proteção de dados pessoais

Prévia do material em texto

Lição - O Ciclo de Vida do Tratamento dos Dados 
Pessoais. Deliberação CCGD em 11/03/2020. 
Feedback 
A adoção de medidas sistêmicas para adequação do órgão público ao disposto na 
LGPD envolve as seguintes dimensões organizacionais: 
A. Exclusiva da área de segurança da informação. 
B. Da área de segurança da informação e da Autoridade Máxima do órgão. 
C. Exclusiva da área jurídica. 
D. De todo o órgão público, desde a Autoridade Máxima do órgão, passando pelas 
áreas meio e fim. 
O tema proteção de dados não é um tema exclusivo da área de segurança da informação, 
tampouco da área jurídica do órgão. A responsabilidade pelo cumprimento da Lei é de 
todo o órgão público, desde a autoridade máxima do órgão, passando pelas áreas meio e 
fim. O cumprimento da Lei se dá no dia a dia: na execução dos processos de trabalho da 
instituição, na concepção e execução de projetos, serviços ou produtos, no cumprimento 
de suas competências legais, no seu modelo de negócio e na sua cadeia de valor. 
Feedback 
A adoção de medidas sistêmicas para adequação do órgão público ao disposto na 
LGPD envolve as seguintes dimensões organizacionais: 
A. Estratégica, organizacional e operacional. 
B. Estratégica, organizacional e comunicacional. 
C. Estratégica e organizacional. 
D. Estratégica, tática, operacional e comunicacional. 
E. Organizacional e operacional. 
A proteção de dados pessoais é tema de responsabilidade de todo o órgão ou entidade 
pública desde a Autoridade Máxima do órgão, passando pelas áreas meio e fim. Desse 
modo, envolve a adoção de medidas sistêmicas nas dimensões estratégica, tática, 
operacional e comunicacional. 
Feedback 
Dentre as cinco etapas do ciclo de vida dos dados pessoais, a fase de retenção envolve 
as operações de: 
A. Recepção, acesso e extração de dados pessoais. 
B. Arquivamento e compartilhamento de dados pessoais. 
C. Arquivamento e armazenamento de dados pessoais. 
D. Acesso e compartilhamento de dados pessoais. 
E. Gravação, arquivamento e armazenamento de dados pessoais. 
A operação de difusão tem relação com qual atividade do ciclo de vida? 
A. Eliminação. 
B. Transmissão. 
C. Retenção. 
D. Coleta. 
E. Compartilhamento. 
Identifique a correta definição para o ativo “equipamento”. 
A. Computadores, impressoras e telefones celulares utilizados no desempenho das 
atividades institucionais. 
B. Estações de trabalho e impressoras utilizados no desempenho das atividades 
institucionais. 
C. Equipamentos eletrônicos necessários para o exercício de uma atividade ou de 
uma função. 
D. Objeto ou conjunto de objetos necessário para o exercício de uma atividade ou de 
uma função. 
E. Equipamentos digitais necessários para o exercício de uma atividade ou de uma 
função. 
Identifique a correta definição para o ativo “equipamento”. 
A. Computadores, impressoras e telefones celulares utilizados no desempenho das 
atividades institucionais. 
B. Estações de trabalho e impressoras utilizados no desempenho das atividades 
institucionais. 
C. Equipamentos eletrônicos necessários para o exercício de uma atividade ou de 
uma função. 
D. Objeto ou conjunto de objetos necessário para o exercício de uma atividade ou de 
uma função. 
E. Equipamentos digitais necessários para o exercício de uma atividade ou de uma 
função. 
Identifique a correta definição para o ativo “equipamento”. 
A. Computadores, impressoras e telefones celulares utilizados no desempenho das 
atividades institucionais. 
B. Estações de trabalho e impressoras utilizados no desempenho das atividades 
institucionais. 
C. Equipamentos eletrônicos necessários para o exercício de uma atividade ou de 
uma função. 
D. Objeto ou conjunto de objetos necessário para o exercício de uma atividade ou de 
uma função. 
E. Equipamentos digitais necessários para o exercício de uma atividade ou de uma 
função. 
A medida de segurança representa: 
A. Objetivo de alto nível declarando o que se espera alcançar com a aplicação da 
medida. 
B. Ações específicas de segurança que podem ser aplicadas diretamente sobre os 
ativos organizacionais. 
C. Objetivo de alto nível que pode ser aplicada diretamente sobre os 
ativos organizacionais. 
D. Ações de segurança que podem ser aplicadas diretamente sobre os 
ativos organizacionais. 
E. Objetivo de alto nível e ações específicas que pode ser aplicada diretamente sobre 
os ativos organizacionais. 
Medida de segurança é o objetivo de alto nível, e o controle é a ação específica a ser 
aplicada sobre o ativo organizacional. 
Entender o conceito de medida de segurança é fundamental para a implementação da 
proteção de dados pessoais, especialmente compreender a diferença entre medida de 
segurança e controle. 
A proteção dos dados pessoais é realizada por meio da aplicação de medidas de 
segurança e controles. Nesse contexto, controle representa: 
A. Ações gerais de segurança que podem ser aplicadas sobre os 
ativos organizacionais para se alcançar a medida de segurança. 
B. Ações específicas de segurança que podem ser aplicadas sobre os 
ativos organizacionais para se alcançar a medida de segurança. 
C. Objetivo de alto nível e ações específicas que pode ser aplicada diretamente sobre 
os ativos organizacionais. 
D. Objetivo de alto nível que pode ser aplicada diretamente sobre os 
ativos organizacionais. 
E. Ações legais que podem ser aplicadas sobre os ativos organizacionais para se 
alcançar a medida de segurança. 
Controle é a ação específica de segurança a ser aplicada sobre o ativo organizacional e 
medida de segurança é o objetivo de alto nível que se pretende alcançar com a aplicação 
da medida. Entender o conceito de controle é fundamental para a implementação da 
proteção de dados pessoais, especialmente compreender a diferença entre controle e 
medida de segurança. 
 
