2025-03-10-16-26-44-108939825-lei-n-13-709-2018-lei-geral-de-protecao-de-dados-parte-ii-e1741634804

Prévia do material em texto

LEGISLAÇÃO
Lei n. 13.709/2018 – Lei Geral de 
Proteção de Dados – Parte II
Livro Eletrônico
Presidente: Gabriel Granjeiro
Vice-Presidente: Rodrigo Calado
Diretor Pedagógico: Erico Teixeira
Diretora de Produção Educacional: Vivian Higashi
Gerente de Produção Digital: Bárbara Guerra
Coordenadora Pedagógica: Élica Lopes
Todo o material desta apostila (incluídos textos e imagens) está protegido por direitos autorais 
do Gran. Será proibida toda forma de plágio, cópia, reprodução ou qualquer outra forma de 
uso, não autorizada expressamente, seja ela onerosa ou não, sujeitando-se o transgressor às 
penalidades previstas civil e criminalmente.
CÓDIGO:
250113484013
PAULA BERVIAN
Professora e comentarista de questões de cursinhos para concursos. Advogada. 
Apaixonada por aprender e ensinar.
 
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
3 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
SUMÁRIO
Apresentação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II . . . . . . . . . . . . . . . . . . . . . . . . 5
Dos Direitos do Titular . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Do Tratamento de Dados Pessoais pelo Poder Público . . . . . . . . . . . . . . . . . . . . . . . . 7
Da Responsabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Da Transferência Internacional de Dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Dos Agentes de Tratamento de Dados Pessoais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Do Controlador e do Operador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Do Encarregado pelo Tratamento de Dados Pessoais . . . . . . . . . . . . . . . . . . . . . . 13
Da Responsabilidade e do Ressarcimento de Danos . . . . . . . . . . . . . . . . . . . . . . . . . 13
Da Segurança e das Boas Práticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Da Segurança e do Sigilo de Dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Das Boas Práticas e da Governança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
exercícios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Gabarito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Gabarito Comentado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
 
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
4 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
aPReseNTaçãoaPReseNTação
Olá, querido(a) aluno(a)!
Nesta aula, daremos sequência ao estudo da Lei Geral de Proteção de Dados Pessoais 
(Lei n. 13.709/18), estudaremos a segunda parte da Lei.
Vamos estruturar e simplificar o conteúdo, de maneira que seja eficiente para otimizar 
o seu estudo, sem que fique nenhuma lacuna na exposição da matéria.
Querido(a) aluno(a), quero pedir-te uma gentileza rápida e fácil; peço que você avalie 
o conteúdo desta aula. Caso você tenha gostado da forma como apresentei os conteúdos, 
avalie positivamente, sua opinião é muito importante! Entretanto, se você não gostou da 
aula, envie sua crítica e/ou sugestão, ficarei grata em saber a sua opinião e poder, com 
ela, melhorar.
Vamos ao estudo!
Seja imparável!
#SouGran
 
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
5 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
LEI N. 13.709/2018 – LEI GERAL DE PROTEÇÃO DE LEI N. 13.709/2018 – LEI GERAL DE PROTEÇÃO DE 
DADOS – PARTE IIDADOS – PARTE II
Dos DIReITos Do TITULaRDos DIReITos Do TITULaR
Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos 
os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos da LGPD.
O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados 
do titular por ele tratados, a qualquer momento e mediante requisição:
• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados 
em desconformidade com o disposto na LGPD;
• Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição 
expressa, de acordo com a regulamentação da autoridade nacional, observados os 
segredos comercial e industrial;
• Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas 
hipóteses previstas no art. 16 da LGPD;
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos 
limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I – cumprimento de obrigação legal ou regulatória pelo controlador;
II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados 
pessoais;
III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados 
dispostos nesta Lei; ou
IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados 
os dados.
• Informação das entidades públicas e privadas com as quais o controlador realizou 
uso compartilhado de dados;
• Informação sobre a possibilidade de não fornecer consentimento e sobre as 
consequências da negativa;
• Revogação do consentimento;
O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados 
contra o controlador perante a autoridade nacional.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
6 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
Além disso, o titular pode opor-se a tratamento realizado com fundamento em 
uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao 
disposto na LGPD.
Esses direitos serão exercidos mediante requerimento expresso do titular ou de 
representante legalmente constituído, a agente de tratamento.
Destaca-se que, em caso de impossibilidade de adoção imediata da providência de 
acima, o controlador enviará ao titular resposta em que poderá:
• Comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, 
o agente;
• Indicar as razões de fatoapenas a autoridade nacional, pois o titular não precisa ser informado.
b) Informar a autoridade nacional e os titulares afetados, mencionando a natureza dos 
dados comprometidos e os riscos envolvidos.
c) Esperar um período de 90 dias antes de comunicar qualquer incidente de segurança.
d) Adotar medidas corretivas, mas não tem obrigação de informar ninguém.
e) Informar apenas os titulares, sem necessidade de comunicação à autoridade nacional.
030. 030. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre boas práticas e governança na proteção de dados, assinale a alternativa correta:
a) As regras de boas práticas e governança são obrigatórias para todas as empresas.
b) O controlador e o operador podem formular regras de boas práticas e governança para 
demonstrar comprometimento com a proteção de dados.
c) A adoção de regras de boas práticas dispensa a empresa de cumprir outras obrigações 
da LGPD.
d) As boas práticas e governança se aplicam apenas a empresas públicas.
e) O controlador pode definir boas práticas sem necessidade de atualizar periodicamente 
essas regras.
031. 031. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
31 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
Sobre os requisitos que um programa de governança em privacidade deve atender, assinale 
a alternativa correta:
a) Deve demonstrar o compromisso do controlador em adotar processos e políticas internas 
para garantir a proteção de dados pessoais.
b) Pode ser implementado apenas para um conjunto específico de dados pessoais, deixando 
outros sem proteção.
c) Não precisa estabelecer políticas ou salvaguardas para mitigar riscos à privacidade.
d) Deve ser atualizado apenas quando houver um incidente de segurança grave.
e) A implementação do programa de governança é opcional e não pode ser exigida pela 
autoridade nacional.
032. 032. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
De acordo com a LGPD, quais são as possíveis providências que a autoridade nacional pode 
determinar ao controlador em caso de um incidente de segurança de dados?
a) Ampla divulgação do fato em meios de comunicação e adoção de medidas para mitigar 
os efeitos do incidente.
b) Aplicação automática de multa ao controlador, independentemente da gravidade do 
incidente.
c) Proibição definitiva do tratamento de dados pela empresa envolvida.
d) Apenas uma advertência ao controlador, sem necessidade de adoção de medidas.
e) Desconsideração da gravidade do incidente, já que a responsabilidade é exclusiva do 
titular dos dados.
033. 033. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de 
forma a:
a) Atender aos requisitos de segurança, boas práticas, governança e princípios da LGPD.
b) Priorizar a coleta de dados em grande escala, mesmo que sem a devida segurança.
c) Manter registros de dados indefinidamente, sem necessidade de justificativa.
d) Permitir acesso irrestrito aos dados por qualquer funcionário da empresa.
e) Seguir apenas normas internas da empresa, sem necessidade de observância da legislação.
034. 034. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
A autoridade nacional pode estimular a adoção de padrões técnicos para que os titulares 
tenham maior controle sobre seus dados pessoais. Isso significa que:
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
32 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
a) Os titulares devem poder acessar, corrigir e excluir seus dados conforme previsto na LGPD.
b) A autoridade nacional pode impedir os titulares de gerenciar seus próprios dados.
c) As empresas podem definir livremente quais direitos concederão aos titulares dos dados.
d) Os titulares só podem acessar seus dados mediante solicitação judicial.
e) Os controladores podem ignorar os pedidos de acesso aos dados sem justificativa.
035. 035. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
De acordo com a LGPD, um incidente de segurança pode ser considerado grave quando:
a) Envolve dados pessoais sensíveis ou pode causar risco ou dano relevante aos titulares.
b) Apenas quando há vazamento de informações financeiras.
c) Somente se a empresa assumir publicamente que houve falha na segurança.
d) Apenas se o incidente envolver dados pessoais de órgãos públicos.
e) Quando há impacto econômico direto para o titular, independentemente de outros fatores.
036. 036. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular dos dados pessoais pode, a qualquer momento e sem qualquer custo, obter a 
confirmação da existência de tratamento de seus dados junto ao controlador.
037. 037. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
A eliminação dos dados pessoais tratados com o consentimento do titular é um direito 
absoluto, podendo ser exigida em qualquer situação.
038. 038. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular dos dados tem o direito de obter informações sobre as entidades públicas e 
privadas com as quais seus dados foram compartilhados.
039. 039. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular dos dados pessoais pode revogar seu consentimento a qualquer momento, 
independentemente da justificativa.
040. 040. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O direito de acesso aos dados pessoais permite que o titular receba todas as informações 
sobre os dados coletados e seu tratamento, incluindo a finalidade do uso.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
33 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
041. 041. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular pode exigir a portabilidade de seus dados para outro fornecedor de serviço ou 
produto, mesmo que isso comprometa segredos comercial e industrial.
042. 042. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular pode se opor ao tratamento de seus dados realizado sem consentimento, caso 
esse tratamento esteja em desacordo com a legislação.
043. 043. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lein. 
13/709/2018), responda C para certo ou E para errado:
Se o controlador não puder atender imediatamente à solicitação do titular para retificação 
ou eliminação de seus dados, ele não precisa justificar a negativa.
044. 044. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular dos dados pode peticionar contra o controlador perante a autoridade nacional se 
houver descumprimento de seus direitos.
045. 045. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
A confirmação da existência ou o acesso a dados pessoais deve ser fornecido de forma 
simplificada e imediata, sempre que solicitado pelo titular.
046. 046. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
Os dados pessoais dos titulares devem ser armazenados em formato que favoreça o exercício 
do direito de acesso.
047. 047. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
A cópia eletrônica integral dos dados pessoais pode ser solicitada pelo titular apenas se o 
tratamento dos dados tiver ocorrido mediante contrato.
048. 048. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular tem direito a solicitar a revisão de decisões tomadas unicamente com base em 
tratamento automatizado de seus dados.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
34 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
049. 049. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
Caso o controlador alegue segredo comercial e industrial, ele pode negar ao titular informações 
sobre os critérios e procedimentos utilizados em decisões automatizadas.
050. 050. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
Os dados pessoais não podem ser utilizados para prejudicar o exercício regular de direitos 
do titular.
051. 051. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular pode exercer seus direitos de defesa dos dados pessoais em juízo tanto individualmente 
quanto coletivamente.
052. 052. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular pode escolher receber informações sobre seus dados pessoais apenas em meio 
eletrônico.
053. 053. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular pode solicitar que seus dados sejam anonimizados, bloqueados ou eliminados 
quando forem desnecessários ou tratados em desconformidade com a lei.
054. 054. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
Se houver compartilhamento de dados com outras entidades, o controlador deve comunicar 
imediatamente aos envolvidos sobre qualquer correção ou eliminação desses dados.
055. 055. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O direito à portabilidade dos dados inclui informações que já tenham sido anonimizadas 
pelo controlador.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
35 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
GABARITOGABARITO
1. d
2. a
3. a
4. a
5. a
6. c
7. b
8. b
9. d
10. b
11. a
12. a
13. b
14. b
15. a
16. b
17. d
18. a
19. c
20. a
21. b
22. c
23. c
24. b
25. a
26. c
27. a
28. a
29. b
30. b
31. a
32. a
33. a
34. a
35. a
36. C
37. C
38. C
39. C
40. C
41. C
42. C
43. C
44. C
45. C
46. C
47. C
48. C
49. C
50. C
51. C
52. C
53. C
54. C
55. C
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
36 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
GABARITO COMENTADOGABARITO COMENTADO
001. 001. (Q3450387/FGV/TRF 1/ANALISTA JUDICIÁRIO/ÁREA: SEGURANÇA DA INFORMAÇÃO/2024) 
O TRF1 realiza o tratamento de dados pessoais dos usuários dos serviços jurisdicionais, em 
especial, os dados registrados nos processos tramitados no sistema de processo judicial 
eletrônico (PJE). Caso um incidente de segurança comprometa a disponibilidade do sistema 
PJE, a Autoridade Nacional de Proteção de Dados deverá ser comunicada:
a) em até três dias, após confirmada a indisponibilidade do sistema;
b) imediatamente, pois o sistema armazena um grande volume de dados pessoais;
c) imediatamente, se a ocorrência de violação de dados pessoais for confirmada;
d) em até três dias úteis, se a ocorrência de violação de dados pessoais for confirmada e 
acarretar risco ou dano relevante aos titulares;
e) em até três dias úteis, se a ocorrência de violação de dados pessoais for confirmada e o 
titular requerer a confirmação da existência de tratamento.
a) Errada. A LGPD estabelece um prazo de três dias úteis, não apenas três dias corridos, 
para comunicação à ANPD em caso de violação de dados pessoais que gere risco ou dano 
relevante aos titulares (art. 48, caput, da LGPD).
b) Errada. A comunicação à ANPD não deve ser imediata apenas pelo volume de dados 
armazenados, mas sim quando há violação de dados pessoais que possa acarretar riscos 
ou danos relevantes aos titulares (art. 48, caput, da LGPD).
c) Errada. A comunicação deve ocorrer em até três dias úteis, conforme prevê o art. 48 da 
LGPD. A exigência de comunicação imediata não consta na legislação.
d) Certa. De acordo com o art. 48, caput, da LGPD, a comunicação à ANPD deve ocorrer 
em até três dias úteis se houver violação de dados pessoais e esta acarretar risco ou dano 
relevante aos titulares.
e) Errada. A comunicação não depende do requerimento do titular, mas sim da ocorrência 
de violação de dados pessoais com risco ou dano relevante (art. 48, caput, da LGPD).
