SóProvas

Questões de Segurança, Boas Práticas e Fiscalização

ID
5261935
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2021
Provas
Disciplina
Direito Digital
Assuntos

Com base na Lei n.º 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD) —, julgue os itens a seguir.

Independentemente do modo como tenham sido coletados, todos os dados pessoais que estejam sob o controle dos operadores devem ser abrangidos por uma governança de privacidade.

Alternativas
Comentários

  • Certo, se tem dado é necessária uma política de governança... implementar programa de governança em privacidade que, no mínimo:

    a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais. Art.50 da LGPD.

    Foco!!!

  • Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

  • Art. 50.

    § 2º -Na aplicação dos princípios indicados nos incisos VII e VIII do  caput  do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:

    I - implementar programa de governança em privacidade que, no mínimo:

    b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta

  • Eu acho que a questão está errada por causa da utilização do verbo "dever" no lugar de "poder". Dever = obrigação Poder = faculdade

  • Resposta - Certa

    Independente do modo, deve aplicar governança de privacidade.

  • CERTO

ID
5303371
Banca
MPDFT
Órgão
MPDFT
Ano
2021
Provas
Disciplina
Direito Digital
Assuntos

Entre outras disposições legais, a Lei Geral de Proteção de Dados - LGPD, a Lei nº 13.709/2018, é a legislação brasileira que regula as atividades de tratamento de dados pessoais e que também altera os arts. 7º e 16 do Marco Civil da Internet. Assim, assinale a alternativa correta:

Alternativas
Comentários

  • GABARITO: LETRA A

    O art. 48 da LGPD estabelece que: “O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”. Em relação ao prazo, o § 1º do art. 48 da LGPD preceitua que “A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional”.

    Perceba que, para o nosso azar, a Lei não traz nenhum prazo exato para a instauração do chamado incidente de segurança. Enquanto não há uma efetiva regulamentação neste sentido, tem-se recomendado que, após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data do conhecimento do incidente.

    Tal interregno foi estabelecido com parâmetro na definição de comunicação já existente no Decreto nº 9936/2019, que “disciplina a formação e a consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito”.

  • GABARITO - A

    A LGPD faz uma mera recomendação !

    A) Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

    § 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo (...)

    _____________________________________

    LGPD / DEFINIÇÕES:

    dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

    dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

    banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

    titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

    controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

    operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

    encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);         

    agentes de tratamento: o controlador e o operador;

    (.....)

  • Questão sobre tema novo.

    A - O chamado incidente de segurança deve ser comunicado à autoridade nacional de dados naqueles casos em que possa acarretar risco ou dano relevante aos titulares, em prazo razoável, com a recomendação atual de dois dias úteis, contado da data do conhecimento do incidente, enquanto não sobrevier outra regulação. (Gabarito. Há uma recomendação pela ANPD de que a comunicação seja feita no prazo de dois dias úteis, conforme nota divulgada no sítio eletrônico: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca)

    "Qual o prazo para comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados?

    Enquanto pendente a regulamentação, recomenda-se que após a ciência do evento adverso e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data do conhecimento do incidente.

    B - A LGPD fixou como prazo legal de comunicação à autoridade nacional de dados naqueles casos em que possa acarretar risco ou dano relevante aos titulares o prazo de dois dias úteis a partir do conhecimento do vazamento dos dados. (Errado. Em nenhum momento a LGPD fixou um prazo em seu texto, apenas dispôs que: "A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional" - § 1º do art. 48).

    C - A LGPD fixou como prazo legal de comunicação à autoridade nacional de dados naqueles casos em que possa acarretar risco ou dano relevante aos titulares o prazo de dois dias úteis a partir da ocorrência do vazamento dos dados, tornando obrigação do gestor dos dados a realização de auditorias permanentes para detectar falhas na segurança. (Errado. Em nenhum momento a LGPD fixou um prazo em seu texto, apenas dispôs que: "A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional" - § 1º do art. 48).

    D - A LGPD fixou como obrigação do gestor do banco de dados o de comunicação à autoridade nacional de dados somente naqueles casos em que possa acarretar dano relevante aos titulares, tendo fixado um prazo legal de cinco dias úteis.

    E - A LGPD fixou como obrigação do gestor do banco de dados o de comunicação à autoridade nacional de dados somente naqueles casos em que possa acarretar dano relevante aos titulares, tendo fixado um prazo legal de sete dias úteis.

