Atividade Trilho 2 - Atuando na governança e na aplicação de medidas de proteção de dados pessoais_ Revisão da tentativa

Prévia do material em texto

Iniciado em sexta-feira, 13 jun. 2025, 08:14
Estado Finalizada
Concluída em sexta-feira, 13 jun. 2025, 08:42
Tempo
empregado
28 minutos 12 segundos
Notas 6,00/10,00
Avaliar 60,00 de um máximo de 100,00
Questão 1
Completo
Atingiu 0,00 de 1,00
A formulação de regras de boas práticas e de governança, nos termos do art. 50 da LGPD, prevê também que o controlador
implemente programa de governança em privacidade. Conforme a LGPD, assinale a alternativa INCORRETA sobre o programa de
governança em privacidade:
a. O controlador deverá implementar programa de governança em privacidade que, entre outros, contemple um plano de
resposta a incidentes com dados pessoais.
b. O monitoramento contínuo e as avaliações periódicas do programa de governança em privacidade possibilitam sua constante
atualização.
c. O programa de governança em privacidade visa também estabelecer uma relação de confiança com os titulares de dados
pessoais.
d. A avaliação sistemática dos riscos à privacidade prevista no programa de governança em privacidade fundamenta as políticas
para salvaguardar os dados pessoais.
e. É importante que o programa de governança em privacidade seja adaptado à escala e ao volume dos dados pessoais tratados
pelo controlador.
O programa de governança em privacidade é considerado uma boa prática do controlador, não sendo obrigatória sua implementação.
13/06/2025, 08:42 Atividade Trilho 2 - Atuando na governança e na aplicação de medidas de proteção de dados pessoais: Revisão da tentativa
https://mooc41.escolavirtual.gov.br/mod/quiz/review.php?attempt=13622397&cmid=232644 1/6
Questão 2
Completo
Atingiu 1,00 de 1,00
Questão 3
Completo
Atingiu 0,00 de 1,00
O registro das operações de tratamento de dados pessoais é uma das obrigações do agente de tratamento, nos termos do art. 37 da
LGPD. Normalmente, tal registro é realizado por meio de um inventário de dados pessoais. Sobre o registro das operações de
tratamento, ou inventário de dados pessoais, assinale a alternativa correta:
a. O registro das operações deve ser realizado pelo controlador e pelo operador.
b. Quando a base legal (hipótese para o tratamento de dados pessoais) é o consentimento ou o legítimo interesse, o registro das
operações é dispensado.
c. Conforme a LGPD, o registro das operações dos dados pessoais sensíveis deve ser mantido sob sigilo do ente, em razão da
natureza do tratamento.
d. O modelo de inventário de dados pessoais estabelecido pelo PPSI é de uso obrigatório pelo agente de tratamento
pertencente ao SISP.
e. Nos termos da LGPD, a responsabilidade por manter atualizado o registro das operações de tratamento é do encarregado pelo
tratamento de dados pessoais.
O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente
quando baseado no legítimo interesse.
Não há objeção na LGPD para a publicização do registro de operações de tratamento de dados pessoais sensíveis.
O modelo de inventário de dados pessoais do PPSI é de livre utilização.
Na LGPD, os princípios da transparência e do livre acesso preconizam a disponibilização, ao titular, das informações sobre o tratamento
de dados pessoais. Sobre a transparência e o livre acesso às informações sobre o tratamento, assinale a alternativa INCORRETA:
a. A garantia aos titulares de informações claras, precisas e facilmente acessíveis corresponde ao princípio da transparência.
b. Na LGPD, além do princípio da transparência disposto no art. 6º, há outros dispositivos que tratam do dever do controlador de
informar ao titular sobre como seus dados pessoais são tratados.
c. O princípio do livre acesso determina aos controladores que os titulares devem ter acesso facilitado e gratuito sobre a forma
e a duração do tratamento de seus dados pessoais.
d. Os direitos dos titulares para obter informações sobre a finalidade, a forma e a duração do tratamento são exercidos mediante
requerimento ao controlador, que pode ser apresentado a qualquer momento.
e. Na hipótese de compartilhamento de dados pessoais com outros controladores, deverá haver menção explícita ao titular de
dados pessoais, inclusive sobre a finalidade de tal compartilhamento.
