou responsáveis! E como garantir que os pais ou responsáveis realmente 
deram o consentimento? Bem, o controlador deve realizar todos os esforços razoáveis – 
considerando as tecnologias disponíveis – para verificar a autenticidade do consentimento. 
Bacana? Prosseguindo... 
 
Seção IV 
Do Término do Tratamento de Dados 
 
Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses: 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
31
118
I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance 
da finalidade específica almejada; 
 
II - fim do período de tratamento; 
 
III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 
5º do art. 8º desta Lei, resguardado o interesse público; ou 
 
IV - determinação da autoridade nacional, quando houver violação ao disposto nesta Lei. 
 
Comentário: 
 
Ué, professor... o tratamento de dados tem fim? Sim, ele possui um fim! E esse fim ocorre quando 
acaba o prazo de tratamento, quando a sua finalidade for alcançada ou deixar de ser necessária, 
quando o titular dos dados pessoais revogar seu consentimento ou sob determinação da autoridade 
nacional, quando houver violação ao disposto nessa lei. Não tem muito segredo... vamos partir para 
o próximo... 
 
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das 
atividades, autorizada a conservação para as seguintes finalidades: 
 
I - cumprimento de obrigação legal ou regulatória pelo controlador; 
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; 
III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou 
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados. 
 
Comentário: 
 
O artigo acima apresenta alguns casos em que é permitida a conservação dos dados desde que para 
essas quatro finalidades listadas no acima. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
32
118
Capítulo III 
INCIDÊNCIA EM PROVA: média 
 
CAPÍTULO III 
DOS DIREITOS DO TITULAR 
 
Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais 
de liberdade, de intimidade e de privacidade, nos termos desta Lei. 
 
Comentário: 
 
Bem, nós vimos no início da aula que essa lei tem como fundamento proteger os direitos 
fundamentais de liberdade e de privacidade, e o livre desenvolvimento da personalidade da pessoa 
natural. Nesse contexto, toda pessoa natural tem assegurada a titularidade de seus dados pessoais 
e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos 
desta lei. 
 
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele 
tratados, a qualquer momento emediante requisição: 
 
I - confirmação da existência de tratamento; 
 
II - acesso aos dados; 
 
III - correção de dados incompletos, inexatos ou desatualizados; 
 
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o 
disposto nesta Lei; 
 
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a 
regulamentação da autoridade nacional, observados os segredos comercial e industrial; 
 
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 
desta Lei; 
 
VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; 
 
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; 
 
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
33
118
§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a 
autoridade nacional. 
 
§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, 
em caso de descumprimento ao disposto nesta Lei. 
 
§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante 
legalmente constituído, a agente de tratamento. 
 
§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará 
ao titular resposta em que poderá: 
 
I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou 
 
II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência. 
 
§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos 
previstos em regulamento. 
 
§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso 
compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico 
procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço 
desproporcional. 
 
§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham 
sido anonimizados pelo controlador. 
 
§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do 
consumidor. 
 
Comentário: 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
34
118
 
 
Se há um controlador tratando seus dados, você poderá pedir para que ele te forneça diversas 
informações conforme apresenta o diagrama seguinte. Os direitos previstos nesse artigo serão 
exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, 
a agente de tratamento. Caso o controlador não seja o agente de tratamento dos dados, deve 
indicar quem é ou indicar as razões que o impedem de adotar providências. 
 
Duas informações importantes: (1) as ações de que tratam o artigo não incorrem em nenhum custo 
para o titular dos dados; (2) a portabilidade não inclui dados já anonimizados. 
 
Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular: 
 
I - em formato simplificado, imediatamente; ou 
 
II - por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios 
utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 
(quinze) dias, contado da data do requerimento do titular. 
 
§ 1º Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso. 
 
§ 2º As informações e os dados poderão ser fornecidos, a critério do titular: 
 
I - por meio eletrônico, seguro e idôneo para esse fim; ou 
 
II - sob forma impressa. 
 
titular dos dados pessoais tem direito a obter do controlador 
confirmação da existência de 
tratamento
acesso aos dados
correção de dados incompletos, 
inexatos ou desatualizados
anonimização, bloqueio ou eliminação 
de dados desnecessários, excessivos 
ou tratados em desconformidade
portabilidade dos dados a outro 
fornecedor de serviço ou produto, 
mediante requisição expressa, de 
acordo com a regulamentação da 
autoridade nacional, observados os 
segredos comercial e industrial
eliminação dos dados pessoais 
tratados com o consentimento do 
titular, exceto nas hipóteses 
previstas no art. 16 desta Lei
informação das entidades públicas e 
privadas com as quais o controlador 
realizou uso compartilhado de dados
informação sobre a possibilidade de 
não fornecer consentimento e sobre 
as consequências da negativa
revogação do consentimento, nos 
termos do § 5º do art. 8º desta Lei
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
35
118
§ 3º Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia 
eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de 
regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras 
operações de tratamento. 
 
§ 4º A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos previstos nos incisos I e II do caput 
deste artigo para os setores específicos. 
 
Comentário: 
 
O objetivo desse artigo é apenas definir as formas e processos para que a confirmação de existência 
ou acesso a dados pessoais sejam providenciados pelo controlador. 
 
Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento 
automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil 
pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. 
 
§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e 
dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial. 
 
§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo 
comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios 
em tratamento automatizado de dados pessoais. 
 
Comentário: 
 
Algumas vezes, usuários fornecem dados pessoais que são utilizados por algoritmos de 
computador para traçar perfis de usuários e auxiliar na tomada de decisões. Como assim? Imagine 
que você queira requisitar um cartão de crédito ou aumento de seu limite para um banco. É comum 
que a empresa requisite diversas informações pessoais e utilize algum algoritmo para definir se 
concederá ao solicitanteo cartão ou não. 
 
O artigo afirma que, nos casos de decisões tomadas unicamente com base em tratamento 
automatizado de dados pessoais que afetem interesses do titular, ele poderá solicitar a revisão das 
decisões. Nesses casos, o controlador deve fornecer informações sobre critérios e procedimentos 
utilizados para a tomada de decisão, mas – claro – respeitando segredos comerciais, uma vez que 
os algoritmos de tomada de decisão são importantes e confidenciais. 
 
Art. 21. Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu 
prejuízo. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
36
118
Art. 22. A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou 
coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva. 
 
Comentário: 
 
É válido destacar, ainda, que as empresas devem ter cuidado com a utilização no processo de 
seleção de informações anteriores do candidato. Como assim, Diego? Imagine que você entrou com 
processo trabalhista contra as três últimas empresas que você trabalhou – todas as ações justas. A 
lei afirma que os dados pessoais referentes ao exercício regular de direitos pelo titular não podem 
ser utilizados em seu prejuízo. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
37
118
Capítulo IV 
INCIDÊNCIA EM PROVA: média 
 
CAPÍTULO IV 
DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO 
 
Seção I 
Das Regras 
 
Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 
1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de 
sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir 
as atribuições legais do serviço público, desde que: 
 
I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, 
fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas 
utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos; 
 
II - (VETADO); e 
 
III - seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 
desta Lei; e 
 
IV – (vetado). 
 
§ 1º A autoridade nacional poderá dispor sobre as formas de publicidade das operações de tratamento. 
 
§ 2º O disposto nesta Lei não dispensa as pessoas jurídicas mencionadas no caput deste artigo de instituir as autoridades 
de que trata a Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) . 
 
§ 3º Os prazos e procedimentos para exercício dos direitos do titular perante o Poder Público observarão o disposto em 
legislação específica, em especial as disposições constantes da Lei nº 9.507, de 12 de novembro de 1997 (Lei do Habeas 
Data) , da Lei nº 9.784, de 29 de janeiro de 1999 (Lei Geral do Processo Administrativo) , e da Lei nº 12.527, de 18 de novembro 
de 2011 (Lei de Acesso à Informação) . 
 
§ 4º Os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo 
tratamento dispensado às pessoas jurídicas referidas no caput deste artigo, nos termos desta Lei. 
 
§ 5º Os órgãos notariais e de registro devem fornecer acesso aos dados por meio eletrônico para a administração pública, 
tendo em vista as finalidades de que trata o caput deste artigo. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
38
118
Comentário: 
 
O poder público também pode tratar dados pessoais? É claro que pode – desde que para o 
atendimento de sua finalidade pública, na persecução do interesse público e com o objetivo de 
executar as competências legais ou cumprir as atribuições legais do serviço público. Claro que há 
um reforço sobre a transparência do tratamento como mostra o inciso primeiro. Notem que 
serviços notariais e de registro (Ex: cartórios) terão o mesmo tratamento. 
 
Art. 24. As empresas públicas e as sociedades de economia mista que atuam em regime de concorrência, sujeitas ao 
disposto no art. 173 da Constituição Federal , terão o mesmo tratamento dispensado às pessoas jurídicas de direito 
privado particulares, nos termos desta Lei. 
 
Parágrafo único. As empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas 
públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder 
Público, nos termos deste Capítulo. 
 
Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à 
execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à 
disseminação e ao acesso das informações pelo público em geral. 
 
Comentário: 
 
Os Correios – por exemplo – são uma empresa pública que atuam em regime de concorrência para 
serviços de encomendas e logística? Sim, logo terão o mesmo tratamento dispensado às pessoas 
jurídicas de direito privado particulares. A Caixa Econômica Federal – por exemplo – quando realiza 
pagamentos do Bolsa Família, operacionaliza políticas públicas, logo terá o mesmo tratamento 
dispensado aos órgãos e às entidades do poder público. 
 
Art. 26. O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de 
políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de 
dados pessoais elencados no art. 6º desta Lei. 
 
§ 1º É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha 
acesso, exceto: 
 
I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim 
específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) ; 
 
II - (VETADO); 
 
III - se for indicado um encarregado para as operações de tratamento de dados pessoais, nos termos do art. 39; (Redação 
dada pela Medida Provisória nº 869, de 2018) 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
39
118
 
IV - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos 
congêneres; ou 
 
V - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou 
proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras 
finalidades.VI - nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei. (Incluído pela Medida 
Provisória nº 869, de 2018) 
 
§ 2º Os contratos e convênios de que trata o § 1º deste artigo deverão ser comunicados à autoridade nacional. 
 
Comentário: 
 
Esse artigo nos mostra detalhes importantes sobre o uso compartilhado de dados pessoais do setor 
público para o setor privado. Notem que – via de regra – é vetado, mas há exceções: quando os 
dados já forem públicos; quando for por conta de contratos; quando houver um encarregado 
responsável; quando houver uma execução descentralizada; e quando for para prevenir fraudes, 
entre outros. 
 
Art. 27. A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa jurídica 
de direito privado dependerá de consentimento do titular, exceto: (Redação dada pela Medida Provisória nº 869, de 2018) 
 
I - nas hipóteses de dispensa de consentimento previstas nesta Lei; 
 
II - nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do inciso I do caput do art. 23 desta 
Lei; ou 
 
III - nas exceções constantes do § 1º do art. 26 desta Lei. 
 
Parágrafo único. A informação à autoridade nacional de que trata o caput deste artigo será objeto de regulamentação. 
 
Art. 28. (VETADO). 
 
Art. 29. A autoridade nacional poderá solicitar, a qualquer momento, aos órgãos e às entidades do poder público a 
realização de operações de tratamento de dados pessoais, informações específicas sobre o âmbito e a natureza dos dados 
e outros detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento 
desta Lei. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
40
118
Art. 30. A autoridade nacional poderá estabelecer normas complementares para as atividades de comunicação e de uso 
compartilhado de dados pessoais. 
 
Comentário: 
 
Notem que é necessário o consentimento do titular para o compartilhamento de dados pessoais 
entre pessoa jurídica de direito público para pessoa jurídica de direito privado, exceto nos casos de 
dispensa de consentimento e outros especificados. Além disso, a autoridade nacional deverá ser 
informada desse compartilhamento e deverá estabelecer normas complementares para as 
atividades de comunicação e de uso compartilhado de dados pessoais. 
 
Seção II 
Da Responsabilidade 
 
Art. 31. Quando houver infração a esta Lei em decorrência do tratamento de dados pessoais por órgãos públicos, a 
autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação. 
 
Art. 32. A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à 
proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo 
Poder Público. 
 
Comentário: 
 
Esses artigos apenas reforçam os poderes da autoridade nacional para tomar medidas cabíveis em 
caso de violação da lei, solicitar relatórios e sugerir boas práticas para tratamento de dados. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
41
118
Capítulo V 
INCIDÊNCIA EM PROVA: média 
 
CAPÍTULO V 
DA TRANSFERÊNCIA INTERNACIONAL DE DADOS 
 
Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos: 
 
I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto 
nesta Lei; 
 
II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do 
regime de proteção de dados previstos nesta Lei, na forma de: 
 
a) cláusulas contratuais específicas para determinada transferência; 
 
b) cláusulas-padrão contratuais; 
 
c) normas corporativas globais; 
 
d) selos, certificados e códigos de conduta regularmente emitidos; 
 
III - quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de 
inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; 
 
IV - quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; 
 
V - quando a autoridade nacional autorizar a transferência; 
 
VI - quando a transferência resultar em compromisso assumido em acordo de cooperação internacional; 
 
VII - quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, 
sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei; 
 
VIII - quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação 
prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou 
 
IX - quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
42
118
Parágrafo único. Para os fins do inciso I deste artigo, as pessoas jurídicas de direito público referidas no parágrafo único 
do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , no âmbito de suas competências legais, 
e responsáveis, no âmbito de suas atividades, poderão requerer à autoridade nacional a avaliação do nível de proteção a 
dados pessoais conferido por país ou organismo internacional. 
 
Comentário: 
 
Esse artigo traz diversas condições para a transferência internacional de dados. Lembrando que 
vários países ainda não possuem legislação específico para tratamento de dados pessoais. Dito isso, 
a transferência internacional de dados pode ocorrer quando os países relacionados oferecerem 
níveis de proteção compatíveis com a LGPD; ou também quando o controlador garantir que os 
países cumprem princípios, normas, diretrizes previstos nessa lei. 
 
Outra possibilidade ocorre quando houver uma cooperação jurídica internacional entre os países, 
serviços de inteligência, investigação, persecução criminal – que são situações que permitem a 
transferência internacional de dados. Também quando for necessária para a proteção da vida, 
interesse da incolumidade física do titular ou de terceiro. A autoridade nacional também pode, por 
si só, autorizar a transferência internacional – entre outras possibilidades. 
 
Art. 34. O nível de proteção de dados do país estrangeiro ou do organismo internacional mencionado no inciso I do caput 
do art. 33 desta Lei será avaliado pela autoridade nacional, que levará em consideração: 
 
I - as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional; 
II - a natureza dos dados; 
III - a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei; 
IV - a adoção de medidas de segurança previstas em regulamento; 
V - a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e 
VI - outras circunstâncias específicasrelativas à transferência. 
 
Art. 35. A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais 
específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de 
conduta, a que se refere o inciso II do caput do art. 33 desta Lei, será realizada pela autoridade nacional. 
 
§ 1º Para a verificação do disposto no caput deste artigo, deverão ser considerados os requisitos, as condições e as 
garantias mínimas para a transferência que observem os direitos, as garantias e os princípios desta Lei. 
 
§ 2º Na análise de cláusulas contratuais, de documentos ou de normas corporativas globais submetidas à aprovação da 
autoridade nacional, poderão ser requeridas informações suplementares ou realizadas diligências de verificação 
quanto às operações de tratamento, quando necessário. 
 
§ 3º A autoridade nacional poderá designar organismos de certificação para a realização do previsto no caput deste 
artigo, que permanecerão sob sua fiscalização nos termos definidos em regulamento. 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
43
118
 
§ 4º Os atos realizados por organismo de certificação poderão ser revistos pela autoridade nacional e, caso em 
desconformidade com esta Lei, submetidos a revisão ou anulados. 
 
§ 5º As garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no caput 
deste artigo serão também analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo operador, de 
acordo com o previsto nos §§ 1º e 2º do art. 46 desta Lei. 
 
Art. 36. As alterações nas garantias apresentadas como suficientes de observância dos princípios gerais de proteção e 
dos direitos do titular referidas no inciso II do art. 33 desta Lei deverão ser comunicadas à autoridade nacional. 
 
Comentário: 
 
Notem que a autoridade nacional possui diversas responsabilidades importantes – inclusive quando 
se trata de transferências de dados internacionais. Ela pode avaliar o nível de proteção de dados 
pessoais de outros países ou organismos internacionais, definir e verificar o conteúdo de cláusulas 
contratuais, normas corporativas globais ou selos, certificados e códigos de conduta. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
44
118
Capítulo VI 
INCIDÊNCIA EM PROVA: baixa 
 
CAPÍTULO VI 
DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS 
 
Seção I 
Do Controlador e do Operador 
 
Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que 
realizarem, especialmente quando baseado no legítimo interesse. 
 