Segundo a Lei 13.709/2018 (LGPD), O Relatório de Impacto à Proteção dos Dados 
Pessoais é uma documentação mantida e elaborada pelo: 
A. Operador. 
B. Consultor Jurídico. 
C. Responsável da área de TI. 
D. Controlador. 
E. Gestor de Riscos. 
A LGDP indica que o RIPD é documentação do controlador (art. 5º, XVII) e que a 
elaboração desse relatório pode ser determinada pela Autoridade Nacional ao controlador 
(art. 38, Caput). 
São etapas de elaboração do RIPD: 
A. Aprovar o Relatório e Descrever o Impacto. 
B. Descrever o Impacto e Manter Revisão. 
C. Mitigar Riscos e Avaliar o Impacto. 
D. Descrever o Tratamento e Manter Revisão. 
E. Avaliar o Impacto e Aprovar o Relatório. 
As etapas para elaboração do RIPD são: Identificar os agentes de tratamento e o 
encarregado; Identificar a necessidade de elaborar o relatório; Descrever o tratamento; 
Identificar partes interessadas consultadas; Descrever necessidade e proporcionalidade; 
Identificar e avaliar os riscos; Identificar medidas para tratar os riscos; Aprovar o relatório; 
E manter revisão. 
O RIPD não deve ser elaborado quando for realizado tratamento de dados pessoais de 
crianças e adolescentes. 
Verdadeiro 
Falso 
O RIPD deve ser elaborado quando for realizado tratamento de dados pessoais de 
crianças e adolescentes. Esse é um dos vários casos em que o RIPD deve ser elaborado, 
conforme estudado na fase IDENTIFICAR A NECESSIDADE DE ELABORAR O 
RELATÓRIO. 
Na elaboração do RIPD, a fase DESCREVER O TRATAMENTO envolver especificar: 
A. Natureza, escopo e finalidade do tratamento. 
B. Natureza, contexto e finalidade do tratamento. 
C. Natureza, escopo e contexto. 
D. Natureza, escopo, contexto e finalidade do tratamento. 
E. Natureza, escopo, contexto e objetivo do tratamento. 
A etapa DESCREVER o TRATAMENTO visa a descrição dos processos de tratamento de 
dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais. 
Ela envolve a especificação da natureza, escopo, contexto e finalidade do tratamento. 
O objetivo principal dessa descrição é fornecer cenário institucional relativo aos processos 
que envolvem o tratamentodos dados pessoais, fornecendo subsídios para avaliação e 
tratamento de riscos. 
A descrição de qual fonte de dados é utilizada para a coleta dos dados pessoais é 
realizada na etapa: 
A. DESCREVER NECESSIDADE E PROPORCIONALIDADE. 
B. DESCREVER O TRATAMENTO no momento da especificação do escopo do 
tratamento dos dados pessoais. 
C. DESCREVER O TRATAMENTO no momento da especificação da natureza do 
tratamento dos dados pessoais. 
D. DESCREVER O TRATAMENTO no momento da especificação da finalidade do 
tratamento dos dados pessoais. 
E. DESCREVER O TRATAMENTO no momento da especificação do contexto do 
tratamento dos dados pessoais. 
A fonte de dados é descrita na fase DESCREVER O TRATAMENTO no momento de 
especificar a natureza do tratamento. 
A fonte de dados de coleta dos dados pessoais pode, em certas circunstâncias, ser uma 
pessoa (titular dos dados) e/ou fonte eletrônica compartilhada por outras instituições como 
banco de dados, planilha, arquivo xml, Application Programming Interface – API, etc. 
Marque a alternativa que não representa tratamento de dados pessoais em alta escala. 
A. Tratamento de dados de clientes no curso regular dos negócios por uma 
companhia de seguros ou por um banco. 
B. Tratamento de dados de viagem de indivíduos que usam o sistema de transporte 
público da cidade. 
C. Tratamento de dados do paciente por um médico individual. 
D. Tratamento de dados de pacientes no curso regular dos negócios de um hospital. 
E. Tratamento de dados pessoais para publicidade comportamental realizado por um 
mecanismo de pesquisa. 