Letra d.
002. 002. (Q3274740/FGV/TJ MS/TÉCNICO DE NÍVEL SUPERIOR/ÁREA ANALISTA DE SUPORTE 
DE TI/2024) O art. 46 da Lei N. 13.709 (Lei Geral de Proteção de Dados Pessoais), de 14 de 
agosto de 2018, explicita que os agentes de tratamento devem adotar medidas de segurança 
aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou 
ilícitas que gerem destruição, perda, alteração ou comunicação desses dados. A aplicação 
do disposto no Artigo requer que:
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.brhttps://www.gran.com.br
37 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
a) as medidas de segurança sejam observadas a partir da fase de concepção do produto 
ou serviço;
b) a proteção de dados pessoais seja considerada a partir da fase de execução do produto 
ou serviço;
c) os agentes de tratamento sejam notificados pela autoridade nacional dos riscos e sanções 
relacionados ao incidente;
d) o titular seja notificado por e-mail ou telegrama quando os riscos relacionados a incidentes 
de acessos não autorizados puderem afetar a salvaguarda de dados bancários, de saúde 
ou de seus dependentes menores de idade;
e) o controlador notifique os administradores dos sistemas de software envolvidos em 
um incidente para que providenciem, preventivamente, que os usuários alterem suas 
credenciais de acesso.
a) Certa. O art. 46 da LGPD, aliado ao art. 50, estabelece o princípio da privacidade desde 
a concepção (privacy by design), determinando que as medidas de segurança devem ser 
implementadas desde a fase de concepção do produto ou serviço, não apenas durante sua 
execução.
b) Errada. A proteção de dados não deve ser considerada apenas na fase de execução, mas 
desde a concepção do produto ou serviço, conforme prevê o princípio da privacidade desde 
a concepção (art. 46 e art. 50 da LGPD).
c) Errada. A LGPD não prevê que os agentes de tratamento sejam notificados pela ANPD 
sobre riscos e sanções relacionados a incidentes. Cabe aos próprios agentes adotar medidas 
preventivas (art. 46 da LGPD).
d) Errada. A LGPD exige a comunicação ao titular em casos de incidentes relevantes (art. 
48, § 1º, da LGPD), mas não especifica que isso deve ser feito por e-mail ou telegrama, nem 
que deve ser limitado a dados bancários, de saúde ou de dependentes menores de idade.
e) Errada. O controlador deve adotar medidas para mitigar riscos, mas a LGPD não obriga 
a notificação preventiva aos administradores dos sistemas para que os usuários alterem 
suas credenciais (art. 46 da LGPD).
Letra a.
003. 003. (Q3242075/VUNESP/SPTRANS/MÉDICO DO TRABALHO/2024) Operador de dados de 
empresa pública acessou dados sensíveis dos usuários com a intenção de comercializá-los. 
Considerando as disposições da Lei Geral de Proteção de Dados (LGPD), é correto afirmar 
que, no caso de danos causados pelo tratamento de dados,
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
38 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
a) o operador responde solidariamente com o controlador.
b) o controlador se responsabiliza integralmente.
c) o controlador responde subsidiariamente com o operador.
d) o operador responde integralmente caso o dano seja decorrente de culpa exclusiva do 
titular dos dados ou de terceiro.
e) o controlador responde por meio de sua pessoa jurídica, cuja responsabilização do 
operador, por sua vez, repercute em sua relação trabalhista.
a) Certa. De acordo com o art. 42, § 1º, da LGPD, o operador e o controlador são solidariamente 
responsáveis quando há violação das normas de proteção de dados e danos decorrentes 
do tratamento indevido.
b) Errada. O controlador não responde integralmente sozinho, pois a LGPD prevê 
responsabilidade solidária entre controlador e operador, exceto se o operador demonstrar 
que seguiu estritamente as instruções do controlador (art. 42, § 1º, da LGPD).
c) Errada. A responsabilidade não é subsidiária, mas solidária, conforme o art. 42, § 1º, da 
LGPD, salvo se o operador comprovar que apenas seguiu as instruções do controlador.
d) Errada. A culpa exclusiva do titular dos dados ou de terceiro pode excluir a responsabilidade 
do controlador ou operador (art. 43, II, da LGPD), mas isso não implica que o operador 
responderia integralmente nesses casos.
e) Errada. A responsabilização do operador não está ligada à relação trabalhista, mas sim 
às disposições da LGPD sobre responsabilidade solidária e danos causados pelo tratamento 
de dados (art. 42 e art. 43 da LGPD).
Letra a.
004. 004. (Q3195105/CESPE/CEBRASPE/APEX BRASIL/ANALISTA DE SEGURANÇA DA 
INFORMAÇÃO/2024) De acordo com a LGPD, é responsabilidade do encarregado de dados
a) receber comunicações da autoridade nacional e adotar providências.
b) obter consentimento específico do titular de dados para compartilhar dados pessoais 
com outros controladores.
c) criar o relatório de impacto à proteção de dados pessoais.
d) manter registro das operações de tratamento de dados pessoais que realizar.
a) Certa. De acordo com o art. 41, § 2º, inciso II, da LGPD, o encarregado é responsável 
por receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar 
providências necessárias.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
39 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
b) Errada. O consentimento do titular para compartilhamento de dados é uma responsabilidade 
do controlador, conforme o art. 7º e art. 8º da LGPD. O encarregado não tem essa atribuição.
c) Errada. A elaboração do relatório de impacto à proteção de dados pessoais é de 
responsabilidade do controlador, conforme o art. 38 da LGPD. O encarregado pode auxiliar, 
mas não é responsável direto pela criação do relatório.
d) Errada. O registro das operações de tratamento de dados pessoais é uma obrigação do 
controlador e do operador, conforme o art. 37 da LGPD. O encarregado não tem essa função.
Letra a.
005. 005. (Q3517330/FGV/TJ RR/ANALISTA/ÁREA: GESTÃO E GOVERNANÇA DE TECNOLOGIA DA 
INFORMAÇÃO/2024) De acordo com a Lei Geral de Proteção de Dados (LGPD), especificamente 
o art. 38, o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) tem como conteúdo 
mínimo obrigatório
a) a descrição dos tipos de dados coletados; metodologia utilizada para a coleta e para a 
garantia da segurança das informações; e análise do controlador sobre medidas, salvaguardas 
e mecanismos de mitigação de risco adotados.
b) a descrição das finalidades específicas do tratamento de dados; metodologia utilizada 
para a coleta e para a garantia da segurança das informações; e informações sobre o 
compartilhamento de dados com terceiros.
c) a descrição dos tipos de dados coletados; políticas internas de recursos humanos; e 
informações sobre o compartilhamento de dados com terceiros.
d) a lista dos consentimentos obtidos dos titulares; métodos para revogação do consentimento; 
e detalhes sobre a oposição ao tratamento de dados pessoais.
e) o resumo das solicitações de eliminação de dados pessoais; mecanismos para anonimização 
de dados; e análise do controlador sobre medidas, salvaguardas e mecanismos de mitigação 
de risco adotados.
a) Certa. De acordo com o art. 38 da LGPD, o Relatório de Impacto à Proteção de Dados 
Pessoais (RIPD) deve conter, no mínimo: descrição dos tipos de dados coletados, metodologia 
utilizada para a coleta e para garantir a segurança das informações, além de uma análise 
do controlador sobre medidas, salvaguardas e mecanismos de mitigação de risco adotados.
b) Errada. Apesar de a descrição das finalidades do tratamento ser essencial, o art. 38 da 
LGPD não menciona expressamente a exigência de informações sobre compartilhamento 
de dados com terceiros no conteúdo mínimo obrigatório do RIPD.
c) Errada. O relatório deve focar na proteção dos dados pessoais e nas medidasde mitigação 
de riscos, não sendo exigido que inclua políticas internas de recursos humanos.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
40 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
d) Errada. O RIPD não se concentra apenas em consentimentos e métodos de revogação, 
mas sim na análise de impactos e riscos associados ao tratamento de dados.
e) Errada. Embora a anonimização de dados seja uma prática relevante, o RIPD não exige 
um resumo das solicitações de eliminação de dados pessoais como conteúdo obrigatório.
Letra a.
006. 006. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
De acordo com a legislação vigente, os titulares de dados pessoais possuem o direito 
fundamental à liberdade, à intimidade e à privacidade. Nesse contexto, é correto afirmar 
que:
a) Os direitos do titular sobre seus dados pessoais incluem apenas a confirmação da 
existência de tratamento e o acesso aos dados.
b) A eliminação de dados pessoais tratados com consentimento do titular é garantida em 
qualquer circunstância, independentemente de outros fatores.
c) O titular dos dados pode, a qualquer momento, exigir que seus dados sejam anonimizados, 
bloqueados ou eliminados quando forem desnecessários, excessivos ou estiverem sendo 
tratados em desconformidade com a legislação.
d) A revogação do consentimento pelo titular dos dados só pode ser solicitada mediante 
ação judicial específica.
e) O titular dos dados não tem direito de solicitar informações sobre entidades públicas e 
privadas com as quais seus dados foram compartilhados.
a) Errada. O titular possui uma série de direitos além da confirmação da existência do 
tratamento e do acesso aos dados, incluindo correção, anonimização, bloqueio, eliminação, 
portabilidade, entre outros (§ 1º do art. 18).
b) Errada. A eliminação dos dados pessoais tratados com consentimento do titular tem 
exceções, como os casos previstos no art. 16 da lei, que podem impedir a eliminação (art. 
18, VI).
c) Certa. O titular tem direito à anonimização, bloqueio ou eliminação de dados que forem 
desnecessários, excessivos ou tratados em desconformidade com a LGPD (art. 18, IV).
d) Errada. A revogação do consentimento pode ser realizada pelo titular a qualquer momento, 
sem necessidade de ação judicial (art. 18, IX).
e) Errada. O titular tem o direito de ser informado sobre entidades públicas e privadas com 
as quais seus dados foram compartilhados (art. 18, VII).
Letra c.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
41 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
007. 007. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
A respeito do acesso a dados pessoais, é correto afirmar que:
a) O titular dos dados pode solicitar a confirmação da existência de tratamento de seus 
dados, mas essa solicitação será atendida apenas mediante decisão judicial.
b) A autoridade nacional pode estabelecer prazos diferentes para a confirmação de existência 
e o acesso a dados pessoais em setores específicos.
c) O fornecimento de informações sobre a origem dos dados e os critérios utilizados para 
o tratamento deve ser feito exclusivamente por meio eletrônico.
d) O direito de acesso aos dados pode ser negado caso a empresa alegue segredo comercial 
ou industrial.
e) O prazo máximo para fornecimento de declaração completa sobre os dados do titular é 
de 30 dias, contados a partir da data do requerimento.
a) Errada. A solicitação de confirmação da existência de tratamento pode ser feita diretamente 
ao controlador e não depende de decisão judicial (art. 19).
b) Certa. A autoridade nacional pode dispor de forma diferenciada sobre os prazos para 
setores específicos (art. 19, § 4º).
c) Errada. As informações podem ser fornecidas tanto por meio eletrônico quanto impresso, 
a critério do titular (art. 19, § 2º).
d) Errada. A empresa não pode negar o direito de acesso do titular sob a alegação de segredo 
comercial ou industrial (art. 19).
e) Errada. O prazo máximo para fornecer uma declaração completa sobre os dados é de 15 
dias (art. 19, II).
Letra b.
008. 008. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre a portabilidade dos dados pessoais, assinale a alternativa correta:
a) A portabilidade dos dados permite que o titular solicite a transferência de seus dados 
a qualquer fornecedor de serviço ou produto, independentemente de regulamentação 
específica.
b) Dados anonimizados pelo controlador não estão sujeitos ao direito de portabilidade.
c) O direito à portabilidade dos dados pode ser exercido sem necessidade de regulamentação 
pela autoridade nacional.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
42 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
d) A portabilidade dos dados pessoais inclui necessariamente os dados protegidos por 
segredo comercial e industrial.
e) A portabilidade não pode ser requerida por meio de representante legal.
a) Errada. A portabilidade depende de regulamentação específica e deve observar segredos 
comercial e industrial (art. 18, V).
b) Certa. A portabilidade não se aplica a dados que já tenham sido anonimizados pelo 
controlador (art. 18, § 7º).
c) Errada. A portabilidade depende de regulamentação da autoridade nacional (art. 18, V).
d) Errada. A portabilidade não pode incluir dados protegidos por segredo comercial e 
industrial (art. 18, V).
e) Errada. O direito à portabilidade pode ser exercido pelo titular ou por seu representante 
legal (art. 18, § 3º).
Letra b.
