Escolar Documentos
Profissional Documentos
Cultura Documentos
Materila do iNtrutero
© Copyright 2019 by IT Partners Assessoria e Consultoria Ltda.
The information contained in this classroom material is subject to change without notice.
This material contains proprietary information that is protected by copyright.
No part of this material may be photocopied, reproduced, or translated to another language without the prior
consent of IT Partners Assessoria e Consultoria Ltda.
This course follow strictly the: “Guia de preparação – EXIN Privacy Data Protection Foundation” from Exin
Netherlands – All rights reserved.
Edição 201809
Copyright © EXIN Holding B.V. 2018. All rights reserved.
EXIN® is a registered trademark.
No part of this publication may be reproduced, stored, utilized or transmitted in any form or by any means,
electronic, mechanical, or otherwise, without the prior written permission from EXIN.
2 2
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
Conteúdo
1 Visão Geral 4
2 Requisitos do exame 6
3 Lista de conceitos básicos 10
4 Literatura 17
3 3
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
1. Visão Geral
Escopo
EXIN Privacy and Data Protection Foundation (PDPF) é uma certificação que valida o
conhecimento de um profissional sobre a organização da proteção de dados pessoais, as regras
e regulamentos da UE (União Europeia) em matéria de proteção de dados.
Resumo
Onde quer que os dados pessoais sejam coletados, armazenados, usados e, finalmente,
excluídos ou destruídos, surgem preocupações de privacidade. Com o Regulamento Geral de
Proteção de Dados da UE (GDPR), o Conselho da União Europeia tenta reforçar e unific ar a
proteção de dados para todos os indivíduos da União Europeia (UE). Este regulamento afeta
todas as organizações que processam os dados pessoais de cidadãos da EU e tem efeitos além
destas fronteiras. O PDPF abrange os principais assuntos relacionados ao GDPR e tem sido
usado como um guia para diversos países fora da UE em fase de elaboração das suas próprias
leis.
Contexto
O certificado EXIN Privacy and Data Protection Foundation (PDPF) faz parte do programa de
qualificação EXIN Privacy and Data Protection.
Grupo alvo
Todos os colaboradores precisam ter uma compreensão da proteção de dados e dos requisitos
legais, conforme definido no GDPR. As seguintes funções mais específicas podem se interessar:
DPO (Diretor de Proteção de Dados), Privacy Officer (Diretor de Privacidade), Legal Officer /
Compliance Officer (Diretor Jurídico / Diretor de Conformidade), Security Officer (Diretor de
Segurança), Business Continuity Manager (Gerente de Continuidade de Negócios).
4 4
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
Detalhes do exame
Tipo de exame: Pergunta de múltipla escolha no computador
ou em papel
Número de questões: 40
Mínimo para aprovação: 65 %
Com consulta/observações: Não
Equipamentos eletrônicos permitidos: Não
Tempo designado para o exame: 60 minutos
Bloom level
A certificação EXIN PDPF Foundation testa candidatos no Bloom Nível 1 e Nível 2 de acordo com a
Taxonomia Bloom Revisada:
• Bloom Level 1: Remembering (Lembrança) - depende da recuperação de informações. Os
candidatos precisarão absorver, lembrar, reconhecer e recordar. Este é o elemento
fundamental da aprendizagem antes que os candidatos possam avançar para níveis mais
elevados.
• Bloom Level 2: Understanding (Compreensão) - um passo além da lembrança. O
entendimento mostra que os candidatos compreendem o que é apresentado e podem
avaliar como o material de aprendizagem pode ser aplicado em seu próprio ambiente.
Treinamento
Horas de contato
O número recomendado de horas presenciais para esse treinamento é de 15 horas. Isso inclui
atribuições em grupo, preparação para o exame e paradas curtas (breaks). Este número de horas
não inclui tarefas para casa, a logística (preparação) relacionada à sessão do exame, a sessão do
exame e intervalos de almoço.
Provedores de Treinamentos
Você encontrará uma lista de nossos provedores de treinamento credenciados em www.exin.com.
5 5
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
2. Requisitos do exame
Os requisitos do exame são definidos nas especificações do exame. A tabela a seguir lista os
tópicos do módulo (requisitos do exame) e subtópicos (especificações do exame).
Requisito de Peso
Especificação de exame
exame (% )
1. Fundamentos e regulamentação de Privacidade e Proteção de
45
Dados
1.1 Definições
1.2 Dados Pessoais
1.3 Fundamentos legítimos e limitação de propósito
1.4 Requisitos adicionais para processamento legítimo de
dados pessoais
1.5 Direitos do titular dos dados
1.6 Violação de dados e procedimentos relacionados
Total 100
1 Antes da introdução da GDPR, a autoridade de proteção de dados que era chamada de autoridade nacional, sendo esta a
responsável pela aplicação do regulamento sobre proteção de dados. Apos a entrada da GPDR, ela agora é chamada de
autoridade fiscalizadora.
6 6
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
Especificações do exame
7 7
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
2. Organizando a proteção de dados
2.1 Importância da proteção de dados para a organização (13%)
O candidato é capaz de
2.1.1 Listar os diferentes tipos de administração (GDPR art 28 & 30)
2.1.2 Indicar quais atividades são necessárias para estar em
conformidade com a GDPR
2.1.3 Dar uma definição de proteção de dados by design e por padrão
2.1.4 Dar exemplos de violação de dados
2.1.5 Descrever a obrigação de notificação de violação de dados
conforme estabelecido na GDPR.
2.1.6 Descrever a execução das regras mediante a emissão de
penalidades, incluindo multas administrativas.
8 8
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
3.3 Aplicações práticas relacionadas ao uso de dados, marketing e mídias
sociais (10%)
O candidato é capaz de
3.3.1 Descrever os objetivos do Gerenciamento do Ciclo de Vida do
Dado ( Data Life Cycle - DLC)
3.3.2 Explicar a retenção e minimização de dados
3.3.3 Descrever o que é um cookie e qual o seu objetivo
3.3.4 Descrever, do ponto de vista da proteção de dados, como o uso
generalizado da internet afetou a área de marketing
3.3.5 Dar exemplos sobre como as informações de midia social são
usadas para atividades de Marketing
9 9
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
3. Lista de conceitos básicos
Por favor, note que o conhecimento destes termos de maneira independente não é suficiente
para o exame; O candidato deve compreender os conceitos e estar apto a fornecer exemplos.
Inglês Português
adequate adequado
appropriate technical and organizational medidas técnicas e organizacionais apropriadas
measures
authenticity autenticidade
availability disponibilidade
binding compulsório
binding corporate rules (BCR) Regras Corporativas Compulsórias
biometric data dados biométricos
certification certificação
certification bodies organismos de certificação
child's consent consentimento da criança / do menor de idade
codes of conduct códigos de conduta
collection of personal data (verb.) coletar dados pessoais
commission reports relatórios de comissão
complaint reclamação
compliance conformidade
conditions for consent condições para consentimento
consent consentimento
consistency consistência
consistency mechanism mecanismo consistente
constitution constituição
contract contrato
controller controlador
cross-border processing processamento transfronteiriço
data breach violação de dados
data concerning health dados relativos à saúde
10 10
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
data controller responsável pelo tratamento dos dados
data protection proteção de dados
data protection authority Autoridade de Proteção de Dados (DPA)
data protection by default proteção de dados por padrão
data protection by design proteção de dados desde a concepção (by
design)
Data Protection Impact Assessment (DPIA) Avaliação de Impacto sobre a Proteção de
Dados (AIPD)
data protection officer (DPO) Data Protection Officer (DPO)
- designation - designação
- position - posição
- tasks - tarefas
data subject titular dos dados
data transfer transferência de dados
delegated acts and implementing acts atos delegados e atos de implementação
- committee procedure - procedimento de comitê
derogation derrogação
enforcement execução
- administrative fines - multas administrativas
- administrative penalties - sanções administrativas
- criminal penalties - sanções criminais
- dissuasive penalties - sanções dissuasivas
- effective penalties - sanções efetivas
- proportionate penalties - sanções proporcionais
enterprise empresa
European Economic Area (EEA) Área Econômica Europeia
EU types of legal act Tipos de atos legais da União Europeia (UE)
- decision - decisão
- directive - diretiva
- opinion - opinião
- recommendation - recomendação
- regulation - regulamentação
11 11
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
European Data Protection Board Comitê Europeu para Proteção de Dados
- chair - presidência
- confidentiality - confidencialidade
- independence - independência
- procedure - procedimento
- reports - relatórios
- secretariat - secretariado
- tasks - tarefas
European Data Protection Supervisor Autoridade Europeia para a Proteção de Dados
(EDPS) (AEPD / EDPS)
European Union legal acts on data Atos jurídicos da União Europeia sobre
protection proteção de dados
exchange of information troca de informações
exemption isenção
explicit consent consentimento explícito
genetic data dados genéticos
filing system sistema de arquivos
General Data Protection Regulation General Data Protection Regulation (GDPR)
(GDPR)
governing body órgão administrativo
group of undertakings grupo empresarial
independent supervisory authorities autoridades supervisoras independentes
- activity reports - relatórios de atividades
- competence - competência
- establishment - estabelecimento
- powers - atribuições, poderes
- tasks - tarefas
information society service serviço da sociedade da informação
international organization organização internacional
joint controllers joint controllers (responsáveis conjuntos)
judicial remedy medida judicial
lawfulness of processing legalidade do processamento
legal basis base legal
legitimate ground (GDPR article 17/1c, interesse legítimo (RGPD artigo 17/1c, artigo
article 18/1d, article 21/1) 18/1d, artigo 21/1)
12 12
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
legitimate basis (GDPR article 40) base legítima (RGPD artigo 40)
legitimate interest interesse legítimo
liability responsabilidade
main establishment sede da empresa
material scope escopo de aplicação material
National Identification Number Número de Identificação Nacional
non-repudiation não repúdio
opinion of the board parecer do comitê
personal data dados pessoais
personal data breach violação de dados pessoais
personal data relating to criminal dados pessoais relativos a condenações e
convictions and offences infrações criminais
principles relating to processing of personal princípios relacionados ao processamento de
data dados pessoais
- accountability - responsabilidade
- accuracy - precisão
- confidentiality - confidencialidade
- data minimization - tratamento mínimo dos dados
- fairness - equidade
- integrity - integridade
- lawfulness - legalidade
- purpose limitation - limitação de propósito
- storage limitation - limitação de armazenamento
- transparency - transparência
prior consultation consulta prévia
privacy privacidade
processing processamento
13 13
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
processing situations situações de processamento
- data protection rules of churches and - regras de proteção de dados de igrejas e
religious associations associações religiosas
- employment - emprego
- for archiving purposes in the public - para fins de arquivamento por interesse
interest público
- for scientific or historical research - para fins de pesquisa histórica ou científica
purposes - para fins estatísticos
- for statistical purposes - liberdade de expressão e informação
- freedom of expression and information - Número de Identificação Nacional
- National Identification Number - obrigações de sigilo
- obligations of secrecy - acesso públco a documentos oficiais
- public access to official documents
processing which does not require processamento que não requer identificação
identification
processor processador
profiling definição de perfis
pseudonymization pseudonimização
recipient destinatário
relevant and reasoned objection objeção relevante e fundamentada
representative representante
restriction of processing limitação de processamento
retention period período de retenção
right to compensation direito a compensação
14 14
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
rights of the data subject direitos do titular do dado:
- automated individual decision-making - tomada de decisão individual automatizada
- data portability - portabilidade de dados
- information and access - Informação e acesso
- modalities - modalidades
- notification obligation - obrigação de notificação
- rectification and erasure - retificação e apagamento
- restriction of processing - restrição de processamento
- restrictions - restrições
- ‘right to be forgotten' - "direito ao esquecimento"
- right to objection - direito à objeção, oposição ou
- transparency questionamento
- transparência
rules of procedure regras de procedimento
security breach (security incident) violação de segurança (incidente de segurança)
security of personal data segurança de dados pessoais
security of processing segurança de processamento
sensitive data dados sensíveis
special categories of personal data categorias especiais de dados pessoais
- biometric data - dados biométricos
- data concerning health - dados sobre saúde
- genetic data - dados genéticos
- political opinions - opiniões políticas
- racial or ethnic origin - origem étnica ou racial
- religious or philosophical beliefs - crenças religiosas ou filosóficas
- sex life or sexual orientation - vida sexual ou orientação sexual
- trade union membership - associação sindical
supervisory authority autoridade supervisora
supervisory authority concerned autoridade supervisora competente
suspension of proceedings suspensão do processo
territorial scope escopo de aplicação territorial
third party terceiro
15 15
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
transfer of personal data to third countries transferência de dados pessoais para países
and to international organizations terceiros e para organizações internacionais
- adequacy decision - decisão de adequação
- appropriate safeguards - salvaguardas apropriadas
- binding corporate rules - regras vinculantes aplicáveis à empresas
- derogations - derrogações
- disclosures - divulgações
- international protection of personal data - proteção internacional de dados pessoais
16 16
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
4. Literatura do exame
A A. Calder
EU GDPR, A pocket guide
IT Governance Publishing
ISBN 978-1-84928-855-2
(E-book: ISBN 978-1-84928-857-6)
B L. Besemer
White Paper – Privacidade, Dados Pessoais e GDPR
Faça o download gratuito em www.exin.com
C European Commission
General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679) Regulation of the
European Parliament and the Council of the European Union. Brussels, 6 April 2016,
disponível em:
http://eur-lex.europa.eu
PDF:
http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=EN
HTML:
http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:L:2016:119:FULL&from=EN
Comentário
Os requisitos do exame são baseados na literatura do exame. Literatura C não é uma literatura de
exame primário porque a literatura de outros exames fornece conteúdo suficiente sobre o GDPR. Os
candidatos devem estar familiarizados com a literatura C na extensão das referências feitas nas
outras literaturas.