Tratamento em alta escala ocorre quando grande volume de dados pessoais de vários 
titulares são tratados de forma instantânea pelo agente de tratamento. A alternativa “C” é a 
única que não se enquadra nesse contexto. 
A fundamentação legal para o tratamento dos dados pessoais é uma das informações a 
serem descritas na seguinte etapa de elaboração do RIPD: 
A. Descrever o tratamento. 
B. Identificar a necessidade de elaborar o Relatório. 
C. Descrever a natureza. 
D. Descrever o contexto. 
E. Descrever necessidade e proporcionalidade. 
Na fase DESCREVER NECESSIDADE E PROPORCIONALIDADE, deve ser apresentada 
a fundamentação legal que embasa o tratamento de dados pessoais. Geralmente, a 
fundamentação legal reside nos artigos 7º e 11 da LGPD e deve ser complementada com 
a lei, decreto ou outro instrumento legal que fundamente a necessidade de a instituição ter 
acesso ao dado pessoal. 
Marque a alternativa que não representa risco de proteção aos dados pessoais: 
A. Acesso não autorizado. 
B. Perda. 
C. Coleção excessiva. 
D. Modificação não autorizada. 
E. Anonimização dos dados. 
A anonimização é a utilização de meios técnicos razoáveis e disponíveis no momento do 
tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou 
indireta, a um indivíduo (LGPD, art. 5º, XI). 
A anonimização é uma medida técnica para a proteção do dado pessoal, assim não 
representa um risco, mas uma medida para tratar o risco. 
A instituição nem sempre precisa eliminar todos os riscos. Nesse sentido, pode-se decidir 
que alguns riscos, e até um risco de nível alto, são aceitáveis. 
Verdadeiro 
Falso 
Realmente, a instituição não tem obrigatoriedade de eliminar todos os riscos, pois podem 
existir situações que alguns riscos, e até um risco de nível alto, são aceitáveis, dados os 
benefícios do processamento dos dados pessoais e as dificuldades de mitigação. 
Importante lembrar que,se houver um risco residual de nível alto, é recomendável 
consultar a ANPD antes de prosseguir com as operações de tratamento dos dados 
pessoais. 
Escolha a alternativa que completa corretamente a lacuna. 
O RIPD deve _________________ sempre que existir qualquer tipo de mudança que 
afete o tratamento dos dados pessoais realizados pela instituição. 
A. ser desconsiderado. 
B. ser descartado. 
C. ser encaminhado para a CGU. 
D. ser encaminhado para o TCU. 
E. ser revisto e atualizado. 
A instituição deve manter o RIPD revisto e atualizado, a fim de mostrar que avalia 
continuamente os riscos de tratamento de dados pessoais que surgem em consequência 
do dinamismo das transformações nos cenários tecnológico, normativo, político e 
institucional. 
Painel / Meus cursos / Proteção de Dados Pessoais no Setor Público
/ MÓDULO 1 - O Tratamento de Dados Pessoais no Setor Público
/ Lição - O Tratamento de Dados Pessoais no Setor Público / Continuar
Proteção de Dados Pessoais no Setor
Público
Lição - O Tratamento de Dados Pessoais no Setor
Público
Questão 3
A Lei nº 13.709/2018 (LGPD) aplica-se a qualquer operação de tratamento de dados realizada por
pessoa natural ou por: 
A sua resposta :
a) Pessoa jurídica de direito público ou privado.
Sua resposta está correta.
Continuar
☰
https://mooc.escolavirtual.gov.br/my/
https://mooc.escolavirtual.gov.br/course/view.php?id=5387
https://mooc.escolavirtual.gov.br/course/view.php?id=5387#section-1
https://mooc.escolavirtual.gov.br/mod/lesson/view.php?id=135684
Painel / Meus cursos / Proteção de Dados Pessoais no Setor Público
/ MÓDULO 1 - O Tratamento de Dados Pessoais no Setor Público
/ Lição - O Tratamento de Dados Pessoais no Setor Público
Proteção de Dados Pessoais no Setor
Público
Lição - O Tratamento de Dados Pessoais no Setor
Público
Feedback
 