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados 
pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, 
observados os segredos comercial e industrial. 
 
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos 
de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do 
controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. 
 
Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a 
observância das próprias instruções e das normas sobre a matéria. 
 
Art. 40. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso 
aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e 
a transparência. 
 
Comentário: 
 
Tudo que for feito com os dados pessoais devem ser registrados (Ex: coleta, compartilhamento, 
descarte, etc). E, sim, a autoridade nacional poderá requerer um relatório de impacto à proteção de 
dados pessoais referentes às operações de tratamento de dados. Além disso, é importante lembrar 
que temos dois agentes de tratamento: operador e controlador – sendo que o operador é o 
responsável por executar a estratégia definidas pelo controlador. 
 
Logo, notem que o operador deverá realizar o tratamento segundo as instruções fornecidas pelo 
controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. 
Note que o artigo enfatiza que o controlador é responsável por verificar a observância das próprias 
instruções. Por que? Para que o controlador não possa transferir suas responsabilidades para o 
operador. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
45
118
Se apenas alguns dados deveriam ser tratados e o operador trata dados a mais, o controlador não 
poderá se eximir da responsabilidade. Por fim, a autoridade nacional pode dispor sobre diversas 
regulamentações, como padrões de interoperabilidade (por conta da portabilidade de dados 
pessoais), segurança, tempo de guarda de registros, entre outros. 
 
Seção II 
Do Encarregado pelo Tratamento de Dados Pessoais 
 
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais. 
 
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e 
objetiva, preferencialmente no sítio eletrônico do controlador. 
 
§ 2º As atividades do encarregado consistem em: 
 
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; 
 
II - receber comunicações da autoridade nacional e adotar providências; 
 
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção 
de dados pessoais; e 
 
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. 
 
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do 
encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade 
ou o volume de operações de tratamento de dados. 
 
Comentário: 
 
Notem que o controlador deverá divulgar publicamente a identidade as informações de contato do 
encarregado, que terá diversas obrigações e atividades. Lembrando que o encarregado é a pessoa 
indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares 
dos dados e a Autoridade Nacional de Proteção de Dados. 
 
Seção III 
Da Responsabilidade e do Ressarcimento de Danos 
 
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a 
outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é 
obrigado a repará-lo. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - CursoBásico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
46
118
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados: 
 
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da 
legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o 
operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei; 
 
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos 
dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei. 
 
§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for 
verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo 
titular resultar-lhe excessivamente onerosa. 
 
§ 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste 
artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente. 
 
§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua 
participação no evento danoso. 
 
Comentário: 
 
Vejam mais uma vez que a lei trata tanto de sanções ao controlador quanto ao operador – claro que 
observando o direito de regresso contra demais responsáveis. 
 
Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem: 
 
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído; 
 
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação 
de proteção de dados; ou 
 
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. 
 
Comentário: 
 
Quem são os agentes de tratamento? O controlador e o operador! Logo, ambos só não serão 
responsabilizados se não houve o tratamento de dados pessoais; se não houve violação à legislação 
de proteção de dados; ou se o dano for decorrente de culpa exclusiva do titular dos dados ou de 
terceiros. Em qualquer outro caso, os agentes de tratamento – tanto controlador quanto operador 
– serão responsabilizados. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
47
118
Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer 
a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais: 
 
I - o modo pelo qual é realizado; 
II - o resultado e os riscos que razoavelmente dele se esperam; 
III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado. 
 
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador 
que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano. 
 
Art. 45. As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras 
de responsabilidade previstas na legislação pertinente. 
 
Comentário: 
 
Notem que o tratamento de dados pessoais deverá sempre tentar ser o mais seguro possível. 
Atualmente, é possível ver com frequência notícias sobre vazamentos de dados de empresas de 
tecnologia, logo é importante reforçar que o controlador ou operador responderão por danos 
decorrentes da violação da segurança dos dados quando não adotarem medidas de segurança 
adequadas que veremos no próximo artigo. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
48
118
Capítulo VII 
INCIDÊNCIA EM PROVA: baixa 
 
CAPÍTULO VII 
DA SEGURANÇA E DAS BOAS PRÁTICAS 
 
Seção I 
Da Segurança e do Sigilo de Dados 
 
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os 
dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, 
comunicação ou qualquer forma de tratamento inadequado ou ilícito. 
 
§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste 
artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado 
atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do 
art. 6º desta Lei. 
 
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do 
serviço até a sua execução. 
 
Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a 
garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término. 
 
Comentário: 
 
Conforme vimos anteriormente, os agentes de tratamento devem adotar medidas de segurança – 
não somente técnicas, mas também administrativas – para proteger os dados pessoais de acessos 
não autorizados e de eventuais situações acidentais ou ilícitas. Isso pode ser feito por meio de 
plataformas de segurança, auditoria ou outros mecanismos. Ademais, as medidas de segurança da 
informação valem para todas as fases do tratamento mesmo após seu término. 
 
Lembrando que um incidente de segurança com dados pessoais é qualquer evento adverso, 
confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como 
acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento 
ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar 
risco para os direitos e liberdades do titular dos dados pessoais. 
 
Na prática, é essencial que os agentes de tratamento encontrem soluções que visem garantir a 
segurança dos dados pessoais. Lembre-se que os incidentes de dados não se limitam aos famosos 
vazamentos. A alteração de uma informação pode gerar consequências tão ou mais gravosas que a 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
49
118
sua própria perda. Inclusive, para determinadas situações, é recomendável a elaboração de um 
Relatório de Impacto à Proteção de Dados (RIPD). Para quê, Diego? 
 
Para avaliar, de maneira prévia, um determinado processo de tratamento de dados sob a 
perspectiva do risco e das medidas correspondentes para o seu gerenciamento. 
 
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que 
possa acarretar risco ou dano relevante aos titulares. 
 
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no 
mínimo: 
 
I - a descrição da natureza dos dados pessoais afetados; 
 
II - as informações sobre os titulares envolvidos; 
 
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados,observados os segredos 
comercial e industrial; 
 
IV - os riscos relacionados ao incidente; 
 
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e 
 
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. 
 
§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos 
dos titulares, determinar ao controlador a adoção de providências, tais como: 
 
I - ampla divulgação do fato em meios de comunicação; e 
II - medidas para reverter ou mitigar os efeitos do incidente. 
 
§ 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas 
adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para 
terceiros não autorizados a acessá-los. 
 
Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos 
requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às 
demais normas regulamentares. 
 
Comentário: 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
50
118
Galera, observem que o controlador deverá comunicar à autoridade nacional e ao titular a 
ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. 
Logo, se houver – por exemplo – um vazamento de dados, a empresa deve comunicá-lo 
considerando um prazo razoável definido pela autoridade nacional e deverá mencionar o que 
ocorreu e o que está sendo feito para mitigar os efeitos do incidente. 
 
Recomenda-se que os controladores adotem posição de cautela, de modo que a comunicação seja 
efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos. 
Ressalte-se, ainda, que eventual e comprovada subavaliação dos riscos e danos por parte dos 
controladores pode ser considerada descumprimento à legislação de proteção de dados pessoais. 
 
Dependendo da gravidade do incidente, a autoridade nacional pode ainda determinar que o 
controlador faça uma divulgação em meios de comunicação e adote medidas para reverter ou 
mitigar os efeitos. Por fim, os sistemas devem ser estruturados para atender aos requisitos de 
segurança, padrões de boas práticas, padrões de governança e princípios gerais da lei. Professor, há 
alguma empresa que já esteja totalmente aderente? Eu acho muito difícil! 
 
Seção II 
Das Boas Práticas e da Governança 
 
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, 
individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam 
as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de 
titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no 
tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos 
relacionados ao tratamento de dados pessoais. 
 
§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao 
tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios 
decorrentes de tratamento de dados do titular. 
 
§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a 
estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a 
gravidade dos danos para os titulares dos dados, poderá: 
 
I - implementar programa de governança em privacidade que, no mínimo: 
 
a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o 
cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; 
 
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se 
realizou sua coleta; 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
51
118
 
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; 
 
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à 
privacidade; 
 
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure 
mecanismos de participação do titular; 
 
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e 
externos; 
 
g) conte com planos de resposta a incidentes e remediação; e 
 
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações 
periódicas; 
 
II - demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido 
da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de 
conduta, os quais, de forma independente, promovam o cumprimento desta Lei. 
 
§ 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser 
reconhecidas e divulgadas pela autoridade nacional. 
 
Art. 51. A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus 
dados pessoais. 
 
Comentário: 
 
A ideia aqui é permitir aos controladores e operadores que se criem regras de boas práticas e de 
governança, considerando a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos 
riscos e dos benefícios decorrentes de tratamento de dados do titular. Logo, é preciso conhecer a 
organização, entender a sensibilidade dos dados tratados, oferecer segurança aos dados dos 
titulares, avaliar os padrões técnicos utilizados a fim de criar um conjunto de boas práticas. 
 
É interessante oferecer um meio de promover ações educativas a respeito de proteção de dados 
com o intuito de mitigar possíveis riscos das operações realizadas com os dados pessoais – até 
mesmo para evitar multas, sanções administrativas e ações judiciais dos titulares dos dados. Esse 
conjunto institucional de boas práticas permitem estabelecer uma relação de confiança e 
transparência com o titular. Como assim, Diego? 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
52
118
Você poderá confiar que os órgãos e empresas com quem você interage vão agir com boa-fé e 
transparência no processamento, armazenamento, compartilhamento dos seus dados (e, não, 
como no exemplo da rede de farmácias). Uma organização com uma boa estrutura de governança 
será capaz de demonstrar a efetividade de seu programa quando solicitado pela autoridade 
nacional. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramose Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
53
118
Capítulo VIII 
INCIDÊNCIA EM PROVA: média 
 
CAPÍTULO VIII 
DA FISCALIZAÇÃO 
 
Seção I 
Das Sanções Administrativas 
 
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam 
sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: 
 
I - advertência, com indicação de prazo para adoção de medidas corretivas; 
 
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado 
no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de 
reais) por infração; 
 
III - multa diária, observado o limite total a que se refere o inciso II; 
 
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência; 
 
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização; 
 
VI - eliminação dos dados pessoais a que se refere a infração; 
 
VII - (VETADO); 
 
VIII - (VETADO); 
 
IX - (VETADO). 
 
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) 
meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; 
 
Xi - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo 
de 6 (seis) meses, prorrogável por igual período; 
 
Xii - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
54
118
§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de 
forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes 
parâmetros e critérios: 
 
I - a gravidade e a natureza das infrações e dos direitos pessoais afetados; 
 
II - a boa-fé do infrator; 
 
III - a vantagem auferida ou pretendida pelo infrator; 
 
IV - a condição econômica do infrator; 
 
V - a reincidência; 
 
VI - o grau do dano; 
 
VII - a cooperação do infrator; 
 
VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados 
ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei; 
 
IX - a adoção de política de boas práticas e governança; 
 
X - a pronta adoção de medidas corretivas; e 
 
XI - a proporcionalidade entre a gravidade da falta e a intensidade da sanção. 
 
§ 2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, 
de 11 de setembro de 1990, e em legislação específica. 
 
§ 3º O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, 
sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, 
de 18 de novembro de 2011. 
 
§ 4º No cálculo do valor da multa de que trata o inciso II do caput deste artigo, a autoridade nacional poderá considerar 
o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de 
atividade empresarial em que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado 
de forma incompleta ou não for demonstrado de forma inequívoca e idônea. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
55
118
§ 5º O produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, será destinado ao Fundo 
de Defesa de Direitos Difusos de que tratam o art. 13 da Lei nº 7.347, de 24 de julho de 1985, e a Lei nº 9.008, de 21 de março 
de 1995. 
 
§ 6º As sanções previstas nos incisos X, XI e XII do caput deste artigo serão aplicadas: 
 
I - somente após já ter sido imposta ao menos 1 (uma) das sanções de que tratam os incisos II, III, IV, V e VI do caput deste 
artigo para o mesmo caso concreto; e 
 
iI - em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses 
órgãos. 
 
§ 7º - Os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto 
de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das 
penalidades de que trata este artigo. 
 
 
Comentário: 
 
 
 
Esse artigo traz uma lista de sanções administrativas! Alguns podem achar que é pouca coisa, mas 
– como mostra o segundo inciso – a multa pode ser de até 2% do faturamento da empresa limitada 
a 50 milhões de reais por infração. Imaginem o faturamento de uma empresa de telefonia (Ex: TIM) 
que fatura 4 bilhões de reais em um ano – a multa pode ser bem pesada! Algumas dessas sanções 
também podem ser aplicadas às entidades e aos órgãos públicos. 
 
O artigo também traz uma lista de critérios a serem seguidos para a aplicação das sanções. É 
importante mencionar também que nenhuma dessas sanções exime a empresa de outras sanções 
– sejam administrativas, civis ou penais – definidas em outras legislações específicas. Além disso, 
as sanções somente serão aplicadas após procedimento administrativo que possibilite a 
oportunidade da ampla defesa. 
 
SANÇÕES 
ADMINISTRATIVAS
ADVERTÊNCIA
MULTA SIMPLES
MULTA DIÁRIA
PUBLICIZAÇÃO
BLOQUEIO DOS DADOS
ELIMINAÇÃO DOS 
DADOS
SUSPENSÃO PARCIAL 
DO FUNCIONAMENTO 
DO BANCO DE DADOS
SUSPENSÃO DO 
EXERCÍCIO DA 
ATIVIDADE DE 
TRATAMENTO
PROIBIÇÃO TOTAL OU 
PARCIAL DO EXERCÍCIO 
DA ATIVIDADE DE 
TRATAMENTO
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
56
118
 
 
Art. 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a 
esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções 
de multa. 
 
§ 1º As metodologias a que se refere o caput deste artigo devem ser previamente publicadas, para ciência dos agentes de 
tratamento, e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de 
multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos 
critérios previstos nesta Lei. 
 
§ 2º O regulamento de sanções e metodologias correspondentes deve estabelecer as circunstâncias e as condições para 
a adoção de multa simples ou diária. 
 
Comentário: 
 
Notem que o cálculo da multa será definido pela autoridade nacional e deverá ter a sua metodologia 
publicada previamente em conjunto com outros regulamentos. 
 
Art. 54. O valor da sanção de multa diária aplicávelàs infrações a esta Lei deve observar a gravidade da falta e a 
extensão do dano ou prejuízo causado e ser fundamentado pela autoridade nacional. 
 
Parágrafo único. A intimação da sanção de multa diária deverá conter, no mínimo, a descrição da obrigação imposta, o 
prazo razoável e estipulado pelo órgão para o seu cumprimento e o valor da multa diária a ser aplicada pelo seu 
descumprimento. 
 
Comentário: 
 
É evidente que a gravidade da falta e a extensão do dano/prejuízo subsidiará a autoridade nacional 
na aplicação da sanção de multa diária. 
 
CRITÉRIOS E 
PARÂMETROS
A GRAVIDADE E NATUREZA 
DAS INFRAÇÕES E 
DIREITOS PESSOAIS 
AFETADOS
A BOA-FÉ DO
INFRATOR
A VANTAGEM AUFERIDA 
OU PRETENDIDA PELO
INFRATOR
A CONDIÇÃO ECONÔMICA
DO INFRATOR
A REINCIDÊNCIA
O GRAU 
DO DANO
A COOPERAÇÃO DO
INFRATOR
A ADOÇÃO REITERADA E 
DEMONSTRADA DE 
MECANISMOS INTERNOS 
PARA MINIMIZAR O DANO
A ADOÇÃO DE POLÍTICA DE 
BOAS PRÁTICAS E 
GOVERNANÇA
A PRONTA ADOÇÃO DE 
MEDIDAS CORRETIVAS
A PROPORCIONALIDADE 
ENTRE A GRAVIDADE DA 
FALTA E A INTENSIDADE DA 
SANÇÃO
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
57
118
 Capítulo IX 
INCIDÊNCIA EM PROVA: média 
 
CAPÍTULO IX 
DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD) E DO CONSELHO 
NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE 
 
Seção I 
Da Autoridade Nacional de Proteção de Dados (ANPD) 
 
Art. 55. (VETADO). 
 
Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da 
administração pública federal, integrante da Presidência da República. 
 
§ 1º A natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da 
administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República. 
 