17 17
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
Visão geral da literature
18 18
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
19 19
Guia de Preparação EXIN Privacy and Data Protection Foundation (PDPF.PR)
Contato EXIN
www.exin.com
Privacy & Data Protection Foundation
v. 1.5
No part of this publication m ay be published, reproduced, copied or stored in a data processing system or
circulated in any form by print, photo print, m icrofilm or any other m eans without written perm ission by EXIN.
Apresentação Pessoal
Agenda
Introdução
Simulado
Objetivos do Curso
Público Alvo
Pré-requisitos
Certificação e Exame
Detalhes do Exame:
• Duração: 60 minutos
• Formato: Em papel ou on-line utilizando computador
• Idioma: Disponível em português
• Número de questões: 40 questões de múltipla escolha
• Nota de corte: 65% (26 questões de 40)
• Restrições: Não é permitida a consulta a livros, apostilas,
anotações ou qualquer outro equipamento eletrônico de apoio
Exame
u Requisitos e pesos:
Especificações do Exame
• Número de questões: 40
Bibliografia
Bibliografia
Fim do Módulo 0
14
No part of this publication m ay be published, reproduced, copied or stored in a data processing system or
circulated in any form by print, photo print, m icrofilm or any other m eans without written perm ission by EXIN.
7,5%
Principal Objetivo
Fortalecer e unificar a proteção de dados para indivíduos na UE
Definições
Privacidade
u O direito de respeitar a vida privada e familiar de uma pessoa, a sua casa e
correspondência.
Proteção de dados
u O GDPR é sobre a proteção de dados pessoais, não de todos os dados.
Uma das primeiras proteções legais para informações pessoais foi codificada no
Artigo 8 da Convenção Europeia de Direitos Humanos (ECHR) em 1953.
Fornece a base para as modernas leis europeias de privacidade.
O artigo 8º diz:
1. Qualquer pessoa tem direito ao respeito da sua vida privada e familiar, do
seu domicílio e da sua correspondência
2. “Não pode haver ingerência da autoridade pública no exercício deste direito
senão quando esta ingerência estiver prevista na lei e constituir uma
providência que, numa sociedade democrática, seja necessária para a
segurança nacional, para a segurança pública, para o bem-estar econômico do
país, a defesa da ordem e a prevenção das infrações penais, a proteção da
saúde ou da moral, ou a proteção dos direitos e das liberdades de terceiros.”
(https://www.echr.coe.int/Documents/Convention_POR.pdf
Definições de privacidade da UE
Ø "Todo mundo tem o direito de proteger os dados pessoais que lhes dizem respeito".
Ø Tratado sobre o Funcionamento da Europa («Tratado de Roma, 1957»)
Visão Geral
Privacy UDHR
Privacy EU Charter
Directive95/46/EC
Data Protection
Regulation
2016/679
Contexto legislativo na UE
Ø A Diretiva 95/46 / CE sobre proteção de dados relativa à proteção das pessoas singulares no que diz respeito
ao tratamento de dados pessoais e à livre circulação desses dados (adoptada em 1995). Regulava o
processamento de dados pessoais dentro da União Europeia.
Ø A Diretiva 95/46 / CE, por ser apenas orientação FOI revogada quando o GDPR a partir de 25 de maio de
2018
Ø O Regulamento Geral de Proteção de Dados (GDPR) 2016/679 é um regulamento pelo qual a Comissão
Europeia pretende reforçar e unificar a proteção de dados para indivíduos dentro da União Europeia (UE).
Ø O regulamento foi adotado em 27 de abril de 2016 e entra em vigor em 25 de maio de 2018. A Diretiva de
Proteção de Dados (& GDPR) aplica-se aos países do Espaço Econômico Europeu (EEE).
Ø Isto inclui todos os países da UE e, além disso, os países não pertencentes à UE, a Islândia, o Liechtenstein e
a Noruega. (EEE EFTA)
Contextualizando..
Progresso Geracional de Proteção de
Dados Pessoais na Europa
Confiança
(Economia e Sociedade baseada em dados) data-driven society
u Exemplo:
Os Estados-Membros podem determinar ainda as condições específicas para o tratamento de
um número de identificação nacional ou de qualquer outro identificador de aplicação geral.
u Outras leis nacionais:
u Constituição
u Código Civil
u Lei policial
u Lei de imposto
u Arquivos e registros agem
u Ato de telecomunicações
u Etc.
Penalidades na GDPR
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 7.3.3 Condições gerais para a imposição de multas administrativas.
Seis princípios que devem ser aplicados a qualquer atividade que envolva a coleta ou o
processamento de dados pessoais:
1. Os dados pessoais devem ser processados 4. Os dados pessoais devem ser precisos e
de forma legal, justa e transparente. atualizados.
2. Os dados pessoais só podem ser coletados 5. Os dados pessoais devem ser mantidos de
para fins específicos, explícitos e forma a que o titular dos dados possa ser
legítimos. identificado apenas durante o tempo
necessário para o processamento.
3. Os dados pessoais devem ser adequados,
relevantes e limitados ao que é necessário 6. Os dados pessoais devem ser processados
para o processamento. de maneira a garantir sua segurança.
12%
Fonte: EU GDPR, Um guia de bolso - Capítulo 2 Termos e definições – Dados pessoais & GDPR art. 4 (1).
u Direto
Dados que podem ser atribuídos a um dado específico sem o uso de informações adicionais; por
exemplo. foto, DNA, etc.
u Indireto
Dados que não podem ser atribuídos a um indivíduo de dados específico sem o uso de
informações adicionais; por exemplo. Endereço IP, matrícula do carro, etc.
u Pseudonimização de Dados
Significa o processamento de dados pessoais de tal maneira que os dados pessoais não podem
mais ser atribuídos a um sujeito de dados específico sem o uso de informações adicionais. O
processo é reversível (com uma chave). Considera-se dados pessoais.
u Anonimização
Significa que nenhuma informação a partir da qual a pessoa a quem os dados se referem pode ser
identificada. NÃO são considerado dados pessoais.
Dados
Dados
Pessoais Anonimizados
(PII)
Zona Cinzenta
Dados
(Pseudo) Dados
Pessoais Anonimiza
(PII) dos Anonimizados
(Pseudo) Anonimização
(Pseudo) Anonimização Dados Anônimos
Artigo 4 (5) GDPR
Consideranda 26 Consideranda 26
«Pseudonimização», o
tratamento de dados pessoais Os dados pessoais que sofreram
de forma que deixem de pseudonimização (…) devem ser (..) não se aplica a
poder ser atribuídos a um considerados informações sobre uma informações anônimas,
titular de dados específico pessoa singular identificável. de tal forma que o titular
sem recorrer a informações se uma pessoa singular é identificável, dos dados não seja ou
suplementares, desde que devem ser tidos em conta todos os não seja mais
essas informações meios razoavelmente susceptíveis de identificável. O presente
suplementares sejam serem utilizados (...) Para averiguar se regulamento não se
mantidas separadamente e os meios são razoavelmente (...) devem refere, portanto, ao
sujeitas a medidas técnicas e ser tomados de todos os fatores tratamento de tais
organizativas para assegurar objetivos, tais como os custos e o informações anónimas,
que os dados pessoais não tempo necessário para a identificação, incluindo para fins
possam ser atribuídos a uma levando em consideração a tecnologia estatísticos ou de
pessoa singular identificada ou disponível investigação.
identificável
Filtro: Razoabilidade
GDPR
Art. 4 (5) Arte. 4 (5) «pseudonimização», o
tratamento de dados pessoais de forma a que os
dados pessoais deixem de poder ser atribuídos a Custo
uma pessoa específica
Razobailidade
(...)