009. 009. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
O titular dos dados pessoais pode peticionar contra o controlador perante:
a) Apenas o Poder Judiciário.
b) Apenas a autoridade nacional.
c) Apenas os órgãos de defesa do consumidor.
d) A autoridade nacional e os organismos de defesa do consumidor.
e) Nenhuma dessas opções.
a) Errada. O titular pode peticionar diretamente à autoridade nacional sem precisar recorrer 
ao Judiciário (art. 18, § 1º).
b) Errada. Além da autoridade nacional, o titular pode exercer seu direito perante os órgãos 
de defesa do consumidor (art. 18, § 8º).
c) Errada. A defesa pode ser feita também perante a autoridade nacional (art. 18, § 1º).
d) Certa. A lei garante que o titular pode peticionar tanto à autoridade nacional quanto 
aos órgãos de defesa do consumidor (art. 18, §§ 1º e 8º).
e) Errada. O titular tem direito a peticionar em múltiplas instâncias (art. 18, §§ 1º e 8º).
Letra d.
010. 010. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.brhttps://www.gran.com.br
43 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
Sobre a eliminação de dados pessoais, assinale a alternativa correta:
a) O titular pode exigir a eliminação de seus dados pessoais a qualquer momento, sem 
exceções.
b) A eliminação dos dados pessoais tratados com consentimento do titular pode ser recusada 
caso se enquadre nas hipóteses previstas na legislação.
c) A lei não prevê hipóteses de retenção de dados pessoais após a revogação do consentimento.
d) O controlador pode negar o pedido de eliminação de dados, independentemente de 
justificativa.
e) O direito à eliminação de dados não se aplica a dados compartilhados com entidades 
públicas.
a) Errada. A eliminação não é um direito absoluto, pois há exceções previstas na lei (art. 
18, VI e art. 16).
b) Certa. A eliminação pode ser recusada em determinadas hipóteses legais, como 
cumprimento de obrigação legal ou regulatória (art. 18, VI e art. 16).
c) Errada. A legislação prevê hipóteses em que os dados podem ser mantidos, mesmo após 
a revogação do consentimento (art. 16).
d) Errada. O controlador deve justificar a negativa ao titular (art. 18, § 4º, II).
e) Errada. Não há previsão de exclusão automática desse direito para dados compartilhados 
com entidades públicas (art. 18).
Letra b.
011. 011. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
O titular dos dados pode solicitar informações sobre o compartilhamento de seus dados 
com terceiros. Nesse contexto, assinale a alternativa correta:
a) O titular pode exigir que o controlador informe com quais entidades públicas e privadas 
seus dados foram compartilhados.
b) O controlador não é obrigado a informar sobre o compartilhamento de dados pessoais.
c) O direito à informação sobre o compartilhamento de dados depende de decisão judicial.
d) Apenas órgãos públicos devem prestar informações sobre compartilhamento de dados, 
não sendo uma obrigação para empresas privadas.
e) O titular pode ser cobrado para obter informações sobre compartilhamento de dados.
a) Certa. O titular tem direito a ser informado sobre quais entidades tiveram acesso aos 
seus dados (art. 18, VII).
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
44 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
b) Errada. O controlador tem o dever de fornecer essa informação (art. 18, VII).
c) Errada. O titular pode solicitar diretamente essa informação ao controlador, sem 
necessidade de decisão judicial (art. 18, VII).
d) Errada. Tanto entidades públicas quanto privadas devem prestar essas informações 
(art. 18, VII).
e) Errada. O atendimento ao requerimento do titular deve ser gratuito (art. 18, § 5º).
Letra a.
012. 012. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre a revisão de decisões automatizadas, é correto afirmar que:
a) O titular dos dados tem direito a solicitar revisão de decisões tomadas exclusivamente 
com base em tratamento automatizado que afetem seus interesses.
b) O controlador pode recusar o pedido de revisão do titular caso o tratamento automatizado 
tenha sido realizado com base em contrato.
c) A revisão de decisões automatizadas só pode ser solicitada se envolver dados financeiros.
d) O titular dos dados não tem direito a questionar decisões tomadas por algoritmos, pois 
elas são imparciais.
e) A revisão de decisões automatizadas é permitida apenas para empresas do setor financeiro.
a) Certa. O titular tem direito a solicitar a revisão de decisões automatizadas que afetem 
seus interesses (art. 20).
b) Errada. O controlador não pode negar o direito de revisão baseado em contrato (art. 20).
c) Errada. O direito à revisão não se limita a dados financeiros, podendo envolver outros 
aspectos da personalidade do titular (art. 20).
d) Errada. O titular tem direito a contestar decisões automatizadas, pois algoritmos podem 
conter vieses (art. 20, § 2º).
e) Errada. Esse direito se aplica a todas as empresas que realizam tratamento automatizado 
de dados (art. 20).
Letra a.
013. 013. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre o tratamento de dados pessoais pelo Poder Público, assinale a alternativa correta:
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
45 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
a) O Poder Público pode tratar dados pessoais livremente, sem necessidade de justificativa 
legal.
b) O tratamento de dados pelo Poder Público deve ter uma finalidade pública e respeitar 
os princípios de proteção de dados.
c) O Poder Público pode transferir livremente dados pessoais a entidades privadas.
d) O tratamento de dados pelo Poder Público dispensa qualquer obrigação de transparência 
ao titular.
e) Os órgãos públicos não precisam nomear um encarregado para tratamento de dados 
pessoais.
a) Errada. O tratamento de dados pelo Poder Público deve atender a uma finalidade pública 
específica (art. 23).
b) Certa. O tratamento deve respeitar os princípios da LGPD e ter uma finalidade pública 
clara (art. 23, caput).
c) Errada. O Poder Público não pode transferir livremente dados a entidades privadas (art. 
26, § 1º).
d) Errada. A transparência é um requisito fundamental para o tratamento de dados pelo 
Poder Público (art. 23, I).
e) Errada. O Poder Público deve indicar um encarregado para tratamento de dados (art. 
23, III).
Letra b.
014. 014. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
No caso de infração à LGPD por um órgão público, qual medida pode ser adotada pela 
autoridade nacional?
a) A aplicação imediata de multa.
b) O envio de informe com medidas cabíveis para cessar a violação.
c) A revogação automática de todas as autorizações de tratamento de dados do órgão 
infrator.
d) A proibição definitiva do uso de qualquer dado pessoal pelo órgão.
e) A extinção do órgão infrator.
a) Errada. A LGPD não prevê a aplicação de multa para órgãos públicos, mas sim a recomendação 
de medidas corretivas (art. 31).
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
46 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
b) Certa. A autoridade nacional pode enviar um informe com medidas para cessar a infração 
(art. 31).
c) Errada. A revogação total de autorizações não é prevista como penalidade automática 
(art. 31).
d) Errada. A proibição total do uso de dados não é a primeira medida adotada (art. 31).
e) Errada. A LGPD não prevê a extinção de órgãos infratores (art. 31).
Letra b.
015. 015. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre o uso compartilhado de dados pessoais pelo Poder Público, assinale a alternativa 
correta:
a) O compartilhamento de dados pelo Poder Público deve atender a finalidades específicas 
de execução de políticas públicas.
b) O Poder Públicopode compartilhar qualquer dado pessoal sem restrições.
c) O compartilhamento de dados entre órgãos públicos não está sujeito à LGPD.
d) Dados pessoais compartilhados pelo Poder Público podem ser usados para qualquer 
finalidade, sem necessidade de justificativa.
e) O compartilhamento de dados entre órgãos públicos e privados não precisa ser informado 
à autoridade nacional.
a) Certa. O compartilhamento de dados pelo Poder Público deve ser justificado por finalidades 
específicas de execução de políticas públicas (art. 26, caput).
b) Errada. O compartilhamento deve respeitar restrições e finalidades específicas (art. 26).
c) Errada. O compartilhamento de dados entre órgãos públicos está sujeito à LGPD (art. 26).
d) Errada. Os dados só podem ser compartilhados para finalidades específicas (art. 26).
e) Errada. O compartilhamento deve ser informado à autoridade nacional (art. 27).
Letra a.
016. 016. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre a transferência internacional de dados pessoais, assinale a alternativa correta:
a) A transferência internacional de dados pode ocorrer livremente, sem necessidade de 
observar requisitos legais.
b) Para que a transferência internacional ocorra, é necessário que o país de destino tenha 
nível de proteção adequado ao previsto na legislação brasileira ou que sejam oferecidas 
garantias de cumprimento da LGPD.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
47 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
c) O consentimento do titular dos dados é dispensável em qualquer hipótese de transferência 
internacional.
d) Apenas os organismos internacionais podem solicitar a transferência internacional de 
dados.
e) A transferência internacional de dados não pode ser realizada para cooperação jurídica 
internacional.
a) Errada. A transferência internacional de dados deve atender a requisitos específicos 
previstos na LGPD (art. 33).
b) Certa. A legislação permite a transferência internacional quando há proteção adequada 
no país de destino ou quando o controlador oferece garantias específicas (art. 33, I e II).
c) Errada. Em algumas situações, o consentimento é necessário (art. 33, VIII), mas há exceções.
d) Errada. A transferência pode ser realizada por diversos agentes, não apenas por organismos 
internacionais.
e) Errada. A transferência é permitida quando necessária para a cooperação jurídica 
internacional (art. 33, III).
Letra b.
017. 017. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
O nível de proteção de dados pessoais de um país estrangeiro será avaliado pela autoridade 
nacional com base nos seguintes critérios, exceto:
a) A legislação vigente no país de destino.
b) A adoção de medidas de segurança previstas na regulamentação.
c) A existência de garantias judiciais e institucionais.
d) A quantidade de usuários que utilizam serviços no país de destino.
e) A observância dos princípios gerais da proteção de dados pessoais.
a) Certa. O nível de proteção de um país deve levar em conta sua legislação específica (art. 
34, I).
b) Certa. A adoção de medidas de segurança é um dos critérios analisados (art. 34, IV).
c) Certa. A existência de garantias judiciais e institucionais é fundamental (art. 34, V).
d) Errada. A quantidade de usuários em um país não é um critério para avaliação de proteção 
de dados.
e) Certa. A observância dos princípios gerais da LGPD é essencial na avaliação (art. 34, III).
Letra d.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
48 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
018. 018. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
A respeito da exigência de cláusulas contratuais e outras garantias para transferência 
internacional de dados, assinale a alternativa correta:
a) A definição do conteúdo das cláusulas-padrão contratuais será feita pela autoridade 
nacional.
b) O controlador pode estabelecer cláusulas contratuais de forma livre, sem qualquer 
necessidade de aprovação regulatória.
c) Não há exigências para normas corporativas globais em transferências internacionais 
de dados.
d) O operador de dados pode elaborar cláusulas específicas sem supervisão do controlador.
e) A transferência de dados por meio de cláusulas contratuais não pode ser analisada pela 
autoridade nacional.
a) Certa. A autoridade nacional é responsável por definir as cláusulas contratuais que 
garantem a proteção de dados (art. 35, caput).
b) Errada. As cláusulas devem seguir requisitos regulatórios e podem ser verificadas pela 
autoridade nacional (art. 35, § 2º).
c) Errada. Normas corporativas globais também são submetidas à análise regulatória (art. 
35, caput).
d) Errada. O operador deve seguir as instruções do controlador, que é responsável por 
garantir a conformidade (art. 39).
e) Errada. A autoridade nacional pode analisar as cláusulas contratuais (art. 35, caput).
Letra a.
019. 019. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre a responsabilidade dos agentes de tratamento de dados, assinale a alternativa correta:
a) O operador é sempre responsável pelos danos causados no tratamento de dados.
b) Apenas o controlador pode ser responsabilizado por danos ao titular.
c) O operador pode responder solidariamente pelos danos causados caso descumpra as 
obrigações da legislação.
d) O operador nunca responde solidariamente pelos danos causados ao titular dos dados.
e) A responsabilidade do controlador e do operador independe da existência de dano 
ao titular.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
49 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
a) Errada. O operador só responde se descumprir obrigações da legislação ou instruções 
do controlador (art. 42, § 1º, I).
b) Errada. O operador também pode ser responsabilizado em determinadas situações (art. 
42, § 1º, I).
c) Certa. O operador responde solidariamente quando não cumprir as obrigações ou não 
seguir as instruções do controlador (art. 42, § 1º, I).
d) Errada. A solidariedade pode ocorrer, dependendo do caso (art. 42, § 1º, I).
e) Errada. A responsabilidade está ligada à existência de dano ao titular (art. 42).
Letra c.
020. 020. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
O relatório de impacto à proteção de dados pessoais deve conter, obrigatoriamente:
a) Informações sobre os tipos de dados coletados e a metodologia utilizada.
b) Apenas uma descrição geral da política de proteção de dados da empresa.
c) Somente informações relativas ao consentimento do titular dos dados.
d) Detalhamento de cada dado processado, sem exceção.
e) Uma relação de todas as pessoas que acessaram os dados nos últimos cinco anos.
a) Certa. O relatório deve conter a descrição dos dados coletados e a metodologia usada 
para coleta e segurança (art.38, parágrafo único).
b) Errada. O relatório deve ser detalhado e não apenas uma descrição geral da política de 
proteção de dados (art. 38).
c) Errada. O relatório precisa abranger mais do que o consentimento, incluindo riscos e 
medidas adotadas (art. 38).
d) Errada. Nem todos os dados processados precisam ser detalhados individualmente, mas 
sim a metodologia e os tipos de dados coletados (art. 38).
e) Errada. Não há exigência de um histórico de acesso aos dados por cinco anos (art. 38).
Letra a.