§ 2º A avaliação quanto à transformação de que dispõe o § 1º deste artigo deverá ocorrer em até 2 (dois) anos da data da 
entrada em vigor da estrutura regimental da ANPD. 
 
§ 3º O provimento dos cargos e das funções necessários à criação e à atuação da ANPD está condicionado à expressa 
autorização física e financeira na lei orçamentária anual e à permissão na lei de diretrizes orçamentárias. 
 
Art. 55-B. É assegurada autonomia técnica e decisória à ANPD. 
 
Art. 55-C. A ANPD é composta de: 
 
I - Conselho Diretor, órgão máximo de direção; 
 
II - Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; 
 
III - Corregedoria; 
 
IV - Ouvidoria; 
 
V - órgão de assessoramento jurídico próprio; e 
 
VI - unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei. 
 
Art. 55-D. O Conselho Diretor da ANPD será composto de 5 (cinco) diretores, incluído o Diretor-Presidente. 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
58
118
 
§ 1º Os membros do Conselho Diretor da ANPD serão escolhidos pelo Presidente da República e por ele nomeados, após 
aprovação pelo Senado Federal, nos termos da alínea ‘f’ do inciso III do art. 52 da Constituição Federal, e ocuparão cargo 
em comissão do Grupo-Direção e Assessoramento Superiores - DAS, no mínimo, de nível 5. 
 
§ 2º Os membros do Conselho Diretor serão escolhidos dentre brasileiros que tenham reputação ilibada, nível superior 
de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados. 
 
§ 3º O mandato dos membros do Conselho Diretor será de 4 (quatro) anos. 
 
§ 4º os mandatos dos primeiros membros do Conselho Diretor nomeados serão de 2 (dois), de 3 (três), de 4 (quatro), de 5 
(cinco) e de 6 (seis) anos, conforme estabelecido no ato de nomeação. 
 
§ 5º Na hipótese de vacância do cargo no curso do mandato de membro do Conselho Diretor, o prazo remanescente será 
completado pelo sucessor. 
 
Comentário: 
 
Vamos aos últimos artigos! Nós falamos tanto da autoridade nacional e agora sabemos o seu nome: 
Autoridade Nacional de Proteção de Dados (ANPD), vinculada à Presidência da República. Ela 
possui autonomia técnica e decisória, e – por enquanto – possui uma natureza jurídica transitória. 
Após dois anos da entrada em vigor da estrutura regimental da ANPD, deverá haver uma avaliação 
sobre se ela será transformada em uma entidade da APF indireta. 
 
 
 
E como é sua composição? A ANPD é composta por: (1) Conselho Diretor, (2) Conselho Nacional de 
Proteção de Dados Pessoais e da Privacidade, (3) Corregedoria, (4) Ouvidoria, (5) Órgão de 
Assessoramento Jurídico Próprio e (6) Unidades Administrativas e Especializadas. Já o Conselho 
Diretor é composto de 5 diretores, incluindo o Diretor-Presidente – todos escolhidos e nomeados 
pelo Presidente da República, após aprovação pelo Senado Federal. 
ANPD
CONSELHO DIRETOR CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE
CORREGEDORIA OUVIDORIA
ÓRGÃO DE ASSESSORAMENTO JURÍDICO UNIDADES ADMINISTRATIVAS E ESPECIALIZADAS
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
59
118
 
Art. 55-E. Os membros do Conselho Diretor somente perderão seus cargos em virtude de renúncia, condenação judicial 
transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar. 
 
§ 1º Nos termos do caput deste artigo, cabe ao Ministro de Estado Chefe da Casa Civil da Presidência da República 
instaurar o processo administrativo disciplinar, que será conduzido por comissão especial constituída por servidores 
públicos federais estáveis. 
 
§ 2º Compete ao Presidente da República determinar o afastamento preventivo, somente quando assim recomendado pela 
comissão especial de que trata o § 1º deste artigo, e proferir o julgamento 
 
Art. 55-F. Aplica-se aos membros do Conselho Diretor, após o exercício do cargo, o disposto no art. 6º da Lei nº 12.813, de 
16 de maio de 2013. 
 
Parágrafo único. Parágrafo único. A infração ao disposto no caput deste artigo caracteriza ato de improbidade 
administrativa. 
 
Art.55-G. Ato do Presidente da República disporá sobre a estrutura regimental da ANPD. 
 
§ 1º Até a data de entrada em vigor de sua estrutura regimental, a ANPD receberá o apoio técnico e administrativo da Casa 
Civil da Presidência da República para o exercício de suas atividades. 
 
§ 2º O Conselho Diretor disporá sobre o regimento interno da ANPD. 
 
Art. 55-H. Os cargos em comissão e as funções de confiança da ANPD serão remanejados de outros órgãos e entidades do 
Poder Executivo federal. 
 
Art. 55-I. Os ocupantes dos cargos em comissão e das funções de confiança da ANPD serão indicados pelo Conselho Diretor 
e nomeados ou designados pelo Diretor-Presidente. 
 
Art. 55-J. Compete à ANPD: 
 
I - zelar pela proteção dos dados pessoais, nos termos da legislação; 
 
II - zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das 
informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei; 
 
III - elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; 
 
IV- fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante 
processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso; 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
60
118
 
V - apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao 
controlador não solucionada no prazo estabelecido em regulamentação; 
 
VI - promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das 
medidas de segurança; 
 
VII - promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e 
privacidade; 
 
VIII - estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre 
seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis; 
 
IX - promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza 
internacional ou transnacional; 
 
X - dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos 
comercial e industrial; 
 
XI - solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados 
pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a 
possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei; 
 
XII - elaborar relatórios de gestão anuais acerca de suas atividades; 
 
XIII - editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios 
de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos 
princípios gerais de proteção de dados pessoais previstos nesta Lei; 
 
XIV - ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas 
atividades e planejamento; 
 
XV - arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, 
o detalhamento de suas receitas e despesas; 
 
XVI - realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e 
com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado 
pelos agentes de tratamento, incluído o poder público; 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
61
118
XVII - celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza 
jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 
4.657, de 4 de setembro de 1942; 
 
XVIII - editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que 
microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que 
se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei; 
 
XIX - garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu 
entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso); 
 
XX - deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências 
e os casos omissos; 
 
XXI - comunicar às autoridades competentes as infrações penais das quais tiver conhecimento; 
 
XXII - comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da 
administração pública federal; 
 
XXIII - articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de 
atividades econômicas e governamentais sujeitas à regulação; e 
 
XXIV - implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o 
tratamento de dados pessoais em desconformidade com esta Lei. 
 
§ 1º Ao impor condicionantes administrativas ao tratamento de dados pessoais por agente de tratamento privado, sejam 
eles limites, encargos ou sujeições, a ANPD deve observar a exigência de mínima intervenção, assegurados os 
fundamentos, os princípios e os direitos dos titulares previstos no art. 170 da Constituição Federal e nesta Lei. 
 
§ 2º Os regulamentos e as normas editados pela ANPD devem ser precedidos de consulta e audiência públicas, bem como 
de análises de impacto regulatório. 
 
§ 3º A ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica 
e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o 
cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, 
conforme legislação específica, e o tratamento de dados pessoais, na forma desta Lei. 
 
§ 4º A ANPD manterá fórum permanente de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades 
da administração pública responsáveis pela regulação de setores específicos da atividade econômica e governamental, 
a fim de facilitar as competências regulatória, fiscalizatória e punitiva da ANPD. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
62
118
§ 5º No exercício das competências de que trata o caput deste artigo, a autoridade competente deverá zelar pela 
preservação do segredo empresarial e do sigilo das informações, nos termos da lei. 
 
§ 6º As reclamações colhidas conforme o disposto no inciso V do caput deste artigo poderão ser analisadas de forma 
agregada, e as eventuais providências delas decorrentes poderão ser adotadas de forma padronizada.” 
 
Art. 55-K. A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, e suas competências prevalecerão, 
no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da 
administração pública. 
 
Parágrafo único. A ANPD articulará sua atuação com outros órgãos e entidades com competências sancionatórias e 
normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação desta Lei e do 
estabelecimento de normas e diretrizes para a sua implementação. 
 
Art. 55-L. Constituem receitas da ANPD: 
 
I - as dotações, consignadas no orçamento geral da União, os créditos especiais, os créditos adicionais, as transferências 
e os repasses que lhe forem conferidos; 
 
II - as doações, os legados, as subvenções e outros recursos que lhe forem destinados; 
 
III - os valores apurados na venda ou aluguel de bens móveis e imóveis de sua propriedade; 
 
IV - os valores apurados em aplicações no mercado financeiro das receitas previstas neste artigo; 
 
V - (VETADO);VI - os recursos provenientes de acordos, convênios ou contratos celebrados com entidades, organismos ou empresas, 
públicos ou privados, nacionais ou internacionais; 
 
VII - o produto da venda de publicações, material técnico, dados e informações, inclusive para fins de licitação pública.” 
 
Art. 56. (VETADO). 
 
Art. 57. (VETADO). 
 
Comentário: 
 
Esses artigos apresentam diversas particularidades administrativas da Autoridade Nacional, mas o 
mais importante é o Artigo 55-J que trata das competências desse órgão. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
63
118
COMPETÊNCIAS DA ANPD 
Zelar pela proteção dos dados pessoais, nos termos da legislação. 
 
 
Zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das 
informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei. 
Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade. 
 
Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante 
processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso. 
 
Apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao 
controlador não solucionada no prazo estabelecido em regulamentação. 
 
Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e 
das medidas de segurança. 
 
Promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e 
privacidade. 
 
Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre 
seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos 
responsáveis 
Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza 
internacional ou transnacional. 
 
Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos 
comercial e industrial. 
 
Solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados 
pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, 
com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei. 
Elaborar relatórios de gestão anuais acerca de suas atividades. 
 
 
Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios 
de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos 
princípios gerais de proteção de dados pessoais previstos nesta Lei. 
Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas 
atividades e planejamento. 
 
Arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, 
o detalhamento de suas receitas e despesas. 
 
Realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e 
com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais 
efetuado pelos agentes de tratamento, incluído o poder público 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
64
118
Celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza 
jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei 
nº 4.657, de 4 de setembro de 1942. 
Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que 
microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou 
disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei. 
Garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao 
seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso). 
 
Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências 
e os casos omissos. 
 
Comunicar às autoridades competentes as infrações penais das quais tiver conhecimento. 
 
 
Comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da 
administração pública federal. 
 
Articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de 
atividades econômicas e governamentais sujeitas à regulação. 
 
Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o 
tratamento de dados pessoais em desconformidade com esta Lei. 
 
 
Seção II 
Do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade 
 
Art. 58. (VETADO). 
 
Art. 58-A. O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto de 23 (vinte e três) 
representantes, titulares e suplentes, dos seguintes órgãos: 
 
I - 5 (cinco) do Poder Executivo federal; 
 
II - 1 (um) do Senado Federal; 
 
III - 1 (um) da Câmara dos Deputados; 
 
IV - 1 (um) do Conselho Nacional de Justiça; 
 
V - 1 (um) do Conselho Nacional do Ministério Público; 
 
VI - 1 (um) do Comitê Gestor da Internet no Brasil; 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
65
118
VII - 3 (três) de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais; 
 
VIII - 3 (três) de instituições científicas, tecnológicas e de inovação; 
 
IX - 3 (três) de confederações sindicais representativas das categorias econômicas do setor produtivo; 
 
X - 2 (dois) de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e 
 
XI - 2 (dois) de entidades representativas do setor laboral. 
 
§ 1º Os representantes serão designados por ato do Presidente da República, permitida a delegação. 
 
§ 2º Os representantes de que tratam os incisos I, II, III, IV, V e VI do caput deste artigo e seus suplentes serão indicados 
pelos titulares dos respectivos órgãos e entidades da administração pública. 
 
§ 3º Os representantes de que tratam os incisos VII, VIII, IX, X e XI do caput deste artigo e seus suplentes: 
 
I - serão indicados na forma de regulamento; 
 
II - não poderão ser membros do Comitê Gestor da Internet no Brasil; 
 
III - terão mandato de 2 (dois) anos, permitida 1 (uma) recondução. 
 
§ 4º A participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada prestação de 
serviço público relevante, não remunerada. 
 
Art. 58-B. Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade: 
 
I - propor diretrizes estratégicas e fornecer subsídiospara a elaboração da Política Nacional de Proteção de Dados 
Pessoais e da Privacidade e para a atuação da ANPD; 
 
II - elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e 
da Privacidade; 
 
III - sugerir ações a serem realizadas pela ANPD; 
 
IV - elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e 
 
V - disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população. 
 
Art. 59. (VETADO). 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
66
118
 
Comentário: 
 
Esses artigos apresentam a composição do Conselho Nacional de Proteção de Dados Pessoais e da 
Privacidade e as competências desse órgão. 
 
23 REPRESENTANTES DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS 
5 Representantes do Poder Executivo Federal. 
1 Representantes do Senado Federal. 
1 Representantes da Câmara dos Deputados. 
1 Representantes do Conselho Nacional de Justiça. 
1 Representantes do Conselho Nacional do Ministério Público. 
1 Representantes do Comitê Gestor da Internet no Brasil. 
3 Representantes de entidades da sociedade civil com atuação relacionada à proteção de dados. 
3 Representantes de instituições científicas, tecnológicas e de inovação. 
3 Representantes de confederações sindicais representativas das categorias econômicas do setor produtivo. 
2 Representantes de entidades representativas do setor empresarial da área de tratamento de dados. 
2 Representantes designados por ato do Presidente da República, permitida a delegação. 
 
 
 
 
 
 
 
PROPOR DIRETRIZES estratégicas e fornecer subsídios para a 
elaboração da Política Nacional de Proteção de Dados 
Pessoais e da Privacidade e para a atuação da ANPD
elaborar relatórios anuais de avaliação da execução das 
ações da Política Nacional de Proteção de Dados Pessoais e 
da Privacidade
sugerir ações a serem realizadas pela ANPD
elaborar estudos e realizar debates e audiências públicas 
sobre a proteção de dados pessoais e da privacidade
disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população
Competências do conselho nacional de proteção de dados pessoais e da privacidade 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
67
118
 Capítulo X 
INCIDÊNCIA EM PROVA: baixíssima 
 
CAPÍTULO X 
DISPOSIÇÕES FINAIS E TRANSITÓRIAS 
 
Art. 60. A Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet) , passa a vigorar com as seguintes alterações: 
 
“Art. 7º .................................................................. 
 
....................................................................................... 
 
X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, 
ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei 
e na que dispõe sobre a proteção de dados pessoais; 
 
..............................................................................” (NR) 
 
“Art. 16. ................................................................. 
 
....................................................................................... 
 
II - de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular, 
exceto nas hipóteses previstas na Lei que dispõe sobre a proteção de dados pessoais.” (NR) 
 
Art. 61. A empresa estrangeira será notificada e intimada de todos os atos processuais previstos nesta Lei, 
independentemente de procuração ou de disposição contratual ou estatutária, na pessoa do agente ou representante ou 
pessoa responsável por sua filial, agência, sucursal, estabelecimento ou escritório instalado no Brasil. 
 
Art. 62. (Revogado pela Medida Provisória nº 869, de 2018) 
 
Art. 63. A autoridade nacional estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até 
a data de entrada em vigor desta Lei, consideradas a complexidade das operações de tratamento e a natureza dos dados. 
 
Art. 64. Os direitos e princípios expressos nesta Lei não excluem outros previstos no ordenamento jurídico pátrio 
relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte. 
 
Art. 65. Esta Lei entra em vigor: 
 
I - dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-
B; e 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
68
118
 
II - 24 (vinte e quatro) meses após a data de sua publicação, quanto aos demais artigos. 
 
Brasília, 14 de agosto de 2018; 197º da Independência e 130º da República. 
 
Comentário: 
 
Essa lei também alterou alguns itens da Lei 12.965/2014 (Marco Civil da Internet) e apresentou 
também algumas outras disposições. Por fim, o artigo 55 e os artigos 58-A e 58-B entraram em vigor 
28 de dezembro de 2018 e o restante teriam 24 meses após a data da publicação para passar a viger. 
Diante disso, nós sequer tivemos tempo para ter uma base grande de questões, mas vamos fazer 
as que encontramos... 
 
 
 
 
 
 
 
 
 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
69
118
RESUMO 
 
TERMOS DESCRIÇÃO 
Dado pessoal 
Informação relacionada a pessoa natural identificada ou identificável. 
 
Dado pessoal 
sensível 
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a 
sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à 
vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. 
 
Dado 
anonimizado 
Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos 
razoáveis e disponíveis na ocasião de seu tratamento. 
 