Considerando 26 Para determinar se uma pessoa
singular é identificável, deve-se levar em conta todos os
meios razoavelmente prováveis de serem usados (...) Para Fatores Objetivos Tempo
determinar se os meios devem razoavelmente (...) ser
tomados de todos os fatores objetivos, tais como os
custose a quantidade de tempo necessária para a
identificação, levando em consideração a tecnologia Estado da Arte
disponível
Meios Razoáveis
u Informação
u Acesso aos dados pessoais sem qualquer custo para o titular dos dados.
u Retificação
u Eliminação ("direito de ser esquecido")
u Restrição de processamento
u Obrigação de notificação
u Portabilidade de dados
u Objeto
Não estar sujeito a uma decisão baseada exclusivamente no processamento
automatizado (Tomada de decisão individual automatizada)
Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Direitos dos titulares dos dados
Definição:
Qualquer operação ou conjunto de operações que são realizadas em dados
pessoais ou em conjuntos de dados pessoais, seja ou não por meios automatizados,
tais como coleta, gravação, organização, estruturação, armazenamento, adaptação
ou alteração, recuperação, consulta, uso, divulgação por transmissão, divulgação ou
disponibilização, alinhamento ou combinação, restrição, remoção ou destruição.
Aplicabilidade
O GDPR aplica-se a:
u organizações dentro da UE, e para
u quaisquer organizações externas que estão negociando dentro da UE.
Isso potencialmente inclui organizações em todo o mundo, independentemente de
quão difícil possa ser para aplicar o Regulamento.
Com o objetivo de impedir que as organizações europeias trabalhem com empresas e estados
que não cumprem os requisitos do regulamento, tanto o responsável pelo tratamento de dados
(provável que esteja na UE) como o processador de dados são responsáveis em caso de
violação de dados.
limitação de propósito
37
Fundamentos legítimos
FUNDAMENTO EXEMPLO
1) Consentimento Consentimento inequívoco pelo titular dos dados para um ou mais fins
específicos.
2) Execução de contrato Execução de um contrato em que o titular dos dados é parte ou para
tomar medidas, a pedido do titular dos dados, antes de celebrar um
contrato.
3) Cumprimento de obrigação Cumprimento de uma obrigação legal à qual o Controlador está sujeito.
legal, por parte do
Controlador
4) Proteção de interesse vital Proteção de um interesse vital do titular dos dados ou de outra pessoa
singular.
FUNDAMENTO EXEMPLO
1) Consentimento Empresa disponibiliza uma aplicação de música e solicita o consentimento dos
cidadãos para efetuar o tratamento das suas preferências musicais a fim de lhes
poder oferecer sugestões personalizadas de músicas e concertos
2) Execução de contrato A organização vende via internet e antes de celebrar o contrato pode, portanto,
efetuar o tratamento do nome, do endereço de entrega, do número de cartão de
crédito (se o pagamento for efetuado por cartão)
3) Cumprimento de obrigação Uma empresa para obter cobertura da seguridade social, é obrigada por lei a
fornecer os dados pessoais (por exemplo, o rendimento semanal dos seus
legal, por parte do trabalhadores) à autoridade competente.
Controlador
4) Proteção de interesse vital Um hospital está tratando de uma vítima de acidente rodoviário grave e precisa
pesquisar a sua identidade e verificar se a pessoa existe na base de dados do
hospital, a fim de consultar o seu processo clínico
5) Interesse uma associação profissional investida de autoridade pública para esse fim, pode
instaurar processos disciplinares contra alguns dos seus membros
Público/Exercício de
Autoridade
6) Legítimo interesse do A empresa garante a segurança da sua rede através do controle da utilização dos
dispositivos informáticos dos seus colaboradores limitando o acesso a
Controlador ou Terceiro* determinados sites.
Consentimento
Definição
u Qualquer indicação livre, específica, informada e inequívoca dos desejos do titular dos
dados, pela qual ele ou ela, por uma declaração ou por uma ação afirmativa clara, significa
acordo para o tratamento de dados pessoais relativos a ele ou ela.
u O Titular dos dados deve dar o consentimento de forma ativa e clara e a Organização tem
de conseguir demonstrar a todo o momento que o consentimento foi obtido de acordo com
o GDPR.
Consentimento
Consentimento
Em geral, e preciso ter o consentimento de um usuário de dados para processar seus dados.
Além desses tipos de isenções, é preciso garantir o consentimento para o processamento das
informações pessoais de qualquer pessoa.
Garantindo o consentimento
Os responsáveis pelo tratamento dos dados terão de garantir que o consentimento é claro e
inequívoco da pessoa em causa antes de processar seus dados pessoais.
O controlador não pode usar o "Silêncio, caixas pré-marcadas ou inatividade" como prova de
consentimento.
Além disso, o processamento não pode prosseguir a menos que o titular dos dados tenha
consentido em todas as atividades de processamento.
Por exemplo:
Se você deseja realizar seis ações diferentes com os dados do participante, é necessário
garantir que o assunto tenha sido consentido cada um eles.
Crianças menores de 16 anos não podem mais consentir que seus dados pessoais sejam
processados.
Isso pode forçar algumas organizações a fazer mudanças significativas na maneira de operar.
Fornecendo o consentimento
O regulamento exige que o responsável pelo tratamento de dados forneça um método pelo
qual seja "tão fácil retirar o consentimento quanto dá-lo".
Os aplicativos precisam incluir soluções robustas para permitir que os titulares de dados
retirem seu consentimento de acordo com esse requisito.
Limitação de propósito
Especificação de Finalidades:
ü Somente serão coletados para fins específicos, explícitos e legítimos.
ü O processamento adicional não é permitido por nenhuma outra razão, a menos que
isso seja declarado separadamente no GDPR.
Minimização de dados:
ü Adequados, relevantes e limitados ao que for necessário para a finalidade do
processamento.
Os dados processados devem ser relevantes
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 3.1.2 Proporcionalidade e subsidiariedade
Proporcionalidade e subsidiariedade
Subsidiariedade
Ø A subsidiariedade é encontrada na regra geral que exige que os dados pessoais só possam
ser processados se não houver outros meios para alcançar os objetivos. Ser o menos
transgressor possível. Um dos seis fundamentos jurídicos: o processamento é necessário
para os interesses legítimos perseguidos pelo controlador ou por um terceiro.
Ø Por exemplo, para descobrir como muitas pessoas andam uma rua comercial em uma tarde
de sábado comum, não é necessário saber quem eles são. Seria possível contá-los usando o
sinal do telefone. No entanto, como o sinal Wi-Fi leva ao indivíduo que possui o
smartphone, ele é considerado um dado pessoal.
Ø O princípio da subsidiariedade significa que o uso do sinal Wi-Fi é um uso ilegal de dados
pessoais, porque o seu interesse em contar o número de visitantes é sobreposto pelo
direito fundamental à privacidade desses visitantes.
Os dados pessoais também podem ser retidos apenas por períodos limitados, o que deve ficar
claro para o titular dos dados no momento em que consentirem.
Essa não é uma regra rígida e rápida, é claro, já que alguns dados pessoais podem ser mantidos
de forma eficaz indefinidamente (por órgãos públicos para propósitos governamentais
específicos, por exemplo) e outros processamentos, por sua natureza, podem estar em
andamento.
Este registro precisa conter um conjunto específico de informações de forma que fique claro:
• quais dados estão sendo processados
• onde é processado
• como é processado
• porque é processado.
Os dados devem ser limitados ao que for necessário para atingir os objetivos definidos
Legalidade do processamento
O processamento só será lícito se:
4. Exatidão
Ø Os dados pessoais devem ser precisos e, se necessário, atualizados: todas as medidas razoáveis
devem ser tomadas para garantir que os dados pessoais que são incorretos sejam retificados ou
excluídos.
5. Limitação de armazenamento
Ø Os dados pessoais devem ser mantidos em um formato que permita a identificação dos titulares
de dados por não mais do que o necessário para as finalidades para as quais os dados pessoais são
processados; etc.
“Balcão único”
u É bastante provável que muitos países não se preocupem com múltiplas autoridades de
supervisão
u As organizações que processam dados pessoais em vários estados membros da UE lidam com a
autoridade de proteção de dados em sua jurisdição principal. Isto abrangerá todo o
processamento de dados intra-UE transfronteiriço.
5%
O GDPR aumenta consideravelmente os direitos dos titulares de dados. Muito tem sido assunto
de notícias - especialmente o "direito de ser esquecido".
O regulamento não procura equilibrar esses direitos com o direito ao livre fluxo de
informação, a fim de apoiar "o exercício de atividades econômicas",
Os direitos expandidos concedidos aos titulares dos dados podem geralmente ser
caracterizados por lhes dar mais controle sobre os seus dados e por lhes dar uma melhor
compreensão do que será feito com eles.
u As organizações precisarão ter clareza sobre quais dados desejam coletar e para que
serão usados.
u Para fora do EEE, a empresa deve assegurar-se de que é respeitada, pelo menos, uma das
seguintes condições:
ü a proteção no país terceiro é adequada pela EU
ü medidas necessárias para prever as salvaguardas adequadas e
ü motivos específicos para a transferência
u O titular dos dados tem o direito de receber os dados pessoais que lhe são fornecidos, que
forneceu a um responsável pelo tratamento, num formato estruturado, habitualmente
utilizado e legível por máquina, e tem o direito de os transmitir para outro controlador
sem impedimento do controlador para o qual os dados pessoais foram fornecidos.
u O titular dos dados tem o direito de obter, da confirmação do responsável pelo tratamento,
se os dados pessoais relativos a ele ou dela estão sendo processados e, se for o caso, o
acesso aos dados pessoais e as seguintes informações:
u Finalidade do processamento, Categorias, Destinatários, período previsto de processamento,
existência de direitos específicos, procedimento de reclamações, fontes indiretas de coleta,
existência de tomada de decisão automática.
procedimentos relacionados
Violação de dados – uma violação de segurança só se torna uma violação de dados quando
envolve a perda de dados pessoais ou se o processamento ilegal de dados pessoais não puder
ser razoavelmente excluído.
Ø Violação de dados pessoais é uma violação da segurança que conduz à destruição acidental
ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais
transmitidos, armazenados ou tratados de outro modo.
Ø Em outras palavras, uma violação de dados pessoais ocorre quando dados pessoais caem
nas mãos de terceiros que não devem ter acesso a eles. É sempre um incidente de
segurança.
Ø Inclui: nome, endereço, número de telefone, e-mail, aniversário, informação sobre saúde
e NÃO inclui informações corporativas (por exemplo, sobre um processo de produção ou
pesquisa.
Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Violações de dados & GDPR artigo 4 (12)
(Artigo 32 do GDPR)
Normas de segurança da informação, como a ISO/IEC 27001, estão em vigor, com
procedimentos para lidar com o incidente com o objetivo de reparar os danos e evitar que
o incidente aconteça novamente.
Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Violações de dados GDPR artigo 4 (12)
Controlador
u A obrigação de notificação de violação de dados se dirige à parte responsável pelo
processamento de dados pessoais (Controlador)
Processador
u “O Processador deve notificar o Controlador sem demora indevida após tomar
conhecimento de uma violação de dados pessoais”
Comunicação ao titular do dado
u Quando a violação resultar num elevado risco para os direitos e liberdades dos indivíduos,
estes também terão de ser notificados diretamente.