 A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) define segurança como:
A. Aplicação de controles técnicos e administrativos com a finalidade de assegurar
a disponibilidade, integridade, confidencialidade e autenticidade das informações. 
B. Aplicação de controles técnicos e administrativos com a finalidade de garantir a
disponibilidade, integridade, confidencialidade e autenticidade das informações. 
C. Ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade
e a autenticidade das informações. 
D. Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos
não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou difusão. 
E. Ações e métodos que visam à integração das atividades de gestão de riscos, gestão de
continuidade do negócio, tratamento de incidentes e tratamento da informação. 
O art. 6º, VII da LGPD (Lei nº 13.709/2018) define segurança como: utilização de medidas técnicas e
administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. 
 
O conceito de segurança apresentado pela LGPD é pilar fundamental para o entendimento das ações
que visam à definição das medidas técnicas e administrativas com a finalidade de proteger os dados
pessoais.
Avançar
Progresso na lição: 47%

☰
https://mooc.escolavirtual.gov.br/my/
https://mooc.escolavirtual.gov.br/course/view.php?id=5387
https://mooc.escolavirtual.gov.br/course/view.php?id=5387#section-1
https://mooc.escolavirtual.gov.br/mod/lesson/view.php?id=135684
https://mooc.escolavirtual.gov.br/mod/glossary/showentry.php?eid=89906&displayformat=dictionary
EV.G | Escola Virtual.Gov
Seguindo as tendências educacionais mais
recentes, a Escola Virtual.Gov oferece uma
plataforma MOOC que sustenta a oferta de
cursos de curta e média duração, abertos e
gratuitos, como alternativa de formação mais
aderente ao desenvolvimento rápido de
competências para o trabalho.