    As assertivas D e E estão erradas.

    Existem dois pontos errados nas assertivas:

    (a) o texto legal não utiliza a palavra somente: Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;

    (b) em nenhum momento a LGPD fixou um prazo em seu texto, apenas dispôs que: "A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional" - § 1º do art. 48). Outrossim, a atual RECOMENDAÇÃO da ANPD é que a comunicação ocorra em 2 dias úteis).

  • Além do art. 48 da LGPD, já citado pelos colegas, vejamos o teor do art. 18, caput e §1º do Decreto 9.936/2019:

    Art. 18. Na ocorrência de vazamento de informações de cadastrados ou de outro incidente de segurança que possa acarretar risco ou prejuízo relevante a cadastrados, o gestor de banco de dados comunicará o fato:

    I - à Autoridade Nacional de Proteção de Dados, na hipótese de ocorrência que envolva o fornecimento de dados de pessoas naturais;

    II - ao Banco Central do Brasil, na hipótese de ocorrência que envolva o fornecimento de dados prestados por instituições autorizadas a funcionar pelo Banco Central do Brasil; e

    III - à Secretaria Nacional do Consumidor do Ministério da Justiça e Segurança Pública, na hipótese de ocorrência que envolva o fornecimento de dados de consumidores.

    § 1º A comunicação de que trata o caput será feita no prazo de dois dias úteis, contado da data do conhecimento do incidente, e mencionará, no mínimo:

    I - a descrição da natureza dos dados pessoais afetados;

    II - as informações sobre os cadastrados envolvidos;

    III - a indicação das medidas de segurança utilizadas para a proteção dos dados, inclusive os procedimentos de encriptação;

    IV - os riscos relacionados ao incidente; e

    V - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

  • LETRA A CORRETA

    LEI 13.709

    Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

    § 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional

  • correto :

    O chamado incidente de segurança deve ser comunicado à autoridade nacional de dados naqueles casos em que possa acarretar risco ou dano relevante aos titulares, em prazo razoável, com a recomendação atual de dois dias úteis, contado da data do conhecimento do incidente, enquanto não sobrevier outra regulação.

  • mamãe

ID
5432743
Banca
IDECAN
Órgão
PC-CE
Ano
2021
Provas
Disciplina
Direito Digital
Assuntos

Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I. advertência, com indicação de prazo para adoção de medidas corretivas;
II. multa diária não superior a R$ 50.000,00 (cinquenta mil reais);
III. publicização da infração após devidamente apurada e confirmada a sua ocorrência; IV. suspensão por prazo indeterminado do exercício da atividade de tratamento dos dados pessoais a que se refere a infração;
V. bloqueio dos dados pessoais a que se refere a infração até a sua regularização.

Analise os itens acima e assinale

Alternativas
Comentários

  • GABARITO: C.

    I – Literalidade do inciso I, do artigo 52, da Lei 13.709/2018: “Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I - advertência, com indicação de prazo para adoção de medidas corretivas” PROPOSIÇÃO CERTA

    II – O limite é de 2% do faturamento ou 50 milhões de reais, e não 50 mil conforme a proposição. PROPOSIÇÃO ERRADA

    III – Literalidade do inciso IV, do artigo 52, da Lei 13.709/2018, sendo: “IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência” PROPOSIÇÃO CERTA

    IV – A suspensão das atividades, segundo o inciso XI, do artigo 52, da Lei 13.709/2018, é pelo prazo máximo de 6 meses. PROPOSIÇÃO ERRADA

    V – Literalidade do inciso V, do artigo 52, da Lei 13.709/2018. PROPOSIÇÃO CERTA  

    FONTE: ALFACON.

  • Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

    I - advertência, com indicação de prazo para adoção de medidas corretivas;

    II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

    III - multa diária, observado o limite total a que se refere o inciso II;

    IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

    V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

    VI - eliminação dos dados pessoais a que se refere a infração;

    X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  

    XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  

    XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

    Em negrito: corretas

    Vermelho: erradas

  • GABARITO: Letra C - se apenas os itens I, III e V estiverem corretos.

    I. advertência, com indicação de prazo para adoção de medidas corretivas; Certa - Art. 52, I, Lei 13.709.

    II. multa diária não superior a R$ 50.000,00 (cinquenta mil reais);

    Errada - Art. 52, II, Lei 13.709 - São R$ 50.000.000,00 (cinquenta milhões de reais).