Fonte: Livro Branco - Privacidade, Dados Pessoais e o GDPR - § 5.2 Procedimentos sobre como agir quando ocorre uma violação de dados.
Exceções de Notificação
A notificação ao titular dos dados não é obrigatória nas seguintes circunstâncias:
Encriptação
O controlador "implementou medidas de proteção técnica e organizacional apropriadas" que
"tornam os dados ininteligíveis para qualquer pessoa que não tenha autorização para acessá-los,
como criptografia".
Medidas de mitigação
O responsável pelo tratamento toma as medidas subsequentes à violação de dados pessoais para
"garantir que o elevado risco para os direitos e liberdades dos titulares de dados" é improvável
de se materializar
Esforço desproporcional
Quando a notificação a cada titular de dados "envolveria um esforço desproporcional". Neste
último caso, podem ser utilizadas medidas de comunicação alternativas.
Ø Material
Ø Perda de portadores de dados, pastas de arquivos perdidas, smartphones perdidos,
etc. Ex. perda de um hd com dados pessoais.
Ø Verbal
Ø Indiscrição, papagaio de pirata, vazamento intencional de informações sigilosas,
etc.
Ø Exemplo clonar um cartão de crédito
Ø Ciberespaço
Ø Backdoors, codificação incorreta, mau administrador (por exemplo, gerenciamento
de patches), medidas de segurança técnica insuficientes, hacking etc.
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 5.2 Procedimentos sobre como agir quando houver uma violação de dados
u Controlador
u Processador
u Representantes
u DPO
u A todos os titulares dos dados
u Autoridade supervisora.
Exercícios 1/5
O que é minimização de dados?
Privacy and Data Protection Foundation - © HSI Institute. Todos os direitos reservados. 79
Exercícios 2/5
Como a privacidade e a proteção de dados estão relacionadas entre si?
Privacy and Data Protection Foundation - © HSI Institute. Todos os direitos reservados. 80
Exercícios 3/5
Qual é o principal objetivo do General Data Protection Regulation (GDPR)?
Ø Ser uma base comum sobre a qual os estados membros possam criar suas próprias
leis.
Ø Fazer com que países fora da UE respeitem o direito à privacidade dos indivíduos na
UE.
Ø Garantir a privacidade como um direito humano fundamental para todos.
Ø Fortalecer e unificar a proteção de dados para indivíduos na UE.
Privacy and Data Protection Foundation - © HSI Institute. Todos os direitos reservados. 81
Exercícios 4/5
O GDPR está relacionado à proteção de dados pessoais.
Privacy and Data Protection Foundation - © HSI Institute. Todos os direitos reservados. 82
Exercícios 5/5
O que é o princípio da subsidiaridade?
Ø Dados Pessoais devem ser mantidos de um modo que permita a identificação dos
titulares dos dados por um período não maior que o necessário.
Ø Ao processar dados pessoais, um Controlador deve usar apenas os dados que sejam
necessários
Ø Ao processar os dados pessoais, devem ser usados os meios menos transgressores da
privacidade possíveis
Privacy and Data Protection Foundation - © HSI Institute. Todos os direitos reservados. 83
Fim do Módulo 1
84
No part of this publication m ay be published, reproduced, copied or stored in a data processing system or
circulated in any form by print, photo print, m icrofilm or any other m eans without written perm ission by EXIN.
Tipos de administração
(Papéis e Responsabilidades)
Controlador
Ø Cada Controlador e, quando aplicável, o representante do Controlador deve
manter um registro das atividades de processamento sob sua responsabilidade.
Processador/Subcontratante ou Representante
Ø Cada Processador e, quando aplicável, o representante do Processador deve
manter um registro de todas as categorias de atividades de processamento
realizadas em nome de um Controlador.
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 1.4 Funções, responsabilidades, partes interessadas.
Ø Cabe ao Controlador:
O GPDR aborda a proteção de dados por projeto como uma obrigação legal, fazendo
referência à minimização de dados e ao possível uso de pseudominimização.
Funcionários
u Divulgação não intencional, insider malicioso (ex-empregados que tiveram acesso a dados)
u Dispositivos não seguros
u Dispositivo móvel / portátil, dispositivo estacionário (ex. câmeras)
Aplicativos de armazenamento em nuvem
u Gerenciamento incorreto de identidades, interfaces e APIs hackeadas, captura de contas,
perda de dados, tecnologia compartilhada
Provedores de serviços de terceiros
u Insiders maliciosos, armazenamento de dados em países terceiros (não abrangidos por
decisões da UE)
Ataques maliciosos
u Hacking, malware
Ø Descrever a natureza da violação dos dados pessoais, incluindo, sempre que possível, as
categorias e o número aproximado de titulares de dados envolvidos e as categorias e o
número aproximado de registos de dados pessoais em causa
Ø Comunicar o nome e os detalhes de contato do encarregado de proteção de dados ou outro
ponto de contato onde mais informações podem ser obtidas
Ø Descrever as consequências prováveis da violação de dados pessoais
Ø Descrever as medidas tomadas ou propostas pelo controlador para tratar da violação de
dados pessoais (incluindo ações de mitigação)
Condições gerais:
Ø Cada autoridade de supervisão deve assegurar que a imposição de multas
administrativas seja, em cada caso individual, eficaz, proporcional e dissuasiva.
Ø As multas administrativas devem, dependendo das circunstâncias de cada caso
individual, ser impostas além ou em vez de outras medidas.
Ø O tipo de multa ou medida é determinado de acordo com o histórico tais como, mas
não limitados a infrações anteriores, gravidade, categorias de dados, etc.
Aplicação de multas
7,5%
u Exemplo: Ela define um conjunto mínimo de medidas que devem ser adotadas
para a proteção de dados pessoais.
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 7.1.4 Definição de normas.
Diretiva do NIS
(Network and Information Security)
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 7.5.2 Regulamentos aplicáveis à transferência de dados para fora da Área Econômica Europeia
LGPD
Ø Aplicação extraterritorial: em moldes similares à
regulamentação europeia, a GDPR, a Lei Geral terá
aplicação extraterritorial, ou seja, o dever de
conformidade superará os limites geográficos do país.
Ø Toda empresa estrangeira que, pelo menos, tiver filial no
Brasil, ou oferecer serviços ao mercado nacional e coletar
e tratar dados de pessoais naturais localizadas no país
estará sujeita à nova lei.
Não
Não se aplica a
Não
GDPR
Decisão de adequação da CE
DECISÃO DE EXECUÇÃO (UE) 2016/1250 DA COMISSÃO de 12 de julho de 2016 nos termos da
Diretiva 5/46 / CE do Parlamento Europeu e do Conselho relativa à adequação da proteção
oferecida pelos documentos UE-EUA. Escudo de Privacidade
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 7.5.4 Regulamentos aplicáveis à transferência de dados entre a Área Econômica Europeia e os EUA
dados em contratos
As BCRs foram concebidas para permitir que um grupo de empresas possa utilizar regras
empresariais vinculantes aprovadas para as suas transferências internacionais da União para
organizações pertencentes ao mesmo grupo, garantindo as salvaguardas apropriadas para
transferências de dados pessoais.
Onde se aplica:
Ø Políticas de proteção de dados pessoais que são seguidas por um controlador ou
processador
Ø Estabelecidos no território de um Estado-Membro
Ø Para transferências ou um conjunto de transferências de dados pessoais para um
controlador ou processador
Ø Em um ou mais países terceiros
Ø Num grupo de empresas ou grupo de empresas envolvidas numa atividade económica
conjunta.
A BCR necessita de ser oficialmente aprovada pela Autoridade Supervisora competente para ser
utilizada na União Europeia.
Requerido
Ø Quando um Controlador usa um Processador para processar dados pessoais, um
contrato por escrito entre essas partes é obrigatório. (Mesmo se o processador for
uma empresa subsidiária).
Ø Se diz respeito a uma empresa estrangeira.
Ø Se um Service Desk externo exibir dados pessoais (este é um exemplo de
processamento)
No contrato por escrito, o Processador processará somente os dados pessoais sob as ordens do
Controlador. Cláusulas mínimas necessárias:
Observações do contrato
O contrato deve:
39
Exercícios 1/5
Em que caso os titulares dos dados devem ser sempre notificados de uma violação
de dados?
Ø Os dados pessoais foram processados em uma instalação do processador que não está
localizada dentro das fronteiras da UE.
Ø Os dados pessoais foram processados por uma parte que concordou com a minuta de
um contrato de processamento enviada pelo controlador, mas ainda não o assinou.
Ø Os dados pessoais foram processados por uma parte que ainda não tinha assinado um
contrato compulsório com o controlador.
Ø Existe uma probabilidade significativa de que a violação conduza a consequências
prejudiciais para a privacidade dos titulares dos dados.
40
Exercícios 2/5
Uma multinacional tem escritórios e unidades de produção em diversos estados
membros da UE.
Qual autoridade supervisora será a líder no que se refere a violações de dados?
41
Exercícios 3/5
u Qual a melhor definição para “Regras Corporativas Compulsórias” do General
Data Protection Regulation (GDPR)?
Exercícios 4/5
Diante da ocorrência de uma violação de dados sensíveis, a quem o incidente deve ser
reportado?
Ø Ao judiciário
Ø Ao Data Protection Officer (DPO)
Ø À Autoridade Supervisora
Ø À polícia
42
Exercícios 5/5
A Comissão Europeia implementou uma disposição regulamentar relativa à
transferência de dados pessoais com os EUA (EU-US Privacy Shield). Em linhas
gerais, que tipo de disposição é essa?
43
Fim do Módulo 2
44
No part of this publication m ay be published, reproduced, copied or stored in a data processing system or
circulated in any form by print, photo print, m icrofilm or any other m eans without written perm ission by EXIN.
5%
Não existe um método "one size fits all" para isso e nenhum conjunto de medidas
obrigatórias. Depende das circunstâncias.
A chave é considerar os problemas de proteção de dados desde o início de qualquer
atividade de processamento e adotar políticas e medidas apropriadas que atendam
aos requisitos de proteção de dados por design e por padrão. Exemplos:
Ø Minimizar o processamento de dados pessoais
Ø Pseudónimo de dados pessoais o mais rapidamente possível
Ø Garantir a transparência no que diz respeito às funções e ao tratamento de dados
pessoais
Ø Permitir que os indivíduos monitorem o processamento
Princípios fundamentais:
1. Proativo e não reativo
2. Proteção de dados como configuração padrão
3. Proteção de dados incorporada ao design
4. Funcionalidade completa
5. Segurança de ponta a ponta
6. Visibilidade e transparência
7. Respeito pela privacidade do usuário
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 8.1.1 Os sete princípios da proteção de dados desde a concepção (by design)
Segurança da Informação
5%
Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Avaliações de Impacto sobre a Proteção de Dados
Por exemplo:
Ø Uma avaliação sistemática e exaustiva dos aspectos pessoais relativos às pessoas singulares
(incluindo a definição de perfis)
Ø Processamento em larga escala de categorias especiais de dados (dados sensíveis)
Ø Um monitoramento sistemático de uma área de acesso público em larga escala.