Banco de 
dados 
Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte 
eletrônico ou físico. 
 
Tratamento 
Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, 
recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, 
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da 
informação, modificação, comunicação, transferência, difusão ou extração. 
 
anonimização 
Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos 
quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. 
 
Consentimento 
Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus 
dados pessoais para uma finalidade determinada. 
 
Bloqueio 
Suspensão temporária de qualquer operação de tratamento,mediante guarda do dado pessoal 
ou do banco de dados. 
 
eliminação 
Exclusão de dado ou de conjunto de dados armazenados em banco de dados, 
independentemente do procedimento empregado. 
 
Transferência 
internacional 
de dados 
Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país 
seja membro. 
 
Uso 
compartilhado 
de dados 
Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou 
tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no 
cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com 
autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes 
públicos, ou entre entes privados. 
 
relatório de 
impacto à 
proteção de 
dados pessoais 
Documentação do controlador que contém a descrição dos processos de tratamento de dados 
pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como 
medidas, salvaguardas e mecanismos de mitigação de risco. 
 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
70
118
 
 
FUNDAMENTOS 
 
PR
IN
CI
PA
IS
 P
AP
EI
S
TITULAR Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
CONTROLADOR
Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões 
referentes ao tratamento de dados pessoais.
OPERADOR
Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados 
pessoais em nome do controlador.
ENCARREGADO
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o 
Controlador, os titulares dos dados e a ANPD.
AGENTES DE 
TRATAMENTO
O controlador e o operador
ÓRGÃO DE PESQUISA
Órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito 
privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no 
País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a 
pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico
AUTORIDADE NACIONAL
Órgão da administração pública responsável por zelar, implementar e fiscalizar o 
cumprimento desta Lei em todo o território nacional.
Respeito à privacidade
Autodeterminação Informativa
Liberdade de Expressão, de Informação, de Comunicação e de Opinião
Inviolabilidade da Intimidade, da Honra e da Imagem
Desenvolvimento Econômico e Tecnológico e a Inovação
Livre Iniciativa, Livre Concorrência e a Defesa do Consumidor
Direitos Humanos, Livre Desenvolvimento da Personalidade, Dignidade e o Exercício da Cidadania pelas Pessoas Naturais
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
71
118
==5617c==
 
 
 
 
 
 
SANÇÕES 
ADMINISTRATIVAS
ADVERTÊNCIA
MULTA SIMPLES
MULTA DIÁRIA
PUBLICIZAÇÃO
BLOQUEIO DOS DADOS
ELIMINAÇÃO DOS 
DADOS
SUSPENSÃO PARCIAL 
DO FUNCIONAMENTO DO 
BANCO DE DADOS
SUSPENSÃO DO 
EXERCÍCIO DA 
ATIVIDADE DE 
TRATAMENTO
PROIBIÇÃO TOTAL OU 
PARCIAL DO EXERCÍCIO 
DA ATIVIDADE DE 
TRATAMENTO
PRINCÍPIOS para atividades de tratamento de dados pessoais 
FINALIDADE ADEQUAÇÃO NECESSIDADE
LIVRE ACESSO QUALIDADE DOS DADOS TRANSPARÊNCIA
SEGURANÇA PREVENÇÃO NÃO DISCRIMINAÇÃO
RESPONSABILIZAÇÃO E PREsTAÇÃO DA CONTAS
titular dos dados pessoais tem direito a obter do controlador 
confirmação da existência de 
tratamento
acesso aos dados
correção de dados incompletos, 
inexatos ou desatualizados
anonimização, bloqueio ou eliminação 
de dados desnecessários, excessivos 
ou tratados em desconformidade
portabilidade dos dados a outro 
fornecedor de serviço ou produto, 
mediante requisição expressa, de 
acordo com a regulamentação da 
autoridade nacional, observados os 
segredos comercial e industrial
eliminação dos dados pessoais 
tratados com o consentimento do 
titular, exceto nas hipóteses 
previstas no art. 16 desta Lei
informação das entidades públicas e 
privadas com as quais o controlador 
realizou uso compartilhado de dados
informação sobre a possibilidade de 
não fornecer consentimento e sobre 
as consequências da negativa
revogação do consentimento, nos 
termos do § 5º do art. 8º desta Lei
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
72
118
 
 
 
 
 
 
23 REPRESENTANTES DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS 
5 Representantes do Poder Executivo Federal. 
1 Representantes do Senado Federal. 
1 Representantes da Câmara dos Deputados. 
1 Representantes do Conselho Nacional de Justiça. 
1 Representantes do Conselho Nacional do Ministério Público. 
1 Representantes do Comitê Gestor da Internet no Brasil. 
CRITÉRIOS E 
PARÂMETROS
A GRAVIDADE E NATUREZA 
DAS INFRAÇÕES E 
DIREITOS PESSOAIS 
AFETADOS
A BOA-FÉ DO
INFRATOR
A VANTAGEM AUFERIDA 
OU PRETENDIDA PELO
INFRATOR
A CONDIÇÃO ECONÔMICA
DO INFRATOR
A REINCIDÊNCIA
O GRAU 
DO DANO
A COOPERAÇÃO DO
INFRATOR
A ADOÇÃO REITERADA E 
DEMONSTRADA DE 
MECANISMOS INTERNOS 
PARA MINIMIZAR O DANO
A ADOÇÃO DE POLÍTICA DE 
BOAS PRÁTICAS E 
GOVERNANÇA
A PRONTA ADOÇÃO DE 
MEDIDAS CORRETIVAS
A PROPORCIONALIDADE 
ENTRE A GRAVIDADE DA 
FALTA E A INTENSIDADE DA 
SANÇÃO
ANPD
CONSELHO DIRETOR CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE
CORREGEDORIA OUVIDORIA
procuradoria UNIDADES ADMINISTRATIVAS E ESPECIALIZADAS
PROPOR DIRETRIZES estratégicas e fornecer subsídios para a 
elaboração da Política Nacional de Proteção de Dados 
Pessoais e da Privacidade e para a atuação da ANPD
elaborar relatórios anuais de avaliação da execução das 
ações da Política Nacional de Proteção de Dados Pessoais e 
da Privacidade
sugerir ações a serem realizadas pela ANPD
elaborar estudos e realizar debates e audiências públicas 
sobre a proteção de dados pessoais e da privacidade
disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população
Competências do conselho nacional de proteção de dados pessoais e da privacidade 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
73
118
3 Representantes de entidades da sociedade civil com atuação relacionada à proteção de dados. 
3 Representantes de instituições científicas, tecnológicas e de inovação. 
3 Representantes de confederações sindicais representativas das categorias econômicas do setor produtivo. 
2 Representantes de entidades representativas do setor empresarial da área de tratamento de dados. 
2 Representantes designados por ato do Presidente da República, permitida a delegação. 
 
COMPETÊNCIAS DA ANPD 
Zelar pela proteção dos dados pessoais, nos termos da legislação. 
 
 
Zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das 
informações quando protegido por lei ou quando aquebra do sigilo violar os fundamentos do art. 2º desta Lei. 
Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade. 
 
Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante 
processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso. 
 
Apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao 
controlador não solucionada no prazo estabelecido em regulamentação. 
 
Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e 
das medidas de segurança. 
 
Promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e 
privacidade. 
 
Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre 
seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos 
responsáveis 
Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza 
internacional ou transnacional. 
 
Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos 
comercial e industrial. 
 
Solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados 
pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, 
com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei. 
Elaborar relatórios de gestão anuais acerca de suas atividades. 
 
 
Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios 
de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos 
princípios gerais de proteção de dados pessoais previstos nesta Lei. 
Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas 
atividades e planejamento. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
74
118
Arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, 
o detalhamento de suas receitas e despesas. 
 
Realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e 
com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais 
efetuado pelos agentes de tratamento, incluído o poder público 
Celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza 
jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei 
nº 4.657, de 4 de setembro de 1942. 
Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que 
microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou 
disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei. 
Garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao 
seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso). 
 
Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências 
e os casos omissos. 
 
Comunicar às autoridades competentes as infrações penais das quais tiver conhecimento. 
 
 
Comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da 
administração pública federal. 
 
Articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de 
atividades econômicas e governamentais sujeitas à regulação. 
 
Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o 
tratamento de dados pessoais em desconformidade com esta Lei. 
 
 
23 REPRESENTANTES DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS 
5 Representantes do Poder Executivo Federal. 
1 Representantes do Senado Federal. 
1 Representantes da Câmara dos Deputados. 
1 Representantes do Conselho Nacional de Justiça. 
1 Representantes do Conselho Nacional do Ministério Público. 
1 Representantes do Comitê Gestor da Internet no Brasil. 
3 Representantes de entidades da sociedade civil com atuação relacionada à proteção de dados. 
3 Representantes de instituições científicas, tecnológicas e de inovação. 
3 Representantes de confederações sindicais representativas das categorias econômicas do setor produtivo. 
2 Representantes de entidades representativas do setor empresarial da área de tratamento de dados. 
2 Representantes designados por ato do Presidente da República, permitida a delegação. 
 
 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
75
118
QUESTÕES COMENTADAS – CESPE 
 
1. (CESPE / BANRISUL – 2022) Nos termos da LGPD, banco de dados é todo conjunto não 
estruturado de dados pessoais estabelecido em um ou em vários locais, em suporte eletrônico 
ou físico. 
 
Comentários: 
 
IV - Banco de Dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, 
em suporte eletrônico ou físico. 
 
Gabarito: Errado 
 
2. (CESPE / BANRISUL – 2022) Em nenhuma circunstância o tratamento de dados pessoais 
sensíveis poderá ocorrer sem o consentimento do titular dos dados. 
 
Comentários: 
 
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste 
artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única 
vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro 
sem o consentimento de que trata o § 1º deste artigo. 
 
Gabarito: Errado 
 
3. (CESPE / BANRISUL – 2022) A disciplina da proteção de dados pessoais tem como 
fundamentos, entre outros, o desenvolvimento econômico e tecnológico e a inovação. 
 
Comentários: 
 
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: 
 
V - o desenvolvimento econômico e tecnológico e a inovação. 
 
Gabarito: Correto 
 
4. (CESPE / BANRISUL – 2022) O tratamento de dados pessoais somente poderá ser realizado 
mediante o fornecimento de consentimento, necessariamente por escrito, pelo titular dos 
dados. 
 
Comentários: 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
76
118
Art. 8º: O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por 
outro meio que demonstre a manifestação de vontade do titular. 
 
Gabarito: Errado 
 
5. (CESPE / BANRISUL – 2022) A Autoridade Nacional de Proteção de Dados (ANPD) é uma 
autarquia de natureza especial, dotada de autonomia técnica e decisória, com patrimônio 
próprio e com sede e foro no Distrito Federal. 
 
Comentários:Art. 55-A: Fica criada a Autoridade Nacional de Proteção de Dados (ANPD), autarquia de natureza 
especial, dotada de autonomia técnica e decisória, com patrimônio próprio e com sede e foro no Distrito 
Federal. 
 
Gabarito: Correto 
 
6. (CESPE / TRT8 – 2022) A Lei n.º 13.709/2018 — Lei Geral de Proteção de Dados — dispõe sobre 
o tratamento de dados pessoais, inclusive nos meios digitais, e aplica-se a: 
 
a) operação de tratamento realizada por pessoa jurídica de direito público exclusivamente para 
fins de segurança pública. 
 
b) qualquer operação de tratamento realizada por pessoa de direito privado, 
independentemente do país onde estejam localizados os dados, desde que a operação de 
tratamento seja realizada no território nacional. 
 
c) operação de tratamento realizada por pessoa de direito público, desde que os dados pessoais 
objetos do tratamento estejam necessariamente localizados no território nacional. 
 
d) operação de tratamento realizada por pessoa física para fins exclusivamente particulares. 
 
e) operação de tratamento realizada por pessoa natural exclusivamente para fins de repressão 
de infrações penais. 
 
Comentários: 
 
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por 
pessoa jurídica de direito público ou privado, independentemente, do país de sua sede ou do país 
onde estejam localizados os dados, desde que: 
 
I - a operação de tratamento seja realizada no território nacional; 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
77
118
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o 
tratamento de dados de indivíduos localizados no território nacional; ou (Redação dada pela Lei nº 
13.853, de 2019) Vigência 
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional. 
 
(a) Errado. De acordo com o Art. 4º, esta Lei não se aplica ao tratamento de dados pessoais: III – 
realizado para fins exclusivos de: a – segurança pública; (b) Correto, conforme o Art. 3, Inciso I; (c) 
Errado. De acordo com o Art. 3º, aplica-se independentemente do meio, do país de sua sede ou do 
país onde estejam localizados os dados; (d) Errado. De acordo com o Art. 4º, Incisivo I, esta lei não 
se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente 
particulares e não econômicos; (e) Errado. De acordo com o Art. 4, III, d), esta lei não se aplica ao 
tratamento de dados pessoais realizado para fins exclusivos de atividades de investigação e 
repressão de infrações penais. 
 
Gabarito: Letra B 
 
7. (CESPE / TELEBRÁS - 2021) A LGPD prevê a realização do tratamento de dados pessoais, 
mediante o consentimento do titular dos dados, para o cumprimento de obrigação legal ou 
regulatória e para a realização de estudos ou a execução de contratos a pedido do titular. 
Entretanto, as situações que envolvam segurança pública e defesa nacional não serão objeto de 
aplicação da referida lei. 
 
Comentários: 
 
O Art. 4˚ da LGPD elenca situações em que a lei não se aplica ao tratamento de dados pessoais. 
Entre elas, temos as situações de segurança pública e defesa nacional. 
 
Vejamos: 
 
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: 
 
(...) 
 
III - realizado para fins exclusivos de: 
 
a) segurança pública; 
b) defesa nacional; 
 
Gabarito: Correto 
 
8. (CESPE / DPE-RO – 2021) De acordo com a Lei Geral de Proteção de Dados Pessoais, assinale a 
opção que indica quem deve comunicar à autoridade nacional a ocorrência de incidente de 
segurança relacionado a dados pessoais que possa acarretar risco ou dano relevante. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
78
118
a) encarregado. 
b) titular. 
c) segurança de TI. 
d) operador. 
e) controlador. 
 
Comentários: 
 
De acordo com o Art. 48 da LGPD: “O controlador deverá comunicar à autoridade nacional e ao titular 
a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”. 
 
Gabarito: Letra E 
9. (CESPE / APEX-BRASIL – 2021) No seu processo de cadastramento de usuários, um site na Web 
obteve dados pessoais sensíveis de um usuário. Nessa situação hipotética, de acordo com a Lei 
n.º 13.709/2018, o tratamento dos referidos dados pelo site poderá ser feito sem o 
consentimento do titular se: 
 
a) for indispensável para a proteção da vida. 
b) houver demanda para a realização de estudos por órgão de pesquisa reconhecido pelo 
governo federal, sendo desnecessária, nesse caso, a anonimização dos dados. 
c) for necessário para promover exclusivamente ações de marketing. 
d) houver a necessidade de disponibilizar os dados para uma empresa parceira. 
 
Comentários: 
 
De acordo com o Art. 11, Inciso II, alínea e, temos que: 
 
O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: 
 
(...) 
 
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: 
 
e) proteção da vida ou da incolumidade física do titular ou de terceiro; 
 
Gabarito: Letra A 
 
10. (CESPE / TJ-PA – 2020) A Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados Pessoais) prevê a 
realização do tratamento de dados pessoais, mediante o consentimento do titular dos dados, 
para o cumprimento de obrigação legal ou regulatória e para a realização de estudos ou 
execução de contratos a pedido do titular. As hipóteses em questão são exemplos de: 
 
a) princípios das atividades de tratamento de dados pessoais. 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
79
118
b) requisitos para o tratamento de dados pessoais sensíveis. 
c) tratamento de dados pessoais de crianças e adolescentes. 
d) direitos do titular dos dados. 
e) requisitos para o tratamento de dados pessoais. 
 
Comentários: 
 
Vocês se lembram das hipóteses para tratamento de dados pessoais do Art. 7? O tratamento de dados 
pessoais somente poderá ser realizado nas seguintes hipóteses: 
 
(I) mediante o fornecimento de consentimento pelo titular; (II) para o cumprimento de obrigação legal 
ou regulatória pelo controlador; (IV) para a realização de estudos por órgão de pesquisa, garantida, 
sempre que possível, a anonimização dos dados pessoais; e (V) quando necessário para a execução de 
contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido 
do titular dos dados. 
 
Logo, as hipóteses em questão são exemplos de requisitos para o tratamento de dados pessoais. 
 