    III. publicização da infração após devidamente apurada e confirmada a sua ocorrência; Certa - Art. 52, IV, Lei 13.709.

    IV. suspensão por prazo indeterminado do exercício da atividade de tratamento dos dados pessoais a que se refere a infração;

    Errada - Art. 52, VIII, Lei 13.709 - É pelo período máximo de 6 (seis) meses, prorrogável por igual período;

    V. bloqueio dos dados pessoais a que se refere a infração até a sua regularização. Certa - Art. 52, V, Lei 13.709.

  • Questão sobre as penalidades aplicáveis para os casos de descumprimento da lei, que estão previstas nos artigos 52 a 54. Basicamente, são 5 (cinco) tipos de penalidades pela ANPD: 

    1. Advertência;
    2. alteração/retificação/bloqueio/cancelamento dos dados pessoais;
    3. suspensão;
    4. proibição parcial ou total; e 
    5. aplicação de multa pecuniária. 

    Mas a questão entrou no detalhe. Então vamos lá!

    I. Correto, nos termos do art. 52, inciso I:

    Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

    I - advertência, com indicação de prazo para adoção de medidas corretivas;

    II. Errado. A multa é de até 2% (dois por cento) do faturamento do último exercício, limitada a R$ 50.000.000,00(cinquenta milhões de reais) por infração. Não foi estabelecido o limite da multa diária, mas sabe-se que o seu limite total também é de R$ 50.000.000,00 (cinquenta milhões de reais). Observe:

    Art. 52. (...)

    II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

    III - multa diária, observado o limite total a que se refere o inciso II;

    III. Correto, nos termos do art. 52, inciso IV:

    Art. 52. (...)

    IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

    IV. Errado. A suspensão do exercício da atividade de tratamento dos dados pessoais não é por prazo indeterminado. É pelo período máximo de 6 (seis) meses, prorrogável por igual período (art. 52, XI).

    V. Correto, nos termos do art. 52, inciso V.

    Itens I, III e V estão corretos.

    Gabarito: C

  • Sanções (art. 52):

    I - advertência, com indicação de prazo para adoção de medidas corretivas;

    II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

    III - multa diária, observado o limite total a que se refere o inciso II;

    IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

    V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

    VI - eliminação dos dados pessoais a que se refere a infração;

    X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  (Incluído pela Lei nº 13.853, de 2019)   

    XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  (Incluído pela Lei nº 13.853, de 2019)  

    XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  (Incluído pela Lei nº 13.853, de 2019)

ID
5579509
Banca
FUNDATEC
Órgão
SPGG - RS
Ano
2022
Provas
Disciplina
Direito Digital
Assuntos

De acordo com a LGPD (Lei Federal nº 13.709/2018), os agentes de tratamento dedados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintessanções administrativas aplicáveis pela autoridade nacional:

• Advertência.

• Multa simples.

• Multa diária.

• Publicização da infração.

• Bloqueio dos dados pessoais.


Com relação às sanções administrativas previstas pela LGPD, qual o valor máximo a ser aplicado parauma multa simples?

Alternativas
Comentários

  • Letra D

    Mesmo limite para MULTA DIÁRIA

  • LGPD (Lei Federal nº 13.709/2018)

    Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei,ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

    I - advertência, com indicação de prazo para adoção de medidas corretivas;

    II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00(cinquenta milhões de reais) por infração;

    III - multa diária, observado o limite total a que se refere o inciso II;

    IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

    V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

    VI - eliminação dos dados pessoais a que se refere a infração;

    X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

    XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

    XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

  • Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei,ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

    I - advertência, com indicação de prazo para adoção de medidas corretivas;

    II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00(cinquenta milhões de reais) por infração;

    III - multa diária, observado o limite total a que se refere o inciso II;(a R$ 50.000.000,00(cinquenta milhões de reais) por infração;)

    IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

    V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

    VI - eliminação dos dados pessoais a que se refere a infração;

    X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

    XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

    XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

ID
5669656
Banca
CESPE / CEBRASPE
Órgão
Telebras
Ano
2022
Provas
Disciplina
Não definido
Assuntos

Considerando o disposto na Lei Geral de Proteção de Dados Pessoais (LGPD), julgue o item que se segue. 

A totalidade dos dados pessoais contidos em banco de dados constituído com a finalidade exclusiva de garantia da segurança pública não poderá ser tratada por pessoa de direito privado, ainda que esta possua capital integralmente constituído pelo poder público.

Alternativas