Ø Grandes mudanças em um sistema ou processo que inclui o processamento de dados pessoais
Ø Novos projetos
Ø Projetar uma nova base de dados para administrar clientes
Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Consentimento & Exposição do GDPR (39)
Objetivos de um DPIA
Avaliação da
Monitoramento e necessidade e
revisão proporcionalidade
Medidas já
Documentação previstas
10%
Retenção de dados
Minimização de dados
Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - §2.1 Princípios do processamento de dados GDPR artigo 5.1.c.
Cookies e a privacidade
Coletamos o conteúdo e outras informações que você fornece quando usa nossos serviços, inclusive
quando você se inscreve em uma conta, cria ou acompanha e envia mensagens ou se comunica com
outras pessoas. Isso pode incluir informações no ou sobre o conteúdo que você fornece, como a
localização de uma foto ou a data em que um arquivo foi criado. Também coletamos informações sobre
como você usa nossos serviços, como os tipos de conteúdo visualizados ou envolvidos, a frequência e a
duração de suas atividades. "
38
Exercícios 1/5
Qual é o objetivo do Gerenciamento de Ciclo de Vida dos Dados (DLM)?
39
Exercícios 2/5
Qual é a principal finalidade de um cookie?
40
Exercícios 3/5
O relatório de Avaliação de Impacto sobre a Proteção de Dados (AIPD) consiste em vários
tópicos. Um dos tópicos contém a seguinte questão:
Ø Tipo de projeto
Ø Coleta de dados
Ø Uso de dados
Ø Segurança de dados
41
Exercícios 4/5
Como uma DPIA pode “fortalecer a confiança dos clientes ou cidadãos no modo
como os dados pessoais são processados”?
42
Exercícios 5/5
Como a “proteção de dados” está relacionada à “privacidade”?
Autoridades Competentes
Fim do Módulo 3
52
Exame Simulado
Edição 201805
Copyright © EXIN Holding B.V. 2018. All rights reserved.
EXIN® is a registered trademark.
No part of this publication may be reproduced, stored, utilized or transmitted in any form or by any means, electronic,
mechanical, or otherwise, without the prior written permission from EXIN.
Introdução 4
Exame simulado 5
Garbarito de respostas 16
Avaliação 36
Este é o modelo de exame de EXIN Privacy and Data Protection Foundation (PDPF.PR). As regras e
regulamentos do exame do EXIN se aplicam a este exame.
Este exame consiste de 40 questões de múltipla escolha. Cada questão de múltipla escolha possui um
certo número de alternativas de resposta, entre as quais somente uma resposta é a correta.
O número máximo de pontos que pode ser obtido neste exame é 40. Cada resposta correta vale um
ponto. Para ser aprovado você deve obter 26 pontos ou mais.
Boa Sorte!
1 / 40
A coleta, armazenamento, modificação, divulgação ou disseminação ilegal de dados pessoais constitui
uma ofensa de acordo com a lei europeia.
2 / 40
Como a privacidade e a proteção de dados estão relacionadas entre si?
3 / 40
Qual é o principal objetivo do General Data Protection Regulation (GDPR)?
A) Ser uma base comum sobre a qual os estados membros possam criar suas próprias leis
B) Fazer com que países fora da UE respeitem o direito à privacidade dos indivíduos na UE
C) Garantir a privacidade como um direito humano fundamental para todos
D) Fortalecer e unificar a proteção de dados para indivíduos na UE
4 / 40
O General Data Protection Regulation (GDPR) está relacionado à proteção de dados pessoais.
6 / 40
De acordo com o General Data Protection Regulation (GDPR), qual é a definição de “processamento” de
dados pessoais?
7 / 40
“Uma autoridade pública independente que seja estabelecida por um Estado Membro conforme o Artigo
51."
A) Controlador
B) Processador
C) Autoridade Supervisora
D) Terceiro
8 / 40
O “consentimento livre e informado” é uma base legal para o processamento de dados pessoais de
acordo com o General Data Protection Regulation (GDPR). Deve-se documentar a finalidade do
processamento para a qual o consentimento é fornecido.
Em que momento do processo deve ser obtido o consentimento do titular dos dados?
10 / 40
O processamento de dados pessoais deve satisfazer alguns requisitos de qualidade.
Qual seria um destes requisitos de qualidade definidos pelo General Data Protection Regulation (GDPR)?
11 / 40
Todas as vezes que dados pessoais forem processados, a proporcionalidade e a subsidiariedade devem
ser verificadas.
A) Eles devem ser sempre limitados ao que for necessário para atingir os objetivos definidos e devem
ser limitados aos dados menos “invasivos”.
B) Eles devem ser manipulados pelo menor número de funcionários possível, e estes devem trabalhar
para o controlador ou uma afiliada.
C) Eles devem ser limitados a um tamanho de armazenamento predefinido e o sistema usado deve ser
financiado pelo controlador.
D) Eles devem ser usados para o menor número de finalidades possível e isto não pode ser realizado
fora das premissas do processador.
12 / 40
“O controlador deve implementar medidas técnicas e organizacionais apropriadas para garantir que (...)
sejam processados apenas dados pessoais que sejam necessários para cada finalidade específica do
processamento."
Qual termo do General Data Protection Regulation (GDPR) está sendo definido?
A) Conformidade
B) Proteção de dados como padrão
C) Privacidade desde a concepção (by design)
D) Proteção incorporada
A) Violação de confidencialidade
B) Violação de dados
C) Incidente
D) Incidente de segurança
14 / 40
Foi verificada a ocorrência de uma violação de dados pessoais sensíveis.
A quem isto deve ser relatado em última análise, de acordo com o General Data Protection Regulation
(GDPR)?
A) À Autoridade Supervisora
B) Ao Data Protection Officer (DPO)
C) Ao gerente do departamento
D) À polícia
15 / 40
Durante a realização de um backup, ocorre uma falha no disco rígido do servidor de dados. Tanto os
dados quanto o backup são perdidos. O disco continha dados pessoais, mas nenhum dado sensível.
A) Violação de dados
B) Violação de segurança
C) Incidente de segurança
16 / 40
Uma pessoa que trabalha para um sindicato levou para casa a minuta de um informativo para finalizá-la.
O pen drive contendo a minuta e a lista de contatos foi perdido.
Para solicitar a permissão junto à autoridade supervisora, qual seria uma das primeiras medidas
importantes a serem tomadas?
18 / 40
Em que caso os titulares dos dados devem ser sempre notificados de uma violação de dados?
A) Os dados pessoais foram processados em uma instalação do processador que não está localizada
dentro das fronteiras da UE.
B) Os dados pessoais foram processados por uma parte que concordou com a minuta de um contrato
de processamento enviada pelo controlador, mas ainda não o assinou.
C) Os dados pessoais foram processados por uma parte que ainda não tinha assinado um contrato
compulsório com o controlador.
D) Existe uma probabilidade significativa de que a violação conduza a consequências prejudiciais para a
privacidade dos titulares dos dados.
19 / 40
Um controlador holandês contratou um processador em um país da África Setentrional para processar
dados pessoais sensíveis, sem consultar a autoridade supervisora. Isso foi descoberto e ele foi
penalizado pela autoridade supervisora. Seis meses depois, a autoridade descobre que o controlador é
novamente culpado da mesma transgressão em outra operação de processamento.
Qual é a multa máxima que a autoridade supervisora pode impor nesse caso?
A) € 750.000
B) € 1.230.000
C) € 10.000.000 ou 2% do volume global de negócios da empresa, o que for maior
D) € 20.000.000 ou 4% do volume global de negócios da empresa, com um mínimo de € 20.000.000, o
que for maior
20 / 40
As Autoridades Supervisoras assumem várias responsabilidades destinadas a garantir que os
regulamentos para proteção de dados sejam cumpridos.
Qual regulamento do General Data Protection Regulation (GDPR) é aplicável nesse caso?
A) Como exceção, o processamento de dados sensíveis que revelem as crenças religiosas é permitido
para uma associação religiosa.
B) Não é permitido transferir dados pessoais para fora da Área Econômica Europeia em resposta a uma
exigência de um terceiro país.
C) O processamento é legal, desde que seja adquirido o consentimento específico e inequívoco do
titular de dados.
D) O processamento de dados pessoais fora da Área Econômica Europeia é permitido usando as
cláusulas do modelo de contrato projetado pela Comissão da UE.
22 / 40
Em 12 de julho de 2016 a Comissão Europeia implementou uma disposição regulamentar relativa à
transferência de dados pessoais com os EUA (EU-US Privacy Shield).
Em termos do General Data Protection Regulation (GDPR), que tipo de disposição é essa?
23 / 40
Regras Corporativas Compulsórias constituem um meio para facilitar a carga administrativa das
organizações no cumprimento do GDPR.
A) Elas permitem que as organizações tenham contratos de apoio com todas as partes envolvidas no
exterior.
B) Elas permitem que as organizações deixem terceiros fora da Área Econômica Europeia processarem
os dados pessoais.
C) Elas evitam a necessidade de abordar separadamente cada autoridade supervisora na UE.
D) Elas previnem que as organizações precisem pedir permissão a uma autoridade supervisora para o
processamento dos dados após suas Regras Corporativas Compulsórias serem aceitas.
A) A responsabilidade do processador
B) A obrigação de notificação de violações de dados
C) A obrigação por parte dos processadores de cooperação com a autoridade supervisora
D) As obrigações e os direitos do controlador
25 / 40
O que deve ser feito para que um controlador possa terceirizar o processamento de dados pessoais para
um processador?
A) O controlador deve pedir permissão à autoridade supervisora para terceirizar o processamento dos
dados.
B) O controlador deve perguntar à autoridade supervisora se o contrato firmado está em conformidade
com seus regulamentos.
C) O controlador e o processador devem preparar uma minuta e assinar um contrato por escrito
garantindo a confidencialidade dos dados.
D) O processador deve demonstrar ao controlador que todas as demandas combinadas no Acordo de
Nível de Serviço (ANS) são cumpridas.
26 / 40
A proteção de dados desde a concepção (by design), conforme a descrição no artigo 25 do General Data
Protection Regulation (GDPR), é baseada em sete princípios básicos. Um desses geralmente é chamado
de “Funcionalidade – Soma Positiva, Soma Diferente de Zero”.
28 / 40
Um dos objetivos de uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) é “fortalecer a
confiança dos clientes ou cidadãos no modo como os dados pessoais são processados e a privacidade é
respeitada”.
29 / 40
Qual é o objetivo de uma auditoria de proteção de dados pela autoridade supervisora?
30 / 40
O que melhor descreve o princípio de minimização de dados?
A) Deve-se ter o cuidado de coletar o mínimo de dados possível para proteger a privacidade e os
interesses dos titulares dos dados.