Gabarito: Letra E 
 
11. (CESPE / TJ-PA – 2020) De acordo com a Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados 
Pessoais), as atividades de tratamento de dados pessoais devem observar a boa-fé e o princípio: 
 
a) de dado pessoal, segundo o qual a informação é relacionada à pessoa natural identificada ou 
identificável. 
 
b) debanco de dados, como um conjunto estruturado de dados pessoais estabelecido em um 
ou em vários locais, em suporte eletrônico ou físico. 
 
c) da anonimização, com a utilização de meios técnicos razoáveis e disponíveis no momento do 
tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, 
a um indivíduo. 
 
d) da prevenção, com a adoção de medidas para prevenir a ocorrência de danos em virtude do 
tratamento de dados pessoais. 
 
e) da eliminação, que é a exclusão de dado ou de conjunto de dados armazenados em banco de 
dados, independentemente do procedimento empregado. 
 
Comentários: 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
80
118
(a) Errado, essa é a definição de dados pessoais; (b) Errado, essa é a definição de banco de dados; 
(c) Errado, essa é a definição de anonimização; (d) Correto; (e) Errado, essa é definição de 
eliminação. O Art. 6 trata dos princípios que as atividades de tratamento de dados pessoais deverão 
observar e um deles é a (VIII) prevenção: adoção de medidas para prevenir a ocorrência de danos 
em virtude do tratamento de dados pessoais. 
 
Gabarito: Letra D 
 
12. (CESPE / Ministério da Economia – 2020) Entre os fundamentos que disciplinam a proteção de 
dados pessoais no Brasil, estão o respeito à privacidade, a autodeterminação informativa e a 
liberdade de expressão, de informação, de comunicação e de opinião. 
 
Comentários: 
 
Perfeito... conforme o Art. 2º: a disciplina da proteção de dados pessoais tem como fundamentos: 
 
I - o respeito à privacidade; 
II - a autodeterminação informativa; 
III - a liberdade de expressão, de informação, de comunicação e de opinião; 
IV - a inviolabilidade da intimidade, da honra e da imagem; 
V - o desenvolvimento econômico e tecnológico e a inovação; 
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e 
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da 
cidadania pelas pessoas naturais. 
 
Gabarito: Correto 
 
13. (CESPE / Ministério da Economia – 2020) A referida lei não se aplica ao tratamento de dados 
pessoais realizado por pessoa natural para fins econômicos. 
 
Comentários: 
 
Opa... de acordo com o Art. 4, I: esta lei não se aplica ao tratamento de dados pessoais realizado 
por pessoa natural para fins exclusivamente particulares e não econômicos – para fins econômicos, 
ela é aplicada! 
 
Gabarito: Errado 
 
14. (CESPE / Ministério da Economia – 2020) Os dados pessoais serão eliminados após o término 
de seu tratamento, sendo autorizada a sua conservação para a finalidade de estudo por órgão 
de pesquisa, sendo garantida, sempre que possível, a anonimização desses dados. 
 
Comentários: 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
81
118
 
De acordo com o Art. 16, Os dados pessoais serão eliminados após o término de seu tratamento, 
no âmbito e nos limites técnicos das atividades, autorizada a conservação para (II) estudo por órgão 
de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais. 
 
Gabarito: Correto 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
82
118
QUESTÕES COMENTADAS – FGV 
 
15. (FGV / Receita Federal - 2023) A Secretaria de Saúde do Estado Alfa está realizando estudos em 
saúde pública com vistas a aprimorar a política pública prevista em lei para o combate à dengue 
que, ano após ano, vem assolando a população local. Para a efetivação de tal objetivo, o órgão 
de pesquisa do aludido ente federativo precisa levantar dados sensíveis de moradores da 
localidade, constantes de certo banco de dados. Tais dados incluem informações genéticas, 
filiação, etnia, além de convicções que se desdobram em hábitos pessoais e que podem 
impactar na identificação dos efeitos e controle da doença em questão. À luz do disposto na Lei 
Geral de Proteção de Danos, é correto afirmar que: 
 
a) não há qualquer restrição ao tratamento de informações de etnia e filiação, que não 
constituem dados sensíveis. 
 
b) a divulgação dos resultados da pesquisa poderá revelar os dados pessoais levantados, desde 
que não incluam eventuais dados sensíveis. 
 
c) incumbe ao órgão que está realizando a pesquisa a responsabilidade pela segurança da 
informação, de modo que não é permitida, em circunstância alguma, a transferência de tais 
dados a terceiros. 
 
d) se os dados forem mantidos em ambiente controlado e seguro, ainda que possível, não 
haverá necessidade de anomização ou pseudominização. 
 
e) o levantamento de dados almejado não pode ser realizado sem o consentimento do titular 
para tal finalidade específica. 
 
Comentários: 
 
(a) Errado, etnia e a filiação são, sim, consideradas dados sensíveis; (b) Errado, a divulgação dos 
resultados da pesquisa não pode revelar dados pessoais levantados, mesmo que não incluam dados 
sensíveis, pois isso violaria a privacidade dos titulares dos dados; (c) Correto, o órgão de pesquisa 
será o responsável pela segurança da informação, não permitida, em circunstância alguma, a 
transferência dos dados a terceiro; (d) Errado, devem incluir, sempre que possível, a anonimização 
ou pseudonimização dos dados, bem como os devidos padrões éticos relacionados a estudos e 
pesquisas; (e) Errado, o tratamento de dados pessoais sensíveis somente poderá ocorrer sem 
fornecimento de consentimento do titular, nas hipóteses em que for indispensável para realização 
de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados 
pessoais sensíveis. 
 
Gabarito: Letra C 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
83
118
16. (FGV / Senado Federal – Análise de Suporte – 2022) Ao solicitar a concessão de crédito ao 
Banco Dínamo, Veridiana foi surpreendida com o oferecimento de taxa de juros muito acima 
daquela praticada pelo mercado. Inconformada ao descobrir que o cálculo fora feito unicamente 
com base em tratamento automatizado de seus dados pessoais, requereu à instituição 
financeira o acesso a tais dados, bem como às informações a respeito dos critérios e 
procedimentos utilizados para a tomada da decisão. No relatório apresentado pelo banco, 
verificou que boa parte dos dados pessoais coletados se referiam, em verdade, a uma sua 
homônima, que apresentava péssimos índices de crédito. 
 
A esse respeito, assinale a opção que indica o princípio da Lei Geral de Proteção de Dados 
Pessoais (Lei nº.13.709/2018) que teria sido violado pela instituição financeira. 
 
a) finalidade. 
b) não discriminação. 
c) segurança. 
d) adequação. 
e) qualidade dos dados. 
 
Comentários: 
 
(a) Errado, os propósitos do banco foram legítimos; (b) Errado, não houve nenhum fim 
discriminatório ilícito ou abusivo; (c) Errado, nada leva a crer que que o princípio de segurançafoi 
violado; (d) Errado, no contexto do tratamento, não houve violação da compatibilidade do 
tratamento com as finalidades informadas ao titular; (e) Correto, a lei diz que as atividades de 
tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: 
 
(V) Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos 
dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; 
 
Ora, o banco estava consultando dados de uma homônima, logo os dados não estavam exatos - o 
que viola o princípio da qualidade dos dados. 
 
Gabarito: Letra E 
 
17. (FGV / SEFAZ-AM – 2022) Sobre os tipos de dados abordados pela Lei Geral de Proteção de 
Dados Pessoais (LGPD) em vigor no Brasil, analise as afirmativas a seguir. 
 
I. O número de telefone e o endereço de IP de acesso à Internet são considerados dados 
pessoais. 
 
II. Dados de adolescentes podem ser coletados e repassados a terceiros sem o consentimento 
dos pais, desde que sejam pseudonimizados. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
84
118
III. Dados biométricos são classificados como públicos e não estão sujeitos à LGPD. 
 
Está correto o que se afirma em: 
 
a) I, apenas. 
b) II, apenas. 
c) III, apenas. 
d) I e II, apenas. 
e) I, II e III. 
 
Comentários: 
 
Questão extremamente polêmica, mas vamos lá... 
 
(I) Correto. Aqui já começa a polêmica: são considerados dados pessoais aqueles que comumente 
fornecemos em um cadastro, como nome, RG, CPF, gênero, data e local de nascimento, filiação, 
telefone, endereço residencial, cartão ou dados bancários. Mas também são dados pessoais 
algumas informações que nem sempre fornecemos de forma consciente, como localização via GPS, 
retrato em fotografia, prontuário de saúde, hábitos de consumo, endereço de IP (Protocolo da 
Internet) e cookies. Agora esses últimos são bem abstratos – eles podem eventualmente em uma 
circunstância específica ser considerados dados pessoais, mas isso não é regra. Se você errou essa 
questão, estamos juntos! Eu errei quando a fiz também :) 
 
(II) Correto. De acordo com o art. 12, os dados anonimizados não serão considerados dados pessoais 
para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for 
revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser 
revertido. 
 
(III) Errado. Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, 
opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado 
referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa 
natural. Logo, os dados biométricos não são classificados como públicos e estão sujeitos à LGPD. 
 
Gabarito: Letra D 
 
18. (FGV / TJDFT – 2022) A Lei Geral de Proteção de Dados Pessoais (LGPD) tem entre seus 
objetivos a proteção dos direitos fundamentais de liberdade e de privacidade da pessoa natural. 
A LGPD define o que são dados pessoais, classificando alguns como sensíveis, além de definir 
responsabilidades entre os manipuladores desses dados, obrigando os órgãos públicos e 
empresas privadas a adequarem seus processos para operarem em conformidade com a nova 
Lei. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
85
118
De acordo com o Art. 4º da LGPD, uma das exceções para o tratamento de dados pessoais é: 
 
a) que a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou 
serviços ou o tratamento de dados de indivíduos localizados no território nacional; 
 
b) que os dados pessoais objeto do tratamento tenham sido coletados no território nacional com 
o consentimento do titular; 
 
c) que se destine à realização de estudos por órgão de pesquisa, garantida, sempre que possível, 
a anonimização dos dados pessoais; 
 
d) que seja realizado para fins exclusivos de atividades de investigação e repressão de infrações 
penais; 
 
e) que seja realizado para o exercício regular de direitos em processo judicial, administrativo ou 
arbitral (nos termos da Lei nº 9.307/1996). 
 
Comentários: 
 
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: 
 
I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos; 
 
II - realizado para fins exclusivamente: 
a) jornalístico e artísticos; ou 
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei; 
 
III - realizado para fins exclusivos de: 
a) segurança pública; 
b) defesa nacional; 
c) segurança do Estado; ou 
d) atividades de investigação e repressão de infrações penais; 
 
Gabarito: Letra D 
 
19. (FGV / TJDFT – 2022) De acordo com a composição da ANPD (Autoridade Nacional de Proteção 
de Dados) prevista na LGPD (Lei Geral de Proteção de Dados Pessoais), disseminar o 
conhecimento sobre a proteção de dados pessoais e da privacidade à população é uma 
atribuição do(a): 
 
a) Conselho Diretor; 
b) Unidades especializadas; 
c) Unidades administrativas; 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
86
118
d) Coordenação-Geral de Administração; 
e) Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. 
 
Comentários: 
 
Art. 58-B. Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade: (V) 
disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população. 
 
Gabarito: Letra E 
 
20. (FGV / TJDFT – 2022) De acordo com o Art. 37 da LGPD (Lei Geral de Proteção de Dados 
Pessoais), as operações de tratamento realizadas nos dados pessoais devem ser registradas. 
Para isso, o controlador e o operador devem manter registro das operações de tratamento de 
dados pessoais que realizarem. 
 
O registro das operações é realizado por meio do: 
 
a) inventário de dados pessoais; 
b) catálogo de base de dados; 
c) relatório de impacto à proteção de dados pessoais; 
d) serviços notariais e de registro; 
e) termo de consentimento. 
 
Comentários: 
 
O Inventário de Dados Pessoais – IDP consiste no registro das operações de tratamento dos dados 
pessoais realizados pela instituição (LGPD. Art. 37). De uma forma geral, esse registro mantido pelo 
IDP envolve descrever informações em relação ao tratamento de dados pessoais realizado pelo 
órgão ou entidade como: atores envolvidos (agentes de tratamento e o encarregado); finalidade (o 
que a instituição faz com o dado pessoal); hipótese (arts. 7º e 11 da LGPD); previsão legal; dados 
pessoais tratados pela instituição; categoria dos titulares dos dados pessoais; tempo de retenção 
dos dados pessoais; instituições com as quais os dados pessoais são compartilhados; transferência 
internacional de dados (art. 33 LGPD); e medidas de segurança atualmente adotadas. 
 
O IDP representa um documento importante de governança de dados pessoais e de subsídio para 
avaliação de impacto à proteção de dados pessoais com vistas a verificar a conformidade da 
instituição no que se refere ao preconizado pela LGPD. 
 
Gabarito: Letra A 
 
21. (FGV/ TCU – 2022) Conjuntos de dados identificadosde pessoas são úteis em pesquisas, ao 
mesmo tempo que são motivo de preocupação em relação à privacidade das pessoas naturais 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
87
118
envolvidas. A classificação de atributos identificadores ajuda a priorizar atividades de 
desidentificação para alavancar a pesquisa sob a observância da LGPD. 
 
São exemplos: a) de identificadores explícitos, b) de identificadores sensíveis e c) de quasi 
identificadores: 
 
a) CNH – Carteira Nacional de Habilitação, b) número do telefone celular e c) endereço; 
b) CPF – Cadastro de Pessoas Físicas, b) quadro clínico e c) gênero; 
c) RG – Registro Geral, b) escolha política e c) registro de doença rara; 
d) data de nascimento, b) endereço de e-mail e c) endereço; 
e) CPF – Cadastro de Pessoas Físicas, b) município de residência e c) time de futebol preferido. 
 
Comentários: 
 
De onde a FGV tirou isso? Não faço ideia! De toda forma, podemos responder por inferência: (a) 
Identificadores Explícitos são aqueles dados que permitem identificar univocamente um indivíduo 
de forma direta; (b) Identificadores Sensíveis são aqueles dados que permitem identificar um 
indivíduo de forma indireta por meio de informações sensíveis, tais como etnia, religião, opinião 
política, filiação sindical, dados de saúde, entre outros; (c) Quasi Identificadores são dados que não 
identificam univocamente um indivíduo por si só, mas têm o potencial de fazê-lo quando associado 
a outros dados. 
 
Dito isso, temos que: (a) CNH, CPF, RG, Endereço de E-Mail e Número de Celular; (b) Escolha 
Política, Quadro Clínico, Registro de Doença Rara; (c) Gênero, Endereço, Data de Nascimento, 
Município de Residência e Time de Futebol Preferido*. 
 
*Esse é polêmico porque pode ser considerado sensível. 
 
Gabarito: Letra B 
 
22. (FGV / SEFAZ-ES – 2021) A lei Geral de Proteção de Dados Pessoais faz distinção entre dados 
pessoais e dados pessoais sensíveis. Assinale um tipo de dados que NÃO se enquadra na 
categoria de dados sensíveis. 
 
a) Convicção religiosa. 
b) Dados biométricos. 
c) Data de nascimento. 
d) Filiação a sindicatos. 
e) Origem étnica. 
 
Comentários: 
 
De acordo com o Art. 5º - Para os fins desta Lei, considera-se: 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
88
118
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável; 
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião 
política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente 
à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; 
 
Logo, podemos ver que data de nascimento não é um tipo de dado sensível. 
 
Gabarito: Letra C 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
89
118
QUESTÕES COMENTADAS – DIVERSAS BANCAS 
 
23. (IADES / BRB – 2022) A respeito da Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 
13.709/2018, assinale a alternativa correta. 
 
a) Dados referentes à filiação a sindicatos não são considerados como dados pessoais sensíveis. 
 
b) A disciplina da proteção de dados pessoais tem a transparência como um de seus 
fundamentos. 
 
c) A LGPD considera como dado anonimizado a informação relacionada a pessoa natural 
identificada ou identificável. 
 
d) A LGPD não se aplica ao tratamento de dados pessoais realizado para fins exclusivamente 
artísticos. 
 
e) O tratamento de dados pessoais sensíveis não poderá, em nenhuma hipótese, ocorrer sem 
consentimento do titular. 
 