021. 021. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre o papel do encarregado pelo tratamento de dados pessoais, assinale a alternativa 
correta:
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
50 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
a) A indicação do encarregado é facultativa para qualquer tipo de controlador.
b) O encarregado tem a função de receber reclamações e comunicações dos titulares e 
adotar providências.
c) A identidade do encarregado pode ser mantida em sigilo para evitar contato direto com 
os titulares.
d) O encarregado é responsável por definir as diretrizes gerais de proteção de dados na 
empresa.
e) A legislação não prevê a possibilidade de dispensa da necessidade de um encarregado.
a) Errada. A indicação do encarregado é obrigatória, salvo hipóteses de dispensa estabelecidas 
pela autoridade nacional (art. 41, caput e § 3º).
b) Certa. O encarregado tem como função aceitar reclamações, prestar esclarecimentos e 
adotar providências sobre a proteção de dados (art. 41, § 2º, I).
c) Errada. A identidade e as informações de contato do encarregado devem ser divulgadas 
publicamente (art. 41, § 1º).
d) Errada. O encarregado não define diretrizes gerais, mas sim executa as diretrizes 
estabelecidas pelo controlador (art. 41, § 2º).
e) Errada. A legislação prevê que a autoridade nacional pode estabelecer normas para 
dispensar a necessidade de um encarregado em certos casos (art. 41, § 3º).
Letra b.
022. 022. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre a responsabilidade dos agentes de tratamento de dados, assinale a alternativa correta:
a) O controlador responde exclusivamente pelos danos causados pelo tratamento de dados 
pessoais.
b) O operador só será responsabilizado se houver dolo comprovado na violação dos dados.
c) O controlador e o operador podem ser responsabilizados pelos danos causados ao titular 
dos dados.
d) A responsabilidade do operador é sempre subsidiária, não sendo possível sua 
responsabilização direta.
e) Apenas controladores públicos podem ser responsabilizados por violações de dados 
pessoais.
a) Errada. O operador também pode ser responsabilizado em determinadas circunstâncias 
(art. 42, § 1º, I).
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
51 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
b) Errada. O operador responde não apenas por dolo, mas também se descumprir obrigações 
da LGPD (art. 42, § 1º).
c) Certa. O controlador e o operador podem ser responsabilizados solidariamente pelos 
danos causados ao titular (art. 42, § 1º, I e II).
d) Errada. A responsabilidade do operador pode ser direta se ele descumprir obrigações ou 
instruções do controlador (art. 42, § 1º, I).
e) Errada. Qualquer controlador ou operador, público ou privado, pode ser responsabilizado 
(art. 42).
Letra c.
023. 023. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre o tratamento irregular de dados pessoais, assinale a alternativa correta:
a) O tratamento de dados será considerado irregular apenas se houver vazamento de 
informações.
b) Para que um tratamento seja considerado irregular, é necessário que o controlador tenha 
agido de má-fé.
c) O tratamento de dados será irregular quando não fornecer a segurança esperada pelo 
titular.
d) O tratamento de dados é sempre regular se o titular tiver dado consentimento.
e) A irregularidade no tratamento de dados ocorre apenas quando há prejuízo financeiro 
ao titular.
a) Errada. O tratamento pode ser irregular mesmo sem vazamento de dados, se não atender 
à legislação (art. 44).
b) Errada. O tratamento pode ser irregular independentemente de má-fé do controlador 
(art. 44).
c) Certa. O tratamento será irregular quando não oferecer a segurança que o titular pode 
esperar (art. 44).
d) Errada. O consentimento não torna o tratamento automaticamente regular se houver 
outras violações à LGPD (art. 44).
e) Errada. A irregularidade pode ocorrer mesmo sem prejuízo financeiro, bastando que não 
sejam atendidos os requisitos da LGPD (art. 44).
Letra c.
024. 024. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
52 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
A respeito da transferência internacional de dados, assinale a alternativa correta:
a) A transferência internacional de dados pode ocorrer livremente se houver um contrato 
entre as partes.
b) A autoridade nacional pode avaliar se um país estrangeiro proporciona nível adequado 
de proteção de dados.
c) A transferência internacional só pode ocorrer com o consentimento do titular dos dados.
d) O uso de cláusulas-padrão contratuais impede a necessidade de fiscalização pela 
autoridade nacional.
e) A LGPD proíbe qualquer forma de transferência internacional de dados.
a) Errada. A existência de um contrato não isenta a necessidade de atender aos requisitos 
legais (art. 33, II).
b) Certa. A autoridade nacional é responsável por avaliar o nível de proteção de um país 
estrangeiro (art. 34).
c) Errada. O consentimento é uma das possibilidades, mas há outras hipóteses permitidas 
pela legislação (art. 33).
d) Errada. As cláusulas contratuais podem ser analisadas pela autoridade nacional (art. 
35, § 2º).
e) Errada. A transferência é permitida quando cumpridos os requisitos estabelecidos na 
lei (art. 33).
Letra b.
025. 025. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre a responsabilidade no tratamento de dados, assinale a alternativa correta:
a) O controlador ou operador que causar dano patrimonial ou moral a terceiros é obrigado 
a repará-lo.
b) Apenas o controlador responde pelos danos causados no tratamento de dados pessoais.
c) O operador de dados só será responsabilizado em caso de falha técnica comprovada.
d) A inversão do ônus da prova nunca é permitida em ações de responsabilidade por 
tratamento de dados.
e) Apenas pessoas jurídicas podem ser responsabilizadas pelo tratamento indevido de dados.
a) Certa. O controlador ou operador deve reparar danos patrimoniais, morais, individuais 
ou coletivos causados pelo tratamento inadequado de dados (art. 42).
b) Errada. O operador também pode ser responsabilizado solidariamente (art. 42, § 1º, I).
O conteúdo destelivro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
53 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
c) Errada. A responsabilidade do operador não se limita a falhas técnicas (art. 42, § 1º).
d) Errada. O juiz pode inverter o ônus da prova a favor do titular dos dados em determinadas 
circunstâncias (art. 42, § 2º).
e) Errada. Tanto pessoas jurídicas quanto físicas podem ser responsabilizadas pelo tratamento 
irregular de dados (art. 42).
Letra a.
026. 026. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
De acordo com a LGPD, quem deve reparar os danos causados ao titular dos dados em caso 
de violação da legislação de proteção de dados pessoais?
a) Apenas o controlador, pois ele é o único responsável pelo tratamento de dados.
b) Apenas o operador, caso ele tenha seguido as instruções do controlador.
c) Tanto o controlador quanto o operador, caso tenham violado a legislação ou descumprido 
suas obrigações.
d) Nenhum dos dois, pois o titular dos dados deve provar dolo para obter reparação.
e) Apenas a empresa controladora, excluindo-se os seus operadores e terceirizados.
a) Errada. O operador também pode ser responsabilizado solidariamente se descumprir 
suas obrigações (art. 42, § 1º).
b) Errada. O operador não será responsabilizado apenas se tiver seguido corretamente as 
instruções do controlador e cumprido a legislação (art. 43).
c) Certa. O controlador e o operador podem ser responsabilizados pelos danos causados 
ao titular, dependendo da circunstância (art. 42, caput e § 1º).
d) Errada. O dolo não é um requisito obrigatório para a responsabilização (art. 42).
e) Errada. O operador também pode ser responsabilizado se houver falha no cumprimento 
da legislação (art. 42, § 1º, I).
Letra c.
027. 027. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre a inversão do ônus da prova em ações relacionadas ao tratamento de dados pessoais, 
assinale a alternativa correta:
a) O juiz poderá inverter o ônus da prova se for verossímil a alegação do titular e houver 
hipossuficiência para produção de provas.
b) A inversão do ônus da prova nunca é permitida na proteção de dados pessoais.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
54 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
c) A inversão do ônus da prova só ocorre se o titular comprovar que a empresa agiu de má-fé.
d) O titular dos dados deve sempre comprovar que sofreu dano, sem exceções.
e) A inversão do ônus da prova ocorre automaticamente sempre que há um incidente de 
segurança.
a) Certa. O juiz pode inverter o ônus da prova se houver hipossuficiência do titular ou se a 
produção de prova for excessivamente onerosa (art. 42, § 2º).
b) Errada. A inversão do ônus da prova é prevista na legislação (art. 42, § 2º).
c) Errada. A inversão não exige comprovação de má-fé da empresa (art. 42, § 2º).
d) Errada. Em alguns casos, o titular pode ser beneficiado pela inversão do ônus da prova 
(art. 42, § 2º).
e) Errada. A inversão do ônus da prova não é automática em incidentes de segurança (art. 
42, § 2º).
Letra a.
028. 028. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre os requisitos de segurança para tratamento de dados pessoais, assinale a alternativa 
correta:
a) Os agentes de tratamento devem adotar medidas de segurança para proteger os dados 
pessoais contra acessos não autorizados e incidentes acidentais ou ilícitos.
b) As medidas de segurança são facultativas e podem ser dispensadas caso o controlador 
confie na idoneidade de seus operadores.
c) A segurança dos dados é de responsabilidade exclusiva do operador, e não do controlador.
d) O sigilo dos dados pessoais pode ser dispensado caso a empresa alegue dificuldades 
operacionais na implementação de medidas de proteção.
e) A adoção de medidas de segurança é obrigatória apenas para dados sensíveis.
a) Certa. A LGPD exige que os agentes de tratamento adotem medidas técnicas e 
administrativas para garantir a segurança dos dados (art. 46).
b) Errada. As medidas de segurança são obrigatórias e não dependem da confiança do 
controlador no operador (art. 46).
c) Errada. O controlador também é responsável pela segurança dos dados (art. 46).
d) Errada. O sigilo dos dados não pode ser dispensado por dificuldades operacionais (art. 46).
e) Errada. A segurança deve ser garantida para todos os dados pessoais, não apenas os 
sensíveis (art. 46).
Letra a.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
55 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
029. 029. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Quando ocorre um incidente de segurança que possa acarretar risco ou dano relevante aos 
titulares, o controlador deve:
a) Comunicar apenas a autoridade nacional, pois o titular não precisa ser informado.
b) Informar a autoridade nacional e os titulares afetados, mencionando a natureza dos 
dados comprometidos e os riscos envolvidos.
c) Esperar um período de 90 dias antes de comunicar qualquer incidente de segurança.
d) Adotar medidas corretivas, mas não tem obrigação de informar ninguém.
e) Informar apenas os titulares, sem necessidade de comunicação à autoridade nacional.
a) Errada. O controlador deve informar tanto a autoridade nacional quanto os titulares 
afetados (art. 48, caput).
b) Certa. A comunicação deve ser feita à autoridade nacional e aos titulares afetados, 
mencionando detalhes como a natureza dos dados comprometidos e os riscos envolvidos 
(art. 48, § 1º).
c) Errada. O prazo deve ser razoável e conforme definido pela autoridade nacional (art. 48, 
§ 1º).
d) Errada. O controlador deve, obrigatoriamente, informar a autoridade nacional e os 
titulares (art. 48, caput).
e) Errada. A comunicação à autoridade nacional também é obrigatória (art. 48).
Letra b.
030. 030. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre boas práticas e governança na proteção de dados, assinale a alternativa correta:
a) As regras de boas práticas e governança são obrigatórias para todas as empresas.
b) O controlador e o operador podem formular regras de boas práticas e governança para 
demonstrar comprometimento com a proteção de dados.
c) A adoção de regras de boas práticas dispensa a empresa de cumprir outras obrigações 
da LGPD.
d) As boas práticas e governança se aplicam apenas a empresas públicas.
e) O controlador pode definir boas práticas sem necessidade de atualizar periodicamente 
essas regras.
a) Errada. A adoção de boas práticas é incentivada, mas não é obrigatória para todas as 
empresas (art. 50).
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.brhttps://www.gran.com.br
56 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
b) Certa. Controladores e operadores podem estabelecer regras para demonstrar 
comprometimento com a proteção de dados (art. 50).
c) Errada. A adoção de boas práticas não exime a empresa de cumprir a LGPD (art. 50).
d) Errada. As boas práticas e governança se aplicam tanto a empresas públicas quanto 
privadas (art. 50).
e) Errada. As regras de boas práticas devem ser atualizadas periodicamente (art. 50, § 3º).
Letra b.
031. 031. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre os requisitos que um programa de governança em privacidade deve atender, assinale 
a alternativa correta:
a) Deve demonstrar o compromisso do controlador em adotar processos e políticas internas 
para garantir a proteção de dados pessoais.
b) Pode ser implementado apenas para um conjunto específico de dados pessoais, deixando 
outros sem proteção.
c) Não precisa estabelecer políticas ou salvaguardas para mitigar riscos à privacidade.
d) Deve ser atualizado apenas quando houver um incidente de segurança grave.
e) A implementação do programa de governança é opcional e não pode ser exigida pela 
autoridade nacional.
a) Certa. O programa deve demonstrar o compromisso do controlador com a proteção de 
dados e estabelecer processos internos para garantir o cumprimento da LGPD (art. 50, § 
2º, I, a).
b) Errada. O programa deve abranger todos os dados sob o controle do controlador (art. 
50, § 2º, I, b).
c) Errada. O programa deve estabelecer políticas e salvaguardas adequadas para mitigar 
riscos à privacidade (art. 50, § 2º, I, d).
d) Errada. O programa deve ser atualizado constantemente, não apenas após incidentes 
graves (art. 50, § 2º, I, h).
e) Errada. A autoridade nacional pode exigir a demonstração da efetividade do programa 
(art. 50, § 2º, II).
Letra a.