B) Os dados devem ser adequados, relevantes e limitados ao que for necessário em relação às
finalidades para as quais são processados.
C) Para que os dados permaneçam gerenciáveis, eles devem ser armazenados de uma maneira que
exija um espaço mínimo de armazenamento.
D) O número de itens coletados por titular dos dados não pode exceder o limite superior declarado pela
autoridade supervisora.
A) Ele contém informações sobre o que você está fazendo, por exemplo, os produtos que você
seleciona em um comércio eletrônico antes de efetivar o pedido.
B) Ele revela o histórico do seu navegador para que outros sites possam descobrir que sites você visitou
antes de chegar ali.
C) Ele armazena o histórico do seu navegador para que você possa rastrear onde esteve na internet e
revisitar o(s) site(s), se quiser.
D) Ele coleta seus dados pessoais para que o site possa dirigir-se a você pelo nome e reutilizar suas
configurações quando você retornar.
32 / 40
Às vezes os sites rastreiam os visitantes e armazenam suas informações para fins de marketing.
O site é obrigado a informar o visitante que suas informações estão sendo usadas para fins de
marketing?
A) Sim
B) Não
33 / 40
Uma empresa pode se apresentar como especialista em uma área de competência específica fazendo
uso da mídia social.
34 / 40
Ocorreu uma violação de segurança em um sistema de informação que também contém dados pessoais.
A) Verificar se a violação pode ter provocado a perda ou o processamento ilícito de dados pessoais
B) Avaliar o risco de efeitos adversos para os titulares dos dados usando uma Avaliação de Impacto
sobre a Proteção de Dados (AIPD)
C) Determinar se dados pessoais de caráter sensível foram ou possam ter sido processados ilegalmente
D) Relatar a violação imediatamente à autoridade supervisora relevante
36 / 40
O Regulamento (EU) 2016/679, conhecido como General Data Protection Regulation (GDPR), anula uma
Diretiva anterior da UE.
37 / 40
Que direito dos titulares de dados é definido explicitamente pelo General Data Protection Regulation
(GDPR)?
A) Uma cópia dos dados pessoais deve ser fornecida no formato solicitado pelo titular dos dados.
B) Acesso aos dados pessoais sem qualquer custo para o titular dos dados.
C) Os dados pessoais sempre devem ser alterados mediante solicitação do titular dos dados.
D) Os dados pessoais devem ser apagados sempre que isto for solicitado pelo titular dos dados.
38 / 40
O General Data Protection Regulation (GDPR) distingue “dados pessoais sensíveis” como uma categoria
especial de dados pessoais.
A) O controlador
B) O Data Protection Officer (DPO)
C) O processador
40 / 40
Que informações são consideradas como dados pessoais, de acordo com o General Data Protection
Regulation (GDPR)?
A) Informações sobre uma pessoa que possam comprometer a privacidade daquela pessoa, mesmo que
sejam falsas.
B) Qualquer informação relativa a uma pessoa física identificável.
C) Informações relativas a uma pessoa física identificável que tenham sido digitalizadas.
1 / 40
A coleta, armazenamento, modificação, divulgação ou disseminação ilegal de dados pessoais constitui
uma ofensa de acordo com a lei europeia.
2 / 40
Como a privacidade e a proteção de dados estão relacionadas entre si?
A) Ser uma base comum sobre a qual os estados membros possam criar suas próprias leis
B) Fazer com que países fora da UE respeitem o direito à privacidade dos indivíduos na UE
C) Garantir a privacidade como um direito humano fundamental para todos
D) Fortalecer e unificar a proteção de dados para indivíduos na UE
A) Incorreto. O GDPR é um regulamento, o que significa que ele revoga as leis para proteção de dados
nos estados membros.
B) Incorreto. Seu principal objetivo consiste em definir os direitos à proteção de dados de indivíduos na
UE.
C) Incorreto. O GDPR declara explicitamente que a proteção de dados é um direito fundamental, mas
sua abrangência está limitada aos indivíduos na UE.
D) Correto. A abrangência do GDPR é limitada à proteção de dados como um direito dos indivíduos na
UE e tem como objetivo harmonizar as regras para tanto, dentro da UE. Fonte: EU GDPR, Um guia
de bolso – Introdução.
4 / 40
O General Data Protection Regulation (GDPR) está relacionado à proteção de dados pessoais.
A) Correto. Esta é a definição oficial da proteção de dados. Fonte: EU GDPR, Um guia de bolso -
Capítulo 2 Termos e definições GDPR 2016/679 Artigo 4: definição
B) Incorreto. Esta definição é muito genérica.
C) Incorreto. Esta é a definição de dados sensíveis, não de dados pessoais em geral.
D) Incorreto. Esta é a definição de segurança da informação da ISO/IEC 27000:2014.
A) Incorreto. Os detalhes do cartão de crédito não são dados sensíveis de acordo com o GDPR.
B) Correto. A associação sindical é um dado sensível. Fonte: GDPR art. 9, §10 - Categorias especiais
de dados pessoais.
C) Incorreto. Os detalhes do passaporte não são dados sensíveis de acordo com o GDPR.
D) Incorreto. O número do CPF não é um dado sensível de acordo com o GDPR.
6 / 40
De acordo com o General Data Protection Regulation (GDPR), qual é a definição de “processamento” de
dados pessoais?
7 / 40
“Uma autoridade pública independente que seja estabelecida por um Estado Membro conforme o Artigo
51."
A) Controlador
B) Processador
C) Autoridade Supervisora
D) Terceiro
Em que momento do processo deve ser obtido o consentimento do titular dos dados?
A) Correto. O consentimento só pode ser informado depois que a especificação da finalidade for
apresentada ao titular dos dados.
B) Incorreto. O consentimento só pode ser informado depois que a especificação da finalidade for
apresentada ao titular dos dados.
C) Incorreto. A coleta de dados pessoais constitui um “processamento” e, como tal, requer o
consentimento livre e informado do titular dos dados.
D) Incorreto. A publicação e a disseminação de dados pessoais constituem um “processamento” e,
como tal, requerem o consentimento livre e informado do titular dos dados.
9 / 40
O General Data Protection Regulation (GDPR) é baseado nos princípios de proporcionalidade e
subsidiariedade.
Qual seria um destes requisitos de qualidade definidos pelo General Data Protection Regulation (GDPR)?
11 / 40
Todas as vezes que dados pessoais forem processados, a proporcionalidade e a subsidiariedade devem
ser verificadas.
A) Eles devem ser sempre limitados ao que for necessário para atingir os objetivos definidos e devem
ser limitados aos dados menos “invasivos”.
B) Eles devem ser manipulados pelo menor número de funcionários possível, e estes devem trabalhar
para o controlador ou uma afiliada.
C) Eles devem ser limitados a um tamanho de armazenamento predefinido e o sistema usado deve ser
financiado pelo controlador.
D) Eles devem ser usados para o menor número de finalidades possível e isto não pode ser realizado
fora das premissas do Processador.
A) Correto. Estes termos significam que você não deve coletar mais dados do que o necessário para
atingir o(s) objetivo(s) predefinido(s) e você sempre deve tentar usar os dados que tenham o menor
impacto sobre a privacidade do titular dos dados. Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O
Regulamento – Processamento legal
B) Incorreto. O número de funcionários ou sua afiliação a alguma subsidiária não têm nenhuma relação
com estes termos.
C) Incorreto. O tamanho do armazenamento e quem financia os sistemas usados não têm nenhuma
relação com estes termos.
D) Incorreto. Desde que o titular dos dados forneça seu consentimento, o número de objetivos não é
explicitamente restrito, nem o local.
Qual termo do General Data Protection Regulation (GDPR) está sendo definido?
A) Conformidade
B) Proteção de dados como padrão
C) Privacidade desde a concepção (by design)
D) Proteção incorporada
A) Incorreto. Conformidade é o estado ou fato que esteja de acordo com ou satisfaça regras e normas.
B) Correto. Como padrão, o mínimo de dados pessoais deve ser processado durante o período mais
curto possível, usando as melhores medidas de segurança possíveis para prevenir um acesso não
autorizado. Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Proteção de dados
desde a concepção (by design) e como padrão & GDPR art. 20 (2).
C) Incorreto. A proteção de dados desde a concepção (by design) refere-se a um projeto que inclua
medidas apropriadas para implementar os princípios de proteção de dados.
D) Incorreto. Proteção de dados incorporada é o resultado da proteção de dados desde a concepção (by
design).
13 / 40
Qual é o termo usado no General Data Protection Regulation (GDPR) para a divulgação de, ou acesso
não autorizados a dados pessoais?
A) Violação de confidencialidade
B) Violação de dados
C) Incidente
D) Incidente de segurança
A) Incorreto. O GDPR utiliza o termo violação de dados. Nem toda violação de dados constitui uma
violação de confidencialidade.
B) Correto. Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Violações de dados &
GDPR artigo 4 (12)
C) Incorreto. O GDPR utiliza o termo violação de dados. Nem todo incidente constitui uma violação de
dados.
D) Incorreto. O GDPR utiliza o termo violação de dados. Nem todo incidente de segurança constitui uma
violação de dados.
A quem isto deve ser relatado em última análise, de acordo com o General Data Protection Regulation
(GDPR)?
A) À Autoridade Supervisora
B) Ao Data Protection Officer (DPO)
C) Ao gerente do departamento
D) À polícia
A) Correto. Violações de dados devem ser relatadas à Autoridade de Proteção de Dados (DPA) se
puderem ter um impacto significante sobre a segurança do titular dos dados ou de seus dados
pessoais. Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Violações de dados
GDPR artigo 4 (12)
B) Embora isto possa ser relatado a um DPO interno, no final, deverá ser relatado à Autoridade de
Proteção de Dados (DPA).
C) Incorreto. Embora isto possa ser relatado ao gerente, deverá também ser relatado à Autoridade de
Proteção de Dados (DPA).
D) Incorreto. Violações de dados não precisam necessariamente ser relatadas à polícia, mas devem
sempre ser relatadas à Autoridade de Proteção de Dados (DPA).
15 / 40
Durante a realização de um backup, ocorre uma falha no disco rígido do servidor de dados. Tanto os
dados quanto o backup são perdidos. O disco continha dados pessoais, mas nenhum dado sensível.
A) Violação de dados
B) Violação de segurança
C) Incidente de segurança
A) Correto. Dados pessoais perdidos de modo irrecuperável são considerados como um processamento
não autorizado, o que configura uma violação de dados. Fonte: EU GDPR, Um guia de bolso -
Capítulo 3 O Regulamento – Violações de dados GDPR Capítulo I, Artigo 4, Definições
B) Incorreto. Dados pessoais perdidos de modo irrecuperável são considerados como um
processamento não autorizado, o que configura violação de dados.
C) Incorreto. Dados pessoais perdidos de modo irrecuperável são considerados como um
processamento não autorizado, o que configura violação de dados.