Comentários: 
 
(a) Errado, eles são considerados como dados pessoais sensíveis; (b) Errado, não é um fundamento 
e – sim – um princípio; (c) Errado, essa é a definição de dado pessoal. Os dados anonimizados são 
dados relativos à titular que não possa ser identificado, considerando a utilização de meios técnicos 
razoáveis e disponíveis na ocasião de seu tratamento; (d) Correto. Esta lei não se aplica ao 
tratamento de dados pessoais realizados para fins exclusivamente jornalísticos ou artísticos; (e) 
Errado, é dispensado o consentimento nas hipóteses em que for indispensável para: 
 
(1) Cumprimento de obrigação legal ou regulatória pelo controlador; (2) Tratamento compartilhado 
de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis 
ou regulamentos; (3) Realização de estudos por órgão de pesquisa, garantida, sempre que possível, 
a anonimização dos dados pessoais sensíveis; (4) Exercício regular de direitos, inclusive em contrato 
e em processo judicial, administrativo e arbitral; (5) Proteção da vida ou da incolumidade física do 
titular ou de terceiro; (6) Tutela da saúde, exclusivamente, em procedimento realizado por 
profissionais de saúde, serviços de saúde ou autoridade sanitária; (7) Garantia da prevenção à fraude 
e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas 
eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de 
prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados 
pessoais. 
 
Gabarito: Letra D 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
90
118
24. (FEPESE / ISS-Criciúma – 2022) Analise as afirmativas abaixo com relação à Lei Geral de 
Proteção de Dados (LGDP). 
 
1. É permitido ao poder público transferir a entidades privadas dados pessoais constantes em 
suas bases de dados desde que exista algum contrato entre as entidades pública e privada. 
 
2. As pessoas jurídicas de direito público devem informar as hipóteses em que realizam o 
tratamento de dados pessoais, com informações sobre a previsão legal, a finalidade e os 
procedimentos e as práticas empregadas. 
 
3. O uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa jurídica 
de direito privado deverá sempre ser informado à autoridade nacional e dependerá sempre de 
consentimento do titular. 
 
a) É correta apenas a afirmativa 2. 
b) São corretas apenas as afirmativas 1 e 2. 
c) São corretas apenas as afirmativas 1 e 3. 
d) São corretas apenas as afirmativas 2 e 3. 
e) São corretas as afirmativas 1, 2 e 3. 
 
Comentários: 
 
(1) Correto. De acordo com Art. 26, § 1º: 
 
É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados 
a que tenha acesso, exceto: IV - quando houver previsão legal ou a transferência for respaldada em 
contratos, convênios ou instrumentos congêneres. 
 
(2) Correto. De acordo com o Art. 23: 
 
O tratamento de dados pessoais pelas pessoas jurídicas de direito públicoreferidas no parágrafo único 
do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser 
realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o 
objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde 
que: 
 
I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento 
de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os 
procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, 
preferencialmente em seus sítios eletrônicos; 
 
(3) Errado. De acordo com Art. 27: 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
91
118
A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa 
de direito privado será informado à autoridade nacional e dependerá de consentimento do titular, 
exceto: I - nas hipóteses de dispensa de consentimento previstas nesta Lei; II - nos casos de uso 
compartilhado de dados, em que será dada publicidade nos termos do inciso I do caput do art. 23 desta 
Lei; ou III - nas exceções constantes do § 1º do art. 26 desta Lei. 
 
O gabarito preliminar considerou o primeiro item como errado, mas não o vejo dessa maneira! 
 
Gabarito: Letra A 
 
25. (FCC / SEFAZ-AP – 2022) A Lei Geral de Proteção de Dados Pessoais (LGPD) aplica-se a qualquer 
operação de tratamento de dados realizada por pessoa natural ou por pessoa jurídica de direito 
público ou privado, desde que: 
 
a) os dados sejam utilizados apenas para fins particulares, jornalísticos ou artísticos. 
b) os dados pessoais, objeto do tratamento, tenham sido coletados fora do território nacional. 
c) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços. 
d) a operação de tratamento seja realizada fora do território nacional. 
e) os dados pessoais tenham sido coletados de forma online, em meios digitais. 
 
Comentários: 
 
(a) Errado. Não se aplica quando realizado para fins exclusivamente jornalísticos e artísticos; 
 
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: 
 
II - realizado para fins exclusivamente: 
a) jornalístico e artísticos; ou 
 
(b) Errado. Somente se aplica se foram coletados no território nacional; 
 
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa 
jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde 
estejam localizados os dados, desde que: 
 
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional. 
 
(c) Correto. 
 
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa 
jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde 
estejam localizados os dados, desde que: 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
92
118
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços 
ou o tratamento de dados de indivíduos localizados no território nacional; 
 
(d) Errado. A operação de tratamento deve ser realizada no território nacional. 
 
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa 
jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde 
estejam localizados os dados, desde que: 
 
I - a operação de tratamento seja realizada no território nacional; 
 
(e) Errado. A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham 
sido coletados dentro do território brasileiro ou que tenha como objetivo oferecer bens ou serviços 
a pessoas localizadas no Brasil, independentemente destes dados pessoais terem sido coletados 
offline ou online, em meios físicos ou digitais. 
 
Gabarito: Letra C 
 
26. (FUNDATEC / IPE SAÚDE – 2022) Em relação aos fundamentos especificados no Art. 2º da Lei 
Geral de Proteção de Dados Pessoais (LGPD), o fundamento que NÃO faz parte dessa Lei é: 
 
a) Respeito à privacidade. 
b) Autodeterminação informativa. 
c) Inviolabilidade da intimidade, da honra e da imagem. 
d) Liberdade na divulgação de dados pessoais em meios digitais, seguindo o princípio da 
liberdade de informação. 
e) Liberdade de expressão, de informação, de comunicação e de opinião. 
 
Comentários: 
 
Essa questão é bem a letra da lei! De acordo com o art. 2º, a liberdade na divulgação de dados 
pessoais não é um fundamento da disciplina da proteção de dados pessoais. 
 
Gabarito: Letra D 
 
27. (FUNDATEC / IPE SAÚDE – 2022) “Esta Lei dispõe sobre o tratamento de dados pessoais, 
inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou 
privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o 
livre desenvolvimento da personalidade da pessoa natural”. A citação refere-se ao Art. 1º: 
 
a) Do Princípio à Liberdade de Divulgação de Dados Pessoais. 
b) Do Princípio à Liberdade de Divulgação de Dados Corporativos. 
c) Da Lei de Direito à Liberdade da Informação. 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
93
118
d) Da Lei Geral de Proteção de Dados Corporativos. 
e) Da Lei Geral de Proteção de Dados Pessoais. 
 
Comentários: 
 
Essa citação se trata do Art. 1º da Lei Geral de Proteção de Dados Pessoais (LGPD). Vejam o começo 
a citação "Esta Lei dispõe sobre o tratamento de dados". 
 
Gabarito: Letra 
E 
 
28. (QUADRIX / CRECI-MS – 2021) O respeito à privacidade e a inviolabilidade da intimidade, da 
honra e da imagem são fundamentos observados no diploma legal, os quais disciplinam a 
proteção de dados pessoais. 
 
Comentários: 
 
Perfeito! De acordo com o Art. 2, Incisos I e IV, a disciplina da proteção de dados pessoais tem como 
fundamentos (I) o respeito à privacidade e (IV) a inviolabilidade da intimidade, da honra e da 
imagem. 
 
Gabarito: Correto 
 
29. (QUADRIX / CRECI-MS – 2021) O tratamento de dados pessoais somente poderá ser realizado 
mediante o fornecimento de consentimento por seu titular, mesmo que este os tenha tornado 
manifestamente públicos. 
 
Comentários: 
 
De acordo com o § 4º do Art. 7, é dispensada a exigência do consentimento previsto no caput deste 
artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do 
titular e os princípios previstos nesta Lei. 
 
Gabarito: Errado 
 
30. (QUADRIX / CRECI-MS – 2021) Na realização de estudos em saúde pública, os órgãos de 
pesquisa poderão ter acesso a bases de dados pessoais, com a estrita finalidade de realização 
de estudos e pesquisas, desde que observada a ética e as normas de tratamentode dados 
pertinentes. 
 
Comentários: 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
94
118
Perfeito! De acordo com o Art. 13: na realização de estudos em saúde pública, os órgãos de pesquisa 
poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão 
e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente 
controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que 
incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como 
considerem os devidos padrões éticos relacionados a estudos e pesquisas. 
 
Gabarito: Correto 
 
31. (QUADRIX / CRECI-MS – 2021) É vedado ao Poder Público transferir a entidades privadas dados 
pessoais constantes de bases de dados a que tenha acesso, com o objetivo exclusivo de 
prevenção de fraudes. 
 
Comentários: 
 
De acordo com o Art. 26, § 1º: é vedado ao Poder Público transferir a entidades privadas dados 
pessoais constantes de bases de dados a que tenha acesso, exceto: (V) na hipótese de a 
transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou 
proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o 
tratamento para outras finalidades. 
 
Gabarito: Errado 
 
32. (QUADRIX / CRECI-MS – 2021) A transferência internacional de dados pessoais só é admitida 
na legislação pátria quando a transferência for necessária para a proteção da vida ou da 
incolumidade física do titular ou de terceiros. 
 
Comentários: 
 
De acordo com o Art. 33, a transferência internacional de dados pessoais somente é permitida nos 
seguintes casos: (I) para países ou organismos internacionais que proporcionem grau de proteção 
de dados pessoais adequado ao previsto nesta Lei; (II) quando a transferência for necessária para a 
proteção da vida ou da incolumidade física do titular ou de terceiro. Logo, existem duas 
possibilidades e não apenas a de proteção à vida ou da incolumidade física do titular ou de terceiros. 
 
Gabarito: Errado 
 
33. (AOCP / MJ-SP – 2020) Considerando o que dispõe a Lei n° 13.709/2018, de Proteção de Dados, 
o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que 
deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca, dentre outras 
características, de: 
 
a) sigilo quanto a informações de contato do controlador. 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
95
118
==5617c==
b) informações acerca do uso compartilhado de dados pelo controlador e a finalidade. 
c) não divulgação das responsabilidades dos agentes que realizarão o tratamento. 
d) não identificação do controlador. 
e) sigilo quanto à finalidade específica do tratamento. 
 
Comentários: 
 
(a) Errado, o titular tem direito a informações de contato do controlador e, não, ao seu sigilo; (b) 
Correto; (c) Errado, o titular tem direito de acesso às informações de responsabilidades dos agentes 
que realizarão o tratamento; (d) Errado, o titular tem direito de acesso às informações de 
identificação do controlador; (e) Errado, o titular tem direito de acesso às informações quanto à 
finalidade específica do tratamento. Vejamos: 
 
I - finalidade específica do tratamento; 
III - identificação do controlador; 
IV - informações de contato do controlador; 
V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade; 
VI - responsabilidades dos agentes que realizarão o tratamento; 
 
Gabarito: Letra B 
 
34. (AOCP / MJ-SP – 2020) Para fins da Lei n° 13.709/2018, de Proteção de Dados, considera-se: 
 
a) dado anonimizado a utilização de meios técnicos razoáveis e disponíveis no momento do 
tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, 
a um indivíduo. 
 
b) operador a pessoa natural ou jurídica, de direito público ou privado, a quem competem as 
decisões referentes ao tratamento de dados pessoais. 
 
c) dado pessoal sensível o dado pessoal sobre origem racial ou étnica, convicção religiosa, 
opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, 
dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma 
pessoa natural. 
 
d) controlador a pessoa natural ou jurídica, de direito público ou privado, que realiza o 
tratamento de dados pessoais em nome do controlador. 
 
e) anonimização o dado relativo a titular que não possa ser identificado, considerando a 
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. 
 
Comentários: 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
96
118
 
(a) Errado, essa é a definição de anonimização e, não, de dado anonimizado; (b) Errado, essa é a 
definição de controlador e, não, de operador; (c) Correto; (d) Errado, essa é a definição de operador 
e, não, de controlador; (e) Errado, essa é a definição de dado anonimizado e, não, de anonimização. 
 
Gabarito: Letra C 
 
35. (AOCP / MJ-SP – 2020) Considerando o que dispõe a Lei n° 13.709/2018, de Proteção de Dados, 
assinale a alternativa correta. 
 
a) O término do tratamento de dados pessoais ocorrerá, dentre outras hipóteses, quando se 
verificar que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade 
específica almejada. 
 
b) O titular dos dados pessoais não tem direito de obter do controlador, em relação aos dados 
do titular por ele tratados, a confirmação da existência de tratamento. 
 
c) A portabilidade dos dados pessoais a outro fornecedor de serviço ou produto, prevista na Lei 
n° 13.709/2018, inclui dados que já tenham sido anonimizados pelo controlador. 
 
d) O titular dos dados pessoais não tem direito de obter do controlador, em relação aos dados 
do titular por ele tratados, informação sobre a possibilidade de não fornecer consentimento e 
sobre as consequências da negativa. 
 
e) Ao titular dos dados pessoais não é dado o direito de peticionar em relação aos seus dados, 
perante a autoridade nacional, contra o controlador. 
 
Comentários: 
 
(a) Correto, conforme Art. 15, Inciso I; (b) Errado, o titular dos dados pessoais tem esse direito – 
conforme Art. 18, Inciso I; (c) Errado, não inclui dados que já tenham sido anonimizados pelo 
controlador – conforme Art. 18, Inciso 7; (d) Errado, o titular dos dados pessoais tem esse direito – 
conforme Art. 18, Inciso VIII; (e) Errado, o titular dos dados pessoais tem esse direito – conforme 
Art. 18, Inciso I. 
 
Gabarito: Letra A 
 
36. (AOCP / MJ-SP – 2020) Segundo a Lei nº 13.709/2018, de Proteção de Dados, a transferência 
internacional de dados pessoais é permitida nas seguintes situações, EXCETO: 
 
a) para países ou organismos internacionais que proporcionem grau de proteção de dados 
pessoais adequado ao previsto na Lei específica. 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informáticae TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
97
118
 
b) quando a autoridade nacional autorizar a transferência. 
 
c) quando a transferência for necessária para a proteção da vida ou da incolumidade física do 
titular ou de terceiro. 
 
d) quando o titular tiver fornecido o seu consentimento específico e em destaque para a 
transferência, com informação prévia sobre o caráter internacional da operação, distinguindo 
claramente esta de outras finalidades. 
 
e) quando a transferência for necessária para a cooperação jurídica internacional entre órgãos 
públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de 
direito internos. 
 
Comentários: 
 
De acordo com o Art. 33, todas estão corretas – exceto a última! De acordo com o Inciso III, a 
transferência internacional de dados pessoais é permitida quando a transferência for necessária 
para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de 
persecução, de acordo com os instrumentos de direito internos internacional; 
 
Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos: 
 
I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais 
adequado ao previsto nesta Lei; 
III - quando a transferência for necessária para a cooperação jurídica internacional entre órgãos 
públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito 
internacional; 
IV - quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular 
ou de terceiro; 
V - quando a autoridade nacional autorizar a transferência; 
VIII - quando o titular tiver fornecido o seu consentimento específico e em destaque para a 
transferência, com informação prévia sobre o caráter internacional da operação, distinguindo 
claramente esta de outras finalidades; ou 
 
Gabarito: Letra E 
 
37. (AOCP / MJ-SP – 2020) Nos termos da Lei Brasileira que trata da Proteção de Dados, Lei nº 
13.709/2018, a respeito da Autoridade Nacional de Proteção de Dados (ANPD), assinale a 
alternativa correta. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
98
118
a) A natureza jurídica da ANPD é permanente, podendo ser transformada pelo Poder Executivo 
em entidade da administração pública federal indireta, submetida a regime autárquico especial 
e vinculada à Presidência da República. 
 
b) Ato do Ministro da Ciência, Tecnologia, Inovações e Comunicações disporá sobre a estrutura 
regimental da ANPD. 
 
c) Não é da competência da ANDP apreciar petições de titular contra controlador após 
comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo 
estabelecido em regulamentação. 
 
d) Os valores apurados na venda ou no aluguel de bens móveis e imóveis de sua propriedade não 
constituem receitas da ANDP. 
 
e) Os cargos em comissão e as funções de confiança da ANPD serão remanejados de outros 
órgãos e entidades do Poder Executivo federal. 
 
Comentários: 
 
(a) Errado, ela é transitória e, não, permanente – conforme Art. 55-A, § 1º; (b) Errado, não é um ato 
do Ministro da Ciência, Tecnologia, Inovações e Comunicações e, sim, do Presidente da República 
– conforme Art. 55-G; (c) Errado, essa é uma das competências da ANPD – conforme Art. 55-J; (d) 
Errado, essa é uma das receitas que constituem a ANPD – conforme Art. 55-L, Parágrafo III; (e) 
Correto, conforme Art. 55-H. 
 