032. 032. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
57 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
De acordo com a LGPD, quais são as possíveis providências que a autoridade nacional pode 
determinar ao controlador em caso de um incidente de segurança de dados?
a) Ampla divulgação do fato em meios de comunicação e adoção de medidas para mitigar 
os efeitos do incidente.
b) Aplicação automática de multa ao controlador, independentemente da gravidade do 
incidente.
c) Proibição definitiva do tratamento de dados pela empresa envolvida.
d) Apenas uma advertência ao controlador, sem necessidade de adoção de medidas.
e) Desconsideração da gravidade do incidente, já que a responsabilidade é exclusiva do 
titular dos dados.
a) Certa. A autoridade nacional pode exigir ampla divulgação do incidente e adoção de 
medidas corretivas para minimizar danos (art. 48, § 2º).
b) Errada. A aplicação de penalidades não é automática e depende de análise específica da 
autoridade nacional.
c) Errada. A proibição definitiva não é uma consequência direta de um incidente de segurança 
(art. 48).
d) Errada. A autoridade pode exigir medidas adicionais além de uma advertência (art. 48, 
§ 2º).
e) Errada. A responsabilidade pelo tratamento seguro dos dados cabe ao controlador e ao 
operador (art. 46).
Letra a.
033. 033. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de 
forma a:
a) Atender aos requisitos de segurança, boas práticas, governança e princípios da LGPD.
b) Priorizar a coleta de dados em grande escala, mesmo que sem a devida segurança.
c) Manter registros de dados indefinidamente, sem necessidade de justificativa.
d) Permitir acesso irrestrito aos dados por qualquer funcionário da empresa.
e) Seguir apenas normas internas da empresa, sem necessidade de observância da legislação.
a) Certa. Os sistemas devem garantir segurança, boas práticas e conformidade com os 
princípios da LGPD (art. 49).
b) Errada. A coleta excessiva de dados sem proteção vai contra os princípios da LGPD (art. 6º).
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
58 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
c) Errada. Os dados devem ser armazenados pelo tempo necessário e com justificativa 
(art. 49).
d) Errada. O acesso deve ser restrito apenas a pessoas autorizadas (art. 46).
e) Errada. As normas internas devem estar alinhadas com a legislação vigente (art. 49).
Letra a.
034. 034. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
A autoridade nacional pode estimular a adoção de padrões técnicos para que os titulares 
tenham maior controle sobre seus dados pessoais. Isso significa que:
a) Os titulares devem poder acessar, corrigir e excluir seus dados conforme previsto na LGPD.
b) A autoridade nacional pode impedir os titulares de gerenciar seus próprios dados.
c) As empresas podem definir livremente quais direitos concederão aos titulares dos dados.
d) Os titulares só podem acessar seus dados mediante solicitação judicial.
e) Os controladores podem ignorar os pedidos de acesso aos dados sem justificativa.
a) Certa. A autoridade nacional pode estabelecer padrões que facilitem o controle pelos 
titulares sobre seus dados (art. 51).
b) Errada. A autoridade nacional não pode restringir os direitos dos titulares (art. 51).
c) Errada. Os direitos dos titulares são estabelecidos na LGPD e não podem ser limitados 
por controladores (art. 18).
d) Errada. O titular pode acessar seus dados sem necessidade de ação judicial (art. 18, II).
e) Errada. O controlador deve responder às solicitações do titular nos prazos estabelecidos 
(art. 19).
Letra a.
035. 035. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
De acordo com a LGPD, um incidente de segurança pode ser considerado grave quando:
a) Envolve dados pessoais sensíveis ou pode causar risco ou dano relevante aos titulares.
b) Apenas quando há vazamento de informações financeiras.
c) Somente se a empresa assumir publicamente que houve falha na segurança.
d) Apenas se o incidente envolver dados pessoais de órgãos públicos.
e) Quando há impacto econômico direto para o titular, independentemente de outros fatores.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
59 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
a) Certa. Um incidente de segurança é grave quando envolve dados sensíveis ou pode causar 
riscos significativos aos titulares (art. 48, § 3º).
b) Errada. O impacto não se restringe apenas a dados financeiros (art. 48).
c) Errada. A gravidade não depende da admissão pública do controlador (art. 48, § 3º).
d) Errada. Qualquer dado pessoal pode ser impactado, não apenas os de órgãos públicos 
(art. 48).
e) Errada. O impacto econômico é um fator relevante,mas não é o único critério para 
classificar um incidente como grave (art. 48, § 3º).
Letra a.
036. 036. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular dos dados pessoais pode, a qualquer momento e sem qualquer custo, obter a 
confirmação da existência de tratamento de seus dados junto ao controlador.
O titular tem o direito de solicitar a confirmação da existência de tratamento de seus dados 
pessoais a qualquer momento. Essa solicitação deve ser atendida sem custos para o titular. 
O objetivo dessa disposição é garantir transparência no tratamento de dados pessoais.
Certo.
037. 037. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
A eliminação dos dados pessoais tratados com o consentimento do titular é um direito 
absoluto, podendo ser exigida em qualquer situação.
A eliminação dos dados pessoais tratados com o consentimento do titular não é um 
direito absoluto, pois há exceções previstas na legislação. A lei estabelece que, em certas 
circunstâncias, os dados podem ser mantidos, como nos casos de cumprimento de obrigação 
legal ou regulatória.
Certo.
038. 038. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular dos dados tem o direito de obter informações sobre as entidades públicas e 
privadas com as quais seus dados foram compartilhados.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
60 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
A transparência é um dos princípios fundamentais da proteção de dados. O titular tem o 
direito de ser informado sobre com quais entidades seus dados foram compartilhados, 
permitindo que ele compreenda o fluxo de suas informações e questione eventuais usos 
indevidos.
Certo.
039. 039. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular dos dados pessoais pode revogar seu consentimento a qualquer momento, 
independentemente da justificativa.
O consentimento para o tratamento de dados pode ser revogado pelo titular a qualquer 
momento. Isso assegura que o titular tenha controle contínuo sobre seus dados e possa 
decidir interromper o tratamento caso não concorde mais com ele.
Certo.
040. 040. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O direito de acesso aos dados pessoais permite que o titular receba todas as informações 
sobre os dados coletados e seu tratamento, incluindo a finalidade do uso.
O titular pode solicitar acesso aos seus dados pessoais e receber informações detalhadas sobre 
sua origem, os critérios utilizados no tratamento e a finalidade do uso. Essa transparência 
possibilita que o titular tenha conhecimento sobre como suas informações estão sendo utilizadas.
Certo.
041. 041. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular pode exigir a portabilidade de seus dados para outro fornecedor de serviço ou 
produto, mesmo que isso comprometa segredos comercial e industrial.
A portabilidade dos dados é um direito do titular, mas deve respeitar segredos comercial 
e industrial. Isso significa que o fornecimento dos dados deve ser feito de forma a não 
comprometer informações sigilosas da empresa responsável pelo tratamento.
Certo.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
61 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
042. 042. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular pode se opor ao tratamento de seus dados realizado sem consentimento, caso 
esse tratamento esteja em desacordo com a legislação.
Mesmo quando o tratamento de dados ocorre sem consentimento, o titular pode contestá-
lo se houver descumprimento da legislação. Essa possibilidade reforça a proteção dos dados 
pessoais e a necessidade de cumprimento estrito das normas.
Certo.
043. 043. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
Se o controlador não puder atender imediatamente à solicitação do titular para retificação 
ou eliminação de seus dados, ele não precisa justificar a negativa.
Caso o controlador não possa adotar imediatamente a providência solicitada pelo titular, ele 
deve apresentar justificativa e, sempre que possível, indicar o responsável pelo tratamento. 
Isso garante transparência e accountability no tratamento dos dados.
Certo.
044. 044. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular dos dados pode peticionar contra o controlador perante a autoridade nacional se 
houver descumprimento de seus direitos.
Se o titular entender que seus direitos foram violados ou que o controlador descumpriu 
as normas de proteção de dados, ele pode apresentar reclamação à autoridade nacional, 
que poderá adotar medidas para resolver a questão.
Certo.
045. 045. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
A confirmação da existência ou o acesso a dados pessoais deve ser fornecido de forma 
simplificada e imediata, sempre que solicitado pelo titular.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
62 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
O titular pode solicitar a confirmação da existência de seus dados e ter acesso a eles em 
formato simplificado, imediatamente. Já um relatório mais detalhado pode ser fornecido 
dentro de um prazo determinado pela regulamentação.
Certo.
046. 046. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
Os dados pessoais dos titulares devem ser armazenados em formato que favoreça o exercício 
do direito de acesso.
A legislação exige que os dados sejam mantidos de forma acessível para garantir que o 
titular possa exercer seus direitos com facilidade, sem barreiras técnicas.
Certo.
047. 047. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
A cópia eletrônica integral dos dados pessoais pode ser solicitada pelo titular apenas se o 
tratamento dos dados tiver ocorrido mediante contrato.
A cópia eletrônica integral dos dados pode ser solicitada tanto em casos de tratamento 
baseado no consentimento quanto em contratos, desde que respeitados os segredos 
comercial e industrial.
Certo.
048. 048. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), respondaou de direito que impedem a adoção imediata da providência.
Esse requerimento expresso será atendido sem custos para o titular, nos prazos e nos 
termos previstos em regulamento.
É importante mencionar que, o responsável deverá informar, de maneira imediata, 
aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a 
correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico 
procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível 
ou implique esforço desproporcional.
 Obs.: A portabilidade dos dados pessoais não inclui dados que já tenham sido anonimizados 
pelo controlador.
Salienta-se que, o direito do titular dos dados pessoais de peticionar em relação aos 
seus dados contra o controlador perante a autoridade nacional também poderá ser exercido 
perante os organismos de defesa do consumidor.
A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante 
requisição do titular, da seguinte forma:
• Em formato simplificado, imediatamente;
• Por meio de declaração clara e completa, que indique a origem dos dados, a inexistência 
de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos 
comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data 
do requerimento do titular.
 Obs.: Os dados pessoais serão armazenados em formato que favoreça o exercício do 
direito de acesso.
As informações e os dados poderão ser fornecidos, a critério do titular da seguinte forma:
• Por meio eletrônico, seguro e idôneo para esse fim;
• Sob forma impressa.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
7 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
Quando o tratamento tiver origem no consentimento do titular ou em contrato, o 
titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os 
segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, 
em formato que permita a sua utilização subsequente, inclusive em outras operações de 
tratamento.
A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos acima 
(15 dias) para os setores específicos.
Professora, é possível solicitar revisão das decisões tomadas em tratamento Professora, é possível solicitar revisão das decisões tomadas em tratamento 
automatizado?automatizado?
Sim. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente 
com base em tratamento automatizado de dados pessoais que afetem seus interesses, 
incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e 
de crédito ou os aspectos de sua personalidade.
É importante destacar que, o controlador deverá fornecer, sempre que solicitadas, 
informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados 
para a decisão automatizada, observados os segredos comercial e industrial.
Note que, em caso de não oferecimento de informações baseado na observância 
de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para 
verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.
 Obs.: Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem 
ser utilizados em seu prejuízo.
A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em 
juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca 
dos instrumentos de tutela individual e coletiva.
Do TRaTaMeNTo De DaDos PessoaIs PeLo PoDeR Do TRaTaMeNTo De DaDos PessoaIs PeLo PoDeR 
PÚBLICoPÚBLICo
O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas 
na Lei de Acesso à Informação, deverá ser realizado para o atendimento de sua finalidade 
pública, na persecução do interesse público, com o objetivo de executar as competências 
legais ou cumprir as atribuições legais do serviço público, desde que:
• Sejam informadas as hipóteses em que, no exercício de suas competências, realizam 
o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a 
previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução 
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
8 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios 
eletrônicos;
• Seja indicado um encarregado quando realizarem operações de tratamento de dados 
pessoais;
Professora, quem são as pessoas jurídicas mencionadas na Lei do acesso à Informação?Professora, quem são as pessoas jurídicas mencionadas na Lei do acesso à Informação?
São as seguintes:
• Os órgãos públicos integrantes da administração direta dos Poderes Executivo, 
Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público;
• As autarquias, as fundações públicas, as empresas públicas, as sociedades de economia 
mista e demais entidades controladas direta ou indiretamente pela União, Estados, 
Distrito Federal e Municípios.
A autoridade nacional poderá dispor sobre as formas de publicidade das operações de 
tratamento.
 Obs.: O disposto na LGDP não dispensa as pessoas jurídicas de direito público de observar 
a Lei de Acesso à Informação.
Os prazos e procedimentos para exercício dos direitos do titular perante o Poder Público 
observarão o disposto em legislação específica, em especial as disposições da:
• Lei do Habeas Data – Lei n. 9.507/1997;
• Lei Geral do Processo Administrativo – Lei n. 9.784/1999;
• Lei de Acesso à Informação – Lei n. 12.527/2011;
 Obs.: Os serviços notariais e de registro exercidos em caráter privado, por delegação do 
Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas referidas 
na Lei de Acesso à Informação.
Destaca-se que, os órgãos notariais e de registro devem fornecer acesso aos dados por 
meio eletrônico para a administração pública.
As empresas públicas e as sociedades de economia mista que atuam em regime de 
concorrência, sujeitas ao disposto no art. 173 da Constituição Federal , terão o mesmo 
tratamento dispensado às pessoas jurídicas de direito privado particulares.
Você sabe o que dispõe o art. 173 da CF?
Art. 173. Ressalvados os casos previstos nesta Constituição, a exploração direta de atividade 
econômica pelo Estado só será permitida quando necessária aos imperativos da segurança 
nacional ou a relevante interesse coletivo, conforme definidos em lei.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
9 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
As empresas públicas e as sociedades de economia mista, quando estiverem 
operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo 
tratamento dispensado aos órgãos e às entidades do Poder Público.