SOBRE A ESCOLA
Catálogo de Cursos
Catálogo de Programas
Conheça a Escola
Adesão Institucional
Instituições Participantes
Política de Privacidade
UTILIDADES
Validação de Documentos
Perguntas Frequentes
CatálogoÁrea do aluno
Organizado por Escola Nacional de Administração Pública – Enap
47%
Português - Brasil (pt_br) 

https://www.youtube.com/channel/UCksexEveRkoez2kiEjaKZxQ
https://twitter.com/enapgovbr
https://www.instagram.com/enapgovbr/
https://www.facebook.com/enapgovbr/
https://www.escolavirtual.gov.br/catalogohttps://www.escolavirtual.gov.br/programas
https://www.escolavirtual.gov.br/conheca-a-escola
https://www.escolavirtual.gov.br/adesao-institucional
https://www.escolavirtual.gov.br/instituicoes-participantes
https://www.escolavirtual.gov.br/politica-privacidade
https://www.escolavirtual.gov.br/documentos/validacao
https://www.escolavirtual.gov.br/perguntas-frequentes
https://www.escolavirtual.gov.br/catalogo
https://www.escolavirtual.gov.br/aluno/inicio
https://www.enap.gov.br/
Painel / Meus cursos / Proteção de Dados Pessoais no Setor Público
/ MÓDULO 1 - O Tratamento de Dados Pessoais no Setor Público
/ Lição - O Tratamento de Dados Pessoais no Setor Público
Proteção de Dados Pessoais no Setor
Público
Lição - O Tratamento de Dados Pessoais no Setor
Público
Feedback
 
 Um dos casos em que o tratamento de dados pessoais sensíveis poderá ocorrer sem consentimento
do titular é quando for indispensável para:
A. Tratamento compartilhado de dados necessários à execução, pela administração pública, de
políticas públicas independente de previsão em leis ou regulamentos. 
B. Tratamento compartilhado de dados necessários à execução de campanhas comerciais pelas
empresas do setor privado. 
C. Resolução de conflitos judiciais entre particulares. 
D. Tratamento compartilhado de dados necessários à execução, pela administração pública, de
políticas públicas analisadas e aprovadas pela Autoridade Nacional de Proteção de Dados. 
E. Tratamento compartilhado de dados necessários à execução, pela administração pública, de
políticas públicas previstas em leis ou regulamentos. 
Os casos previstos para tratamento de dados pessoais sensíveis sem consentimento do titular estão
expressos no artigo 11 da LGPD. E entre eles está o tratamento compartilhado de dados necessários à
execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos.
Avançar
Progresso na lição: 80%
80%

☰
https://mooc.escolavirtual.gov.br/my/
https://mooc.escolavirtual.gov.br/course/view.php?id=5387
https://mooc.escolavirtual.gov.br/course/view.php?id=5387#section-1
https://mooc.escolavirtual.gov.br/mod/lesson/view.php?id=135684
Painel / Meus cursos / Proteção de Dados Pessoais no Setor Público
/ MÓDULO 1 - O Tratamento de Dados Pessoais no Setor Público
/ Lição - O Tratamento de Dados Pessoais no Setor Público
Proteção de Dados Pessoais no Setor
Público
Lição - O Tratamento de Dados Pessoais no Setor
Público
Feedback
 
 O tratamento de dados pessoais deve ser limitado: 
A. De acordo com o termo de consentimento assinado pelo titular. 
B. Aos propósitos legítimos, específicos, explícitos e informados pelo titular. 
C. Ao mínimo necessário para a realização das suas finalidades. 
D. À finalidade de seu tratamento.
E. Aos critérios de transparência definidos pela Lei nº 12.527/2011 (Lei de Acesso à Informação). 

O inciso III do artigo 6º da LGPD indica que as atividades de tratamento de dados pessoais devem ser
limitadas “ao mínimo necessário para a realização das suas finalidades”.
Finalizar Lição
Progresso na lição: 93%
93%
☰
https://mooc.escolavirtual.gov.br/my/
https://mooc.escolavirtual.gov.br/course/view.php?id=5387
https://mooc.escolavirtual.gov.br/course/view.php?id=5387#section-1
https://mooc.escolavirtual.gov.br/mod/lesson/view.php?id=135684