Gabarito: Letra E 
 
38. (VUNESP / EBSERH – 2020) A Lei Geral de Proteção de Dados considera como dados pessoais 
sensíveis os dados sobre: 
 
a) contas bancárias. 
b) viagens realizadas. 
c) formação acadêmica. 
d) origem racial ou étnica. 
e) numeração de documentos. 
Comentários: 
 
A LGPD considera como dados pessoais sensíveis todo dado pessoal sobre origem racial ou étnica, 
convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, 
filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando 
vinculado a uma pessoa natural. 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
99
118
 
Gabarito: Letra D 
 
39. (EDUCA / Prefeitura de Cabedelo-PB – 2020) Inúmeros escândalos de vazamento de dados 
aconteceram nos últimos anos, e muitos desses vazamentos envolveram empresas famosas 
como o Facebook e o Uber. No Uber, foram vazados dados pessoais de 57 milhões de clientes e 
motoristas, e no Facebook, 87, milhões de usuários do Facebook tiveram seus dados violados. 
Dada a recorrência de acontecimentos desta natureza, o mundo sentiu a necessidade de 
implementar leis que protejam a privacidade dos usuários de serviços. No Brasil, foi criada a lei 
13.709/18, também conhecida como Lei Geral da Proteção de Dados Pessoais (ou LGPD), que 
estabelece que dado pessoal é toda informação relacionada à pessoa natural “identificada” ou 
“identificável”, e determina condições específicas para o tratamento desses dados. Sobre a 
LGPD, assinale a alternativa INCORRETA: 
 
a) A LGPD foi criada em agosto de 2018, mas somente entrou em vigor em 2020. 
 
b) A LGPD foi inspirada em uma lei europeia, a GDPR. 
 
c) A LGPD regulamentará qualquer atividade que envolva utilização de dados pessoais, seja a 
atividade relacionada a meios digitais ou não. 
 
d) A LGPD rege que o consentimento de acesso aos dados por uma empresa pode ser revogado 
a qualquer momento mediante manifestação expressa do titular dos dados. 
 
e) A LGPD aplica-se a qualquer operação de tratamento realizada apenas no Brasil. 
 
Comentários: 
 
Todos os itens estão corretos, exceto o último! De acordo com o Art. 3º, esta lei aplica-se a qualquer 
operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou 
privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os 
dados. 
 
Gabarito: Letra E 
 
40. (FUNDATEC / Prefeitura de Imbé – 2020) A nova Lei Geral de Proteção de Dados deverá afetar 
todos os setores da indústria, serviço ou comércio. A legislação determina que todos os dados 
pessoais (informação relacionada à pessoa natural identificada ou identificável, como nome, 
idade, estado civil, documentos) só podem ser coletados mediante o consentimento do usuário. 
Essa lei está sendo chamada de: 
 
a) Medida Protetiva. 
b) LGPD. 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
100
118
c) Dados. 
d) Código Civil. 
e) CLT. 
 
Comentários: 
 
A Lei Geral de Proteção de Dados está sendo chamada de LGPD. 
 
Gabarito: Letra B 
 
41. (IADES / CRN3 – 2019) A Lei n° 13.709/2018 (Lei Geral de Proteção de Dados) incide quanto ao 
cadastro de usuários e clientes, alterando a maneira como as organizações devem tratar dados 
pessoais, com vistas a proteger os direitos fundamentais de liberdade e de privacidade e a 
respeitar o livre desenvolvimento da personalidade,a dignidade e o exercício da cidadania. 
Considerando o disposto na referida lei, assinale a alternativa correta. 
 
a) Essa lei aplica-se exclusivamente a dados coletados por meio digital. 
 
b) Para os fins dessa lei, considera-se dado pessoal qualquer informação relacionada a pessoa 
física ou jurídica identificada ou identificável. 
 
c) O tratamento de dados pessoais, bem como o compartilhamento desses dados, somente é 
permitido mediante consentimento do titular, salvo casos de exceção previstos na lei. 
 
d) Dados pessoais de crianças podem ser coletados sem consentimento prévio e armazenados 
para fins de contato com os pais ou o responsável legal. 
 
e) O consentimento do tratamento dos dados deve ser fornecido pelo titular antecipadamente 
à coleta dos dados e presume concordância com o compartilhamento dos respectivos dados 
pessoais com entidades parceiras por tempo indeterminado. 
 
Comentários: 
 
(a) Errado. O Art. 1º afirma que essa lei dispõe sobre o tratamento de dados pessoais, inclusive nos 
meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o 
objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre 
desenvolvimento da personalidade da pessoa natural; 
 
(b) Errado. O Inciso I do Art. 5º afirma que dado pessoal é qualquer informação relacionada a pessoa 
natural identificada ou identificável. Logo, não há que se falar em pessoa jurídica; 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
101
118
(c) Correto. O Inciso I do Art. 7º afirma que o tratamento de dados pessoais somente poderá ser 
realizado na seguinte hipótese: mediante o fornecimento de consentimento pelo titular. A lei 
apresenta também algumas exceções para a concessão de consentimento, como – por exemplo – 
quando os dados são manifestamente públicos; 
 
(d) Errado. O §3º do Art. 14 afirma que poderão ser coletados dados pessoais de crianças sem o 
consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os 
pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, 
e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o §1º deste 
artigo; 
 
(e) Errado. O §5º do Art. 7 afirma que o controlador que obteve o consentimento referido no inciso 
I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros 
controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as 
hipóteses de dispensa do consentimento previstas nesta Lei. 
 
Gabarito: Letra C 
 
42. (IADES / BRB – 2019) Considere que, em um órgão público, foi detectada a necessidade da 
atribuição de responsáveis para manterem registro das operações de tratamento de dados 
pessoais. De acordo com a Lei nº 13.709/2018, quem devem ser esses responsáveis? 
 
a) Os agentes de tratamento de dados e o conselho diretor. 
b) O controlador e o operador. 
c) O presidente da República e o controlador. 
d) A autoridade nacional e o operador. 
e) O governante e a autoridade nacional. 
 
Comentários: 
 
De acordo com o Art. 37, o controlador e o operador devem manter registro das operações de 
tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo 
interesse. Lembrando que o controlador é a pessoa natural ou jurídica, de direito público ou privado, 
a quem competem as decisões referentes ao tratamento de dados pessoais; e o operador é a pessoa 
natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em 
nome do controlador. 
 
Gabarito: Letra B 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
102
118
 
 
 
QUESTÕES COMENTADAS – CESPE 
 
1. (FGV / Receita Federal - 2023) A Secretaria de Saúde do Estado Alfa está realizando estudos em 
saúde pública com vistas a aprimorar a política pública prevista em lei para o combate à dengue 
que, ano após ano, vem assolando a população local. Para a efetivação de tal objetivo, o órgão 
de pesquisa do aludido ente federativo precisa levantar dados sensíveis de moradores da 
localidade, constantes de certo banco de dados. Tais dados incluem informações genéticas, 
filiação, etnia, além de convicções que se desdobram em hábitos pessoais e que podem 
impactar na identificação dos efeitos e controle da doença em questão. À luz do disposto na Lei 
Geral de Proteção de Danos, é correto afirmar que: 
 
a) não há qualquer restrição ao tratamento de informações de etnia e filiação, que não 
constituem dados sensíveis. 
 
b) a divulgação dos resultados da pesquisa poderá revelar os dados pessoais levantados, desde 
que não incluam eventuais dados sensíveis. 
 
c) incumbe ao órgão que está realizando a pesquisa a responsabilidade pela segurança da 
informação, de modo que não é permitida, em circunstância alguma, a transferência de tais 
dados a terceiros. 
 
d) se os dados forem mantidos em ambiente controlado e seguro, ainda que possível, não 
haverá necessidade de anomização ou pseudominização. 
 
e) o levantamento de dados almejado não pode ser realizado sem o consentimento do titular 
para tal finalidade específica. 
 
2. (CESPE / BANRISUL – 2022) Nos termos da LGPD, banco de dados é todo conjunto não 
estruturado de dados pessoais estabelecido em um ou em vários locais, em suporte eletrônico 
ou físico. 
 
3. (CESPE / BANRISUL – 2022) Em nenhuma circunstância o tratamento de dados pessoais 
sensíveis poderá ocorrer sem o consentimento do titular dos dados. 
 
4. (CESPE / BANRISUL – 2022) A disciplina da proteção de dados pessoais tem como 
fundamentos, entre outros, o desenvolvimento econômico e tecnológico e a inovação. 
 
5. (CESPE / BANRISUL – 2022) O tratamento de dados pessoais somente poderá ser realizado 
mediante o fornecimento de consentimento, necessariamente por escrito, pelo titular dos 
dados. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
103
118
6. (CESPE / BANRISUL – 2022) A Autoridade Nacional de Proteção de Dados (ANPD) é uma 
autarquia de natureza especial, dotada de autonomia técnica e decisória, com patrimônio 
próprio e com sede e foro no Distrito Federal. 
 
7. (CESPE / TRT8 – 2022) A Lei n.º 13.709/2018 — Lei Geral de Proteção de Dados — dispõe sobre 
o tratamento de dados pessoais, inclusive nos meios digitais, e aplica-se a: 
 
a) operação de tratamento realizada por pessoa jurídica de direito público exclusivamente para 
fins de segurança pública. 
 
b) qualquer operação de tratamento realizada por pessoa de direito privado, 
independentemente do país onde estejam localizados os dados, desde que a operação de 
tratamento seja realizada no território nacional. 
 
c) operação de tratamento realizada por pessoa de direito público, desde que os dados pessoais 
objetos do tratamento estejam necessariamente localizados no território nacional. 
 
d) operação de tratamento realizada por pessoa física para fins exclusivamente particulares. 
 
e) operação de tratamento realizada por pessoa natural exclusivamente para fins derepressão 
de infrações penais. 
 
8. (CESPE / TELEBRÁS - 2021) A LGPD prevê a realização do tratamento de dados pessoais, 
mediante o consentimento do titular dos dados, para o cumprimento de obrigação legal ou 
regulatória e para a realização de estudos ou a execução de contratos a pedido do titular. 
Entretanto, as situações que envolvam segurança pública e defesa nacional não serão objeto de 
aplicação da referida lei. 
 
9. (CESPE / DPE-RO – 2021) De acordo com a Lei Geral de Proteção de Dados Pessoais, assinale a 
opção que indica quem deve comunicar à autoridade nacional a ocorrência de incidente de 
segurança relacionado a dados pessoais que possa acarretar risco ou dano relevante. 
 
a) encarregado. 
b) titular. 
c) segurança de TI. 
d) operador. 
e) controlador. 
 
10. (CESPE / APEX-BRASIL – 2021) No seu processo de cadastramento de usuários, um site na Web 
obteve dados pessoais sensíveis de um usuário. Nessa situação hipotética, de acordo com a Lei 
n.º 13.709/2018, o tratamento dos referidos dados pelo site poderá ser feito sem o 
consentimento do titular se: 
 
a) for indispensável para a proteção da vida. 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
104
118
b) houver demanda para a realização de estudos por órgão de pesquisa reconhecido pelo 
governo federal, sendo desnecessária, nesse caso, a anonimização dos dados. 
c) for necessário para promover exclusivamente ações de marketing. 
d) houver a necessidade de disponibilizar os dados para uma empresa parceira. 
 
11. (CESPE / TJ-PA – 2020) A Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados Pessoais) prevê a 
realização do tratamento de dados pessoais, mediante o consentimento do titular dos dados, 
para o cumprimento de obrigação legal ou regulatória e para a realização de estudos ou 
execução de contratos a pedido do titular. As hipóteses em questão são exemplos de: 
 
a) princípios das atividades de tratamento de dados pessoais. 
b) requisitos para o tratamento de dados pessoais sensíveis. 
c) tratamento de dados pessoais de crianças e adolescentes. 
d) direitos do titular dos dados. 
e) requisitos para o tratamento de dados pessoais. 
 
12. (CESPE / TJ-PA – 2020) De acordo com a Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados 
Pessoais), as atividades de tratamento de dados pessoais devem observar a boa-fé e o princípio: 
 
a) de dado pessoal, segundo o qual a informação é relacionada à pessoa natural identificada ou 
identificável. 
 
b) de banco de dados, como um conjunto estruturado de dados pessoais estabelecido em um 
ou em vários locais, em suporte eletrônico ou físico. 
 
c) da anonimização, com a utilização de meios técnicos razoáveis e disponíveis no momento do 
tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, 
a um indivíduo. 
 
d) da prevenção, com a adoção de medidas para prevenir a ocorrência de danos em virtude do 
tratamento de dados pessoais. 
 
e) da eliminação, que é a exclusão de dado ou de conjunto de dados armazenados em banco de 
dados, independentemente do procedimento empregado. 
 
13. (CESPE / Ministério da Economia – 2020) Entre os fundamentos que disciplinam a proteção de 
dados pessoais no Brasil, estão o respeito à privacidade, a autodeterminação informativa e a 
liberdade de expressão, de informação, de comunicação e de opinião. 
 
14. (CESPE / Ministério da Economia – 2020) A referida lei não se aplica ao tratamento de dados 
pessoais realizado por pessoa natural para fins econômicos. 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
105
118
 
15. (CESPE / Ministério da Economia – 2020) Os dados pessoais serão eliminados após o término 
de seu tratamento, sendo autorizada a sua conservação para a finalidade de estudo por órgão 
de pesquisa, sendo garantida, sempre que possível, a anonimização desses dados. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
106
118
QUESTÕES COMENTADAS – FGV 
 
16. (FGV / Senado Federal – Análise de Suporte – 2022) Ao solicitar a concessão de crédito ao 
Banco Dínamo, Veridiana foi surpreendida com o oferecimento de taxa de juros muito acima 
daquela praticada pelo mercado. Inconformada ao descobrir que o cálculo fora feito unicamente 
com base em tratamento automatizado de seus dados pessoais, requereu à instituição 
financeira o acesso a tais dados, bem como às informações a respeito dos critérios e 
procedimentos utilizados para a tomada da decisão. No relatório apresentado pelo banco, 
verificou que boa parte dos dados pessoais coletados se referiam, em verdade, a uma sua 
homônima, que apresentava péssimos índices de crédito. 
 
A esse respeito, assinale a opção que indica o princípio da Lei Geral de Proteção de Dados 
Pessoais (Lei nº.13.709/2018) que teria sido violado pela instituição financeira. 
 
a) finalidade. 
b) não discriminação. 
c) segurança. 
d) adequação. 
e) qualidade dos dados. 
 
Comentários: 
 
Foi ferido o princípio da qualidade dos dados, que afirma: garantia, aos titulares, de exatidão, 
clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da 
finalidade de seu tratamento. 
 
Gabarito: Letra E 
 
17. (FGV / SEFAZ-AM – 2022) Sobre os tipos de dados abordados pela Lei Geral de Proteção de 
Dados Pessoais (LGPD) em vigor no Brasil, analise as afirmativas a seguir. 
 
I. O número de telefone e o endereço de IP de acesso à Internet são considerados dados 
pessoais. 
 
II. Dados de adolescentes podem ser coletados e repassados a terceiros sem o consentimento 
dos pais, desde que sejam pseudonimizados. 
 
III. Dados biométricos são classificados como públicos e não estão sujeitos à LGPD. 
 
Está correto o que se afirma em: 
 
a) I, apenas. 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
107
118
b) II, apenas. 
c) III, apenas. 
d) I e II, apenas. 
e) I, II e III. 
 
18. (FGV / TJDFT – 2022) A Lei Geral de Proteção de Dados Pessoais (LGPD) tem entre seus 
objetivos a proteção dos direitos fundamentais de liberdade e de privacidade da pessoa natural. 
A LGPD define o que são dados pessoais, classificando alguns como sensíveis, além de definir 
responsabilidades entre os manipuladores desses dados, obrigando os órgãos públicos e 
empresas privadas a adequarem seus processos para operarem em conformidade com a nova 
Lei. 
 
De acordo com o Art. 4º da LGPD, uma das exceções para o tratamento de dados pessoais é: 
 
a) que a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou 
serviços ou o tratamento de dados de indivíduos localizados no território nacional; 
 
b) que os dados pessoais objeto do tratamento tenham sido coletados no território nacional com 
o consentimento do titular; 
 
c) que se destine à realização de estudos porórgão de pesquisa, garantida, sempre que possível, 
a anonimização dos dados pessoais; 
 
d) que seja realizado para fins exclusivos de atividades de investigação e repressão de infrações 
penais; 
 
e) que seja realizado para o exercício regular de direitos em processo judicial, administrativo ou 
arbitral (nos termos da Lei nº 9.307/1996). 
 
19. (FGV / TJDFT – 2022) De acordo com a composição da ANPD (Autoridade Nacional de Proteção 
de Dados) prevista na LGPD (Lei Geral de Proteção de Dados Pessoais), disseminar o 
conhecimento sobre a proteção de dados pessoais e da privacidade à população é uma 
atribuição do(a): 
 
a) Conselho Diretor; 
b) Unidades especializadas; 
c) Unidades administrativas; 
d) Coordenação-Geral de Administração; 
e) Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. 
 