Os dados deverão ser mantidos em formato interoperável e estruturado para o uso 
compartilhado, com vistas à execução de políticas públicas, à prestaçãoC para certo ou E para errado:
O titular tem direito a solicitar a revisão de decisões tomadas unicamente com base em 
tratamento automatizado de seus dados.
O titular pode solicitar a revisão de decisões que tenham sido tomadas exclusivamente 
por algoritmos, caso afetem seus interesses, como perfil profissional, crédito e consumo.
Certo.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
63 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
049. 049. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
Caso o controlador alegue segredo comercial e industrial, ele pode negar ao titular informações 
sobre os critérios e procedimentos utilizados em decisões automatizadas.
Mesmo com a alegação de segredo comercial e industrial, a autoridade nacional pode 
intervir e realizar auditoria para verificar se há aspectos discriminatórios no tratamento 
automatizado de dados.
Certo.
050. 050. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
Os dados pessoais não podem ser utilizados para prejudicar o exercício regular de direitos 
do titular.
A lei protege o titular contra qualquer forma de prejuízo decorrente do exercício regular 
de seus direitos, impedindo práticas abusivas.
Certo.
051. 051. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular pode exercer seus direitos de defesa dos dados pessoais em juízo tanto individualmente 
quanto coletivamente.
A legislação prevê que os direitos dos titulares podem ser defendidos em ações individuais 
ou coletivas, assegurando a proteção ampla dos dados pessoais.
Certo.
052. 052. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular pode escolher receber informações sobre seus dados pessoais apenas em meio 
eletrônico.
O titular tem o direito de escolher se deseja receber as informações sobre seus dados 
pessoais em formato eletrônico ou impresso, conforme sua preferência.
Certo.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
64 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
053. 053. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O titular pode solicitar que seus dados sejam anonimizados, bloqueados ou eliminados 
quando forem desnecessários ou tratados em desconformidade com a lei.
O titular pode exigir que seus dados sejam anonimizados, bloqueados ou eliminados caso 
sejam excessivos, desnecessários ou tratados de forma irregular.
Certo.
054. 054. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
Se houver compartilhamento de dados com outras entidades, o controlador deve comunicar 
imediatamente aos envolvidos sobre qualquer correção ou eliminação desses dados.
A legislação determina que o responsável deve informar os agentes de tratamento com 
quem compartilhou os dados para que estes também realizem a correção ou eliminação.
Certo.
055. 055. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda C para certo ou E para errado:
O direito à portabilidade dos dados inclui informações que já tenham sido anonimizadas 
pelo controlador.
Dados anonimizados não estão sujeitos à portabilidade, pois não podem ser associados 
diretamente ao titular.
Certo.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
Abra
caminhos
crie
futuros
gran.com.br
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
	Sumário
	Apresentação
	Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II
	Dos Direitos do Titular
	Do Tratamento de Dados Pessoais pelo Poder Público
	Da Responsabilidade
	Da Transferência Internacional de Dados
	Dos Agentes de Tratamento de Dados Pessoais
	Do Controlador e do Operador
	Do Encarregado pelo Tratamento de Dados Pessoais
	Da Responsabilidade e do Ressarcimento de Danos
	Da Segurança e das Boas Práticas
	Da Segurança e do Sigilo de Dados
	Das Boas Práticas e da Governança
	Resumo
	Exercícios
	Gabarito
	Gabarito Comentadode serviços públicos, 
à descentralização da atividade pública e à disseminação e ao acesso das informações pelo 
público em geral.
Perceba que, o uso compartilhado de dados pessoais pelo Poder Público deve atender 
a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos 
e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais.
Professora, existe alguma exceção quanto à transferência de dados a entidades privadas?Professora, existe alguma exceção quanto à transferência de dados a entidades privadas?
Sim. É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes 
de bases de dados a que tenha acesso, exceto:
• Em casos de execução descentralizada de atividade pública que exija a transferência, 
exclusivamente para esse fim específico e determinado, observado o disposto no art. 
18 da Lei de acesso à informação, o qual dispõe o seguinte:
Art. 18. Os procedimentos de revisão de decisões denegatórias proferidas no recurso previsto 
no art. 15 e de revisão de classificação de documentos sigilosos serão objeto de regulamentação 
própria dos Poderes Legislativo e Judiciário e do Ministério Público, em seus respectivos âmbitos, 
assegurado ao solicitante, em qualquer caso, o direito de ser informado sobre o andamento de 
seu pedido.
• Nos casos em que os dados forem acessíveis publicamente, observadas as disposições 
da LGPD.
• Quando houver previsão legal ou a transferência for respaldada em contratos, 
convênios ou instrumentos congêneres;
• Na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de 
fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do 
titular dos dados, desde que vedado o tratamento para outras finalidades.
 Obs.: Os contratos e convênios deverão ser comunicados à autoridade nacional.
É importante destacar que a comunicação ou o uso compartilhado de dados pessoais 
de pessoa jurídica de direito público a pessoa de direito privado será informado à autoridade 
nacional e dependerá de consentimento do titular, exceto:
• Nas hipóteses de dispensa de consentimento previstas na LGPD.
• Nos casos de uso compartilhado de dados, em que será dada publicidade;
• Nas exceções sobre a transferência de dados as entidades privadas.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
10 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
A autoridade nacional poderá solicitar, a qualquer momento, aos órgãos e às entidades 
do poder público a realização de operações de tratamento de dados pessoais, informações 
específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado 
e poderá emitir parecer técnico complementar para garantir o cumprimento da LGPD.
Além disso, a autoridade nacional poderá estabelecer normas complementares para as 
atividades de comunicação e de uso compartilhado de dados pessoais.
Da ResPoNsaBILIDaDeDa ResPoNsaBILIDaDe
Quando houver infração a LGPD em decorrência do tratamento de dados pessoais por 
órgãos públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para 
fazer cessar a violação.
Nesse caso, a autoridade nacional poderá solicitar a agentes do Poder Público a publicação 
de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de 
boas práticas para os tratamentos de dados pessoais pelo Poder Público.
Da TRaNsFeRÊNCIa INTeRNaCIoNaL De DaDosDa TRaNsFeRÊNCIa INTeRNaCIoNaL De DaDos
Você sabe em quais casos é permitida a transferência internacional de dados pessoais?
A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
• Para países ou organismos internacionais que proporcionem grau de proteção de 
dados pessoais adequado ao previsto na LGPD;
• Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, 
dos direitos do titular e do regime de proteção de dados previstos na LGPD, na forma de:
− Cláusulas contratuais específicas para determinada transferência;
− Cláusulas-padrão contratuais;
− Normas corporativas globais;
− Selos, certificados e códigos de conduta regularmente emitidos;
• Quando a transferência for necessária para a cooperação jurídica internacional 
entre órgãos públicos de inteligência, de investigação e de persecução, de acordo 
com os instrumentos de direito internacional;
• Quando a transferência for necessária para a proteção da vida ou da incolumidade 
física do titular ou de terceiro;
• Quando a autoridade nacional autorizar a transferência;
• Quando a transferência resultar em compromisso assumido em acordo de cooperação 
internacional;
• Quando a transferência for necessária para a execução de política pública ou atribuição 
legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do 
art. 23 da LGPD.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
11 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas 
no parágrafo único do art. 1º da Lei n. 12.527, de 18 de novembro de 2011 (Lei de Acesso à 
Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução 
do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições 
legais do serviço público, desde que:
I – sejam informadas as hipóteses em que, no exercício de suas competências, realizam o 
tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão 
legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, 
em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
• Quando o titular tiver fornecido o seu consentimento específico e em destaque para 
a transferência, com informação prévia sobre o caráter internacional da operação, 
distinguindo claramente esta de outras finalidades; ou
• Quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 
7º da LGPD.
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados 
a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse 
último nos termos da Lei n. 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
Para fins da transferência internacional de dados pessoais para países ou organismos 
internacionais que proporcionem grau de proteção de dados pessoais as pessoas jurídicas 
de direito público dispostas na Lei de Acesso à Informação, no âmbito de suas competências 
legais, e responsáveis, no âmbito de suas atividades, poderão requerer à autoridade nacional 
a avaliação do nível de proteção a dados pessoais conferido por país ou organismo 
internacional.
Esse nível de proteção de dados do país estrangeiro ou do organismo internacional será 
avaliado pela autoridade nacional, que levará em consideração:
• As normas gerais e setoriais da legislação em vigor no país de destino ou no organismo 
internacional;
• A natureza dos dados;
• A observânciados princípios gerais de proteção de dados pessoais e direitos dos 
titulares previstos na LGPD;
• A adoção de medidas de segurança previstas em regulamento;
• A existência de garantias judiciais e institucionais para o respeito aos direitos de 
proteção de dados pessoais; e
• Outras circunstâncias específicas relativas à transferência.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
12 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
 Obs.: A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação 
de cláusulas contratuais específicas para uma determinada transferência, normas 
corporativas globais ou selos, certificados e códigos de conduta, será realizada pela 
autoridade nacional.
Neste caso a autoridade nacional poderá designar organismos de certificação que 
permanecerão sob sua fiscalização nos termos definidos em regulamento.
Note que, os atos realizados por organismo de certificação poderão ser revistos pela 
autoridade nacional e, caso em desconformidade com a LGPD, submetidos a revisão 
ou anulados.
Na verificação de cláusulas contratuais específicas, deverão ser considerados os requisitos, 
as condições e as garantias mínimas para a transferência que observem os direitos, as 
garantias e os princípios da LGPD.
Perceba que, na análise de cláusulas contratuais, de documentos ou de normas 
corporativas globais submetidas à aprovação da autoridade nacional, poderão ser requeridas 
informações suplementares ou realizadas diligências de verificação quanto às operações 
de tratamento, quando necessário.
As alterações nas garantias apresentadas como suficientes de observância dos princípios 
gerais de proteção e dos direitos do titular deverão ser comunicadas à autoridade nacional.
Dos aGeNTes De TRaTaMeNTo De DaDos PessoaIsDos aGeNTes De TRaTaMeNTo De DaDos PessoaIs
Do CoNTRoLaDoR e Do oPeRaDoRDo CoNTRoLaDoR e Do oPeRaDoR
O controlador e o operador devem manter registro das operações de tratamento de 
dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Ressalta-se que, a autoridade nacional poderá determinar ao controlador que elabore 
relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente 
a suas operações de tratamento de dados, nos termos de regulamento, observados os 
segredos comercial e industrial.
Quais os requisitos do relatório de impacto?Quais os requisitos do relatório de impacto?
Esse relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a 
metodologia utilizada para a coleta e para a garantia da segurança das informações e a 
análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação 
de risco adotados.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
13 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
 Obs.: O operador deverá realizar o tratamento segundo as instruções fornecidas pelo 
controlador, que verificará a observância das próprias instruções e das normas 
sobre a matéria.
É importante desatacar que, a autoridade nacional poderá dispor sobre padrões de 
interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim 
como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade 
e a transparência.
Do eNCaRReGaDo PeLo TRaTaMeNTo De DaDos PessoaIsDo eNCaRReGaDo PeLo TRaTaMeNTo De DaDos PessoaIs
Você sabe quem indicará o encarregado pelo tratamento de dados pessoais?Você sabe quem indicará o encarregado pelo tratamento de dados pessoais?
O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
A identidade e as informações de contato do encarregado deverão ser divulgadas 
publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
Professora, quais são as atividades do encarregado?Professora, quais são as atividades do encarregado?
As atividades do encarregado consistem em:
• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar 
providências;
• Receber comunicações da autoridade nacional e adotar providências;
• Orientar os funcionários e os contratados da entidade a respeito das práticas a serem 
tomadas em relação à proteção de dados pessoais; e
• Executar as demais atribuições determinadas pelo controlador ou estabelecidas em 
normas complementares.
Perceba que, a autoridade nacional poderá estabelecer normas complementares sobre 
a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade 
de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de 
tratamento de dados.
Da ResPoNsaBILIDaDe e Do RessaRCIMeNTo De DaNosDa ResPoNsaBILIDaDe e Do RessaRCIMeNTo De DaNos
O controlador ou o operador que, em razão do exercício de atividade de tratamento 
de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em 
violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Com o objetivo de assegurar a efetiva indenização ao titular dos dados:
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
14 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
• O operador responde solidariamente pelos danos causados pelo tratamento quando 
descumprir as obrigações da legislação de proteção de dados ou quando não tiver 
seguido as instruções lícitas do controlador, hipótese em que o operador se equipara 
ao controlador, salvo nos casos de exclusão previstos na LGPD.
• Os controladores que estiverem diretamente envolvidos no tratamento do qual 
decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos 
de exclusão previstos no art. 43 da LGPD. Veja o que dispõe o art. 43:
Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não 
houve violação à legislação de proteção de dados; ou
III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
É importante destacar que, o juiz, no processo civil, poderá inverter o ônus da prova a favor 
do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência 
para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe 
excessivamente onerosa.
As ações de reparação por danos coletivos que tenham por objeto a responsabilização 
podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.
Perceba que, aquele que reparar o dano ao titular tem direito de regresso contra os 
demais responsáveis, na medida de sua participação no evento danoso.
Professora, em quais hipóteses os agentes e tratamento não serão responsabilizados?Professora, em quais hipóteses os agentes e tratamento não serão responsabilizados?