A LGPD estabelece que para obtenção de informações sobre a finalidade, a forma e a duração do tratamento, não há necessidade de o
titular requerer ao controlador.
13/06/2025, 08:42 Atividade Trilho 2 - Atuando na governança e na aplicação de medidas de proteção de dados pessoais: Revisão da tentativa
https://mooc41.escolavirtual.gov.br/mod/quiz/review.php?attempt=13622397&cmid=232644 2/6
Questão 4
Completo
Atingiu 1,00 de 1,00
Questão 5
Completo
Atingiu 1,00 de 1,00
No âmbito da administração pública federal, a contratação de soluções ou serviços que realizam tratamento de dados pessoais deve
ser precedida de inclusão de requisitos, nos instrumentos convocatórios, que garantam a proteção de tais dados e a segurança da
informação. Assinale a opção INCORRETA acerca da inclusão de requisitos de privacidade em instrumentos convocatórios, dispostos no
Guia de Requisitos e Obrigações quanto à Privacidade e à Segurança da Informação do PPSI:
a. Poderá haver, no instrumento convocatório, a exigência de segregação dos ambientes de desenvolvimento, teste, homologação
e produção para fins de redução dos riscos de privacidade e de segurança da informação.
b. Entre as responsabilidades a serem imputadas à contratada, estão o dever de descarte seguro dos dados pessoais e de
reportar incidentes.
c. No modelo de gestão do contrato do instrumento convocatório, deverá haver a previsão de implementação, pela contratada,
da identificação das operações de tratamento realizadas e da notificação de eventuais violações de dados pessoais ao
controlador.
d. Nos instrumentos convocatórios, a previsão de notificação de eventuais violações de dados pessoais pela contratada ao
controlador deve exclusivamente ocorrer nos casos em que há tratamento de dados pessoais sensíveis.
e. Controles criptográficos e de acesso, gestão de incidentes e desenvolvimento seguro são alguns dos requisitos gerais de
privacidade a serem incluídos nos instrumentos convocatórios.
A notificação deve ser feita pelo operador ao controlador na ocorrência de violações de dados pessoais sensíveis ou não sensíveis.
O relatório de impacto à proteção de dados pessoais (RIPD) é um importante instrumento disposto na LGPD acerca das operações de
tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais. Sobre o RIPD, e conforme a
LGPD, assinale a alternativa correta:
a. A ANPD poderá solicitar o RIPD aos agentes de tratamento quando as operações de tratamento tiverem como fundamento a
hipótese (base legal) legítimo interesse.
b. Além das medidas, salvaguardas e mecanismos de mitigação dos riscos, o RIPD deve conter também a descrição das
operações de tratamento.
c. Os agentes de tratamento do Poder Público, para fins de cumprimento do princípio da transparência, devem publicar os RIPDs,
observados os segredos comercial e industrial.
d. O RIPD é elaborado especificamente quando as operações de tratamento envolverem dados pessoais sensíveis e deve conter
minimamente a descrição dos tipos de dados pessoais tratados.
e. O RIPD é documentação a ser elaborada pelos agentes de tratamento e deve conter também a metodologia usada para o
tratamento e para a garantia da segurança das informações.
Quando o tratamento for fundamentado no legítimo interesse, a ANPD pode solicitar ao controlador a elaboração do RIPD.
A ANPD poderá solicitar a agentes do Poder Público a publicação de RIPDs.
O RIPD é elaborado quando as operações de tratamento de dados pessoais sensíveis e não sensíveis gerarem riscos às liberdades civis
e aos direitos fundamentais.
O RIPD é documentação a ser elaborada pelo controlador.