A) Correto. Este é um dado sensível, portanto a perda deve ser reportada tanto à autoridade
responsável quanto aos titulares dos dados. Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O
Regulamento – Violações de dados
B) Incorreto. Estes são dados sensíveis, portanto sua perda deve ser relatada tanto à autoridade
responsável pela privacidade quanto aos titulares dos dados.
C) Incorreto. Estes são dados sensíveis, portanto sua perda deve ser relatada tanto à autoridade
responsável pela privacidade quanto aos titulares dos dados.
17 / 40
Uma organização de assistência social pretende projetar uma nova base de dados para administrar seus
clientes e os cuidados de que necessitam.
Para solicitar a permissão junto à autoridade supervisora, qual seria uma das primeiras medidas
importantes a serem tomadas?
A) Incorreto. A coleta de dados pessoais médicos, por definição, constitui um “processamento de dados
sensíveis”. É necessária a permissão prévia da Autoridade de Proteção de Dados (DPA) e dos
titulares dos dados.
B) Correto. Ao solicitar o consentimento para o processamento dos dados, os titulares dos dados
“devem ser informados dos riscos, regras, salvaguardas e direitos...” Fonte: EU GDPR, Um guia de
bolso - Capítulo 3 O Regulamento – Consentimento & Exposição do GDPR (39)
C) Incorreto. Ao solicitar o consentimento para o processamento dos dados, os titulares dos dados
“devem ser informados dos riscos, regras, salvaguardas e direitos...” Antes, é necessária uma AIPD
para determinar estes riscos e salvaguardas.
A) Os dados pessoais foram processados em uma instalação do processador que não está localizada
dentro das fronteiras da UE.
B) Os dados pessoais foram processados por uma parte que concordou com a minuta de um contrato
de processamento enviada pelo controlador, mas ainda não o assinou.
C) Os dados pessoais foram processados por uma parte que ainda não tinha assinado um contrato
compulsório com o controlador.
D) Existe uma probabilidade significativa de que a violação conduza a consequências prejudiciais para a
privacidade dos titulares dos dados.
A) Incorreto. O local onde os dados são processados não tem importância para a obrigação de notificar
os Titulares dos Dados sobre a violação dos mesmos.
B) Incorreto. Os dados pessoais processados por outra parte, contratada pelo controlador, sem um
contrato escrito válido é considerado como violação de dados. No entanto, na situação dada, as
conseqüências negativas para os titulares dos dados em questão são improváveis. Notificar os
titulares dos dados não é obrigatório nesse caso.
C) Incorreto. O dano aos dispositivos de armazenamento tornará o acesso aos dados difícil ou mesmo
impossível, mas não implica em processamento ilegal.
D) Correto. Se houver uma probabilidade significativa de impacto negativo aos titulares dos dados, o
controlador é obrigado a notificá-los da violação. Fonte: Livro Branco - Privacidade, Dados Pessoais e
o GDPR - § 5.2 Procedimentos sobre como agir quando ocorre uma violação de dados.
19 / 40
Um controlador holandês contratou um processador em um país da África Setentrional para processar
dados pessoais sensíveis, sem consultar a autoridade supervisora. Isso foi descoberto e ele foi
penalizado pela autoridade supervisora. Seis meses depois, a autoridade descobre que o controlador é
novamente culpado da mesma transgressão em outra operação de processamento.
Qual é a multa máxima que a autoridade supervisora pode impor nesse caso?
A) € 750.000
B) € 1.230.000
C) € 10.000.000 ou 2% do volume global de negócios da empresa, o que for maior
D) € 20.000.000 ou 4% do volume global de negócios da empresa, com um mínimo de € 20.000.000, o
que for maior
A) Incorreto. De acordo com o art. 83.3 do GDPR, a multa máxima corresponde a 4% do volume global
de negócios da empresa, com um mínimo de € 20.000.000.
B) Incorreto. De acordo com o art. 83.3 do GDPR, a multa máxima corresponde a 4% do volume global
de negócios da empresa, com um mínimo de € 20.000.000.
C) Incorreto. De acordo com o art. 83.3 do GDPR, a multa máxima corresponde a 4% do volume global
de negócios da empresa, com um mínimo de € 20.000.000.
D) Correto. Este é o valor máximo para uma violação. Fonte: White Paper – Privacidade, Dados
Pessoais e o GDPR - § 7.3.3 Condições gerais para a imposição de multas administrativas.
A) Correto. Uma das responsabilidades das autoridades de proteção de dados (DPA) é fornecer uma
orientação geral sobre como cumprir com os regulamentos. Fonte: White Paper – Privacidade, Dados
Pessoais e o GDPR - § 7.1.4 Definição de normas.
B) Incorreto. Uma Autoridade de Proteção de Dados (DPA) fornecerá uma orientação geral sobre o que
é considerado um nível de segurança apropriado. Contudo, ela não vão dizer quais medidas
específicas devem ser adotadas para chegar a esse nível. Mesmo que quisesse, ela não poderia
porque não existe uma solução única que funcione para todos.
C) Incorreto. Autoridades de proteção de dados (DPA) não têm a obrigação, nem a capacidade, de
investigar todas as violações de que tenham conhecimento. Mas investigarão aquelas que julgarem
significativas ou dignas de atenção.
D) Incorreto. Uma Autoridade de Proteção de Dados (DPA) não é um conselho legal. Ela não examinará
contratos ou Regras Corporativas Compulsórias. Contudo, no decorrer de uma investigação, eles
podem analisar um contrato específico ou um conjunto de Regras Corporativas Compulsórias.
Qual regulamento do General Data Protection Regulation (GDPR) é aplicável nesse caso?
A) Como exceção, o processamento de dados sensíveis que revelem as crenças religiosas é permitido
para uma associação religiosa.
B) Não é permitido transferir dados pessoais para fora da Área Econômica Europeia em resposta a uma
exigência de um terceiro país.
C) O processamento é legal, desde que seja adquirido o consentimento específico e inequívoco do
titular de dados.
D) O processamento de dados pessoais fora da Área Econômica Europeia é permitido usando as
cláusulas do modelo de contrato projetado pela Comissão da UE.
A) Incorreto. Associações religiosas têm permissão para processar dados relativos a seus membros
anteriores e atuais, mas não tem permissão para transferir dados pessoais para fora da Área
Econômica Europeia em resposta a uma exigência legal de um terceiro país.
B) Correto. Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 7.5.2 Regulamentos
aplicáveis à transferência de dados para fora da Área Econômica Europeia EU GDPR, Um guia de
bolso - Capítulo 3: O regulamento – Transferências internacionais GDPR art. 48.
C) Incorreto. Não é permitido transferir dados pessoais para fora da Área Econômica Europeia em
resposta a uma exigência legal de um terceiro país, nem mesmo com o consentimento do titular dos
dados.
D) Incorreto. O processamento de dados sensíveis fora da Área Econômica Europeia pode ser
permitido, mas não em resposta à solicitação do governo de um terceiro país.
22 / 40
Em 12 de julho de 2016 a Comissão Europeia implementou uma disposição regulamentar relativa à
transferência de dados pessoais com os EUA (EU-US Privacy Shield).
Em termos do General Data Protection Regulation (GDPR), que tipo de disposição é essa?
A) Correto. A disposição regulamentar constitui uma decisão de adequação de acordo com o GDPR, em
relaçãno que diz respeito ao processamento em terceiros países. Fonte: White Paper – Privacidade,
Dados Pessoais e o GDPR - § 7.5.4 Regulamentos aplicáveis à transferência de dados entre a Área
Econômica Europeia e os EUA EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento -
Transferências internacionais Exposições do GDPR 104 e 106.
B) Incorreto. Uma exceção refere-se a transferências essenciais para responder a ataques terroristas ou
crimes graves (art. 11)
C) Incorreto. A disposição regulamentar constitui uma decisão de adequação ao GDPR, no que diz
respeito ao processamento em terceiros países.
D) Incorreto. A disposição regulamentar constitui uma decisão de adequação de acordo com o GDPR,
no que diz respeito ao processamento em terceiros países.
A) Elas permitem que as organizações tenham contratos de apoio com todas as partes envolvidas no
exterior.
B) Elas permitem que as organizações deixem terceiros fora da Área Econômica Europeia processarem
os dados pessoais.
C) Elas evitam a necessidade de abordar separadamente cada autoridade supervisora na UE.
D) Elas previnem que as organizações precisem pedir permissão a uma autoridade supervisora para o
processamento dos dados após suas Regras Corporativas Compulsórias serem aceitas.
A) Incorreto. Regras Corporativas Compulsórias são preparadas para que as organizações não
precisem usar contratos de apoio separados para cada afiliada.
B) Incorreto. Regras Corporativas Compulsórias são válidas apenas dentro de uma organização e em
todas as suas afiliadas. Não são aplicadas a nenhuma outra parte.
C) Correto. Quando as Regras Corporativas Compulsórias são aprovadas por uma autoridade de
proteção de dados (DPA dentro da UE, não é necessário pedir a aprovação de outras autoridades
dentro da UE. Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Regras
corporativas vinculativas
D) Incorreto. Um conjunto de regras compulsórias deve ser autorizado por uma Autoridade de Proteção
de Dados (DPA).
24 / 40
Caso uma contratada contrate um processamento externo de dados pessoais, esta deverá assinar um
contrato com a outra parte. Este contrato define o assunto e a duração do processamento, a natureza e a
finalidade do processamento e o tipo de dados pessoais e categorias de titulares dos dados.
A) A responsabilidade do processador
B) A obrigação de notificação de violações de dados
C) A obrigação por parte dos processadores de cooperação com a autoridade supervisora
D) As obrigações e os direitos do controlador
A) Incorreto. Esta é uma obrigação direta do General Data Protection Regulation (GDPR) para os
processadores.
B) Incorreto. Esta é uma obrigação direta do GDPR para os processadores.
C) Incorreto. Esta é uma obrigação direta do GDPR para os processadores.
D) Correto. Esta é uma obrigação direta do GDPR para os processadores. Fonte: EU GDPR, Um guia
de bolso - Capítulo 3 O Regulamento – Contratos de controladores/processadores & GDPR art. 28
(3).
A) O controlador deve pedir permissão à autoridade supervisora para terceirizar o processamento dos
dados.
B) O controlador deve perguntar à autoridade supervisora se o contrato firmado está em conformidade
com seus regulamentos.
C) O controlador e o processador devem preparar uma minuta e assinar um contrato por escrito
garantindo a confidencialidade dos dados.
D) O processador deve demonstrar ao controlador que todas as demandas combinadas no Acordo de
Nível de Serviço (ANS) são cumpridas.
A) Incorreto. Não é necessário pedir a permissão da Autoridade de Proteção de Dados (DPA) para cada
caso de terceirização.
B) Incorreto. A Autoridade de Proteção de Dados (DPA) não é um conselho legal e não verifica a
conformidade de contratos.
C) Correto. Deve haver um contrato por escrito garantindo a confidencialidade dos dados, no qual o
controlador define os objetivos e os métodos de processamento. As duas partes devem assinar esse
contrato. Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Contratos de
controladores/processadores GDPR art. 28 (3).