Os agentes de tratamento só não serão responsabilizados quando provarem:
• Que não realizaram o tratamento de dados pessoais quelhes é atribuído;
• Que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, 
não houve violação à legislação de proteção de dados;
• Que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
existem algumas circunstâncias em que o tratamento de dados será irregular, você existem algumas circunstâncias em que o tratamento de dados será irregular, você 
sabe quais são elas?sabe quais são elas?
O tratamento de dados pessoais será irregular quando deixar de observar a legislação 
ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as 
circunstâncias relevantes, entre as quais:
• O modo pelo qual é realizado;
• O resultado e os riscos que razoavelmente dele se esperam;
• As técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
15 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
Responde pelos danos decorrentes da violação da segurança dos dados o controlador 
ou o operador que, ao deixar de adotar as medidas de segurança, der causa ao dano.
As hipóteses de violação do direito do titular no âmbito das relações de consumo 
permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.
Da seGURaNça e Das Boas PRÁTICasDa seGURaNça e Das Boas PRÁTICas
Da seGURaNça e Do sIGILo De DaDosDa seGURaNça e Do sIGILo De DaDos
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas 
aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais 
ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento 
inadequado ou ilícito.
Essas medidas deverão ser observadas desde a fase de concepção do produto ou do serviço 
até a sua execução.
A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável 
o disposto acima, considerados a natureza das informações tratadas, as características 
específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados 
pessoais sensíveis, assim como os princípios aplicáveis as atividades de tratamento de 
dados pessoa.
É importante mencionar que, os agentes de tratamento ou qualquer outra pessoa 
que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da 
informação prevista na LGPD em relação aos dados pessoais, mesmo após o seu término.
O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de 
incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Professora, qual é o prazo da comunicação do incidente e segurança?Professora, qual é o prazo da comunicação do incidente e segurança?
Essa comunicação será feita em prazo razoável, conforme definido pela autoridade 
nacional, e deverá mencionar, no mínimo:
• A descrição da natureza dos dados pessoais afetados;
• As informações sobre os titulares envolvidos;
• A indicação das medidas técnicas e de segurança utilizadas para a proteção dos 
dados, observados os segredos comercial e industrial;
• Os riscos relacionados ao incidente;
• Os motivos da demora, no caso de a comunicação não ter sido imediata; e
• As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos 
do prejuízo.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
16 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
Além disso, a autoridade nacional verificará a gravidade do incidente e poderá, caso 
necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção 
de providências, tais como:
• Ampla divulgação do fato em meios de comunicação; e
• Medidas para reverter ou mitigar os efeitos do incidente.
No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram 
adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, 
no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.
Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de 
forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança 
e aos princípios gerais previstos na LGPD e às demais normas regulamentares.
Das Boas PRÁTICas e Da GoVeRNaNçaDas Boas PRÁTICas e Da GoVeRNaNça
Os controladores e operadores, no âmbito de suas competências, pelo tratamento de 
dados pessoais, individualmente ou por meio de associações, poderão formular regras de 
boas práticas e de governança que estabeleçam as condições de organização, o regime de 
funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas 
de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos 
no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação 
de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, 
em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade 
e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
Na aplicação dos princípios da segurança e da prevenção, o controlador, observados 
a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados 
tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:
• Implementar programa de governança em privacidade que, no mínimo:
− Demonstre o comprometimento do controlador em adotar processos e políticas 
internas que assegurem o cumprimento, de forma abrangente, de normas e boas 
práticas relativas à proteção de dados pessoais;
− Seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, 
independentemente do modo como se realizou sua coleta;
− Seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à 
sensibilidade dos dados tratados;
− Estabeleça políticas e salvaguardas adequadas com base em processo de avaliação 
sistemática de impactos e riscos à privacidade;
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
17 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
− Tenha o objetivo de estabelecer relação de confiança com o titular, por meio de 
atuação transparente e que assegure mecanismos de participação do titular;
− Esteja integrado a sua estrutura geral de governança e estabeleça e aplique me-
canismos de supervisão internos e externos;
− Conte com planos de resposta a incidentes e remediação; e
− Seja atualizado constantemente com base em informações obtidas a partir de 
monitoramento contínuo e avaliações periódicas;
• Demonstrar a efetividade de seu programa de governança em privacidade quando 
apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade 
responsável por promover o cumprimento de boas práticas ou códigos de conduta, 
os quais, de forma independente, promovam o cumprimento da LGPD.
Asregras de boas práticas e de governança deverão ser publicadas e atualizadas 
periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.
A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle 
pelos titulares dos seus dados pessoais.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
18 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
RESUMORESUMO
O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados 
do titular por ele tratados, a qualquer momento e mediante requisição:
• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados 
em desconformidade com o disposto na LGPD;
• Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição 
expressa, de acordo com a regulamentação da autoridade nacional, observados os 
segredos comercial e industrial;
• Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas 
hipóteses previstas no art. 16 da LGPD;
• Informação das entidades públicas e privadas com as quais o controlador realizou 
uso compartilhado de dados;
• Informação sobre a possibilidade de não fornecer consentimento e sobre as 
consequências da negativa;
• Revogação do consentimento;
A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante 
requisição do titular:
• Em formato simplificado, imediatamente;
• Por meio de declaração clara e completa, que indique a origem dos dados, a inexistência 
de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos 
comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data 
do requerimento do titular.
As informações e os dados poderão ser fornecidos, a critério do titular da seguinte forma:
• Por meio eletrônico, seguro e idôneo para esse fim;
• Sob forma impressa.
A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito 
público a pessoa de direito privado será informado à autoridade nacional e dependerá de 
consentimento do titular, exceto:
• Nas hipóteses de dispensa de consentimento previstas na LGPD.
• Nos casos de uso compartilhado de dados, em que será dada publicidade;
• Nas exceções sobre a transferência de dados as entidades privadas.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
19 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
• Para países ou organismos internacionais que proporcionem grau de proteção de 
dados pessoais adequado ao previsto na LGPD;
• Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, 
dos direitos do titular e do regime de proteção de dados previstos na LGPD, na forma de:
− Cláusulas contratuais específicas para determinada transferência;
− Cláusulas-padrão contratuais;
− Normas corporativas globais;
− Selos, certificados e códigos de conduta regularmente emitidos;
• Quando a transferência for necessária para a cooperação jurídica internacional entre 
órgãos públicos de inteligência, de investigação e de persecução, de acordo com os 
instrumentos de direito internacional;
• Quando a transferência for necessária para a proteção da vida ou da incolumidade 
física do titular ou de terceiro;
• Quando a autoridade nacional autorizar a transferência;
• Quando a transferência resultar em compromisso assumido em acordo de cooperação 
internacional;
• Quando a transferência for necessária para a execução de política pública ou atribuição 
legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do 
art. 23 da LGPD;
• Quando o titular tiver fornecido o seu consentimento específico e em destaque para 
a transferência, com informação prévia sobre o caráter internacional da operação, 
distinguindo claramente esta de outras finalidades; ou
• Quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 
7º da LGPD.
As atividades do encarregado consistem em:
• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar 
providências;
• Receber comunicações da autoridade nacional e adotar providências;
• Orientar os funcionários e os contratados da entidade a respeito das práticas a serem 
tomadas em relação à proteção de dados pessoais; executar as demais atribuições 
determinadas pelo controlador ou estabelecidas em normas complementares.
Com o objetivo de assegurar a efetiva indenização ao titular dos dados:
• O operador responde solidariamente pelos danos causados pelo tratamento quando 
descumprir as obrigações da legislação de proteção de dados ou quando não tiver 
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
20 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
seguido as instruções lícitas do controlador, hipótese em que o operador se equipara 
ao controlador, salvo nos casos de exclusão previstos na LGPD.
• Os controladores que estiverem diretamente envolvidos no tratamento do qual 
decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos 
de exclusão previstos no art. 43 da LGPD.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
21 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
EXERCÍCIOSEXERCÍCIOS
001. 001. (Q3450387/FGV/TRF 1/ANALISTA JUDICIÁRIO/ÁREA: SEGURANÇA DA INFORMAÇÃO/2024) 
O TRF1 realiza o tratamento de dados pessoais dos usuários dos serviços jurisdicionais, em 
especial, os dados registrados nos processos tramitados no sistema de processo judicial 
eletrônico (PJE). Caso um incidente de segurança comprometa a disponibilidade do sistema 
PJE, a Autoridade Nacional de Proteção de Dados deverá ser comunicada:
a) em até três dias, após confirmada a indisponibilidade do sistema;
b) imediatamente, pois o sistema armazena um grande volume de dados pessoais;
c) imediatamente, se a ocorrência de violação de dados pessoais for confirmada;
d) em até três dias úteis, se a ocorrência de violação de dados pessoais for confirmada e 
acarretar risco ou dano relevante aos titulares;
e) em até três dias úteis, se a ocorrência de violação de dados pessoais for confirmada e o 
titular requerer a confirmação da existência de tratamento.
002. 002. (Q3274740/FGV/TJ MS/TÉCNICO DE NÍVEL SUPERIOR/ÁREA ANALISTA DE SUPORTE 
DE TI/2024) O art. 46 da Lei N. 13.709 (Lei Geral de Proteção de Dados Pessoais), de 14 de 
agosto de 2018, explicita que os agentes de tratamento devem adotar medidas de segurança 
aptas a proteger os dados pessoais de acessos não autorizados e desituações acidentais ou 
ilícitas que gerem destruição, perda, alteração ou comunicação desses dados. A aplicação 
do disposto no Artigo requer que:
a) as medidas de segurança sejam observadas a partir da fase de concepção do produto 
ou serviço;
b) a proteção de dados pessoais seja considerada a partir da fase de execução do produto 
ou serviço;
c) os agentes de tratamento sejam notificados pela autoridade nacional dos riscos e sanções 
relacionados ao incidente;
d) o titular seja notificado por e-mail ou telegrama quando os riscos relacionados a incidentes 
de acessos não autorizados puderem afetar a salvaguarda de dados bancários, de saúde 
ou de seus dependentes menores de idade;
e) o controlador notifique os administradores dos sistemas de software envolvidos em 
um incidente para que providenciem, preventivamente, que os usuários alterem suas 
credenciais de acesso.
003. 003. (Q3242075/VUNESP/SPTRANS/MÉDICO DO TRABALHO/2024) Operador de dados de 
empresa pública acessou dados sensíveis dos usuários com a intenção de comercializá-los. 
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
22 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
Considerando as disposições da Lei Geral de Proteção de Dados (LGPD), é correto afirmar 
que, no caso de danos causados pelo tratamento de dados,
a) o operador responde solidariamente com o controlador.
b) o controlador se responsabiliza integralmente.
c) o controlador responde subsidiariamente com o operador.
d) o operador responde integralmente caso o dano seja decorrente de culpa exclusiva do 
titular dos dados ou de terceiro.
e) o controlador responde por meio de sua pessoa jurídica, cuja responsabilização do 
operador, por sua vez, repercute em sua relação trabalhista.
004. 004. (Q3195105/CESPE/CEBRASPE/APEX BRASIL/ANALISTA DE SEGURANÇA DA 
INFORMAÇÃO/2024) De acordo com a LGPD, é responsabilidade do encarregado de dados
a) receber comunicações da autoridade nacional e adotar providências.
b) obter consentimento específico do titular de dados para compartilhar dados pessoais 
com outros controladores.
c) criar o relatório de impacto à proteção de dados pessoais.
d) manter registro das operações de tratamento de dados pessoais que realizar.
005. 005. (Q3517330/FGV/TJ RR/ANALISTA/ÁREA: GESTÃO E GOVERNANÇA DE TECNOLOGIA DA 
INFORMAÇÃO/2024) De acordo com a Lei Geral de Proteção de Dados (LGPD), especificamente 
o art. 38, o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) tem como conteúdo 
mínimo obrigatório
a) a descrição dos tipos de dados coletados; metodologia utilizada para a coleta e para a 
garantia da segurança das informações; e análise do controlador sobre medidas, salvaguardas 
e mecanismos de mitigação de risco adotados.
b) a descrição das finalidades específicas do tratamento de dados; metodologia utilizada 
para a coleta e para a garantia da segurança das informações; e informações sobre o 
compartilhamento de dados com terceiros.
c) a descrição dos tipos de dados coletados; políticas internas de recursos humanos; e 
informações sobre o compartilhamento de dados com terceiros.
d) a lista dos consentimentos obtidos dos titulares; métodos para revogação do consentimento; 
e detalhes sobre a oposição ao tratamento de dados pessoais.
e) o resumo das solicitações de eliminação de dados pessoais; mecanismos para anonimização 
de dados; e análise do controlador sobre medidas, salvaguardas e mecanismos de mitigação 
de risco adotados.
006. 006. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
23 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
De acordo com a legislação vigente, os titulares de dados pessoais possuem o direito 
fundamental à liberdade, à intimidade e à privacidade. Nesse contexto, é correto afirmar que:
a) Os direitos do titular sobre seus dados pessoais incluem apenas a confirmação da 
existência de tratamento e o acesso aos dados.
b) A eliminação de dados pessoais tratados com consentimento do titular é garantida em 
qualquer circunstância, independentemente de outros fatores.
c) O titular dos dados pode, a qualquer momento, exigir que seus dados sejam anonimizados, 
bloqueados ou eliminados quando forem desnecessários, excessivos ou estiverem sendo 
tratados em desconformidade com a legislação.
d) A revogação do consentimento pelo titular dos dados só pode ser solicitada mediante 
ação judicial específica.
e) O titular dos dados não tem direito de solicitar informações sobre entidades públicas e 
privadas com as quais seus dados foram compartilhados.