13/06/2025, 08:42 Atividade Trilho 2 - Atuando na governança e na aplicação de medidas de proteção de dados pessoais: Revisão da tentativahttps://mooc41.escolavirtual.gov.br/mod/quiz/review.php?attempt=13622397&cmid=232644 3/6
Questão 6
Completo
Atingiu 0,00 de 1,00
Questão 7
Completo
Atingiu 0,00 de 1,00
O tratamento de incidente de segurança minimiza os impactos aos entes públicos e aos titulares de dados pessoais. Acerca dos
incidentes com dados pessoais e seu tratamento, assinale a alternativa INCORRETA:
a. O prazo de três dias úteis para comunicação do incidente de segurança é contado a partir do conhecimento, pelo controlador,
de que o incidente afetou dados pessoais – ressalvado prazo para comunicação previsto em legislação específica.
b.  A comunicação de incidente, quando afetar dados pessoais, deve ser realizada pelo agente de tratamento à ANPD e aos
titulares.
c. As informações exigidas para comunicação à ANPD poderão ser complementadas posteriormente à comunicação do incidente
de segurança, no prazo de vinte dias úteis após a comunicação.
d. A ANPD poderá determinar a ampla divulgação do incidente em meios de comunicação, como medida de salvaguarda dos
direitos dos titulares, e tal fato não se constitui em uma sanção.
e. O Guia de Resposta a Incidentes de Segurança, da SGD/MGI, recomenda que a ETIR realize o plano de comunicação e inclua o
encarregado sempre que identificar que o incidente envolver dados pessoais.
A comunicação de incidente de segurança, quando afetar dados pessoais, deve ser realizada pelo controlador.
Medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais devem ser adotadas desde a fase de concepção
do produto ou do serviço. Acerca do desenvolvimento de soluções aderentes à privacidade, assinale a opção INCORRETA:
a. A privacidade incorporada ao projeto prevê a aplicação de configurações que garantem a privacidade do usuário na concepção
e na arquitetura do produto ou serviço, não sendo acoplada posteriormente como complemento.
b. Os riscos de privacidade e proteção de dados pessoais dos aplicativos móveis decorrem principalmente de duas dimensões:
natureza (ex: software executado em dispositivos móveis privados) e particulares do ambiente de desenvolvimento.
c. A LGPD prevê expressamente quais medidas técnicas devem ser aplicadas para proteger os dados pessoais de acessos não
autorizados.
d. A aplicação dos princípios do Privacy by Design (Privacidade desde a concepção) reduz os riscos de privacidade pois as
medidas são proativas.
e. Entre as estratégias de design de privacidade, estão a ocultação e a minimização.
Não há disposição, na LGPD, de quais medidas técnicas devem ser aplicadas para a proteção dos dados pessoais de acessos não
autorizados.
13/06/2025, 08:42 Atividade Trilho 2 - Atuando na governança e na aplicação de medidas de proteção de dados pessoais: Revisão da tentativa
https://mooc41.escolavirtual.gov.br/mod/quiz/review.php?attempt=13622397&cmid=232644 4/6
Questão 8
Completo
Atingiu 1,00 de 1,00
Questão 9
Completo
Atingiu 1,00 de 1,00
Os agentes de tratamento devem realizar treinamento e conscientização de seus servidores, colaboradores e demais agentes
públicos. Sobre treinamento e conscientização, assinale a opção INCORRETA:
a.  Treinamento e conscientização são consideradas medidas aplicadas para a proteção de dados pessoais.
b. A depender dos papéis exercidos pelos agentes públicos, poderá haver necessidades distintas de treinamento nas melhores
práticas de proteção de dados pessoais.
c. O ideal é que todas as pessoas que tratam dados pessoais em suas atividades laborais sejam conscientizadas sobre a
necessidade de protegê-los.
d. A conscientização sobre a importância da proteção de dados pessoais é um procedimento único, preferencialmente aplicado
quando o agente público ingressa no órgão ou entidade.
e. Um programa de conscientização adequado considera, entre outros aspectos, a compreensão dos agentes públicos acerca de
suas responsabilidades na proteção de dados pessoais.
A conscientização em aspectos relacionados à proteção de dados pessoais é um processo realizado continuamente, e não em
procedimento único.