D) Incorreto. Um ANS não é suficiente porque ele enfocará as operações, não definindo
necessariamente os objetivos.
26 / 40
A proteção de dados desde a concepção (by design), conforme a descrição no artigo 25 do General Data
Protection Regulation (GDPR), é baseada em sete princípios básicos. Um desses geralmente é chamado
de “Funcionalidade – Soma Positiva, Soma Diferente de Zero”.
A) Incorreto. Este é um aspecto da Segurança End-to-End – Proteção do Ciclo de Vida, um dos outros
seis princípios básicos.
B) Incorreto. A privacidade desde a concepção (by design) rejeita a abordagem de que a Privacidade
deve competir com outros interesses legítimos, objetivos do projeto e capacidades técnicas. Todos os
objetos devem ser acomodados em uma soma positiva, de um modo “ganha-ganha”.
C) Correto, esta é a essência. Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 8.1.1 Os
sete princípios da proteção de dados desde a concepção (by design) GDPR art. 25.
D) Incorreto. Este é um aspecto da “privacidade incorporada ao projeto”, um dos outros seis princípios
básicos.
28 / 40
Um dos objetivos de uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) é “fortalecer a
confiança dos clientes ou cidadãos no modo como os dados pessoais são processados e a privacidade é
respeitada”.
A) Incorreto. Este aspecto pode fortalecer a confiança da gerência, mas não de clientes ou cidadãos.
B) Incorreto. A prevenção de multas pode fortalecer a confiança da gerência, mas não de clientes ou
cidadãos.
C) Correto. Fonte: EU GDPR, Um guia de bolso - Capítulo 3 O Regulamento – Avaliações de Impacto
sobre a Proteção de Dados
A) Incorreto. A auditoria não constitui a implementação das medidas, e sim uma avaliação de sua
eficácia.
B) Correto. De acordo com o GDPR, esta é uma tarefa importante, própria da Autoridade de Proteção de
Dados (DPA).
C) Incorreto. A Autoridade de Proteção de Dados (DPA) tem a tarefa de monitorar a conformidade e
aconselhar sobre aprimoramentos, mas seu objetivo não é proteger o controlador.
30 / 40
O que melhor descreve o princípio de minimização de dados?
A) Deve-se ter o cuidado de coletar o mínimo de dados possível para proteger a privacidade e os
interesses dos titulares dos dados.
B) Os dados devem ser adequados, relevantes e limitados ao que for necessário em relação às
finalidades para as quais são processados.
C) Para que os dados permaneçam gerenciáveis, eles devem ser armazenados de uma maneira que
exija um espaço mínimo de armazenamento.
D) O número de itens coletados por titular dos dados não pode exceder o limite superior declarado pela
autoridade supervisora.
A) Incorreto. Na verdade, o General Data Protection Regulation (GDPR) declara que os dados coletados
devem ser adequados, implicando que não precisam ser o mínimo absoluto.
B) Correto. Esta é a definição exata de minimização de dados. Isto tem o objetivo de garantir que
apenas os dados necessários para atingir os objetivos definidos sejam coletados. Fonte: White Paper
– Privacidade, Dados Pessoais e o GDPR - §2.1 Princípios do processamento de dados GDPR artigo
5.1.c.
C) Incorreto. O tamanho do armazenamento não tem nenhuma relação com este princípio.
D) Incorreto. As autoridades supervisoras não estabelecem um limite superior para o número de itens
coletados, desde que sejam limitados ao necessário para atingir os objetivos definidos.
A) Ele contém informações sobre o que você está fazendo, por exemplo, os produtos que você
seleciona em um comércio eletrônico antes de efetivar o pedido.
B) Ele revela o histórico do seu navegador para que outros sites possam descobrir que sites você visitou
antes de chegar ali.
C) Ele armazena o histórico do seu navegador para que você possa rastrear onde esteve na internet e
revisitar o(s) site(s), se quiser.
D) Ele coleta seus dados pessoais para que o site possa dirigir-se a você pelo nome e reutilizar suas
configurações quando você retornar.
A) Correto. Um cookie de sessão é mantido na memória para salvar informações sobre a sessão. Ele é
apagado quando você encerra a sessão. Fonte: White Paper – Privacidade, Dados Pessoais e o
GDPR - § 8.6.3 Cookies
B) Incorreto. Um cookie de sessão é apagado quando a sessão é encerrada; portanto, não pode ser
usado em uma sessão futura.
C) Incorreto. Um cookie de sessão é apagado quando a sessão é encerrada; portanto, não pode ser
usado em uma sessão futura.
D) Incorreto. Um cookie de sessão é apagado quando a sessão é encerrada; portanto, não pode ser
usado em uma sessão futura.
32 / 40
Às vezes os sites rastreiam os visitantes e armazenam suas informações para fins de marketing.
O site é obrigado a informar o visitante que suas informações estão sendo usadas para fins de
marketing?
A) Sim
B) Não
A) Correto. O site tem a obrigação de informar ao visitante que suas informações estão sendo usadas
para fins de marketing. Os visitantes têm o direito de recusar o processamento de dados pessoais
referentes a eles para fins de marketing. Fonte: White Paper – Privacidade, Dados Pessoais e o
GDPR - § 8.6.3 Cookies
B) Incorreto. O site tem a obrigação de informar ao visitante que suas informações estão sendo usadas
para fins de marketing. Os visitantes têm o direito de recusar o processamento de dados pessoais
referentes a eles para fins de marketing.
A) Incorreto. Simplesmente publicar informações sobre a empresa não faz de você um especialista no
setor.
B) Correto. Responder (e responder ativamente) a perguntas sobre um produto específico nas mídias
sociais pode transformar sua empresa em uma especialista. Fonte: White Paper – Privacidade,
Dados Pessoais e o GDPR - § 8.6 Aplicações relativas à prática do uso de dados, marketing e mídia
social.
C) Incorreto. Isto simplesmente é alardear o quanto seu produto é bom (e talvez nem seja).
D) Incorreto. Isso simplesmente mostra que a empresa está desenvolvendo novos produtos e, sim, isso
pode ajudar a melhorar as vendas, mas não faz da empresa uma especialista.
34 / 40
Ocorreu uma violação de segurança em um sistema de informação que também contém dados pessoais.
A) Verificar se a violação pode ter provocado a perda ou o processamento ilícito de dados pessoais
B) Avaliar o risco de efeitos adversos para os titulares dos dados usando uma Avaliação de Impacto
sobre a Proteção de Dados (AIPD)
C) Determinar se dados pessoais de caráter sensível foram ou possam ter sido processados ilegalmente
D) Relatar a violação imediatamente à autoridade supervisora relevante
A) Correto. Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR - § 5.2 Procedimentos sobre
como agir quando houver uma violação de dados.
B) Incorreto. Uma AIPD é conduzida durante o projeto das operações de processamento de dados
pessoais.
C) Incorreto. O controlador deve primeiro verificar se o incidente constitui uma violação de dados que
precise ser relatada.
D) Incorreto. O controlador deve primeiro verificar se o incidente constitui uma violação de dados que
precise ser relatada.
36 / 40
O Regulamento (EU) 2016/679, conhecido como General Data Protection Regulation (GDPR), anula uma
Diretiva anterior da UE.
A) Uma cópia dos dados pessoais deve ser fornecida no formato solicitado pelo titular dos dados.
B) Acesso aos dados pessoais sem qualquer custo para o titular dos dados.
C) Os dados pessoais sempre devem ser alterados mediante solicitação do titular dos dados.
D) Os dados pessoais devem ser apagados sempre que isto for solicitado pelo titular dos dados.
A) Incorreto. Isso deve ser fornecido em um formato estruturado, comumente usado e que permita a
leitura em um computador, mas não necessariamente em qualquer formato especificado pelo titular
dos dados.
B) Correto. Contudo, apenas a primeira cópia precisa ser fornecida sem custos. Fonte: EU GDPR, Um
guia de bolso - Capítulo 3 O Regulamento – Direitos dos titulares dos dados
C) Incorreto. Apenas dados errôneos precisam ser retificados.
D) Incorreto. O artigo 17 apresenta algumas exceções a estes casos, por exemplo, quando os dados
são necessários para o estabelecimento, exercício ou defensa de reclamações legais.
38 / 40
O General Data Protection Regulation (GDPR) distingue “dados pessoais sensíveis” como uma categoria
especial de dados pessoais.
A) Correto. Uma consulta com um especialista médico constitui um “dado pessoal relativo à saúde”.
Fonte: GDPR art. 9.1.
B) Incorreto. Um IBAN constitui um dado especificamente relacionado a uma pessoa, ou seja, um dado
pessoal. Mas não constitui um dado pessoal sensível de acordo com GDPR art. 9.
C) Incorreto. Uma revista científica sobre política não constitui “dados pessoais que revelem opiniões
políticas, crenças religiosas ou filosóficas” e, portanto, não constitui um dado pessoal sensível de
acordo com GDPR art. 9.
D) Incorreto. Apenas a associação a sindicatos e outros dados pessoais” que revelem (...) opiniões
políticas, crenças religiosas ou filosóficas” constituem dados pessoais sensíveis de acordo com
GDPR art. 9.
A) O controlador
B) O Data Protection Officer (DPO)
C) O processador
A) Correto. Controlador: a pessoa física ou jurídica, autoridade pública, agência ou outro organismo que,
isoladamente ou em conjunto com outras partes, determina os objetivos e os meios de
processamento de dados pessoais. Fonte: White Paper – Privacidade, Dados Pessoais e o GDPR -
§ 1.4 Funções, responsabilidades, partes interessadas.
B) Incorreto.
C) Incorreto.
40 / 40
Que informações são consideradas como dados pessoais, de acordo com o General Data Protection
Regulation (GDPR)?
A) Informações sobre uma pessoa que possam comprometer a privacidade daquela pessoa, mesmo que
sejam falsas.
B) Qualquer informação relativa a uma pessoa física identificável.
C) Informações relativas a uma pessoa física identificável que tenham sido digitalizadas.
A) Incorreto. Qualquer afirmação sobre uma pessoa física identificável constitui um dado pessoal de
acordo com o GDPR.
B) Correto. Fonte: EU GDPR, Um guia de bolso - Capítulo 2 Termos e definições – Dados pessoais &
GDPR art. 4 (1).
C) Incorreto. Qualquer afirmação sobre uma pessoa física identificável constitui um dado pessoal de
acordo com o GDPR.
A tabela a seguir mostra as respostas corretas às questões apresentadas neste exame simulado.
1 D 21 B
2 D 22 A
3 D 23 C
4 A 24 D
5 B 25 C
6 A 26 C
7 C 27 A
8 A 28 C
9 D 29 B
10 D 30 B
11 A 31 A
12 B 32 A
13 B 33 B
14 A 34 A
15 A 35 B
16 A 36 C
17 B 37 B
18 D 38 A
19 D 39 A
20 A 40 B
www.exin.com