007. 007. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
A respeito do acesso a dados pessoais, é correto afirmar que:
a) O titular dos dados pode solicitar a confirmação da existência de tratamento de seus 
dados, mas essa solicitação será atendida apenas mediante decisão judicial.
b) A autoridade nacional pode estabelecer prazos diferentes para a confirmação de existência 
e o acesso a dados pessoais em setores específicos.
c) O fornecimento de informações sobre a origem dos dados e os critérios utilizados para 
o tratamento deve ser feito exclusivamente por meio eletrônico.
d) O direito de acesso aos dados pode ser negado caso a empresa alegue segredo comercial 
ou industrial.
e) O prazo máximo para fornecimento de declaração completa sobre os dados do titular é 
de 30 dias, contados a partir da data do requerimento.
008. 008. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre a portabilidade dos dados pessoais, assinale a alternativa correta:
a) A portabilidade dos dados permite que o titular solicite a transferência de seus dados 
a qualquer fornecedor de serviço ou produto, independentemente de regulamentação 
específica.
b) Dados anonimizados pelo controlador não estão sujeitos ao direito de portabilidade.
c) O direito à portabilidade dos dados pode ser exercido sem necessidade de regulamentação 
pela autoridade nacional.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
24 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
d) A portabilidade dos dados pessoais inclui necessariamente os dados protegidos por 
segredo comercial e industrial.
e) A portabilidade não pode ser requerida por meio de representante legal.
009. 009. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
O titular dos dados pessoais pode peticionar contra o controlador perante:
a) Apenas o Poder Judiciário.
b) Apenas a autoridade nacional.
c) Apenas os órgãos de defesa do consumidor.
d) A autoridade nacional e os organismos de defesa do consumidor.
e) Nenhuma dessas opções.
010. 010. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre a eliminação de dados pessoais, assinale a alternativa correta:
a) O titular podeexigir a eliminação de seus dados pessoais a qualquer momento, sem 
exceções.
b) A eliminação dos dados pessoais tratados com consentimento do titular pode ser recusada 
caso se enquadre nas hipóteses previstas na legislação.
c) A lei não prevê hipóteses de retenção de dados pessoais após a revogação do consentimento.
d) O controlador pode negar o pedido de eliminação de dados, independentemente de 
justificativa.
e) O direito à eliminação de dados não se aplica a dados compartilhados com entidades 
públicas.
011. 011. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
O titular dos dados pode solicitar informações sobre o compartilhamento de seus dados 
com terceiros. Nesse contexto, assinale a alternativa correta:
a) O titular pode exigir que o controlador informe com quais entidades públicas e privadas 
seus dados foram compartilhados.
b) O controlador não é obrigado a informar sobre o compartilhamento de dados pessoais.
c) O direito à informação sobre o compartilhamento de dados depende de decisão judicial.
d) Apenas órgãos públicos devem prestar informações sobre compartilhamento de dados, 
não sendo uma obrigação para empresas privadas.
e) O titular pode ser cobrado para obter informações sobre compartilhamento de dados.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
25 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
012. 012. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre a revisão de decisões automatizadas, é correto afirmar que:
a) O titular dos dados tem direito a solicitar revisão de decisões tomadas exclusivamente 
com base em tratamento automatizado que afetem seus interesses.
b) O controlador pode recusar o pedido de revisão do titular caso o tratamento automatizado 
tenha sido realizado com base em contrato.
c) A revisão de decisões automatizadas só pode ser solicitada se envolver dados financeiros.
d) O titular dos dados não tem direito a questionar decisões tomadas por algoritmos, pois 
elas são imparciais.
e) A revisão de decisões automatizadas é permitida apenas para empresas do setor financeiro.
013. 013. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre o tratamento de dados pessoais pelo Poder Público, assinale a alternativa correta:
a) O Poder Público pode tratar dados pessoais livremente, sem necessidade de justificativa 
legal.
b) O tratamento de dados pelo Poder Público deve ter uma finalidade pública e respeitar 
os princípios de proteção de dados.
c) O Poder Público pode transferir livremente dados pessoais a entidades privadas.
d) O tratamento de dados pelo Poder Público dispensa qualquer obrigação de transparência 
ao titular.
e) Os órgãos públicos não precisam nomear um encarregado para tratamento de dados 
pessoais.
014. 014. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
No caso de infração à LGPD por um órgão público, qual medida pode ser adotada pela 
autoridade nacional?
a) A aplicação imediata de multa.
b) O envio de informe com medidas cabíveis para cessar a violação.
c) A revogação automática de todas as autorizações de tratamento de dados do órgão 
infrator.
d) A proibição definitiva do uso de qualquer dado pessoal pelo órgão.
e) A extinção do órgão infrator.
015. 015. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
26 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
Sobre o uso compartilhado de dados pessoais pelo Poder Público, assinale a alternativa 
correta:
a) O compartilhamento de dados pelo Poder Público deve atender a finalidades específicas 
de execução de políticas públicas.
b) O Poder Público pode compartilhar qualquer dado pessoal sem restrições.
c) O compartilhamento de dados entre órgãos públicos não está sujeito à LGPD.
d) Dados pessoais compartilhados pelo Poder Público podem ser usados para qualquer 
finalidade, sem necessidade de justificativa.
e) O compartilhamento de dados entre órgãos públicos e privados não precisa ser informado 
à autoridade nacional.
016. 016. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre a transferência internacional de dados pessoais, assinale a alternativa correta:
a) A transferência internacional de dados pode ocorrer livremente, sem necessidade de 
observar requisitos legais.
b) Para que a transferência internacional ocorra, é necessário que o país de destino tenha 
nível de proteção adequado ao previsto na legislação brasileira ou que sejam oferecidas 
garantias de cumprimento da LGPD.
c) O consentimento do titular dos dados é dispensável em qualquer hipótese de transferência 
internacional.
d) Apenas os organismos internacionais podem solicitar a transferência internacional de 
dados.
e) A transferência internacional de dados não pode ser realizada para cooperação jurídica 
internacional.
017. 017. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
O nível de proteção de dados pessoais de um país estrangeiro será avaliado pela autoridade 
nacional com base nos seguintes critérios, exceto:
a) A legislação vigente no país de destino.
b) A adoção de medidas de segurança previstas na regulamentação.
c) A existência de garantias judiciais e institucionais.
d) A quantidade de usuários que utilizam serviços no país de destino.
e) A observância dos princípios gerais da proteção de dados pessoais.
018. 018. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
27 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
A respeito da exigência de cláusulas contratuais e outras garantias para transferência 
internacional de dados, assinale a alternativa correta:
a) A definição do conteúdo das cláusulas-padrão contratuais será feita pela autoridade 
nacional.
b) O controlador pode estabelecer cláusulas contratuais de forma livre, sem qualquer 
necessidade de aprovação regulatória.
c) Não há exigências para normas corporativas globais em transferências internacionais 
de dados.
d) O operador de dados pode elaborar cláusulas específicas sem supervisão do controlador.
e) A transferência de dados por meio de cláusulas contratuais não pode ser analisada pela 
autoridade nacional.
019. 019. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre a responsabilidade dos agentes de tratamento de dados, assinale a alternativa correta:
a) O operador é sempre responsável pelos danos causados no tratamento de dados.
b) Apenas o controlador pode ser responsabilizado por danos ao titular.
c) O operador pode responder solidariamente pelos danos causados caso descumpraas 
obrigações da legislação.
d) O operador nunca responde solidariamente pelos danos causados ao titular dos dados.
e) A responsabilidade do controlador e do operador independe da existência de dano ao 
titular.
020. 020. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
O relatório de impacto à proteção de dados pessoais deve conter, obrigatoriamente:
a) Informações sobre os tipos de dados coletados e a metodologia utilizada.
b) Apenas uma descrição geral da política de proteção de dados da empresa.
c) Somente informações relativas ao consentimento do titular dos dados.
d) Detalhamento de cada dado processado, sem exceção.
e) Uma relação de todas as pessoas que acessaram os dados nos últimos cinco anos.
021. 021. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre o papel do encarregado pelo tratamento de dados pessoais, assinale a alternativa 
correta:
a) A indicação do encarregado é facultativa para qualquer tipo de controlador.
b) O encarregado tem a função de receber reclamações e comunicações dos titulares e 
adotar providências.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
28 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
c) A identidade do encarregado pode ser mantida em sigilo para evitar contato direto com 
os titulares.
d) O encarregado é responsável por definir as diretrizes gerais de proteção de dados na 
empresa.
e) A legislação não prevê a possibilidade de dispensa da necessidade de um encarregado.
022. 022. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre a responsabilidade dos agentes de tratamento de dados, assinale a alternativa correta:
a) O controlador responde exclusivamente pelos danos causados pelo tratamento de dados 
pessoais.
b) O operador só será responsabilizado se houver dolo comprovado na violação dos dados.
c) O controlador e o operador podem ser responsabilizados pelos danos causados ao titular 
dos dados.
d) A responsabilidade do operador é sempre subsidiária, não sendo possível sua 
responsabilização direta.
e) Apenas controladores públicos podem ser responsabilizados por violações de dados 
pessoais.
023. 023. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre o tratamento irregular de dados pessoais, assinale a alternativa correta:
a) O tratamento de dados será considerado irregular apenas se houver vazamento de 
informações.
b) Para que um tratamento seja considerado irregular, é necessário que o controlador tenha 
agido de má-fé.
c) O tratamento de dados será irregular quando não fornecer a segurança esperada pelo 
titular.
d) O tratamento de dados é sempre regular se o titular tiver dado consentimento.
e) A irregularidade no tratamento de dados ocorre apenas quando há prejuízo financeiro 
ao titular.
024. 024. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
A respeito da transferência internacional de dados, assinale a alternativa correta:
a) A transferência internacional de dados pode ocorrer livremente se houver um contrato 
entre as partes.
b) A autoridade nacional pode avaliar se um país estrangeiro proporciona nível adequado 
de proteção de dados.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
29 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
c) A transferência internacional só pode ocorrer com o consentimento do titular dos dados.
d) O uso de cláusulas-padrão contratuais impede a necessidade de fiscalização pela 
autoridade nacional.
e) A LGPD proíbe qualquer forma de transferência internacional de dados.
025. 025. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre a responsabilidade no tratamento de dados, assinale a alternativa correta:
a) O controlador ou operador que causar dano patrimonial ou moral a terceiros é obrigado 
a repará-lo.
b) Apenas o controlador responde pelos danos causados no tratamento de dados pessoais.
c) O operador de dados só será responsabilizado em caso de falha técnica comprovada.
d) A inversão do ônus da prova nunca é permitida em ações de responsabilidade por 
tratamento de dados.
e) Apenas pessoas jurídicas podem ser responsabilizadas pelo tratamento indevido de dados.
026. 026. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
De acordo com a LGPD, quem deve reparar os danos causados ao titular dos dados em caso 
de violação da legislação de proteção de dados pessoais?
a) Apenas o controlador, pois ele é o único responsável pelo tratamento de dados.
b) Apenas o operador, caso ele tenha seguido as instruções do controlador.
c) Tanto o controlador quanto o operador, caso tenham violado a legislação ou descumprido 
suas obrigações.
d) Nenhum dos dois, pois o titular dos dados deve provar dolo para obter reparação.
e) Apenas a empresa controladora, excluindo-se os seus operadores e terceirizados.
027. 027. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre a inversão do ônus da prova em ações relacionadas ao tratamento de dados pessoais, 
assinale a alternativa correta:
a) O juiz poderá inverter o ônus da prova se for verossímil a alegação do titular e houver 
hipossuficiência para produção de provas.
b) A inversão do ônus da prova nunca é permitida na proteção de dados pessoais.
c) A inversão do ônus da prova só ocorre se o titular comprovar que a empresa agiu de má-fé.
d) O titular dos dados deve sempre comprovar que sofreu dano, sem exceções.
e) A inversão do ônus da prova ocorre automaticamente sempre que há um incidente de 
segurança.
O conteúdo deste livro eletrônico é licenciado para JULLIANNE FEITOSA DA CRUZ - 02686293152, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.gran.com.br
https://www.gran.com.br
30 de 65gran.com.br
LeGIsLação 
Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – Parte II 
Paula Bervian
028. 028. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Sobre os requisitos de segurança para tratamento de dados pessoais, assinale a alternativa 
correta:
a) Os agentes de tratamento devem adotar medidas de segurança para proteger os dados 
pessoais contra acessos não autorizados e incidentes acidentais ou ilícitos.
b) As medidas de segurança são facultativas e podem ser dispensadas caso o controlador 
confie na idoneidade de seus operadores.
c) A segurança dos dados é de responsabilidade exclusiva do operador, e não do controlador.
d) O sigilo dos dados pessoais pode ser dispensado caso a empresa alegue dificuldades 
operacionais na implementação de medidas de proteção.
e) A adoção de medidas de segurança é obrigatória apenas para dados sensíveis.
029. 029. (INÉDITA/2025) Com fundamento na Lei Geral de Proteção de Dados Pessoais (Lei n. 
13/709/2018), responda:
Quando ocorre um incidente de segurança que possa acarretar risco ou dano relevante aos 
titulares, o controlador deve:
a) Comunicar