20. (FGV / TJDFT – 2022) De acordo com o Art. 37 da LGPD (Lei Geral de Proteção de Dados 
Pessoais), as operações de tratamento realizadas nos dados pessoais devem ser registradas. 
Para isso, o controlador e o operador devem manter registro das operações de tratamento de 
dados pessoais que realizarem. 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
108
118
 
O registro das operações é realizado por meio do: 
 
a) inventário de dados pessoais; 
b) catálogo de base de dados; 
c) relatório de impacto à proteção de dados pessoais; 
d) serviços notariais e de registro; 
e) termo de consentimento. 
 
21. (FGV/ TCU – 2022) Conjuntos de dados identificados de pessoas são úteis em pesquisas, ao 
mesmo tempo que são motivo de preocupação em relação à privacidade das pessoas naturais 
envolvidas. A classificação de atributos identificadores ajuda a priorizar atividades de 
desidentificação para alavancar a pesquisa sob a observância da LGPD. 
 
São exemplos: a) de identificadores explícitos, b) de identificadores sensíveis e c) de quasi 
identificadores: 
 
a) CNH – Carteira Nacional de Habilitação, b) número do telefone celular e c) endereço; 
b) CPF – Cadastro de Pessoas Físicas, b) quadro clínico e c) gênero; 
c) RG – Registro Geral, b) escolha política e c) registro de doença rara; 
d) data de nascimento, b) endereço de e-mail e c) endereço; 
e) CPF – Cadastro de Pessoas Físicas, b) município de residência e c) time de futebol preferido. 
 
22. (FGV / SEFAZ-ES – 2021) A lei Geral de Proteção de Dados Pessoais faz distinção entre dados 
pessoais e dados pessoais sensíveis. Assinale um tipo de dados que NÃO se enquadra na 
categoria de dados sensíveis. 
 
a) Convicção religiosa. 
b) Dados biométricos. 
c) Data de nascimento. 
d) Filiação a sindicatos. 
e) Origem étnica. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
109
118
QUESTÕES COMENTADAS – DIVERSAS BANCAS 
 
23. (IADES / BRB – 2022) A respeito da Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 
13.709/2018, assinale a alternativa correta. 
 
a) Dados referentes à filiação a sindicatos não são considerados como dados pessoais sensíveis. 
 
b) A disciplina da proteção de dados pessoais tem a transparência como um de seus 
fundamentos. 
 
c) A LGPD considera como dado anonimizado a informação relacionada a pessoa natural 
identificada ou identificável. 
 
d) A LGPD não se aplica ao tratamento de dados pessoais realizado para fins exclusivamente 
artísticos. 
 
e) O tratamento de dados pessoais sensíveis não poderá, em nenhuma hipótese, ocorrer sem 
consentimento do titular. 
 
24. (FEPESE / ISS-Criciúma – 2022) Analise as afirmativas abaixo com relação à Lei Geral de 
Proteção de Dados (LGDP). 
 
1. É permitido ao poder público transferir a entidades privadas dados pessoais constantes em 
suas bases de dados desde que exista algum contrato entre as entidades pública e privada. 
 
2. As pessoas jurídicas de direito público devem informar as hipóteses em que realizam o 
tratamento de dados pessoais, com informações sobre a previsão legal, a finalidade e os 
procedimentos e as práticas empregadas. 
 
3. O uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa jurídica 
de direito privado deverá sempre ser informado à autoridade nacional e dependerá sempre de 
consentimento do titular. 
 
a) É correta apenas a afirmativa 2. 
b) São corretas apenas as afirmativas 1 e 2. 
c) São corretas apenas as afirmativas 1 e 3. 
d) São corretas apenas as afirmativas 2 e 3. 
e) São corretas as afirmativas 1, 2 e 3. 
 
25. (FCC / SEFAZ-AP – 2022) A Lei Geral de Proteção de Dados Pessoais (LGPD) aplica-se a qualquer 
operação de tratamento de dados realizada por pessoa natural ou por pessoa jurídica de direito 
público ou privado, desde que: 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
110
118
 
a) os dados sejam utilizados apenas para fins particulares, jornalísticos ou artísticos. 
b) os dados pessoais, objeto do tratamento, tenham sido coletados fora do território nacional. 
c) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços. 
d) a operação de tratamento seja realizada fora do território nacional. 
e) os dados pessoais tenham sido coletados de forma online, em meios digitais. 
 
26. (FUNDATEC / IPE SAÚDE – 2022) Em relação aos fundamentos especificados no Art. 2º da Lei 
Geral de Proteção de Dados Pessoais (LGPD), o fundamento que NÃO faz parte dessa Lei é: 
 
a) Respeito à privacidade. 
b) Autodeterminação informativa. 
c) Inviolabilidade da intimidade, da honra e da imagem. 
d) Liberdade na divulgação de dados pessoais em meios digitais, seguindo o princípio da 
liberdade de informação. 
e) Liberdade de expressão, de informação, de comunicação e de opinião. 
 
27. (FUNDATEC / IPE SAÚDE – 2022) “Esta Lei dispõe sobre o tratamento de dados pessoais, 
inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou 
privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o 
livre desenvolvimento da personalidade da pessoa natural”. A citação refere-se ao Art. 1º: 
 
a) Do Princípio à Liberdade de Divulgação de Dados Pessoais. 
b) Do Princípio à Liberdade de Divulgação de Dados Corporativos. 
c) Da Lei de Direito à Liberdade da Informação. 
d) Da Lei Geral de Proteção de Dados Corporativos. 
e) Da Lei Geral de Proteção de Dados Pessoais. 
 
28. (QUADRIX / CRECI-MS – 2021) O respeito à privacidade e a inviolabilidade da intimidade, da 
honra e da imagem são fundamentos observados no diploma legal, os quais disciplinam a 
proteção de dados pessoais. 
 
29. (QUADRIX / CRECI-MS – 2021) O tratamento de dados pessoais somente poderá ser realizado 
mediante o fornecimento de consentimento por seu titular, mesmo que este os tenha tornado 
manifestamente públicos. 
 
30. (QUADRIX / CRECI-MS – 2021) Na realização de estudos em saúde pública, os órgãos de 
pesquisa poderão ter acesso a bases de dados pessoais, com a estrita finalidade de realização 
de estudos e pesquisas, desde que observada a ética e as normas de tratamento de dados 
pertinentes. 
 
31. (QUADRIX / CRECI-MS – 2021) É vedado ao Poder Público transferir a entidades privadas dados 
pessoais constantesde bases de dados a que tenha acesso, com o objetivo exclusivo de 
prevenção de fraudes. 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
111
118
 
32. (QUADRIX / CRECI-MS – 2021) A transferência internacional de dados pessoais só é admitida 
na legislação pátria quando a transferência for necessária para a proteção da vida ou da 
incolumidade física do titular ou de terceiros. 
 
33. (AOCP / MJ-SP – 2020) Considerando o que dispõe a Lei n° 13.709/2018, de Proteção de Dados, 
o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que 
deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca, dentre outras 
características, de: 
 
a) sigilo quanto a informações de contato do controlador. 
b) informações acerca do uso compartilhado de dados pelo controlador e a finalidade. 
c) não divulgação das responsabilidades dos agentes que realizarão o tratamento. 
d) não identificação do controlador. 
e) sigilo quanto à finalidade específica do tratamento. 
 
34. (AOCP / MJ-SP – 2020) Para fins da Lei n° 13.709/2018, de Proteção de Dados, considera-se: 
 
a) dado anonimizado a utilização de meios técnicos razoáveis e disponíveis no momento do 
tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, 
a um indivíduo. 
 
b) operador a pessoa natural ou jurídica, de direito público ou privado, a quem competem as 
decisões referentes ao tratamento de dados pessoais. 
 
c) dado pessoal sensível o dado pessoal sobre origem racial ou étnica, convicção religiosa, 
opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, 
dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma 
pessoa natural. 
 
d) controlador a pessoa natural ou jurídica, de direito público ou privado, que realiza o 
tratamento de dados pessoais em nome do controlador. 
 
e) anonimização o dado relativo a titular que não possa ser identificado, considerando a 
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. 
 
35. (AOCP / MJ-SP – 2020) Considerando o que dispõe a Lei n° 13.709/2018, de Proteção de Dados, 
assinale a alternativa correta. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
112
118
a) O término do tratamento de dados pessoais ocorrerá, dentre outras hipóteses, quando se 
verificar que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade 
específica almejada. 
 
b) O titular dos dados pessoais não tem direito de obter do controlador, em relação aos dados 
do titular por ele tratados, a confirmação da existência de tratamento. 
 
c) A portabilidade dos dados pessoais a outro fornecedor de serviço ou produto, prevista na Lei 
n° 13.709/2018, inclui dados que já tenham sido anonimizados pelo controlador. 
 
d) O titular dos dados pessoais não tem direito de obter do controlador, em relação aos dados 
do titular por ele tratados, informação sobre a possibilidade de não fornecer consentimento e 
sobre as consequências da negativa. 
 
e) Ao titular dos dados pessoais não é dado o direito de peticionar em relação aos seus dados, 
perante a autoridade nacional, contra o controlador. 
 
36. (AOCP / MJ-SP – 2020) Segundo a Lei nº 13.709/2018, de Proteção de Dados, a transferência 
internacional de dados pessoais é permitida nas seguintes situações, EXCETO: 
 
a) para países ou organismos internacionais que proporcionem grau de proteção de dados 
pessoais adequado ao previsto na Lei específica. 
 
b) quando a autoridade nacional autorizar a transferência. 
 
c) quando a transferência for necessária para a proteção da vida ou da incolumidade física do 
titular ou de terceiro. 
 
d) quando o titular tiver fornecido o seu consentimento específico e em destaque para a 
transferência, com informação prévia sobre o caráter internacional da operação, distinguindo 
claramente esta de outras finalidades. 
 
e) quando a transferência for necessária para a cooperação jurídica internacional entre órgãos 
públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de 
direito internos. 
 
37. (AOCP / MJ-SP – 2020) Nos termos da Lei Brasileira que trata da Proteção de Dados, Lei nº 
13.709/2018, a respeito da Autoridade Nacional de Proteção de Dados (ANPD), assinale a 
alternativa correta. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
113
118
a) A natureza jurídica da ANPD é permanente, podendo ser transformada pelo Poder Executivo 
em entidade da administração pública federal indireta, submetida a regime autárquico especial 
e vinculada à Presidência da República. 
 
b) Ato do Ministro da Ciência, Tecnologia, Inovações e Comunicações disporá sobre a estrutura 
regimental da ANPD. 
 
c) Não é da competência da ANDP apreciar petições de titular contra controlador após 
comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo 
estabelecido em regulamentação. 
 
d) Os valores apurados na venda ou no aluguel de bens móveis e imóveis de sua propriedade não 
constituem receitas da ANDP. 
 
e) Os cargos em comissão e as funções de confiança da ANPD serão remanejados de outros 
órgãos e entidades do Poder Executivo federal. 
 
38. (VUNESP / EBSERH – 2020) A Lei Geral de Proteção de Dados considera como dados pessoais 
sensíveis os dados sobre: 
 
a) contas bancárias. 
b) viagens realizadas. 
c) formação acadêmica. 
d) origem racial ou étnica. 
e) numeração de documentos. 
 
39. (EDUCA / Prefeitura de Cabedelo-PB – 2020) Inúmeros escândalos de vazamento de dados 
aconteceram nos últimos anos, e muitos desses vazamentos envolveram empresas famosas 
como o Facebook e o Uber. No Uber, foram vazados dados pessoais de 57 milhões de clientes e 
motoristas, e no Facebook, 87, milhões de usuários do Facebook tiveram seus dados violados. 
Dada a recorrência de acontecimentos desta natureza, o mundo sentiu a necessidade de 
implementar leis que protejam a privacidade dos usuários de serviços. No Brasil, foi criada a lei 
13.709/18, também conhecida como Lei Geral da Proteção de Dados Pessoais (ou LGPD), que 
estabelece que dado pessoal é toda informação relacionada à pessoa natural “identificada” ou 
“identificável”, e determina condições específicas para o tratamento desses dados. Sobre a 
LGPD, assinale a alternativa INCORRETA: 
 
a) A LGPD foi criada em agosto de 2018, mas somente entrou em vigor em 2020. 
 
b) A LGPD foi inspirada em uma lei europeia, a GDPR. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
114
118
c) A LGPD regulamentará qualquer atividade que envolva utilização de dados pessoais, seja a 
atividade relacionada a meios digitais ounão. 
 
d) A LGPD rege que o consentimento de acesso aos dados por uma empresa pode ser revogado 
a qualquer momento mediante manifestação expressa do titular dos dados. 
 
e) A LGPD aplica-se a qualquer operação de tratamento realizada apenas no Brasil. 
 
40. (FUNDATEC / Prefeitura de Imbé – 2020) A nova Lei Geral de Proteção de Dados deverá afetar 
todos os setores da indústria, serviço ou comércio. A legislação determina que todos os dados 
pessoais (informação relacionada à pessoa natural identificada ou identificável, como nome, 
idade, estado civil, documentos) só podem ser coletados mediante o consentimento do usuário. 
Essa lei está sendo chamada de: 
 
a) Medida Protetiva. 
b) LGPD. 
c) Dados. 
d) Código Civil. 
e) CLT. 
 
41. (IADES / CRN3 – 2019) A Lei n° 13.709/2018 (Lei Geral de Proteção de Dados) incide quanto ao 
cadastro de usuários e clientes, alterando a maneira como as organizações devem tratar dados 
pessoais, com vistas a proteger os direitos fundamentais de liberdade e de privacidade e a 
respeitar o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania. 
Considerando o disposto na referida lei, assinale a alternativa correta. 
 
a) Essa lei aplica-se exclusivamente a dados coletados por meio digital. 
 
b) Para os fins dessa lei, considera-se dado pessoal qualquer informação relacionada a pessoa 
física ou jurídica identificada ou identificável. 
 
c) O tratamento de dados pessoais, bem como o compartilhamento desses dados, somente é 
permitido mediante consentimento do titular, salvo casos de exceção previstos na lei. 
 
d) Dados pessoais de crianças podem ser coletados sem consentimento prévio e armazenados 
para fins de contato com os pais ou o responsável legal. 
 
e) O consentimento do tratamento dos dados deve ser fornecido pelo titular antecipadamente 
à coleta dos dados e presume concordância com o compartilhamento dos respectivos dados 
pessoais com entidades parceiras por tempo indeterminado. 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
115
118
42. (IADES / BRB – 2019) Considere que, em um órgão público, foi detectada a necessidade da 
atribuição de responsáveis para manterem registro das operações de tratamento de dados 
pessoais. De acordo com a Lei nº 13.709/2018, quem devem ser esses responsáveis? 
 
a) Os agentes de tratamento de dados e o conselho diretor. 
b) O controlador e o operador. 
c) O presidente da República e o controlador. 
d) A autoridade nacional e o operador. 
e) O governante e a autoridade nacional. 
 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
116
118
==5617c==
GABARITO – DIVERSAS BANCAS 
 
1. LETRA C 
2. ERRADO 
3. ERRADO 
4. CORRETO 
5. ERRADO 
6. CORRETO 
7. LETRA B 
8. CORRETO 
9. LETRA E 
10. LETRA A 
11. LETRA E 
12. LETRA D 
13. CORRETO 
14. ERRADO 
15. CORRETO 
16. LETRA E 
17. LETRA D 
18. LETRA D 
19. LETRA E 
20. LETRA A 
21. LETRA B 
22. LETRA C 
23. LETRA D 
24. LETRA A 
25. LETRA C 
26. LETRA D 
27. LETRA E 
28. CORRETO 
29. ERRADO 
30. CORRETO 
31. ERRADO 
32. ERRADO 
33. LETRA B 
34. LETRA C 
35. LETRA A 
36. LETRA E 
37. LETRA E 
38. LETRA D 
39. LETRA E 
40. LETRA B 
41. LETRA C 
42. LETRA B 
 
 
Fernando Pedrosa Lopes , Thiago Rodrigues Cavalcanti, Erick Muzart Fonseca dos Santos, Paolla Ramos e Silva , Diego Carvalho, Renato da Costa, Equipe Informática e TI
Aula 36 (Profs Diego Carvalho e Fernando Pedrosa)
Concursos da Área Fiscal - Curso Básico de Tecnologia da Informação - 2023
www.estrategiaconcursos.com.br
https://t.me/kakashi_copiador
117
118