O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e
atribuição legal pelos órgãos e pelas entidades públicas. Conforme a LGPD, assinale a alternativa incorreta sobre o compartilhamento
de dados pessoais pela administração pública:
a. O titular deve obter do controlador informações sobre eventual compartilhamento de seus dados pessoais com terceiros.
b. O compartilhamento de dados pessoais pelo Poder Público com a iniciativa privada deverá ser informado à ANPD, ressalvadas
algumas exceções.
c. Poderá ser realizado compartilhamento de dados pessoais sensíveis para executar política pública prevista em contratos ou
convênios.
d. O uso compartilhado de dados pessoais prevê que sejam mantidos em formato interoperável e estruturado.
e. A ANPD poderá estabelecer normas complementares sobre o uso compartilhado de dados pessoais pelo Poder Público.
Para dados pessoais sensíveis, o compartilhamento pela administração pública apenas poderá ser realizado para a execução de
políticas públicas previstas em leis ou regulamentos.
13/06/2025, 08:42 Atividade Trilho 2 - Atuando na governança e na aplicação de medidas de proteção de dados pessoais: Revisão da tentativa
https://mooc41.escolavirtual.gov.br/mod/quiz/review.php?attempt=13622397&cmid=232644 5/6
Questão 10
Completo
Atingiu 1,00 de 1,00
O Programa de Privacidade e Segurança da Informação (PPSI), estabelecido pela Portaria SGD/MGI nº 852/2023, objetiva elevar a
maturidade e a resiliência dos órgãos e entidades do SISP (Sistema de Administração dos Recursos de Tecnologia da Informação) em
termos de privacidade e segurança da informação. Assinale a alternativa correta sobre o PPSI:
a. A Estrutura de Governança do PPSI é composta por: gestor de tecnologia da informação e comunicação, gestor de segurança
da informação e encarregado pelo tratamento de dados pessoais.
b. O PPSI é um conjunto de projetos e processos distribuídos em quatro áreas temáticas:  governança, metodologia, pessoas e
tecnologia.
c. Entre as iniciativas do PPSI, estão a de diagnosticar o grau de implementação dos controles de privacidade e segurança da
informação dos entes do SISP e apoiar na prevenção, tratamento e resposta a incidentes cibernéticos.
d. Para implementar o PPSI, o ente do SISP deve iniciar pela etapa de análise de lacunas, onde são identificadas oportunidades
quanto à necessidade de implementação de medidas ou de melhoria das medidas implementadas.
e. No âmbito do PPSI, há três centros: o Centro de Diagnóstico e Planejamento de Controles, o Centro Integrado de Segurança
Cibernética do Governo Digital e o Centro de Excelência em Privacidade e Segurança da Informação.
A Estrutura de Governança do PPSI é composta por: gestor de tecnologia da informação e comunicação, gestor de segurança da
informação e encarregado pelo tratamento de dados pessoais e pelo responsável pela unidade de Controle Interno (que atua na
supervisão e monitoramento das atividades).
O PPSI caracteriza-se como um conjunto de projetos e processos distribuídos em cinco áreas temáticas: governança, maturidade,
metodologia, pessoas e tecnologia. 
A etapa inicial da implementação do PPSI é a autoavaliação, onde é realizada a avaliação, pelo próprio ente, de acordo com o modelo de
avaliação de maturidade e capacidade do PPSI.
No âmbito do PPSI há apenas dois centros: o Centro de Excelência em Privacidade e Segurança da Informação do Governo Digital, que
promove a cultura de privacidade e segurança da informação nos entes do SISP, e o Centro Integrado de Segurança Cibernética do
Governo Digital - CISC Gov.br, de coordenação operacional das equipes de prevenção, tratamento e resposta a incidentes cibernéticos
dos entes do SISP.
13/06/2025, 08:42 Atividade Trilho 2 - Atuando na governança e na aplicação de medidas de proteção de dados pessoais: Revisão da tentativa
https://mooc41.escolavirtual.gov.br/mod/quiz/review.php?attempt=13622397&cmid=2326446/6